Uradni list RS, št. 163/2022 z dne 27. 12. 2022
Zakon začne veljati 26. 1. 2023
(1) Ta zakon ureja uresničevanje človekove pravice do varstva osebnih podatkov, obveznosti, načela, upravičenja, postopke in ukrepe, s katerimi se zagotavlja ustavna skladnost, zakonitost in upravičenost posegov v zasebnost, dostojanstvo, tajnost osebnih podatkov, podatkovna samoodločba oziroma druge temeljne pravice posameznika pri obdelavi osebnih podatkov ter pravila o prostem pretoku osebnih podatkov za izvajanje Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 2; v nadaljnjem besedilu: Splošna uredba), ter druga vprašanja obdelave in varstva osebnih podatkov.
(2) Za vprašanja varstva in obdelave osebnih podatkov, ki jih ureja zakon, ki ureja varstvo osebnih podatkov pri obravnavanju kaznivih dejanj, se ne uporabljajo določbe tega zakona.
(prepoved diskriminacije glede obdelave osebnih podatkov)
Obdelava osebnih podatkov je prepovedana, če se izvaja na način ali ima za posledico nedopustno diskriminacijo glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, invalidnost, državljanstvo, kraj oziroma vrsto prebivališča, zdravstveno stanje, genske predispozicije ali katero koli drugo osebno okoliščino posameznice in posameznika (v nadaljnjem besedilu: posameznik).
(1) Določbe tega zakona veljajo za obdelave osebnih podatkov na področjih, ki jih ureja Splošna uredba ali jih posebej ureja ta zakon in se izvajajo v celoti ali delno z avtomatiziranimi sredstvi, in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.
(2) Določbe tega zakona ne veljajo za obdelave osebnih podatkov, ki jih izvajajo posamezniki med potekom popolnoma osebne ali domače dejavnosti.
(3) Za obdelave osebnih podatkov, ki jih Splošna uredba ne ureja, se uporabljajo določbe drugih zakonov, ki urejajo te obdelave, subsidiarno določbe tega zakona ter smiselno določbe 4. do 7. in 9. do 23. člena Splošne uredbe.
(1) Ta zakon velja za obdelavo osebnih podatkov, ki se izvaja v okviru javnega sektorja Republike Slovenije, in za zasebni sektor, kadar gre za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav obdelava osebnih podatkov ne poteka v Republiki Sloveniji.
(2) Ta zakon velja tudi za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji.
(1) Izrazi, uporabljeni v tem zakonu, pomenijo enako kot izrazi, opredeljeni v 4. členu Splošne uredbe.
(2) Drugi izrazi, uporabljeni v tem zakonu, pomenijo:
1. »nadzorni organ« je Informacijski pooblaščenec, določen z zakonom, ki ureja Informacijskega pooblaščenca;
2. »nadzorne osebe« so informacijski pooblaščenec in nadzorniki za varstvo osebnih podatkov, kot jih določa zakon, ki ureja Informacijskega pooblaščenca, kadar izvajajo nadzor po določbah tega zakona;
3. »javni sektor« so državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom;
4. »zasebni sektor« so pravne in fizične osebe, ki opravljajo dejavnost v skladu z zakonom, ki ureja gospodarske družbe ali gospodarske javne službe ali obrt, in druge osebe zasebnega prava; zasebni sektor so tudi javni gospodarski zavodi, javna podjetja in gospodarske družbe in izvajalci gospodarskih javnih služb, ne glede na delež oziroma vpliv države ali samoupravne lokalne skupnosti ali samoupravne narodne skupnosti ali dejstvo, da so nosilci javnega pooblastila;
5. »povezovalni znak« je osebna identifikacijska številka in druge z zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo katerih je mogoče zbrati oziroma priklicati osebne podatke iz zbirk osebnih podatkov, v katerih so enolične identifikacijske številke obdelovane, ter drugi podobni znaki, ki se redno ali sistematično uporabljajo za povezovanje zbirk med različnimi upravljavci ali dveh ali več zbirk znotraj enega upravljavca;
6. »zadeva sodišča« je izvajanje sodne oblasti, kar vključuje sojenje in obravnavanje pravnih sredstev v sodnih zadevah iz pristojnosti sodišč s splošno pristojnostjo in specializiranih sodišč, kot jo določa zakon, ki ureja sodišča ali specializirana sodišča, ter o kateri odločajo sodišča v skladu z zakoni, ki urejajo sodne postopke, razen v kazenskih zadevah sodišč, kot jih določa zakon, ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj;
7. »zakon« je ta zakon, drugi zakoni, obvezujoče mednarodne pogodbe, ki zavezujejo Republiko Slovenijo, ter pravni akti ali odločitve Evropske unije, katerih določbe so enakovredne zakonom in neposredno uporabljive ali neposredno učinkovite;
8. »varnost države« je izvajanje nalog ali pooblastil v skladu z zakoni, ki urejajo izvajanje obveščevalno-varnostnih in protiobveščevalnih dejavnosti države;
9. »kazenske evidence« so evidence, določene v zakonu, ki ureja izvrševanje kazenskih sankcij;
10. »prekrškovne evidence« so evidence o pravnomočnih odločbah o prekrških, evidence pravnomočnih sodb oziroma sklepov o prekrških in kazenskih točk, določenih v zakonu, ki ureja prekrške;
11. »storitev informacijske družbe« je katerakoli storitev, ki se običajno opravi odplačno, na daljavo (storitev se opravi, ne da bi bile stranke sočasno navzoče), elektronsko (storitev se pošlje na začetnem kraju in sprejme na cilju z elektronsko opremo za obdelavo in shranjevanje podatkov ter se v celoti prenaša, pošilja in sprejema po žici, radijsko, z optičnimi ali drugimi elektromagnetnimi sredstvi) in na posamezno zahtevo prejemnika storitev (storitev opravi s prenosom podatkov na posamezno zahtevo);
12. »povezovanje zbirk podatkov« je avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo.
(pravne podlage za obdelavo osebnih podatkov)
(1) Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe.
(2) Obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.
(3) V javnem sektorju se lahko v skladu s prvim odstavkom tega člena obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
(4) Ne glede na določbe drugega odstavka tega člena se za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.
(5) Z zakonom se sme obdelava osebnega podatka o narodni ali etnični pripadnosti v javnem sektorju določiti samo izjemoma, za primere, v katerih je to nujno za odločitev o osebnem stanju, pravicah, spodbudah in ugodnostih za posameznika, na katerega se nanašajo osebni podatki, ali za zagotavljanje in spodbujanje enakega obravnavanja, enakih možnosti ter zajamčenih posebnih pravic pripadnikov narodne ali etnične skupnosti v Republiki Sloveniji, pri čemer zakon določi privolitev posameznika, na katerega se nanašajo osebni podatki, ali določi obdelavo podatkov, glede katerih se posameznik svobodno opredeli.
(6) Na obveščevalno-varnostnem in protiobveščevalnem področju se lahko zbirajo in nadalje obdelujejo osebni podatki, vključno s posebnimi vrstami osebnih podatkov, ne glede na določbe drugega odstavka 9. člena Splošne uredbe. Obdelava osebnih podatkov je dopustna, če je nujno potrebna za namen izvajanja zakonsko določenih pooblastil in nalog državnih organov, ki delujejo na tem področju. Obdelave morajo biti določene z zakonom, v skladu z drugim odstavkom tega člena.
(obdelava osebnih podatkov v druge namene in ravnanje z nepotrebnimi osebnimi podatki)
(1) Obdelava osebnih podatkov za drug namen kot za tistega, za katerega so bili zbrani (v nadaljnjem besedilu: nadaljnja obdelava), je v javnem in zasebnem sektorju dopustna, če je to v skladu z določbami iz četrtega odstavka 6. člena Splošne uredbe. Kadar gre za nadaljnjo obdelavo, ki jo izvajajo upravljavci zaradi zakonske obveznosti ali v okviru svojih nalog v javnem interesu ali zaradi izvajanja javne oblasti, mora tako obdelavo določati zakon v skladu z drugim odstavkom prejšnjega člena.
(2) Kadar se nenamerno zberejo osebni podatki, za katere je očitno, da niso potrebni za konkretno obdelavo, se izbrišejo brez nepotrebnega odlašanja, drugače nepovratno uničijo ali vrnejo posamezniku, na katerega se nanašajo, ali upravljavcu ali obdelovalcu, ki jih je poslal.
(privolitev otroka za uporabo storitev informacijske družbe)
(1) Privolitev otroka za uporabo storitev informacijske družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno domneva, da jih bodo uporabljali otroci, je veljavna, če je otrok star 15 let ali več. Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb. Kadar se storitev informacijske družbe ponuja neodplačno, lahko privolitev odobri tudi rejnik ali predstavnik zavoda, v katerega je nameščen otrok. V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev.
(2) Privolitev otroka iz prejšnjega odstavka ne sme biti pogojena s pretiranimi pogoji s strani upravljavca, tako da bi otrok moral posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne dejavnosti.
(posebno varstvo osebnih podatkov umrlih posameznikov)
(1) Osebni podatki umrlih posameznikov se obdelujejo v skladu z zakonom.
(2) Upravljavec podatke o umrlem posamezniku posreduje le tistim uporabnikom, ki so za obdelavo osebnih podatkov pooblaščeni z zakonom, in tistim uporabnikom, ki izkažejo pravni interes za uveljavljanje pravic pred subjekti javnega sektorja.
(3) Ne glede na določbe prejšnjega odstavka upravljavec osebne podatke o umrlem posamezniku na njihovo zahtevo posreduje zakoncu, zunajzakonskemu partnerju, otrokom, staršem ali dedičem, če umrli posameznik ni pisno prepovedal upravljavcu posredovanja njegovih osebnih podatkov ali če drug zakon ne določa drugače.
(4) Če drug zakon ne določa drugače, lahko upravljavec podatke o umrlem posamezniku posreduje tudi drugi osebi, ki izkaže, da namerava te podatke uporabljati za namene znanstvenega raziskovanja, zgodovinskega raziskovanja, izobraževalne, statistične ali arhivske namene.
(5) Za obdelavo za namene iz prejšnjega odstavka ali v okviru izvajanja svobode izražanja se lahko obdelujejo zakonito pridobljeni osebni podatki umrlih posameznikov, če tako določa zakon, če je privolitev pred smrtjo dal posameznik sam ali če je za tako obdelavo v času po smrti posameznika dana pisna privolitev naslednjih oseb v izključujočem vrstnem redu: zakonec ali zunajzakonski partner, otroci ali starši umrlega posameznika. Ne glede na določbe prejšnjega stavka se lahko za objavo ali drugo obdelavo v zgodovinskih in drugih izobraževalnih publikacijah obdelujejo zakonito pridobljeni osebni podatki umrlih posameznikov, če so bili umrli posamezniki javne osebe in če tega ne prepoveduje drug zakon.
(6) Določbe tega člena se uporabljajo za osebne podatke umrlih posameznikov 20 let po njihovi smrti, če drug zakon ne določa drugače.
(1) Podatki o vpisu ali izbrisu v ali iz kazenskih evidenc in prekrškovnih evidenc ter prenosi teh podatkov se obravnavajo kot posebne vrste osebnih podatkov v skladu s prvim in drugim odstavkom 9. člena Splošne uredbe.
(2) Zakon določi namen obdelave, vključno s povezovanjem, ki mora biti v javnem interesu, vrste podatkov, ki se obdelujejo, posameznike, na katere se nanašajo osebni podatki, subjekte, katerim se osebni podatki lahko razkrijejo, namene, za katere se lahko razkrijejo, omejitve namena ter rok hrambe, vključno z ukrepi za zagotovitev zakonite in poštene obdelave.
(3) Za izvedbo povezovanja iz prejšnjega odstavka se za državljana Republike Slovenije ali osebo s prebivališčem v Republiki Sloveniji kot identifikacijski znak uporabi enotna matična številka občana iz kazenske ali prekrškovne evidence.
(splošno sodno varstvo pravic posameznika)
(1) Posameznik, ki meni, da upravljavec ali obdelovalec iz javnega ali zasebnega sektorja krši njegove pravice, določene s Splošno uredbo ali z zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov, lahko zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih sredstev.
(2) Posameznik lahko s sodnim varstvom po določbah tega člena zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi povrnitev škode.
(3) Če je kršitev iz prvega odstavka tega člena prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala.
(4) V postopku po prvem, drugem in tretjem odstavku tega člena odloča upravno sodišče po postopku, ki ga zakon, ki ureja upravni spor, določa za tožbo zaradi kršitve človekovih pravic in temeljnih svoboščin, posameznik pa lahko v tožbo vključi tudi odškodninski zahtevek.
(5) V postopku pred upravnim sodiščem je zaradi varstva podatkovne zasebnosti posameznika ali njegovega osebnega dostojanstva javnost izključena, če sodišče na predlog posameznika, na katerega se nanašajo osebni podatki, iz utemeljenih razlogov ne odloči drugače.
(6) Ta člen se ne uporablja za postopke proti upravljavcem ali obdelovalcem osebnih podatkov glede obdelav osebnih podatkov s področja varnosti države.
2. poglavje Postopek pred upravljavcem in obdelovalcem
V postopkih uveljavljanja pravic ali zahtev iz 15. do 22. člena Splošne uredbe pred upravljavcem in pred obdelovalcem, kadar deluje po desetem odstavku 28. člena Splošne uredbe ter pravice do seznanitve z osebnimi podatki, ki se obdelujejo v skladu z zakoni iz tretjega odstavka 3. člena tega zakona, se uporabljajo določbe Splošne uredbe in tega poglavja.
(postopkovne določbe za državne organe in samoupravne lokalne skupnosti)
(1) Upravljavci, ki so državni organi ali samoupravne lokalne skupnosti, o zahtevi posameznika iz 15. do 22. člena Splošne uredbe in drugih zahtevkih posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu odločajo na podlagi zakona, ki ureja splošni upravni postopek, če drug zakon ne določa drugače, v roku, določenem s Splošno uredbo. Kadar upravljavec ugodi zahtevi posameznika, ne izda posebne odločbe, temveč o tem napravi uradni zaznamek in posameznika seznani z odločitvijo. Kadar upravljavec zahtevi posameznika ne ugodi, izda odločbo, ki poleg sestavin, določenih z zakonom, ki ureja splošni upravni postopek, vsebuje tudi sestavine, ki jih določa ta zakon.
(2) Kadar zahtevi posameznika ni ugodeno, mora biti v odločbi v pravnem pouku navedena pravica do pritožbe pri nadzornem organu v roku 15 dni od vročitve odločbe v zadevi, po določbah točke f) prvega odstavka 15. člena Splošne uredbe.
(obravnavanje zahtevkov posameznika v javnem in zasebnem sektorju)
(1) Kadar upravljavec, ki ni državni organ ali samoupravna lokalna skupnost, obravnava zahtevke posameznika iz 15. do 22. člena Splošne uredbe in druge zahtevke posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu, posameznika seznani z odločitvijo in, če je to predmet zahteve, z osebnimi podatki, ki se nanašajo nanj, v roku, določenem s Splošno uredbo. Če posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno.
(2) Odločitev mora vsebovati razloge in informacijo o pravici do pritožbe pri nadzornem organu v roku 15 dni od seznanitve z odločitvijo po določbah točke f) prvega odstavka 15. člena Splošne uredbe. Odločitev ima lahko obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča seznanitev z odločitvijo in dokazovanje njenega prejema.
(1) Če je to potrebno zaradi omejitev iz 18. člena tega zakona, odločba iz 13. člena tega zakona vsebuje tudi obseg dovoljenega pregleda spisa, zbirke ali drugače obdelanih lastnih osebnih podatkov.
(2) Ne glede na določbe 13. člena tega zakona odločba ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka 18. člena tega zakona.
(3) Odločba iz prejšnjega odstavka tudi ne obsega navedb, s katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje konkretnih ukrepov iz zakona, ki ureja Slovensko obveščevalno-varnostno agencijo, ukrepov glede varnosti države iz zakona, ki ureja obrambo ali zakona, ki ureja naloge in pooblastila policije.
(4) Konkretne razloge iz drugega odstavka tega člena upravljavec navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, je dostopna samo nadzornemu organu, Varuhu človekovih pravic, pristojnemu sodišču ali drugim organom, pristojnim za nadzor po drugem zakonu. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča prijavitelju s posebnim položajem iz 30. člena tega zakona.
(1) Nadzorni organ izvaja postopek izvršbe po določbah zakona, ki ureja splošni upravni postopek, če ni s tem zakonom določeno drugače.
(2) Upravna izvršba iz prejšnjega odstavka se opravi na predlog posameznika, na katerega se nanašajo osebni podatki, s prisilitvijo zoper upravljavca ali obdelovalca, po določbah zakona, ki ureja splošni upravni postopek. Upravna izvršba se opravi na podlagi izvršljive odločbe iz 13. člena ali odločitve iz 14. člena tega zakona.
(stroški zagotavljanja informacij)
(1) Poleg informacij, sporočil, odgovorov in ukrepanj upravljavca iz 15. do 22. člena Splošne uredbe, ki se zagotavljajo brezplačno, se brezplačno zagotavljajo tudi informacije, sporočila, odgovori in ukrepanja upravljavca glede uveljavljanja pravic in zahtevkov s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu.
(2) Kadar so zahtevki posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljeni ali pretirani, zlasti ker se ponavljajo, lahko upravljavec kljub temu zahtevi ugodi, če je po vsebini utemeljena, in posamezniku zaračuna razumne stroške. Razumni stroški vključujejo samo materialne stroške posredovanja informacij, sporočil, odgovorov oziroma izvajanja zahtevanega ukrepanja.
(3) V primerih neugoditve zahtevkom ali drugim upravičenjem iz prvega odstavka tega člena upravljavec z zaznamkom navede tudi razloge glede očitne neutemeljenosti ali pretiranosti zahteve.
(4) Če upravljavec ugotovi, da bodo nastali stroški v skladu z določbami tega člena, posameznika o tem vnaprej obvesti.
(5) Višino stroškov iz drugega odstavka tega člena in iz tretjega odstavka 15. člena Splošne uredbe glede dodatnih kopij osebnih podatkov, pravila o zaračunavanju, način vnaprejšnjega obveščanja posameznika o nastalih stroških iz prejšnjega odstavka, višino stroškov na področju seznanitve z lastno zdravstveno dokumentacijo in dokumentacijo umrlih pacientov predpiše minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim za zdravje, po predhodnem mnenju nadzornega organa.
(zakonska omejitev pravic in obveznosti)
Z zakonom se lahko v skladu z razlogi in pogoji iz 23. člena Splošne uredbe izjemoma določijo omejitve pravic posameznika in obveznosti ter nalog upravljavcev ali obdelovalcev iz III. poglavja in 34. člena Splošne uredbe, 7. in 9. člena tega zakona ali drugega zakona.
(posebna pravila glede načina uveljavljanja pravic ali zahtevkov na določenih področjih)
(1) Pravice ali drugi zahtevki posameznikov, na katere se nanašajo osebni podatki, iz 73. do 75. člena tega zakona se ne izvajajo v postopkih pred nadzornim organom po določbah tega zakona ali po določbah Splošne uredbe.
(2) Ne glede na določbe prejšnjega odstavka nadzor nad zakonitostjo posredovanja, razkritja ali omogočanja nepooblaščenega dostopa do osebnih podatkov iz zbirke za namene iz četrtega odstavka 73. člena tega zakona izvaja nadzorni organ.
(3) Če drug zakon v zadevi sodišča določa uresničevanje pravic s področja varstva osebnih podatkov iz Splošne uredbe, posameznik, na katerega se nanašajo osebni podatki, uresničuje te pravice le v obsegu in na način, kot je določeno z drugim zakonom.
(4) V postopku s pritožbo glede načina seznanitve z zdravstveno dokumentacijo, seznanitve z zdravstveno dokumentacijo po pacientovi smrti ter varovanja poklicne skrivnosti po zakonu, ki ureja pacientove pravice, se uporabljajo določbe zakona, ki ureja pacientove pravice, smiselno pa se uporabljajo določbe Splošne uredbe in tega zakona.
(izjema glede uveljavljanja zahtevka posameznika prek zakonitega zastopnika)
Upravljavec lahko izjemoma zavrne zahtevo posameznika iz 15. do 22. člena Splošne uredbe ali dostop do osebnih podatkov iz posameznikove zdravstvene dokumentacije, vložen prek zakonitega zastopnika, če obstajajo konkretne in objektivne okoliščine, zaradi katerih bi bilo utemeljeno sklepati, da bi bile zaradi seznanitve z določenimi osebnimi podatki neposredno ali posredno prizadete koristi, pravice ali upravičeni interesi mladoletnih oseb ali oseb, postavljenih pod skrbništvo ali drugih oseb, za katere tako določa zakon, ter če te pravice in interesi pretehtajo nad interesi zakonitega zastopnika za seznanitev. V tem primeru so razlogi za zavrnitev dostopni nadzornemu organu, Varuhu človekovih pravic, kolizijskemu skrbniku, kadar gre za osebne podatke iz zdravstvene dokumentacije, pa zastopniku pacientovih pravic po zakonu, ki ureja pacientove pravice.
(zavarovanje osebnih podatkov, ki so predmet postopka)
(1) Upravljavec ali obdelovalec od prejema zahteve iz 15. do 22. člena Splošne uredbe ali zahtev posameznika po tem ali drugem zakonu ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih povezanih informacij, ne glede na potek predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi.
(2) Ob upoštevanju okoliščin konkretnega postopka lahko nadzorni organ zaradi učinkovitega izvajanja poslovanja, nalog ali pooblastil upravljavca ali obdelovalca odredi izdelavo kopije osebnih podatkov ali kopije postopkov obdelave ali na drug način, ki ne otežuje poslovanja oziroma izvajanja nalog ali pooblastil upravljavca ali obdelovalca, ter kadar gre za osebne podatke, ki so označeni kot tajni podatki, zavaruje osebne podatke, ki so predmet postopka.
3. poglavje Varnost osebnih podatkov in ocena učinka
(1) Zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov:
1. zbiranje;
2. spreminjanje;
3. vpogled;
4. razkritje, vključno s prenosi;
5. izbris;
6. druga dejanja obdelave, ki jih določa zakon.
(2) Dnevnik obdelave iz prejšnjega odstavka mora za dejanja obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka.
(3) Dnevnik obdelave se uporablja le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.
(4) Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave.
(5) Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena tega zakona, se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.
(varnost osebnih podatkov na področju posebnih obdelav)
(1) Za informacijske sisteme, v katerih:
1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali
3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,
se smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
(2) Kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v informacijskih sistemih iz prejšnjega odstavka, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije.
(3) Če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.
(4) Zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.
(ocena učinka in predhodno posvetovanje)
(1) Ocena učinka v zvezi z varstvom osebnih podatkov po 35. členu Splošne uredbe in predhodno posvetovanje po 36. členu Splošne uredbe se izvajata tudi pred uvedbo posebnih obdelav iz prvega odstavka prejšnjega člena. Ocena učinka mora upoštevati okoliščino, določeno v drugem odstavku tega člena in možne škodljive posledice za varnost države, vključno z njenimi političnimi ali gospodarskimi koristmi, če bi bili obdelovani podatki razkriti nepooblaščenim osebam ali subjektom.
(2) Pred začetkom obdelave se ocena učinka ponovno izdela tudi, kadar je bila spremenjena pravna podlaga za obdelavo iz 6. člena tega zakona.
(3) Kadar se z zakonom določa obdelava osebnih podatkov, za katero je treba izdelati oceno učinka, predlagatelj predlogu zakona priloži oceno učinka v skladu s 35. členom Splošne uredbe. Po proučitvi ocene učinka nadzorni organ poda mnenje glede obdelave osebnih podatkov, glede katerega se mora predlagatelj zakona opredeliti. Kadar ocene učinka ni treba izdelati, predlagatelj zakona opravi samo predhodno posvetovanje z nadzornim organom v skladu s 36. členom Splošne uredbe.
(4) Za obdelave osebnih podatkov na področju varnosti države pristojni organ s področja varnosti države pripravi oceno učinka s smiselno uporabo določb tega člena. Ocena učinka je za potrebe nadzorov dostopna nadzornemu organu, Varuhu človekovih pravic in pristojnemu delovnemu telesu iz drugega odstavka 64. člena tega zakona.
4. poglavje Postopki pred nadzornim organom
1. oddelek Posebnosti postopka
(uporaba določb zakona, ki ureja splošni upravni postopek)
V postopkih pred nadzornim organom po tem zakonu se uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.
(izvajanje postopkovnih dejanj brez prisotnosti)
(1) V postopkih pred nadzornim organom lahko nadzorni organ opravlja razgovore z osebami pri upravljavcu ali obdelovalcu in s pričami brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, v celoti ali deloma, če bi taka prisotnost škodovala izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb, o čemer nadzorni organ odloči s sklepom in o tem obvesti posameznika. V tem primeru nadzorni organ tudi ne dovoli prisotnosti pri drugih dejanjih v postopku in posamezniku ne vroča zapisnika o teh dejanjih.
(2) Nadzorni organ v zadevah s področja varnosti države opravlja razgovore z osebami pri upravljavcu ali obdelovalcu brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, o čemer nadzorni organ odloči s sklepom in o tem obvesti posameznika ter ne dovoli njegove prisotnosti pri drugih dejanjih v postopku in mu ne vroča zapisnika o teh dejanjih.
(3) Proti sklepu iz prvega in drugega odstavka tega člena, s katerim se omeji prisotnost posameznika, na katerega se nanašajo osebni podatki, pri postopkovnih dejanjih po tem členu, ni pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni zadevi.
(izključitev stranske udeležbe)
V postopkih pred nadzornim organom ni dopustna stranska udeležba, kot jo določa zakon, ki ureja splošni upravni postopek.
(1) Nadzorna pooblastila nadzornega organa so:
1. pregled dokumentacije upravljavca ali obdelovalca, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter prenos osebnih podatkov v tretjo državo in posredovanje osebnih podatkov tujim uporabnikom;
2. pregled poslovnih knjig, pogodb, listin, poslovnih evidenc in drugih podatkov, ki se nanašajo na obdelavo osebnih podatkov s strani upravljavca ali obdelovalca ali druge pravne ali fizične osebe po njunem pooblastilu oziroma na prenos osebnih podatkov v tretjo državo ali posredovanje uporabnikom osebnih podatkov iz tretjih držav s strani upravljavca ali obdelovalca oziroma druge pravne ali fizične osebe po njunem pooblastilu (v nadaljnjem besedilu: poslovne knjige in druga dokumentacija), ne glede na njihovo tajnost ali drugo vrsto zaupnosti in ne glede na vrsto nosilca, na katerem so zapisani ali shranjeni;
3. vstop in pregled prostora, zemljišča, prevoznih sredstev (v nadaljnjem besedilu: prostori) ter opreme in sredstev za obdelavo osebnih podatkov (v nadaljnjem besedilu: oprema), v oziroma s katerimi upravljavec ali obdelovalec (v nadaljnjem besedilu: nadzorovani subjekt) sam ali drug poslovni subjekt ali posameznik po njihovem pooblastilu opravlja obdelavo osebnih podatkov, za katero izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih podatkov iz tega zakona;
4. zavarovanje in pregled poslovne korespondence, elektronskih in z njimi povezanih naprav ter nosilcev elektronskih podatkov, vključno s prek omrežja dosegljivimi informacijskimi sistemi, na katerih so shranjeni podatki (v nadaljnjem besedilu: elektronska naprava), za katere je verjetno, da so na njih podatki, glede katerih izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih podatkov iz tega zakona;
5. odvzem ali pridobitev ustrezne kopije na stroške nadzorovanega subjekta, forenzične kopije ali izvlečka iz poslovnih knjig in druge dokumentacije v kakršni koli obliki z uporabo fotokopirnih sredstev ali računalniške opreme upravljavca ali obdelovalca oziroma nadzornega organa. Če zaradi tehničnih ali časovnih razlogov ni mogoče narediti kopij na kraju samem, se lahko poslovne knjige in druga dokumentacija odnesejo za čas, ki je potreben, da se naredijo kopije, o čemer se naredi uradni zaznamek, če so osebni podatki označeni s stopnjo tajnosti, pa se naredijo le ustrezne kopije;
6. zapečatenje ustreznega dela prostorov in opreme ter elektronskih naprav za največ pet delovnih dni, v najmanjšem možnem obsegu, potrebnem za izvedbo nadzora, o čemer se naredi uradni zaznamek;
7. zaseg predmetov ter poslovnih knjig in druge dokumentacije za največ deset delovnih dni, če je to potrebno za izvedbo postopka, o čemer se izda potrdilo o zasegu, ki vsebuje navedbo zaseženih predmetov in njihov opis, navedbo kraja, kjer so bili najdeni, ter navedbo razloga za zaseg.
(2) Nadzorna oseba lahko odredi začasno zapečatenje oziroma blokiranje ustrezne opreme ali elektronske naprave le, če je to nujno, da se ohranijo možni dokazi, in če zapečatenje ali blokiranje opreme ali elektronske naprave ne onemogoča izvajanja rednega poslovanja, zakonskih nalog ali pristojnosti nadzorovanega upravljavca ali obdelovalca, vendar le za čas, dokler ni izdana sodna odredba iz prvega stavka tretjega odstavka tega člena oziroma do poteka roka za njeno izdajo iz drugega stavka tretjega odstavka tega člena.
(3) Nadzorna oseba izvaja nadzorna pooblastila iz 3. in 4. točke prvega odstavka tega člena pri pregledu poslovne korespondence, opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, le z njegovim soglasjem ali na podlagi predhodne pisne odredbe sodišča. O predlogu nadzorne osebe za izdajo odredbe iz prejšnjega stavka preiskovalna sodnica ali preiskovalni sodnik (v nadaljnjem besedilu: preiskovalni sodnik) pri Okrožnem sodišču v Ljubljani odloči najpozneje v 48 urah od prejema predloga. Nadzorna oseba predlogu za izdajo odredbe priloži stališče nadzorovanega subjekta, do katerega se lahko tudi opredeli. Stališče nadzorovani subjekt poda najpozneje v 48 urah po pozivu nadzornega organa.
(4) Preiskovalni sodnik z odredbo odloči, da se pregled iz prejšnjega odstavka izvede, če obstajajo utemeljeni razlogi za sum, da je nadzorovani subjekt kršil ali krši določbe zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih podatkov iz tega zakona, in je verjetno, da se bodo pri pregledu opreme oziroma elektronskih naprav oziroma poslovne korespondence, ki bi posegel v upravičeno pričakovano zasebnost posameznika iz prejšnjega odstavka, našli dokazi, pomembni za odločanje v postopku nadzora ali s tem postopkom povezanem prekrškovnem postopku. Odredba vsebuje:
1. opredelitev poslovne korespondence, opreme oziroma elektronskih naprav, ki jih je treba zavarovati in pregledati;
2. opredelitev razlogov za pregled;
3. opredelitev dokazov oziroma vsebine podatkov, ki se iščejo;
4. navedbo razlogov, ki utemeljujejo uporabo nadzornega pooblastila in način njegove izvršitve.
(5) Pregled poslovne korespondence, prostora ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, se opravi na način, s katerim se v najmanjši možni meri posega v pravice oseb, zoper katere ni uveden nadzor, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda, kadar je izdana odredba preiskovalnega sodnika glede opreme ali elektronske naprave, pa tudi v skladu z njo. Za zavarovanje podatkov na elektronskih napravah se smiselno uporabljajo določbe zakona, ki ureja kazenski postopek glede zavarovanja podatkov v elektronski obliki. Predstavnik nadzorovanega subjekta ima pravico biti navzoč pri zavarovanju in pregledu poslovne korespondence, elektronske naprave ter pri pregledu prostora, pri pregledu poslovne korespondence, prostorov, elektronske naprave odvetnika in prostorov, ki jih uporablja odvetnik, pa ima pravico biti navzoč tudi predstavnik Odvetniške zbornice Slovenije. Če določeno elektronsko napravo uporablja oseba, ki upravičeno pričakuje zasebnost na njej, ima pravico biti navzoča ob zavarovanju ali pregledu elektronske naprave sama ali po pooblaščencu. Če prostor uporablja druga oseba, ki upravičeno pričakuje zasebnost na njem, ima pravico biti navzoča ob zavarovanju ali pregledu sama ali po pooblaščencu, nadzorni organ pa pri pregledu zagotovi tudi prisotnost dveh polnoletnih prič.
(6) O opravljenem nadzoru se sestavi zapisnik, ki se lahko ne glede na določbe zakona, ki ureja splošni upravni postopek, kadar gre za nujne in neodložljive ukrepe, sestavi takoj, v drugih primerih pa najpozneje v treh dneh od dneva opravljenega nadzora in se vroči nadzorovanemu subjektu ali njegovemu predstavniku ali vodstvu. Nadzorovani subjekt lahko na zapisnik poda pripombe v roku, ki ga določi nadzorna oseba in ne sme biti krajši od dveh delovnih dni po vročitvi zapisnika, o čemer se ga v zapisniku izrecno pouči. Določbe prejšnjega stavka ne veljajo za zapisnike, ki vsebujejo vsebine glede nujnih in neodložljivih ukrepov, nadzorovani subjekt pa lahko na tak zapisnik takoj ustno poda pripombe.
(7) Zoper odredbo preiskovalnega sodnika ni dovoljena pritožba, sme pa se izpodbijati v upravnem sporu zoper končno odločitev nadzornega organa.
(8) Nadzorna oseba lahko nadzorna pooblastila iz tega člena uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2. oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega poglavja.
(1) Kadar se pri opravljanju nadzora ugotovi kršitev določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil, nadzorni organ lahko:
1. odredi, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odredi omejitve obdelave, kot so anonimiziranje, blokiranje ali arhiviranje;
3. odredi prepoved prenosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona;
4. odredi brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki pomenijo prepoved obdelave osebnih podatkov, če ne gre za arhivsko gradivo, ki ga določa drug zakon;
5. odredi druge ukrepe skladno s tem zakonom, zakonom, ki ureja splošni upravni postopek, ali zakonom, ki ureja varstvo podatkov na področju obravnavanja kaznivih dejanj;
6. izvaja preventivne ukrepe in izreka opozorila v skladu z zakonom, ki ureja inšpekcijski nadzor;
7. poda kazensko ovadbo oziroma izvede postopke v skladu z zakonom, ki ureja prekrške, če pri nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška.
(2) Nadzorni organ pri opravljanju nadzora upošteva, da:
1. ponudnik izključnega prenosa (če se storitev informacijske družbe, ki jo opravlja, nanaša na prenos podatkov, ki jih zagotovi prejemnik storitve, v komunikacijskem omrežju ali na zagotovitev dostopa do komunikacijskega omrežja) ni odgovoren za poslane podatke, če ponudnik ne sproži prenosa, ne izbere prejemnika prenosa in ne izbere ali spremeni podatkov, ki so predmet prenosa;
2. ponudnik shranjevanja podatkov v predpomnilniku (če se storitev informacijske družbe, ki jo opravlja, nanaša na prenos podatkov v komunikacijskem omrežju, ki jih zagotovi prejemnik storitve) ni odgovoren za samodejno, vmesno in začasno shranjevanje teh podatkov, ki je namenjeno le učinkovitejšemu posredovanju podatka drugim prejemnikom storitve na njihovo zahtevo, pod pogojem, da ponudnik ne spremeni podatkov in ponudnik hitro ukrepa in odstrani ali onemogoči dostop do podatka, ki ga je hranil, takoj ko je obveščen, da je bil podatek na začetnem izhodnem mestu prenosa odstranjen iz omrežja ali da je bil dostop do njega onemogočen;
3. ponudnik gostovanja (če se storitev informacijske družbe nanaša na shranjevanje podatkov, ki jih zagotovi prejemnik storitve) ni odgovoren za podatek, ki ga je shranil na zahtevo prejemnika storitve, pod pogojem, da prejemnik storitve ne ukrepa v okviru pooblastil ali pod nadzorom ponudnika, da ponudnik dejansko ne ve za nezakonito dejavnost ali podatek in mu glede danih zahtevkov niso znana dejstva ali okoliščine, iz katerih je očitno, da gre za nezakonito dejavnost ali podatek, ali da ponudnik, takoj ko za to izve ali se tega zave, nemudoma ukrepa in odstrani ali onemogoči dostop do podatka.
(3) Ukrepov iz prvega odstavka tega člena ni mogoče odrediti zoper ponudnika iz prejšnjega odstavka, če ni odgovoren po zakonu, ki ureja elektronsko poslovanje na trgu, kot ponudnik storitev izključnega prenosa ali kot ponudnik storitev shranjevanja v predpomnilniku ali kot ponudnik storitev gostiteljstva.
(4) S pooblastili in ukrepi iz prejšnjega in tega člena nadzorni organ ne sme posegati v zadeve sodišč in zadeve Ustavnega sodišča Republike Slovenije, kadar Ustavno sodišče obravnava zadeve sodišč.
(5) Kadar se pri opravljanju nadzora ugotovi kršitev določb drugega odstavka 6. člena tega zakona, nadzorni organ pri izbiri ukrepov iz 1. do 6. točke prvega odstavka tega člena ob upoštevanju teže kršitve odredi ukrep, ki je primeren za zagotovitev učinkovitega nadzora ter se z njim doseže namen nadzora.
(6) Predstojnik upravljavca s področij obveščevalno-varnostnega ali protiobveščevalnega delovanja države sme z obrazloženim sklepom za čas največ štirih mesecev odložiti izvedbo nadzora s strani nadzornega organa pri upravljavcu ali obdelovalcu s teh področij. Nadzor se lahko odloži:
1. če bi bilo zaradi izvajanja pooblastil ali ukrepov nadzornega organa iz prejšnjega in tega člena lahko resno ogroženo uspešno opravljanje z zakonom določenih nalog ali pooblastil upravljavca na področjih obveščevalno-varnostnega ali protiobveščevalnega delovanja države, ki še niso zaključene,
2. če bi zaradi izvajanja pooblastil ali ukrepov nadzornega organa lahko prišlo do resnega ogrožanja življenja ali telesa ljudi ali njihove osebne svobode, ali
3. če bi bila z izvajanjem pooblastil ali ukrepov nadzornega organa onemogočena učinkovita uporaba tehničnih sredstev, s katerimi upravljavec izvaja obdelave osebnih podatkov na področjih obveščevalno-varnostnega ali protiobveščevalnega delovanja države.
(7) Nadzorni organ nadaljuje izvedbo nadzora po poteku roka iz prejšnjega odstavka.
(8) Nadzorna oseba lahko nadzorne ukrepe iz tega člena uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2. oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega poglavja.
2. oddelek Položaj prijavitelja s posebnim položajem
(prijava in prijavitelj s posebnim položajem)
(1) Posameznik, ki meni, da obdelava njegovih osebnih podatkov s strani upravljavca ali obdelovalca krši določbe Splošne uredbe, tega zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov, ali krši določbe s temi zakoni povezanih podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil (v nadaljnjem besedilu: prijavitelj s posebnim položajem), lahko pri nadzornem organu vloži zahtevo v skladu z zakonom, ki ureja splošni upravni postopek, s katero zahteva nadzor zakonitosti obdelave svojih osebnih podatkov (v nadaljnjem besedilu: prijava), lahko pa v njej predlaga tudi potrebno ukrepanje v skladu s prejšnjim členom v primeru ugotovljenih kršitev, tako da se doseže vzpostavitev zakonitega stanja.
(2) V postopku po tem oddelku vsaka stranka krije svoje stroške postopka.
(3) Določbe tega oddelka se ne uporabljajo za obdelave osebnih podatkov, ki jih upravljavci in obdelovalci izvajajo za namen izvajanja zakonskih nalog in pooblastil na področju obveščevalno-varnostne in protiobveščevalne dejavnosti. Kadar nadzorni organ prejme takšno prijavo, jo obravnava po določbah 3. oddelka tega poglavja.
(1) V primeru prijave prijavitelja s posebnim položajem nadzorni organ uvede postopek nadzora, ko prijava vsebuje sestavine, kot jih za vlogo določa zakon, ki ureja splošni upravni postopek, ter navedbo upravljavca ali obdelovalca in navedbo kršitev pri obdelavi ali varnosti njegovih osebnih podatkov, iz katerih izhaja kršitev predpisov iz prejšnjega člena.
(2) Nadzorni organ o prijavi odloči z odločbo najpozneje v roku treh mesecev po prejemu prijave. Rok lahko nadzorni organ zaradi zahtevnosti obravnavanja zadeve s sklepom podaljša za največ en mesec.
(pravice prijavitelja s posebnim položajem)
(1) Nadzorni organ prijavitelja s posebnim položajem na njegovo zahtevo obvešča o bistvenih dejanjih v postopku in stanju zadeve.
(2) Nadzorni organ pred izdajo odločbe prijavitelju vroči zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od dveh delovnih dni, pisno ali ustno o njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Zapis ugotovitev ne vsebuje razlogov in navedb, ko so izpolnjeni pogoji iz drugega odstavka 15. člena tega zakona. Če se prijavitelj v določenem roku ne izjavi, to ni ovira za izdajo odločbe.
(položaj nadzorovanega upravljavca ali obdelovalca)
(1) Pri izvajanju nadzora po določbah tega oddelka ima nadzorovani upravljavec ali obdelovalec položaj stranke in ima pravico biti neposredno prisoten pri vseh postopkovnih dejanjih.
(2) Nadzorni organ pred izdajo odločbe nadzorovanemu upravljavcu ali obdelovalcu vroči zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od dveh delovnih dni, pisno ali ustno o njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Če se upravljavec ali obdelovalec v določenem roku ne izjavi, to ni ovira za izdajo odločbe.
(1) Odločba v postopku nadzora po določbah tega oddelka poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje:
1. ugotovitev o obstoju ali neobstoju zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem v trenutku vložitve prijave;
2. ukrepe, odrejene upravljavcu ali obdelovalcu glede obdelave osebnih podatkov, ki se nanašajo na prijavitelja s posebnim položajem, in rok za njihovo izvedbo;
3. dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem.
(2) Ne glede na prejšnji odstavek v primerih iz 15. člena tega zakona odločba ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz 23. člena Splošne uredbe, ki ga določa zakon. Odločba tudi ne obsega navedb, s katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje konkretnih ukrepov na področjih obveščevalno-varnostne in protiobveščevalne dejavnosti.
(3) Konkretne razloge iz prvega stavka prejšnjega odstavka nadzorni organ navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča prijavitelju s posebnim položajem.
(ukrepanje glede obdelav osebnih podatkov drugih posameznikov)
Kadar nadzorni organ v postopku nadzora zazna sum kršitve varstva pravic glede osebnih podatkov po določbah tega oddelka, ki bi lahko vplivale na pravice drugih posameznikov, na katere se nanašajo osebni podatki, uvede tudi postopek nadzora po določbah naslednjega oddelka.
3. oddelek Inšpekcijski nadzor glede varstva osebnih podatkov
(uporaba zakona, ki ureja inšpekcijski nadzor)
V postopku inšpekcijskega nadzora po tem oddelku se uporabljajo določbe 18. člena, 26. do 29. člena in 34. člena tega zakona. Za vprašanja inšpekcijskega nadzora, ki niso urejena z določbami 18. člena in 26. do 29. člena tega zakona, se uporabljajo določbe zakona, ki ureja inšpekcijski nadzor.
(uvedba inšpekcijskega nadzora)
(1) Nadzorni organ uvede inšpekcijski nadzor v skladu z določbami zakona, ki ureja inšpekcijski nadzor.
(2) Nadzorni organ uvede inšpekcijski nadzor tudi na pobudo, ki jo prejme od drugega državnega organa, nadzornih javnih agencij Republike Slovenije ali nadzornega organa za varstvo osebnih podatkov države članice Evropske unije ali Sveta Evrope ali na predlog Varuha človekovih pravic.
(letni načrt nadzorov in poročanje)
Nadzorni organ v letnem načrtu nadzorov posebej opredeli nadzore na področju posebnih obdelav iz 23. člena tega zakona.
(posredovanje osebnih podatkov, ki ga izvedejo osebe javnega sektorja)
(1) Osebe javnega sektorja posredujejo osebne podatke drugim osebam javnega sektorja ali drugim fizičnim ali pravnim osebam, če je za posredovanje dana pravna podlaga v skladu s 6. členom tega zakona, ter na podlagi zahteve iz prvega odstavka 41. člena tega zakona, razen če drug zakon določa drugače. Prejemnik podatkov sme osebne podatke obdelovati samo za namen, za uresničevanje katerega se mu posredujejo.
(2) Posredovanje posebnih vrst osebnih podatkov ter osebnih podatkov iz 10. člena tega zakona je dovoljeno, če so izpolnjeni pogoji iz prejšnjega odstavka in je to v skladu z drugim odstavkom 9. člena Splošne uredbe ali drugim zakonom.
(3) Osebe javnega sektorja v skladu s prvim in drugim odstavkom tega člena posredujejo osebne podatke brezplačno, če zakon ne določa drugače.
(4) Ne glede na določbe prejšnjih odstavkov upravljavci registra stalnega prebivalstva, matičnega registra, evidence registriranih vozil in centralnega registra prebivalstva na način, ki je določen za izdajo potrdila, posredujejo upravičencu, ki izkaže zakoniti interes za uveljavljanje pravic pred osebami javnega sektorja, naslednje osebne podatke: osebno ime in naslov stalnega ali začasnega prebivališča oziroma stalni ali začasni naslov prebivališča v drugi državi, navedba lastnika ali uporabnika vozila, naslov za vročanje ali datum smrti posameznika, zoper katerega ali v zvezi s katerim uveljavlja svoje pravice.
(5) Upravljavci ali obdelovalci, ki se jim na podlagi zakona za izvajanje njihovih pristojnosti ali nalog posredujejo osebni podatki iz registrov ali evidenc s področja upravnih notranjih zadev, ki so v upravljanju ministrstva, pristojnega za notranje zadeve, na lastne stroške vzpostavijo varnostne mehanizme, ki jih kot ukrepe ali postopke za izvajanje varnosti osebnih podatkov določi minister, pristojen za notranje zadeve.
(6) Ne glede na določbe prvega do četrtega odstavka tega člena se posredovanje osebnih podatkov s področja varnosti države ureja v zakonih, ki urejajo izvajanje obveščevalnih in protiobveščevalnih nalog.
(posredovanje podatkov, ki ga izvajajo osebe zasebnega sektorja)
(1) Osebe zasebnega sektorja posredujejo osebne podatke drugim fizičnim ali pravnim osebam ali osebam javnega sektorja samo na podlagi zahteve iz prvega odstavka 41. člena tega zakona, iz katere izhaja veljavna pravna podlaga za pridobitev podatkov in utemeljenost zahteve, razen če zakon določa drugače.
(2) Osebe zasebnega sektorja posredujejo osebne podatke osebam javnega sektorja brezplačno, razen če zakon določa drugače.
(postopek posredovanja osebnih podatkov)
(1) Če drug zakon ne določa drugače, zahteva za posredovanje osebnih podatkov vsebuje naslednje podatke:
1. podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv oziroma firmo in naslov oziroma sedež in matično številko) ter podpis vlagatelja oziroma pooblaščene osebe;
2. pravno podlago za pridobitev zahtevanih osebnih podatkov;
3. namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo potrebnost in primernost osebnih podatkov za dosego namena pridobitve;
4. predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava zadevo;
5. vrste osebnih podatkov, ki naj se mu posredujejo;
6. obliko in način pridobitve zahtevanih osebnih podatkov.
(2) Upravljavec vlagatelju zahteve, če drug zakon ne določa drugače, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval. Upravljavec in vlagatelj zahteve se v roku iz prejšnjega stavka lahko dogovorita za njegovo podaljšanje.
(3) Če upravljavec ne ravna v skladu s prejšnjim odstavkom, se šteje, da je zahteva zavrnjena.
(4) Če je zahteva za posredovanje osebnih podatkov delno ali v celoti zavrnjena, lahko vlagatelj zahteve v primeru, ko se zahteva nanaša na posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig, zahteva, da o njegovi vlogi najprej odloči nadzorni organ. Kadar ta zavrne zahtevo ali kadar na prvi stopnji odloča nadzorni organ sam, lahko vlagatelj zahteva sodno varstvo, o katerem odloča pristojno sodišče v skladu z zakonom, ki ureja upravni spor. V primeru zavrnitve zahteve za posredovanje osebnih podatkov iz zbirk, ki niso uradne evidence ali javne knjige, lahko vlagatelj zahteva sodno varstvo, o katerem odloča sodišče s splošno pristojnostjo v skladu z zakonom, ki ureja nepravdni postopek.
(5) Ta člen se ne uporablja, če fizična ali pravna oseba ali oseba javnega sektorja uveljavlja pravico do pregleda in prepisa spisa iz sodnih, upravnih ali drugih spisov v skladu z drugim zakonom.
(6) Upravljavec za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz dnevnika obdelave po 22. členu tega zakona.
(7) Informacije iz prejšnjega odstavka upravljavec hrani dve leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa drugačen rok.
(8) Šesti in sedmi odstavek tega člena veljata tudi za obdelovalce, če so z zakonom, pogodbo ali drugim dogovorom zavezani posredovati določene osebne podatke.
(9) Šesti in sedmi odstavek tega člena ne veljata za osebne podatke, ki jih upravljavec zakonito objavi na svojih spletnih straneh ali na drug ustrezen način, in osebne podatke, za katere ta ali drug zakon določa, da so javni ali javno dostopni.
(10) Določbe prvega do petega odstavka tega člena se ne uporabljajo za upravljavce, ki osebne podatke obdelujejo za namene varnosti države. Upravljavci iz prejšnjega stavka podatke vlagatelju zahteve posredujejo po postopku in v obsegu, kot je določen v zakonih, ki urejajo izvajanje obveščevalnih in protiobveščevalnih nalog.
(1) Pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s področja zdravstva, varnosti države, sodstva, kazenskih in prekrškovnih evidenc ni dovoljeno uporabljati povezovalnega znaka na način, da bi se za pridobitev osebnega podatka uporabil izključno ta znak, če drug zakon ne določa drugače.
(2) Ne glede na prejšnji odstavek se lahko uporabi povezovalni znak za pridobivanje osebnih podatkov, če je to podatek v konkretni zadevi, ki lahko omogoči, da se odkrije storilec ali kaznivo dejanje, ki se preganja po uradni dolžnosti, ali da se zavaruje življenje ali telo posameznika. O tem se brez odlašanja napravi uradni zaznamek ali drug ustrezen zapis, ki omogoča naknadno preverjanje nujnosti uporabe povezovalnega znaka.
(3) Ne glede na prvi odstavek tega člena se na področjih varnosti države povezovalni znak lahko uporablja tako, da se za pridobitev določenega osebnega podatka uporabi izključno ta znak, v skladu z notranjim aktom o varnosti osebnih podatkov ter ob upoštevanju določb o sledljivosti obdelav osebnih podatkov iz drugega in tretjega odstavka 22. člena tega zakona.
(4) Prvi odstavek tega člena se ne uporablja za povezovanje zemljiške knjige, sodnega registra in poslovnega registra z drugimi zbirkami, če tako določa drug zakon.
(rok hrambe osebnih podatkov, določitev roka in vezanost na rok)
(1) Rok hrambe osebnih podatkov je omejen na najkrajše možno obdobje in le, dokler je hramba potrebna za dosego namena obdelave, zaradi katerega so se osebni podatki zbirali in nadalje obdelovali, razen če drug zakon za posamezne obdelave določa rok hrambe.
(2) Upravljavec ob upoštevanju narave obdelovanih podatkov in tveganj občasno in na dokumentiran način preverja, ali se upoštevajo določbe prejšnjega odstavka.
(3) Če drug zakon za posamezne vrste osebnih podatkov ne določa drugače, se po izpolnitvi namena obdelave osebni podatki izbrišejo, uničijo ali anonimizirajo oziroma se izvede drug postopek, ki onemogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, zlasti omejevanje dostopa do njih, njihovo blokiranje ali arhiviranje.
6. poglavje Pooblaščene osebe za varstvo osebnih podatkov
(pooblaščena oseba za varstvo osebnih podatkov)
Pooblaščena oseba za varstvo osebnih podatkov (v nadaljnjem besedilu: pooblaščena oseba) je oseba, ki upravljavcu ali obdelovalcu v skladu z 39. členom Splošne uredbe na neodvisen način svetuje pri zagotavljanju skladnosti obdelave s Splošno uredbo in z zakonom.
(obveznost določitve pooblaščene osebe)
(1) Pooblaščeno osebo določijo upravljavci in obdelovalci v skladu s prvim odstavkom 37. člena Splošne uredbe in vsi upravljavci in obdelovalci v javnem sektorju ter upravljavci in obdelovalci, ki obdelujejo osebne podatke iz 1. do 4. točke prvega odstavka 23. člena tega zakona.
(2) Ne glede na določbe prejšnjega odstavka lahko drugi upravljavci ali obdelovalci prostovoljno določijo pooblaščeno osebo.
(3) Vsak upravljavec ali obdelovalec lahko določi tudi namestnika pooblaščene osebe. Pooblaščena oseba svojega namestnika pooblasti, da opravlja s pooblastilom določene naloge pooblaščene osebe.
(4) Upravljavec ali obdelovalec v osmih dneh od določitve pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske pošte pooblaščene osebe) sporoči nadzornemu organu, ki jih za namen sodelovanja nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb. Seznam ni dostopen javnosti.
(pogoji za določitev pooblaščene osebe)
(1) Za pooblaščeno osebo upravljavca ali obdelovalca in njenega namestnika je lahko določen posameznik, ki izpolnjuje naslednje pogoje:
1. je poslovno sposoben,
2. ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov in
3. ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih podatkov.
(2) Pooblaščena oseba državnega organa mora poleg pogojev iz prejšnjega odstavka izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.
(3) Upravljavci ali obdelovalci iz javnega sektorja, razen državnih organov, lahko določijo drugo pooblaščeno osebo, če je ni mogoče določiti znotraj osebe javnega sektorja. V primeru iz prejšnjega stavka lahko pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v skladu s četrtim odstavkom tega člena.
(4) Upravljavci ali obdelovalci iz zasebnega sektorja za pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v pisni obliki določijo drugega posameznika ali pravno osebo. V pogodbi s pravno osebo se določi posameznik, ki odgovarja za delo pravne osebe kot pooblaščene osebe in čigar kontaktni podatki se objavijo v skladu s četrtim odstavkom prejšnjega člena. Posameznik iz prejšnjega stavka mora izpolnjevati pogoje iz prvega odstavka tega člena.
(5) Za pooblaščeno osebo ali njenega namestnika ne sme biti določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s položajem pri upravljavcu in obdelovalcu.
(6) V javnem sektorju se v skladu s prejšnjim odstavkom šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov. Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu. Določbe tega odstavka se smiselno uporabljajo za zasebni sektor.
(skupna določitev pooblaščene osebe in določitev pooblaščene osebe sindikata)
(1) Več upravljavcev oziroma obdelovalcev lahko ob upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega namestnika.
(2) Odvetniki in odvetniške družbe lahko v dogovoru z Odvetniško zbornico Slovenije določijo skupno pooblaščeno osebo.
(3) Notarji lahko v dogovoru z Notarsko zbornico Slovenije določijo skupno pooblaščeno osebo.
(4) Reprezentativna zveza ali konfederacija sindikatov lahko določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov za sindikate, ki so njeni člani in ki k takemu imenovanju dajo pisno soglasje.
(5) Sindikat, ki je reprezentativen v panogi, dejavnosti ali poklicu, lahko za svoje organizacijske oblike delovanja pri posameznih delodajalcih določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih podatkov članov sindikata.
(6) V primeru določitve skupne pooblaščene osebe iz prejšnjega odstavka je sindikat pri delodajalcu dolžan pomagati pri zagotavljanju zakonitosti ravnanja z osebnimi podatki in upoštevati navodila skupne pooblaščene osebe iz prejšnjega odstavka. Za ta namen lahko sindikat pri delodajalcu pooblasti osebo, ki pa ne sme biti iz javnega sektorja, če ne gre za sindikat pri delodajalcu v javnem sektorju.
(7) Kadar sindikat pri določanju pooblaščene osebe zaradi organizacijskih ali tehničnih razlogov ne more uporabiti možnosti določitve pooblaščene osebe po določbah četrtega in petega odstavka tega člena, lahko predsednik sindikata določi, da sindikalni zaupnik ali predsednik sindikata sam opravlja naloge pooblaščene osebe.
(1) Pooblaščena oseba na neodvisen način opravlja naloge iz 39. člena Splošne uredbe in zlasti svetuje pri ocenjevanju tveganj glede varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je določena.
(2) Pooblaščena oseba sodišča ali Ustavnega sodišča Republike Slovenije ne sme opravljati nalog iz prejšnjega odstavka v zvezi z obdelavami osebnih podatkov v konkretnih zadevah sodišč ali zadev Ustavnega sodišča, kadar Ustavno sodišče obravnava zadeve sodišč.
(določitev pooblaščenih oseb in njihove naloge v določenih državnih organih)
(1) Vrhovno sodišče Republike Slovenije določi pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa sodišča s splošno pristojnostjo in specializirana sodišča v Republiki Sloveniji.
(2) Vrhovno državno tožilstvo Republike Slovenije določi pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa državna tožilstva v Republiki Sloveniji in Državnotožilski svet.
(3) Vsak minister ali ministrica (v nadaljnjem besedilu: minister) določi pooblaščeno osebo, ki je zaposlena na tem ministrstvu, v primeru ministrstva brez listnice pa na organu ali v službi ministra. Če je v okviru ministrstva ustanovljen organ v sestavi, predstojnik organa v sestavi za pooblaščeno osebo organa v sestavi določi javnega uslužbenca, ki je zaposlen v organu v sestavi ali na tem ministrstvu.
(4) Predstojnik organa s področja varnosti države določi pooblaščeno osebo in njenega namestnika znotraj organa. Pooblaščena oseba tega organa opravlja tiste naloge iz 39. člena Splošne uredbe, za katere tako določi predstojnik, obvezno pa opravlja naloge glede zagotavljanja varnosti osebnih podatkov, posredovanja osebnih podatkov Vladi Republike Slovenije, Predsedniku Republike Slovenije, policiji, državnim tožilstvom, sodiščem, pristojnemu delovnemu telesu Državnega zbora Republike Slovenije (v nadaljnjem besedilu: državni zbor) in drugim subjektom ter glede čezmejnih obdelav in prenosov osebnih podatkov.
(5) Pooblaščeno osebo upravne enote ali skupno pooblaščeno osebo več upravnih enot določi ministrstvo, pristojno za javno upravo. Po dogovoru z ministrstvom lahko tudi upravne enote določijo pooblaščene osebe. Pooblaščena oseba upravne enote mora biti zaposlena na ministrstvu, pristojnem za javno upravo ali v upravni enoti.
(dolžnost varstva tajnosti osebnih podatkov)
Pooblaščena oseba in namestnik sta pri opravljanju dela in po njegovem zaključku zavezana k varstvu tajnosti obdelovanih osebnih podatkov. Pridobljene informacije smeta uporabljati izključno za opravljanje nalog pooblaščene osebe.
7. poglavje Kodeksi ravnanja in potrjevanje
(1) Upravljavec je ob predložitvi osnutka kodeksa nadzornemu organu dolžan navesti, ali se vsebina kodeksa nanaša na več držav članic Evropske unije.
(2) Če Evropski odbor za varnost osebnih podatkov (v nadaljnjem besedilu: Odbor) osnutka kodeksa, ki ga je prejel od nadzornega organa, v svojem mnenju ne potrdi, nadzorni organ nadaljuje postopek in z odločbo zavrne osnutek kodeksa. Če Odbor osnutek kodeksa potrdi, nadzorni organ nadaljuje postopek, z odločbo potrdi kodeks in ga po pravnomočnosti odločbe vpiše na seznam potrjenih kodeksov na svojih spletnih straneh in objavi v Uradnem listu Republike Slovenije.
(3) Če nadzorni organ ugotovi, da se osnutek kodeksa ne nanaša na več držav članic Evropske unije in ni v skladu s Splošno uredbo, z odločbo zavrne potrditev kodeksa.
(4) Zoper odločbo nadzornega organa iz prvega stavka drugega odstavka in tretjega odstavka tega člena ni dovoljena pritožba, je pa dopusten upravni spor.
(odobreni potrjevalni mehanizmi)
Nadzorni organ v okviru svoje pristojnosti za potrjevanje po 42. členu Splošne uredbe tudi upravlja seznam potrjevalnih mehanizmov in ga sproti objavlja na svoji spletni strani.
(postopek akreditiranja teles za potrjevanje)
(1) Potrjevanje izvajajo telesa, ki jih na podlagi njihove vloge za to akreditira nacionalni akreditacijski organ (v nadaljnjem besedilu: Slovenska akreditacija), v skladu z b) točko prvega odstavka 43. člena Splošne uredbe in zakonom, ki ureja akreditacijo.
(2) Slovenska akreditacija izda akreditacijsko listino potrjevalnemu telesu in o tem obvesti nadzorni organ. Zoper izdano akreditacijsko listino pritožba ni dovoljena, dopusten pa je upravni spor.
(3) Če Odbor ali nadzorni organ spremenita merila za potrjevanje, nadzorni organ o tem obvesti Slovensko akreditacijo.
8. poglavje Nadzorni organ za varstvo osebnih podatkov Republike Slovenije
(nadzorni organ za varstvo osebnih podatkov)
(1) Nadzor nad izvajanjem določb Splošne uredbe in tega zakona izvaja Informacijski pooblaščenec kot nadzorni organ za varstvo osebnih podatkov Republike Slovenije.
(2) Zoper odločitve nadzornega organa ni dovoljena pritožba, je pa dopusten upravni spor v skladu z zakonom, ki ureja upravni spor.
(pristojnosti nadzornega organa)
(1) Nadzorni organ:
1. izvaja nadzore nad izvajanjem določb Splošne uredbe, tega zakona in drugih zakonov, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil glede obdelav osebnih podatkov s področij iz 1. člena tega zakona;
2. odloča v pritožbenem postopku, odloča v postopkih prijav prijaviteljev s posebnim položajem in izvaja inšpekcijski nadzor po tem zakonu;
3. daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom in nosilcem javnih pooblastil o usklajenosti določb predlogov zakonov ter drugih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke s področij iz 1. člena tega zakona; ministrstva in drugi organi posredujejo predloge zakonov in drugih predpisov pravočasno v mnenje nadzornemu organu;
4. izvaja predhodno posvetovanje v skladu s Splošno uredbo in tem zakonom;
5. daje pristojnim organom in posameznikom neobvezna mnenja, pojasnila in stališča o vprašanjih glede varstva osebnih podatkov v zvezi z zakoni in povezanimi predpisi, v skladu s 1. členom tega zakona;
6. spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo ter za ta namen izvaja brezplačna izobraževanja in usposabljanja;
7. spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi tega zakona;
8. sodeluje z nadzornimi organi drugih držav ali mednarodnih organizacij;
9. sodeluje z nadzornimi organi drugih držav članic Evropske unije pri izvajanju čezmejnih nadzornih postopkov, postopkih izrekanja sankcij in v drugih zadevah čezmejne obdelave osebnih podatkov v skladu s VII. poglavjem Splošne uredbe;
10. deluje kot vodilni nadzorni organ pri izvajanju čezmejnih nadzornih postopkov v skladu s Splošno uredbo;
11. sodeluje pri delovanju Odbora;
12. pripravi letno poročilo o izvajanju tega zakona;
13. obvesti pristojno sodišče o kršitvah zakona, lahko pa sodišču v sodnem postopku tudi posreduje mnenje o ugotovljenih kršitvah;
14. sodeluje z upravljavci in obdelovalci pri izvajanju nadzorov v skladu z določbami tega zakona;
15. olajša postopek vložitve pritožb in zahtev iz drugega odstavka 13. člena, 14. člena in tretjega in četrtega odstavka 19. člena tega zakona, zahtev iz 30. člena tega zakona in drugih vlog v postopku inšpekcijskega nadzora iz 37. člena tega zakona, in sicer tako, da pripravi obrazce, ki se lahko vložijo tudi v elektronski obliki;
16. je prekrškovni organ, pristojen za nadzor glede izvajanja določb Splošne uredbe v zvezi s prekrški iz 83. člena Splošne uredbe, tega zakona, drugih zakonov ali predpisov, ki urejajo varstvo osebnih podatkov;
17. izvaja druge naloge, določene v 57. členu Splošne uredbe in v tem zakonu.
(2) Nadzorni organ izvaja pristojnosti in naloge iz prejšnjega odstavka brezplačno.
(3) Nadzore po tem zakonu izvajajo nadzorne osebe, pri nadzoru pa lahko sodeluje strokovno osebje nadzornega organa.
(1) Nadzorni organ lahko poleg nalog iz 57. člena Splošne uredbe:
1. izdaja notranje glasilo in strokovno literaturo;
2. na spletnih straneh ali na drug primeren način objavlja odločbe ali mnenja;
3. na spletnih straneh oziroma na drug primeren način objavlja odločbe in sklepe Ustavnega sodišča Republike Slovenije o zahtevah za ocene ustavnosti, ki jih je vložil nadzorni organ, ter odločitve Ustavnega sodišča Republike Slovenije o njih;
4. na spletnih straneh oziroma na drug primeren način objavlja odločbe in sklepe sodišč s splošno pristojnostjo, upravnega sodišča, Vrhovnega sodišča Republike Slovenije ter dokončne odločbe in sklepe nadzornega organa, ki se nanašajo na varstvo osebnih podatkov, tako da iz njih ni mogoče razbrati osebnih podatkov strank, oškodovancev, prič ali izvedencev – z uporabo psevdonimizacije;
5. na spletnih straneh objavlja psevdonimizirane pomembnejše odločitve v nadzornih in pritožbenih postopkih;
6. na spletnih straneh objavlja podatke o uvedbi in zaključku nadzornih postopkov, uvedenih po uradni dolžnosti;
7. daje mnenja o skladnosti splošnih pogojev poslovanja oziroma njihovih predlogov s predpisi s področja varstva osebnih podatkov;
8. daje neobvezna mnenja, pojasnila in stališča o vprašanjih s področja varstva osebnih podatkov in jih objavlja na spletnih straneh ali na drug primeren način;
9. pripravlja in daje neobvezne smernice in priporočila glede varstva osebnih podatkov na posameznem področju;
10. daje izjave za javnost o nadzoru v posamičnih zadevah v skladu s tem zakonom;
11. izvaja konference za medije v zvezi z delom nadzornega organa in prepise izjav ali posnetke izjav s konferenc za medije objavi na spletnih straneh;
12. na spletnih straneh objavlja druga pomembna obvestila.
(2) Nadzorni organ lahko za opravljanje nalog iz 7., 8., in 9. točke prejšnjega odstavka povabi k sodelovanju tudi predstavnike društev in drugih nevladnih organizacij s področja človekovih pravic in temeljnih svoboščin in potrošnikov ter strokovnjake določenih strok, povezanih s prej navedenimi področji.
(omejitve pri izvajanju nadzorov)
(1) Nadzorne osebe niso pristojne za nadzor in izrekanje sankcij glede obdelav osebnih podatkov, izvršenih v okviru izvajanja zadeve sodišča iz 6. točke drugega odstavka 5. člena tega zakona, ali s tem povezanega odločanja strokovnih sodelavcev ali sodniških pomočnikov po odredbi sodišča, kot to opredeljuje zakon, ki ureja sodišča, ali po določbah drugih zakonov, ki določajo njihovo samostojno delovanje.
(2) Nadzorne osebe niso pristojne za nadzor in izrekanje sankcij glede obdelav osebnih podatkov, izvedenih v okviru neodvisnega sodniškega odločanja Ustavnega sodišča Republike Slovenije v zadevah odločanja iz prejšnjega odstavka.
(3) Nadzorne osebe niso pristojne za nadzor in izrekanje sankcij glede obdelav osebnih podatkov s strani stečajnih upraviteljev, izvršiteljev, sodnih tolmačev, sodnih izvedencev in sodnih cenilcev v zadevah, v katerih po odredbi sodišča delujejo v postopkih iz prvega odstavka tega člena.
(4) Nadzorne osebe pri opravljanju nadzora in izrekanju sankcij ne smejo vpogledati, zabeležiti, kopirati, prepisati ali drugače prevzeti identifikacijskih osebnih podatkov oziroma kopirati nobene dokumentacije glede:
1. obdelav osebnih podatkov na področjih obveščevalno-varnostne in protiobveščevalne dejavnosti v delu, kjer je izvedena identifikacija tajnih delavcev oziroma sodelavcev v skladu z zakonom, ki ureja obrambo, ali zakonom, ki ureja Slovensko obveščevalno-varnostno agencijo,
2. obdelav osebnih podatkov varnostno preverjanih oseb v skladu z zakonom, ki ureja tajne podatke, v delu, kjer je izvedena identifikacija virov ugotavljanja oziroma preverjanja prejetih osebnih podatkov, ki jih organom, pristojnim za varnostno preverjanje, posredujejo pristojni organi v skladu z zakonom, ki ureja obrambo, ali zakonom, ki ureja Slovensko obveščevalno-varnostno agencijo;
3. obdelav osebnih podatkov pobudnikov v postopkih na podlagi zakona, ki ureja Varuha človekovih pravic, ali drugih zakonov, ki urejajo njegove pristojnosti, drugih posameznikov, kadar je Varuh človekovih pravic postopek začel na lastno pobudo, in posameznikov, za katere je Varuh človekovih pravic vložil ustavno pritožbo, v delu, kjer je izvedena njihova identifikacija.
(5) Ne glede na določbe prejšnjega odstavka lahko nadzorne osebe na področjih iz prejšnjega odstavka pri izvajanju nadzora po tem zakonu vpogledajo, zabeležijo, kopirajo, prepišejo ali drugače prevzamejo identifikacijske osebne podatke oziroma druge podatke, če je prijavo glede svojih osebnih podatkov podal prijavitelj s posebnim položajem, pri opravljanju nadzora pa ni dopustno razkriti podatkov o delovanju upravljavca iz prejšnjega odstavka v konkretni zadevi.
(6) Ob izvajanju nadzora nad osebnimi podatki, ki se obdelujejo za namene zagotavljanja varnosti države, ki so jih organom Republike Slovenije, pristojnim za področji varnosti države, posredovali tuji organi, pristojni za ti področji, ali ki so bili pridobljeni v sodelovanju z njimi, se sme izvesti vpogled, kopiranje, prepis ali drugi prevzem le tistih podatkov, za katere je tuji organ, ki je podatke posredoval ali pridobil, podal predhodno soglasje za vpogled ali drug prevzem.
(7) Nadzorni organ lahko nadzor pri Varuhu človekovih pravic uvede le na podlagi prijave prijavitelja, nadzor iz 37. člena tega zakona pa le na predlog Varuha človekovih pravic. Nadzorne osebe izvajajo nadzor in izrekajo sankcije glede obdelav osebnih podatkov pri Varuhu človekovih pravic tako, da ne posegajo v izvajanje nadzorov glede varovanja človekovih pravic in temeljnih svoboščin ter da se ne razkrivajo podatki iz zaupnega postopka.
(sodelovanje z drugimi organi)
(1) Nadzorni organ pri svojem delu sodeluje z državnimi organi, Odborom, drugimi pristojnimi organi Evropske unije za varstvo posameznikov pri obdelavi osebnih podatkov ter podobnimi organi Sveta Evrope, drugimi mednarodnimi organizacijami, nadzornimi organi tretjih držav za varstvo osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s področja varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in organi glede vprašanj, pomembnih za varstvo osebnih podatkov.
(2) Nadzorni organ je pristojen tudi za čezmejno sodelovanje ali izvajanje nadzorov z drugimi nadzornimi organi držav.
(3) V okviru postopkov skupnega ukrepanja po 62. členu Splošne uredbe člani ali osebje nadzornega organa druge države članice Evropske unije izvajajo nadzor tako, da nadzor vodi nadzorni organ, če se nadzor izvaja na ozemlju Republike Slovenije ali v okviru pristojnosti nadzornega organa v skladu s tem zakonom, pri čemer lahko uporabljajo le nadzorna pooblastila iz tega zakona in Splošne uredbe, če jih je za to pooblastil nadzorni organ. Člani ali osebje nadzornega organa druge države članice Evropske unije krijejo svoje stroške.
Nadzorne osebe neposredno opravljajo nadzore po tem zakonu, pri nadzorih pa lahko sodeluje strokovno osebje nadzornega organa.
(1) Nadzorna oseba s službeno izkaznico izkazuje pooblastilo za opravljanje nadzora po tem in drugih zakonih. Službena izkaznica vsebuje fotografijo nadzorne osebe, osebno ime, naziv nadzorne osebe, strokovni ali znanstveni naslov, navedbo organa in pooblastilo za izvajanje nadzora, datum izdaje in podpis predstojnika nadzornega organa.
(2) Obliko službene izkaznice podrobneje določi predstojnik nadzornega organa in jo objavi v Uradnem listu Republike Slovenije.
(3) Službeno izkaznico izda nadzorni organ.
(1) Nadzorna oseba je dolžna varovati tajnost osebnih podatkov, s katerimi se seznani pri opravljanju nadzora, tudi po prenehanju delovnega razmerja ali funkcije.
(2) Dolžnost iz prejšnjega odstavka velja tudi za vse javne uslužbence ali druge osebe pri nadzornem organu, ki sodelujejo pri postopkih v skladu s tem zakonom.
9. poglavje Zunanji nadzor delovanja nadzornega organa
(letno poročilo nadzornega organa)
(1) Nadzorni organ v svojem letnem poročilu poroča državnemu zboru o stanju na področju varstva osebnih podatkov ter povezanih ugotovitvah, predlogih in priporočilih. To poročilo je del skupnega letnega poročila v skladu z zakonom, ki ureja Informacijskega pooblaščenca.
(2) Poročilo iz prejšnjega odstavka vsebuje tudi informacije o sodelovanju z drugimi organi pri izvajanju nadzorov po tem zakonu ter o predlaganih in opravljenih nadzorih iz 38. ter četrtega odstavka 63. člena tega zakona.
(3) Poročilo se posreduje tudi Evropski komisiji in Odboru ter je dostopno javnosti.
(pristojnosti Varuha človekovih pravic)
(1) Varuh človekovih pravic opravlja svoje naloge na področju varstva osebnih podatkov v razmerju do državnih organov, organov samoupravnih lokalnih skupnosti in nosilcev javnih pooblastil v skladu z zakoni, ki določajo njegove pristojnosti ali pooblastila.
(2) Varstvo osebnih podatkov je posebno delovno področje Varuha človekovih pravic.
(3) Varuh v svojem letnem poročilu poroča državnemu zboru o ugotovitvah, predlogih in priporočilih ter o stanju na področju varstva osebnih podatkov.
(4) Varuh človekovih pravic lahko nadzornemu organu predlaga izvedbo nadzora po 37. členu tega zakona pri katerem koli upravljavcu ali obdelovalcu. Predlog iz prejšnjega stavka lahko nadzorni organ zavrne z navedbo razlogov, ki jih sporoči Varuhu človekovih pravic. V postopku izvajanja nadzora se lahko nadzorni organ in Varuh človekovih pravic dogovorita za skupno opravljanje nadzora.
(pristojnosti državnega zbora)
(1) Stanje na področju varstva osebnih podatkov in izvrševanje določb tega zakona spremlja državni zbor na podlagi letnih poročil iz 62. ter tretjega odstavka 63. člena tega zakona.
(2) Pristojno delovno telo državnega zbora za nadzor obveščevalnih in varnostnih služb lahko sodeluje z nadzornim organom, na lasten predlog ali na pobudo nadzornega organa pa sodeluje tudi glede sprememb zakonov ali drugih predpisov. Pristojno delovno telo in nadzorni organ si lahko za namen izvajanja njunih samostojnih nadzorov ob upoštevanju zakona, ki ureja tajne podatke, posredujeta ugotovitve tudi o obdelavah osebnih podatkov iz nezaključenih ali zaključenih nadzorov, kadar obstaja možnost večjih ali sistemskih kršitev ali potreba za sodelovanje pri izvedbi pristojnega nadzora. Po izvedeni izmenjavi lahko o posredovanih ugotovitvah obvestita nadzorovanega upravljavca, razen če bi to škodovalo izvajanju nadzora.
(1) Prenosi osebnih podatkov iz Republike Slovenije v tretje države ali mednarodne organizacije se izvajajo le v skladu z določbami V. poglavja Splošne uredbe.
(2) Nadzorni organ je pristojen za odločanje po določbah tretjega odstavka 46. člena in 47. člena Splošne uredbe.
(3) Nadzorni organ odloča o prenosih osebnih podatkov po zakonu, ki ureja splošni upravni postopek, če ta zakon ali Splošna uredba ne določata drugače.
Osebni podatki zunaj področja uporabe prava Evropske unije se posredujejo v države članice Evropske unije, tretje države ali mednarodne organizacije le po določbah tega poglavja ali če to določa drug zakon, ob smiselni uporabi določb 44., drugega odstavka 45., 48. in 49. člena Splošne uredbe.
(odstopanja v posebnih primerih)
(1) Po določbah tega člena se osebni podatki iz prejšnjega člena posredujejo v državo članico Evropske unije, v tretjo državo ali mednarodno organizacijo, če to ni možno po določbah prejšnjega člena oziroma niso bili sprejeti ustrezni zaščitni ukrepi iz 46. člena Splošne uredbe.
(2) Upravljavec ali obdelovalec lahko na podlagi dovoljenja nadzornega organa vzpostavita ustrezne zaščitne ukrepe, ki zagotavljajo učinkovito varstvo osebnih podatkov in pomenijo ustrezno pravno podlago za prenos osebnih podatkov. Nadzorni organ izda dovoljenje na podlagi smiselne uporabe določb tretjega odstavka 46. člena Splošne uredbe.
(3) Upravljavec ali obdelovalec dokumentira ustrezne zaščitne ukrepe v evidenci dejavnosti obdelav.
(4) Kadar ne obstaja druga pravna podlaga za posredovanje osebnih podatkov v tretjo državo ali mednarodno organizacijo, se lahko prenos v tretjo državo ali mednarodno organizacijo izjemoma izvede, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo človekove pravice ali temeljne svoboščine ali interesi posameznika, na katerega se nanašajo osebni podatki, ter pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o takem prenosu naknadno najpozneje v roku treh delovnih dni obvesti nadzorni organ. Upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, informacije iz 13. in 14. člena Splošne uredbe ter bistvene informacije o izvedenem prenosu in opis nujnih zakonitih interesov iz prvega stavka tega odstavka.
(5) Določbe prejšnjih odstavkov se ne uporabljajo za posredovanje osebnih podatkov v tretje države ali mednarodne organizacije, ki se izvaja za namene varnosti države.
II. DEL PODROČNE UREDITVE OBDELAVE OSEBNIH PODATKOV
(obdelava osebnih podatkov za raziskovalne namene)
(1) Obdelava osebnih podatkov za znanstvenoraziskovalne, zgodovinskoraziskovalne in statistične namene (v nadaljnjem besedilu: raziskovanje) je dovoljena organizacijam in posameznikom, ki pri svojem delovanju uporabljajo etična načela in metodologijo s področja raziskovanja ter pravila glede varstva osebnih podatkov iz tega poglavja.
(2) Šteje se, da namen obdelave osebnih podatkov za raziskovanje ni v nasprotju z namenom njihovega zbiranja.
(3) Za dostop do osebnih podatkov za namene raziskovanja se smiselno uporabljajo določbe 2. poglavja I. dela tega zakona glede postopka pred upravljavcem in obdelovalcem.
(pogoji obdelave osebnih podatkov za raziskovalne namene)
(1) Ne glede na prvotni namen obdelave lahko upravljavec osebne podatke, vključno s posebnimi vrstami osebnih podatkov, nadalje obdeluje za namen raziskovanja, če tako obdelavo dovoljuje drug zakon ali če:
1. posameznik, na katerega se ti podatki nanašajo, ni prepovedal obdelave svojih osebnih podatkov za namen raziskovanja ali prepovedal obdelave svojih osebnih podatkov na določenem raziskovalnem področju, ki vključuje tudi namene raziskave, ali
2. je posameznik, na katerega se nanašajo osebni podatki, ki pomenijo poklicno skrivnost, za obdelavo dal pisno soglasje.
(2) Raziskovalne organizacije ter raziskovalci, ki so pri raziskovanju vezani na etična načela in metodologijo iz prvega odstavka prejšnjega člena, lahko za namene raziskovanja od upravljavca pridobijo osebne podatke, vključno s posebnimi vrstami osebnih podatkov, če predložijo opis raziskave, ki vključuje:
1. naslov raziskave in navedbo nosilcev raziskave (za fizične osebe osebno ime, naziv in prebivališče, za pravno osebo pa firmo, matično številko in sedež);
2. podatke o izvajalcih raziskave (osebno ime, naziv, prebivališče, morebitno razmerje do nosilca raziskave in morebitna šifra raziskovalca);
3. namene oziroma cilje raziskave;
4. predvidena sredstva in dejanja obdelave osebnih podatkov, vključno z navedbo etičnih načel in metodologije iz prvega odstavka prejšnjega člena in ukrepi za varnost osebnih podatkov;
5. vrste osebnih podatkov, ki bi jih želeli pridobiti od upravljavca, in kategorije posameznikov, na katere se nanašajo ti podatki;
6. obliko, v kateri želijo prejeti osebne podatke (izvorni osebni podatki, psevdonimizirani osebni podatki, osebni podatki v obliki, ki ne omogoča identifikacije, anonimizirani podatki), in navedbo razloga za določeno obliko podatkov;
7. način objave ali drugačne dostopnosti raziskave.
(3) Opisu raziskave iz prejšnjega odstavka se pod pogoji iz prvega odstavka 35. člena Splošne uredbe priloži ocena učinka v zvezi z varstvom osebnih podatkov, pod pogoji iz 36. člena Splošne uredbe oziroma kadar gre za osebne podatke, ki jih upravljavec obdeluje na podlagi zakona, ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj, pa tudi zaključke posvetovanja z nadzornim organom.
(4) Upravljavec zavrne posredovanje osebnih podatkov:
1. če niso izpolnjeni pogoji iz drugega in tretjega odstavka tega člena;
2. če oceni, da zahtevani osebni podatki niso primerni za izvedbo raziskave;
3. če oceni, da nameni oziroma cilji raziskave ne upravičujejo posega v pravice posameznikov, na katere se nanašajo osebni podatki;
4. če upravljavec iz zasebnega sektorja in raziskovalna organizacija oziroma raziskovalec ne dosežeta soglasja o ceni posredovanja podatkov;
5. če oceni, da ukrepi za varnost osebnih podatkov niso ustrezni, ali
6. če gre za tajne podatke v skladu z zakonom o tajnih podatkih.
(5) Upravljavec in izvajalec raziskave posameznikov, na katere se nanašajo podatki, ne obveščata o obdelavah njihovih osebnih podatkov, razen če drug zakon določa drugače. Upravljavec osebnih podatkov o posredovanju osebnih podatkov izvajalcu raziskave obvesti javnost z objavo na svojih spletnih straneh. Objava obsega navedbo naslova raziskave, namene oziroma cilje raziskave, navedbo kategorij posameznikov in vrst osebnih podatkov, posredovanih izvajalcu raziskave.
(6) Osebni podatki, ki so bili predmet raziskave, se ob zaključku raziskave uničijo ali nepovratno anonimizirajo, razen če drug zakon določa drugače, če je posameznik privolil v nadaljnjo hrambo osebnih podatkov ali je nadaljnja hramba pomembna za izvršitev namena raziskave. Izvajalec raziskave upravljavca, ki mu je posredoval osebne podatke, ob zaključku raziskave pisno obvesti, ali, kdaj in kako jih je uničil ali z njimi ravnal drugače.
(7) Rezultati raziskave se objavijo v anonimizirani obliki. Rezultati raziskave se lahko objavijo tudi v psevdonimizirani obliki, če objava podatkov v anonimizirani obliki iz tehničnih razlogov ali zaradi zasledovanja ciljev raziskave ni mogoča. Rezultati raziskave lahko vsebujejo tudi osebne podatke, če ta ali drug zakon to določa ali če je posameznik, na katerega se nanašajo osebni podatki, za objavo osebnih podatkov dal pisno privolitev ali če je za tako objavo v času po smrti posameznika dana pisna privolitev oseb v izključujočem vrstnem redu iz prvega stavka petega odstavka 9. člena tega zakona. Osebni podatki iz raziskave se ne smejo objaviti, če je to v nasprotju z interesom varovanja tajnosti ali zaupnosti uradnih postopkov ali če ti postopki še niso zaključeni.
(8) Posameznik, na katerega se nanašajo osebni podatki, ima v razmerju do upravljavca ali izvajalca raziskave pravico dostopa do lastnih osebnih podatkov iz 15. člena Splošne uredbe in pravico do ugovora iz šestega odstavka 21. člena Splošne uredbe, druge pravice pa lahko uresničuje le, če to ne ogrozi namena raziskave.
(9) Upravljavci, ki so subjekti javnega sektorja, za namene raziskovanja po tem poglavju izvajalcu raziskave osebne podatke posredujejo brezplačno.
(1) V okviru obdelave osebnih podatkov za raziskovanje upravljavec izjemoma lahko obdeluje tudi osebne podatke ciljne skupine posameznikov zaradi pridobitve privolitev za obdelavo njihovih osebnih podatkov ali zaradi pridobitve dodatnih podatkov ali pojasnil za namene raziskovanja.
(2) Upravljavec lahko na podlagi zbirk, s katerimi razpolaga v okviru zakonitega opravljanja dejavnosti, proti plačilu stroškov obdelave osebnih podatkov kontaktira posameznike z namenom pridobivanja privolitev za izvrševanje namenov iz prejšnjega odstavka.
(3) Za namen kontaktiranja se lahko obdelujejo naslednji osebni podatki: osebno ime, naslov stalnega ali začasnega prebivališča, telefonska številka in naslov elektronske pošte.
(4) Upravljavec lahko zavrne obdelavo podatkov iz prvega in drugega odstavka tega člena, če s predlagano obdelavo ne soglaša.
(obdelava podatkov za namene arhivskega delovanja)
(1) Obdelava osebnih podatkov za namene arhivskega delovanja je dovoljena, če to določa zakon. Upravljavec v skladu z zakonom določi ukrepe za varnost osebnih podatkov ter primerne in posebne ukrepe za varstvo interesov posameznika, na katerega se nanašajo osebni podatki, zlasti glede posebnih vrst osebnih podatkov.
(2) Posameznik, na katerega se nanašajo osebni podatki, nima pravice do dostopa do lastnih osebnih podatkov v arhivskem gradivu v skladu s 15. členom Splošne uredbe, če bi dajanje informacij ali kopij njegovih osebnih podatkov zahtevalo očitno nesorazmeren napor. Posameznik, na katerega se nanašajo osebni podatki, nima pravice zahtevati:
1. popravka osebnih podatkov zaradi netočnosti ali neposodobljenosti v skladu s 16. členom Splošne uredbe;
2. izbrisa v skladu s 17. členom Splošne uredbe;
3. omejitve obdelave v skladu z 18. členom Splošne uredbe;
4. prenosljivosti osebnih podatkov v skladu z 20. členom Splošne uredbe in
5. izvršitve pravice do ugovora v skladu z 21. členom Splošne uredbe.
(3) Če posameznik, na katerega se nanašajo osebni podatki, navaja netočnost ali neposodobljenost svojih osebnih podatkov, ima možnost dati dopolnilno izjavo z navedbo nasprotnih dejstev. Upravljavec v primeru utemeljenosti dopolnilno izjavo priloži arhivskemu gradivu ali na gradivu ustrezno označi, kje je ta izjava.
(4) Ta člen se ne uporablja, če zakon, ki ureja varstvo dokumentarnega in arhivskega gradiva ter arhive, določa drugače.
(obdelava podatkov za namene statističnega raziskovanja)
(1) Obdelava osebnih podatkov za namene izvajanja državne statistike je dovoljena, če je to v javnem interesu, ki ga določa zakon. Upravljavec v skladu z zakonom določi ukrepe za varnost osebnih podatkov ter primerne in posebne ukrepe za varstvo interesov posameznika, na katerega se nanašajo osebni podatki, zlasti glede posebnih vrst osebnih podatkov.
(2) Posameznik, na katerega se nanašajo osebni podatki, nima pravice do dostopa do lastnih osebnih podatkov v statističnem gradivu ali v zbirkah statističnih raziskav Statističnega urada Republike Slovenije v skladu s 15. členom Splošne uredbe in pravice do omejitve obdelave v skladu z 18. členom Splošne uredbe, če bi dajanje informacij ali kopij njegovih osebnih podatkov zahtevalo očitno nesorazmeren napor ali kadar upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki v skladu z 11. členom Splošne uredbe. Pravico do popravka v skladu s 16. členom Splošne uredbe lahko posameznik uveljavlja le, če je upravljavec podatke od njega pridobil neposredno in le do trenutka začetka statistične obdelave. Posameznik, na katerega se nanašajo osebni podatki, nima pravice do izbrisa v skladu s 17. členom Splošne uredbe in pravice do ugovora v skladu z 21. členom Splošne uredbe.
(3) Ta člen se ne uporablja, če zakon, ki ureja delovanje državne statistike, določa drugače.
(varstvo svobode izražanja v razmerju do pravice do varstva osebnih podatkov)
(1) Obdelava osebnih podatkov v okviru uresničevanja svobode izražanja misli, govora in javnega nastopanja, tiska in drugih oblik javnega obveščanja in izražanja v okvirih pravnega reda Republike Slovenije je dovoljena. Vsakdo lahko svobodno zbira, sprejema in širi vesti in mnenja ter obdeluje v njih vsebovane osebne podatke, potrebne za ta namen.
(2) V okviru svobode izražanja se lahko osebni podatki za namene obveščanja javnosti s strani medijev, književnega, umetniškega ali raziskovalnega ustvarjanja, resne kritike, obrambe kakšne pravice ali varstva upravičene koristi in izobraževanja ali izobraževanja prek javno dostopnih objav in publikacij, obdelajo, objavijo ali drugače razkrijejo, če:
1. je posameznik za obdelavo, objavo ali razkritje osebnih podatkov dal privolitev;
2. je posameznik osebne podatke že javno objavil ali dal na razpolago javnosti;
3. so osebni podatki na zakonit način že bili dostopni javnosti;
4. so bili osebni podatki pridobljeni na podlagi prisotnosti posameznika na javno dostopnih krajih ali dogodkih, kjer posameznik glede na vse okoliščine ne more razumno pričakovati varstva zasebnosti, ter na način, ki ne pomeni občutnega posega v razumno pričakovano zasebnost;
5. gre za zakonito objavo mnenja ali vrednostne ocene, kjer je objava osebnih podatkov nujna za utemeljitev tega mnenja ali vrednostne ocene;
6. so bili osebni podatki pridobljeni na drug zakonit način;
7. javni interes po obveščanju javnosti, pravica do obveščenosti ter svoboda izražanja prevladajo nad upravičenimi interesi varstva zasebnosti in drugih osebnostnih pravic posameznika ali
8. tako določa drug zakon.
(3) Uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, ki se obdelujejo po tem členu, zagotavljajo sodišča v skladu z določbami drugih zakonov, ki urejajo svobodo izražanja in sodno varstvo.
(4) Upravljavci ali obdelovalci ne smejo za namene izvajanja svobode izražanja nezakonito razkriti, nezakonito posredovati ali omogočiti nepooblaščenega dostopa do osebnih podatkov.
(1) Zavezanci po zakonu, ki ureja dostop do informacij javnega značaja, javnosti posredujejo osebne podatke, če so ti po zakonu javni ali če je za njihovo razkritje dan prevladujoč javni interes v skladu z zakonom, ki ureja dostop do informacij javnega značaja.
(2) Kadar zakon določa javnost podatkov ali kadar gre za podatke, ki so informacija javnega značaja, jih upravljavec, ki z njimi razpolaga, lahko javno objavi.
(izjema glede obveščanja posameznika)
Če so osebni podatki javni na podlagi zakona, posameznika, na katerega se nanašajo osebni podatki, ni treba obveščati v skladu s 13. in 14. členom Splošne uredbe ali vabiti k stranski udeležbi v skladu z določbami zakona, ki ureja splošni upravni postopek.
(splošne določbe o videonadzoru in varstvu osebnih podatkov)
(1) Določbe tega poglavja se uporabljajo za izvajanje videonadzora, če drug zakon ne določa drugače.
(2) Odločitev o uvedbi videonadzora sprejme predstojnik, direktor ali drug pooblaščen posameznik osebe javnega sektorja ali osebe zasebnega sektorja kot upravljavca. V pisni odločitvi morajo biti obrazloženi razlogi za uvedbo videonadzora.
(3) Upravljavec, ki izvaja videonadzor (v nadaljnjem besedilu: upravljavec videonadzornega sistema), o odločitvi iz prejšnjega odstavka objavi obvestilo. Obvestilo se vidno in razločno objavi na način, ki omogoča posamezniku, da se seznani z izvajanjem videonadzora in da se lahko vstopu v nadzorovano območje odpove.
(4) Obvestilo iz prejšnjega odstavka poleg informacij iz prvega odstavka 13. člena Splošne uredbe vsebuje naslednje informacije:
1. pisno ali nedvoumno grafično opisano dejstvo, da se izvaja videonadzor;
2. namene obdelave, navedbo upravljavca videonadzornega sistema, telefonsko številko ali naslov elektronske pošte ali spletni naslov za potrebe uveljavljanja pravic posameznika s področja varstva osebnih podatkov;
3. informacije o posebnih vplivih obdelave, zlasti nadaljnje obdelave;
4. kontaktne podatke pooblaščene osebe (telefonska številka ali naslov e-pošte);
5. neobičajne nadaljnje obdelave, kot so prenosi subjektom v tretje države, spremljanje dogajanja v živo, možnost zvočne intervencije v primeru spremljanja dogajanja v živo.
(5) Namesto objave v obvestilu po tretjem odstavku tega člena se lahko obveščanje posameznika izvede tudi na način, da upravljavec informacije iz prvega odstavka 13. člena Splošne uredbe in informacije iz 3. do 5. točke prejšnjega odstavka objavi na spletnih straneh. V tem primeru mora na obvestilu iz prejšnjega odstavka objaviti spletni naslov, kjer so te informacije dostopne.
(6) Šteje se, da je z obvestilom iz tretjega in petega odstavka tega člena posameznik obveščen o obdelavi osebnih podatkov.
(7) Zbirka posnetkov videonadzornega sistema vsebuje posnetek posameznika (slika), podatek o lokaciji, datum in čas posnetka, izjemoma, če je to posebej nujno potrebno, pa tudi zvok.
(8) Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan, kot to določata 24. in 32. člen Splošne uredbe.
(9) Posnetki videonadzora se lahko ob upoštevanju načel iz 5. člena Splošne uredbe hranijo največ eno leto od trenutka nastanka posnetka.
(10) Videonadzora ni dovoljeno izvajati v dvigalih, sanitarijah, prostorih za preoblačenje, hotelskih sobah in drugih podobnih prostorih, v katerih posameznik utemeljeno pričakuje višjo stopnjo zasebnosti.
(11) Vpogled, uporaba ali posredovanje posnetkov videonadzornega sistema so dopustni samo za namene, ki so zakonito obstajali ali bili navedeni na obvestilu v času zajema posnetka.
(12) Upravljavec videonadzornega sistema za vsak vpogled ali uporabo posnetkov zagotovi možnost naknadnega ugotavljanja, kateri posnetki so bili obdelani, kdaj in kako so bili uporabljeni ali komu so bili posredovani, kdo je izvedel ta dejanja obdelave, kdaj in s kakšnim namenom ali na kateri pravni podlagi. Te podatke hrani v dnevniku obdelave iz 22. člena tega zakona dve leti po koncu leta, ko so nastali.
(videonadzor dostopa v uradne službene oziroma poslovne prostore)
(1) Upravljavci videonadzornega sistema v javnem in zasebnem sektorju lahko izvajajo videonadzor dostopa v uradne službene oziroma poslovne prostore, če je to potrebno za varnost ljudi ali premoženja, zaradi zagotavljanja nadzora vstopa v te prostore ali izstopa iz njih ali če zaradi narave dela obstaja možnost ogrožanja zaposlenih.
(2) Videonadzor se izvaja brez snemanja delov stanovanjskih stavb, ki niso prostori iz prejšnjega odstavka in snemanja vhodov v stanovanja.
(3) O izvajanju videonadzora in o vsebinah iz četrtega odstavka prejšnjega člena so pisno obveščeni vsi zaposleni, ki opravljajo delo v nadzorovanem prostoru.
(4) Videonadzor je dovoljen, če s tem soglašajo lastniki, ki imajo v lasti več kot 70-odstotni delež skupnih delov.
(5) Zbirka osebnih podatkov po tem členu lahko vsebuje poleg podatkov iz sedmega odstavka prejšnjega člena tudi datum in čas vstopa v uradni službeni prostor in izstopa iz njega, osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlog vstopa, če se navedeni osebni podatki zbirajo skupaj s posnetkom videonadzornega sistema.
(videonadzor znotraj delovnih prostorov)
(1) Izvajanje videonadzora znotraj delovnih prostorov se lahko izvaja le, kadar je to nujno potrebno za varnost ljudi ali premoženja ali preprečevanje ali odkrivanje kršitev na področju iger na srečo ali za varovanje tajnih podatkov ali poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi.
(2) Videonadzor se lahko izvaja le glede tistih delov prostorov in v obsegu, kjer je treba varovati interese iz prejšnjega odstavka.
(3) Prepovedano je z videonadzorom snemati delovna mesta, kjer delavec po navadi dela, razen če je to nujno v skladu s prvim odstavkom tega člena.
(4) Neposredno spremljanje dogajanja pred kamerami je pod pogoji iz prvega in drugega odstavka tega člena dopustno le, če ga izvaja izrecno pooblaščeno osebje upravljavca.
(5) Zaposleni so pred začetkom izvajanja videonadzora po tem členu vnaprej pisno obveščeni o njegovem izvajanju.
(6) Pred uvedbo videonadzora v osebi javnega ali zasebnega sektorja se mora delodajalec posvetovati z reprezentativnimi sindikati pri delodajalcu in svetom delavcev oziroma delavskim zaupnikom. Posvetovanje se izvede v roku 30 dni ali v drugem daljšem roku, ki ga določi delodajalec. Kadar gre za uvedbo videonadzora v skladu s tretjim odstavkom tega člena, se posvetovanje izvede v roku 60 dni ali v drugem daljšem roku, ki ga določi delodajalec.
(7) Na področju varnosti države in varovanja tajnih podatkov, razen za varovanje tajnih podatkov najnižje stopnje tajnosti, in za koncesionarje po zakonu, ki ureja igre na srečo, v delih prostorov, kjer se izvajajo igre na srečo, se ne uporablja prejšnji odstavek.
(8) Videonadzor skupnih prostorov v poslovnih zgradbah je dovoljen, če s tem soglašajo lastniki, ki imajo v lasti več kot 70-odstotni delež skupnih delov.
(videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu)
(1) Videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu, se sme izvajati le v delih prevoznega sredstva, namenjenih potnikom, za namen varnosti potnikov in premoženja, če tega ni mogoče doseči z drugimi ukrepi, ki manj posegajo v pravice iz prvega odstavka 1. člena tega zakona.
(2) Upravljavec mora uničiti posnetke najpozneje v sedmih dneh po njihovem nastanku. Posnetki se smejo uporabljati za uveljavljanje ali obrambo pravnih zahtevkov ali za izvrševanje nalog policije.
(videonadzor na javnih površinah)
(1) Videonadzor na javnih površinah, kot jih določa zakon, ki ureja urejanje prostora, je dovoljen le, kadar je to potrebno zaradi obstoja resne in utemeljene nevarnosti za življenje, osebno svobodo, telo ali zdravje ljudi, varnost premoženja upravljavca ali varovanje tajnih podatkov upravljavca ali obdelovalca v prenosu in teh namenov ni mogoče doseči z drugimi sredstvi, ki manj posegajo v pravice iz prvega odstavka 1. člena tega zakona. Videonadzor na javnih površinah je dovoljen tudi za namene varovanja varovanih oseb ter posebnih objektov in okolišev objektov, ki jih varuje policija, Slovenska vojska, pristojni organi za področje varnosti države, pravosodna policija, oziroma varovanja drugih prostorov, zgradb ali območij, ki jih je treba varovati na podlagi zakona, in sicer samo v obsegu in trajanju, potrebnem za doseganje namena. Vpogled, uporaba ali posredovanje posnetkov so dopustni le za te namene.
(2) Videonadzor se lahko izvaja le glede tistih bližnjih ali povezanih delov javne površine in v obsegu, kjer je treba varovati interese iz prejšnjega odstavka.
(3) Videonadzor na javnih površinah lahko izvaja oseba javnega ali zasebnega sektorja, ki upravlja z javno površino ali na njej zakonito opravlja dejavnost. Videonadzor smejo za javni sektor izvajati le uradne osebe ali pooblaščeno varnostno osebje, za zasebni sektor pa pooblaščeno varnostno osebje. Osebe ali osebje iz prejšnjega stavka mora biti izrecno pooblaščeno za izvajanje videonadzora.
(4) Videonadzor se lahko izvaja tudi na način, da se ob snemanju izvaja spremljanje dogajanja v živo.
(5) Videonadzor iz prvega odstavka tega člena se za namen varovanja oseb, tajnih podatkov v prenosu, poslovnih skrivnosti ali premoženja večje vrednosti lahko opravlja tudi z uporabo telesne kamere, če jo uporablja za to posebej usposobljena oseba.
(6) Posnetki videonadzora na javnih površinah se lahko hranijo največ šest mesecev od trenutka nastanka posnetka.
(7) Upravljavec videonadzornega sistema, ki izvaja videonadzor javnih površin, mora v primeru, ko videonadzorni sistem posname dogodek, ki ogroža zdravje ali življenje posameznika, o tem nemudoma obvestiti policijo ali drug pristojni subjekt.
(8) Na področju videonadzora cestnega prometa sme upravljavec izvajati videonadzor le na vnaprej določenih odsekih cest v svojem upravljanju, tako da se ne izvaja sistemsko nadzorovanje gibanja posameznikov ali poseganje v zasebnost posameznikov. Upravljavec mora v skladu z zakonom določiti tiste odseke ceste v svojem upravljanju, kjer z drugimi sredstvi ni mogoče doseči nujnega in učinkovitega varovanja cestnega prometa ali njegovega upravljanja.
(9) Upravljavec videonadzornega sistema iz prejšnjega odstavka mora pred dokončno določitvijo lokacij iz prejšnjega odstavka izdelati oceno učinka, ki vsebuje lokacijo odsekov cest, in jo posredovati v predhodno mnenje nadzornemu organu.
(10) Na javnih površinah je prepovedana uporaba sistemov za avtomatsko prepoznavo registrskih tablic in sistemov, s katerimi se obdelujejo biometrični osebni podatki.
4. poglavje Obdelava osebnih podatkov z uporabo biometrije in genskih podatkov
(omejitev biometrije in obdelave genskih podatkov)
(1) Obdelava biometričnih osebnih podatkov v nasprotju z določbami tega poglavja je prepovedana.
(2) Če drug zakon določa obdelavo biometričnih osebnih podatkov, poleg vsebin iz drugega ali tretjega odstavka 6. člena tega zakona določi tudi pogoje za njeno uporabo, lahko pa uporabo biometričnih osebnih podatkov tudi omeji.
(3) Prepovedano je povezovati zbirke biometričnih osebnih podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov v skladu z 20. členom Splošne uredbe, razen če to določa drug zakon ali v to privoli posameznik, na katerega se biometrični osebni podatki nanašajo.
(4) Genske podatke posameznika je dopustno obdelovati, kadar to določa drug zakon, za namene zagotavljanja zdravstvenega varstva ali kadar je obdelava potrebna za izvajanje pogodbe, sklenjene izključno zaradi obdelave genskih podatkov v korist pogodbene stranke, ki je posameznik, na katerega se nanašajo osebni podatki.
(biometrija v javnem sektorju)
(1) Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov, identifikacijo pogrešanih ali umrlih posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče doseči z milejšimi sredstvi.
(2) Obdelavo biometričnih osebnih podatkov v javnem sektorju je izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona na način, ki zagotavlja obdelavo in uporabo teh podatkov posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
(3) Ne glede na prvi odstavek tega člena se obdelave biometričnih osebnih podatkov lahko določi z zakonom, če gre za izpolnjevanje obveznosti iz obvezujoče mednarodne pogodbe ali za identifikacijo posameznikov pri prehajanju državnih meja.
(4) Obdelava biometričnih osebnih podatkov v javnem sektorju se lahko določi z zakonom tudi za namen identifikacije posameznikov pri izdaji sredstev elektronske identifikacije v skladu z zakonom, ki ureja sredstva elektronske identifikacije, in če je tako identifikacijo posameznik zahteval.
(5) V javnem sektorju se lahko z drugim zakonom izjemoma uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti.
(biometrija v zasebnem sektorju)
(1) Obdelava biometričnih osebnih podatkov v zasebnem sektorju se lahko izvaja le v skladu z določbami tega člena, če je to nujno potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti. Dejanja obdelave biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom tega zakona.
(2) Oseba zasebnega sektorja lahko obdeluje biometrične osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa drug zakon, če to posebej določa pogodba ali so stranke dale izrecno privolitev. Kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki, omogočiti tudi način identifikacije brez obdelave biometričnih osebnih podatkov.
(3) Obdelava biometričnih osebnih podatkov v zasebnem sektorju se sme izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
(4) Pred začetkom obdelave biometričnih osebnih podatkov morajo biti posamezniki o tem pisno obveščeni, kadar gre za zaposlene, pa mora upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti obdelave.
(5) Oseba zasebnega sektorja, ki namerava obdelovati biometrične osebne podatke, pred začetkom obdelave posreduje nadzornemu organu opis nameravanih obdelav in razloge za njihovo uvedbo.
(6) Nadzorni organ po prejemu posredovanih informacij iz prejšnjega odstavka v dveh mesecih odloči, ali je biometrija v skladu s tem zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko podaljša za največ dva meseca.
(7) Oseba zasebnega sektorja lahko začne izvajati biometrične ukrepe po prejemu odločbe iz prejšnjega odstavka, s katero je izvajanje biometričnih ukrepov dovoljeno.
(8) Zoper odločbo nadzornega organa iz šestega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.
(9) Osebi zasebnega sektorja ni treba pridobiti odločbe iz šestega odstavka tega člena, če se biometrični ukrepi izvajajo na način, določen v tretjem odstavku tega člena.
(prepoved pridobivanja biometričnih osebnih podatkov v zvezi s trženjem)
V okviru trženja ali podobne druge poslovne dejavnosti se ne smejo zahtevati, pridobiti ali nadalje obdelovati biometrični osebni podatki v zamenjavo za določene storitve, četudi so te storitve za posameznika, na katerega se nanašajo osebni podatki, brezplačne.
5. poglavje Evidentiranje vstopov in izstopov
(evidentiranje vstopov in izstopov iz službenih prostorov)
(1) Oseba javnega ali zasebnega sektorja lahko za zagotavljanje varnosti ljudi in premoženja, varovanja tajnih podatkov ter reda v njenih prostorih ali prostorih, ki jih ima v uporabi (v nadaljnjem besedilu: službeni prostori), od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva navedbo vseh ali nekaterih osebnih podatkov iz drugega odstavka tega člena in razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v uradni identifikacijski dokument.
(2) V zbirki o vstopih in izstopih iz službenih prostorov se lahko o posamezniku obdelujejo samo naslednji osebni podatki, kadar je to potrebno: osebno ime, številka in vrsta uradnega identifikacijskega dokumenta, naslov prebivališča, zaposlitev, vrsta in registrska številka vozila ter datum, ura in razlog vstopa ali izstopa v prostore ali izstopa iz njih.
(3) Osebni podatki iz prejšnjega odstavka se lahko hranijo največ dve leti od konca koledarskega leta po vnosu osebnih podatkov v zbirko, nato se izbrišejo ali na drug način uničijo, če drug zakon ne določa drugače.
6. poglavje Javne knjige in varstvo osebnih podatkov
Osebni podatki iz javne knjige, urejene z zakonom, se lahko uporabljajo le v skladu z namenom, za katerega so bili zbrani ali se obdelujejo, če je zakoniti namen njihovega zbiranja ali obdelave določen.
7. poglavje Povezovanje zbirk osebnih podatkov
(povezovanje zbirk javnega sektorja)
(1) Kadar se posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja izrecno določa zakon.
(2) Pred začetkom povezovanja zbirk iz prejšnjega odstavka mora upravljavec oziroma obdelovalec izdelati oceno učinka po 35. členu Splošne uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe.
Če drug zakon ne določa drugače, se določbe tega poglavja uporabljajo za obdelavo osebnih podatkov pri strokovnem nadzoru, določenem z zakonom.
(1) Oseba, ki izvaja strokovni nadzor (v nadaljnjem besedilu: izvajalec strokovnega nadzora) v skladu z drugim zakonom, lahko za namen izvedbe strokovnega nadzora obdeluje vse osebne podatke, ki jih obdelujejo upravljavci osebnih podatkov, nad katerimi izvaja strokovni nadzor.
(2) Izvajalec strokovnega nadzora ima pravico do vpogleda, izpisa, prepisovanja ali kopiranja vseh osebnih podatkov iz prejšnjega odstavka, pri njihovi obdelavi za namene strokovnega nadzora in izdelave poročila ali ocene pa je dolžan varovati njihovo tajnost. V poročilu ali oceni ob zaključku strokovnega nadzora lahko izvajalec strokovnega nadzora zapiše le tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora.
(3) Ne glede na določbe prejšnjih odstavkov se pri izvajanju strokovnega nadzora upoštevajo omejitve iz četrtega odstavka 57. člena tega zakona.
(4) Stroške vpogleda, izpisa, prepisovanja ali kopiranja iz drugega odstavka tega člena krije upravljavec.
(obveščanje posameznika in pridobivanje podatkov)
(1) Izvajalec strokovnega nadzora lahko pri opravljanju strokovnega nadzora, če je to potrebno za uspešen nadzor in tega z drugimi ukrepi ni mogoče doseči, pisno obvesti posameznika, na katerega se nanašajo osebni podatki, da izvaja strokovni nadzor. Obvesti ga, da lahko pisno ali ustno poda svoja stališča in dodatne informacije, pomembne za nadzor, s katerimi razpolaga. Izvajalec strokovnega nadzora lahko s posameznikom, na katerega se nanašajo osebni podatki, opravi razgovor.
(2) Posameznik iz prejšnjega odstavka lahko izvajalcu strokovnega nadzora za namene izvajanja strokovnega nadzora posreduje kontaktne osebne podatke drugega posameznika (osebno ime, zaposlitev, številke ali naslove službenih komunikacijskih sredstev in navedbo povezave z zadevo nadzora), ki bi lahko o zadevi, v kateri se izvaja strokovni nadzor, dal pomembne informacije, s katerimi razpolaga. Če izvajalec strokovnega nadzora ugotovi, da je to potrebno, opravi razgovor tudi z drugim posameznikom.
(posebne vrste osebnih podatkov)
Če se pri izvajanju strokovnega nadzora obdelujejo posebne vrste osebnih podatkov ali podatki iz kazenskih ali prekrškovnih evidenc, se o tem naredi uradni zaznamek ali drug uradni zapis v zadevi ali zbirki upravljavca.
9. poglavje Obdelava kontaktnih podatkov in osebnih dokumentov
Osebe javnega ali zasebnega sektorja lahko javnosti posredujejo in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte vodilnih oseb in tistih zaposlenih, katerih delo je potrebno zaradi poslovanja s strankami oziroma uporabniki storitev, če drug zakon ne določa drugače.
(obdelava osebnih podatkov za izvajanje določenih dejavnosti osebe javnega ali zasebnega sektorja)
(1) Oseba iz javnega ali zasebnega sektorja lahko uporablja kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se nanašajo, prostovoljno razkrili ali dali privolitev, za namene organiziranja uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali delovanje komisij, svetov, delegacij in drugih podobnih dejavnosti javnega sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja. Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih pristojnosti, nalog ali obveznosti.
(2) Za namene iz prejšnjega odstavka lahko oseba javnega sektorja uporablja le naslednje osebne podatke: osebno ime, telefonsko številko, naslov elektronske pošte ali drugo komunikacijsko številko oziroma oznako, podatke o delodajalcu ali organizaciji ter podatke o področju dela, položaju, funkciji, članstvu v klubu ali hobiju posameznika, na katerega se nanašajo osebni podatki. Na podlagi privolitve posameznika lahko oseba javnega sektorja za iste namene obdeluje tudi naslov stalnega ali začasnega prebivališča in druge osebne podatke, posebne vrste osebnih podatkov pa le izjemoma in če ima za to izrecno privolitev posameznika.
(3) Za namene obveščanja javnosti sme oseba javnega ali zasebnega sektorja obdelovati, vključno z objavo, osebna imena, nazive, fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če posameznik te obdelave ni prepovedal.
(obdelava osebnih podatkov iz uradnega identifikacijskega dokumenta)
(1) Upravljavec, obdelovalec ali uporabnik smejo za namen identifikacije posameznika ali za namen zagotavljanja točnosti in posodobljenosti osebnih podatkov vpogledati v njegove uradne identifikacijske dokumente.
(2) Upravljavec, ki izvaja z zakonom predpisano nalogo, sme za namen identifikacije posameznika tudi prepisati, kopirati ali drugače obdelati podatke iz njegovih uradnih identifikacijskih dokumentov.
(3) Uradni identifikacijski dokument po tem členu je osebna izkaznica, potni list, obmejna prepustnica, vozniško dovoljenje, orožni list in uradni identifikacijski dokumenti drugih držav ali mednarodnih organizacij.
(sankcije za kršitve, ki jih predpisuje Splošna uredba)
(1) Sankcije za kršitve, ki jih predpisuje Splošna uredba, se izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih, kot jih določa Splošna uredba.
(2) S tem zakonom se predpisujejo tudi sankcije za kršitve Splošne uredbe, ki so jih storile odgovorne osebe ali posamezniki.
(kršitve določb iz četrtega odstavka 83. člena Splošne uredbe)
(1) Z globo od 100 do 5.000 eurov se kaznuje za prekršek odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost:
1. če krši obveznosti upravljavca ali obdelovalca, kot so določene v 8., 11., 25. do 39. členu ter v 42. in 43. členu Splošne uredbe;
2. če krši obveznosti organa za potrjevanje, kot je določeno v 42. in 43. členu Splošne uredbe;
3. če krši obveznosti organa za spremljanje v skladu s četrtim odstavkom 41. člena Splošne uredbe.
(2) Z globo od 100 do 5.000 eurov se kaznuje za prekršek iz prejšnjega odstavka odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(kršitve določb iz petega in šestega odstavka 83. člena Splošne uredbe)
(1) Z globo od 200 do 8.000 eurov se kaznuje za prekršek odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost:
1. če krši temeljna načela za obdelavo, vključno s pogoji za privolitev, kot so določena v 5., 6., 7. in 9. členu Splošne uredbe;
2. če krši pravice posameznika, na katerega se nanašajo podatki, kot so določene 12. do 22. členu Splošne uredbe;
3. če krši določbe v zvezi s prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, kot so določene v 44. do 49. členu Splošne uredbe;
4. če ne upošteva odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu z drugim odstavkom 58. člena Splošne uredbe, ali če ne zagotovi dostopa, s čimer se krši prvi odstavek 58. člena Splošne uredbe;
5. če ne upošteva popravljalnih ukrepov, ki jih naloži pristojni nadzorni organ v skladu z drugim odstavkom 58. člena Splošne uredbe.
(2) Z globo od 200 do 8.000 eurov se kaznuje za prekršek iz prejšnjega odstavka odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(3) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitve temeljnih določb tega zakona)
(1) Z globo od 4.000 do 12.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 36.000 eurov:
1. če ne uvede ukrepov za zagotavljanje sledljivosti obdelave osebnih podatkov v skladu z 22. členom tega zakona,
2. če zbirke osebnih podatkov iz 1. točke prvega odstavka 23. člena tega zakona hrani izven ozemlja Republike Slovenije (četrti odstavek 23. člena tega zakona);
3. če ne uvede ukrepov sledljivosti posredovanja osebnih podatkov v skladu s šestim odstavkom 41. člena tega zakona.
(2) Z globo od 3.000 do 9.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 400 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 400 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitve določb o uporabi povezovalnega znaka)
(1) Z globo od 1.000 do 8.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 36.000 eurov:
1. če pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s področja zdravstva, varnosti države, sodstva ter iz kazenske ali prekrškovnih evidenc uporablja samo en povezovalni znak, in drug zakon ne določa drugače (prvi odstavek 42. člena tega zakona);
2. če ne napravi uradnega zaznamka ali drugega ustreznega zapisa o nujnosti uporabe izključno enega povezovalnega znaka za predpisane namene (drugi odstavek 42. člena tega zakona);
3. če na področju varnosti države povezovalni znak uporablja v nasprotju z notranjim aktom o varnosti osebnih podatkov (tretji odstavek 42. člena tega zakona).
(2) Z globo od 400 do 2.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 400 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 200 do 1.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev splošnih določb o videonadzoru)
(1) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 20.000 eurov:
1. če se izvaja videonadzor brez pisne odločitve iz drugega odstavka 76. člena tega zakona;
2. če ne objavi obvestila na način iz tretjega odstavka 76. člena tega zakona;
3. če obvestilo ne vsebuje informacij iz četrtega odstavka 76. člena tega zakona;
4. če ne zavaruje videonadzornega sistema, s katerim izvaja videonadzor, na način iz osmega odstavka 76. člena tega zakona.
(2) Z globo od 1.000 do 2.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 100 do 1.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(težje kršitve določb o videonadzoru)
(1) Z globo od 8.000 do 20.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 16.000 do 40.000 eurov:
1. če se posnetki videonadzora hranijo več kot eno leto od trenutka nastanka posnetka (deveti odstavek 76. člena tega zakona);
2. če se videonadzor izvaja v dvigalih, sanitarijah, prostorih za preoblačenje, hotelskih sobah in drugih podobnih prostorih, v katerih lahko posameznik utemeljeno pričakuje višjo stopnjo zasebnosti (deseti odstavek 76. člena tega zakona).
(2) Z globo od 4.000 do 10.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 400 do 3.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o videonadzoru glede dostopa v uradne službene oziroma poslovne prostore)
(1) Z globo od 2.000 do 5.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 2.000 do 8.000 eurov:
1. če izvaja videonadzor ali obdeluje posnetke v nasprotju z namenom iz prvega odstavka 77. člena tega zakona;
2. če izvaja videonadzor v nasprotju s prepovedjo snemanja delov stanovanjskih stavb in vhodov v stanovanja (drugi odstavek 77. člena tega zakona);
3. če pisno ne obvesti zaposlenih, ki opravljajo delo v nadzorovanem prostoru (tretji odstavek 77. člena tega zakona).
(2) Z globo od 2.000 do 5.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 100 do 500 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o videonadzoru znotraj delovnih prostorov)
(1) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 20.000 eurov:
1. če izvaja videonadzor v nasprotju z namenom izvajanja videonadzora znotraj delovnih prostorov (prvi odstavek 78. člena tega zakona) ali
2. če izvaja videonadzor v delovnih prostorih, kjer ni treba varovati interesov iz prvega odstavka 78. člena tega zakona (drugi odstavek 78. člena tega zakona).
(2) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o videonadzoru v vozilih, namenjenih javnemu potniškemu prometu)
(1) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 20.000 eurov:
1. če izvaja videonadzor v nasprotju z namenom izvajanja videonadzora v prevoznih sredstvih, namenjenih javnemu potniškemu prometu (prvi odstavek 79. člena tega zakona), ali
2. če v nasprotju z drugim odstavkom 79. člena tega zakona ne uniči videoposnetkov v predpisanem roku ali uporablja posnetke za druge namene od tistih, določenih v drugem odstavku 79. člena tega zakona.
(2) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o videonadzoru na javnih površinah)
(1) Z globo od 5.000 do 20.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 10.000 do 30.000 eurov:
1. če izvaja videonadzor na javnih površinah v nasprotju z nameni iz prvega odstavka 80. člena tega zakona;
2. če izvaja videonadzor tistih delov javnih površin, ki ni potreben za varovanje interesov iz prvega odstavka 80. člena tega zakona (drugi odstavek 80. člena tega zakona);
3. če izvaja videonadzor na javnih površinah, s katerimi ne upravlja ali na njih zakonito ne opravlja dejavnosti (tretji odstavek 80. člena tega zakona);
4. če hrani posnetke videonadzora javnih površin več kot šest mesecev od trenutka nastanka (šesti odstavek 80. člena tega zakona);
5. če nemudoma ne obvesti policije ali drugega pristojnega subjekta, ko videonadzorni sistem posname dogodek na javni površini, ki ogroža zdravje ali življenje posameznika (sedmi odstavek 80. člena tega zakona);
6. če na javnih površinah uporablja sisteme za avtomatsko prepoznavo registrskih tablic ali sistemov, s katerimi se obdelujejo biometrični osebni podatki (deseti odstavek 80. člena tega zakona).
(2) Z globo od 5.000 do 10.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 5.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 5.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o povezovanju na področju biometrije ter glede obdelav genskih podatkov)
(1) Z globo od 6.000 do 20.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 10.000 do 40.000 eurov:
1. če izvaja povezovanje ali prenosljivost biometričnih osebnih podatkov v nasprotju s tretjim odstavkom 81. člena tega zakona;
2. če obdeluje genske osebne podatke brez pravnih podlag iz četrtega odstavka 81. člena tega zakona.
(2) Z globo od 2.000 do 6.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(kršitev določb o biometriji v javnem sektorju)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 3.000 do 6.000 eurov:
1. če izvaja obdelave biometričnih osebnih podatkov brez zakonske podlage iz prvega, tretjega, četrtega ali petega odstavka 82. člena tega zakona;
2. če obdeluje biometrične osebne podatke z dejanji obdelave, ki niso potrjena na način iz drugega odstavka 82. člena tega zakona.
(2) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(kršitev določb o biometriji v zasebnem sektorju)
(1) Z globo od 2.000 do 10.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 4.000 do 20.000 eurov:
1. če biometrične ukrepe v zasebnem sektorju izvaja v nasprotju z nameni iz prvega odstavka 83. člena tega zakona;
2. če izvaja biometrične ukrepe nad svojimi strankami brez zakonske ali pogodbene podlage oziroma brez izrecne pisne privolitve ali če potrošniku ne omogoči načina identifikacije brez obdelave biometričnih osebnih podatkov (drugi odstavek 83. člena tega zakona);
3. če biometrične osebne podatke obdeluje na način, da dejanja obdelave podatkov stranke niso pod njenim izključnim nadzorom ali njeno izključno oblastjo, ali tovrstna obdelava biometričnih osebnih podatkov ni potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega zakona, ali če stranki ne omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete (tretji odstavek 83. člena tega zakona);
4. če izvaja biometrične ukrepe pred prejemom odločbe nadzornega organa, s katero je izvajanje biometričnih ukrepov dovoljeno (sedmi odstavek 83. člena tega zakona).
(2) Z globo od 2.000 do 10.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o prepovedi pridobivanja biometričnih osebnih podatkov v zvezi s trženjem)
(1) Z globo od 8.000 do 20.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 16.000 do 40.000 eurov, če v nasprotju s 84. členom tega zakona zahteva, pridobi ali nadalje obdela biometrične podatke osebe v zamenjavo za storitve.
(2) Z globo od 8.000 do 20.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o evidentiranju vstopov in izstopov)
(1) Z globo od 1.000 do 3.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 2.000 do 6.000 eurov:
1. če v zbirki o vstopih in izstopih iz službenih prostorov obdeluje osebne podatke v nasprotju z drugim odstavkom 85. člena tega zakona;
2. če osebne podatke iz zbirke o vstopih in izstopih iz službenih prostorov hrani več kot dve leti od konca koledarskega leta po vnosu osebnih podatkov v zbirko ali osebnih podatkov ne zbriše ali uniči po poteku zakonsko določenega roka za hrambo, in drug zakon ne določa drugače (tretji odstavek 85. člena tega zakona).
(2) Z globo od 1.000 do 2.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 400 do 1.000 eurov se za prekršek iz prejšnjega odstavka kaznuje odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 1.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 200 do 400 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o javnih knjigah)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 5.000 do 20.000 eurov, če uporablja osebne podatke iz javnih knjig v nasprotju z njihovim zakonskim namenom (86. člen tega zakona).
(2) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 100 do 1.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o povezovanju uradnih evidenc in javnih knjig)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 5.000 do 20.000 eurov:
1. če v nasprotju s prvim odstavkom 87. člena tega zakona brez zakonske podlage izvede povezovanje uradnih evidenc ali javnih knjig;
2. če pred začetkom povezovanja zbirk kot upravljavec oziroma obdelovalec osebnih podatkov ne izdela ocene učinka po 35. členu Splošne uredbe in se ne posvetuje z nadzornim organom po 36. členu Splošne uredbe (drugi odstavek 87. člena tega zakona).
(2) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 100 do 1.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(kršitev določb o strokovnem nadzoru)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje za srednjo ali veliko gospodarsko družbo, pa z globo od 4.000 do 8.000 eurov:
1. če pri izvajanju strokovnega nadzora ne varuje tajnosti osebnih podatkov (drugi odstavek 89. člena tega zakona);
2. če pri izvajanju strokovnega nadzora posebnih vrst osebnih podatkov ali podatkov iz kazenskih ali prekrškovnih evidenc ne naredi uradnega zaznamka ali drugega uradnega zapisa v zadevi ali zbirki upravljavca osebnih podatkov (91. člen tega zakona).
(2) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 800 do 1.500 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 800 do 1.500 eurov se kaznuje za prekršek iz prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(5) Z globo od 400 do 1.000 eurov se kaznuje za prekršek iz prvega odstavka tega člena posameznik.
(odmerjanje sankcij za prekrške)
Poleg splošnih pravil za odmero sankcije iz zakona, ki ureja prekrške, se pri odločanju nadzornega organa o višini izrečene globe za kršitve, predpisane v četrtem do šestem odstavku 83. člena Splošne uredbe, v skladu z določbami prvega odstavka 83. člena Splošne uredbe in zakona, ki ureja prekrške, ob obravnavanju konkretnih okoliščin posameznega primera tudi upošteva, da globa ne sme biti nesorazmerno breme ali neprimerljivo breme za upravljavce ali obdelovalce glede na druge primerljive kršitve človekovih pravic in temeljnih svoboščin, ki se kaznujejo za prekrške, ali je obstajal namen koristoljubnosti ali namen škodovanja posameznikom, na katere se nanašajo osebni podatki, v primeru izvajanja popravljalnih ukrepov s strani upravljavca ali obdelovalca njihovo učinkovitost ali samostojno ukrepanje še pred uvedbo nadzora, glede fizičnih oseb pa se zlasti upošteva splošna raven dohodkov v Republiki Sloveniji in njihov ekonomski položaj. Prav tako je treba upoštevati pri tem odločanju za vse obdelovalce ali upravljavce, ali gre za ponavljajoče ali množične kršitve varstva osebnih podatkov in pomen, ki bi ga za odvračanje tovrstnih kršitev varstva osebnih podatkov imela višina globe.
Za prekrške iz Splošne uredbe in iz tega zakona se sme v hitrem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s Splošno uredbo ali tem zakonom.
IV. DEL PREHODNE IN KONČNA DOLOČBA
(rok za uskladitev posebnih obdelav)
Obdelave osebnih podatkov iz prvega odstavka 23. člena tega zakona se uskladijo z določbami 23. člena tega zakona v roku treh let od uveljavitve tega zakona.
(pravilnik o zaračunavanju stroškov)
Minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim za zdravje, po predhodnem mnenju nadzornega organa sprejme pravilnik o zaračunavanju stroškov iz petega odstavka 17. člena tega zakona v treh mesecih od uveljavitve tega zakona.
Pooblaščene osebe, ki so jih do uveljavitve tega zakona določili predstojniki organov v sestavi ministrstev, nadaljujejo opravljanje dela pooblaščene osebe po tem zakonu.
(1) Prekrškovni postopki, ki so se začeli pri Informacijskem pooblaščencu ali na sodiščih pred uveljavitvijo tega zakona, se končajo v skladu z Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; v nadaljnjem besedilu: ZVOP-1), razen če je ta zakon za storilca milejši. Postopki inšpekcijskega nadzora, začeti na podlagi ZVOP-1, se nadaljujejo v skladu s tem zakonom.
(2) Seznami tretjih držav (Uradni list RS, št. 101/15, 11/17 in 16/17) na podlagi 66. člena ZVOP-1 se z uveljavitvijo tega zakona razveljavijo.
(3) Z dnem uveljavitve tega zakona preneha delovati Register zbirk osebnih podatkov (v nadaljnjem besedilu: Register) pri Informacijskem pooblaščencu, Informacijski pooblaščenec njegovo vsebino arhivira in preda v roku enega leta Arhivu Republike Slovenije, ki vsebino Registra hrani kot trajno arhivsko gradivo.
Vodenje dnevnikov obdelav se uskladi z 22. členom tega zakona v dveh letih od uveljavitve tega zakona.
(1) Slovenska akreditacija začne izvajati postopke akreditacije 1. januarja 2024.
(2) Do začetka izvajanja postopkov akreditacije po tem zakonu se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po določbah tega zakona za dejanja obdelave pridobiti certifikat, ta skladna z merili iz mehanizma potrjevanja.
(3) Upravljavci vloge za potrjevanje in vloge po drugem stavku prvega odstavka 83. člena tega zakona vložijo v roku šestih mesecev po poteku roka iz prvega odstavka tega člena. Obdelave, za katere je bila v roku iz prejšnjega stavka dana vloga za akreditacijo, se štejejo za skladne z merili iz mehanizma potrjevanja do 31. decembra 2024.
(videonadzor v prevoznih sredstvih)
Upravljavci in obdelovalci so dolžni obdelave osebnih podatkov, ki se nanašajo na videonadzor v prevoznih sredstvih, namenjenih javnemu potniškemu prometu, uskladiti z določbami 79. člena tega zakona v roku šestih mesecev od uveljavitve tega zakona.
(upoštevanje obvestil o določitvi pooblaščenih oseb)
Upravljavcem in obdelovalcem, ki so pred začetkom uveljavitve tega zakona posredovali podatke nadzornemu organu o pooblaščenih osebah, ni treba ponovno posredovati informacij, če podatki o pooblaščenih osebah niso spremenjeni.
(razveljavitev podzakonskih predpisov)
Z dnem uveljavitve tega zakona prenehajo veljati:
– Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 28/05 in 30/11);
– Pravilnik o pridobivanju potrebnih informacij za odločanje o iznosu osebnih podatkov v tretje države (Uradni list RS, št. 79/05);
– Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika do seznanitve z lastnimi osebnimi podatki (Uradni list RS, št. 85/07 in 5/12).
Do sprememb določb o višinah in razponih glob, ki jih določa zakon, ki ureja prekrške, se globe za kršitve, ki so določene v 83. členu Splošne uredbe, izrekajo v skladu s 83. členom Splošne uredbe.
(prenehanje veljavnosti zakona)
Z dnem uveljavitve tega zakona preneha veljati Zakon o varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05 – ZInfP, 51/07 – ZUstS-A in 94/07 – uradno prečiščeno besedilo).
Ta zakon začne veljati trideseti dan po objavi v Uradnem listu Republike Slovenije.
Št. 040-05/22-20/38
Ljubljana, dne 15. decembra 2022
EPA 189-IX