Varuh človekovih pravic

Kdaj do varuha? Kako vložiti pobudo?

Zakon o varstvu osebnih podatkov

(ZVOP-1)

Uradni list RS, št. 94/2007


4. poglavje

Sodelovanje in zunanji nadzor na področju varstva osebnih podatkov

 

59. člen


(1) Varuhinja oziroma varuh človekovih pravic (v nadaljnjem besedilu: varuh) opravlja svoje naloge na področju varstva osebnih podatkov v razmerju do državnih organov, organov samoupravnih lokalnih skupnosti in nosilcev javnih pooblastil v skladu z zakonom, ki ureja varuha človekovih pravic.
(2) Varstvo osebnih podatkov je posebno področje varuha, za katerega je zadolžen eden od namestnikov varuha.

 

60. člen


Varuh v svojem letnem poročilu poroča državnemu zboru o ugotovitvah, predlogih in priporočilih ter o stanju na področju varstva osebnih podatkov.


Zakon o varstvu osebnih podatkov (ZVOP-1)

VII. DEL
KAZENSKE DOLOČBE

Splošne kršitve določb tega zakona

91. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. če obdeluje osebne podatke, ne da bi imel za to podlago v zakonu ali v osebni privolitvi posameznika (8. člen);
2. če posamezna opravila v zvezi z obdelavo osebnih podatkov zaupa drugi osebi, ne da bi sklenil pogodbo v skladu z drugim odstavkom 11. člena;
3. če obdeluje občutljive osebne podatke v nasprotju s 13. členom ali jih ne zavaruje v skladu s 14. členom;
4. če avtomatizirano obdeluje osebne podatke v nasprotju s 15. členom;
5. če zbira osebne podatke za namene, ki niso določeni in zakoniti, ali če jih nadalje obdeluje v nasprotju s 16. členom;
6. če posreduje uporabniku osebnih podatkov osebne podatke v nasprotju z drugim odstavkom 17. člena ali če ne uniči osebnih podatkov v skladu s tretjim odstavkom 17. člena ali ne objavi rezultatov obdelave v skladu s četrtim odstavkom 17. člena;
7. če ne obvesti posameznika o obdelavi osebnih podatkov v skladu z 19. členom;
8. če uporablja isti povezovalni znak v nasprotju z 20. členom:
9. če ne zbriše, uniči, blokira ali anonimizira osebnih podatkov, potem ko je bil izpolnjen namen obdelave v skladu z drugim odstavkom 21. člena;
10. če ravna v nasprotju z 22. členom;
11. če ne zagotovi, da katalog zbirke osebnih podatkov vsebuje podatke, ki jih določa zakon (26. člen);
12. če ne posreduje podatkov za potrebe registra zbirk osebnih podatkov (27. člen);
13. če ravna v nasprotju s prvim ali drugim odstavkom 30. člena ali če ravna v nasprotju z drugim, tretjim ali petim odstavkom 31. člena;
14. če ravna v nasprotju z 32. členom ali če ravna v nasprotju z drugim ali petim odstavkom 33. člena;
15. če v nasprotju s prvim odstavkom 63. člena ali v nasprotju s 70. členom iznaša osebne podatke v tretjo državo.
(2) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o pogodbeni obdelavi

92. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, če prekorači pooblastila, vsebovana v pogodbi iz drugega odstavka 11. člena ali ne vrne osebnih podatkov v skladu s tretjim odstavkom 11. člena.
(2) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o zavarovanju osebnih podatkov

93. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, če v skladu s tem zakonom obdeluje osebne podatke in ne zagotovi zavarovanja osebnih podatkov (24. in 25. člen).
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o neposrednem trženju

94. člen

(1) Z globo od 500.000 do 1.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, če v skladu s tem zakonom obdeluje osebne podatke za namene neposrednega trženja in ne ravna v skladu z 72. ali 73. členom.
(2) Z globo od 100.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev splošnih določb o videonadzoru

95. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. če ne objavi obvestila na način iz drugega odstavka 74. člena;
2. če obvestilo ne vsebuje informacij iz tretjega odstavka 74. člena;
3. če ne zavaruje videonadzornega sistema, s katerim se izvaja videonadzor, v nasprotju s petim odstavkom 74. člena.
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o videonadzoru glede dostopa v uradne službene oziroma poslovne prostore

96. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. če izvaja videonadzor brez obrazložene pisne odločitve ali brez druge pravne podlage iz prvega odstavka 75. člena;
2. če izvaja videonadzor tako, da izvaja snemanje notranjosti stanovanjskih stavb, ki nimajo vpliva na dostop do njihovih prostorov ali posnetke vhodov v stanovanja (drugi odstavek 75. člena);
3. če pisno ne obvesti zaposlenih (tretji odstavek 75. člena);
4. če hrani osebne podatke v nasprotju s petim odstavkom 75. člena.
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o videonadzoru pri večstanovanjskih stavbah

97. člen

(1) Z globo od 500.000 do 2.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ki izvaja videonadzor v nasprotju s 76. členom.
(2) Z globo od 100.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o videonadzoru v delovnih prostorih

98. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ki izvaja videonadzor v delovnih prostorih v nasprotju z 77. členom.
(2) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.
(3) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o biometriji v javnem sektorju

99. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba javnega sektorja, ki izvaja biometrijske ukrepe v nasprotju s 79. členom.
(2) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe javnega sektorja.
(3) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prvega odstavka tega člena tudi odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.

Kršitev določb o biometriji v zasebnem sektorju

100. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik, ki izvaja biometrijske ukrepe v nasprotju z 80. členom.
(2) Z globo od 300.000 do 500.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika.

Kršitev določb o evidenci vstopov in izstopov

101. člen

(1) Z globo od 500.000 do 1.000.000 tolarjev se kaznuje za prekršek pravna oseba ali samostojni podjetnik posameznik:
1. ki uporablja evidenco vstopov in izstopov kot uradno evidenco v nasprotju s tretjim odstavkom 82. člena;
2. ki ravna v nasprotju s četrtim odstavkom 82. člena.
(2) Z globo od 50.000 do 200.000 tolarjev se za prekršek kaznuje tudi odgovorna oseba pravne osebe ali samostojnega podjetnika posameznika, ki stori prekršek iz prejšnjega odstavka.
(3) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori prekršek iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori prekršek iz prvega odstavka tega člena.

Kršitev določb o povezovanju zbirk osebnih podatkov

102. člen

(1) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali samoupravne lokalne skupnosti, ki poveže zbirke osebnih podatkov v nasprotju s tretjim odstavkom 84. člena.
(2) Z globo od 200.000 do 500.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali samoupravne lokalne skupnosti, ki poveže zbirke osebnih podatkov iz kazenske evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov ali poveže zbirke osebnih podatkov iz kazenske evidence z zbirko osebnih podatkov iz prekrškovnih evidenc (85. člen).

Kršitev določb o strokovnem nadzoru

103. člen

(1) Z globo od 1.000.000 do 3.000.000 tolarjev se kaznuje za prekršek pravna oseba:
1. če izvaja strokovni nadzor v nasprotju z drugim odstavkom 88. člena;
2. če ne napravi uradnega zaznamka ali drugega uradnega zapisa v nasprotju z 90. členom tega zakona.
(2) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe.
(3) Z globo od 200.000 do 300.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
(4) Z globo od 50.000 do 200.000 tolarjev se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

VIII. DEL
PREHODNE IN KONČNE DOLOČBE

Pristojnosti pooblaščenca za dostop do informacij javnega značaja glede varstva osebnih podatkov

104. člen

(1) Zoper odločbo ali sklep državnega nadzornega organa lahko pooblaščenec za dostop do informacij javnega značaja do uveljavitve zakona, ki bo uredil to vprašanje, začne upravni spor, če oceni, da je z njo kršen dostop do informacij javnega značaja.
(2) Postopek v upravnem sporu iz prejšnjega odstavka je nujen in prednosten.
(3) Pooblaščenec za dostop do informacij javnega značaja je dolžan vročiti državnemu nadzornemu organu odločbo ali sklep, v katerem se je pooblaščenec opredelil do vprašanja varstva osebnih podatkov.

Rok za izdajo podzakonskih predpisov

105. člen

(1) Pravilnik iz tretjega odstavka 28. člena in 69. člena tega zakona se izda v dveh mesecih od uveljavitve tega zakona.
(2) Predpis iz drugega odstavka 52. člena tega zakona se izda do 1. januarja 2006.

Prehodna ureditev

106. člen

(1) Javni skladi lahko obdelujejo ter zbirajo na podlagi osebne privolitve od posameznikov osebne podatke, ki se nanašajo na njih, če so ti podatki potrebni in primerni za izvrševanje njihovih nalog in pristojnosti, ne glede na določbe zakonov, ki urejajo njihove naloge in pristojnosti ter določbe tega zakona, do uveljavitve posebnega zakona, ki bo uredil ta vprašanja.
(2) Upravljavci osebnih podatkov lahko javnosti posredujejo in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko in naslov službene elektronske pošte predstojnika in tistih zaposlenih, katerih delo je pomembno zaradi poslovanja s strankami oziroma uporabniki storitev, do uveljavitve posebnega zakona, ki bo uredil ta vprašanja.

Izraz upravljavec osebnih podatkov

107. člen

Izrazi »upravljavec zbirke osebnih podatkov«, »upravljavec podatkov« ali »upravljalec zbirk podatkov« ali »upravljalec zbirke podatkov«, ki so določeni v zakonih, se štejejo za izraz »upravljavec osebnih podatkov« po tem zakonu.

Začetek delovanja Državnega nadzornega organa za varstvo osebnih podatkov

108. člen

(1) Državni nadzorni organ za varstvo osebnih podatkov začne z delom 1. januarja 2006.
(2) Do začetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov njegove pristojnosti in naloge po tem zakonu opravlja Inšpektorat za varstvo osebnih podatkov Republike Slovenije kot organ v sestavi Ministrstva za pravosodje in inšpektorji, imenovani po Zakonu o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01- popr., 52/02-ZDU-1 in 73/04 – ZUP-C).

Imenovanje glavnega državnega nadzornika

109. člen

(1) Postopek za imenovanje glavnega državnega nadzornika se začne najkasneje 1. junija 2005.
(2) Z dnem imenovanja glavnega državnega nadzornika preneha mandat glavnemu inšpektorju za varstvo osebnih podatkov.
(3) Če je glavni državni nadzornik imenovan pred začetkom dela Državnega nadzornega organa za varstvo osebnih podatkov, je glavni državni nadzornik predstojnik Inšpektorata za varstvo osebnih podatkov Republike Slovenije kot organa v sestavi Ministrstva za pravosodje do začetka dela državnega nadzornega organa za varstvo osebnih podatkov.
(4) Če glavni državni nadzornik ni imenovan do začetka dela Državnega nadzornega organa za varstvo osebnih podatkov, opravlja njegovo funkcijo glavni inšpektor za varstvo osebnih podatkov kot vršilec dolžnosti do imenovanja glavnega državnega nadzornika.

Prevzem zaposlenih in arhivov

110. člen

(1) Državni nadzorni organ za varstvo osebnih podatkov prevzame inšpektorje in druge zaposlene, ki na dan začetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov opravljajo delo v Inšpektoratu za varstvo osebnih podatkov Republike Slovenije.
(2) Na Državni nadzorni organ za varstvo osebnih podatkov se prenesejo nedokončane zadeve, arhivi in evidence, ki jih vodi Inšpektorat za varstvo osebnih podatkov Republike Slovenije.

Uporaba posameznih določb tega zakona

111. člen

(1) Določbe drugega odstavka 48. člena ter 3. in 4. točke prvega odstavka 49. člena tega zakona se začnejo uporabljati z dnem začetka delovanja Državnega nadzornega organa za varstvo osebnih podatkov.
(2) Do vzpostavitve spletne strani Državnega nadzornega organa za varstvo osebnih podatkov se informacije, ki jih po tem zakonu objavlja državni nadzorni organ na svoji spletni strani, objavljajo na spletni strani Ministrstva za pravosodje.

Dokončanje tekočih postopkov

112. člen

Če je odločba ali sklep inšpektorja izdan pred uveljavitvijo tega zakona, se postopek konča po določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01)

Prenos vodenja registra zbirk osebnih podatkov

113. člen

(1) Skupni katalog osebnih podatkov, ki se vodi po določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 - popr., 52/02 -ZDU-1 in 73/04 - ZUP-C), se z dnem uveljavitve tega zakona preimenuje v register zbirk osebnih podatkov.
(2) Do 1. januarja 2006 vodi in vzdržuje register iz prejšnjega odstavka Ministrstvo za pravosodje, s tem datumom pa ga preda Državnemu nadzornemu organu za varstvo osebnih podatkov.

Dopolnitev podatkov v registru zbirk osebnih podatkov

114. člen

Upravljavci osebnih podatkov, ki so posredovali osebne podatke po določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 - popr., 52/02 - ZDU-1 in 73/04 - ZUP-C) v skupni katalog osebnih podatkov morajo posredovati vse podatke iz 27. člena tega zakona pristojnemu organu iz 113. člena tega zakona v enem letu po uveljavitvi podzakonskega predpisa iz tretjega odstavka 28. člena tega zakona.

Prenehanje veljavnosti

115. člen

(1) Z dnem uveljavitve tega zakona preneha veljati Zakon o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 - popr., 52/02 - ZDU-1 in 73/04 - ZUP-C).
(2) Z dnem začetka dela Državnega nadzornega organa za varstvo osebnih podatkov preneha veljati druga alinea prvega odstavka in tretji odstavek 13. člena Uredbe o organih v sestavi ministrstev (Uradni list RS, št. 58/03).
(3) Z dnem uveljavitve tega zakona prenehajo veljati določbe prvega odstavka 110. člena in drugega odstavka 111. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 43/04) v delu, ki določajo zbiranje, obdelavo in objavo EMŠO - enotne matične številke občana.

Sprememba v drugem zakonu

116. člen

V Zakonu o ratifikaciji Konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (Uradni list RS, št. 11/94 - Mednarodne pogodbe, št. 3/94) se v 3. členu besedilo »znanost in tehnologijo« nadomesti z besedilom »pravosodje«.

Začetek veljavnosti

117. člen

Ta zakon začne veljati 1. januarja 2005.
Št. 210-01/89-3/25
Ljubljana, dne 15. julija 2004.
EPA 1228-III

Zakon o varstvu osebnih podatkov (ZVOP-1)

III. DEL
PRAVICE POSAMEZNIKA

Vpogled v register

29. člen

(1) Državni nadzorni organ za varstvo osebnih podatkov mora vsakomur dovoliti vpogled v register zbirk osebnih podatkov in prepis podatkov.
(2) Vpogled in prepis podatkov se mora dovoliti in omogočiti praviloma istega dne, najkasneje pa v osmih dneh, sicer se šteje, da je zahteva zavrnjena.

Pravica posameznika do seznanitve

30. člen

(1) Upravljavec osebnih podatkov mora posamezniku na njegovo zahtevo:
1. omogočiti vpogled v katalog zbirke osebnih podatkov;
2. potrditi, ali se podatki v zvezi z njim obdelujejo ali ne, in mu omogočiti vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje ali kopiranje;
3. posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;
4. posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen;
5. dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;
6. dati informacije o namenu obdelave in vrsti osebnih podatkov, ki se obdelujejo, ter vsa potrebna pojasnila v zvezi s tem;
7. pojasniti tehnične oziroma logično-tehnične postopke odločanja, če izvaja avtomatizirano odločanje z obdelavo osebnih podatkov posameznika.
(2) Izpis iz 3. točke prejšnjega odstavka ne more nadomestiti listine ali potrdila po predpisih o upravnem ali drugem postopku, kar se označi na izpisu.

Postopek seznanitve

31. člen

(1) Zahteva iz 30. člena tega zakona se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov. Zahteva se lahko vloži enkrat na tri mesece, glede obdelave osebnih podatkov po določbah 2. poglavja VI. dela tega zakona pa enkrat na mesec.
(2) Upravljavec osebnih podatkov mora posamezniku omogočiti vpogled, prepis, kopiranje in potrdilo po 1. in 2. točki prvega odstavka 30. člena tega zakona najkasneje v 15 dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o razlogih, zaradi katerih vpogleda, prepisa, kopiranja ali izdaje potrdila ne bo omogočil.
(3) Izpis iz 3. točke, seznam iz 4. točke, informacije iz 5. in 6. točke ter pojasnilo iz 7. točke prvega odstavka 30. člena tega zakona mora upravljavec osebnih podatkov posredovati posamezniku v 30 dneh od dneva, ko je prejel zahtevo, ali ga v istem roku pisno obvestiti o razlogih, zaradi katerih mu izpisa, seznama, informacij ali pojasnila ne bo posredoval.
(4) Če upravljavec ne ravna v skladu z drugim in tretjim odstavkom tega člena, se šteje, da je zahteva zavrnjena.
(5) Stroške v zvezi z zahtevo in vpogledom iz tega člena krije upravljavec zbirke osebnih podatkov.

Pravica do dopolnitve, popravka, blokiranja, izbrisa in ugovora

32. člen

(1) Upravljavec osebnih podatkov mora na zahtevo posameznika, na katerega se nanašajo osebni podatki, dopolniti, popraviti, blokirati ali izbrisati osebne podatke, za katere posameznik dokaže, da so nepopolni, netočni ali neažurni ali da so bili zbrani ali obdelani v nasprotju z zakonom.
(2) Upravljavec osebnih podatkov mora na zahtevo posameznika obvestiti vse uporabnike osebnih podatkov in pogodbene obdelovalce, katerim je posredoval osebne podatke posameznika, preden so bili izvedeni ukrepi iz prejšnjega odstavka, o njihovi dopolnitvi, popravku, blokiranju ali izbrisu po prejšnjem odstavku. Izjemoma mu tega ni potrebno storiti, če bi to povzročilo velike stroške, nesorazmerno velik napor ali zahtevalo veliko časa.
(3) Posameznik, katerega osebni podatki se obdelujejo v skladu s četrtim odstavkom 9. člena ali tretjim odstavkom 10. člena tega zakona, ima kadarkoli z ugovorom pravico zahtevati prenehanje njihove obdelave. Upravljavec ugovoru ugodi, če posameznik dokaže, da niso izpolnjeni pogoji za obdelavo po četrtem odstavku 9. člena oziroma po tretjem odstavku 10. člena tega zakona. V tem primeru se njegovih osebnih podatkov ne sme več obdelovati.
(4) Če upravljavec ne ugodi ugovoru iz prejšnjega odstavka, lahko posameznik, ki je vložil ugovor, zahteva, da o obdelavi v skladu s četrtim odstavkom 9. člena oziroma tretjim odstavkom 10. člena tega zakona odloči Državni nadzorni organ za varstvo osebnih podatkov. Posameznik lahko vloži zahtevo v sedmih dneh od vročitve odločitve o ugovoru.
(5) Državni nadzorni organ za varstvo osebnih podatkov odloči o zahtevi iz prejšnjega odstavka v dveh mesecih od prejema zahteve. Vložena zahteva zadrži obdelavo osebnih podatkov posameznika, glede katerih je vložil zahtevo.
(6) Stroške vseh dejanj upravljavca osebnih podatkov iz prejšnjih odstavkov krije upravljavec.

Postopek dopolnitve, popravka, blokiranja, izbrisa in ugovora

33. člen

(1) Zahteva ali ugovor iz 32. člena tega zakona se vloži pisno ali ustno na zapisnik pri upravljavcu osebnih podatkov.
(2) Dopolnitev, popravo, blokiranje ali izbris osebnih podatkov mora upravljavec osebnih podatkov opraviti v 15 dneh od dneva, ko je prejel zahtevo in o tem obvestiti vlagatelja zahteve ali ga v istem roku obvestiti o razlogih, zaradi katerih tega ne bo storil. V istem roku mora odločiti o ugovoru.
(3) Če upravljavec osebnih podatkov ne ravna po prejšnjem odstavku, se šteje, da je zahteva zavrnjena.
(4) Če upravljavec osebnih podatkov sam ugotovi, da so osebni podatki nepopolni, netočni ali neažurni, jih dopolni ali popravi in o tem obvesti posameznika, če zakon ne določa drugače.
(5) Stroške v zvezi z dopolnitvijo, popravo in izbrisom osebnih podatkov, obvestilom ter odločitvijo o ugovoru krije upravljavec osebnih podatkov.

Sodno varstvo pravic posameznika

34. člen

(1) Posameznik, ki ugotovi, da so kršene njegove pravice, določene s tem zakonom, lahko zahteva sodno varstvo ves čas, dokler kršitev traja.
(2) Če je kršitev iz prejšnjega odstavka prenehala, lahko posameznik vloži tožbo za ugotovitev, da je kršitev obstajala, če mu v zvezi s kršitvijo ni zagotovljeno drugo sodno varstvo.
(3) V postopku odloča pristojno sodišče po določbah zakona, ki ureja upravni spor, kolikor ta zakon ne določa drugače.
(4) V postopku je javnost izključena, če sodišče na predlog posameznika iz utemeljenih razlogov ne odloči drugače.
(5) Postopek je nujen in prednosten.

Začasna odredba

35. člen

V tožbi, vloženi zaradi kršitev pravic iz 32. člena tega zakona, lahko posameznik zahteva od sodišča, da do pravnomočne odločitve v upravnem sporu naloži upravljavcu osebnih podatkov, da prepreči vsakršno obdelavo spornih osebnih podatkov, če bi se z njihovo obdelavo prizadela posamezniku, na katerega se nanašajo, težko popravljiva škoda, odložitev obdelave pa ne nasprotuje javni koristi in tudi ni nevarnosti, da bi nasprotni stranki nastala večja nepopravljiva škoda.

Omejitev pravic posameznika

36. člen

(1) Pravice posameznika iz tretjega in četrtega odstavka 19. člena, 30. in 32. člena tega zakona je mogoče z zakonom izjemoma omejiti iz razlogov varstva suverenosti in obrambe države, varstva nacionalne varnosti in ustavne ureditve države, varnostnih, političnih in gospodarskih interesov države, izvrševanja pristojnosti policije, preprečevanja, razkrivanja, odkrivanja, dokazovanja in pregona kaznivih dejanj in prekrškov, odkrivanja in kaznovanja kršitev etičnih norm za določene poklice, iz monetarnih, proračunskih ali davčnih razlogov, zaradi nadzora nad policijo in varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.
(2) Omejitve iz prejšnjega odstavka se lahko določijo samo v obsegu, ki je nujen za dosego namena, zaradi katerega se določa omejitev.

IV. DEL
INSTITUCIONALNO VARSTVO OSEBNIH PODATKOV

1. poglavje
Nadzorni organ za varstvo osebnih podatkov

Nadzorni organ

37. člen

(1) Državni nadzorni organ za varstvo osebnih podatkov (v nadaljnjem besedilu: državni nadzorni organ) ima položaj nadzornega organa za varstvo osebnih podatkov.
(2) Državni nadzorni organ opravlja inšpekcijski nadzor nad izvajanjem določb tega zakona in druge naloge po tem zakonu in drugih predpisih, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije. Državni nadzorni organ opravlja tudi druge naloge v skladu z zakonom.
(3) Državni nadzorni organ zagotavlja enotno uresničevanje ukrepov na področju varstva osebnih podatkov.

Položaj in organizacija državnega nadzornega organa

38. člen

(1) Državni nadzorni organ je samostojni državni organ.
(2) Državni nadzorni organ vodi glavni državni nadzornik, ki je državni funkcionar. Njegovo plačo ureja odlok državnega zbora, ki določa uvrščanje funkcij v plačne razrede.
(3) V državnem nadzornem organu so zaposlene najmanj štiri državne nadzornice oziroma državni nadzorniki za varstvo osebnih podatkov (v nadaljnjem besedilu: nadzornik). Najmanj eden izmed njih mora biti univerzitetni diplomirani pravnik.
(4) Glavni državni nadzornik vodi in predstavlja državni nadzorni organ, organizira in koordinira delo nadzornikov ter izvaja inšpekcijski nadzor po tem zakonu.
(5) Administrativno-tehnična opravila za državni nadzorni organ opravlja ministrstvo, pristojno za pravosodje.

Sredstva za delo državnega nadzornega organa

39. člen

Sredstva za delo državnega nadzornega organa se zagotovijo v proračunu Republike Slovenije. Višino sredstev določi Državni zbor Republike Slovenije (v nadaljnjem besedilu: državni zbor) na predlog glavnega državnega nadzornika.

Imenovanje glavnega državnega nadzornika

40. člen

(1) Glavnega državnega nadzornika imenuje državni zbor na predlog ministra, pristojnega za pravosodje.
(2) Glavni državni nadzornik se imenuje izmed posameznikov, ki izpolnjujejo pogoje za imenovanje v naziv nadzornika po tem zakonu.
(3) Razpis za prosto mesto glavnega državnega nadzornika razpiše ministrstvo, pristojno za pravosodje, po uradni dolžnosti, najpozneje tri mesece pred iztekom mandata glavnega državnega nadzornika oziroma v enem mesecu po predčasni razrešitvi. Razpis se objavi v Uradnem listu Republike Slovenije, rok za prijave ne sme biti krajši od 15 dni.
(4) Glavni državni nadzornik je imenovan za dobo osmih let in je lahko ponovno imenovan.

Razrešitev glavnega državnega nadzornika

41. člen

(1) Glavni državni nadzornik je lahko predčasno razrešen samo v naslednjih primerih:
- če državnemu zboru predloži izjavo, da odstopa;
- če je pravnomočno obsojen za kaznivo dejanje s kaznijo odvzema prostosti;
- če ne more opravljati svoje funkcije iz zdravstvenih ali drugih utemeljenih razlogov več kot šest mesecev;
- če trajno izgubi delovno zmožnost za opravljanje svoje funkcije.
(2) Glavni državni nadzornik je predčasno razrešen in mu preneha mandat z dnem, ko državni zbor ugotovi nastop razloga iz prejšnjega odstavka.

Nadomeščanje glavnega državnega nadzornika

42. člen

Glavni državni nadzornik določi svojega namestnika izmed nadzornikov, ki ga nadomešča v času njegove odsotnosti ali začasne zadržanosti.

Nadzornik

43. člen

(1) Za nadzornika je lahko imenovana oseba, ki ima univerzitetno izobrazbo, pet let delovnih izkušenj, od tega najmanj eno leto pri delu z osebnimi podatki, in opravljen strokovni izpit za inšpektorja po zakonu, ki ureja inšpekcijski nadzor.
(2) Nadzorniki imajo položaj, pravice in obveznosti, ki jih za inšpektorje določa zakon, ki ureja inšpekcijski nadzor, in zakon, ki ureja javne uslužbence, če ta zakon ne določa drugače.
(3) Nadzornika imenuje glavni državni nadzornik v skladu z zakonom, ki ureja javne uslužbence.

Samostojnost nadzornikov

44. člen

(1) Nadzorniki so pri opravljanju nalog inšpekcijskega nadzora in drugih nalog po tem zakonu v okviru svojih pooblastil samostojni ter jih opravljajo v okviru in na podlagi ustave in zakonov.
(2) V zvezi z opravljanjem nalog, ki ne obsegajo opravljanja inšpekcijskega nadzora, so vezani na pisna navodila glavnega državnega nadzornika.

Zaposlitve in dodelitve v državni nadzorni organ

45. člen

(1) Glavni državni nadzornik določi v skladu z zakonom, ki ureja javne uslužbence, v aktu o sistemizaciji notranjo organizacijo državnega nadzornega organa in potrebno število javnih uslužbencev državnega nadzornega organa, ki opravljajo pravne naloge, ter potrebno število javnih uslužbencev, ki opravljajo spremljajoča dela.
(2) Javne uslužbence državnih organov se na podlagi predloga glavnega državnega nadzornika z njihovo pisno privolitvijo ter s soglasjem predstojnika njihovega državnega organa lahko dodeli za opravljanje pravnih nalog ali spremljajočih del iz prejšnjega odstavka v državni nadzorni organ za dobo do treh let. Sodniki, državni tožilci in pomočniki državnih tožilcev so lahko dodeljeni za opravljanje teh nalog na podlagi določb zakonov, ki urejajo sodniško službo in državno tožilstvo.
(3) Uslužbenci in funkcionarji iz prejšnjih odstavkov ne smejo opravljati nalog inšpekcijskega nadzora.

2. poglavje
Naloge državnega nadzornega organa

Poročila državnega nadzornega organa

46. člen

(1) Državni nadzorni organ posreduje letno poročilo o svojem delu državnemu zboru najkasneje do 31. maja za preteklo leto in ga objavi na svoji spletni strani.
(2) Letno poročilo vsebuje podatke o delu državnega nadzornega organa v preteklem letu ter ocene in priporočila s področja varstva osebnih podatkov.

Sodelovanje z drugimi organi

47. člen

Državni nadzorni organ pri svojem delu sodeluje z državnimi organi, pristojnimi organi Evropske unije za varstvo posameznikov pri obdelavi osebnih podatkov, mednarodnimi organizacijami, tujimi nadzornimi organi za varstvo osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s področja varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in organi glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov.

Pristojnosti glede predpisov

48. člen

(1) Državni nadzorni organ daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom ter nosilcem javnih pooblastil o usklajenosti določb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke.
(2) Državni nadzorni organ lahko na Ustavno sodišče Republike Slovenije (v nadaljnjem besedilu: ustavno sodišče) vloži zahtevo za oceno ustavnosti zakonov, ostalih predpisov ter splošnih aktov, izdanih za izvrševanje javnih pooblastil, če nastane vprašanje ustavnosti in zakonitosti v zvezi s postopkom, ki ga vodi.

Javnost dela

49. člen

(1) Državni nadzorni organ lahko:
1. izdaja notranje glasilo ter strokovno literaturo;
2. na spletni strani ali na drug primeren način objavlja predhodna mnenja iz prvega odstavka 48. člena tega zakona, potem ko je bil zakon oziroma drug predpis sprejet ter objavljen v Uradnem listu Republike Slovenije, v glasilu samoupravne lokalne skupnosti ali objavljen na drug zakonit način;
3. na spletni strani oziroma na drug primeren način objavlja zahteve iz drugega odstavka 48. člena tega zakona, potem ko jih je ustavno sodišče prejelo;
4. na spletni strani oziroma na drug primeren način objavlja odločbe in sklepe ustavnega sodišča o zahtevah iz drugega odstavka 48. člena tega zakona;
5. na spletni strani oziroma na drug primeren način objavlja odločbe in sklepe sodišč s splošno pristojnostjo in upravnega sodišča, ki se nanašajo na varstvo osebnih podatkov, tako da iz njih ni možno razbrati osebnih podatkov strank, oškodovancev, prič ali izvedencev;
6. daje neobvezna mnenja o skladnosti kodeksov poklicne etike, splošnih pogojih poslovanja oziroma njihovih predlogov s predpisi s področja varstva osebnih podatkov;
7. daje neobvezna mnenja, pojasnila in stališča o vprašanjih s področja varstva osebnih podatkov in jih objavlja na spletni strani ali na drug primeren način;
8. pripravlja in daje neobvezna navodila in priporočila glede varstva osebnih podatkov na posameznem področju;
9. daje izjave za javnost o opravljenih inšpekcijskih nadzorih v posamičnih zadevah;
10. izvaja konference za medije v zvezi z delom državnega nadzornega organa ter prepise izjav ali posnetke izjav s konferenc za medije objavi na spletni strani;
11. na spletni strani objavlja druga pomembna obvestila.
(2) Državni nadzorni organ lahko za opravljanje pristojnosti iz 6., 7. in 8. točke prejšnjega odstavka pozove k sodelovanju tudi predstavnike društev in drugih nevladnih organizacij s področja varstva osebnih podatkov, zasebnosti ter potrošnikov.

3. poglavje
Inšpekcijski nadzor

Uporaba zakona, ki ureja inšpekcijski nadzor

50. člen

Za opravljanje inšpekcijskega nadzora po tem zakonu se uporabljajo določbe zakona, ki ureja inšpekcijski nadzor, kolikor ta zakon ne določa drugače.

Obseg inšpekcijskega nadzora

51. člen

V okviru inšpekcijskega nadzora državni nadzorni organ:
1. nadzoruje zakonitost obdelave osebnih podatkov;
2. nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov po 24. in 25. členu tega zakona;
3. nadzoruje izvajanje določb zakona, ki urejajo katalog zbirke osebnih podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatkov posameznim uporabnikom osebnih podatkov;
4. nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov v tretjo državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.

Neposredno opravljanje inšpekcijskega nadzora

52. člen

(1) Inšpekcijski nadzor neposredno opravlja nadzornik v mejah pristojnosti državnega nadzornega organa.
(2) Nadzornik izkazuje pooblastilo za opravljanje nalog inšpekcijskega nadzora s službeno izkaznico, ki vsebuje fotografijo nadzornika, njegovo osebno ime, strokovni ali znanstveni naslov ter ostale potrebne podatke. Obliko in vsebino službene izkaznice podrobneje predpiše minister, pristojen za pravosodje.

Pristojnosti nadzornika

53. člen

Pri opravljanju inšpekcijskega nadzora je nadzornik upravičen:
1. pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter iznos osebnih podatkov v tretjo državo in posredovanje tujim uporabnikom osebnih podatkov;
2. pregledovati vsebino zbirk osebnih podatkov ne glede na njihovo zaupnost ali tajnost in katalogov zbirk osebnih podatkov;
3. pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov;
4. pregledovati prostore, v katerih se obdelujejo osebni podatki, računalniško in drugo opremo ter tehnično dokumentacijo;
5. preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo izvajanje;
6. izvajati druge pristojnosti, določene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek;
7. opravljati druge zadeve, določene z zakonom.

Inšpekcijski ukrepi

54. člen

(1) Nadzornik, ki pri opravljanju inšpekcijskega nadzora ugotovi kršitev tega zakona ali drugega zakona ali predpisa, ki ureja varstvo osebnih podatkov, ima pravico takoj:
1. odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odrediti prepoved obdelave osebnih podatkov osebam javnega ali zasebnega sektorja, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje osebnih podatkov;
3. odrediti prepoved obdelave osebnih podatkov ter anonimiziranje, blokiranje, brisanje ali uničenje osebnih podatkov, kadar ugotovi, da se osebni podatki obdelujejo v nasprotju z določbami zakona;
4. odrediti prepoved iznosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona ali obvezujoče mednarodne pogodbe;
5. odrediti druge ukrepe, določene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek.
(2) Ukrepov iz prejšnjega odstavka ni mogoče odrediti zoper osebo, ki v elektronskem komunikacijskem omrežju opravlja storitve prenosa podatkov, vključno z začasnim shranjevanjem podatkov in drugimi delovanji v zvezi s podatki, ki so pretežno ali v celoti v funkciji opravljanja ali olajšanja prenosa podatkov po omrežjih, če ta oseba sama nima interesa, povezanega z vsebino teh podatkov, in ne gre za osebo, ki lahko sama ali skupaj z omejenim krogom z njo povezanih oseb učinkovito nadzoruje dostop do teh podatkov.
(3) Če nadzornik pri inšpekcijskem nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška poda kazensko ovadbo oziroma izvede postopke v skladu zakonom, ki ureja prekrške.

Sodno varstvo

55. člen

Zoper odločbo ali sklep nadzornika iz prvega odstavka 54. člena tega zakona ni pritožbe, dovoljen pa je upravni spor.

Obveščanje prijavitelja

56. člen

Nadzornik je dolžan prijavitelja obvestiti o vseh pomembnejših ugotovitvah in dejanjih v postopku inšpekcijskega nadzora.

Pristojnosti državnega nadzornega organa glede dostopa do informacij javnega značaja

57. člen

(1) Zoper odločbo Pooblaščenca za dostop do informacij javnega značaja lahko državni nadzorni organ začne upravni spor, če oceni, da je z njo kršeno varstvo osebnih podatkov.
(2) Postopek v upravnem sporu iz prejšnjega odstavka je nujen in prednosten.
(3) Državni nadzorni organ je dolžan vročiti Pooblaščencu za dostop do informacij javnega značaja odločbo ali sklep, v katerem se je nadzornik opredelil do vprašanja informacij javnega značaja.

Varovanje tajnosti

58. člen

(1) Nadzornik je dolžan varovati tajnost osebnih podatkov, s katerimi se seznani pri opravljanju inšpekcijskega nadzora, tudi po prenehanju opravljanja službe nadzornika.
(2) Dolžnost iz prejšnjega odstavka velja tudi za vse javne uslužbence v državnem nadzornem organu.

4. poglavje
Sodelovanje in zunanji nadzor na področju varstva osebnih podatkov

Varuh človekovih pravic

59. člen

(1) Varuhinja oziroma varuh človekovih pravic (v nadaljnjem besedilu: varuh) opravlja svoje naloge na področju varstva osebnih podatkov v razmerju do državnih organov, organov samoupravnih lokalnih skupnosti in nosilcev javnih pooblastil v skladu z zakonom, ki ureja varuha človekovih pravic.
(2) Varstvo osebnih podatkov je posebno področje varuha, za katerega je zadolžen eden od namestnikov varuha.

Letno poročilo

60. člen

Varuh v svojem letnem poročilu poroča državnemu zboru o ugotovitvah, predlogih in priporočilih ter o stanju na področju varstva osebnih podatkov.

Pristojnost državnega zbora

61. člen

Stanje na področju varstva osebnih podatkov in izvrševanje določb tega zakona spremlja pristojno delovno telo državnega zbora.

Zakon o varstvu osebnih podatkov (ZVOP-1)

V. DEL
IZNOS OSEBNIH PODATKOV

1. poglavje
Iznos osebnih podatkov v države članice Evropske unije in Evropskega gospodarskega prostora

Prost pretok osebnih podatkov

62. člen

Kadar se posredujejo osebni podatki upravljavcu osebnih podatkov, pogodbenemu obdelovalcu ali uporabniku osebnih podatkov, ki je ustanovljen, ima sedež ali je registriran v državi članici Evropske unije ali Evropskega gospodarskega prostora ali zanj kako drugače velja njen pravni red, se ne uporabljajo določbe tega zakona o iznosu osebnih podatkov v tretje države.

2. poglavje
Iznos osebnih podatkov v tretje države

Splošna določba

63. člen

(1) Posredovanje osebnih podatkov, ki se obdelujejo ali se bodo obdelovali šele po opravljenem posredovanju v tretjo državo, je dopustno v skladu z določbami tega zakona in pod pogojem, da državni nadzorni organ izda odločbo, da država, v katero se iznašajo, zagotavlja ustrezno raven varstva osebnih podatkov.
(2) Odločba iz prejšnjega odstavka ni potrebna, če je tretja država na seznamu tistih držav iz 66. člena tega zakona, za katere je ugotovljeno, da v celoti zagotavljajo ustrezno raven varstva osebnih podatkov.
(3) Odločba iz prvega odstavka tega člena ni potrebna, če je tretja država na seznamu tistih držav iz 66. člena tega zakona, za katere je ugotovljeno, da delno zagotavljajo ustrezno raven varstva osebnih podatkov, če se posredujejo tisti osebni podatki in za tiste namene, za katere je ugotovljena ustrezna raven varstva.

Postopek ugotavljanja ustrezne ravni varstva osebnih podatkov

64. člen

(1) Državni nadzorni organ uvede postopek ugotavljanja ustrezne ravni varstva osebnih podatkov v tretji državi na podlagi ugotovitev inšpekcijskega nadzora ali na predlog fizične ali pravne osebe, ki lahko izkaže pravni interes za izdajo odločbe.
(2) Na zahtevo državnega nadzornega organa pridobi ministrstvo, pristojno za zunanje zadeve, od pristojnega organa tretje države potrebne informacije, ali ta država zagotavlja ustrezno raven varstva osebnih podatkov.
(3) Državni nadzorni organ lahko pridobi dodatne informacije o ustrezni ravni varstva osebnih podatkov v tretji državi neposredno od drugih nadzornih organov ter od za to pristojnega organa Evropske unije.
(4) Državni nadzorni organ izda odločbo v dveh mesecih od prejema popolnih informacij iz drugega in tretjega odstavka tega člena. Odločbo lahko izda tudi samo o določeni vrsti osebnih podatkov oziroma njihovi obdelavi za določen namen.
(5) Državni nadzorni organ je dolžan najpozneje v 15 dneh od izdaje odločbe o tem, da tretja država ne zagotavlja ustrezne ravni varstva osebnih podatkov, pisno obvestiti pristojni organ Evropske unije.

Sodno varstvo

65. člen

Zoper odločbo iz četrtega odstavka 64. člena tega zakona ni pritožbe, dovoljen pa je upravni spor.

Seznam

66. člen

(1) Državni nadzorni organ vodi seznam tretjih držav, za katere je ugotovil, da imajo v celoti ali delno zagotovljeno ustrezno raven varstva osebnih podatkov, ali da te nimajo zagotovljene. Če je ugotovljeno, da tretja država le delno zagotavlja ustrezno raven varstva osebnih podatkov, se v seznamu navede tudi, v katerem delu je ustrezna raven zagotovljena.
(2) Glavni državni nadzornik objavi seznam iz prejšnjega odstavka v Uradnem listu Republike Slovenije.

Vezanost državnega nadzornega organa pri odločanju

67. člen

Državni nadzorni organ je pri odločanju vezan na odločitve pristojnega organa Evropske unije glede ocene, ali tretje države zagotavljajo ustrezno raven varstva osebnih podatkov.

Odločanje o iznosu osebnih podatkov

68. člen

(1) Pri odločanju o ustrezni ravni varstva osebnih podatkov v tretji državi je državni nadzorni organ dolžan ugotoviti vse okoliščine v zvezi z iznosom osebnih podatkov. Predvsem mora upoštevati vrsto osebnih podatkov, namen in trajanje predlagane obdelave, pravno ureditev v državi izvora in v državi prejemnici, vključno z ureditvijo varstva osebnih podatkov tujih državljanov, ter ukrepe zavarovanja osebnih podatkov, ki se v njih uporabljajo.
(2) Pri odločanju iz prejšnjega odstavka državni nadzorni organ upošteva zlasti:
1. ali se izneseni osebni podatki uporabljajo le za namen, za katerega so bili izneseni, ali se namen lahko spremeni le na podlagi dovoljenja upravljavca osebnih podatkov, ki jih je posredoval, ali na podlagi osebne privolitve posameznika, na katerega se osebni podatki nanašajo;
2. ali ima posameznik, na katerega se nanašajo osebni podatki, možnost izvedeti, za kakšen namen so se njegovi osebni podatki uporabljali, komu so bili posredovani ter možnost popravka ali izbrisa netočnih ali neažurnih osebnih podatkov, razen če mu to zaradi tajnosti postopka onemogočajo obvezujoče mednarodne pogodbe;
3. ali tuji upravljavec izvaja ustrezne organizacijske in tehnične postopke ter ukrepe, s katerimi se zavarujejo osebni podatki;
4. ali je določena kontaktna oseba, ki je pooblaščena podati informacije posamezniku, na katerega se nanašajo osebni podatki, ali državnemu nadzornemu organu o obdelavi osebnih podatkov, ki so bili izneseni;
5. ali lahko tuj uporabnik iznese osebne podatke le pod pogojem, če je pri drugem tujem uporabniku, ki mu bodo posredovani osebni podatki, zagotovljeno ustrezno varstvo osebnih podatkov tudi za tuje državljane;
6. ali je zagotovljeno učinkovito pravno varstvo posameznikom, katerih osebni podatki so bili izneseni.

Pravilnik

69. člen

Na predlog glavnega državnega nadzornika izda minister, pristojen za pravosodje, s soglasjem ministra, pristojnega za zunanje zadeve, pravilnik, s katerim podrobneje določi, katere informacije se štejejo za potrebne pri odločanju državnega nadzornega organa o iznosu osebnih podatkov v tretje države.

Posebne določbe

70. člen

(1) Ne glede na prvi odstavek 63. člena tega zakona se lahko iznesejo osebni podatki in posredujejo v tretjo državo, če:
1. tako določa drug zakon ali obvezujoča mednarodna pogodba;
2. je podana osebna privolitev posameznika, na katerega se nanašajo osebni podatki in je seznanjen s posledicami takšnega posredovanja;
3. je iznos potreben za izpolnitev pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem osebnih podatkov ali za izvršitev predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki;
4. je iznos potreben za sklenitev ali izvršitev pogodbe, ki je v korist posameznika, na katerega se nanašajo osebni podatki, sklenjeno med upravljavcem osebnih podatkov in tretjo stranko,
5. je iznos potreben, da se pred hujšim ogrožanjem zavaruje življenje ali telo posameznika, na katerega se nanašajo osebni podatki;
6. se iznos opravi iz registrov, javnih knjig ali uradnih evidenc, ki so po zakonu namenjene zagotavljanju informacij javnosti in so na voljo za vpogled javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes, da so v posameznem primeru izpolnjeni pogoji, ki jih za vpogled določa zakon;
7. upravljavec osebnih podatkov zagotovi ustrezne ukrepe zavarovanja osebnih podatkov ter temeljnih pravic in svoboščin posameznikov in navede možnosti njihovega uresničevanja ali varstva, predvsem v določbah pogodb ali v splošnih pogojih poslovanja.
(2) V primeru iznosa osebnih podatkov po 7. točki prejšnjega odstavka mora oseba, ki namerava iznesti osebne podatke, pridobiti posebno odločbo državnega nadzornega organa, ki dovoljuje iznos osebnih podatkov.
(3) Oseba sme iznesti osebne podatke šele po prejemu odločbe iz prejšnjega odstavka, s katero je iznos dovoljen.
(4) Zoper odločbo iz drugega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor. Postopek v upravnem sporu je nujen in prednosten.
(5) Državni nadzorni organ je dolžan najpozneje v 15 dneh od izdaje odločbe iz drugega odstavka tega člena to posredovati pristojnemu organu Evropske unije in državam članicam Evropske unije.
(6) Če pristojni organ Evropske unije po prejemu odločbe sprejme odločitev, da je iznos na podlagi odločbe iz drugega odstavka tega člena nedopusten, je državni nadzorni organ na to odločitev vezan in je dolžan v petih dneh po prejemu te odločitve izdati osebi iz drugega odstavka tega člena novo odločbo, s katero ji prepove nadaljnji iznos osebnih podatkov.

Evidentiranje iznosa

71. člen

Iznos osebnih podatkov v tretjo državo se evidentira skladno z določbami 10. točke prvega odstavka 26. člena tega zakona.

VI. DEL
PODROČNE UREDITVE

1. poglavje
Neposredno trženje

Pravice in dolžnosti upravljavca

72. člen

(1) Upravljavec osebnih podatkov lahko uporablja osebne podatke posameznikov, ki jih je zbral iz javno dostopnih virov ali v okviru zakonitega opravljanja dejavnosti, tudi za namene ponujanja blaga, storitev, zaposlitev ali začasnega opravljanja del z uporabo poštnih storitev, telefonskih klicev, elektronske pošte ali drugih telekomunikacijskih sredstev (v nadaljnjem besedilu: neposredno trženje) v skladu z določbami tega poglavja, če drug zakon ne določa drugače.
(2) Za namene neposrednega trženja lahko upravljavec osebnih podatkov uporablja le naslednje osebne podatke, ki jih je zbral v skladu s prejšnjim odstavkom: osebno ime, naslov stalnega ali začasnega prebivališča, telefonsko številko, naslov elektronske pošte ter številko telefaksa. Na podlagi osebne privolitve posameznika lahko upravljavec osebnih podatkov obdeluje tudi druge osebne podatke, občutljive osebne podatke pa le, če ima za to osebno privolitev posameznika, ki je izrecna in praviloma pisna.
(3) Upravljavec osebnih podatkov mora neposredno trženje izvajati tako, da posameznika ob izvajanju neposrednega trženja obvesti o njegovih pravicah iz 73. člena tega zakona.
(4) Če namerava upravljavec osebnih podatkov posredovati osebne podatke iz drugega odstavka tega člena drugim uporabnikom osebnih podatkov za namene neposrednega trženja ali pogodbenim obdelovalcem, je dolžan o tem obvestiti posameznika in pred posredovanjem osebnih podatkov pridobiti njegovo pisno privolitev. Obvestilo posamezniku o nameravanem posredovanju osebnih podatkov mora vsebovati informacijo, katere podatke namerava posredovati, komu in za kakšen namen. Stroške obvestila krije upravljavec osebnih podatkov.

Pravica posameznika

73. člen

(1) Posameznik lahko kadarkoli pisno ali na drug dogovorjen način zahteva, da upravljavec osebnih podatkov trajno ali začasno preneha uporabljati njegove osebne podatke za namen neposrednega trženja. Upravljavec osebnih podatkov je dolžan v 15 dneh ustrezno preprečiti uporabo osebnih podatkov za namen neposrednega trženja ter o tem v nadaljnjih petih dneh pisno ali na drug dogovorjen način obvestiti posameznika, ki je to zahteval.
(2) Stroške vseh dejanj upravljavca osebnih podatkov v zvezi z zahtevo iz prejšnjega odstavka krije upravljavec.

2. poglavje
Videonadzor

Splošne določbe

74. člen

(1) Določbe tega poglavja se uporabljajo za izvajanje videonadzora, če drug zakon ne določa drugače.
(2) Oseba javnega ali zasebnega sektorja, ki izvaja videonadzor, mora o tem objaviti obvestilo. Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati videonadzor.
(3) Obvestilo iz prejšnjega odstavka mora vsebovati naslednje informacije:
1. da se izvaja videonadzor;
2. naziv osebe javnega ali zasebnega sektorja, ki ga izvaja;
3. telefonsko številko za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema.
(4) Šteje se, da je z obvestilom iz drugega odstavka tega člena posameznik obveščen o obdelavi osebnih podatkov po 19. členu tega zakona.
(5) Videonadzorni sistem, s katerim se izvaja videonadzor, mora biti zavarovan pred dostopom nepooblaščenih oseb.

Dostop v uradne službene oziroma poslovne prostore

75. člen

(1) Javni in zasebni sektor lahko izvajata videonadzor dostopa v njihove uradne službene oziroma poslovne prostore, če je to potrebno za varnost ljudi ali premoženja, zaradi zagotavljanja nadzora vstopa ali izstopa v ali iz službenih oziroma poslovnih prostorov ali če zaradi narave dela obstaja možnost ogrožanja zaposlenih. Odločitev sprejme pristojni funkcionar, predstojnik, direktor ali drugi pristojni oziroma pooblaščeni posameznik osebe javnega sektorja ali osebe zasebnega sektorja. V pisni odločitvi morajo biti obrazloženi razlogi za uvedbo videonadzora. Uvedba videonadzora se lahko določi tudi z zakonom ali s predpisom, sprejetim na njegovi podlagi.
(2) Videonadzor se lahko izvaja le na takšen način, da se ne more izvajati niti snemanje notranjosti stanovanjskih stavb, ki nimajo vpliva na dostop do njihovih prostorov, niti snemanje vhodov v stanovanja.
(3) O izvajanju videonadzora je potrebno pisno obvestiti vse zaposlene v osebi javnega ali zasebnega sektorja, ki opravljajo delo v nadzorovanem prostoru.
(4) Zbirka osebnih podatkov po tem členu vsebuje posnetek posameznika (slika oziroma glas), datum in čas vstopa in izstopa iz prostora, lahko pa tudi osebno ime posnetega posameznika, naslov njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke o vrsti njegovega osebnega dokumenta ter razlogu vstopa, če se navedeni osebni podatki zbirajo poleg ali s posnetkom videonadzornega sistema.
(5) Osebni podatki iz prejšnjega odstavka se lahko hranijo največ eno leto po nastanku, nato se zbrišejo, če zakon ne določa drugače.

Večstanovanjske stavbe

76. člen

(1) Za uvedbo videonadzora v večstanovanjski stavbi je potrebna pisna privolitev solastnikov, ki imajo v lasti več kot 70 odstotkov solastniških deležev.
(2) Videonadzor se lahko v večstanovanjski stavbi uvede le, kadar je to potrebno za varnost ljudi in premoženja.
(3) Z videonadzorom v večstanovanjski stavbi se lahko nadzoruje le dostop do vhodov in izhodov večstanovanjskih stavb ter njihovi skupni prostori. Prepovedano je izvajati videonadzor nad hišniškim stanovanjem ter delavnico za hišnika.
(4) Prepovedano je omogočiti ali izvajati sprotno ali naknadno pregledovanje posnetkov videonadzornega sistema preko interne kabelske televizije, javne kabelske televizije, interneta ali s pomočjo drugega telekomunikacijskega sredstva, ki lahko prenaša te posnetke.
(5) Prepovedano je z videonadzornim sistemom snemati vhode v posamezna stanovanja.

Delovni prostori

77. člen

(1) Izvajanje videonadzora znotraj delovnih prostorov se lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi.
(2) Videonadzor se lahko izvaja le glede tistih delov prostorov, kjer je potrebno varovati interese iz prejšnjega odstavka.
(3) Prepovedano je izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih in sanitarnih prostorih.
(4) Zaposleni morajo biti pred začetkom izvajanja videonadzora po tem členu vnaprej pisno obveščeni o njegovem izvajanju.
(5) Pred uvedbo videonadzora v osebi javnega ali zasebnega sektorja se mora delodajalec posvetovati z reprezentativnim sindikatom pri delodajalcu.
(6) Na področju obrambe države, obveščevalno-varnostne dejavnosti države in varovanja tajnih podatkov se ne uporabljata četrti in peti odstavek tega člena.

3. poglavje
Biometrija

Splošna določba

78. člen

Z obdelavo biometričnih značilnosti se ugotavljajo ali primerjajo lastnosti posameznika, tako da se lahko izvrši njegova identifikacija oziroma preveri njegova identiteta (v nadaljnjem besedilu: biometrijski ukrepi) pod pogoji, ki jih določa ta zakon.

Biometrijski ukrepi v javnem sektorju

79. člen

(1) Biometrijske ukrepe v javnem sektorju se lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi.
(2) Ne glede na prejšnji odstavek se biometrijske ukrepe lahko določi z zakonom, če gre za izpolnjevanje obveznosti iz obvezujoče mednarodne pogodbe ali za identifikacijo posameznikov pri prehajanju državnih meja.

Biometrijski ukrepi v zasebnem sektorju

80. člen

(1) Zasebni sektor lahko izvaja biometrijske ukrepe le, če so nujno potrebni za opravljanje dejavnosti, za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ali poslovne skrivnosti. Biometrijske ukrepe lahko izvaja le nad svojimi zaposlenimi, če so bili predhodno o tem pisno obveščeni.
(2) Če izvajanje določenih biometrijskih ukrepov v zasebnem sektorju ni urejeno z zakonom, je upravljavec osebnih podatkov, ki namerava izvajati biometrijske ukrepe, dolžan pred uvedbo ukrepov posredovati državnemu nadzornemu organu opis nameravanih ukrepov in razloge za njihovo uvedbo.
(3) Državni nadzorni organ je po prejemu posredovanih informacij iz prejšnjega odstavka dolžan v dveh mesecih odločiti, ali je nameravana uvedba biometrijskih ukrepov v skladu s tem zakonom, predvsem s pogoji iz prvega stavka prvega odstavka tega člena. Rok se lahko podaljša za največ en mesec, če bi uvajanje teh ukrepov prizadelo več kot 20 zaposlenih v osebi zasebnega sektorja, ali če reprezentativni sindikat pri delodajalcu zahteva sodelovanje v upravnem postopku.
(4) Upravljavec osebnih podatkov sme izvajati biometrijske ukrepe po prejemu odločbe iz prejšnjega odstavka, s katero je izvajanje biometrijskih ukrepov dovoljeno.
(5) Zoper odločbo državnega nadzornega organa iz tretjega odstavka tega člena ni pritožbe, dovoljen pa je upravni spor.

Biometrijski ukrepi v zvezi z zaposlenimi v javnem sektorju

81. člen

Ne glede na določbe 79. člena tega zakona se v javnem sektorju lahko uvedejo biometrijski ukrepi v zvezi z vstopom v stavbo ali dele stavbe in evidentiranjem prisotnosti zaposlenih na delu, ki se izvedejo ob smiselni uporabi drugega, tretjega in četrtega odstavka 80. člena tega zakona.

4. poglavje
Evidenca vstopov in izstopov iz prostorov

Evidenca

82. člen

(1) Oseba javnega ali zasebnega sektorja lahko za namene varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v osebni dokument posameznika.
(2) V evidenci vstopov in izstopov se lahko o posamezniku vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov.
(3) Evidenca iz prejšnjega odstavka velja za uradno evidenco v skladu z zakonom, ki ureja splošni upravni postopek, če je potrebno pridobiti podatke z vidika koristi mladoletnika ali za izvrševanje pristojnosti policije ter obveščevalno-varnostne dejavnosti.
(4) Osebni podatki iz evidence iz drugega odstavka tega člena se lahko hranijo največ tri leta od vpisa, nato se zbrišejo ali na drug način uničijo, če zakon ne določa drugače.

5. poglavje
Javne knjige in varstvo osebnih podatkov

Zakoniti namen javne knjige

83. člen

Osebni podatki iz javne knjige, urejene z zakonom, se lahko uporabljajo le v skladu z namenom, za katerega so bili zbrani ali se obdelujejo, če je zakoniti namen njihovega zbiranja ali obdelave določen ali določljiv.

6. poglavje
Povezovanje zbirk osebnih podatkov

Uradne evidence in javne knjige

84. člen

(1) Zbirke osebnih podatkov iz uradnih evidenc in javnih knjig je dovoljeno povezovati, če tako določa zakon.
(2) Upravljavci ali upravljavec osebnih podatkov, ki povezuje dve ali več zbirk osebnih podatkov, ki se vodijo za različne namene, so dolžni o tem predhodno pisno obvestiti državni nadzorni organ.
(3) Če vsaj ena zbirka osebnih podatkov, ki naj bi se jo povezalo, vsebuje občutljive podatke, ali če bi povezovanje imelo za posledico razkritje občutljivih podatkov ali je za izvedbo povezovanja potrebna uporaba istega povezovalnega znaka, povezovanje ni dovoljeno brez predhodnega dovoljenja državnega nadzornega organa.
(4) Državni nadzorni organ dovoli povezavo iz prejšnjega odstavka na podlagi pisne vloge upravljavca osebnih podatkov, če ugotovi, da upravljavci osebnih podatkov zagotavljajo ustrezno zavarovanje osebnih podatkov.
(5) Zoper odločbo iz prejšnjega odstavka ni pritožbe, dovoljen pa je upravni spor.

Prepoved povezovanja

85. člen

Prepovedano je povezovati zbirke osebnih podatkov iz kazenske evidence in prekrškovnih evidenc z drugimi zbirkami osebnih podatkov ter povezovati zbirke osebnih podatkov iz kazenske evidence in prekrškovne evidence.

Posebna določba

86. člen

V registru zbirk osebnih podatkov se podatki o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig vodijo posebej.

7. poglavje
Strokovni nadzor

Uporaba določb tega poglavja

87. člen

Če drug zakon ne določa drugače, se določbe tega poglavja uporabljajo za obdelavo osebnih podatkov pri strokovnem nadzoru, ki je določen z zakonom.

Splošne določbe

88. člen

(1) Oseba javnega sektorja, ki izvaja strokovni nadzor (v nadaljnjem besedilu: izvajalec strokovnega nadzora), lahko obdeluje osebne podatke, ki jih obdelujejo upravljavci osebnih podatkov, nad katerimi ima po zakonu pristojnost izvajati strokovni nadzor.
(2) Izvajalec strokovnega nadzora ima pravico do vpogleda, izpisa, prepisovanja ali kopiranja vseh osebnih podatkov iz prejšnjega odstavka, pri njihovi obdelavi za namene strokovnega nadzora in izdelave poročila ali ocene pa je dolžan varovati njihovo tajnost. V poročilu ali oceni ob zaključku strokovnega nadzora lahko izvajalec strokovnega nadzora zapiše le tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora.
(3) Stroške vpogleda, izpisa, prepisovanja ali kopiranja iz prejšnjega odstavka krije upravljavec osebnih podatkov.

Strokovni nadzor in dodatna obdelava osebnih podatkov

89. člen

(1) Izvajalec strokovnega nadzora lahko pri opravljanju strokovnega nadzora, pri katerem v skladu s prvim odstavkom 88. člena tega zakona obdeluje osebne podatke, pisno obvesti posameznika, na katerega se nanašajo osebni podatki, da izvaja strokovni nadzor in ga obvesti, da lahko pisno ali ustno poda svoja stališča.
(2) Posameznik iz prejšnjega odstavka lahko posreduje izvajalcu strokovnega nadzora za namene izvajanja strokovnega nadzora osebne podatke drugega posameznika, ki bi lahko o zadevi, v kateri se izvaja strokovni nadzor, kaj vedel. Če izvajalec strokovnega nadzora ugotovi, da je to potrebno, opravi razgovor tudi z drugim posameznikom.

Strokovni nadzor in občutljivi osebni podatki

90. člen

Če se pri izvajanju strokovnega nadzora obdelujejo občutljivi osebni podatki, izvajalec strokovnega nadzora o tem naredi uradni zaznamek ali drug uradni zapis v spisu zadeve upravljavca osebnih podatkov.