Opozorilo: Neuradno prečiščeno besedilo
predpisa predstavlja zgolj informativni delovni pripomoček, glede katerega
organ ne jamči odškodninsko ali kako drugače.
Neuradno prečiščeno besedilo Pravilnika o metodologiji
vodenja registra zbirk osebnih podatkov obsega:
-
Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni
list RS, št. 28/05 z dne 18. 3. 2005),
-
Pravilnik o spremembah Pravilnika o metodologiji vodenja registra zbirk
osebnih podatkov (Uradni list RS, št. 30/11 z dne 22. 4. 2011).
PRAVILNIK
o metodologiji vodenja registra zbirk
osebnih podatkov
(neuradno prečiščeno besedilo št. 1)
1. SPLOŠNA DOLOČBA
Vsebina pravilnika
1. člen
Za vodenje in vzdrževanje registra zbirk
osebnih podatkov (v nadaljnjem besedilu: register) se s tem pravilnikom
določajo:
-
vsebina registra;
-
oblika in način posredovanja podatkov, vsebovanih v katalogih zbirk
osebnih podatkov;
-
način vodenja registra;
-
način objave registra.
2. VSEBINA REGISTRA
Splošna opredelitev vsebine registra
2. člen
(1) Register vsebuje podatke iz
katalogov zbirk osebnih podatkov, ki jih vodijo upravljavci osebnih podatkov (v
nadaljnjem besedilu: upravljavec) v skladu z določbami zakona, ki ureja varstvo
osebnih podatkov.
(2) Za vsako zbirko osebnih podatkov
se v registru vodijo naslednji podatki:
1.
naziv zbirke osebnih podatkov;
2.
podatki o upravljavcu;
3.
kategorije posameznikov, na katere se nanašajo osebni podatki;
4.
vrste osebnih podatkov v zbirki osebnih podatkov;
5.
namen obdelave;
6.
uporabniki ali kategorije uporabnikov osebnih podatkov, vsebovanih v
zbirki osebnih podatkov;
7.
dejstvo, ali se osebni podatki iznašajo v tretje države, kam, komu in
pravno podlago iznosa;
8.
splošen opis zavarovanja osebnih podatkov;
9.
podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter
javnih knjig;
10. podatke
o zastopniku iz tretjega odstavka 5. člena Zakona o varstvu osebnih podatkov.
Vsebina zapisov podatkov
3. člen
(1) Podatki iz prejšnjega člena imajo
obliko zapisov z naslednjo vsebino:
1.
Zapis o nazivu zbirke osebnih podatkov vsebuje njen naziv, ki ga določa
predpis ali ga določi upravljavec, če je zbirka osebnih podatkov vzpostavljena
na podlagi osebne privolitve posameznika, pogodbenega razmerja ali na
drugi pravni podlagi.
2.
Zapis podatkov o upravljavcu vsebuje za pravno osebo: naziv oziroma
firmo in naslov oziroma sedež upravljavca in matično številko. Če je
upravljavec fizična oseba vsebuje zapis: osebno ime, naslov opravljanja
dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika
posameznika pa še firmo, sedež in matično številko.
3.
Zapis kategorij posameznikov vsebuje generično oznako oseb, na katere se
nanašajo osebni podatki, ki se vodijo v zbirki osebnih podatkov.
4.
Zapis o vrstah osebnih podatkov vsebuje navedbo vseh vrst osebnih
podatkov, ki se vodijo v zbirki osebnih podatkov.
5.
Zapis namena obdelave vsebuje navedbo vseh namenov, za katere se
obdelujejo osebni podatki, ki se vodijo v zbirki osebnih podatkov.
6.
Zapis o uporabnikih ali kategorijah uporabnikov osebnih podatkov vsebuje
navedbo pravnih oseb ali samostojnih podjetnikov posameznikov oziroma navedbo
kategorij fizičnih ali pravnih oseb, katerim se ali se bodo posredovali ali
razkrivali osebni podatki iz zbirke osebnih podatkov. Če so uporabniki osebnih
podatkov pravne osebe, vsebuje zapis njihov naziv ali firmo, za samostojne
podjetnike posameznike pa njihovo firmo. Kategorije pravnih oseb in samostojnih
podjetnikov posameznikov se navajajo le izjemoma. V primeru, da je krog
uporabnikov neomejen zaradi narave medija, ki omogoča posredovanje osebnih
podatkov brez omejitev, zapis vsebuje navedbo, da se podatki posredujejo
neomejenemu krogu uporabnikov. Če se osebni podatki ne posredujejo uporabnikom,
se zapiše, da se osebni podatki iz zbirke osebnih podatkov ne posredujejo uporabnikom.
7.
Zapis o dejstvu, ali se osebni podatki iznašajo v tretje države, kam,
komu in pravno podlago iznosa vsebuje navedbo imen tretjih držav, v katere se
osebni podatki iznašajo, navedbo uporabnikov ali kategorij uporabnikov osebnih
podatkov v tretjih državah, s podatki, navedenimi v prejšnji točki ter navedbo
pravne podlage za iznos osebnih podatkov. Če se osebni podatki ne iznašajo v
tretje države, se zapiše, da se osebni podatki iz zbirke osebnih podatkov ne
iznašajo v tretje države.
8.
Zapis splošnega opisa zavarovanja osebnih podatkov vsebuje splošen opis
postopkov in ukrepov, s katerimi se varujejo osebni podatki in preprečuje
njihova nepooblaščena obdelava ter navedbo naziva notranjih aktov, ki
predpisujejo organizacijske, tehnične in logično tehnične postopke in ukrepe za
zavarovanje osebnih podatkov.
9.
Zapis podatkov o povezanih zbirkah osebnih podatkov iz uradnih evidenc
ter javnih knjig vsebuje nazive tistih uradnih evidenc ter javnih knjig, s
katerimi se povezujejo osebni podatki iz zbirke osebnih podatkov. Če se osebni
podatki ne povezujejo z uradnimi evidencami ali javnimi knjigami, se zapiše, da
se osebni podatki iz zbirke osebnih podatkov ne povezujejo z uradnimi
evidencami ter javnimi knjigami.
10. Zapis
podatkov o zastopniku iz tretjega odstavka 5. člena Zakona o varstvu
osebnih podatkov vsebuje podatke o pravni ali fizični osebi, ki zastopa tistega
upravljavca, ki ni ustanovljen, nima sedeža oziroma ni registriran v državi
članici Evropske unije oziroma ni del Evropskega gospodarskega prostora in za
obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja v
Republiki Sloveniji, razen če se ta oprema uporablja samo za prenos osebnih
podatkov preko ozemlja Republike Slovenije. Če je zastopnik pravna oseba,
vsebuje zapis naziv oziroma firmo in naslov oziroma sedež in matično številko
pravne osebe. Če je zastopnik fizična oseba, vsebuje zapis osebno ime, naslov
opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za
samostojnega podjetnika posameznika pa še firmo, sedež in matično številko.
Upravljavci, ki so ustanovljeni, imajo sedež oziroma so registrirani v državi
članici Evropske unije oziroma so del Evropskega gospodarskega prostora, ne
zapisujejo podatkov iz te točke.
(2) Matična številka iz 2. in 10. točke prejšnjega odstavka je številka, pod katero se upravljavec oziroma zastopnik vodi v
poslovnem registru.
3. NAČIN POSREDOVANJA PODATKOV
Posredovanje zapisov
4. člen
(1) Upravljavec za vsako zbirko
osebnih podatkov, ki jo vodi, posreduje Državnemu nadzornemu organu za varstvo
osebnih podatkov (v nadaljnjem besedilu: nadzorni organ) zapise iz prvega
odstavka prejšnjega člena najmanj 15 dni pred vzpostavitvijo zbirke osebnih
podatkov.
(2) Upravljavec po prejemu črtne kode,
s katero se registrira za vnos zapisov prek spletne strani nadzornega organa,
zapise neposredno vnese v obrazec RZOP, ki je kot priloga sestavni del tega
pravilnika. Po vnosu zapisov obrazce natisne, jih podpiše in overi ter pošlje
nadzornemu organu.
(3) V primeru, da upravljavec nima
dostopa do spletnih strani nadzornega organa, posreduje zapise v pisni obliki
na obrazcu RZOP ali na drugem dokumentu, ki ima ustrezno podobno obliko in
enako vsebino kot obrazec RZOP.
(4) Obrazec RZOP se objavi na spletni
strani nadzornega organa.
Posredovanje sprememb in dopolnitev
zapisov ter novih vrst osebnih podatkov
5. člen
(1) Upravljavec mora nadzornemu organu
posredovati spremembe in dopolnitve zapisov iz prvega odstavka 3. člena
tega pravilnika najkasneje v osmih dneh od dneva spremembe.
(2) Upravljavec mora nadzornemu organu
posredovati nove vrste osebnih podatkov najmanj 15 dni pred vnosom nove vrste
osebnih podatkov.
(3) Upravljavec opravi posredovanje iz
tega člena na način, določen v drugem in tretjem odstavku prejšnjega člena, pri
čemer izpolni le rubrike iz 1. in 2. točke prvega odstavka 3. člena tega
pravilnika ter rubrike, ki se spreminjajo oziroma dopolnjujejo.
Posredovanje podatkov o prenehanju
vodenja zbirke osebnih podatkov oziroma o prenehanju upravljavca
6. člen
(1) Upravljavec, ki preneha z vodenjem
posamezne zbirke osebnih podatkov, sporoči nadzornemu organu najpozneje v
osmih dneh po prenehanju vodenja posamezne zbirke osebnih podatkov, katero
zbirko osebnih podatkov je prenehal voditi ter kaj je storil z osebnimi podatki
iz te zbirke (ali jih je zbrisal, uničil, blokiral, anonimiziral ali predal
drugemu upravljavcu).
(2) Upravljavec, ki je prenehal,
sporoči ta podatek ter kaj je storil z osebnimi podatki iz zbirk osebnih
podatkov, ki jih je vodil (ali jih je zbrisal, uničil, blokiral, anonimiziral
ali predal drugemu upravljavcu), nadzornemu organu najkasneje v osmih dneh po
izbrisu iz poslovnega registra.
(3) Upravljavec opravi posredovanje iz
tega člena na način, določen v drugem in tretjem odstavku 4. člena tega
pravilnika, na obrazcu RZOPI, ki je kot priloga sestavni del tega pravilnika.
(4) Obrazec RZOPI se objavi na spletni
strani nadzornega organa.
4. NAČIN VODENJA REGISTRA
Struktura registra
7. člen
(1) Register je urejen po abecednem
vrstnem redu nazivov oziroma firm ali osebnih imen upravljavcev.
(2) Seznam zbirk osebnih podatkov, ki
jih vodi posamezen upravljavec, je urejen po abecednem vrstnem redu nazivov
zbirk osebnih podatkov.
(3) Posamezna zbirka osebnih podatkov
je urejena po vrstnem redu rubrik, kot so določene v drugem odstavku 2. člena
tega pravilnika.
(4) V registru je mogoče iskanje po
nazivu oziroma firmi ali osebnemu imenu upravljavca ter po kraju, kjer ima upravljavec
sedež oziroma prebivališče.
Hramba obrazcev
8. člen
(1) Obrazce, ki jih izpolnijo upravljavci
na način, določen v drugem in tretjem odstavku 4. člena tega pravilnika,
nadzorni organ trajno hrani samo v elektronski obliki, izpolnjene obrazce v
papirnati obliki pa organ hrani dve leti po vnosu zapisov v register in jih
nato uniči.
(2) Nadzorni organ zbirke osebnih podatkov,
ki jih vodi posamezen upravljavec, izbriše iz registra eno leto po izbrisu
upravljavca iz poslovnega registra.
(3) Izbris iz prejšnjega odstavka se izvede
na način, da se podatki umaknejo iz aktivnega dela registra v arhivski del.
5. OBJAVA REGISTRA
Objava registra na spletni strani
9. člen
Register se z vsebino in strukturo,
določeno v drugem odstavku 2. člena, prvem odstavku 3. člena ter 7. členu
tega pravilnika, objavi na spletni strani nadzornega organa.
Priloga:
Obrazec RZOP
Priloga:
Obrazec RZOPI
Pravilnik o metodologiji vodenja registra
zbirk osebnih podatkov (Uradni list RS, št. 28/05)
vsebuje naslednje prehodne in končne določbe:
»6. PREHODNE IN KONČNE DOLOČBE
Prehodno posredovanje
podatkov v register
10. člen
Do 1. januarja 2006, ko začne z delom
nadzorni organ, se podatki iz 4., 5. in 6. člena tega pravilnika
posredujejo Ministrstvu za pravosodje.
Prehodno
vodenje registra
11. člen
Register z vsebino iz drugega odstavka 2. člena
tega pravilnika do 1. januarja 2006, ko začne z delom nadzorni organ,
vodi, vzdržuje in objavi na svoji spletni strani Ministrstvo za pravosodje.
Uporaba
določb tega pravilnika
12. člen
(1) Upravljavci lahko posredujejo
podatke iz 4., 5. in 6. člena tega pravilnika v elektronski obliki od 1. januarja
2006.
(2) 7. in 9. člen tega pravilnika se pričneta uporabljati 1. januarja 2006, ko začne z delom
nadzorni organ.
Prenehanje
veljavnosti
13. člen
Z dnem uveljavitve tega pravilnika preneha
veljati Pravilnik o metodologiji vodenja skupnega kataloga osebnih podatkov
(Uradni list RS, št. 101/01).
Dopolnitev
podatkov v registru
14. člen
(1) Upravljavci, ki so posredovali
zapise po določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99,
57/01, 59/01 – popr, 52/02 – ZDU-1 in 73/04 – ZUP-C) in določbah pravilnika iz
prejšnjega člena v skupni katalog osebnih podatkov, morajo manjkajoče zapise iz
3. člena tega pravilnika posredovati na način, določen v tretjem odstavku
5. člena tega pravilnika, pristojnemu organu v enem letu po uveljavitvi
tega pravilnika.
(2) Pristojni organ iz prejšnjega
odstavka pomeni do 31. decembra 2005 Ministrstvo za pravosodje, od 1. januarja
2006 pa Državni nadzorni organ za varstvo osebnih podatkov.
Začetek
veljavnosti
15. člen
Ta pravilnik začne veljati petnajsti dan po
objavi v Uradnem listu Republike Slovenije.«.
Pravilnik o spremembah Pravilnika o
metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 30/11) vsebuje naslednjo končno določbo:
»3. člen
Ta pravilnik začne veljati petnajsti dan po
objavi v Uradnem listu Republike Slovenije.«.