Neuradno prečiščeno besedilo, ki vsebuje to spremembo:
Opozorilo: Neuradno prečiščeno besedilo predpisa predstavlja
zgolj informativni delovni pripomoček, glede katerega organ ne jamči
odškodninsko ali kako drugače.
Neuradno prečiščeno besedilo Zakona o varstvu osebnih
podatkov obsega:
-
Zakon o varstvu osebnih podatkov – ZVOP-1 (Uradni list RS, št. 86/04 z
dne 5. 8. 2004),
-
Zakon o Informacijskem pooblaščencu – ZInfP (Uradni list RS, št. 113/05
z dne 16. 12. 2005),
-
Zakon o spremembah in dopolnitvah Zakona o ustavnem sodišču – ZUstS-A
(Uradni list RS, št. 51/07 z dne 8. 6. 2007),
-
Zakon o spremembah in dopolnitvah Zakona o varstvu osebnih podatkov –
ZVOP-1A (Uradni list RS, št. 67/07 z dne 27. 7. 2007).
ZAKON
O VARSTVU OSEBNIH PODATKOV (ZVOP-1)
(neuradno prečiščeno besedilo št. 3)
I. DEL
SPLOŠNE DOLOČBE
Vsebina zakona
1. člen
S tem zakonom se določajo pravice, obveznosti, načela in
ukrepi, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi
v zasebnost in dostojanstvo posameznika oziroma posameznice (v nadaljnjem
besedilu: posameznik) pri obdelavi osebnih podatkov.
Načelo zakonitosti in poštenosti
2. člen
Osebni podatki se obdelujejo zakonito in pošteno.
Načelo sorazmernosti
3. člen
Osebni podatki, ki se obdelujejo, morajo biti ustrezni in po
obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.
Prepoved diskriminacije
4. člen
Varstvo osebnih podatkov je zagotovljeno vsakemu posamezniku
ne glede na narodnost, raso, barvo, veroizpoved, etnični pripadnost, spol,
jezik, politično ali drugo prepričanje, spolno usmerjenost, premoženjsko
stanje, rojstvo, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto
prebivališča ali katerokoli drugo osebno okoliščino.
Ozemeljska veljavnost tega zakona
5. člen
(1) Ta zakon velja za obdelavo osebnih podatkov, če je
upravljavec osebnih podatkov ustanovljen, ima sedež ali je registriran v
Republiki Sloveniji ali če je podružnica upravljavca osebnih podatkov
registrirana v Republiki Sloveniji.
(2) Ta zakon velja tudi, če upravljavec osebnih podatkov ni
ustanovljen, nima sedeža oziroma ni registriran v državi članici Evropske unije
oziroma ni del Evropskega gospodarskega prostora in za obdelavo osebnih
podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja v Republiki
Sloveniji, razen če se ta oprema uporablja samo za prenos osebnih podatkov
preko ozemlja Republike Slovenije.
(3) Upravljavec osebnih podatkov iz prejšnjega odstavka mora
določiti fizično ali pravno osebo, ki ima sedež ali je registrirana v Republiki
Sloveniji, ki ga zastopa glede obdelave osebnih podatkov v skladu s tem
zakonom.
(4) Ta zakon velja tudi za diplomatsko-konzularna in druga
uradna predstavništva Republike Slovenije v tujini.
Pomen izrazov
6. člen
V tem zakonu uporabljeni izrazi imajo naslednji pomen:
1.
Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne
glede na obliko, v kateri je izražen.
2.
Posameznik – je določena ali določljiva fizična oseba, na katero se
nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno
ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko
ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko,
duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način
identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali
ne zahteva veliko časa.
3.
Obdelava osebnih podatkov – pomeni kakršnokoli delovanje ali niz
delovanj, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano
obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali so
namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje,
vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje,
vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje
na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris
ali uničenje; obdelava je lahko ročna ali avtomatizirana (sredstva obdelave).
4.
Avtomatizirana obdelava – je obdelava osebnih podatkov s sredstvi
informacijske tehnologije.
5.
Zbirka osebnih podatkov – je vsak strukturiran niz podatkov, ki vsebuje
vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo
ali združevanje podatkov, ne glede na to, ali je niz centraliziran,
decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način,
da določi ali omogoči določljivost posameznika.
6.
Upravljavec osebnih podatkov – je fizična ali pravna oseba ali druga
oseba javnega ali zasebnega sektorja, ki sama ali skupaj z drugimi določa
namene in sredstva obdelave osebnih podatkov oziroma oseba, določena z zakonom,
ki določa tudi namene in sredstva obdelave.
7.
Pogodbeni obdelovalec – je fizična ali pravna oseba, ki obdeluje osebne
podatke v imenu in na račun upravljavca osebnih podatkov.
8.
Uporabnik osebnih podatkov – je fizična ali pravna oseba ali druga oseba
javnega ali zasebnega sektorja, ki se ji posredujejo ali razkrijejo osebni
podatki.
9.
Posredovanje osebnih podatkov – je posredovanje ali razkritje osebnih
podatkov.
10.
Tuji uporabnik in tuji upravljavec osebnih podatkov – je uporabnik
osebnih podatkov v tretji državi in upravljavec osebnih podatkov v tretji
državi.
11.
Tretja država – je država, ki ni država članica Evropske unije ali del
Evropskega gospodarskega prostora.
12.
Katalog zbirke osebnih podatkov – je opis zbirke osebnih podatkov.
13.
Register zbirk osebnih podatkov – je register, v katerem so podatki iz
katalogov zbirk osebnih podatkov.
14.
Osebna privolitev posameznika – je prostovoljna izjava volje
posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in
je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem
zakonu; osebna privolitev posameznika je lahko pisna, ustna ali druga ustrezna
privolitev posameznika.
15.
Pisna privolitev posameznika – je podpisana privolitev posameznika, ki
ima obliko listine, določila v pogodbi, določila v naročilu, priloge k vlogi
ali drugo obliko v skladu z zakonom; podpis je tudi na podlagi zakona s
podpisom izenačena oblika, podana s telekomunikacijskim sredstvom, ter na podlagi
zakona s podpisom izenačena oblika, ki jo poda posameznik, ki ne zna ali ne
more pisati.
16.
Ustna ali druga ustrezna privolitev posameznika – je ustno ali s
telekomunikacijskim ali drugim ustreznim sredstvom ali na drug ustrezen način
dana privolitev, iz katere je mogoče nedvomno sklepati na posameznikovo
privolitev.
17.
Blokiranje – je takšna označitev osebnih podatkov, da se omeji ali
prepreči njihova nadaljnja obdelava.
18.
Anonimiziranje – je takšna sprememba oblike osebnih podatkov, da jih ni
več mogoče povezati s posameznikom ali je to mogoče le z nesorazmerno velikimi
napori, stroški ali porabo časa.
19.
Občutljivi osebni podatki – so podatki o rasnem, narodnem ali
narodnostnem poreklu, političnem, verskem ali filozofskem prepričanju, članstvu
v sindikatu, zdravstvenem stanju, spolnem življenju, vpisu ali izbrisu v ali iz
kazenske evidence ali evidenc, ki se vodijo na podlagi zakona, ki ureja
prekrške (v nadaljnjem besedilu: prekrškovne evidence); občutljivi osebni
podatki so tudi biometrične značilnosti, če je z njihovo uporabo mogoče
določiti posameznika v zvezi s kakšno od prej navedenih okoliščin.
20.
Isti povezovalni znaki – so osebna identifikacijska številka in druge z
zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo
katerih je mogoče zbirati oziroma priklicati osebne podatke iz tistih zbirk
osebnih podatkov, v katerih so obdelovani tudi isti povezovalni znaki.
21.
Biometrične značilnosti – so takšne telesne, fiziološke ter vedenjske
značilnosti, ki jih imajo vsi posamezniki, so pa edinstvene in stalne za
vsakega posameznika posebej in je možno z njimi določiti posameznika, zlasti z
uporabo prstnega odtisa, posnetka papilarnih linij s prsta, šarenice, očesne
mrežnice, obraza, ušesa, deoksiribonukleinske kisline ter značilne drže.
22.
Javni sektor – so državni organi, organi samoupravnih lokalnih
skupnosti, nosilci javnih pooblastil, javne agencije, javni skladi, javni
zavodi, univerze, samostojni visokošolski zavodi in samoupravne narodne
skupnosti.
23.
Zasebni sektor – so pravne in fizične osebe, ki opravljajo dejavnost po
zakonu, ki ureja gospodarske družbe ali gospodarske javne službe ali obrt, in
osebe zasebnega prava; zasebni sektor so javni gospodarski zavodi, javna
podjetja in gospodarske družbe, ne glede na delež oziroma vpliv države,
samoupravne lokalne skupnosti ali samoupravne narodne skupnosti.
Izjeme pri uporabi tega zakona
7. člen
(1) Ta zakon se ne uporablja za obdelavo osebnih podatkov, ki
jo izvajajo posamezniki izključno za osebno uporabo, družinsko življenje ali za
druge domače potrebe.
(2) Za osebne podatke, ki jih o svojih članih obdelujejo
politične stranke, sindikati, društva ali verske skupnosti, se ne uporabljajo
26., 27. in 28. člen tega zakona.
(3) Za osebne podatke, ki jih za namene obveščanja javnosti
obdelujejo mediji, se ne uporabljajo drugi odstavek 25. člena, 26., 27. in 28.
člen ter V. del tega zakona.
(4) Upravljavcem osebnih podatkov z manj kot 50 zaposlenimi
ni treba izpolniti obveznosti iz drugega odstavka 25. člena in obveznosti iz
26. ter 27. člena tega zakona.
(5) Izjeme iz prejšnjega odstavka se ne uporabljajo za zbirke
osebnih podatkov, ki jih vodijo upravljavci osebnih podatkov iz javnega
sektorja, notarji, odvetniki, detektivi, izvršitelji, izvajalci zasebnega
varovanja, zasebni zdravstveni delavci, izvajalci zdravstvenih storitev ter za
upravljavce osebnih podatkov, ki vodijo zbirke, ki vsebujejo občutljive osebne
podatke in je obdelava občutljivih osebnih podatkov del njihove registrirane
dejavnosti.
II. DEL
OBDELAVA OSEBNIH PODATKOV
1. poglavje
Pravne podlage in nameni
Splošna opredelitev
8. člen
(1) Osebni podatki se lahko obdelujejo le, če obdelavo
osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za
obdelavo določenih osebnih podatkov podana osebna privolitev posameznika.
(2) Namen obdelave osebnih podatkov mora biti določen v
zakonu, v primeru obdelave na podlagi osebne privolitve posameznika pa mora
biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom
obdelave osebnih podatkov.
Pravne podlage v javnem sektorju
9. člen
(1) Osebni podatki v javnem sektorju se lahko obdelujejo, če
obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z
zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi
osebne privolitve posameznika.
(2) Nosilci javnih pooblastil lahko obdelujejo osebne podatke
tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne
gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil. Zbirke
osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od zbirk
osebnih podatkov, ki nastanejo na podlagi izvrševanja nalog nosilca javnih
pooblastil.
(3) Ne glede na prvi odstavek tega člena se lahko v javnem
sektorju obdelujejo osebni podatki posameznikov, ki so z javnim sektorjem
sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj
za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za
izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.
(4) Ne glede na prvi odstavek tega člena se lahko v javnemu
sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujni za izvrševanje
zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to
obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni
podatki nanašajo.
Pravne podlage v zasebnem sektorju
10. člen
(1) Osebni podatki v zasebnem sektorju se lahko obdelujejo,
če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon
ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev
posameznika.
(2) Ne glede na prejšnji odstavek se lahko v zasebnem
sektorju obdelujejo osebni podatki posameznikov, ki so z zasebnim sektorjem
sklenili pogodbo ali pa so na podlagi pobude posameznika z njim v fazi pogajanj
za sklenitev pogodbe, če je obdelava osebnih podatkov potrebna in primerna za
izvedbo pogajanj za sklenitev pogodbe ali za izpolnjevanje pogodbe.
(3) Ne glede na prvi odstavek tega člena se lahko v zasebnem
sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja
zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad
interesi posameznika, na katerega se nanašajo osebni podatki.
Pogodbena obdelava
11. člen
(1) Upravljavec osebnih podatkov lahko posamezna opravila v
zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki
je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke
in ukrepe iz 24. člena tega zakona.
(2) Pogodbeni obdelovalec sme opravljati posamezna opravila v
zvezi z obdelavo osebnih podatkov v okviru naročnikovih pooblastil in osebnih
podatkov ne sme obdelovati za noben drug namen. Medsebojne pravice in
obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora
vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena tega zakona.
Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24.
člena tega zakona.
(3) V primeru spora med upravljavcem osebnih podatkov in
pogodbenim obdelovalcem je dolžan pogodbeni obdelovalec na podlagi zahteve
upravljavca osebne podatke, ki jih je pogodbeno obdeloval, nemudoma vrniti
upravljavcu. Morebitne kopije teh podatkov mora takoj uničiti ali jih
posredovati državnemu organu, ki je v skladu z zakonom pristojen za odkrivanje
ali pregon kaznivih dejanj, sodišču ali drugemu državnemu organu, če tako
določa zakon.
(4) V primeru prenehanja pogodbenega obdelovalca se osebni
podatki brez nepotrebnega odlašanja vrnejo upravljavcu osebnih podatkov.
Varovanje življenjskih interesov posameznika
12. člen
Če je obdelava osebnih podatkov nujno potrebna za varovanje
življenja ali telesa posameznika, se lahko njegovi osebni podatki obdelujejo ne
glede na to, da za obdelavo teh podatkov ni druge zakonite pravne podlage.
Obdelava občutljivih osebnih podatkov
13. člen
Občutljivi osebni podatki se lahko obdelujejo le v naslednjih
primerih:
1.
če je posameznik za to podal izrecno osebno privolitev, ki je praviloma
pisna, v javnem sektorju pa tudi določena z zakonom;
2.
če je obdelava potrebna zaradi izpolnjevanja obveznosti in posebnih
pravic upravljavca osebnih podatkov na področju zaposlovanja v skladu z
zakonom, ki določa tudi ustrezna jamstva pravic posameznika;
3.
če je obdelava nujno potrebna za varovanje življenja ali telesa
posameznika, na katerega se osebni podatki nanašajo, ali druge osebe, kadar
posameznik, na katerega se osebni podatki nanašajo, fizično ali poslovno ni
sposoben dati svoje privolitve iz 1. točke tega člena;
4.
če jih za namene zakonitih dejavnosti obdelujejo ustanove, združenja,
društva, verske skupnosti, sindikati ali druge nepridobitne organizacije s
političnim, filozofskim, verskim ali sindikalnim ciljem, vendar le, če se
obdelava nanaša na njihove člane ali na posameznike, ki so v zvezi s temi cilji
z njimi v rednem stiku, ter če se ti podatki ne posredujejo drugim posameznikom
ali osebam javnega ali zasebnega sektorja brez pisne privolitve posameznika, na
katerega se nanašajo;
5.
če je posameznik, na katerega se nanašajo občutljivi osebni podatki, te
javno objavil brez očitnega ali izrecnega namena, da omeji namen njihove
uporabe;
6.
če jih za namene zdravstvenega varstva prebivalstva in posameznikov ter
vodenja ali opravljanja zdravstvenih služb obdelujejo zdravstveni delavci in
zdravstveni sodelavci v skladu z zakonom;
7.
če je to potrebno zaradi uveljavljanja ali nasprotovanja pravnemu
zahtevku;
8.
če tako določa drug zakon zaradi izvrševanja javnega interesa.
Zavarovanje občutljivih osebnih podatkov
14. člen
(1) Občutljivi osebni podatki morajo biti pri obdelavi
posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči
dostop do njih, razen v primeru iz 5. točke 13. člena tega zakona.
(2) Pri prenosu občutljivih osebnih podatkov preko
telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se
posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je
zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.
Avtomatizirano odločanje
15. člen
Avtomatizirana obdelava osebnih podatkov, pri kateri se o
posamezniku lahko sprejme odločitev, ki ima za posledico pravne učinke v zvezi
z njim ali na njega znatno vpliva in ki temelji zgolj na avtomatizirani
obdelavi podatkov, ki je namenjena ovrednotenju nekaterih osebnih vidikov v
zvezi z njim, kakršni so zlasti njegova uspešnost pri delu, kreditna
sposobnost, zanesljivost, ravnanje ali izpolnjevanje zahtevanih pogojev, je
dovoljena le, če je odločitev:
1.
sprejeta med sklepanjem ali izvajanjem pogodbe, pod pogojem, da je
pobuda za sklenitev ali izvajanje pogodbe, ki jo je vložil posameznik, na
katerega se osebni podatki nanašajo, izpolnjena ali da obstajajo primerni
ukrepi za varstvo njegovih zakonitih interesov, kakršni so zlasti dogovori, ki
mu omogočajo ugovarjati takšni odločitvi ali izraziti njegovo stališče;
2.
določena z zakonom, ki določa tudi ukrepe za varstvo zakonitih interesov
posameznika, na katerega se nanašajo osebni podatki, zlasti možnost pravnega
sredstva zoper takšno odločitev.
Namen zbiranja in nadaljnja obdelava
16. člen
Osebni podatki se lahko zbirajo le za določene in zakonite
namene ter se ne smejo nadalje obdelovati tako, da bi bila njihova obdelava v
neskladju s temi nameni, če zakon ne določa drugače.
Obdelava za zgodovinsko, statistično in
znanstveno-raziskovalne namene
17. člen
(1) Ne glede na prvotni namen zbiranja se lahko osebni
podatki nadalje obdelujejo za zgodovinsko, statistično in
znanstveno-raziskovalne namene.
(2) Osebni podatki se posredujejo uporabniku osebnih podatkov
za namen obdelave iz prejšnjega odstavka v anonimizirani obliki, če zakon ne določa
drugače ali če posameznik, na katerega se nanašajo osebni podatki, ni predhodno
podal pisne privolitve, da se lahko obdelujejo brez anonimiziranja.
(3) Osebni podatki, ki so bili posredovani uporabniku osebnih
podatkov v skladu s prejšnjim odstavkom, se ob zaključku obdelave uničijo, če
zakon ne določa drugače. Uporabnik osebnih podatkov mora upravljavca osebnih
podatkov, ki mu je posredoval osebne podatke, brez odlašanja po njihovem
uničenju pisno obvestiti, kdaj in na kakšen način jih je uničil.
(4) Rezultati obdelave iz prvega odstavka tega člena se
objavijo v anonimizirani obliki, razen če zakon določa drugače ali če je
posameznik, na katerega se nanašajo osebni podatki, za objavo v neanonimizirani
obliki podal pisno privolitev ali če je za takšno objavo podano pisno soglasje
dedičev umrle osebe po tem zakonu.
2. poglavje
Varstvo posameznikov
Točnost in ažurnost osebnih podatkov
18. člen
(1) Osebni podatki, ki se obdelujejo, morajo biti točni in
ažurni.
(2) Upravljavec osebnih podatkov lahko pred vnosom v zbirko
osebnih podatkov preveri točnost osebnih podatkov z vpogledom v osebni dokument
ali drugo ustrezno javno listino posameznika, na katerega se nanašajo.
Obveščanje posameznika o obdelavi osebnih podatkov
19. člen
(1) Če se osebni podatki zbirajo neposredno od posameznika,
na katerega se nanašajo, mora upravljavec osebnih podatkov ali njegov zastopnik
posamezniku sporočiti naslednje informacije, če z njimi posameznik še ni
seznanjen:
-
podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku
(osebno ime, naziv oziroma firma in naslov oziroma sedež),
-
namen obdelave osebnih podatkov.
(2) Če je glede na posebne okoliščine zbiranja osebnih
podatkov iz prejšnjega odstavka potrebno, da se zagotovi zakonita in poštena
obdelava osebnih podatkov posameznika, mora oseba iz prejšnjega odstavka
posamezniku sporočiti tudi dodatne informacije, če posameznik z njimi še ni
seznanjen, zlasti:
-
navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
-
navedbo, ali je zbiranje osebnih podatkov obvezno ali prostovoljno, ter
možne posledice, če ne bo prostovoljno podal podatkov,
-
informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve,
popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.
(3) Če osebni podatki niso bili zbrani neposredno od
posameznika, na katerega se nanašajo, mora upravljavec osebnih podatkov ali
njegov zastopnik posamezniku najpozneje ob vpisu ali posredovanju osebnih
podatkov uporabniku osebnih podatkov sporočiti naslednje informacije:
-
podatke o upravljavcu osebnih podatkov in njegovem morebitnem zastopniku
(osebno ime, naziv oziroma firma in naslov oziroma sedež),
-
namen obdelave osebnih podatkov.
(4) Če je glede na posebne okoliščine zbiranja osebnih
podatkov iz prejšnjega odstavka potrebno, da se zagotovi zakonita in poštena
obdelava osebnih podatkov posameznika, mora oseba iz prejšnjega odstavka
posamezniku sporočiti tudi dodatne informacije, zlasti:
-
informacijo o vrsti zbranih osebnih podatkov,
-
navedbo uporabnika ali vrste uporabnikov njegovih osebnih podatkov,
-
informacijo o pravici do vpogleda, prepisa, kopiranja, dopolnitve,
popravka, blokiranja in izbrisa osebnih podatkov, ki se nanašajo nanj.
(5) Informacij iz tretjega in četrtega odstavka tega člena ni
potrebno zagotoviti, če bi bilo to zaradi obdelave osebnih podatkov za
zgodovinsko, statistično ali znanstveno-raziskovalne namene nemogoče ali bi
povzročilo velike stroške, nesorazmerno velik napor ali zahtevalo veliko časa
ali če je z zakonom izrecno določen vpis ali posredovanje osebnih podatkov.
Uporaba istega povezovalnega znaka
20. člen
(1) Pri pridobivanju osebnih podatkov iz zbirk osebnih
podatkov s področja zdravstva, policije, obveščevalno-varnostne dejavnosti
države, obrambe države, sodstva in državnega tožilstva ter kazenske evidence in
prekrškovnih evidenc ni dovoljena uporaba istega povezovalnega znaka na način,
da bi se za pridobitev osebnega podatka uporabil samo ta znak.
(2) Ne glede na prejšnji odstavek se lahko izjemoma uporabi
isti povezovalni znak za pridobivanje osebnih podatkov, če je to edini podatek
v konkretni zadevi, ki lahko omogoči, da se odkrije ali preganja kaznivo
dejanje po uradni dolžnosti, da se zavaruje življenje ali telo posameznika ali
da se zagotovi izvajanje nalog obveščevalnih in varnostnih organov, določenih z
zakonom. O tem je potrebno brez odlašanja napraviti uradni zaznamek ali drug
pisni zapis.
(3) Prvi odstavek tega člena se ne uporablja za zemljiško
knjigo in sodni register.
Rok hrambe osebnih podatkov
21. člen
(1) Osebni podatki se lahko shranjujejo le toliko časa,
dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali
nadalje obdelovali.
(2) Po izpolnitvi namena obdelave se osebni podatki zbrišejo,
uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja
arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon
za posamezne vrste osebnih podatkov ne določa drugače.
Posredovanje osebnih podatkov
22. člen
(1) Upravljavec osebnih podatkov mora proti plačilu stroškov
posredovanja, če zakon ne določa drugače, posredovati osebne podatke
uporabnikom osebnih podatkov.
(2) Upravljavec centralnega registra prebivalstva ali evidenc
stalno in začasno prijavljenih prebivalcev mora na način, ki je določen za
izdajo potrdila, posredovati upravičencu, ki izkaže pravni interes za
uveljavljanje pravic pred osebami javnega sektorja, osebno ime in naslov
stalnega ali začasnega prebivališča posameznika, zoper katerega uveljavlja
svoje pravice.
(3) Upravljavec osebnih podatkov mora za vsako posredovanje
osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni
podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za
obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega
posredovanja osebnih podatkov.
(4) Ne glede na prvi odstavek tega člena je upravljavec
osebnih podatkov v javnem sektorju dolžan uporabniku osebnih podatkov v javnem
sektorju posredovati osebne podatke brez plačila stroškov posredovanja, razen
če zakon določa drugače ali če gre za uporabo za zgodovinsko, statistično ali
znanstveno-raziskovalne namene.
Varstvo osebnih podatkov umrlih posameznikov
23. člen
(1) Upravljavec osebnih podatkov lahko podatke o umrlem
posamezniku posreduje samo tistim uporabnikom osebnih podatkov, ki so za
obdelavo osebnih podatkov pooblaščeni z zakonom.
(2) Ne glede na prejšnji odstavek upravljavec osebnih
podatkov podatke o umrlem posamezniku posreduje osebi, ki je po zakonu, ki
ureja dedovanje, njegov zakoniti dedič prvega ali drugega dednega reda, če za
uporabo osebnih podatkov izkaže pravni interes, umrli posameznik pa ni pisno
prepovedal posredovanja teh osebnih podatkov.
(3) Če zakon ne določa drugače, lahko upravljavec osebnih
podatkov podatke iz prejšnjega odstavka posreduje tudi katerikoli drugi osebi,
ki namerava te podatke uporabljati za zgodovinsko, statistično ali
znanstveno-raziskovalne namene, če umrli posameznik ni pisno prepovedal
posredovanja teh osebnih podatkov.
(4) Če umrli posameznik ni podal prepovedi iz prejšnjega
odstavka, lahko osebe, ki so po zakonu, ki ureja dedovanje, njegovi zakoniti
dediči prvega ali drugega dednega reda, pisno prepovejo posredovanje njegovih
podatkov, če zakon ne določa drugače.
3. poglavje
Zavarovanje osebnih podatkov
Vsebina
24. člen
(1) Zavarovanje osebnih podatkov obsega organizacijske,
tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni
podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov,
njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da
se:
1.
varujejo prostori, oprema in sistemsko programska oprema, vključno z
vhodno-izhodnimi enotami;
2.
varuje aplikativna programska oprema, s katero se obdelujejo osebni
podatki;
3.
preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu,
vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
4.
zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali
anonimiziranja osebnih podatkov;
5.
omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki
vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je
to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice
posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.
(2) V primeru obdelave osebnih podatkov, ki so dostopni preko
telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in
aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v
zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo
biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih
osebnih podatkov, ki se obdelujejo.
(4) Funkcionarji, zaposleni in drugi posamezniki, ki
opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni
varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju
njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov
jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog
ali opravljanja storitev pogodbene obdelave.
Dolžnost zavarovanja
25. člen
(1) Upravljavci osebnih podatkov in pogodbeni obdelovalci so
dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena tega
zakona.
(2) Upravljavci osebnih podatkov v svojih aktih predpišejo
postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so
odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave
njihovega dela obdelujejo določene osebne podatke.
4. poglavje
Obveščanje o zbirkah osebnih podatkov
Katalog zbirke osebnih podatkov
26. člen
(1) Upravljavec osebnih podatkov za vsako zbirko osebnih
podatkov vzpostavi katalog zbirke osebnih podatkov, ki vsebuje:
1.
naziv zbirke osebnih podatkov;
2.
podatke o upravljavcu osebnih podatkov (za fizično osebo: osebno ime,
naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča,
za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko;
za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca
osebnih podatkov in matično številko);
3.
pravno podlago za obdelavo osebnih podatkov;
4.
kategorije posameznikov, na katere se nanašajo osebni podatki;
5.
vrste osebnih podatkov v zbirki osebnih podatkov;
6.
namen obdelave;
7.
rok hrambe osebnih podatkov;
8.
omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih
podatkov in pravno podlago omejitev;
9.
uporabnike ali kategorije uporabnikov osebnih podatkov, vsebovanih v
zbirki osebnih podatkov;
10.
dejstvo, ali se osebni podatki iznašajo v tretjo državo, kam, komu in
pravno podlago iznosa;
11.
splošen opis zavarovanja osebnih podatkov;
12.
podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter
javnih knjig;
13.
podatke o zastopniku iz tretjega odstavka 5. člena tega zakona (za
fizično osebo: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega
ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo,
sedež in matično številko; za pravno osebo: naziv oziroma firmo in naslov
oziroma sedež upravljavca osebnih podatkov in matično številko).
(2) Upravljavec osebnih podatkov mora skrbeti za točnost in
ažurnost vsebine kataloga.
Obveščanje nadzornega organa
27. člen
(1) Upravljavec osebnih podatkov posreduje podatke iz 1., 2.,
4., 5., 6., 9., 10., 11., 12. in 13. točke prvega odstavka 26. člena tega
zakona Državnemu nadzornemu organu za varstvo osebnih podatkov najmanj 15 dni
pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih
podatkov.
(2) Upravljavec osebnih podatkov posreduje Državnemu
nadzornemu organu za varstvo osebnih podatkov spremembe podatkov iz prejšnjega
odstavka najkasneje v osmih dneh od dneva spremembe.
(3) (črtan).
Register
28. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov vodi
in vzdržuje register zbirk osebnih podatkov, ki vsebuje podatke iz 27. člena
tega zakona, na način, določen z metodologijo njegovega vodenja.
(2) Register se vodi s sredstvi informacijske tehnologije in
se objavi na spletni strani Državnega nadzornega organa za varstvo osebnih
podatkov (v nadaljnjem besedilu: spletna stran).
(3) Pravilnik o metodologiji iz prvega odstavka tega člena
določi minister, pristojen za pravosodje, na predlog glavne državne nadzornice
oziroma glavnega državnega nadzornika za varstvo osebnih podatkov (v nadaljnjem
besedilu: glavni državni nadzornik).
III. DEL
PRAVICE POSAMEZNIKA
Vpogled v register
29. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov mora
vsakomur dovoliti vpogled v register zbirk osebnih podatkov in prepis podatkov.
(2) Vpogled in prepis podatkov se mora dovoliti in omogočiti
praviloma istega dne, najkasneje pa v osmih dneh, sicer se šteje, da je zahteva
zavrnjena.
Pravica posameznika do seznanitve
30. člen
(1) Upravljavec osebnih podatkov mora posamezniku na njegovo
zahtevo:
1.
omogočiti vpogled v katalog zbirke osebnih podatkov;
2.
potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu
omogočiti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov
in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje;
3.
posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih
podatkov in se nanašajo nanj;
4.
posredovati seznam uporabnikov, katerim so bili posredovani osebni
podatki, kdaj, na kakšni podlagi in za kakšen namen;
5.
dati informacijo o virih, na katerih temeljijo zapisi, ki jih o
posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;
6.
dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se
obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;
7.
pojasniti tehnične oziroma logično-tehnične postopke odločanja, če
izvaja avtomatizirano odločanje z obdelavo osebnih podatkov posameznika.
(2) Izpis iz 3. točke prejšnjega odstavka ne more nadomestiti
listine ali potrdila po predpisih o upravnem ali drugem postopku, kar se označi
na izpisu.
Postopek seznanitve
31. člen
(1) Zahteva iz 30. člena tega zakona se vloži pisno ali ustno
na zapisnik pri upravljavcu osebnih podatkov. Zahteva se lahko vloži enkrat na
tri mesece, glede obdelave občutljivih osebnih podatkov in osebnih podatkov po
določbah 2. poglavja VI. dela tega zakona pa enkrat na mesec. Kadar je to
potrebno za zagotavljanje poštene, zakonite ali sorazmerne obdelave osebnih
podatkov, zlasti kadar se osebni podatki posameznika v zbirki osebnih podatkov
pogosto ažurirajo ali posredujejo ali bi se lahko pogosto ažurirali ali
posredovali uporabnikom osebnih podatkov, mora upravljavec osebnih podatkov
posamezniku omogočiti, da vloži zahtevo tudi v krajšem ustreznem roku, ki ni
krajši od petih dni od dneva seznanitve z osebnimi podatki, ki se nanašajo nanj
ali zavrnitve te seznanitve.
(2) Upravljavec osebnih podatkov mora posamezniku omogočiti
vpogled, prepis, kopiranje in potrdilo po 1. in 2. točki prvega odstavka 30.
člena tega zakona praviloma istega dne, ko je prejel zahtevo, najpozneje pa v
15 dneh, ali pa ga v 15 dneh pisno obvestiti o razlogih, zaradi katerih
vpogleda, prepisa, kopiranja ali izdaje potrdila ne bo omogočil.
(3) Izpis iz 3. točke, seznam iz 4. točke, informacije iz 5.
in 6. točke ter pojasnilo iz 7. točke prvega odstavka 30. člena tega zakona
mora upravljavec osebnih podatkov posredovati posamezniku v 30 dneh od dneva,
ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o razlogih, zaradi
katerih mu izpisa, seznama, informacij ali pojasnila ne bo posredoval.
(4) Če upravljavec ne ravna v skladu z drugim in tretjim
odstavkom tega člena, se šteje, da je zahteva zavrnjena.
(5) Stroške v zvezi z zahtevo in vpogledom iz tega člena
krije upravljavec osebnih podatkov.
(6) Za prepis, kopiranje in pisno potrdilo po 2. točki ter za
izpis iz 3. točke, seznam iz 4. točke, informacije iz 5. in 6. točke ter
pojasnilo iz 7. točke prvega odstavka 30. člena tega zakona lahko upravljavec
osebnih podatkov posamezniku zaračunava zgolj materialne stroške po vnaprej
določenem ceniku, s tem, da so ustno potrdilo po 2. točki, ustna informacija po
5. točki, ustne informacije po 6. točki in ustno pojasnilo po 7. točki
brezplačne. Če posameznik kljub pridobitvi ustnih potrdil, informacij ali
pojasnil po 2., 5., 6. in 7. točki prvega odstavka 30. člena tega zakona
zahteva potrdilo, informacijo ali pojasnilo v pisni obliki, mu mora upravljavec
osebnih podatkov to zagotoviti.
(7) Minister, pristojen za pravosodje, na podlagi predloga
Informacijskega pooblaščenca s pravilnikom predpiše cenik zaračunavanja
materialnih stroškov iz prejšnjega odstavka in ga objavi v Uradnem listu
Republike Slovenije.
Pravica do dopolnitve, popravka, blokiranja, izbrisa in
ugovora
32. člen
(1) Upravljavec osebnih podatkov mora na zahtevo posameznika,
na katerega se nanašajo osebni podatki, dopolniti, popraviti, blokirati ali
izbrisati osebne podatke, za katere posameznik dokaže, da so nepopolni, netočni
ali neažurni ali da so bili zbrani ali obdelani v nasprotju z zakonom.
(2) Upravljavec osebnih podatkov mora na zahtevo posameznika
obvestiti vse uporabnike osebnih podatkov in pogodbene obdelovalce, katerim je
posredoval osebne podatke posameznika, preden so bili izvedeni ukrepi iz
prejšnjega odstavka, o njihovi dopolnitvi, popravku, blokiranju ali izbrisu po
prejšnjem odstavku. Izjemoma mu tega ni potrebno storiti, če bi to povzročilo
velike stroške, nesorazmerno velik napor ali zahtevalo veliko časa.
(3) Posameznik, katerega osebni podatki se obdelujejo v
skladu s četrtim odstavkom 9. člena ali tretjim odstavkom 10. člena tega
zakona, ima kadarkoli z ugovorom pravico zahtevati prenehanje njihove obdelave.
Upravljavec ugovoru ugodi, če posameznik dokaže, da niso izpolnjeni pogoji za
obdelavo po četrtem odstavku 9. člena oziroma po tretjem odstavku 10. člena
tega zakona. V tem primeru se njegovih osebnih podatkov ne sme več obdelovati.
(4) Če upravljavec ne ugodi ugovoru iz prejšnjega odstavka,
lahko posameznik, ki je vložil ugovor, zahteva, da o obdelavi v skladu s
četrtim odstavkom 9. člena oziroma tretjim odstavkom 10. člena tega zakona
odloči Državni nadzorni organ za varstvo osebnih podatkov. Posameznik lahko
vloži zahtevo v sedmih dneh od vročitve odločitve o ugovoru.
(5) Državni nadzorni organ za varstvo osebnih podatkov odloči
o zahtevi iz prejšnjega odstavka v dveh mesecih od prejema zahteve. Vložena
zahteva zadrži obdelavo osebnih podatkov posameznika, glede katerih je vložil
zahtevo.
(6) Stroške vseh dejanj upravljavca osebnih podatkov iz
prejšnjih odstavkov krije upravljavec.
Postopek dopolnitve, popravka, blokiranja, izbrisa in
ugovora
33. člen
(1) Zahteva ali ugovor iz 32. člena tega zakona se vloži
pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov.
(2) Dopolnitev, popravo, blokiranje ali izbris osebnih podatkov
mora upravljavec osebnih podatkov opraviti v 15 dneh od dneva, ko je prejel
zahtevo in o tem obvestiti vlagatelja zahteve ali ga v istem roku obvestiti o
razlogih, zaradi katerih tega ne bo storil. V istem roku mora odločiti o
ugovoru.
(3) Če upravljavec osebnih podatkov ne ravna po prejšnjem
odstavku, se šteje, da je zahteva zavrnjena.
(4) Če upravljavec osebnih podatkov sam ugotovi, da so osebni
podatki nepopolni, netočni ali neažurni, jih dopolni ali popravi in o tem
obvesti posameznika, če zakon ne določa drugače.
(5) Stroške v zvezi z dopolnitvijo, popravo in izbrisom
osebnih podatkov, obvestilom ter odločitvijo o ugovoru krije upravljavec
osebnih podatkov.
Sodno varstvo pravic posameznika
34. člen
(1) Posameznik, ki ugotovi, da so kršene njegove pravice,
določene s tem zakonom, lahko zahteva sodno varstvo ves čas, dokler kršitev
traja.
(2) Če je kršitev iz prejšnjega odstavka prenehala, lahko
posameznik vloži tožbo za ugotovitev, da je kršitev obstajala, če mu v zvezi s
kršitvijo ni zagotovljeno drugo sodno varstvo.
(3) V postopku odloča pristojno sodišče po določbah zakona,
ki ureja upravni spor, kolikor ta zakon ne določa drugače.
(4) V postopku je javnost izključena, če sodišče na predlog
posameznika iz utemeljenih razlogov ne odloči drugače.
(5) Postopek je nujen in prednosten.
Začasna odredba
35. člen
V tožbi, vloženi zaradi kršitev pravic iz 32. člena tega
zakona, lahko posameznik zahteva od sodišča, da do pravnomočne odločitve v
upravnem sporu naloži upravljavcu osebnih podatkov, da prepreči vsakršno
obdelavo spornih osebnih podatkov, če bi se z njihovo obdelavo prizadela
posamezniku, na katerega se nanašajo, težko popravljiva škoda, odložitev
obdelave pa ne nasprotuje javni koristi in tudi ni nevarnosti, da bi nasprotni
stranki nastala večja nepopravljiva škoda.
Omejitev pravic posameznika
36. člen
(1) Pravice posameznika iz tretjega in četrtega odstavka 19.
člena, 30. in 32. člena tega zakona je mogoče z zakonom izjemoma omejiti iz
razlogov varstva suverenosti in obrambe države, varstva nacionalne varnosti in
ustavne ureditve države, varnostnih, političnih in gospodarskih interesov
države, izvrševanja pristojnosti policije, preprečevanja, razkrivanja,
odkrivanja, dokazovanja in pregona kaznivih dejanj in prekrškov, odkrivanja in
kaznovanja kršitev etičnih norm za določene poklice, iz monetarnih,
proračunskih ali davčnih razlogov, zaradi nadzora nad policijo in varstva
posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin
drugih.
(2) Omejitve iz prejšnjega odstavka se lahko določijo samo v
obsegu, ki je nujen za dosego namena, zaradi katerega se določa omejitev.
IV. DEL
INSTITUCIONALNO VARSTVO OSEBNIH PODATKOV
1. poglavje
Nadzorni organ za varstvo osebnih podatkov
Nadzorni organ
37. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov (v
nadaljnjem besedilu: državni nadzorni organ) ima položaj nadzornega organa za
varstvo osebnih podatkov.
(2) Državni nadzorni organ opravlja inšpekcijski nadzor nad
izvajanjem določb tega zakona in druge naloge po tem zakonu in drugih
predpisih, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos
osebnih podatkov iz Republike Slovenije. Državni nadzorni organ opravlja tudi
druge naloge v skladu z zakonom.
(3) Državni nadzorni organ zagotavlja enotno uresničevanje ukrepov
na področju varstva osebnih podatkov.
Položaj in organizacija državnega nadzornega organa
38. člen
(prenehal
veljati)
Sredstva za delo državnega nadzornega organa
39. člen
(prenehal
veljati)
Imenovanje glavnega državnega nadzornika
40. člen
(prenehal
veljati)
Razrešitev glavnega državnega nadzornika
41. člen
(prenehal
veljati)
Nadomeščanje glavnega državnega nadzornika
42. člen
(prenehal
veljati)
Nadzornik
43. člen
(prenehal
veljati)
Samostojnost nadzornikov
44. člen
(prenehal
veljati)
Zaposlitve in dodelitve v državni nadzorni organ
45. člen
(prenehal
veljati)
2. poglavje
Naloge državnega nadzornega organa
Poročila državnega nadzornega organa
46. člen
(prenehal
veljati)
Sodelovanje z drugimi organi
47. člen
Državni nadzorni organ pri svojem delu sodeluje z državnimi
organi, pristojnimi organi Evropske unije za varstvo posameznikov pri obdelavi
osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za
varstvo osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s
področja varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in
organi glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov.
Pristojnosti glede predpisov
48. člen
(1) Državni nadzorni organ daje predhodna mnenja
ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim
državnim organom ter nosilcem javnih pooblastil o usklajenosti določb predlogov
zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne
podatke.
(2) (prenehal
veljati).
Javnost dela
49. člen
(1) Državni nadzorni organ lahko:
1.
izdaja notranje glasilo ter strokovno literaturo;
2.
na spletni strani ali na drug primeren način objavlja predhodna mnenja
iz prvega odstavka 48. člena tega zakona, potem ko je bil zakon oziroma drug
predpis sprejet ter objavljen v Uradnem listu Republike Slovenije, v glasilu
samoupravne lokalne skupnosti ali objavljen na drug zakonit način;
3.
na spletni strani oziroma na drug primeren način objavlja zahteve iz
drugega odstavka 48. člena tega zakona, potem ko jih je ustavno sodišče
prejelo;
4.
na spletni strani oziroma na drug primeren način objavlja odločbe in
sklepe ustavnega sodišča o zahtevah iz drugega odstavka 48. člena tega zakona;
5.
na spletni strani oziroma na drug primeren način objavlja odločbe in
sklepe sodišč s splošno pristojnostjo in upravnega sodišča, ki se nanašajo na
varstvo osebnih podatkov, tako da iz njih ni možno razbrati osebnih podatkov
strank, oškodovancev, prič ali izvedencev;
6.
daje neobvezna mnenja o skladnosti kodeksov poklicne etike, splošnih
pogojih poslovanja oziroma njihovih predlogov s predpisi s področja varstva
osebnih podatkov;
7.
daje neobvezna mnenja, pojasnila in stališča o vprašanjih s področja
varstva osebnih podatkov in jih objavlja na spletni strani ali na drug primeren
način;
8.
pripravlja in daje neobvezna navodila in priporočila glede varstva
osebnih podatkov na posameznem področju;
9.
daje izjave za javnost o opravljenih inšpekcijskih nadzorih v posamičnih
zadevah;
10.
izvaja konference za medije v zvezi z delom državnega nadzornega organa
ter prepise izjav ali posnetke izjav s konferenc za medije objavi na spletni
strani;
11.
na spletni strani objavlja druga pomembna obvestila.
(2) Državni nadzorni organ lahko za opravljanje pristojnosti
iz 6., 7. in 8. točke prejšnjega odstavka pozove k sodelovanju tudi
predstavnike društev in drugih nevladnih organizacij s področja varstva osebnih
podatkov, zasebnosti ter potrošnikov.
3. poglavje
Inšpekcijski nadzor
Uporaba zakona, ki ureja inšpekcijski nadzor
50. člen
Za opravljanje inšpekcijskega nadzora po tem zakonu se
uporabljajo določbe zakona, ki ureja inšpekcijski nadzor, kolikor ta zakon ne
določa drugače.
Obseg inšpekcijskega nadzora
51. člen
V okviru inšpekcijskega nadzora državni nadzorni organ:
1.
nadzoruje zakonitost obdelave osebnih podatkov;
2.
nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter
izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov po 24. in 25.
členu tega zakona;
3.
nadzoruje izvajanje določb zakona, ki urejajo katalog zbirke osebnih
podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih
podatkov posameznim uporabnikom osebnih podatkov;
4.
nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov v tretjo
državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.
Neposredno opravljanje inšpekcijskega nadzora
52. člen
(1) Inšpekcijski nadzor neposredno opravlja nadzornik v mejah
pristojnosti državnega nadzornega organa.
(2) Nadzornik izkazuje pooblastilo za opravljanje nalog
inšpekcijskega nadzora s službeno izkaznico, ki vsebuje fotografijo nadzornika,
njegovo osebno ime, strokovni ali znanstveni naslov ter ostale potrebne
podatke. Obliko in vsebino službene izkaznice podrobneje predpiše minister,
pristojen za pravosodje.
Pristojnosti nadzornika
53. člen
Pri opravljanju inšpekcijskega nadzora je nadzornik
upravičen:
1.
pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov,
ne glede na njeno zaupnost ali tajnost, ter iznos osebnih podatkov v tretjo
državo in posredovanje tujim uporabnikom osebnih podatkov;
2.
pregledovati vsebino zbirk osebnih podatkov ne glede na njihovo zaupnost
ali tajnost in katalogov zbirk osebnih podatkov;
3.
pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih
podatkov;
4.
pregledovati prostore, v katerih se obdelujejo osebni podatki,
računalniško in drugo opremo ter tehnično dokumentacijo;
5.
preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter
njihovo izvajanje;
6.
izvajati druge pristojnosti, določene z zakonom, ki ureja inšpekcijski
nadzor, ter zakonom, ki ureja splošni upravni postopek;
7.
opravljati druge zadeve, določene z zakonom.
Inšpekcijski ukrepi
54. člen
(1) Nadzornik, ki pri opravljanju inšpekcijskega nadzora
ugotovi kršitev tega zakona ali drugega zakona ali predpisa, ki ureja varstvo
osebnih podatkov, ima pravico takoj:
1.
odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi,
odpravijo na način in v roku, ki ga sam določi;
2.
odrediti prepoved obdelave osebnih podatkov osebam javnega ali zasebnega
sektorja, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za
zavarovanje osebnih podatkov;
3.
odrediti prepoved obdelave osebnih podatkov ter anonimiziranje,
blokiranje, brisanje ali uničenje osebnih podatkov, kadar ugotovi, da se osebni
podatki obdelujejo v nasprotju z določbami zakona;
4.
odrediti prepoved iznosa osebnih podatkov v tretjo državo ali njihovega
posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo
v nasprotju z določbami zakona ali obvezujoče mednarodne pogodbe;
5.
odrediti druge ukrepe, določene z zakonom, ki ureja inšpekcijski nadzor,
ter zakonom, ki ureja splošni upravni postopek.
(2) Ukrepov iz prejšnjega odstavka ni mogoče odrediti zoper
osebo, ki v elektronskem komunikacijskem omrežju opravlja storitve prenosa
podatkov, vključno z začasnim shranjevanjem podatkov in drugimi delovanji v
zvezi s podatki, ki so pretežno ali v celoti v funkciji opravljanja ali
olajšanja prenosa podatkov po omrežjih, če ta oseba sama nima interesa,
povezanega z vsebino teh podatkov, in ne gre za osebo, ki lahko sama ali skupaj
z omejenim krogom z njo povezanih oseb učinkovito nadzoruje dostop do teh
podatkov.
(3) Če nadzornik pri inšpekcijskem nadzoru ugotovi, da
obstaja sum storitve kaznivega dejanja ali prekrška poda kazensko ovadbo
oziroma izvede postopke v skladu zakonom, ki ureja prekrške.
Sodno varstvo
55. člen
Zoper odločbo ali sklep nadzornika iz prvega odstavka 54.
člena tega zakona ni pritožbe, dovoljen pa je upravni spor.
Obveščanje prijavitelja
56. člen
Nadzornik je dolžan prijavitelja obvestiti o vseh
pomembnejših ugotovitvah in dejanjih v postopku inšpekcijskega nadzora.
Pristojnosti državnega nadzornega organa glede dostopa
do informacij javnega značaja
57. člen
(prenehal
veljati)
Varovanje tajnosti
58. člen
(1) Nadzornik je dolžan varovati tajnost osebnih podatkov, s
katerimi se seznani pri opravljanju inšpekcijskega nadzora, tudi po prenehanju
opravljanja službe nadzornika.
(2) Dolžnost iz prejšnjega odstavka velja tudi za vse javne
uslužbence v državnem nadzornem organu.
4. poglavje
Sodelovanje in zunanji nadzor na področju varstva osebnih podatkov
Varuh človekovih pravic
59. člen
(1) Varuhinja oziroma varuh človekovih pravic (v nadaljnjem
besedilu: varuh) opravlja svoje naloge na področju varstva osebnih podatkov v
razmerju do državnih organov, organov samoupravnih lokalnih skupnosti in
nosilcev javnih pooblastil v skladu z zakonom, ki ureja varuha človekovih
pravic.
(2) Varstvo osebnih podatkov je posebno področje varuha, za
katerega je zadolžen eden od namestnikov varuha.
Letno poročilo
60. člen
Varuh v svojem letnem poročilu poroča državnemu zboru o
ugotovitvah, predlogih in priporočilih ter o stanju na področju varstva osebnih
podatkov.
Pristojnost državnega zbora
61. člen
Stanje na področju varstva osebnih podatkov in izvrševanje
določb tega zakona spremlja pristojno delovno telo državnega zbora.
V. DEL
IZNOS OSEBNIH PODATKOV
1. poglavje
Iznos osebnih podatkov v države članice Evropske unije in Evropskega
gospodarskega prostora
Prost pretok osebnih podatkov
62. člen
Kadar se posredujejo osebni podatki upravljavcu osebnih
podatkov, pogodbenemu obdelovalcu ali uporabniku osebnih podatkov, ki je
ustanovljen, ima sedež ali je registriran v državi članici Evropske unije ali
Evropskega gospodarskega prostora ali zanj kako drugače velja njen pravni red,
se ne uporabljajo določbe tega zakona o iznosu osebnih podatkov v tretje države.
2. poglavje
Iznos osebnih podatkov v tretje države
Splošna določba
63. člen
(1) Posredovanje osebnih podatkov, ki se obdelujejo ali se
bodo obdelovali šele po opravljenem posredovanju v tretjo državo, je dopustno v
skladu z določbami tega zakona in pod pogojem, da državni nadzorni organ izda
odločbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva
osebnih podatkov.
(2) Odločba iz prejšnjega odstavka ni potrebna, če je tretja
država na seznamu tistih držav iz 66. člena tega zakona, za katere je
ugotovljeno, da v celoti zagotavljajo ustrezno raven varstva osebnih podatkov.
(3) Odločba iz prvega odstavka tega člena ni potrebna, če je
tretja država na seznamu tistih držav iz 66. člena tega zakona, za katere je
ugotovljeno, da delno zagotavljajo ustrezno raven varstva osebnih podatkov, če
se posredujejo tisti osebni podatki in za tiste namene, za katere je
ugotovljena ustrezna raven varstva.
Postopek ugotavljanja ustrezne ravni varstva osebnih
podatkov
64. člen
(1) Državni nadzorni organ uvede postopek ugotavljanja
ustrezne ravni varstva osebnih podatkov v tretji državi na podlagi ugotovitev
inšpekcijskega nadzora ali na predlog fizične ali pravne osebe, ki lahko izkaže
pravni interes za izdajo odločbe.
(2) Na zahtevo državnega nadzornega organa pridobi
ministrstvo, pristojno za zunanje zadeve, od pristojnega organa tretje države
potrebne informacije, ali ta država zagotavlja ustrezno raven varstva osebnih
podatkov.
(3) Državni nadzorni organ lahko pridobi dodatne informacije
o ustrezni ravni varstva osebnih podatkov v tretji državi neposredno od drugih
nadzornih organov ter od za to pristojnega organa Evropske unije.
(4) Državni nadzorni organ izda odločbo v dveh mesecih od
prejema popolnih informacij iz drugega in tretjega odstavka tega člena. Odločbo
lahko izda tudi samo o določeni vrsti osebnih podatkov oziroma njihovi obdelavi
za določen namen.
(5) Državni nadzorni organ je dolžan najpozneje v 15 dneh od
izdaje odločbe o tem, da tretja država ne zagotavlja ustrezne ravni varstva
osebnih podatkov, pisno obvestiti pristojni organ Evropske unije.
Sodno varstvo
65. člen
Zoper odločbo iz četrtega odstavka 64. člena tega zakona ni
pritožbe, dovoljen pa je upravni spor.
Seznam
66. člen
(1) Državni nadzorni organ vodi seznam tretjih držav, za katere
je ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva
osebnih podatkov, ali da te nimajo zagotovljene. Če je ugotovljeno, da tretja
država le delno zagotavlja ustrezno raven varstva osebnih podatkov, se v
seznamu navede tudi, v katerem delu je ustrezna raven zagotovljena.
(2) Glavni državni nadzornik objavi seznam iz prejšnjega
odstavka v Uradnem listu Republike Slovenije.
Vezanost državnega nadzornega organa pri odločanju
67. člen
Državni nadzorni organ je pri odločanju vezan na odločitve
pristojnega organa Evropske unije glede ocene, ali tretje države zagotavljajo
ustrezno raven varstva osebnih podatkov.
Odločanje o iznosu osebnih podatkov
68. člen
(1) Pri odločanju o ustrezni ravni varstva osebnih podatkov v
tretji državi je državni nadzorni organ dolžan ugotoviti vse okoliščine v zvezi
z iznosom osebnih podatkov. Predvsem mora upoštevati vrsto osebnih podatkov,
namen in trajanje predlagane obdelave, pravno ureditev v državi izvora in v
državi prejemnici, vključno z ureditvijo varstva osebnih podatkov tujih
državljanov, ter ukrepe zavarovanja osebnih podatkov, ki se v njih uporabljajo.
(2) Pri odločanju iz prejšnjega odstavka državni nadzorni
organ upošteva zlasti:
1.
ali se izneseni osebni podatki uporabljajo le za namen, za katerega so
bili izneseni, ali se namen lahko spremeni le na podlagi dovoljenja upravljavca
osebnih podatkov, ki jih je posredoval, ali na podlagi osebne privolitve
posameznika, na katerega se osebni podatki nanašajo;
2.
ali ima posameznik, na katerega se nanašajo osebni podatki, možnost
izvedeti, za kakšen namen so se njegovi osebni podatki uporabljali, komu so
bili posredovani ter možnost popravka ali izbrisa netočnih ali neažurnih
osebnih podatkov, razen če mu to zaradi tajnosti postopka onemogočajo obvezujoče
mednarodne pogodbe;
3.
ali tuji upravljavec izvaja ustrezne organizacijske in tehnične postopke
ter ukrepe, s katerimi se zavarujejo osebni podatki;
4.
ali je določena kontaktna oseba, ki je pooblaščena podati informacije
posamezniku, na katerega se nanašajo osebni podatki, ali državnemu nadzornemu
organu o obdelavi osebnih podatkov, ki so bili izneseni;
5.
ali lahko tuj uporabnik iznese osebne podatke le pod pogojem, če je pri
drugem tujem uporabniku, ki mu bodo posredovani osebni podatki, zagotovljeno
ustrezno varstvo osebnih podatkov tudi za tuje državljane;
6.
ali je zagotovljeno učinkovito pravno varstvo posameznikom, katerih
osebni podatki so bili izneseni.
Pravilnik
69. člen
Na predlog glavnega državnega nadzornika izda minister,
pristojen za pravosodje, s soglasjem ministra, pristojnega za zunanje zadeve,
pravilnik, s katerim podrobneje določi, katere informacije se štejejo za
potrebne pri odločanju državnega nadzornega organa o iznosu osebnih podatkov v
tretje države.
Posebne določbe
70. člen
(1) Ne glede na prvi odstavek 63. člena tega zakona se lahko
iznesejo osebni podatki in posredujejo v tretjo državo, če:
1.
tako določa drug zakon ali obvezujoča mednarodna pogodba;
2.
je podana osebna privolitev posameznika, na katerega se nanašajo osebni
podatki in je seznanjen s posledicami takšnega posredovanja;
3.
je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se
nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev
predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na
katerega se nanašajo osebni podatki;
4.
je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist
posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem
osebnih podatkov in tretjo stranko,
5.
je iznos potreben, da se pred hujšim ogrožanjem zavaruje življenje ali
telo posameznika, na katerega se nanašajo osebni podatki;
6.
se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so po
zakonu namenjene zagotavljanju informacij javnosti in so na voljo za vpogled
javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes, da so
v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon;
7.
upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja
osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede
možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v
splošnih pogojih poslovanja.
(2) V primeru iznosa osebnih podatkov po 7. točki prejšnjega
odstavka mora oseba, ki namerava iznesti osebne podatke, pridobiti posebno
odločbo državnega nadzornega organa, ki dovoljuje iznos osebnih podatkov.
(3) Oseba sme iznesti osebne podatke šele po prejemu odločbe
iz prejšnjega odstavka, s katero je iznos dovoljen.
(4) Zoper odločbo iz drugega odstavka tega člena ni pritožbe,
dovoljen pa je upravni spor. Postopek v upravnem sporu je nujen in prednosten.
(5) Državni nadzorni organ je dolžan najpozneje v 15 dneh od
izdaje odločbe iz drugega odstavka tega člena to posredovati pristojnemu organu
Evropske unije in državam članicam Evropske unije.
(6) Če pristojni organ Evropske unije po prejemu odločbe
sprejme odločitev, da je iznos na podlagi odločbe iz drugega odstavka tega
člena nedopusten, je državni nadzorni organ na to odločitev vezan in je dolžan
v petih dneh po prejemu te odločitve izdati osebi iz drugega odstavka tega
člena novo odločbo, s katero ji prepove nadaljnji iznos osebnih podatkov.
Evidentiranje iznosa
71. člen
Iznos osebnih podatkov v tretjo državo se evidentira skladno
z določbami 10. točke prvega odstavka 26. člena tega zakona.
VI. DEL
PODROČNE UREDITVE
1. poglavje
Neposredno trženje
Pravice in dolžnosti upravljavca
72. člen
(1) Upravljavec osebnih podatkov lahko uporablja osebne
podatke posameznikov, ki jih je zbral iz javno dostopnih virov ali v okviru
zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev,
zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev,
telefonskih klicev, elektronske pošte ali drugih telekomunikacijskih sredstev
(v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja,
če drug zakon ne določa drugače.
(2) Za namene neposrednega trženja lahko upravljavec osebnih
podatkov uporablja le naslednje osebne podatke, ki jih je zbral v skladu s
prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča,
telefonsko številko, naslov elektronske pošte ter številko telefaksa. Na
podlagi osebne privolitve posameznika lahko upravljavec osebnih podatkov
obdeluje tudi druge osebne podatke, občutljive osebne podatke pa le, če ima za
to osebno privolitev posameznika, ki je izrecna in praviloma pisna.
(3) Upravljavec osebnih podatkov mora neposredno trženje
izvajati tako, da posameznika ob izvajanju neposrednega trženja obvesti o
njegovih pravicah iz 73. člena tega zakona.
(4) Če namerava upravljavec osebnih podatkov posredovati
osebne podatke iz drugega odstavka tega člena drugim uporabnikom osebnih
podatkov za namene neposrednega trženja ali pogodbenim obdelovalcem, je dolžan
o tem obvestiti posameznika in pred posredovanjem osebnih podatkov pridobiti
njegovo pisno privolitev. Obvestilo posamezniku o nameravanem posredovanju
osebnih podatkov mora vsebovati informacijo, katere podatke namerava
posredovati, komu in za kakšen namen. Stroške obvestila krije upravljavec
osebnih podatkov.
Pravica posameznika
73. člen
(1) Posameznik lahko kadarkoli pisno ali na drug dogovorjen
način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha
uporabljati njegove osebne podatke za namen neposrednega trženja. Upravljavec
osebnih podatkov je dolžan v 15 dneh ustrezno preprečiti uporabo osebnih
podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno
ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval.
(2) Stroške vseh dejanj upravljavca osebnih podatkov v zvezi
z zahtevo iz prejšnjega odstavka krije upravljavec.
2. poglavje
Videonadzor
Splošne določbe
74. člen
(1) Določbe tega poglavja se uporabljajo za izvajanje
videonadzora, če drug zakon ne določa drugače.
(2) Oseba javnega ali zasebnega sektorja, ki izvaja
videonadzor, mora o tem objaviti obvestilo. Obvestilo mora biti vidno in
razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim
izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor.
(3) Obvestilo iz prejšnjega odstavka mora vsebovati naslednje
informacije:
1.
da se izvaja videonadzor;
2.
naziv osebe javnega ali zasebnega sektorja, ki ga izvaja;
3.
telefonsko številko za pridobitev informacije, kje in koliko časa se
shranjujejo posnetki iz videonadzornega sistema.
(4) Šteje se, da je z obvestilom iz drugega odstavka tega
člena posameznik obveščen o obdelavi osebnih podatkov po 19. členu tega zakona.
(5) Videonadzorni sistem, s katerim se izvaja videonadzor,
mora biti zavarovan pred dostopom nepooblaščenih oseb.
Dostop v uradne službene oziroma poslovne prostore
75. člen
(1) Javni in zasebni sektor lahko izvajata videonadzor
dostopa v njihove uradne službene oziroma poslovne prostore, če je to potrebno
za varnost ljudi ali premoženja, zaradi zagotavljanja nadzora vstopa ali
izstopa v ali iz službenih oziroma poslovnih prostorov ali če zaradi narave
dela obstaja možnost ogrožanja zaposlenih. Odločitev sprejme pristojni
funkcionar, predstojnik, direktor ali drugi pristojni oziroma pooblaščeni posameznik
osebe javnega sektorja ali osebe zasebnega sektorja. V pisni odločitvi morajo
biti obrazloženi razlogi za uvedbo videonadzora. Uvedba videonadzora se lahko
določi tudi z zakonom ali s predpisom, sprejetim na njegovi podlagi.
(2) Videonadzor se lahko izvaja le na takšen način, da se ne
more izvajati niti snemanje notranjosti stanovanjskih stavb, ki nimajo vpliva
na dostop do njihovih prostorov, niti snemanje vhodov v stanovanja.
(3) O izvajanju videonadzora je potrebno pisno obvestiti vse
zaposlene v osebi javnega ali zasebnega sektorja, ki opravljajo delo v
nadzorovanem prostoru.
(4) Zbirka osebnih podatkov po tem členu vsebuje posnetek
posameznika (slika oziroma glas), datum in čas vstopa in izstopa iz prostora,
lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali
začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega
osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo
poleg ali s posnetkom videonadzornega sistema.
(5) Osebni podatki iz prejšnjega odstavka se lahko hranijo
največ eno leto po nastanku, nato se zbrišejo, če zakon ne določa drugače.
Večstanovanjske stavbe
76. člen
(1) Za uvedbo videonadzora v večstanovanjski stavbi je
potrebna pisna privolitev solastnikov, ki imajo v lasti več kot 70 odstotkov
solastniških deležev.
(2) Videonadzor se lahko v večstanovanjski stavbi uvede le,
kadar je to potrebno za varnost ljudi in premoženja.
(3) Z videonadzorom v večstanovanjski stavbi se lahko
nadzoruje le dostop do vhodov in izhodov večstanovanjskih stavb ter njihovi
skupni prostori. Prepovedano je izvajati videonadzor nad hišniškim stanovanjem
ter delavnico za hišnika.
(4) Prepovedano je omogočiti ali izvajati sprotno ali
naknadno pregledovanje posnetkov videonadzornega sistema preko interne kabelske
televizije, javne kabelske televizije, interneta ali s pomočjo drugega
telekomunikacijskega sredstva, ki lahko prenaša te posnetke.
(5) Prepovedano je z videonadzornim sistemom snemati vhode v
posamezna stanovanja.
Delovni prostori
77. člen
(1) Izvajanje videonadzora znotraj delovnih prostorov se
lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost
ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti,
tega namena pa ni možno doseči z milejšimi sredstvi.
(2) Videonadzor se lahko izvaja le glede tistih delov
prostorov, kjer je potrebno varovati interese iz prejšnjega odstavka.
(3) Prepovedano je izvajati videonadzor v delovnih prostorih
izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih.
(4) Zaposleni morajo biti pred začetkom izvajanja
videonadzora po tem členu vnaprej pisno obveščeni o njegovem izvajanju.
(5) Pred uvedbo videonadzora v osebi javnega ali zasebnega
sektorja se mora delodajalec posvetovati z reprezentativnim sindikatom pri
delodajalcu.
(6) Na področju obrambe države, obveščevalno-varnostne
dejavnosti države in varovanja tajnih podatkov se ne uporabljata četrti in peti
odstavek tega člena.
3. poglavje
Biometrija
Splošna določba
78. člen
Z obdelavo biometričnih značilnosti se ugotavljajo ali
primerjajo lastnosti posameznika, tako da se lahko izvrši njegova
identifikacija oziroma preveri njegova identiteta (v nadaljnjem besedilu:
biometrijski ukrepi) pod pogoji, ki jih določa ta zakon.
Biometrijski ukrepi v javnem sektorju
79. člen
(1) Biometrijske ukrepe v javnem sektorju se lahko določi le
z zakonom, če je to nujno potrebno za varnost ljudi ali premoženja ali za
varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno
doseči z milejšimi sredstvi.
(2) Ne glede na prejšnji odstavek se biometrijske ukrepe
lahko določi z zakonom, če gre za izpolnjevanje obveznosti iz obvezujoče
mednarodne pogodbe ali za identifikacijo posameznikov pri prehajanju državnih
meja.
Biometrijski ukrepi v zasebnem sektorju
80. člen
(1) Zasebni sektor lahko izvaja biometrijske ukrepe le, če so
nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali
za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko
izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni.
(2) Če izvajanje določenih biometrijskih ukrepov v zasebnem
sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava
izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu
nadzornemu organu opis nameravanih ukrepov in razloge za njihovo uvedbo.
(3) Državni nadzorni organ je po prejemu posredovanih
informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je
nameravana uvedba biometrijskih ukrepov v skladu s tem zakonom, predvsem s
pogoji iz prvega stavka prvega odstavka tega člena. Rok se lahko podaljša za
največ en mesec, če bi uvajanje teh ukrepov prizadelo več kot 20 zaposlenih v
osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu
zahteva sodelovanje v upravnem postopku.
(4) Upravljavec osebnih podatkov sme izvajati biometrijske
ukrepe po prejemu odločbe iz prejšnjega odstavka, s katero je izvajanje
biometrijskih ukrepov dovoljeno.
(5) Zoper odločbo državnega nadzornega organa iz tretjega
odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.
Biometrijski ukrepi v zvezi z zaposlenimi v javnem
sektorju
81. člen
Ne glede na določbe 79. člena tega zakona se v javnem
sektorju lahko uvedejo biometrijski ukrepi v zvezi z vstopom v stavbo ali dele
stavbe in evidentiranjem prisotnosti zaposlenih na delu, ki se izvedejo ob
smiselni uporabi drugega, tretjega in četrtega odstavka 80. člena tega zakona.
4. poglavje
Evidenca vstopov in izstopov iz prostorov
Evidenca
82. člen
(1) Oseba javnega ali zasebnega sektorja lahko za namene
varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih
prostorih od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora,
zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega
člena ter razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri
tudi z vpogledom v osebni dokument posameznika.
(2) V evidenci vstopov in izstopov se lahko o posamezniku
vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega
dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum,
ura in razlog vstopa ali izstopa v ali iz prostorov.
(3) Evidenca iz prejšnjega odstavka velja za uradno evidenco
v skladu z zakonom, ki ureja splošni upravni postopek, če je potrebno pridobiti
podatke z vidika koristi mladoletnika ali za izvrševanje pristojnosti policije
ter obveščevalno-varnostne dejavnosti.
(4) Osebni podatki iz evidence iz drugega odstavka tega člena
se lahko hranijo največ tri leta od vpisa, nato se zbrišejo ali na drug način
uničijo, če zakon ne določa drugače.
5. poglavje
Javne knjige in varstvo osebnih podatkov
Zakoniti namen javne knjige
83. člen
Osebni podatki iz javne knjige, urejene z zakonom, se lahko uporabljajo
le v skladu z namenom, za katerega so bili zbrani ali se obdelujejo, če je
zakoniti namen njihovega zbiranja ali obdelave določen ali določljiv.
6. poglavje
Povezovanje zbirk osebnih podatkov
Uradne evidence in javne knjige
84. člen
(1) Zbirke osebnih podatkov iz uradnih evidenc in javnih
knjig je dovoljeno povezovati, če tako določa zakon.
(2) Upravljavci ali upravljavec osebnih podatkov, ki povezuje
dve ali več zbirk osebnih podatkov, ki se vodijo za različne namene, so dolžni
o tem predhodno pisno obvestiti državni nadzorni organ.
(3) Če vsaj ena zbirka osebnih podatkov, ki naj bi se jo
povezalo, vsebuje občutljive podatke, ali če bi povezovanje imelo za posledico
razkritje občutljivih podatkov ali je za izvedbo povezovanja potrebna uporaba istega
povezovalnega znaka, povezovanje ni dovoljeno brez predhodnega dovoljenja
državnega nadzornega organa.
(4) Državni nadzorni organ dovoli povezavo iz prejšnjega
odstavka na podlagi pisne vloge upravljavca osebnih podatkov, če ugotovi, da
upravljavci osebnih podatkov zagotavljajo ustrezno zavarovanje osebnih
podatkov.
(5) Zoper odločbo iz prejšnjega odstavka ni pritožbe,
dovoljen pa je upravni spor.
Prepoved povezovanja
85. člen
Prepovedano je povezovati zbirke osebnih podatkov iz kazenske
evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov ter
povezovati zbirke osebnih podatkov iz kazenske evidence in prekrškovne
evidence.
Posebna določba
86. člen
V registru zbirk osebnih podatkov se podatki o povezanih
zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig vodijo posebej.
7. poglavje
Strokovni nadzor
Uporaba določb tega poglavja
87. člen
Če drug zakon ne določa drugače, se določbe tega poglavja
uporabljajo za obdelavo osebnih podatkov pri strokovnem nadzoru, ki je določen
z zakonom.
Splošne določbe
88. člen
(1) Oseba javnega sektorja, ki izvaja strokovni nadzor (v
nadaljnjem besedilu: izvajalec strokovnega nadzora), lahko obdeluje osebne
podatke, ki jih obdelujejo upravljavci osebnih podatkov, nad katerimi ima po
zakonu pristojnost izvajati strokovni nadzor.
(2) Izvajalec strokovnega nadzora ima pravico do vpogleda,
izpisa, prepisovanja ali kopiranja vseh osebnih podatkov iz prejšnjega
odstavka, pri njihovi obdelavi za namene strokovnega nadzora in izdelave
poročila ali ocene pa je dolžan varovati njihovo tajnost. V poročilu ali oceni
ob zaključku strokovnega nadzora lahko izvajalec strokovnega nadzora zapiše le
tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora.
(3) Stroške vpogleda, izpisa, prepisovanja ali kopiranja iz
prejšnjega odstavka krije upravljavec osebnih podatkov.
Strokovni nadzor in dodatna obdelava osebnih podatkov
89. člen
(1) Izvajalec strokovnega nadzora lahko pri opravljanju
strokovnega nadzora, pri katerem v skladu s prvim odstavkom 88. člena tega
zakona obdeluje osebne podatke, pisno obvesti posameznika, na katerega se
nanašajo osebni podatki, da izvaja strokovni nadzor in ga obvesti, da lahko
pisno ali ustno poda svoja stališča.
(2) Posameznik iz prejšnjega odstavka lahko posreduje izvajalcu
strokovnega nadzora za namene izvajanja strokovnega nadzora osebne podatke
drugega posameznika, ki bi lahko o zadevi, v kateri se izvaja strokovni nadzor,
kaj vedel. Če izvajalec strokovnega nadzora ugotovi, da je to potrebno, opravi
razgovor tudi z drugim posameznikom.
Strokovni nadzor in občutljivi osebni podatki
90. člen
Če se pri izvajanju strokovnega nadzora obdelujejo občutljivi
osebni podatki, izvajalec strokovnega nadzora o tem naredi uradni zaznamek ali
drug uradni zapis v spisu zadeve upravljavca osebnih podatkov.
VII. DEL
KAZENSKE DOLOČBE
Splošne kršitve določb tega zakona
91. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost:
1.
če obdeluje osebne podatke, ne da bi imel za to podlago v zakonu ali v
osebni privolitvi posameznika (8. člen);
2.
če posamezna opravila v zvezi z obdelavo osebnih podatkov zaupa drugi
osebi, ne da bi sklenil pogodbo v skladu z drugim odstavkom 11. člena;
3.
če obdeluje občutljive osebne podatke v nasprotju s 13. členom ali jih
ne zavaruje v skladu s 14. členom;
4.
če avtomatizirano obdeluje osebne podatke v nasprotju s 15. členom;
5.
če zbira osebne podatke za namene, ki niso določeni in zakoniti, ali če
jih nadalje obdeluje v nasprotju s 16. členom;
6.
če posreduje uporabniku osebnih podatkov osebne podatke v nasprotju z
drugim odstavkom 17. člena ali če ne uniči osebnih podatkov v skladu s tretjim
odstavkom 17. člena ali ne objavi rezultatov obdelave v skladu s četrtim odstavkom
17. člena;
7.
če ne obvesti posameznika o obdelavi osebnih podatkov v skladu z 19.
členom;
8.
če uporablja isti povezovalni znak v nasprotju z 20. členom:
9.
če ne zbriše, uniči, blokira ali anonimizira osebnih podatkov, potem ko
je bil izpolnjen namen obdelave v skladu z drugim odstavkom 21. člena;
10.
če ravna v nasprotju z 22. členom;
11.
če ne zagotovi, da katalog zbirke osebnih podatkov vsebuje podatke, ki
jih določa zakon (26. člen);
12.
če ne posreduje podatkov za potrebe registra zbirk osebnih podatkov (27.
člen);
13.
če ravna v nasprotju s prvim ali drugim odstavkom 30. člena ali če ravna
v nasprotju z drugim, tretjim ali petim odstavkom 31. člena;
14.
če ravna v nasprotju z 32. členom ali če ravna v nasprotju z drugim ali
petim odstavkom 33. člena;
15.
če v nasprotju s prvim odstavkom 63. člena ali v nasprotju s 70. členom
iznaša osebne podatke v tretjo državo.
(2) Z globo od 830 do 2.080 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 830 do 2.080 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o pogodbeni obdelavi
92. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost, če prekorači pooblastila, vsebovana v pogodbi iz drugega
odstavka 11. člena ali ne vrne osebnih podatkov v skladu s tretjim odstavkom
11. člena.
(2) Z globo od 830 do 2.080 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 830 do 2.080 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o zavarovanju osebnih podatkov
93. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost, če v skladu s tem zakonom obdeluje osebne podatke in ne
zagotovi zavarovanja osebnih podatkov (24. in 25. člen).
(2) Z globo od 830 do 1.250 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 830 do 1.250 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o neposrednem trženju
94. člen
(1) Z globo od 2.080 do 4.170 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost, če v skladu s tem zakonom obdeluje osebne podatke za namene
neposrednega trženja in ne ravna v skladu z 72. ali 73. členom.
(2) Z globo od 410 do 1.250 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev splošnih določb o videonadzoru
95. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost:
1.
če ne objavi obvestila na način iz drugega odstavka 74. člena;
2.
če obvestilo ne vsebuje informacij iz tretjega odstavka 74. člena;
3.
če ne zavaruje videonadzornega sistema, s katerim se izvaja videonadzor,
v nasprotju s petim odstavkom 74. člena.
(2) Z globo od 830 do 1.250 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 830 do 1.250 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o videonadzoru glede dostopa v uradne
službene oziroma poslovne prostore
96. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost:
1.
če izvaja videonadzor brez obrazložene pisne odločitve ali brez druge
pravne podlage iz prvega odstavka 75. člena;
2.
če izvaja videonadzor tako, da izvaja snemanje notranjosti stanovanjskih
stavb, ki nimajo vpliva na dostop do njihovih prostorov ali posnetke vhodov v
stanovanja (drugi odstavek 75. člena);
3.
če pisno ne obvesti zaposlenih (tretji odstavek 75. člena);
4.
če hrani osebne podatke v nasprotju s petim odstavkom 75. člena.
(2) Z globo od 830 do 1.250 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika,ki samostojno opravlja dejavnost.
(3) Z globo od 830 do 1.250 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o videonadzoru pri večstanovanjskih
stavbah
97. člen
(1) Z globo od 2.080 do 8.340 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost, ki izvaja videonadzor v nasprotju s 76. členom.
(2) Z globo od 410 do 1.250 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 830 do 1.250 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 410 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o videonadzoru v delovnih prostorih
98. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost, ki izvaja videonadzor v delovnih prostorih v nasprotju z
77. členom.
(2) Z globo od 1.250 do 2.080 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
(3) Z globo od 1.250 do 2.080 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 830 do 1.200 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o biometriji v javnem sektorju
99. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba javnega sektorja, ki izvaja biometrijske ukrepe v nasprotju s 79.
členom.
(2) Z globo od 1.250 do 2.080 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe javnega sektorja.
(3) Z globo od 1.250 do 2.080 eurov se kaznuje za prekršek iz
prvega odstavka tega člena tudi odgovorna oseba državnega organa ali organa
samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
Kršitev določb o biometriji v zasebnem sektorju
100. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost, ki izvaja biometrijske ukrepe v nasprotju z 80. členom.
(2) Z globo od 1.250 do 2.080 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika
posameznika ali posameznika, ki samostojno opravlja dejavnost.
Kršitev določb o evidenci vstopov in izstopov
101. člen
(1) Z globo od 2.080 do 4.170 eurov se kaznuje za prekršek
pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost:
1.
ki uporablja evidenco vstopov in izstopov kot uradno evidenco v
nasprotju s tretjim odstavkom 82. člena;
2.
ki ravna v nasprotju s četrtim odstavkom 82. člena.
(2) Z globo od 200 do 830 eurov se za prekršek kaznuje tudi
odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali
posameznika, ki samostojno opravlja dejavnost, ki stori prekršek iz prejšnjega
odstavka.
(3) Z globo od 200 do 830 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori prekršek iz prvega odstavka tega člena.
(4) Z globo od 200 do 410 eurov se kaznuje za prekršek
posameznik, ki stori prekršek iz prvega odstavka tega člena.
Kršitev določb o povezovanju zbirk osebnih podatkov
102. člen
(1) Z globo od 830 do 2.080 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali samoupravne lokalne skupnosti, ki poveže
zbirke osebnih podatkov v nasprotju s tretjim odstavkom 84. člena.
(2) Z globo od 830 do 2.080 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali samoupravne lokalne skupnosti, ki poveže
zbirke osebnih podatkov iz kazenske evidence in prekrškovnih evidenc z drugimi
zbirkami osebnih podatkov ali poveže zbirke osebnih podatkov iz kazenske
evidence z zbirko osebnih podatkov iz prekrškovnih evidenc (85. člen).
Kršitev določb o strokovnem nadzoru
103. člen
(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek
pravna oseba:
1.
če izvaja strokovni nadzor v nasprotju z drugim odstavkom 88. člena;
2.
če ne napravi uradnega zaznamka ali drugega uradnega zapisa v nasprotju
z 90. členom tega zakona.
(2) Z globo od 830 do 1.250 eurov se kaznuje za prekršek iz
prejšnjega odstavka tudi odgovorna oseba pravne osebe.
(3) Z globo od 830 do 1.250 eurov se kaznuje za prekršek
odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki
stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200 do 830 eurov se kaznuje za prekršek
posameznik, ki stori dejanje iz prvega odstavka tega člena.
Zakon o varstvu osebnih podatkov – ZVOP-1
(Uradni list RS, št. 86/04) vsebuje naslednje prehodne in
končne določbe:
»VIII. DEL
PREHODNE IN KONČNE DOLOČBE
Pristojnosti
pooblaščenca za dostop do informacij javnega značaja glede varstva osebnih
podatkov
104. člen
(1) Zoper odločbo ali sklep državnega nadzornega organa lahko
pooblaščenec za dostop do informacij javnega značaja do uveljavitve zakona, ki
bo uredil to vprašanje, začne upravni spor, če oceni, da je z njo kršen dostop
do informacij javnega značaja.
(2) Postopek v upravnem sporu iz prejšnjega odstavka je nujen
in prednosten.
(3) Pooblaščenec za dostop do informacij javnega značaja je
dolžan vročiti državnemu nadzornemu organu odločbo ali sklep, v katerem se je
pooblaščenec opredelil do vprašanja varstva osebnih podatkov.
Rok za izdajo
podzakonskih predpisov
105. člen
(1) Pravilnik iz tretjega odstavka 28. člena in 69. člena
tega zakona se izda v dveh mesecih od uveljavitve tega zakona.
(2) Predpis iz drugega odstavka 52. člena tega zakona se izda
do 1. januarja 2006.
Prehodna ureditev
106. člen
(1) Javni skladi lahko obdelujejo ter zbirajo na podlagi
osebne privolitve od posameznikov osebne podatke, ki se nanašajo na njih, če so
ti podatki potrebni in primerni za izvrševanje njihovih nalog in pristojnosti,
ne glede na določbe zakonov, ki urejajo njihove naloge in pristojnosti ter
določbe tega zakona, do uveljavitve posebnega zakona, ki bo uredil ta
vprašanja.
(2) Upravljavci osebnih podatkov lahko javnosti posredujejo
in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko
in naslov službene elektronske pošte predstojnika in tistih zaposlenih, katerih
delo je pomembno zaradi poslovanja s strankami oziroma uporabniki storitev, do
uveljavitve posebnega zakona, ki bo uredil ta vprašanja.
Izraz upravljavec
osebnih podatkov
107. člen
Izrazi »upravljavec zbirke osebnih podatkov«, »upravljavec
podatkov« ali »upravljalec zbirk podatkov« ali »upravljalec zbirke podatkov«,
ki so določeni v zakonih, se štejejo za izraz »upravljavec osebnih podatkov« po
tem zakonu.
Začetek delovanja
Državnega nadzornega organa za varstvo osebnih podatkov
108. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov začne
z delom 1. januarja 2006.
(2) Do začetka delovanja Državnega nadzornega organa za
varstvo osebnih podatkov njegove pristojnosti in naloge po tem zakonu opravlja
Inšpektorat za varstvo osebnih podatkov Republike Slovenije kot organ v sestavi
Ministrstva za pravosodje in inšpektorji, imenovani po Zakonu o varstvu osebnih
podatkov (Uradni list RS, št. 59/99, 57/01, 59/01- popr., 52/02-ZDU-1 in 73/04
– ZUP-C).
Imenovanje glavnega
državnega nadzornika
109. člen
(1) Postopek za imenovanje glavnega državnega nadzornika se
začne najkasneje 1. junija 2005.
(2) Z dnem imenovanja glavnega državnega nadzornika preneha
mandat glavnemu inšpektorju za varstvo osebnih podatkov.
(3) Če je glavni državni nadzornik imenovan pred začetkom
dela Državnega nadzornega organa za varstvo osebnih podatkov, je glavni državni
nadzornik predstojnik Inšpektorata za varstvo osebnih podatkov Republike
Slovenije kot organa v sestavi Ministrstva za pravosodje do začetka dela
državnega nadzornega organa za varstvo osebnih podatkov.
(4) Če glavni državni nadzornik ni imenovan do začetka dela
Državnega nadzornega organa za varstvo osebnih podatkov, opravlja njegovo
funkcijo glavni inšpektor za varstvo osebnih podatkov kot vršilec dolžnosti do
imenovanja glavnega državnega nadzornika.
Prevzem zaposlenih in
arhivov
110. člen
(1) Državni nadzorni organ za varstvo osebnih podatkov
prevzame inšpektorje in druge zaposlene, ki na dan začetka delovanja Državnega
nadzornega organa za varstvo osebnih podatkov opravljajo delo v Inšpektoratu za
varstvo osebnih podatkov Republike Slovenije.
(2) Na Državni nadzorni organ za varstvo osebnih podatkov se
prenesejo nedokončane zadeve, arhivi in evidence, ki jih vodi Inšpektorat za
varstvo osebnih podatkov Republike Slovenije.
Uporaba posameznih
določb tega zakona
111. člen
(1) Določbe drugega odstavka 48. člena ter 3. in 4. točke
prvega odstavka 49. člena tega zakona se začnejo uporabljati z dnem začetka
delovanja Državnega nadzornega organa za varstvo osebnih podatkov.
(2) Do vzpostavitve spletne strani Državnega nadzornega
organa za varstvo osebnih podatkov se informacije, ki jih po tem zakonu
objavlja državni nadzorni organ na svoji spletni strani, objavljajo na spletni
strani Ministrstva za pravosodje.
Dokončanje tekočih
postopkov
112. člen
Če je odločba ali sklep inšpektorja izdan pred uveljavitvijo
tega zakona, se postopek konča po določbah Zakona o varstvu osebnih podatkov
(Uradni list RS, št. 59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 –
ZUP-C).
Prenos vodenja
registra zbirk osebnih podatkov
113. člen
(1) Skupni katalog osebnih podatkov, ki se vodi po določbah
Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 –
popr., 52/02 – ZDU-1 in 73/04 – ZUP-C), se z dnem uveljavitve tega zakona
preimenuje v register zbirk osebnih podatkov.
(2) Do 1. januarja 2006 vodi in vzdržuje register iz
prejšnjega odstavka Ministrstvo za pravosodje, s tem datumom pa ga preda Državnemu
nadzornemu organu za varstvo osebnih podatkov.
Dopolnitev podatkov v
registru zbirk osebnih podatkov
114. člen
Upravljavci osebnih podatkov, ki so posredovali osebne
podatke po določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št.
59/99, 57/01, 59/01 – popr., 52/02 – ZDU-1 in 73/04 – ZUP-C) v skupni katalog
osebnih podatkov morajo posredovati vse podatke iz 27. člena tega zakona
pristojnemu organu iz 113. člena tega zakona v enem letu po uveljavitvi
podzakonskega predpisa iz tretjega odstavka 28. člena tega zakona.
Prenehanje veljavnosti
115. člen
(1) Z dnem uveljavitve tega zakona preneha veljati Zakon o
varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr.,
52/02 – ZDU-1 in 73/04 – ZUP-C).
(2) Z dnem začetka dela Državnega nadzornega organa za
varstvo osebnih podatkov preneha veljati druga alinea prvega odstavka in tretji
odstavek 13. člena Uredbe o organih v sestavi ministrstev (Uradni list RS, št.
58/03).
(3) Z dnem uveljavitve tega zakona prenehajo veljati določbe
prvega odstavka 110. člena in drugega odstavka 111. člena Zakona o elektronskih
komunikacijah (Uradni list RS, št. 43/04) v delu, ki določajo zbiranje,
obdelavo in objavo EMŠO – enotne matične številke občana.
Sprememba v drugem
zakonu
116. člen
V Zakonu o ratifikaciji Konvencije o varstvu posameznikov
glede na avtomatsko obdelavo osebnih podatkov (Uradni list RS, št. 11/94 –
Mednarodne pogodbe, št. 3/94) se v 3. členu besedilo »znanost in tehnologijo«
nadomesti z besedilom »pravosodje«.
Začetek veljavnosti
117. člen
Ta zakon začne veljati 1. januarja 2005.«.
Zakon o Informacijskem pooblaščencu – ZInfP
(Uradni list RS, št. 113/05) spreminja 104. člen zakona tako,
da se glasi:
»Pristojnosti
pooblaščenca za dostop do informacij javnega značaja glede varstva osebnih
podatkov
104. člen
(prenehal
veljati)«;
spreminja 108. člen zakona tako, da se glasi:
»Začetek delovanja
Državnega nadzornega organa za varstvo osebnih podatkov
108. člen
(prenehal
veljati)«;
spreminja 109. člen zakona tako, da se glasi:
»Imenovanje glavnega državnega
nadzornika
109. člen
(prenehal
veljati)«;
spreminja 110. člen zakona tako, da se glasi:
Prevzem zaposlenih in
arhivov
110. člen
(prenehal
veljati)«;
ter vsebuje naslednjo končno določbo:
»20. člen
(začetek veljavnosti)
Ta zakon začne veljati petnajsti dan po objavi v Uradnem
listu Republike Slovenije.«.
Zakon o spremembah in dopolnitvah Zakona o
ustavnem sodišču – ZUstS-A (Uradni list RS, št. 51/07) vsebuje naslednjo končno določbo:
»40. člen
Ta zakon začne veljati 15. julija 2007.«.
Zakon o spremembah in dopolnitvah Zakona o
varstvu osebnih podatkov – ZVOP-1A (Uradni list RS, št. 67/07) vsebuje naslednjo prehodno in
končno določbo:
»PREHODNA DOLOČBA
17. člen
Minister, pristojen za pravosodje, izda pravilnik iz sedmega
odstavka 31. člena zakona v šestdesetih dneh po uveljavitvi tega zakona.
KONČNA DOLOČBA
18. člen
Ta zakon začne veljati naslednji dan po objavi v Uradnem
listu Republike Slovenije, 3. člen tega zakona pa se začne uporabljati
šestdeseti dan po objavi tega zakona.«.
Veljaven predpis
Veljaven predpis, vendar se še ne uporablja
Objavljen predpis, ki še ne velja
Neveljaven predpis
Neveljaven predpis, ki se še uporablja
Predpis v pripravi
Konec postopka, predpis ni nikoli veljal
Konzumiran ali obsoleten predpis