Opozorilo: Besedilo osnovnega predpisa
ZAKON
O VARSTVU OSEBNIH PODATKOV (ZVOP-2)
I. DEL
TEMELJNE DOLOČBE
1. poglavje
Splošne določbe
1. člen
(vsebina)
(1) Ta zakon ureja uresničevanje človekove pravice do varstva
osebnih podatkov, obveznosti, načela, upravičenja, postopke in ukrepe, s
katerimi se zagotavlja ustavna skladnost, zakonitost in upravičenost posegov v
zasebnost, dostojanstvo, tajnost osebnih podatkov, podatkovna samoodločba
oziroma druge temeljne pravice posameznika pri obdelavi osebnih podatkov ter
pravila o prostem pretoku osebnih podatkov za izvajanje Uredbe (EU) 2016/679
Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri
obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o
razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št.
119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z
dne 23. 5. 2018, str. 2; v nadaljnjem besedilu: Splošna uredba), ter druga
vprašanja obdelave in varstva osebnih podatkov.
(2) Za vprašanja varstva in obdelave osebnih podatkov, ki jih
ureja zakon, ki ureja varstvo osebnih podatkov pri obravnavanju kaznivih
dejanj, se ne uporabljajo določbe tega zakona.
2. člen
(prepoved diskriminacije glede obdelave osebnih podatkov)
Obdelava osebnih podatkov je prepovedana, če se izvaja na
način ali ima za posledico nedopustno diskriminacijo glede na narodnost, raso,
barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo
prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj
rojstva, izobrazbo, družbeni položaj, invalidnost, državljanstvo, kraj oziroma
vrsto prebivališča, zdravstveno stanje, genske predispozicije ali katero koli
drugo osebno okoliščino posameznice in posameznika (v nadaljnjem besedilu:
posameznik).
3. člen
(področje uporabe)
(1) Določbe tega zakona veljajo za obdelave osebnih podatkov
na področjih, ki jih ureja Splošna uredba ali jih posebej ureja ta zakon in se
izvajajo v celoti ali delno z avtomatiziranimi sredstvi, in za drugačno obdelavo
kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so
namenjeni oblikovanju dela zbirke.
(2) Določbe tega zakona ne veljajo za obdelave osebnih
podatkov, ki jih izvajajo posamezniki med potekom popolnoma osebne ali domače
dejavnosti.
(3) Za obdelave osebnih podatkov, ki jih Splošna uredba ne
ureja, se uporabljajo določbe drugih zakonov, ki urejajo te obdelave,
subsidiarno določbe tega zakona ter smiselno določbe 4. do 7. in 9. do 23.
člena Splošne uredbe.
4. člen
(veljavnost zakona)
(1) Ta zakon velja za obdelavo osebnih podatkov, ki se izvaja
v okviru javnega sektorja Republike Slovenije, in za zasebni sektor, kadar gre
za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve
upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav
obdelava osebnih podatkov ne poteka v Republiki Sloveniji.
(2) Ta zakon velja tudi za obdelavo osebnih podatkov, ki se
izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je
registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z
nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to,
ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali
vedenja posameznikov, če to poteka v Republiki Sloveniji.
5. člen
(pomen izrazov)
(1) Izrazi, uporabljeni v tem zakonu, pomenijo enako kot
izrazi, opredeljeni v 4. členu Splošne uredbe.
(2) Drugi izrazi, uporabljeni v tem zakonu, pomenijo:
1.
»nadzorni organ« je Informacijski pooblaščenec, določen z zakonom, ki
ureja Informacijskega pooblaščenca;
2.
»nadzorne osebe« so informacijski pooblaščenec in nadzorniki za varstvo
osebnih podatkov, kot jih določa zakon, ki ureja Informacijskega pooblaščenca,
kadar izvajajo nadzor po določbah tega zakona;
3.
»javni sektor« so državni organi, samoupravne lokalne skupnosti, nosilci
javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije,
javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni
vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne
vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske
skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z
zakonom;
4.
»zasebni sektor« so pravne in fizične osebe, ki opravljajo dejavnost v skladu
z zakonom, ki ureja gospodarske družbe ali gospodarske javne službe ali obrt,
in druge osebe zasebnega prava; zasebni sektor so tudi javni gospodarski
zavodi, javna podjetja in gospodarske družbe in izvajalci gospodarskih javnih
služb, ne glede na delež oziroma vpliv države ali samoupravne lokalne skupnosti
ali samoupravne narodne skupnosti ali dejstvo, da so nosilci javnega
pooblastila;
5.
»povezovalni znak« je osebna identifikacijska številka in druge z
zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo
katerih je mogoče zbrati oziroma priklicati osebne podatke iz zbirk osebnih
podatkov, v katerih so enolične identifikacijske številke obdelovane, ter drugi
podobni znaki, ki se redno ali sistematično uporabljajo za povezovanje zbirk
med različnimi upravljavci ali dveh ali več zbirk znotraj enega upravljavca;
6.
»zadeva sodišča« je izvajanje sodne oblasti, kar vključuje sojenje in
obravnavanje pravnih sredstev v sodnih zadevah iz pristojnosti sodišč s splošno
pristojnostjo in specializiranih sodišč, kot jo določa zakon, ki ureja sodišča
ali specializirana sodišča, ter o kateri odločajo sodišča v skladu z zakoni, ki
urejajo sodne postopke, razen v kazenskih zadevah sodišč, kot jih določa zakon,
ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj;
7.
»zakon« je ta zakon, drugi zakoni, obvezujoče mednarodne pogodbe, ki
zavezujejo Republiko Slovenijo, ter pravni akti ali odločitve Evropske unije,
katerih določbe so enakovredne zakonom in neposredno uporabljive ali neposredno
učinkovite;
8.
»varnost države« je izvajanje nalog ali pooblastil v skladu z zakoni, ki
urejajo izvajanje obveščevalno-varnostnih in protiobveščevalnih dejavnosti
države;
9.
»kazenske evidence« so evidence, določene v zakonu, ki ureja izvrševanje
kazenskih sankcij;
10.
»prekrškovne evidence« so evidence o pravnomočnih odločbah o prekrških,
evidence pravnomočnih sodb oziroma sklepov o prekrških in kazenskih točk,
določenih v zakonu, ki ureja prekrške;
11.
»storitev informacijske družbe« je katerakoli storitev, ki se običajno
opravi odplačno, na daljavo (storitev se opravi, ne da bi bile stranke sočasno
navzoče), elektronsko (storitev se pošlje na začetnem kraju in sprejme na cilju
z elektronsko opremo za obdelavo in shranjevanje podatkov ter se v celoti
prenaša, pošilja in sprejema po žici, radijsko, z optičnimi ali drugimi
elektromagnetnimi sredstvi) in na posamezno zahtevo prejemnika storitev
(storitev opravi s prenosom podatkov na posamezno zahtevo);
12.
»povezovanje zbirk podatkov« je avtomatsko in elektronsko povezovanje
zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih
pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno
prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi
če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se
določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se
tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi
točnosti spremenijo.
6. člen
(pravne podlage za obdelavo osebnih podatkov)
(1) Osebni podatki se lahko obdelujejo le takrat in v obsegu,
kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz
prvega odstavka 6. in 9. člena Splošne uredbe.
(2) Obdelava osebnih podatkov v javnem sektorju in v zasebnem
sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali
izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega
in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih
podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije
posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave
in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi
določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih
podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za
zagotovitev zakonite, poštene in pregledne obdelave.
(3) V javnem sektorju se lahko v skladu s prvim odstavkom
tega člena obdelujejo osebni podatki posameznika, ki je dal privolitev za
obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako
možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje
zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.
(4) Ne glede na določbe drugega odstavka tega člena se za
izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu
sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za
izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če
se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se
osebni podatki nanašajo.
(5) Z zakonom se sme obdelava osebnega podatka o narodni ali
etnični pripadnosti v javnem sektorju določiti samo izjemoma, za primere, v
katerih je to nujno za odločitev o osebnem stanju, pravicah, spodbudah in
ugodnostih za posameznika, na katerega se nanašajo osebni podatki, ali za
zagotavljanje in spodbujanje enakega obravnavanja, enakih možnosti ter
zajamčenih posebnih pravic pripadnikov narodne ali etnične skupnosti v
Republiki Sloveniji, pri čemer zakon določi privolitev posameznika, na katerega
se nanašajo osebni podatki, ali določi obdelavo podatkov, glede katerih se
posameznik svobodno opredeli.
(6) Na obveščevalno-varnostnem in protiobveščevalnem področju
se lahko zbirajo in nadalje obdelujejo osebni podatki, vključno s posebnimi
vrstami osebnih podatkov, ne glede na določbe drugega odstavka 9. člena Splošne
uredbe. Obdelava osebnih podatkov je dopustna, če je nujno potrebna za namen
izvajanja zakonsko določenih pooblastil in nalog državnih organov, ki delujejo
na tem področju. Obdelave morajo biti določene z zakonom, v skladu z drugim
odstavkom tega člena.
7. člen
(obdelava osebnih podatkov v druge namene in ravnanje z
nepotrebnimi osebnimi podatki)
(1) Obdelava osebnih podatkov za drug namen kot za tistega,
za katerega so bili zbrani (v nadaljnjem besedilu: nadaljnja obdelava), je v
javnem in zasebnem sektorju dopustna, če je to v skladu z določbami iz četrtega
odstavka 6. člena Splošne uredbe. Kadar gre za nadaljnjo obdelavo, ki jo
izvajajo upravljavci zaradi zakonske obveznosti ali v okviru svojih nalog v
javnem interesu ali zaradi izvajanja javne oblasti, mora tako obdelavo določati
zakon v skladu z drugim odstavkom prejšnjega člena.
(2) Kadar se nenamerno zberejo osebni podatki, za katere je
očitno, da niso potrebni za konkretno obdelavo, se izbrišejo brez nepotrebnega
odlašanja, drugače nepovratno uničijo ali vrnejo posamezniku, na katerega se
nanašajo, ali upravljavcu ali obdelovalcu, ki jih je poslal.
8. člen
(privolitev otroka za uporabo storitev informacijske družbe)
(1) Privolitev otroka za uporabo storitev informacijske
družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno
domneva, da jih bodo uporabljali otroci, je veljavna, če je otrok star 15 let
ali več. Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali
odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena
starševska skrb. Kadar se storitev informacijske družbe ponuja neodplačno,
lahko privolitev odobri tudi rejnik ali predstavnik zavoda, v katerega je
nameščen otrok. V primerih, ko pogoji poslovanja izvajalca storitev
informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev,
se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev.
(2) Privolitev otroka iz prejšnjega odstavka ne sme biti
pogojena s pretiranimi pogoji s strani upravljavca, tako da bi otrok moral
posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne
dejavnosti.
9. člen
(posebno varstvo osebnih podatkov umrlih posameznikov)
(1) Osebni podatki umrlih posameznikov se obdelujejo v skladu
z zakonom.
(2) Upravljavec podatke o umrlem posamezniku posreduje le
tistim uporabnikom, ki so za obdelavo osebnih podatkov pooblaščeni z zakonom,
in tistim uporabnikom, ki izkažejo pravni interes za uveljavljanje pravic pred
subjekti javnega sektorja.
(3) Ne glede na določbe prejšnjega odstavka upravljavec
osebne podatke o umrlem posamezniku na njihovo zahtevo posreduje zakoncu,
zunajzakonskemu partnerju, otrokom, staršem ali dedičem, če umrli posameznik ni
pisno prepovedal upravljavcu posredovanja njegovih osebnih podatkov ali če drug
zakon ne določa drugače.
(4) Če drug zakon ne določa drugače, lahko upravljavec
podatke o umrlem posamezniku posreduje tudi drugi osebi, ki izkaže, da namerava
te podatke uporabljati za namene znanstvenega raziskovanja, zgodovinskega
raziskovanja, izobraževalne, statistične ali arhivske namene.
(5) Za obdelavo za namene iz prejšnjega odstavka ali v okviru
izvajanja svobode izražanja se lahko obdelujejo zakonito pridobljeni osebni
podatki umrlih posameznikov, če tako določa zakon, če je privolitev pred smrtjo
dal posameznik sam ali če je za tako obdelavo v času po smrti posameznika dana
pisna privolitev naslednjih oseb v izključujočem vrstnem redu: zakonec ali
zunajzakonski partner, otroci ali starši umrlega posameznika. Ne glede na
določbe prejšnjega stavka se lahko za objavo ali drugo obdelavo v zgodovinskih
in drugih izobraževalnih publikacijah obdelujejo zakonito pridobljeni osebni
podatki umrlih posameznikov, če so bili umrli posamezniki javne osebe in če
tega ne prepoveduje drug zakon.
(6) Določbe tega člena se uporabljajo za osebne podatke
umrlih posameznikov 20 let po njihovi smrti, če drug zakon ne določa drugače.
10. člen
(varstvo in obdelava osebnih podatkov o odločitvah o
kazenskih obsodbah ter o kaznovanjih za prekrške)
(1) Podatki o vpisu ali izbrisu v ali iz kazenskih evidenc in
prekrškovnih evidenc ter prenosi teh podatkov se obravnavajo kot posebne vrste
osebnih podatkov v skladu s prvim in drugim odstavkom 9. člena Splošne uredbe.
(2) Zakon določi namen obdelave, vključno s povezovanjem, ki
mora biti v javnem interesu, vrste podatkov, ki se obdelujejo, posameznike, na
katere se nanašajo osebni podatki, subjekte, katerim se osebni podatki lahko
razkrijejo, namene, za katere se lahko razkrijejo, omejitve namena ter rok
hrambe, vključno z ukrepi za zagotovitev zakonite in poštene obdelave.
(3) Za izvedbo povezovanja iz prejšnjega odstavka se za
državljana Republike Slovenije ali osebo s prebivališčem v Republiki Sloveniji
kot identifikacijski znak uporabi enotna matična številka občana iz kazenske
ali prekrškovne evidence.
11. člen
(splošno sodno varstvo pravic posameznika)
(1) Posameznik, ki meni, da upravljavec ali obdelovalec iz
javnega ali zasebnega sektorja krši njegove pravice, določene s Splošno uredbo
ali z zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov, lahko zahteva
sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega
uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih
sredstev.
(2) Posameznik lahko s sodnim varstvom po določbah tega člena
zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi
povrnitev škode.
(3) Če je kršitev iz prvega odstavka tega člena prenehala,
lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala.
(4) V postopku po prvem, drugem in tretjem odstavku tega
člena odloča upravno sodišče po postopku, ki ga zakon, ki ureja upravni spor,
določa za tožbo zaradi kršitve človekovih pravic in temeljnih svoboščin,
posameznik pa lahko v tožbo vključi tudi odškodninski zahtevek.
(5) V postopku pred upravnim sodiščem je zaradi varstva
podatkovne zasebnosti posameznika ali njegovega osebnega dostojanstva javnost
izključena, če sodišče na predlog posameznika, na katerega se nanašajo osebni
podatki, iz utemeljenih razlogov ne odloči drugače.
(6) Ta člen se ne uporablja za postopke proti upravljavcem
ali obdelovalcem osebnih podatkov glede obdelav osebnih podatkov s področja
varnosti države.
2. poglavje
Postopek pred upravljavcem in obdelovalcem
12. člen
(splošna določba)
V postopkih uveljavljanja pravic ali zahtev iz 15. do 22.
člena Splošne uredbe pred upravljavcem in pred obdelovalcem, kadar deluje po
desetem odstavku 28. člena Splošne uredbe ter pravice do seznanitve z osebnimi
podatki, ki se obdelujejo v skladu z zakoni iz tretjega odstavka 3. člena tega
zakona, se uporabljajo določbe Splošne uredbe in tega poglavja.
13. člen
(postopkovne določbe za državne organe in samoupravne
lokalne skupnosti)
(1) Upravljavci, ki so državni organi ali samoupravne lokalne
skupnosti, o zahtevi posameznika iz 15. do 22. člena Splošne uredbe in drugih
zahtevkih posameznika s področja varstva osebnih podatkov, dostopa do osebnih
podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu odločajo
na podlagi zakona, ki ureja splošni upravni postopek, če drug zakon ne določa
drugače, v roku, določenem s Splošno uredbo. Kadar upravljavec ugodi zahtevi
posameznika, ne izda posebne odločbe, temveč o tem napravi uradni zaznamek in
posameznika seznani z odločitvijo. Kadar upravljavec zahtevi posameznika ne
ugodi, izda odločbo, ki poleg sestavin, določenih z zakonom, ki ureja splošni
upravni postopek, vsebuje tudi sestavine, ki jih določa ta zakon.
(2) Kadar zahtevi posameznika ni ugodeno, mora biti v odločbi
v pravnem pouku navedena pravica do pritožbe pri nadzornem organu v roku 15 dni
od vročitve odločbe v zadevi, po določbah točke f) prvega odstavka 15. člena
Splošne uredbe.
14. člen
(obravnavanje zahtevkov posameznika v javnem in zasebnem
sektorju)
(1) Kadar upravljavec, ki ni državni organ ali samoupravna
lokalna skupnost, obravnava zahtevke posameznika iz 15. do 22. člena Splošne
uredbe in druge zahtevke posameznika s področja varstva osebnih podatkov,
dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali
drugem zakonu, posameznika seznani z odločitvijo in, če je to predmet zahteve,
z osebnimi podatki, ki se nanašajo nanj, v roku, določenem s Splošno uredbo. Če
posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno.
(2) Odločitev mora vsebovati razloge in informacijo o pravici
do pritožbe pri nadzornem organu v roku 15 dni od seznanitve z odločitvijo po
določbah točke f) prvega odstavka 15. člena Splošne uredbe. Odločitev ima lahko
obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča
seznanitev z odločitvijo in dokazovanje njenega prejema.
15. člen
(sestavine odločbe)
(1) Če je to potrebno zaradi omejitev iz 18. člena tega
zakona, odločba iz 13. člena tega zakona vsebuje tudi obseg dovoljenega
pregleda spisa, zbirke ali drugače obdelanih lastnih osebnih podatkov.
(2) Ne glede na določbe 13. člena tega zakona odločba ne
obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo
izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka 18. člena
tega zakona.
(3) Odločba iz prejšnjega odstavka tudi ne obsega navedb, s
katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje konkretnih
ukrepov iz zakona, ki ureja Slovensko obveščevalno-varnostno agencijo, ukrepov
glede varnosti države iz zakona, ki ureja obrambo ali zakona, ki ureja naloge
in pooblastila policije.
(4) Konkretne razloge iz drugega odstavka tega člena
upravljavec navede ločeno v prilogi k odločbi. Priloga, opremljena s številko
zadeve, datumom in podpisom pristojne uradne osebe, je dostopna samo nadzornemu
organu, Varuhu človekovih pravic, pristojnemu sodišču ali drugim organom,
pristojnim za nadzor po drugem zakonu. Priloga, opremljena s številko zadeve,
datumom in podpisom pristojne uradne osebe, se ne vroča prijavitelju s posebnim
položajem iz 30. člena tega zakona.
16. člen
(izvrševanje odločitev)
(1) Nadzorni organ izvaja postopek izvršbe po določbah
zakona, ki ureja splošni upravni postopek, če ni s tem zakonom določeno
drugače.
(2) Upravna izvršba iz prejšnjega odstavka se opravi na
predlog posameznika, na katerega se nanašajo osebni podatki, s prisilitvijo
zoper upravljavca ali obdelovalca, po določbah zakona, ki ureja splošni upravni
postopek. Upravna izvršba se opravi na podlagi izvršljive odločbe iz 13. člena
ali odločitve iz 14. člena tega zakona.
17. člen
(stroški zagotavljanja informacij)
(1) Poleg informacij, sporočil, odgovorov in ukrepanj
upravljavca iz 15. do 22. člena Splošne uredbe, ki se zagotavljajo brezplačno,
se brezplačno zagotavljajo tudi informacije, sporočila, odgovori in ukrepanja
upravljavca glede uveljavljanja pravic in zahtevkov s področja varstva osebnih
podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po
tem ali drugem zakonu.
(2) Kadar so zahtevki posameznika, na katerega se nanašajo
osebni podatki, očitno neutemeljeni ali pretirani, zlasti ker se ponavljajo,
lahko upravljavec kljub temu zahtevi ugodi, če je po vsebini utemeljena, in
posamezniku zaračuna razumne stroške. Razumni stroški vključujejo samo
materialne stroške posredovanja informacij, sporočil, odgovorov oziroma
izvajanja zahtevanega ukrepanja.
(3) V primerih neugoditve zahtevkom ali drugim upravičenjem
iz prvega odstavka tega člena upravljavec z zaznamkom navede tudi razloge glede
očitne neutemeljenosti ali pretiranosti zahteve.
(4) Če upravljavec ugotovi, da bodo nastali stroški v skladu
z določbami tega člena, posameznika o tem vnaprej obvesti.
(5) Višino stroškov iz drugega odstavka tega člena in iz
tretjega odstavka 15. člena Splošne uredbe glede dodatnih kopij osebnih
podatkov, pravila o zaračunavanju, način vnaprejšnjega obveščanja posameznika o
nastalih stroških iz prejšnjega odstavka, višino stroškov na področju
seznanitve z lastno zdravstveno dokumentacijo in dokumentacijo umrlih pacientov
predpiše minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim
za zdravje, po predhodnem mnenju nadzornega organa.
18. člen
(zakonska omejitev pravic in obveznosti)
Z zakonom se lahko v skladu z razlogi in pogoji iz 23. člena
Splošne uredbe izjemoma določijo omejitve pravic posameznika in obveznosti ter
nalog upravljavcev ali obdelovalcev iz III. poglavja in 34. člena Splošne
uredbe, 7. in 9. člena tega zakona ali drugega zakona.
19. člen
(posebna pravila glede načina uveljavljanja pravic ali
zahtevkov na določenih področjih)
(1) Pravice ali drugi zahtevki posameznikov, na katere se
nanašajo osebni podatki, iz 73. do 75. člena tega zakona se ne izvajajo v
postopkih pred nadzornim organom po določbah tega zakona ali po določbah
Splošne uredbe.
(2) Ne glede na določbe prejšnjega odstavka nadzor nad
zakonitostjo posredovanja, razkritja ali omogočanja nepooblaščenega dostopa do
osebnih podatkov iz zbirke za namene iz četrtega odstavka 73. člena tega zakona
izvaja nadzorni organ.
(3) Če drug zakon v zadevi sodišča določa uresničevanje
pravic s področja varstva osebnih podatkov iz Splošne uredbe, posameznik, na
katerega se nanašajo osebni podatki, uresničuje te pravice le v obsegu in na
način, kot je določeno z drugim zakonom.
(4) V postopku s pritožbo glede načina seznanitve z
zdravstveno dokumentacijo, seznanitve z zdravstveno dokumentacijo po pacientovi
smrti ter varovanja poklicne skrivnosti po zakonu, ki ureja pacientove pravice,
se uporabljajo določbe zakona, ki ureja pacientove pravice, smiselno pa se
uporabljajo določbe Splošne uredbe in tega zakona.
20. člen
(izjema glede uveljavljanja zahtevka posameznika prek
zakonitega zastopnika)
Upravljavec lahko izjemoma zavrne zahtevo posameznika iz 15.
do 22. člena Splošne uredbe ali dostop do osebnih podatkov iz posameznikove
zdravstvene dokumentacije, vložen prek zakonitega zastopnika, če obstajajo
konkretne in objektivne okoliščine, zaradi katerih bi bilo utemeljeno sklepati,
da bi bile zaradi seznanitve z določenimi osebnimi podatki neposredno ali
posredno prizadete koristi, pravice ali upravičeni interesi mladoletnih oseb
ali oseb, postavljenih pod skrbništvo ali drugih oseb, za katere tako določa
zakon, ter če te pravice in interesi pretehtajo nad interesi zakonitega
zastopnika za seznanitev. V tem primeru so razlogi za zavrnitev dostopni
nadzornemu organu, Varuhu človekovih pravic, kolizijskemu skrbniku, kadar gre
za osebne podatke iz zdravstvene dokumentacije, pa zastopniku pacientovih
pravic po zakonu, ki ureja pacientove pravice.
21. člen
(zavarovanje osebnih podatkov, ki so predmet postopka)
(1) Upravljavec ali obdelovalec od prejema zahteve iz 15. do
22. člena Splošne uredbe ali zahtev posameznika po tem ali drugem zakonu ne sme
izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet
postopka, dnevnikov obdelav in drugih povezanih informacij, ne glede na potek
predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno
odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi.
(2) Ob upoštevanju okoliščin konkretnega postopka lahko
nadzorni organ zaradi učinkovitega izvajanja poslovanja, nalog ali pooblastil
upravljavca ali obdelovalca odredi izdelavo kopije osebnih podatkov ali kopije
postopkov obdelave ali na drug način, ki ne otežuje poslovanja oziroma
izvajanja nalog ali pooblastil upravljavca ali obdelovalca, ter kadar gre za
osebne podatke, ki so označeni kot tajni podatki, zavaruje osebne podatke, ki
so predmet postopka.
3. poglavje
Varnost osebnih podatkov in ocena učinka
22. člen
(vodenje dnevnika obdelave)
(1) Zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV.
poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave,
kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne
obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično
spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki
ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako
določa zakon, o naslednjih dejanjih obdelave osebnih podatkov:
1.
zbiranje;
2.
spreminjanje;
3.
vpogled;
4.
razkritje, vključno s prenosi;
5.
izbris;
6.
druga dejanja obdelave, ki jih določa zakon.
(2) Dnevnik obdelave iz prejšnjega odstavka mora za dejanja
obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas
obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter
identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti
točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi
upravljavec ob upoštevanju ocene učinka.
(3) Dnevnik obdelave se uporablja le za izkazovanje
zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali
drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih
pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter
za odpravljanje napak v delovanju informacijskega sistema ali obdelavi
podatkov.
(4) Upravljavec in obdelovalec nadzornemu organu ali drugemu
zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do
dnevnika obdelave.
(5) Vsebina dnevnika obdelave se hrani dve leti od zaključka
koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon
ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj
ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka
hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka
koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za
seznanitev s podatki iz dnevnika določene omejitve iz 18. člena tega zakona, se
vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon
ne določa drugače.
23. člen
(varnost osebnih podatkov na področju posebnih obdelav)
(1) Za informacijske sisteme, v katerih:
1.
se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo
področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske
obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega
zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter
kazenskih in prekrškovnih evidenc, ali
2.
se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi
zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali
3.
upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne
obdelave posebnih vrst osebnih podatkov, ali
4.
se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,
se smiselno uporabljajo določbe o varnostnih
zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost,
ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh
obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
(2) Kadar bi kršitev varnosti osebnih podatkov, ki se
obdelujejo v informacijskih sistemih iz prejšnjega odstavka, lahko hudo
škodovala varnosti ali interesom Republike Slovenije, upravljavci ali
obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča
uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim
osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo
nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in
interesom Republike Slovenije.
(3) Če se po prvem odstavku tega člena obdelujejo biometrični
osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in
prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne
skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb
ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična
lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.
(4) Zbirk osebnih podatkov iz 1. točke prvega odstavka tega
člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.
24. člen
(ocena učinka in predhodno posvetovanje)
(1) Ocena učinka v zvezi z varstvom osebnih podatkov po 35.
členu Splošne uredbe in predhodno posvetovanje po 36. členu Splošne uredbe se
izvajata tudi pred uvedbo posebnih obdelav iz prvega odstavka prejšnjega člena.
Ocena učinka mora upoštevati okoliščino, določeno v drugem odstavku tega člena
in možne škodljive posledice za varnost države, vključno z njenimi političnimi
ali gospodarskimi koristmi, če bi bili obdelovani podatki razkriti
nepooblaščenim osebam ali subjektom.
(2) Pred začetkom obdelave se ocena učinka ponovno izdela
tudi, kadar je bila spremenjena pravna podlaga za obdelavo iz 6. člena tega
zakona.
(3) Kadar se z zakonom določa obdelava osebnih podatkov, za
katero je treba izdelati oceno učinka, predlagatelj predlogu zakona priloži
oceno učinka v skladu s 35. členom Splošne uredbe. Po proučitvi ocene učinka
nadzorni organ poda mnenje glede obdelave osebnih podatkov, glede katerega se
mora predlagatelj zakona opredeliti. Kadar ocene učinka ni treba izdelati,
predlagatelj zakona opravi samo predhodno posvetovanje z nadzornim organom v
skladu s 36. členom Splošne uredbe.
(4) Za obdelave osebnih podatkov na področju varnosti države
pristojni organ s področja varnosti države pripravi oceno učinka s smiselno
uporabo določb tega člena. Ocena učinka je za potrebe nadzorov dostopna
nadzornemu organu, Varuhu človekovih pravic in pristojnemu delovnemu telesu iz
drugega odstavka 64. člena tega zakona.
4. poglavje
Postopki pred nadzornim organom
1. oddelek
Posebnosti postopka
25. člen
(uporaba določb zakona, ki ureja splošni upravni postopek)
V postopkih pred nadzornim organom po tem zakonu se
uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne
določa drugače.
26. člen
(izvajanje postopkovnih dejanj brez prisotnosti)
(1) V postopkih pred nadzornim organom lahko nadzorni organ
opravlja razgovore z osebami pri upravljavcu ali obdelovalcu in s pričami brez
prisotnosti posameznika, na katerega se nanašajo osebni podatki, v celoti ali
deloma, če bi taka prisotnost škodovala izvedbi uradnih postopkov ali varstvu
ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb, o
čemer nadzorni organ odloči s sklepom in o tem obvesti posameznika. V tem
primeru nadzorni organ tudi ne dovoli prisotnosti pri drugih dejanjih v
postopku in posamezniku ne vroča zapisnika o teh dejanjih.
(2) Nadzorni organ v zadevah s področja varnosti države
opravlja razgovore z osebami pri upravljavcu ali obdelovalcu brez prisotnosti
posameznika, na katerega se nanašajo osebni podatki, o čemer nadzorni organ
odloči s sklepom in o tem obvesti posameznika ter ne dovoli njegove prisotnosti
pri drugih dejanjih v postopku in mu ne vroča zapisnika o teh dejanjih.
(3) Proti sklepu iz prvega in drugega odstavka tega člena, s
katerim se omeji prisotnost posameznika, na katerega se nanašajo osebni
podatki, pri postopkovnih dejanjih po tem členu, ni pritožbe, sklep pa se sme
izpodbijati skupaj z odločitvijo o glavni zadevi.
27. člen
(izključitev stranske udeležbe)
V postopkih pred nadzornim organom ni dopustna stranska
udeležba, kot jo določa zakon, ki ureja splošni upravni postopek.
28. člen
(nadzorna pooblastila)
(1) Nadzorna pooblastila nadzornega organa so:
1.
pregled dokumentacije upravljavca ali obdelovalca, ki se nanaša na
obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter prenos
osebnih podatkov v tretjo državo in posredovanje osebnih podatkov tujim
uporabnikom;
2.
pregled poslovnih knjig, pogodb, listin, poslovnih evidenc in drugih
podatkov, ki se nanašajo na obdelavo osebnih podatkov s strani upravljavca ali
obdelovalca ali druge pravne ali fizične osebe po njunem pooblastilu oziroma na
prenos osebnih podatkov v tretjo državo ali posredovanje uporabnikom osebnih
podatkov iz tretjih držav s strani upravljavca ali obdelovalca oziroma druge
pravne ali fizične osebe po njunem pooblastilu (v nadaljnjem besedilu: poslovne
knjige in druga dokumentacija), ne glede na njihovo tajnost ali drugo vrsto
zaupnosti in ne glede na vrsto nosilca, na katerem so zapisani ali shranjeni;
3.
vstop in pregled prostora, zemljišča, prevoznih sredstev (v nadaljnjem
besedilu: prostori) ter opreme in sredstev za obdelavo osebnih podatkov (v
nadaljnjem besedilu: oprema), v oziroma s katerimi upravljavec ali obdelovalec
(v nadaljnjem besedilu: nadzorovani subjekt) sam ali drug poslovni subjekt ali
posameznik po njihovem pooblastilu opravlja obdelavo osebnih podatkov, za
katero izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali
splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih
podatkov iz tega zakona;
4.
zavarovanje in pregled poslovne korespondence, elektronskih in z njimi
povezanih naprav ter nosilcev elektronskih podatkov, vključno s prek omrežja
dosegljivimi informacijskimi sistemi, na katerih so shranjeni podatki (v
nadaljnjem besedilu: elektronska naprava), za katere je verjetno, da so na njih
podatki, glede katerih izhaja verjetnost kršitve določb zakona, podzakonskih
predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil s področja
varstva osebnih podatkov iz tega zakona;
5.
odvzem ali pridobitev ustrezne kopije na stroške nadzorovanega subjekta,
forenzične kopije ali izvlečka iz poslovnih knjig in druge dokumentacije v
kakršni koli obliki z uporabo fotokopirnih sredstev ali računalniške opreme
upravljavca ali obdelovalca oziroma nadzornega organa. Če zaradi tehničnih ali
časovnih razlogov ni mogoče narediti kopij na kraju samem, se lahko poslovne
knjige in druga dokumentacija odnesejo za čas, ki je potreben, da se naredijo
kopije, o čemer se naredi uradni zaznamek, če so osebni podatki označeni s
stopnjo tajnosti, pa se naredijo le ustrezne kopije;
6.
zapečatenje ustreznega dela prostorov in opreme ter elektronskih naprav
za največ pet delovnih dni, v najmanjšem možnem obsegu, potrebnem za izvedbo
nadzora, o čemer se naredi uradni zaznamek;
7.
zaseg predmetov ter poslovnih knjig in druge dokumentacije za največ
deset delovnih dni, če je to potrebno za izvedbo postopka, o čemer se izda
potrdilo o zasegu, ki vsebuje navedbo zaseženih predmetov in njihov opis,
navedbo kraja, kjer so bili najdeni, ter navedbo razloga za zaseg.
(2) Nadzorna oseba lahko odredi začasno zapečatenje oziroma
blokiranje ustrezne opreme ali elektronske naprave le, če je to nujno, da se
ohranijo možni dokazi, in če zapečatenje ali blokiranje opreme ali elektronske
naprave ne onemogoča izvajanja rednega poslovanja, zakonskih nalog ali
pristojnosti nadzorovanega upravljavca ali obdelovalca, vendar le za čas,
dokler ni izdana sodna odredba iz prvega stavka tretjega odstavka tega člena
oziroma do poteka roka za njeno izdajo iz drugega stavka tretjega odstavka tega
člena.
(3) Nadzorna oseba izvaja nadzorna pooblastila iz 3. in 4.
točke prvega odstavka tega člena pri pregledu poslovne korespondence, opreme
ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost
posameznika, le z njegovim soglasjem ali na podlagi predhodne pisne odredbe
sodišča. O predlogu nadzorne osebe za izdajo odredbe iz prejšnjega stavka
preiskovalna sodnica ali preiskovalni sodnik (v nadaljnjem besedilu:
preiskovalni sodnik) pri Okrožnem sodišču v Ljubljani odloči najpozneje v 48
urah od prejema predloga. Nadzorna oseba predlogu za izdajo odredbe priloži
stališče nadzorovanega subjekta, do katerega se lahko tudi opredeli. Stališče
nadzorovani subjekt poda najpozneje v 48 urah po pozivu nadzornega organa.
(4) Preiskovalni sodnik z odredbo odloči, da se pregled iz
prejšnjega odstavka izvede, če obstajajo utemeljeni razlogi za sum, da je
nadzorovani subjekt kršil ali krši določbe zakona, podzakonskih predpisov ali
drugih splošnih aktov za izvrševanje javnih pooblastil s področja varstva
osebnih podatkov iz tega zakona, in je verjetno, da se bodo pri pregledu opreme
oziroma elektronskih naprav oziroma poslovne korespondence, ki bi posegel v
upravičeno pričakovano zasebnost posameznika iz prejšnjega odstavka, našli
dokazi, pomembni za odločanje v postopku nadzora ali s tem postopkom povezanem
prekrškovnem postopku. Odredba vsebuje:
1.
opredelitev poslovne korespondence, opreme oziroma elektronskih naprav,
ki jih je treba zavarovati in pregledati;
2.
opredelitev razlogov za pregled;
3.
opredelitev dokazov oziroma vsebine podatkov, ki se iščejo;
4.
navedbo razlogov, ki utemeljujejo uporabo nadzornega pooblastila in
način njegove izvršitve.
(5) Pregled poslovne korespondence, prostora ali elektronske
naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, se
opravi na način, s katerim se v najmanjši možni meri posega v pravice oseb,
zoper katere ni uveden nadzor, in varuje tajnost oziroma zaupnost podatkov ter
ne povzroča nesorazmerna škoda, kadar je izdana odredba preiskovalnega sodnika
glede opreme ali elektronske naprave, pa tudi v skladu z njo. Za zavarovanje
podatkov na elektronskih napravah se smiselno uporabljajo določbe zakona, ki
ureja kazenski postopek glede zavarovanja podatkov v elektronski obliki.
Predstavnik nadzorovanega subjekta ima pravico biti navzoč pri zavarovanju in
pregledu poslovne korespondence, elektronske naprave ter pri pregledu prostora,
pri pregledu poslovne korespondence, prostorov, elektronske naprave odvetnika
in prostorov, ki jih uporablja odvetnik, pa ima pravico biti navzoč tudi
predstavnik Odvetniške zbornice Slovenije. Če določeno elektronsko napravo
uporablja oseba, ki upravičeno pričakuje zasebnost na njej, ima pravico biti
navzoča ob zavarovanju ali pregledu elektronske naprave sama ali po
pooblaščencu. Če prostor uporablja druga oseba, ki upravičeno pričakuje
zasebnost na njem, ima pravico biti navzoča ob zavarovanju ali pregledu sama
ali po pooblaščencu, nadzorni organ pa pri pregledu zagotovi tudi prisotnost
dveh polnoletnih prič.
(6) O opravljenem nadzoru se sestavi zapisnik, ki se lahko ne
glede na določbe zakona, ki ureja splošni upravni postopek, kadar gre za nujne
in neodložljive ukrepe, sestavi takoj, v drugih primerih pa najpozneje v treh
dneh od dneva opravljenega nadzora in se vroči nadzorovanemu subjektu ali
njegovemu predstavniku ali vodstvu. Nadzorovani subjekt lahko na zapisnik poda
pripombe v roku, ki ga določi nadzorna oseba in ne sme biti krajši od dveh
delovnih dni po vročitvi zapisnika, o čemer se ga v zapisniku izrecno pouči.
Določbe prejšnjega stavka ne veljajo za zapisnike, ki vsebujejo vsebine glede
nujnih in neodložljivih ukrepov, nadzorovani subjekt pa lahko na tak zapisnik
takoj ustno poda pripombe.
(7) Zoper odredbo preiskovalnega sodnika ni dovoljena
pritožba, sme pa se izpodbijati v upravnem sporu zoper končno odločitev nadzornega
organa.
(8) Nadzorna oseba lahko nadzorna pooblastila iz tega člena
uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2.
oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega
poglavja.
29. člen
(nadzorni ukrepi)
(1) Kadar se pri opravljanju nadzora ugotovi kršitev določb
zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih
pooblastil, nadzorni organ lahko:
1.
odredi, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi,
odpravijo na način in v roku, ki ga sam določi;
2.
odredi omejitve obdelave, kot so anonimiziranje, blokiranje ali
arhiviranje;
3.
odredi prepoved prenosa osebnih podatkov v tretjo državo ali njihovega
posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo
v nasprotju z določbami zakona;
4.
odredi brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki
pomenijo prepoved obdelave osebnih podatkov, če ne gre za arhivsko gradivo, ki
ga določa drug zakon;
5.
odredi druge ukrepe skladno s tem zakonom, zakonom, ki ureja splošni
upravni postopek, ali zakonom, ki ureja varstvo podatkov na področju
obravnavanja kaznivih dejanj;
6.
izvaja preventivne ukrepe in izreka opozorila v skladu z zakonom, ki
ureja inšpekcijski nadzor;
7.
poda kazensko ovadbo oziroma izvede postopke v skladu z zakonom, ki
ureja prekrške, če pri nadzoru ugotovi, da obstaja sum storitve kaznivega
dejanja ali prekrška.
(2) Nadzorni organ pri opravljanju nadzora upošteva, da:
1.
ponudnik izključnega prenosa (če se storitev informacijske družbe, ki jo
opravlja, nanaša na prenos podatkov, ki jih zagotovi prejemnik storitve, v
komunikacijskem omrežju ali na zagotovitev dostopa do komunikacijskega omrežja)
ni odgovoren za poslane podatke, če ponudnik ne sproži prenosa, ne izbere
prejemnika prenosa in ne izbere ali spremeni podatkov, ki so predmet prenosa;
2.
ponudnik shranjevanja podatkov v predpomnilniku (če se storitev
informacijske družbe, ki jo opravlja, nanaša na prenos podatkov v
komunikacijskem omrežju, ki jih zagotovi prejemnik storitve) ni odgovoren za
samodejno, vmesno in začasno shranjevanje teh podatkov, ki je namenjeno le
učinkovitejšemu posredovanju podatka drugim prejemnikom storitve na njihovo
zahtevo, pod pogojem, da ponudnik ne spremeni podatkov in ponudnik hitro ukrepa
in odstrani ali onemogoči dostop do podatka, ki ga je hranil, takoj ko je
obveščen, da je bil podatek na začetnem izhodnem mestu prenosa odstranjen iz
omrežja ali da je bil dostop do njega onemogočen;
3.
ponudnik gostovanja (če se storitev informacijske družbe nanaša na
shranjevanje podatkov, ki jih zagotovi prejemnik storitve) ni odgovoren za
podatek, ki ga je shranil na zahtevo prejemnika storitve, pod pogojem, da
prejemnik storitve ne ukrepa v okviru pooblastil ali pod nadzorom ponudnika, da
ponudnik dejansko ne ve za nezakonito dejavnost ali podatek in mu glede danih
zahtevkov niso znana dejstva ali okoliščine, iz katerih je očitno, da gre za
nezakonito dejavnost ali podatek, ali da ponudnik, takoj ko za to izve ali se
tega zave, nemudoma ukrepa in odstrani ali onemogoči dostop do podatka.
(3) Ukrepov iz prvega odstavka tega člena ni mogoče odrediti
zoper ponudnika iz prejšnjega odstavka, če ni odgovoren po zakonu, ki ureja
elektronsko poslovanje na trgu, kot ponudnik storitev izključnega prenosa ali
kot ponudnik storitev shranjevanja v predpomnilniku ali kot ponudnik storitev
gostiteljstva.
(4) S pooblastili in ukrepi iz prejšnjega in tega člena
nadzorni organ ne sme posegati v zadeve sodišč in zadeve Ustavnega sodišča
Republike Slovenije, kadar Ustavno sodišče obravnava zadeve sodišč.
(5) Kadar se pri opravljanju nadzora ugotovi kršitev določb
drugega odstavka 6. člena tega zakona, nadzorni organ pri izbiri ukrepov iz 1.
do 6. točke prvega odstavka tega člena ob upoštevanju teže kršitve odredi
ukrep, ki je primeren za zagotovitev učinkovitega nadzora ter se z njim doseže
namen nadzora.
(6) Predstojnik upravljavca s področij
obveščevalno-varnostnega ali protiobveščevalnega delovanja države sme z
obrazloženim sklepom za čas največ štirih mesecev odložiti izvedbo nadzora s
strani nadzornega organa pri upravljavcu ali obdelovalcu s teh področij. Nadzor
se lahko odloži:
1.
če bi bilo zaradi izvajanja pooblastil ali ukrepov nadzornega organa iz
prejšnjega in tega člena lahko resno ogroženo uspešno opravljanje z zakonom
določenih nalog ali pooblastil upravljavca na področjih
obveščevalno-varnostnega ali protiobveščevalnega delovanja države, ki še niso
zaključene,
2.
če bi zaradi izvajanja pooblastil ali ukrepov nadzornega organa lahko
prišlo do resnega ogrožanja življenja ali telesa ljudi ali njihove osebne
svobode, ali
3.
če bi bila z izvajanjem pooblastil ali ukrepov nadzornega organa
onemogočena učinkovita uporaba tehničnih sredstev, s katerimi upravljavec
izvaja obdelave osebnih podatkov na področjih obveščevalno-varnostnega ali
protiobveščevalnega delovanja države.
(7) Nadzorni organ nadaljuje izvedbo nadzora po poteku roka
iz prejšnjega odstavka.
(8) Nadzorna oseba lahko nadzorne ukrepe iz tega člena
uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2.
oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega
poglavja.
2. oddelek
Položaj prijavitelja s posebnim položajem
30. člen
(prijava in prijavitelj s posebnim položajem)
(1) Posameznik, ki meni, da obdelava njegovih osebnih
podatkov s strani upravljavca ali obdelovalca krši določbe Splošne uredbe, tega
zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov,
ali krši določbe s temi zakoni povezanih podzakonskih predpisov ali splošnih
aktov za izvrševanje javnih pooblastil (v nadaljnjem besedilu: prijavitelj s
posebnim položajem), lahko pri nadzornem organu vloži zahtevo v skladu z
zakonom, ki ureja splošni upravni postopek, s katero zahteva nadzor zakonitosti
obdelave svojih osebnih podatkov (v nadaljnjem besedilu: prijava), lahko pa v
njej predlaga tudi potrebno ukrepanje v skladu s prejšnjim členom v primeru
ugotovljenih kršitev, tako da se doseže vzpostavitev zakonitega stanja.
(2) V postopku po tem oddelku vsaka stranka krije svoje
stroške postopka.
(3) Določbe tega oddelka se ne uporabljajo za obdelave
osebnih podatkov, ki jih upravljavci in obdelovalci izvajajo za namen izvajanja
zakonskih nalog in pooblastil na področju obveščevalno-varnostne in
protiobveščevalne dejavnosti. Kadar nadzorni organ prejme takšno prijavo, jo
obravnava po določbah 3. oddelka tega poglavja.
31. člen
(obravnavanje prijave)
(1) V primeru prijave prijavitelja s posebnim položajem
nadzorni organ uvede postopek nadzora, ko prijava vsebuje sestavine, kot jih za
vlogo določa zakon, ki ureja splošni upravni postopek, ter navedbo upravljavca
ali obdelovalca in navedbo kršitev pri obdelavi ali varnosti njegovih osebnih
podatkov, iz katerih izhaja kršitev predpisov iz prejšnjega člena.
(2) Nadzorni organ o prijavi odloči z odločbo najpozneje v
roku treh mesecev po prejemu prijave. Rok lahko nadzorni organ zaradi
zahtevnosti obravnavanja zadeve s sklepom podaljša za največ en mesec.
32. člen
(pravice prijavitelja s posebnim položajem)
(1) Nadzorni organ prijavitelja s posebnim položajem na
njegovo zahtevo obvešča o bistvenih dejanjih v postopku in stanju zadeve.
(2) Nadzorni organ pred izdajo odločbe prijavitelju vroči
zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v
določenem roku, ki ne sme biti krajši od dveh delovnih dni, pisno ali ustno o
njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Zapis ugotovitev ne
vsebuje razlogov in navedb, ko so izpolnjeni pogoji iz drugega odstavka 15.
člena tega zakona. Če se prijavitelj v določenem roku ne izjavi, to ni ovira za
izdajo odločbe.
33. člen
(položaj nadzorovanega upravljavca ali obdelovalca)
(1) Pri izvajanju nadzora po določbah tega oddelka ima
nadzorovani upravljavec ali obdelovalec položaj stranke in ima pravico biti
neposredno prisoten pri vseh postopkovnih dejanjih.
(2) Nadzorni organ pred izdajo odločbe nadzorovanemu
upravljavcu ali obdelovalcu vroči zapis ugotovitev, bistvenih za odločitev v
tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od
dveh delovnih dni, pisno ali ustno o njih izjavi, o čemer se nadzorni organ
opredeli v odločbi. Če se upravljavec ali obdelovalec v določenem roku ne
izjavi, to ni ovira za izdajo odločbe.
34. člen
(odločba)
(1) Odločba v postopku nadzora po določbah tega oddelka poleg
sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje:
1.
ugotovitev o obstoju ali neobstoju zatrjevane kršitve obdelave osebnih
podatkov prijavitelja s posebnim položajem v trenutku vložitve prijave;
2.
ukrepe, odrejene upravljavcu ali obdelovalcu glede obdelave osebnih
podatkov, ki se nanašajo na prijavitelja s posebnim položajem, in rok za
njihovo izvedbo;
3.
dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim
položajem.
(2) Ne glede na prejšnji odstavek v primerih iz 15. člena
tega zakona odločba ne obsega konkretnih razlogov za zavrnitev ali omejitev
dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz
23. člena Splošne uredbe, ki ga določa zakon. Odločba tudi ne obsega navedb, s
katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje konkretnih
ukrepov na področjih obveščevalno-varnostne in protiobveščevalne dejavnosti.
(3) Konkretne razloge iz prvega stavka prejšnjega odstavka
nadzorni organ navede ločeno v prilogi k odločbi. Priloga, opremljena s
številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča
prijavitelju s posebnim položajem.
35. člen
(ukrepanje glede obdelav osebnih podatkov drugih
posameznikov)
Kadar nadzorni organ v postopku nadzora zazna sum kršitve
varstva pravic glede osebnih podatkov po določbah tega oddelka, ki bi lahko
vplivale na pravice drugih posameznikov, na katere se nanašajo osebni podatki,
uvede tudi postopek nadzora po določbah naslednjega oddelka.
3. oddelek
Inšpekcijski nadzor glede varstva osebnih podatkov
36. člen
(uporaba zakona, ki ureja inšpekcijski nadzor)
V postopku inšpekcijskega nadzora po tem oddelku se
uporabljajo določbe 18. člena, 26. do 29. člena in 34. člena tega zakona. Za
vprašanja inšpekcijskega nadzora, ki niso urejena z določbami 18. člena in 26.
do 29. člena tega zakona, se uporabljajo določbe zakona, ki ureja inšpekcijski
nadzor.
37. člen
(uvedba inšpekcijskega nadzora)
(1) Nadzorni organ uvede inšpekcijski nadzor v skladu z
določbami zakona, ki ureja inšpekcijski nadzor.
(2) Nadzorni organ uvede inšpekcijski nadzor tudi na pobudo,
ki jo prejme od drugega državnega organa, nadzornih javnih agencij Republike
Slovenije ali nadzornega organa za varstvo osebnih podatkov države članice
Evropske unije ali Sveta Evrope ali na predlog Varuha človekovih pravic.
38. člen
(letni načrt nadzorov in poročanje)
Nadzorni organ v letnem načrtu nadzorov posebej opredeli
nadzore na področju posebnih obdelav iz 23. člena tega zakona.
5. poglavje
Posebne določbe
39. člen
(posredovanje osebnih podatkov, ki ga izvedejo osebe javnega
sektorja)
(1) Osebe javnega sektorja posredujejo osebne podatke drugim
osebam javnega sektorja ali drugim fizičnim ali pravnim osebam, če je za
posredovanje dana pravna podlaga v skladu s 6. členom tega zakona, ter na
podlagi zahteve iz prvega odstavka 41. člena tega zakona, razen če drug zakon
določa drugače. Prejemnik podatkov sme osebne podatke obdelovati samo za namen,
za uresničevanje katerega se mu posredujejo.
(2) Posredovanje posebnih vrst osebnih podatkov ter osebnih
podatkov iz 10. člena tega zakona je dovoljeno, če so izpolnjeni pogoji iz
prejšnjega odstavka in je to v skladu z drugim odstavkom 9. člena Splošne
uredbe ali drugim zakonom.
(3) Osebe javnega sektorja v skladu s prvim in drugim
odstavkom tega člena posredujejo osebne podatke brezplačno, če zakon ne določa
drugače.
(4) Ne glede na določbe prejšnjih odstavkov upravljavci
registra stalnega prebivalstva, matičnega registra, evidence registriranih
vozil in centralnega registra prebivalstva na način, ki je določen za izdajo
potrdila, posredujejo upravičencu, ki izkaže zakoniti interes za uveljavljanje
pravic pred osebami javnega sektorja, naslednje osebne podatke: osebno ime in
naslov stalnega ali začasnega prebivališča oziroma stalni ali začasni naslov
prebivališča v drugi državi, navedba lastnika ali uporabnika vozila, naslov za
vročanje ali datum smrti posameznika, zoper katerega ali v zvezi s katerim
uveljavlja svoje pravice.
(5) Upravljavci ali obdelovalci, ki se jim na podlagi zakona
za izvajanje njihovih pristojnosti ali nalog posredujejo osebni podatki iz
registrov ali evidenc s področja upravnih notranjih zadev, ki so v upravljanju
ministrstva, pristojnega za notranje zadeve, na lastne stroške vzpostavijo
varnostne mehanizme, ki jih kot ukrepe ali postopke za izvajanje varnosti
osebnih podatkov določi minister, pristojen za notranje zadeve.
(6) Ne glede na določbe prvega do četrtega odstavka tega
člena se posredovanje osebnih podatkov s področja varnosti države ureja v
zakonih, ki urejajo izvajanje obveščevalnih in protiobveščevalnih nalog.
40. člen
(posredovanje podatkov, ki ga izvajajo osebe zasebnega
sektorja)
(1) Osebe zasebnega sektorja posredujejo osebne podatke
drugim fizičnim ali pravnim osebam ali osebam javnega sektorja samo na podlagi
zahteve iz prvega odstavka 41. člena tega zakona, iz katere izhaja veljavna
pravna podlaga za pridobitev podatkov in utemeljenost zahteve, razen če zakon
določa drugače.
(2) Osebe zasebnega sektorja posredujejo osebne podatke
osebam javnega sektorja brezplačno, razen če zakon določa drugače.
41. člen
(postopek posredovanja osebnih podatkov)
(1) Če drug zakon ne določa drugače, zahteva za posredovanje
osebnih podatkov vsebuje naslednje podatke:
1.
podatke o vlagatelju zahteve (za fizično osebo: osebno ime, naslov
stalnega ali začasnega prebivališča; za samostojnega podjetnika posameznika,
posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo: naziv
oziroma firmo in naslov oziroma sedež in matično številko) ter podpis
vlagatelja oziroma pooblaščene osebe;
2.
pravno podlago za pridobitev zahtevanih osebnih podatkov;
3.
namen obdelave osebnih podatkov oziroma razloge, ki izkazujejo
potrebnost in primernost osebnih podatkov za dosego namena pridobitve;
4.
predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so
osebni podatki potrebni, ter navedbo organa ali drugega subjekta, ki obravnava
zadevo;
5.
vrste osebnih podatkov, ki naj se mu posredujejo;
6.
obliko in način pridobitve zahtevanih osebnih podatkov.
(2) Upravljavec vlagatelju zahteve, če drug zakon ne določa
drugače, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema
popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih
mu zahtevanih osebnih podatkov ne bo posredoval. Upravljavec in vlagatelj
zahteve se v roku iz prejšnjega stavka lahko dogovorita za njegovo podaljšanje.
(3) Če upravljavec ne ravna v skladu s prejšnjim odstavkom,
se šteje, da je zahteva zavrnjena.
(4) Če je zahteva za posredovanje osebnih podatkov delno ali
v celoti zavrnjena, lahko vlagatelj zahteve v primeru, ko se zahteva nanaša na
posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig, zahteva, da
o njegovi vlogi najprej odloči nadzorni organ. Kadar ta zavrne zahtevo ali
kadar na prvi stopnji odloča nadzorni organ sam, lahko vlagatelj zahteva sodno
varstvo, o katerem odloča pristojno sodišče v skladu z zakonom, ki ureja
upravni spor. V primeru zavrnitve zahteve za posredovanje osebnih podatkov iz
zbirk, ki niso uradne evidence ali javne knjige, lahko vlagatelj zahteva sodno
varstvo, o katerem odloča sodišče s splošno pristojnostjo v skladu z zakonom,
ki ureja nepravdni postopek.
(5) Ta člen se ne uporablja, če fizična ali pravna oseba ali
oseba javnega sektorja uveljavlja pravico do pregleda in prepisa spisa iz
sodnih, upravnih ali drugih spisov v skladu z drugim zakonom.
(6) Upravljavec za vsako posredovanje osebnih podatkov
zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili
posredovani, komu, kdaj in na kateri pravni podlagi, za kateri namen oziroma iz
katerih razlogov oziroma za potrebe katerega postopka, razen če drug zakon za
posredovanje posameznih vrst podatkov določa drugače oziroma je to razvidno iz
dnevnika obdelave po 22. členu tega zakona.
(7) Informacije iz prejšnjega odstavka upravljavec hrani dve
leti, razen če drug zakon za posredovanje posameznih vrst podatkov določa
drugačen rok.
(8) Šesti in sedmi odstavek tega člena veljata tudi za
obdelovalce, če so z zakonom, pogodbo ali drugim dogovorom zavezani posredovati
določene osebne podatke.
(9) Šesti in sedmi odstavek tega člena ne veljata za osebne
podatke, ki jih upravljavec zakonito objavi na svojih spletnih straneh ali na
drug ustrezen način, in osebne podatke, za katere ta ali drug zakon določa, da
so javni ali javno dostopni.
(10) Določbe prvega do petega odstavka tega člena se ne
uporabljajo za upravljavce, ki osebne podatke obdelujejo za namene varnosti
države. Upravljavci iz prejšnjega stavka podatke vlagatelju zahteve posredujejo
po postopku in v obsegu, kot je določen v zakonih, ki urejajo izvajanje
obveščevalnih in protiobveščevalnih nalog.
42. člen
(uporaba povezovalnih znakov)
(1) Pri pridobivanju osebnih podatkov iz zbirk osebnih
podatkov s področja zdravstva, varnosti države, sodstva, kazenskih in
prekrškovnih evidenc ni dovoljeno uporabljati povezovalnega znaka na način, da
bi se za pridobitev osebnega podatka uporabil izključno ta znak, če drug zakon
ne določa drugače.
(2) Ne glede na prejšnji odstavek se lahko uporabi
povezovalni znak za pridobivanje osebnih podatkov, če je to podatek v konkretni
zadevi, ki lahko omogoči, da se odkrije storilec ali kaznivo dejanje, ki se
preganja po uradni dolžnosti, ali da se zavaruje življenje ali telo posameznika.
O tem se brez odlašanja napravi uradni zaznamek ali drug ustrezen zapis, ki
omogoča naknadno preverjanje nujnosti uporabe povezovalnega znaka.
(3) Ne glede na prvi odstavek tega člena se na področjih
varnosti države povezovalni znak lahko uporablja tako, da se za pridobitev
določenega osebnega podatka uporabi izključno ta znak, v skladu z notranjim
aktom o varnosti osebnih podatkov ter ob upoštevanju določb o sledljivosti
obdelav osebnih podatkov iz drugega in tretjega odstavka 22. člena tega zakona.
(4) Prvi odstavek tega člena se ne uporablja za povezovanje
zemljiške knjige, sodnega registra in poslovnega registra z drugimi zbirkami,
če tako določa drug zakon.
43. člen
(rok hrambe osebnih podatkov, določitev roka in vezanost na
rok)
(1) Rok hrambe osebnih podatkov je omejen na najkrajše možno
obdobje in le, dokler je hramba potrebna za dosego namena obdelave, zaradi
katerega so se osebni podatki zbirali in nadalje obdelovali, razen če drug
zakon za posamezne obdelave določa rok hrambe.
(2) Upravljavec ob upoštevanju narave obdelovanih podatkov in
tveganj občasno in na dokumentiran način preverja, ali se upoštevajo določbe
prejšnjega odstavka.
(3) Če drug zakon za posamezne vrste osebnih podatkov ne
določa drugače, se po izpolnitvi namena obdelave osebni podatki izbrišejo,
uničijo ali anonimizirajo oziroma se izvede drug postopek, ki onemogoča
identifikacijo posameznika, na katerega se nanašajo osebni podatki, zlasti
omejevanje dostopa do njih, njihovo blokiranje ali arhiviranje.
6. poglavje
Pooblaščene osebe za varstvo osebnih podatkov
44. člen
(pooblaščena oseba za varstvo osebnih podatkov)
Pooblaščena oseba za varstvo osebnih podatkov (v nadaljnjem
besedilu: pooblaščena oseba) je oseba, ki upravljavcu ali obdelovalcu v skladu
z 39. členom Splošne uredbe na neodvisen način svetuje pri zagotavljanju
skladnosti obdelave s Splošno uredbo in z zakonom.
45. člen
(obveznost določitve pooblaščene osebe)
(1) Pooblaščeno osebo določijo upravljavci in obdelovalci v
skladu s prvim odstavkom 37. člena Splošne uredbe in vsi upravljavci in
obdelovalci v javnem sektorju ter upravljavci in obdelovalci, ki obdelujejo
osebne podatke iz 1. do 4. točke prvega odstavka 23. člena tega zakona.
(2) Ne glede na določbe prejšnjega odstavka lahko drugi
upravljavci ali obdelovalci prostovoljno določijo pooblaščeno osebo.
(3) Vsak upravljavec ali obdelovalec lahko določi tudi
namestnika pooblaščene osebe. Pooblaščena oseba svojega namestnika pooblasti,
da opravlja s pooblastilom določene naloge pooblaščene osebe.
(4) Upravljavec ali obdelovalec v osmih dneh od določitve
pooblaščene osebe vpiše njene kontaktne podatke v skladu s 30. členom Splošne
uredbe v svojo evidenco dejavnosti obdelav in njen kontakt za namen sodelovanja
s posamezniki, na katere se nanašajo osebni podatki, javno objavi na primeren
način, zlasti na spletnih straneh. V istem roku kontaktne podatke pooblaščene
osebe in njenega morebitnega namestnika (osebno ime, delovno mesto pooblaščene
osebe, naziv upravljavca ali obdelovalca, telefonska številka, naslov elektronske
pošte pooblaščene osebe) sporoči nadzornemu organu, ki jih za namen sodelovanja
nadzornega organa s pooblaščenimi osebami vključi na seznam pooblaščenih oseb.
Seznam ni dostopen javnosti.
46. člen
(pogoji za določitev pooblaščene osebe)
(1) Za pooblaščeno osebo upravljavca ali obdelovalca in
njenega namestnika je lahko določen posameznik, ki izpolnjuje naslednje pogoje:
1.
je poslovno sposoben,
2.
ima znanja oziroma praktične izkušnje s področja varstva osebnih
podatkov in
3.
ni bil pravnomočno obsojen na kazen zapora najmanj šestih mesecev
oziroma ni bil pravnomočno obsojen za kaznivo dejanje glede zlorabe osebnih
podatkov.
(2) Pooblaščena oseba državnega organa mora poleg pogojev iz
prejšnjega odstavka izpolnjevati tudi pogoj, da je zaposlena v javnem sektorju.
(3) Upravljavci ali obdelovalci iz javnega sektorja, razen
državnih organov, lahko določijo drugo pooblaščeno osebo, če je ni mogoče
določiti znotraj osebe javnega sektorja. V primeru iz prejšnjega stavka lahko
pooblaščeno osebo določijo skupaj z drugimi upravljavci ali obdelovalci javnega
sektorja, lahko pa s pogodbo v pisni obliki določijo tudi posameznika ali
posameznico iz zasebnega sektorja ali pravno osebo iz zasebnega sektorja v
skladu s četrtim odstavkom tega člena.
(4) Upravljavci ali obdelovalci iz zasebnega sektorja za
pooblaščeno osebo določijo osebo, ki je zaposlena pri njih, ali pa s pogodbo v
pisni obliki določijo drugega posameznika ali pravno osebo. V pogodbi s pravno
osebo se določi posameznik, ki odgovarja za delo pravne osebe kot pooblaščene
osebe in čigar kontaktni podatki se objavijo v skladu s četrtim odstavkom
prejšnjega člena. Posameznik iz prejšnjega stavka mora izpolnjevati pogoje iz
prvega odstavka tega člena.
(5) Za pooblaščeno osebo ali njenega namestnika ne sme biti
določena oseba, ki je v nasprotju interesov z upravljavcem in obdelovalcem ali
je njeno delo pooblaščene osebe v nasprotju z njenimi drugimi nalogami ali s
položajem pri upravljavcu in obdelovalcu.
(6) V javnem sektorju se v skladu s prejšnjim odstavkom
šteje, da je določena oseba v nasprotju interesov, če je določena kot
upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja
informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če
je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če
njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov
pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca
v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih
podatkov. Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi
lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca
oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi
nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot
pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu. Določbe tega
odstavka se smiselno uporabljajo za zasebni sektor.
47. člen
(skupna določitev pooblaščene osebe in določitev pooblaščene
osebe sindikata)
(1) Več upravljavcev oziroma obdelovalcev lahko ob
upoštevanju svoje organizacijske strukture, velikosti ali raznovrstnosti
obdelav osebnih podatkov samostojno določi skupno pooblaščeno osebo in njenega
namestnika.
(2) Odvetniki in odvetniške družbe lahko v dogovoru z
Odvetniško zbornico Slovenije določijo skupno pooblaščeno osebo.
(3) Notarji lahko v dogovoru z Notarsko zbornico Slovenije
določijo skupno pooblaščeno osebo.
(4) Reprezentativna zveza ali konfederacija sindikatov lahko
določi skupno pooblaščeno osebo in njenega namestnika glede obdelave osebnih
podatkov za sindikate, ki so njeni člani in ki k takemu imenovanju dajo pisno
soglasje.
(5) Sindikat, ki je reprezentativen v panogi, dejavnosti ali
poklicu, lahko za svoje organizacijske oblike delovanja pri posameznih
delodajalcih določi skupno pooblaščeno osebo in njenega namestnika glede
obdelave osebnih podatkov članov sindikata.
(6) V primeru določitve skupne pooblaščene osebe iz
prejšnjega odstavka je sindikat pri delodajalcu dolžan pomagati pri
zagotavljanju zakonitosti ravnanja z osebnimi podatki in upoštevati navodila
skupne pooblaščene osebe iz prejšnjega odstavka. Za ta namen lahko sindikat pri
delodajalcu pooblasti osebo, ki pa ne sme biti iz javnega sektorja, če ne gre
za sindikat pri delodajalcu v javnem sektorju.
(7) Kadar sindikat pri določanju pooblaščene osebe zaradi
organizacijskih ali tehničnih razlogov ne more uporabiti možnosti določitve
pooblaščene osebe po določbah četrtega in petega odstavka tega člena, lahko
predsednik sindikata določi, da sindikalni zaupnik ali predsednik sindikata sam
opravlja naloge pooblaščene osebe.
48. člen
(naloge pooblaščene osebe)
(1) Pooblaščena oseba na neodvisen način opravlja naloge iz
39. člena Splošne uredbe in zlasti svetuje pri ocenjevanju tveganj glede
varnosti osebnih podatkov v zvezi z vsemi obdelavami osebnih podatkov v
zbirkah, ki jih izvaja upravljavec oziroma obdelovalec, pri katerem je
določena.
(2) Pooblaščena oseba sodišča ali Ustavnega sodišča Republike
Slovenije ne sme opravljati nalog iz prejšnjega odstavka v zvezi z obdelavami
osebnih podatkov v konkretnih zadevah sodišč ali zadev Ustavnega sodišča, kadar
Ustavno sodišče obravnava zadeve sodišč.
49. člen
(določitev pooblaščenih oseb in njihove naloge v določenih
državnih organih)
(1) Vrhovno sodišče Republike Slovenije določi pooblaščeno
osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega člena za vsa
sodišča s splošno pristojnostjo in specializirana sodišča v Republiki
Sloveniji.
(2) Vrhovno državno tožilstvo Republike Slovenije določi
pooblaščeno osebo, ki opravlja naloge v skladu s prvim odstavkom prejšnjega
člena za vsa državna tožilstva v Republiki Sloveniji in Državnotožilski svet.
(3) Vsak minister ali ministrica (v nadaljnjem besedilu:
minister) določi pooblaščeno osebo, ki je zaposlena na tem ministrstvu, v
primeru ministrstva brez listnice pa na organu ali v službi ministra. Če je v
okviru ministrstva ustanovljen organ v sestavi, predstojnik organa v sestavi za
pooblaščeno osebo organa v sestavi določi javnega uslužbenca, ki je zaposlen v
organu v sestavi ali na tem ministrstvu.
(4) Predstojnik organa s področja varnosti države določi
pooblaščeno osebo in njenega namestnika znotraj organa. Pooblaščena oseba tega
organa opravlja tiste naloge iz 39. člena Splošne uredbe, za katere tako določi
predstojnik, obvezno pa opravlja naloge glede zagotavljanja varnosti osebnih
podatkov, posredovanja osebnih podatkov Vladi Republike Slovenije, Predsedniku
Republike Slovenije, policiji, državnim tožilstvom, sodiščem, pristojnemu
delovnemu telesu Državnega zbora Republike Slovenije (v nadaljnjem besedilu:
državni zbor) in drugim subjektom ter glede čezmejnih obdelav in prenosov
osebnih podatkov.
(5) Pooblaščeno osebo upravne enote ali skupno pooblaščeno
osebo več upravnih enot določi ministrstvo, pristojno za javno upravo. Po
dogovoru z ministrstvom lahko tudi upravne enote določijo pooblaščene osebe.
Pooblaščena oseba upravne enote mora biti zaposlena na ministrstvu, pristojnem
za javno upravo ali v upravni enoti.
50. člen
(dolžnost varstva tajnosti osebnih podatkov)
Pooblaščena oseba in namestnik sta pri opravljanju dela in po
njegovem zaključku zavezana k varstvu tajnosti obdelovanih osebnih podatkov.
Pridobljene informacije smeta uporabljati izključno za opravljanje nalog
pooblaščene osebe.
7. poglavje
Kodeksi ravnanja in potrjevanje
51. člen
(kodeksi ravnanja)
(1) Upravljavec je ob predložitvi osnutka kodeksa nadzornemu
organu dolžan navesti, ali se vsebina kodeksa nanaša na več držav članic
Evropske unije.
(2) Če Evropski odbor za varnost osebnih podatkov (v
nadaljnjem besedilu: Odbor) osnutka kodeksa, ki ga je prejel od nadzornega
organa, v svojem mnenju ne potrdi, nadzorni organ nadaljuje postopek in z
odločbo zavrne osnutek kodeksa. Če Odbor osnutek kodeksa potrdi, nadzorni organ
nadaljuje postopek, z odločbo potrdi kodeks in ga po pravnomočnosti odločbe
vpiše na seznam potrjenih kodeksov na svojih spletnih straneh in objavi v
Uradnem listu Republike Slovenije.
(3) Če nadzorni organ ugotovi, da se osnutek kodeksa ne
nanaša na več držav članic Evropske unije in ni v skladu s Splošno uredbo, z
odločbo zavrne potrditev kodeksa.
(4) Zoper odločbo nadzornega organa iz prvega stavka drugega
odstavka in tretjega odstavka tega člena ni dovoljena pritožba, je pa dopusten upravni
spor.
52. člen
(odobreni potrjevalni mehanizmi)
Nadzorni organ v okviru svoje pristojnosti za potrjevanje po
42. členu Splošne uredbe tudi upravlja seznam potrjevalnih mehanizmov in ga
sproti objavlja na svoji spletni strani.
53. člen
(postopek akreditiranja teles za potrjevanje)
(1) Potrjevanje izvajajo telesa, ki jih na podlagi njihove
vloge za to akreditira nacionalni akreditacijski organ (v nadaljnjem besedilu:
Slovenska akreditacija), v skladu z b) točko prvega odstavka 43. člena Splošne
uredbe in zakonom, ki ureja akreditacijo.
(2) Slovenska akreditacija izda akreditacijsko listino
potrjevalnemu telesu in o tem obvesti nadzorni organ. Zoper izdano
akreditacijsko listino pritožba ni dovoljena, dopusten pa je upravni spor.
(3) Če Odbor ali nadzorni organ spremenita merila za
potrjevanje, nadzorni organ o tem obvesti Slovensko akreditacijo.
8. poglavje
Nadzorni organ za varstvo osebnih podatkov Republike Slovenije
54. člen
(nadzorni organ za varstvo osebnih podatkov)
(1) Nadzor nad izvajanjem določb Splošne uredbe in tega
zakona izvaja Informacijski pooblaščenec kot nadzorni organ za varstvo osebnih
podatkov Republike Slovenije.
(2) Zoper odločitve nadzornega organa ni dovoljena pritožba,
je pa dopusten upravni spor v skladu z zakonom, ki ureja upravni spor.
55. člen
(pristojnosti nadzornega organa)
(1) Nadzorni organ:
1.
izvaja nadzore nad izvajanjem določb Splošne uredbe, tega zakona in
drugih zakonov, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje
javnih pooblastil glede obdelav osebnih podatkov s področij iz 1. člena tega
zakona;
2.
odloča v pritožbenem postopku, odloča v postopkih prijav prijaviteljev s
posebnim položajem in izvaja inšpekcijski nadzor po tem zakonu;
3.
daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih
lokalnih skupnosti, drugim državnim organom in nosilcem javnih pooblastil o
usklajenosti določb predlogov zakonov ter drugih predpisov z zakoni in drugimi
predpisi, ki urejajo osebne podatke s področij iz 1. člena tega zakona;
ministrstva in drugi organi posredujejo predloge zakonov in drugih predpisov
pravočasno v mnenje nadzornemu organu;
4.
izvaja predhodno posvetovanje v skladu s Splošno uredbo in tem zakonom;
5.
daje pristojnim organom in posameznikom neobvezna mnenja, pojasnila in
stališča o vprašanjih glede varstva osebnih podatkov v zvezi z zakoni in
povezanimi predpisi, v skladu s 1. členom tega zakona;
6.
spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih,
zaščitnih ukrepih in pravicah v zvezi z obdelavo ter za ta namen izvaja
brezplačna izobraževanja in usposabljanja;
7.
spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih
obveznostih na podlagi tega zakona;
8.
sodeluje z nadzornimi organi drugih držav ali mednarodnih organizacij;
9.
sodeluje z nadzornimi organi drugih držav članic Evropske unije pri
izvajanju čezmejnih nadzornih postopkov, postopkih izrekanja sankcij in v
drugih zadevah čezmejne obdelave osebnih podatkov v skladu s VII. poglavjem
Splošne uredbe;
10.
deluje kot vodilni nadzorni organ pri izvajanju čezmejnih nadzornih
postopkov v skladu s Splošno uredbo;
11.
sodeluje pri delovanju Odbora;
12.
pripravi letno poročilo o izvajanju tega zakona;
13.
obvesti pristojno sodišče o kršitvah zakona, lahko pa sodišču v sodnem
postopku tudi posreduje mnenje o ugotovljenih kršitvah;
14.
sodeluje z upravljavci in obdelovalci pri izvajanju nadzorov v skladu z
določbami tega zakona;
15.
olajša postopek vložitve pritožb in zahtev iz drugega odstavka 13.
člena, 14. člena in tretjega in četrtega odstavka 19. člena tega zakona, zahtev
iz 30. člena tega zakona in drugih vlog v postopku inšpekcijskega nadzora iz
37. člena tega zakona, in sicer tako, da pripravi obrazce, ki se lahko vložijo
tudi v elektronski obliki;
16.
je prekrškovni organ, pristojen za nadzor glede izvajanja določb Splošne
uredbe v zvezi s prekrški iz 83. člena Splošne uredbe, tega zakona, drugih
zakonov ali predpisov, ki urejajo varstvo osebnih podatkov;
17.
izvaja druge naloge, določene v 57. členu Splošne uredbe in v tem
zakonu.
(2) Nadzorni organ izvaja pristojnosti in naloge iz
prejšnjega odstavka brezplačno.
(3) Nadzore po tem zakonu izvajajo nadzorne osebe, pri
nadzoru pa lahko sodeluje strokovno osebje nadzornega organa.
56. člen
(javnost dela)
(1) Nadzorni organ lahko poleg nalog iz 57. člena Splošne
uredbe:
1.
izdaja notranje glasilo in strokovno literaturo;
2.
na spletnih straneh ali na drug primeren način objavlja odločbe ali
mnenja;
3.
na spletnih straneh oziroma na drug primeren način objavlja odločbe in
sklepe Ustavnega sodišča Republike Slovenije o zahtevah za ocene ustavnosti, ki
jih je vložil nadzorni organ, ter odločitve Ustavnega sodišča Republike
Slovenije o njih;
4.
na spletnih straneh oziroma na drug primeren način objavlja odločbe in
sklepe sodišč s splošno pristojnostjo, upravnega sodišča, Vrhovnega sodišča
Republike Slovenije ter dokončne odločbe in sklepe nadzornega organa, ki se
nanašajo na varstvo osebnih podatkov, tako da iz njih ni mogoče razbrati
osebnih podatkov strank, oškodovancev, prič ali izvedencev – z uporabo
psevdonimizacije;
5.
na spletnih straneh objavlja psevdonimizirane pomembnejše odločitve v
nadzornih in pritožbenih postopkih;
6.
na spletnih straneh objavlja podatke o uvedbi in zaključku nadzornih
postopkov, uvedenih po uradni dolžnosti;
7.
daje mnenja o skladnosti splošnih pogojev poslovanja oziroma njihovih
predlogov s predpisi s področja varstva osebnih podatkov;
8.
daje neobvezna mnenja, pojasnila in stališča o vprašanjih s področja
varstva osebnih podatkov in jih objavlja na spletnih straneh ali na drug
primeren način;
9.
pripravlja in daje neobvezne smernice in priporočila glede varstva osebnih
podatkov na posameznem področju;
10.
daje izjave za javnost o nadzoru v posamičnih zadevah v skladu s tem
zakonom;
11.
izvaja konference za medije v zvezi z delom nadzornega organa in prepise
izjav ali posnetke izjav s konferenc za medije objavi na spletnih straneh;
12.
na spletnih straneh objavlja druga pomembna obvestila.
(2) Nadzorni organ lahko za opravljanje nalog iz 7., 8., in
9. točke prejšnjega odstavka povabi k sodelovanju tudi predstavnike društev in
drugih nevladnih organizacij s področja človekovih pravic in temeljnih
svoboščin in potrošnikov ter strokovnjake določenih strok, povezanih s prej
navedenimi področji.
57. člen
(omejitve pri izvajanju nadzorov)
(1) Nadzorne osebe niso pristojne za nadzor in izrekanje
sankcij glede obdelav osebnih podatkov, izvršenih v okviru izvajanja zadeve
sodišča iz 6. točke drugega odstavka 5. člena tega zakona, ali s tem povezanega
odločanja strokovnih sodelavcev ali sodniških pomočnikov po odredbi sodišča,
kot to opredeljuje zakon, ki ureja sodišča, ali po določbah drugih zakonov, ki
določajo njihovo samostojno delovanje.
(2) Nadzorne osebe niso pristojne za nadzor in izrekanje
sankcij glede obdelav osebnih podatkov, izvedenih v okviru neodvisnega
sodniškega odločanja Ustavnega sodišča Republike Slovenije v zadevah odločanja
iz prejšnjega odstavka.
(3) Nadzorne osebe niso pristojne za nadzor in izrekanje
sankcij glede obdelav osebnih podatkov s strani stečajnih upraviteljev,
izvršiteljev, sodnih tolmačev, sodnih izvedencev in sodnih cenilcev v zadevah,
v katerih po odredbi sodišča delujejo v postopkih iz prvega odstavka tega
člena.
(4) Nadzorne osebe pri opravljanju nadzora in izrekanju
sankcij ne smejo vpogledati, zabeležiti, kopirati, prepisati ali drugače
prevzeti identifikacijskih osebnih podatkov oziroma kopirati nobene
dokumentacije glede:
1.
obdelav osebnih podatkov na področjih obveščevalno-varnostne in
protiobveščevalne dejavnosti v delu, kjer je izvedena identifikacija tajnih
delavcev oziroma sodelavcev v skladu z zakonom, ki ureja obrambo, ali zakonom,
ki ureja Slovensko obveščevalno-varnostno agencijo,
2.
obdelav osebnih podatkov varnostno preverjanih oseb v skladu z zakonom,
ki ureja tajne podatke, v delu, kjer je izvedena identifikacija virov
ugotavljanja oziroma preverjanja prejetih osebnih podatkov, ki jih organom,
pristojnim za varnostno preverjanje, posredujejo pristojni organi v skladu z
zakonom, ki ureja obrambo, ali zakonom, ki ureja Slovensko
obveščevalno-varnostno agencijo;
3.
obdelav osebnih podatkov pobudnikov v postopkih na podlagi zakona, ki
ureja Varuha človekovih pravic, ali drugih zakonov, ki urejajo njegove
pristojnosti, drugih posameznikov, kadar je Varuh človekovih pravic postopek začel
na lastno pobudo, in posameznikov, za katere je Varuh človekovih pravic vložil
ustavno pritožbo, v delu, kjer je izvedena njihova identifikacija.
(5) Ne glede na določbe prejšnjega odstavka lahko nadzorne
osebe na področjih iz prejšnjega odstavka pri izvajanju nadzora po tem zakonu
vpogledajo, zabeležijo, kopirajo, prepišejo ali drugače prevzamejo
identifikacijske osebne podatke oziroma druge podatke, če je prijavo glede
svojih osebnih podatkov podal prijavitelj s posebnim položajem, pri opravljanju
nadzora pa ni dopustno razkriti podatkov o delovanju upravljavca iz prejšnjega
odstavka v konkretni zadevi.
(6) Ob izvajanju nadzora nad osebnimi podatki, ki se
obdelujejo za namene zagotavljanja varnosti države, ki so jih organom Republike
Slovenije, pristojnim za področji varnosti države, posredovali tuji organi,
pristojni za ti področji, ali ki so bili pridobljeni v sodelovanju z njimi, se
sme izvesti vpogled, kopiranje, prepis ali drugi prevzem le tistih podatkov, za
katere je tuji organ, ki je podatke posredoval ali pridobil, podal predhodno
soglasje za vpogled ali drug prevzem.
(7) Nadzorni organ lahko nadzor pri Varuhu človekovih pravic
uvede le na podlagi prijave prijavitelja, nadzor iz 37. člena tega zakona pa le
na predlog Varuha človekovih pravic. Nadzorne osebe izvajajo nadzor in izrekajo
sankcije glede obdelav osebnih podatkov pri Varuhu človekovih pravic tako, da
ne posegajo v izvajanje nadzorov glede varovanja človekovih pravic in temeljnih
svoboščin ter da se ne razkrivajo podatki iz zaupnega postopka.
58. člen
(sodelovanje z drugimi organi)
(1) Nadzorni organ pri svojem delu sodeluje z državnimi
organi, Odborom, drugimi pristojnimi organi Evropske unije za varstvo
posameznikov pri obdelavi osebnih podatkov ter podobnimi organi Sveta Evrope,
drugimi mednarodnimi organizacijami, nadzornimi organi tretjih držav za varstvo
osebnih podatkov, zavodi, združenji, nevladnimi organizacijami s področja
varstva osebnih podatkov ali zasebnosti ter drugimi organizacijami in organi
glede vprašanj, pomembnih za varstvo osebnih podatkov.
(2) Nadzorni organ je pristojen tudi za čezmejno sodelovanje
ali izvajanje nadzorov z drugimi nadzornimi organi držav.
(3) V okviru postopkov skupnega ukrepanja po 62. členu
Splošne uredbe člani ali osebje nadzornega organa druge države članice Evropske
unije izvajajo nadzor tako, da nadzor vodi nadzorni organ, če se nadzor izvaja
na ozemlju Republike Slovenije ali v okviru pristojnosti nadzornega organa v
skladu s tem zakonom, pri čemer lahko uporabljajo le nadzorna pooblastila iz tega
zakona in Splošne uredbe, če jih je za to pooblastil nadzorni organ. Člani ali
osebje nadzornega organa druge države članice Evropske unije krijejo svoje
stroške.
59. člen
(opravljanje nadzorov)
Nadzorne osebe neposredno opravljajo nadzore po tem zakonu,
pri nadzorih pa lahko sodeluje strokovno osebje nadzornega organa.
60. člen
(službena izkaznica)
(1) Nadzorna oseba s službeno izkaznico izkazuje pooblastilo
za opravljanje nadzora po tem in drugih zakonih. Službena izkaznica vsebuje
fotografijo nadzorne osebe, osebno ime, naziv nadzorne osebe, strokovni ali
znanstveni naslov, navedbo organa in pooblastilo za izvajanje nadzora, datum
izdaje in podpis predstojnika nadzornega organa.
(2) Obliko službene izkaznice podrobneje določi predstojnik
nadzornega organa in jo objavi v Uradnem listu Republike Slovenije.
(3) Službeno izkaznico izda nadzorni organ.
61. člen
(varovanje tajnosti)
(1) Nadzorna oseba je dolžna varovati tajnost osebnih
podatkov, s katerimi se seznani pri opravljanju nadzora, tudi po prenehanju
delovnega razmerja ali funkcije.
(2) Dolžnost iz prejšnjega odstavka velja tudi za vse javne
uslužbence ali druge osebe pri nadzornem organu, ki sodelujejo pri postopkih v
skladu s tem zakonom.
9. poglavje
Zunanji nadzor delovanja nadzornega organa
62. člen
(letno poročilo nadzornega organa)
(1) Nadzorni organ v svojem letnem poročilu poroča državnemu
zboru o stanju na področju varstva osebnih podatkov ter povezanih ugotovitvah,
predlogih in priporočilih. To poročilo je del skupnega letnega poročila v skladu
z zakonom, ki ureja Informacijskega pooblaščenca.
(2) Poročilo iz prejšnjega odstavka vsebuje tudi informacije
o sodelovanju z drugimi organi pri izvajanju nadzorov po tem zakonu ter o
predlaganih in opravljenih nadzorih iz 38. ter četrtega odstavka 63. člena tega
zakona.
(3) Poročilo se posreduje tudi Evropski komisiji in Odboru
ter je dostopno javnosti.
63. člen
(pristojnosti Varuha človekovih pravic)
(1) Varuh človekovih pravic opravlja svoje naloge na področju
varstva osebnih podatkov v razmerju do državnih organov, organov samoupravnih
lokalnih skupnosti in nosilcev javnih pooblastil v skladu z zakoni, ki določajo
njegove pristojnosti ali pooblastila.
(2) Varstvo osebnih podatkov je posebno delovno področje
Varuha človekovih pravic.
(3) Varuh v svojem letnem poročilu poroča državnemu zboru o
ugotovitvah, predlogih in priporočilih ter o stanju na področju varstva osebnih
podatkov.
(4) Varuh človekovih pravic lahko nadzornemu organu predlaga
izvedbo nadzora po 37. členu tega zakona pri katerem koli upravljavcu ali
obdelovalcu. Predlog iz prejšnjega stavka lahko nadzorni organ zavrne z navedbo
razlogov, ki jih sporoči Varuhu človekovih pravic. V postopku izvajanja nadzora
se lahko nadzorni organ in Varuh človekovih pravic dogovorita za skupno opravljanje
nadzora.
64. člen
(pristojnosti državnega zbora)
(1) Stanje na področju varstva osebnih podatkov in
izvrševanje določb tega zakona spremlja državni zbor na podlagi letnih poročil
iz 62. ter tretjega odstavka 63. člena tega zakona.
(2) Pristojno delovno telo državnega zbora za nadzor
obveščevalnih in varnostnih služb lahko sodeluje z nadzornim organom, na lasten
predlog ali na pobudo nadzornega organa pa sodeluje tudi glede sprememb zakonov
ali drugih predpisov. Pristojno delovno telo in nadzorni organ si lahko za
namen izvajanja njunih samostojnih nadzorov ob upoštevanju zakona, ki ureja
tajne podatke, posredujeta ugotovitve tudi o obdelavah osebnih podatkov iz
nezaključenih ali zaključenih nadzorov, kadar obstaja možnost večjih ali
sistemskih kršitev ali potreba za sodelovanje pri izvedbi pristojnega nadzora.
Po izvedeni izmenjavi lahko o posredovanih ugotovitvah obvestita nadzorovanega
upravljavca, razen če bi to škodovalo izvajanju nadzora.
10. poglavje
Prenosi določenih osebnih podatkov državam članicam Evropske unije, tretjim
državam ali mednarodnim organizacijam
65. člen
(splošne določbe)
(1) Prenosi osebnih podatkov iz Republike Slovenije v tretje
države ali mednarodne organizacije se izvajajo le v skladu z določbami V.
poglavja Splošne uredbe.
(2) Nadzorni organ je pristojen za odločanje po določbah
tretjega odstavka 46. člena in 47. člena Splošne uredbe.
(3) Nadzorni organ odloča o prenosih osebnih podatkov po
zakonu, ki ureja splošni upravni postopek, če ta zakon ali Splošna uredba ne
določata drugače.
66. člen
(posebni prenosi)
Osebni podatki zunaj področja uporabe prava Evropske unije se
posredujejo v države članice Evropske unije, tretje države ali mednarodne
organizacije le po določbah tega poglavja ali če to določa drug zakon, ob
smiselni uporabi določb 44., drugega odstavka 45., 48. in 49. člena Splošne
uredbe.
67. člen
(odstopanja v posebnih primerih)
(1) Po določbah tega člena se osebni podatki iz prejšnjega
člena posredujejo v državo članico Evropske unije, v tretjo državo ali
mednarodno organizacijo, če to ni možno po določbah prejšnjega člena oziroma
niso bili sprejeti ustrezni zaščitni ukrepi iz 46. člena Splošne uredbe.
(2) Upravljavec ali obdelovalec lahko na podlagi dovoljenja
nadzornega organa vzpostavita ustrezne zaščitne ukrepe, ki zagotavljajo
učinkovito varstvo osebnih podatkov in pomenijo ustrezno pravno podlago za
prenos osebnih podatkov. Nadzorni organ izda dovoljenje na podlagi smiselne
uporabe določb tretjega odstavka 46. člena Splošne uredbe.
(3) Upravljavec ali obdelovalec dokumentira ustrezne zaščitne
ukrepe v evidenci dejavnosti obdelav.
(4) Kadar ne obstaja druga pravna podlaga za posredovanje
osebnih podatkov v tretjo državo ali mednarodno organizacijo, se lahko prenos v
tretjo državo ali mednarodno organizacijo izjemoma izvede, če prenos ni
ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni
podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva
upravljavec in nad katerimi ne prevladajo človekove pravice ali temeljne svoboščine
ali interesi posameznika, na katerega se nanašajo osebni podatki, ter pod
pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in
na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom
osebnih podatkov. Upravljavec o takem prenosu naknadno najpozneje v roku treh
delovnih dni obvesti nadzorni organ. Upravljavec posreduje posamezniku, na
katerega se nanašajo osebni podatki, informacije iz 13. in 14. člena Splošne
uredbe ter bistvene informacije o izvedenem prenosu in opis nujnih zakonitih
interesov iz prvega stavka tega odstavka.
(5) Določbe prejšnjih odstavkov se ne uporabljajo za
posredovanje osebnih podatkov v tretje države ali mednarodne organizacije, ki
se izvaja za namene varnosti države.
II. DEL
PODROČNE UREDITVE OBDELAVE OSEBNIH PODATKOV
1. poglavje
Posebna pravila glede obdelave osebnih podatkov za znanstvenoraziskovalne,
zgodovinskoraziskovalne, statistične in arhivske namene
68. člen
(obdelava osebnih podatkov za raziskovalne namene)
(1) Obdelava osebnih podatkov za znanstvenoraziskovalne,
zgodovinskoraziskovalne in statistične namene (v nadaljnjem besedilu:
raziskovanje) je dovoljena organizacijam in posameznikom, ki pri svojem
delovanju uporabljajo etična načela in metodologijo s področja raziskovanja ter
pravila glede varstva osebnih podatkov iz tega poglavja.
(2) Šteje se, da namen obdelave osebnih podatkov za
raziskovanje ni v nasprotju z namenom njihovega zbiranja.
(3) Za dostop do osebnih podatkov za namene raziskovanja se
smiselno uporabljajo določbe 2. poglavja I. dela tega zakona glede postopka
pred upravljavcem in obdelovalcem.
69. člen
(pogoji obdelave osebnih podatkov za raziskovalne namene)
(1) Ne glede na prvotni namen obdelave lahko upravljavec
osebne podatke, vključno s posebnimi vrstami osebnih podatkov, nadalje obdeluje
za namen raziskovanja, če tako obdelavo dovoljuje drug zakon ali če:
1.
posameznik, na katerega se ti podatki nanašajo, ni prepovedal obdelave
svojih osebnih podatkov za namen raziskovanja ali prepovedal obdelave svojih
osebnih podatkov na določenem raziskovalnem področju, ki vključuje tudi namene
raziskave, ali
2.
je posameznik, na katerega se nanašajo osebni podatki, ki pomenijo
poklicno skrivnost, za obdelavo dal pisno soglasje.
(2) Raziskovalne organizacije ter raziskovalci, ki so pri
raziskovanju vezani na etična načela in metodologijo iz prvega odstavka
prejšnjega člena, lahko za namene raziskovanja od upravljavca pridobijo osebne
podatke, vključno s posebnimi vrstami osebnih podatkov, če predložijo opis
raziskave, ki vključuje:
1.
naslov raziskave in navedbo nosilcev raziskave (za fizične osebe osebno
ime, naziv in prebivališče, za pravno osebo pa firmo, matično številko in
sedež);
2.
podatke o izvajalcih raziskave (osebno ime, naziv, prebivališče,
morebitno razmerje do nosilca raziskave in morebitna šifra raziskovalca);
3.
namene oziroma cilje raziskave;
4.
predvidena sredstva in dejanja obdelave osebnih podatkov, vključno z
navedbo etičnih načel in metodologije iz prvega odstavka prejšnjega člena in
ukrepi za varnost osebnih podatkov;
5.
vrste osebnih podatkov, ki bi jih želeli pridobiti od upravljavca, in
kategorije posameznikov, na katere se nanašajo ti podatki;
6.
obliko, v kateri želijo prejeti osebne podatke (izvorni osebni podatki,
psevdonimizirani osebni podatki, osebni podatki v obliki, ki ne omogoča
identifikacije, anonimizirani podatki), in navedbo razloga za določeno obliko
podatkov;
7.
način objave ali drugačne dostopnosti raziskave.
(3) Opisu raziskave iz prejšnjega odstavka se pod pogoji iz
prvega odstavka 35. člena Splošne uredbe priloži ocena učinka v zvezi z
varstvom osebnih podatkov, pod pogoji iz 36. člena Splošne uredbe oziroma kadar
gre za osebne podatke, ki jih upravljavec obdeluje na podlagi zakona, ki ureja
varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj, pa tudi
zaključke posvetovanja z nadzornim organom.
(4) Upravljavec zavrne posredovanje osebnih podatkov:
1.
če niso izpolnjeni pogoji iz drugega in tretjega odstavka tega člena;
2.
če oceni, da zahtevani osebni podatki niso primerni za izvedbo
raziskave;
3.
če oceni, da nameni oziroma cilji raziskave ne upravičujejo posega v
pravice posameznikov, na katere se nanašajo osebni podatki;
4.
če upravljavec iz zasebnega sektorja in raziskovalna organizacija
oziroma raziskovalec ne dosežeta soglasja o ceni posredovanja podatkov;
5.
če oceni, da ukrepi za varnost osebnih podatkov niso ustrezni, ali
6.
če gre za tajne podatke v skladu z zakonom o tajnih podatkih.
(5) Upravljavec in izvajalec raziskave posameznikov, na
katere se nanašajo podatki, ne obveščata o obdelavah njihovih osebnih podatkov,
razen če drug zakon določa drugače. Upravljavec osebnih podatkov o posredovanju
osebnih podatkov izvajalcu raziskave obvesti javnost z objavo na svojih
spletnih straneh. Objava obsega navedbo naslova raziskave, namene oziroma cilje
raziskave, navedbo kategorij posameznikov in vrst osebnih podatkov,
posredovanih izvajalcu raziskave.
(6) Osebni podatki, ki so bili predmet raziskave, se ob
zaključku raziskave uničijo ali nepovratno anonimizirajo, razen če drug zakon
določa drugače, če je posameznik privolil v nadaljnjo hrambo osebnih podatkov
ali je nadaljnja hramba pomembna za izvršitev namena raziskave. Izvajalec
raziskave upravljavca, ki mu je posredoval osebne podatke, ob zaključku
raziskave pisno obvesti, ali, kdaj in kako jih je uničil ali z njimi ravnal
drugače.
(7) Rezultati raziskave se objavijo v anonimizirani obliki.
Rezultati raziskave se lahko objavijo tudi v psevdonimizirani obliki, če objava
podatkov v anonimizirani obliki iz tehničnih razlogov ali zaradi zasledovanja
ciljev raziskave ni mogoča. Rezultati raziskave lahko vsebujejo tudi osebne
podatke, če ta ali drug zakon to določa ali če je posameznik, na katerega se
nanašajo osebni podatki, za objavo osebnih podatkov dal pisno privolitev ali če
je za tako objavo v času po smrti posameznika dana pisna privolitev oseb v
izključujočem vrstnem redu iz prvega stavka petega odstavka 9. člena tega
zakona. Osebni podatki iz raziskave se ne smejo objaviti, če je to v nasprotju
z interesom varovanja tajnosti ali zaupnosti uradnih postopkov ali če ti
postopki še niso zaključeni.
(8) Posameznik, na katerega se nanašajo osebni podatki, ima v
razmerju do upravljavca ali izvajalca raziskave pravico dostopa do lastnih
osebnih podatkov iz 15. člena Splošne uredbe in pravico do ugovora iz šestega
odstavka 21. člena Splošne uredbe, druge pravice pa lahko uresničuje le, če to
ne ogrozi namena raziskave.
(9) Upravljavci, ki so subjekti javnega sektorja, za namene
raziskovanja po tem poglavju izvajalcu raziskave osebne podatke posredujejo
brezplačno.
70. člen
(kontaktiranje posameznikov)
(1) V okviru obdelave osebnih podatkov za raziskovanje
upravljavec izjemoma lahko obdeluje tudi osebne podatke ciljne skupine
posameznikov zaradi pridobitve privolitev za obdelavo njihovih osebnih podatkov
ali zaradi pridobitve dodatnih podatkov ali pojasnil za namene raziskovanja.
(2) Upravljavec lahko na podlagi zbirk, s katerimi razpolaga
v okviru zakonitega opravljanja dejavnosti, proti plačilu stroškov obdelave
osebnih podatkov kontaktira posameznike z namenom pridobivanja privolitev za
izvrševanje namenov iz prejšnjega odstavka.
(3) Za namen kontaktiranja se lahko obdelujejo naslednji
osebni podatki: osebno ime, naslov stalnega ali začasnega prebivališča,
telefonska številka in naslov elektronske pošte.
(4) Upravljavec lahko zavrne obdelavo podatkov iz prvega in
drugega odstavka tega člena, če s predlagano obdelavo ne soglaša.
71. člen
(obdelava podatkov za namene arhivskega delovanja)
(1) Obdelava osebnih podatkov za namene arhivskega delovanja
je dovoljena, če to določa zakon. Upravljavec v skladu z zakonom določi ukrepe
za varnost osebnih podatkov ter primerne in posebne ukrepe za varstvo interesov
posameznika, na katerega se nanašajo osebni podatki, zlasti glede posebnih vrst
osebnih podatkov.
(2) Posameznik, na katerega se nanašajo osebni podatki, nima
pravice do dostopa do lastnih osebnih podatkov v arhivskem gradivu v skladu s
15. členom Splošne uredbe, če bi dajanje informacij ali kopij njegovih osebnih
podatkov zahtevalo očitno nesorazmeren napor. Posameznik, na katerega se
nanašajo osebni podatki, nima pravice zahtevati:
1.
popravka osebnih podatkov zaradi netočnosti ali neposodobljenosti v
skladu s 16. členom Splošne uredbe;
2.
izbrisa v skladu s 17. členom Splošne uredbe;
3.
omejitve obdelave v skladu z 18. členom Splošne uredbe;
4.
prenosljivosti osebnih podatkov v skladu z 20. členom Splošne uredbe in
5.
izvršitve pravice do ugovora v skladu z 21. členom Splošne uredbe.
(3) Če posameznik, na katerega se nanašajo osebni podatki,
navaja netočnost ali neposodobljenost svojih osebnih podatkov, ima možnost dati
dopolnilno izjavo z navedbo nasprotnih dejstev. Upravljavec v primeru
utemeljenosti dopolnilno izjavo priloži arhivskemu gradivu ali na gradivu
ustrezno označi, kje je ta izjava.
(4) Ta člen se ne uporablja, če zakon, ki ureja varstvo
dokumentarnega in arhivskega gradiva ter arhive, določa drugače.
72. člen
(obdelava podatkov za namene statističnega raziskovanja)
(1) Obdelava osebnih podatkov za namene izvajanja državne
statistike je dovoljena, če je to v javnem interesu, ki ga določa zakon.
Upravljavec v skladu z zakonom določi ukrepe za varnost osebnih podatkov ter
primerne in posebne ukrepe za varstvo interesov posameznika, na katerega se
nanašajo osebni podatki, zlasti glede posebnih vrst osebnih podatkov.
(2) Posameznik, na katerega se nanašajo osebni podatki, nima
pravice do dostopa do lastnih osebnih podatkov v statističnem gradivu ali v
zbirkah statističnih raziskav Statističnega urada Republike Slovenije v skladu
s 15. členom Splošne uredbe in pravice do omejitve obdelave v skladu z 18.
členom Splošne uredbe, če bi dajanje informacij ali kopij njegovih osebnih
podatkov zahtevalo očitno nesorazmeren napor ali kadar upravljavec dokaže, da
ne more identificirati posameznika, na katerega se nanašajo osebni podatki v
skladu z 11. členom Splošne uredbe. Pravico do popravka v skladu s 16. členom
Splošne uredbe lahko posameznik uveljavlja le, če je upravljavec podatke od
njega pridobil neposredno in le do trenutka začetka statistične obdelave.
Posameznik, na katerega se nanašajo osebni podatki, nima pravice do izbrisa v
skladu s 17. členom Splošne uredbe in pravice do ugovora v skladu z 21. členom
Splošne uredbe.
(3) Ta člen se ne uporablja, če zakon, ki ureja delovanje
državne statistike, določa drugače.
2. poglavje
Varstvo svobode izražanja in dostopa do informacij javnega značaja v razmerju
do varstva osebnih podatkov
73. člen
(varstvo svobode izražanja v razmerju do pravice do varstva
osebnih podatkov)
(1) Obdelava osebnih podatkov v okviru uresničevanja svobode
izražanja misli, govora in javnega nastopanja, tiska in drugih oblik javnega
obveščanja in izražanja v okvirih pravnega reda Republike Slovenije je
dovoljena. Vsakdo lahko svobodno zbira, sprejema in širi vesti in mnenja ter
obdeluje v njih vsebovane osebne podatke, potrebne za ta namen.
(2) V okviru svobode izražanja se lahko osebni podatki za
namene obveščanja javnosti s strani medijev, književnega, umetniškega ali
raziskovalnega ustvarjanja, resne kritike, obrambe kakšne pravice ali varstva
upravičene koristi in izobraževanja ali izobraževanja prek javno dostopnih
objav in publikacij, obdelajo, objavijo ali drugače razkrijejo, če:
1.
je posameznik za obdelavo, objavo ali razkritje osebnih podatkov dal
privolitev;
2.
je posameznik osebne podatke že javno objavil ali dal na razpolago
javnosti;
3.
so osebni podatki na zakonit način že bili dostopni javnosti;
4.
so bili osebni podatki pridobljeni na podlagi prisotnosti posameznika na
javno dostopnih krajih ali dogodkih, kjer posameznik glede na vse okoliščine ne
more razumno pričakovati varstva zasebnosti, ter na način, ki ne pomeni
občutnega posega v razumno pričakovano zasebnost;
5.
gre za zakonito objavo mnenja ali vrednostne ocene, kjer je objava
osebnih podatkov nujna za utemeljitev tega mnenja ali vrednostne ocene;
6.
so bili osebni podatki pridobljeni na drug zakonit način;
7.
javni interes po obveščanju javnosti, pravica do obveščenosti ter
svoboda izražanja prevladajo nad upravičenimi interesi varstva zasebnosti in
drugih osebnostnih pravic posameznika ali
8.
tako določa drug zakon.
(3) Uveljavljanje pravic posameznika, na katerega se nanašajo
osebni podatki, ki se obdelujejo po tem členu, zagotavljajo sodišča v skladu z
določbami drugih zakonov, ki urejajo svobodo izražanja in sodno varstvo.
(4) Upravljavci ali obdelovalci ne smejo za namene izvajanja
svobode izražanja nezakonito razkriti, nezakonito posredovati ali omogočiti
nepooblaščenega dostopa do osebnih podatkov.
74. člen
(varstvo pravice do dostopa do informacij javnega značaja v
razmerju do pravice do varstva osebnih podatkov)
(1) Zavezanci po zakonu, ki ureja dostop do informacij
javnega značaja, javnosti posredujejo osebne podatke, če so ti po zakonu javni
ali če je za njihovo razkritje dan prevladujoč javni interes v skladu z
zakonom, ki ureja dostop do informacij javnega značaja.
(2) Kadar zakon določa javnost podatkov ali kadar gre za
podatke, ki so informacija javnega značaja, jih upravljavec, ki z njimi
razpolaga, lahko javno objavi.
75. člen
(izjema glede obveščanja posameznika)
Če so osebni podatki javni na podlagi zakona, posameznika, na
katerega se nanašajo osebni podatki, ni treba obveščati v skladu s 13. in 14.
členom Splošne uredbe ali vabiti k stranski udeležbi v skladu z določbami
zakona, ki ureja splošni upravni postopek.
3. poglavje
Videonadzor
76. člen
(splošne določbe o videonadzoru in varstvu osebnih podatkov)
(1) Določbe tega poglavja se uporabljajo za izvajanje
videonadzora, če drug zakon ne določa drugače.
(2) Odločitev o uvedbi videonadzora sprejme predstojnik,
direktor ali drug pooblaščen posameznik osebe javnega sektorja ali osebe
zasebnega sektorja kot upravljavca. V pisni odločitvi morajo biti obrazloženi
razlogi za uvedbo videonadzora.
(3) Upravljavec, ki izvaja videonadzor (v nadaljnjem
besedilu: upravljavec videonadzornega sistema), o odločitvi iz prejšnjega
odstavka objavi obvestilo. Obvestilo se vidno in razločno objavi na način, ki
omogoča posamezniku, da se seznani z izvajanjem videonadzora in da se lahko
vstopu v nadzorovano območje odpove.
(4) Obvestilo iz prejšnjega odstavka poleg informacij iz prvega
odstavka 13. člena Splošne uredbe vsebuje naslednje informacije:
1.
pisno ali nedvoumno grafično opisano dejstvo, da se izvaja videonadzor;
2.
namene obdelave, navedbo upravljavca videonadzornega sistema, telefonsko
številko ali naslov elektronske pošte ali spletni naslov za potrebe
uveljavljanja pravic posameznika s področja varstva osebnih podatkov;
3.
informacije o posebnih vplivih obdelave, zlasti nadaljnje obdelave;
4.
kontaktne podatke pooblaščene osebe (telefonska številka ali naslov
e-pošte);
5.
neobičajne nadaljnje obdelave, kot so prenosi subjektom v tretje države,
spremljanje dogajanja v živo, možnost zvočne intervencije v primeru spremljanja
dogajanja v živo.
(5) Namesto objave v obvestilu po tretjem odstavku tega člena
se lahko obveščanje posameznika izvede tudi na način, da upravljavec
informacije iz prvega odstavka 13. člena Splošne uredbe in informacije iz 3. do
5. točke prejšnjega odstavka objavi na spletnih straneh. V tem primeru mora na
obvestilu iz prejšnjega odstavka objaviti spletni naslov, kjer so te
informacije dostopne.
(6) Šteje se, da je z obvestilom iz tretjega in petega
odstavka tega člena posameznik obveščen o obdelavi osebnih podatkov.
(7) Zbirka posnetkov videonadzornega sistema vsebuje posnetek
posameznika (slika), podatek o lokaciji, datum in čas posnetka, izjemoma, če je
to posebej nujno potrebno, pa tudi zvok.
(8) Videonadzorni sistem, s katerim se izvaja videonadzor,
mora biti zavarovan, kot to določata 24. in 32. člen Splošne uredbe.
(9) Posnetki videonadzora se lahko ob upoštevanju načel iz 5.
člena Splošne uredbe hranijo največ eno leto od trenutka nastanka posnetka.
(10) Videonadzora ni dovoljeno izvajati v dvigalih,
sanitarijah, prostorih za preoblačenje, hotelskih sobah in drugih podobnih
prostorih, v katerih posameznik utemeljeno pričakuje višjo stopnjo zasebnosti.
(11) Vpogled, uporaba ali posredovanje posnetkov
videonadzornega sistema so dopustni samo za namene, ki so zakonito obstajali
ali bili navedeni na obvestilu v času zajema posnetka.
(12) Upravljavec videonadzornega sistema za vsak vpogled ali
uporabo posnetkov zagotovi možnost naknadnega ugotavljanja, kateri posnetki so
bili obdelani, kdaj in kako so bili uporabljeni ali komu so bili posredovani,
kdo je izvedel ta dejanja obdelave, kdaj in s kakšnim namenom ali na kateri pravni
podlagi. Te podatke hrani v dnevniku obdelave iz 22. člena tega zakona dve leti
po koncu leta, ko so nastali.
77. člen
(videonadzor dostopa v uradne službene oziroma poslovne
prostore)
(1) Upravljavci videonadzornega sistema v javnem in zasebnem
sektorju lahko izvajajo videonadzor dostopa v uradne službene oziroma poslovne
prostore, če je to potrebno za varnost ljudi ali premoženja, zaradi
zagotavljanja nadzora vstopa v te prostore ali izstopa iz njih ali če zaradi
narave dela obstaja možnost ogrožanja zaposlenih.
(2) Videonadzor se izvaja brez snemanja delov stanovanjskih
stavb, ki niso prostori iz prejšnjega odstavka in snemanja vhodov v stanovanja.
(3) O izvajanju videonadzora in o vsebinah iz četrtega
odstavka prejšnjega člena so pisno obveščeni vsi zaposleni, ki opravljajo delo
v nadzorovanem prostoru.
(4) Videonadzor je dovoljen, če s tem soglašajo lastniki, ki
imajo v lasti več kot 70-odstotni delež skupnih delov.
(5) Zbirka osebnih podatkov po tem členu lahko vsebuje poleg
podatkov iz sedmega odstavka prejšnjega člena tudi datum in čas vstopa v uradni
službeni prostor in izstopa iz njega, osebno ime posnetega posameznika, naslov
njegovega stalnega ali začasnega prebivališča, zaposlitev, številko in podatke
o vrsti njegovega osebnega dokumenta ter razlog vstopa, če se navedeni osebni
podatki zbirajo skupaj s posnetkom videonadzornega sistema.
78. člen
(videonadzor znotraj delovnih prostorov)
(1) Izvajanje videonadzora znotraj delovnih prostorov se
lahko izvaja le, kadar je to nujno potrebno za varnost ljudi ali premoženja ali
preprečevanje ali odkrivanje kršitev na področju iger na srečo ali za varovanje
tajnih podatkov ali poslovnih skrivnosti, teh namenov pa ni mogoče doseči z
milejšimi sredstvi.
(2) Videonadzor se lahko izvaja le glede tistih delov
prostorov in v obsegu, kjer je treba varovati interese iz prejšnjega odstavka.
(3) Prepovedano je z videonadzorom snemati delovna mesta,
kjer delavec po navadi dela, razen če je to nujno v skladu s prvim odstavkom
tega člena.
(4) Neposredno spremljanje dogajanja pred kamerami je pod
pogoji iz prvega in drugega odstavka tega člena dopustno le, če ga izvaja
izrecno pooblaščeno osebje upravljavca.
(5) Zaposleni so pred začetkom izvajanja videonadzora po tem
členu vnaprej pisno obveščeni o njegovem izvajanju.
(6) Pred uvedbo videonadzora v osebi javnega ali zasebnega
sektorja se mora delodajalec posvetovati z reprezentativnimi sindikati pri
delodajalcu in svetom delavcev oziroma delavskim zaupnikom. Posvetovanje se
izvede v roku 30 dni ali v drugem daljšem roku, ki ga določi delodajalec. Kadar
gre za uvedbo videonadzora v skladu s tretjim odstavkom tega člena, se
posvetovanje izvede v roku 60 dni ali v drugem daljšem roku, ki ga določi
delodajalec.
(7) Na področju varnosti države in varovanja tajnih podatkov,
razen za varovanje tajnih podatkov najnižje stopnje tajnosti, in za
koncesionarje po zakonu, ki ureja igre na srečo, v delih prostorov, kjer se
izvajajo igre na srečo, se ne uporablja prejšnji odstavek.
(8) Videonadzor skupnih prostorov v poslovnih zgradbah je
dovoljen, če s tem soglašajo lastniki, ki imajo v lasti več kot 70-odstotni
delež skupnih delov.
79. člen
(videonadzor v prevoznih sredstvih, namenjenih javnemu
potniškemu prometu)
(1) Videonadzor v prevoznih sredstvih, namenjenih javnemu
potniškemu prometu, se sme izvajati le v delih prevoznega sredstva, namenjenih
potnikom, za namen varnosti potnikov in premoženja, če tega ni mogoče doseči z
drugimi ukrepi, ki manj posegajo v pravice iz prvega odstavka 1. člena tega
zakona.
(2) Upravljavec mora uničiti posnetke najpozneje v sedmih
dneh po njihovem nastanku. Posnetki se smejo uporabljati za uveljavljanje ali
obrambo pravnih zahtevkov ali za izvrševanje nalog policije.
80. člen
(videonadzor na javnih površinah)
(1) Videonadzor na javnih površinah, kot jih določa zakon, ki
ureja urejanje prostora, je dovoljen le, kadar je to potrebno zaradi obstoja
resne in utemeljene nevarnosti za življenje, osebno svobodo, telo ali zdravje
ljudi, varnost premoženja upravljavca ali varovanje tajnih podatkov upravljavca
ali obdelovalca v prenosu in teh namenov ni mogoče doseči z drugimi sredstvi,
ki manj posegajo v pravice iz prvega odstavka 1. člena tega zakona. Videonadzor
na javnih površinah je dovoljen tudi za namene varovanja varovanih oseb ter
posebnih objektov in okolišev objektov, ki jih varuje policija, Slovenska
vojska, pristojni organi za področje varnosti države, pravosodna policija,
oziroma varovanja drugih prostorov, zgradb ali območij, ki jih je treba
varovati na podlagi zakona, in sicer samo v obsegu in trajanju, potrebnem za
doseganje namena. Vpogled, uporaba ali posredovanje posnetkov so dopustni le za
te namene.
(2) Videonadzor se lahko izvaja le glede tistih bližnjih ali
povezanih delov javne površine in v obsegu, kjer je treba varovati interese iz
prejšnjega odstavka.
(3) Videonadzor na javnih površinah lahko izvaja oseba
javnega ali zasebnega sektorja, ki upravlja z javno površino ali na njej
zakonito opravlja dejavnost. Videonadzor smejo za javni sektor izvajati le
uradne osebe ali pooblaščeno varnostno osebje, za zasebni sektor pa pooblaščeno
varnostno osebje. Osebe ali osebje iz prejšnjega stavka mora biti izrecno
pooblaščeno za izvajanje videonadzora.
(4) Videonadzor se lahko izvaja tudi na način, da se ob
snemanju izvaja spremljanje dogajanja v živo.
(5) Videonadzor iz prvega odstavka tega člena se za namen
varovanja oseb, tajnih podatkov v prenosu, poslovnih skrivnosti ali premoženja
večje vrednosti lahko opravlja tudi z uporabo telesne kamere, če jo uporablja
za to posebej usposobljena oseba.
(6) Posnetki videonadzora na javnih površinah se lahko
hranijo največ šest mesecev od trenutka nastanka posnetka.
(7) Upravljavec videonadzornega sistema, ki izvaja
videonadzor javnih površin, mora v primeru, ko videonadzorni sistem posname
dogodek, ki ogroža zdravje ali življenje posameznika, o tem nemudoma obvestiti
policijo ali drug pristojni subjekt.
(8) Na področju videonadzora cestnega prometa sme upravljavec
izvajati videonadzor le na vnaprej določenih odsekih cest v svojem upravljanju,
tako da se ne izvaja sistemsko nadzorovanje gibanja posameznikov ali poseganje
v zasebnost posameznikov. Upravljavec mora v skladu z zakonom določiti tiste
odseke ceste v svojem upravljanju, kjer z drugimi sredstvi ni mogoče doseči
nujnega in učinkovitega varovanja cestnega prometa ali njegovega upravljanja.
(9) Upravljavec videonadzornega sistema iz prejšnjega
odstavka mora pred dokončno določitvijo lokacij iz prejšnjega odstavka izdelati
oceno učinka, ki vsebuje lokacijo odsekov cest, in jo posredovati v predhodno
mnenje nadzornemu organu.
(10) Na javnih površinah je prepovedana uporaba sistemov za
avtomatsko prepoznavo registrskih tablic in sistemov, s katerimi se obdelujejo
biometrični osebni podatki.
4. poglavje
Obdelava osebnih podatkov z uporabo biometrije in genskih podatkov
81. člen
(omejitev biometrije in obdelave genskih podatkov)
(1) Obdelava biometričnih osebnih podatkov v nasprotju z
določbami tega poglavja je prepovedana.
(2) Če drug zakon določa obdelavo biometričnih osebnih
podatkov, poleg vsebin iz drugega ali tretjega odstavka 6. člena tega zakona
določi tudi pogoje za njeno uporabo, lahko pa uporabo biometričnih osebnih
podatkov tudi omeji.
(3) Prepovedano je povezovati zbirke biometričnih osebnih
podatkov z drugimi zbirkami in omogočati prenosljivost teh podatkov v skladu z
20. členom Splošne uredbe, razen če to določa drug zakon ali v to privoli
posameznik, na katerega se biometrični osebni podatki nanašajo.
(4) Genske podatke posameznika je dopustno obdelovati, kadar
to določa drug zakon, za namene zagotavljanja zdravstvenega varstva ali kadar
je obdelava potrebna za izvajanje pogodbe, sklenjene izključno zaradi obdelave
genskih podatkov v korist pogodbene stranke, ki je posameznik, na katerega se
nanašajo osebni podatki.
82. člen
(biometrija v javnem sektorju)
(1) Obdelava biometričnih osebnih podatkov v javnem sektorju
se lahko določi le z zakonom, če je to nujno potrebno za varnost ljudi, varnost
premoženja, varovanje tajnih podatkov, identifikacijo pogrešanih ali umrlih
posameznikov ali za varovanje poslovnih skrivnosti, teh namenov pa ni mogoče
doseči z milejšimi sredstvi.
(2) Obdelavo biometričnih osebnih podatkov v javnem sektorju
je izjemoma dopustno izvajati tudi pod pogojem, da so dejanja obdelave teh
podatkov potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz
52. člena tega zakona na način, ki zagotavlja obdelavo in uporabo teh podatkov
posameznika pod njegovim izključnim nadzorom ali izključno oblastjo ter mu
omogoča, da izrecno dovoli obdelavo teh podatkov drugim obdelovalcem in upravljavcem
za namen dokazovanja točnosti svoje identitete.
(3) Ne glede na prvi odstavek tega člena se obdelave
biometričnih osebnih podatkov lahko določi z zakonom, če gre za izpolnjevanje
obveznosti iz obvezujoče mednarodne pogodbe ali za identifikacijo posameznikov
pri prehajanju državnih meja.
(4) Obdelava biometričnih osebnih podatkov v javnem sektorju
se lahko določi z zakonom tudi za namen identifikacije posameznikov pri izdaji
sredstev elektronske identifikacije v skladu z zakonom, ki ureja sredstva
elektronske identifikacije, in če je tako identifikacijo posameznik zahteval.
(5) V javnem sektorju se lahko z drugim zakonom izjemoma
uvede obdelava biometričnih osebnih podatkov v zvezi z vstopom v stavbo ali
dele stavbe, ki se izvedejo ob smiselni uporabi četrtega, petega in šestega
odstavka 83. člena tega zakona, če je to nujno potrebno za varnost ljudi,
varnost premoženja, varovanje tajnih podatkov ali poslovnih skrivnosti.
83. člen
(biometrija v zasebnem sektorju)
(1) Obdelava biometričnih osebnih podatkov v zasebnem
sektorju se lahko izvaja le v skladu z določbami tega člena, če je to nujno
potrebno za opravljanje dejavnosti, za varnost ljudi, varnost premoženja,
varovanje tajnih podatkov ali poslovnih skrivnosti. Dejanja obdelave
biometričnih osebnih podatkov morajo biti potrjena v skladu z 52. členom tega
zakona.
(2) Oseba zasebnega sektorja lahko obdeluje biometrične
osebne podatke zaradi varstva točnosti identitete svojih strank. Taka obdelava
je dopustna, če to za namene varovanja interesov iz prejšnjega odstavka določa
drug zakon, če to posebej določa pogodba ali so stranke dale izrecno
privolitev. Kadar se biometrični osebni podatki obdelujejo na podlagi pogodbe s
potrošnikom, mora upravljavec posamezniku, na katerega se nanašajo osebni podatki,
omogočiti tudi način identifikacije brez obdelave biometričnih osebnih
podatkov.
(3) Obdelava biometričnih osebnih podatkov v zasebnem
sektorju se sme izvajati tudi pod pogojem, da so dejanja obdelave teh podatkov
stranke pod njenim izključnim nadzorom ali njeno izključno oblastjo ter
potrjena v skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena
tega zakona in omogoča stranki, da izrecno dovoli obdelavo teh podatkov drugim
obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje identitete.
(4) Pred začetkom obdelave biometričnih osebnih podatkov
morajo biti posamezniki o tem pisno obveščeni, kadar gre za zaposlene, pa mora
upravljavec z zaposlenimi izvesti predhodno posvetovanje o sorazmernosti
obdelave.
(5) Oseba zasebnega sektorja, ki namerava obdelovati
biometrične osebne podatke, pred začetkom obdelave posreduje nadzornemu organu
opis nameravanih obdelav in razloge za njihovo uvedbo.
(6) Nadzorni organ po prejemu posredovanih informacij iz
prejšnjega odstavka v dveh mesecih odloči, ali je biometrija v skladu s tem
zakonom dovoljena. Rok se ob upoštevanju zapletenosti predvidene obdelave lahko
podaljša za največ dva meseca.
(7) Oseba zasebnega sektorja lahko začne izvajati biometrične
ukrepe po prejemu odločbe iz prejšnjega odstavka, s katero je izvajanje
biometričnih ukrepov dovoljeno.
(8) Zoper odločbo nadzornega organa iz šestega odstavka tega
člena ni pritožbe, dovoljen pa je upravni spor.
(9) Osebi zasebnega sektorja ni treba pridobiti odločbe iz
šestega odstavka tega člena, če se biometrični ukrepi izvajajo na način,
določen v tretjem odstavku tega člena.
84. člen
(prepoved pridobivanja biometričnih osebnih podatkov v zvezi
s trženjem)
V okviru trženja ali podobne druge poslovne dejavnosti se ne
smejo zahtevati, pridobiti ali nadalje obdelovati biometrični osebni podatki v
zamenjavo za določene storitve, četudi so te storitve za posameznika, na
katerega se nanašajo osebni podatki, brezplačne.
5. poglavje
Evidentiranje vstopov in izstopov
85. člen
(evidentiranje vstopov in izstopov iz službenih prostorov)
(1) Oseba javnega ali zasebnega sektorja lahko za
zagotavljanje varnosti ljudi in premoženja, varovanja tajnih podatkov ter reda
v njenih prostorih ali prostorih, ki jih ima v uporabi (v nadaljnjem besedilu:
službeni prostori), od posameznika, ki namerava vstopiti ali izstopiti iz tega
prostora, zahteva navedbo vseh ali nekaterih osebnih podatkov iz drugega
odstavka tega člena in razlog vstopa ali izstopa. Po potrebi lahko osebne
podatke preveri tudi z vpogledom v uradni identifikacijski dokument.
(2) V zbirki o vstopih in izstopih iz službenih prostorov se
lahko o posamezniku obdelujejo samo naslednji osebni podatki, kadar je to
potrebno: osebno ime, številka in vrsta uradnega identifikacijskega dokumenta,
naslov prebivališča, zaposlitev, vrsta in registrska številka vozila ter datum,
ura in razlog vstopa ali izstopa v prostore ali izstopa iz njih.
(3) Osebni podatki iz prejšnjega odstavka se lahko hranijo
največ dve leti od konca koledarskega leta po vnosu osebnih podatkov v zbirko,
nato se izbrišejo ali na drug način uničijo, če drug zakon ne določa drugače.
6. poglavje
Javne knjige in varstvo osebnih podatkov
86. člen
(zakoniti namen javne knjige)
Osebni podatki iz javne knjige, urejene z zakonom, se lahko
uporabljajo le v skladu z namenom, za katerega so bili zbrani ali se
obdelujejo, če je zakoniti namen njihovega zbiranja ali obdelave določen.
7. poglavje
Povezovanje zbirk osebnih podatkov
87. člen
(povezovanje zbirk javnega sektorja)
(1) Kadar se posebne vrste osebnih podatkov, osebni podatki v
zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z
zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z
zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o
nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma
informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni
kreditni register, ter uradne evidence v skladu z zakonom, ki ureja naloge in
pooblastila policije, in zakonom, ki ureja preprečevanje pranja denarja in
financiranja terorizma, obdelujejo v uradnih evidencah ali javnih knjigah, se
jih lahko povezuje med seboj ali z drugimi zbirkami samo, če taka povezovanja
izrecno določa zakon.
(2) Pred začetkom povezovanja zbirk iz prejšnjega odstavka
mora upravljavec oziroma obdelovalec izdelati oceno učinka po 35. členu Splošne
uredbe in se posvetovati z nadzornim organom po 36. členu Splošne uredbe.
8. poglavje
Strokovni nadzor
88. člen
(strokovni nadzor)
Če drug zakon ne določa drugače, se določbe tega poglavja
uporabljajo za obdelavo osebnih podatkov pri strokovnem nadzoru, določenem z
zakonom.
89. člen
(splošne določbe)
(1) Oseba, ki izvaja strokovni nadzor (v nadaljnjem besedilu:
izvajalec strokovnega nadzora) v skladu z drugim zakonom, lahko za namen
izvedbe strokovnega nadzora obdeluje vse osebne podatke, ki jih obdelujejo
upravljavci osebnih podatkov, nad katerimi izvaja strokovni nadzor.
(2) Izvajalec strokovnega nadzora ima pravico do vpogleda,
izpisa, prepisovanja ali kopiranja vseh osebnih podatkov iz prejšnjega
odstavka, pri njihovi obdelavi za namene strokovnega nadzora in izdelave
poročila ali ocene pa je dolžan varovati njihovo tajnost. V poročilu ali oceni
ob zaključku strokovnega nadzora lahko izvajalec strokovnega nadzora zapiše le
tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora.
(3) Ne glede na določbe prejšnjih odstavkov se pri izvajanju
strokovnega nadzora upoštevajo omejitve iz četrtega odstavka 57. člena tega
zakona.
(4) Stroške vpogleda, izpisa, prepisovanja ali kopiranja iz
drugega odstavka tega člena krije upravljavec.
90. člen
(obveščanje posameznika in pridobivanje podatkov)
(1) Izvajalec strokovnega nadzora lahko pri opravljanju
strokovnega nadzora, če je to potrebno za uspešen nadzor in tega z drugimi
ukrepi ni mogoče doseči, pisno obvesti posameznika, na katerega se nanašajo
osebni podatki, da izvaja strokovni nadzor. Obvesti ga, da lahko pisno ali
ustno poda svoja stališča in dodatne informacije, pomembne za nadzor, s
katerimi razpolaga. Izvajalec strokovnega nadzora lahko s posameznikom, na
katerega se nanašajo osebni podatki, opravi razgovor.
(2) Posameznik iz prejšnjega odstavka lahko izvajalcu
strokovnega nadzora za namene izvajanja strokovnega nadzora posreduje kontaktne
osebne podatke drugega posameznika (osebno ime, zaposlitev, številke ali
naslove službenih komunikacijskih sredstev in navedbo povezave z zadevo
nadzora), ki bi lahko o zadevi, v kateri se izvaja strokovni nadzor, dal
pomembne informacije, s katerimi razpolaga. Če izvajalec strokovnega nadzora
ugotovi, da je to potrebno, opravi razgovor tudi z drugim posameznikom.
91. člen
(posebne vrste osebnih podatkov)
Če se pri izvajanju strokovnega nadzora obdelujejo posebne
vrste osebnih podatkov ali podatki iz kazenskih ali prekrškovnih evidenc, se o
tem naredi uradni zaznamek ali drug uradni zapis v zadevi ali zbirki
upravljavca.
9. poglavje
Obdelava kontaktnih podatkov in osebnih dokumentov
92. člen
(javni kontaktni podatki)
Osebe javnega ali zasebnega sektorja lahko javnosti posredujejo
in javno objavijo osebno ime, naziv ali funkcijo, službeno telefonsko številko
in naslov službene elektronske pošte vodilnih oseb in tistih zaposlenih,
katerih delo je potrebno zaradi poslovanja s strankami oziroma uporabniki
storitev, če drug zakon ne določa drugače.
93. člen
(obdelava osebnih podatkov za izvajanje določenih dejavnosti
osebe javnega ali zasebnega sektorja)
(1) Oseba iz javnega ali zasebnega sektorja lahko uporablja
kontaktne podatke posameznikov, ki jih je zbrala iz javno dostopnih virov ali v
okviru izvrševanja svojih javnih nalog ali so ji jih posamezniki, na katere se
nanašajo, prostovoljno razkrili ali dali privolitev, za namene organiziranja
uradnih srečanj, izobraževanj, usposabljanj in dogodkov, določanja sestav ali
delovanje komisij, svetov, delegacij in drugih podobnih dejavnosti javnega
sektorja, dajanja izjav za javnost, razen izvajanja neposrednega trženja.
Zbirke osebnih podatkov, ki nastanejo na tej podlagi, morajo biti ločene od
drugih zbirk osebnih podatkov, ki nastanejo pri izvrševanju zakonitih
pristojnosti, nalog ali obveznosti.
(2) Za namene iz prejšnjega odstavka lahko oseba javnega
sektorja uporablja le naslednje osebne podatke: osebno ime, telefonsko
številko, naslov elektronske pošte ali drugo komunikacijsko številko oziroma
oznako, podatke o delodajalcu ali organizaciji ter podatke o področju dela,
položaju, funkciji, članstvu v klubu ali hobiju posameznika, na katerega se
nanašajo osebni podatki. Na podlagi privolitve posameznika lahko oseba javnega
sektorja za iste namene obdeluje tudi naslov stalnega ali začasnega
prebivališča in druge osebne podatke, posebne vrste osebnih podatkov pa le
izjemoma in če ima za to izrecno privolitev posameznika.
(3) Za namene obveščanja javnosti sme oseba javnega ali
zasebnega sektorja obdelovati, vključno z objavo, osebna imena, nazive,
fotografije in videoposnetke posameznikov, pridobljene na dogodkih, ki jih v
okviru svojih nalog, pristojnosti ali dejavnosti organizira ta oseba, če
posameznik te obdelave ni prepovedal.
94. člen
(obdelava osebnih podatkov iz uradnega identifikacijskega
dokumenta)
(1) Upravljavec, obdelovalec ali uporabnik smejo za namen
identifikacije posameznika ali za namen zagotavljanja točnosti in
posodobljenosti osebnih podatkov vpogledati v njegove uradne identifikacijske
dokumente.
(2) Upravljavec, ki izvaja z zakonom predpisano nalogo, sme
za namen identifikacije posameznika tudi prepisati, kopirati ali drugače
obdelati podatke iz njegovih uradnih identifikacijskih dokumentov.
(3) Uradni identifikacijski dokument po tem členu je osebna
izkaznica, potni list, obmejna prepustnica, vozniško dovoljenje, orožni list in
uradni identifikacijski dokumenti drugih držav ali mednarodnih organizacij.
III. DEL
KAZENSKE DOLOČBE
95. člen
(sankcije za kršitve, ki jih predpisuje Splošna uredba)
(1) Sankcije za kršitve, ki jih predpisuje Splošna uredba, se
izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom,
ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih,
kot jih določa Splošna uredba.
(2) S tem zakonom se predpisujejo tudi sankcije za kršitve
Splošne uredbe, ki so jih storile odgovorne osebe ali posamezniki.
96. člen
(kršitve določb iz četrtega odstavka 83. člena Splošne
uredbe)
(1) Z globo od 100 do 5.000 eurov se kaznuje za prekršek
odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali
posameznika, ki samostojno opravlja dejavnost:
1.
če krši obveznosti upravljavca ali obdelovalca, kot so določene v 8.,
11., 25. do 39. členu ter v 42. in 43. členu Splošne uredbe;
2.
če krši obveznosti organa za potrjevanje, kot je določeno v 42. in 43.
členu Splošne uredbe;
3.
če krši obveznosti organa za spremljanje v skladu s četrtim odstavkom
41. člena Splošne uredbe.
(2) Z globo od 100 do 5.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka odgovorna oseba v državnem organu ali v samoupravni lokalni
skupnosti.
97. člen
(kršitve določb iz petega in šestega odstavka 83. člena
Splošne uredbe)
(1) Z globo od 200 do 8.000 eurov se kaznuje za prekršek
odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali
posameznika, ki samostojno opravlja dejavnost:
1.
če krši temeljna načela za obdelavo, vključno s pogoji za privolitev,
kot so določena v 5., 6., 7. in 9. členu Splošne uredbe;
2.
če krši pravice posameznika, na katerega se nanašajo podatki, kot so
določene 12. do 22. členu Splošne uredbe;
3.
če krši določbe v zvezi s prenosi osebnih podatkov uporabniku v tretji
državi ali mednarodni organizaciji, kot so določene v 44. do 49. členu Splošne
uredbe;
4.
če ne upošteva odredbe ali začasne ali dokončne omejitve obdelave ali
prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu z drugim
odstavkom 58. člena Splošne uredbe, ali če ne zagotovi dostopa, s čimer se krši
prvi odstavek 58. člena Splošne uredbe;
5.
če ne upošteva popravljalnih ukrepov, ki jih naloži pristojni nadzorni
organ v skladu z drugim odstavkom 58. člena Splošne uredbe.
(2) Z globo od 200 do 8.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka odgovorna oseba v državnem organu ali v samoupravni lokalni
skupnosti.
(3) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
98. člen
(kršitve temeljnih določb tega zakona)
(1) Z globo od 4.000 do 12.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 36.000 eurov:
1.
če ne uvede ukrepov za zagotavljanje sledljivosti obdelave osebnih
podatkov v skladu z 22. členom tega zakona,
2.
če zbirke osebnih podatkov iz 1. točke prvega odstavka 23. člena tega
zakona hrani izven ozemlja Republike Slovenije (četrti odstavek 23. člena tega
zakona);
3.
če ne uvede ukrepov sledljivosti posredovanja osebnih podatkov v skladu
s šestim odstavkom 41. člena tega zakona.
(2) Z globo od 3.000 do 9.000 eurov se za prekršek iz
prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 400 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 400 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
99. člen
(kršitve določb o uporabi povezovalnega znaka)
(1) Z globo od 1.000 do 8.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 36.000 eurov:
1.
če pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s
področja zdravstva, varnosti države, sodstva ter iz kazenske ali prekrškovnih
evidenc uporablja samo en povezovalni znak, in drug zakon ne določa drugače
(prvi odstavek 42. člena tega zakona);
2.
če ne napravi uradnega zaznamka ali drugega ustreznega zapisa o nujnosti
uporabe izključno enega povezovalnega znaka za predpisane namene (drugi
odstavek 42. člena tega zakona);
3.
če na področju varnosti države povezovalni znak uporablja v nasprotju z
notranjim aktom o varnosti osebnih podatkov (tretji odstavek 42. člena tega
zakona).
(2) Z globo od 400 do 2.000 eurov se za prekršek iz prejšnjega
odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost.
(3) Z globo od 400 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 200 do 1.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
100. člen
(kršitev splošnih določb o videonadzoru)
(1) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 20.000 eurov:
1.
če se izvaja videonadzor brez pisne odločitve iz drugega odstavka 76.
člena tega zakona;
2.
če ne objavi obvestila na način iz tretjega odstavka 76. člena tega
zakona;
3.
če obvestilo ne vsebuje informacij iz četrtega odstavka 76. člena tega
zakona;
4.
če ne zavaruje videonadzornega sistema, s katerim izvaja videonadzor, na
način iz osmega odstavka 76. člena tega zakona.
(2) Z globo od 1.000 do 2.000 eurov se za prekršek iz
prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 100 do 1.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
101. člen
(težje kršitve določb o videonadzoru)
(1) Z globo od 8.000 do 20.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 16.000 do 40.000 eurov:
1.
če se posnetki videonadzora hranijo več kot eno leto od trenutka
nastanka posnetka (deveti odstavek 76. člena tega zakona);
2.
če se videonadzor izvaja v dvigalih, sanitarijah, prostorih za
preoblačenje, hotelskih sobah in drugih podobnih prostorih, v katerih lahko
posameznik utemeljeno pričakuje višjo stopnjo zasebnosti (deseti odstavek 76.
člena tega zakona).
(2) Z globo od 4.000 do 10.000 eurov se za prekršek iz
prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 400 do 3.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
102. člen
(kršitev določb o videonadzoru glede dostopa v uradne
službene oziroma poslovne prostore)
(1) Z globo od 2.000 do 5.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 2.000 do 8.000 eurov:
1.
če izvaja videonadzor ali obdeluje posnetke v nasprotju z namenom iz
prvega odstavka 77. člena tega zakona;
2.
če izvaja videonadzor v nasprotju s prepovedjo snemanja delov
stanovanjskih stavb in vhodov v stanovanja (drugi odstavek 77. člena tega
zakona);
3.
če pisno ne obvesti zaposlenih, ki opravljajo delo v nadzorovanem
prostoru (tretji odstavek 77. člena tega zakona).
(2) Z globo od 2.000 do 5.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 100 do 500 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
103. člen
(kršitev določb o videonadzoru znotraj delovnih prostorov)
(1) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 20.000 eurov:
1.
če izvaja videonadzor v nasprotju z namenom izvajanja videonadzora
znotraj delovnih prostorov (prvi odstavek 78. člena tega zakona) ali
2.
če izvaja videonadzor v delovnih prostorih, kjer ni treba varovati
interesov iz prvega odstavka 78. člena tega zakona (drugi odstavek 78. člena
tega zakona).
(2) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek
iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
104. člen
(kršitev določb o videonadzoru v vozilih, namenjenih javnemu
potniškemu prometu)
(1) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 8.000 do 20.000 eurov:
1.
če izvaja videonadzor v nasprotju z namenom izvajanja videonadzora v
prevoznih sredstvih, namenjenih javnemu potniškemu prometu (prvi odstavek 79.
člena tega zakona), ali
2.
če v nasprotju z drugim odstavkom 79. člena tega zakona ne uniči videoposnetkov
v predpisanem roku ali uporablja posnetke za druge namene od tistih, določenih
v drugem odstavku 79. člena tega zakona.
(2) Z globo od 4.000 do 10.000 eurov se kaznuje za prekršek
iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
105. člen
(kršitev določb o videonadzoru na javnih površinah)
(1) Z globo od 5.000 do 20.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 10.000 do 30.000 eurov:
1.
če izvaja videonadzor na javnih površinah v nasprotju z nameni iz prvega
odstavka 80. člena tega zakona;
2.
če izvaja videonadzor tistih delov javnih površin, ki ni potreben za
varovanje interesov iz prvega odstavka 80. člena tega zakona (drugi odstavek
80. člena tega zakona);
3.
če izvaja videonadzor na javnih površinah, s katerimi ne upravlja ali na
njih zakonito ne opravlja dejavnosti (tretji odstavek 80. člena tega zakona);
4.
če hrani posnetke videonadzora javnih površin več kot šest mesecev od
trenutka nastanka (šesti odstavek 80. člena tega zakona);
5.
če nemudoma ne obvesti policije ali drugega pristojnega subjekta, ko
videonadzorni sistem posname dogodek na javni površini, ki ogroža zdravje ali
življenje posameznika (sedmi odstavek 80. člena tega zakona);
6.
če na javnih površinah uporablja sisteme za avtomatsko prepoznavo
registrskih tablic ali sistemov, s katerimi se obdelujejo biometrični osebni
podatki (deseti odstavek 80. člena tega zakona).
(2) Z globo od 5.000 do 10.000 eurov se kaznuje za prekršek
iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 5.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 5.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
106. člen
(kršitev določb o povezovanju na področju biometrije ter
glede obdelav genskih podatkov)
(1) Z globo od 6.000 do 20.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 10.000 do 40.000 eurov:
1.
če izvaja povezovanje ali prenosljivost biometričnih osebnih podatkov v
nasprotju s tretjim odstavkom 81. člena tega zakona;
2.
če obdeluje genske osebne podatke brez pravnih podlag iz četrtega
odstavka 81. člena tega zakona.
(2) Z globo od 2.000 do 6.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
107. člen
(kršitev določb o biometriji v javnem sektorju)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 3.000 do 6.000 eurov:
1.
če izvaja obdelave biometričnih osebnih podatkov brez zakonske podlage
iz prvega, tretjega, četrtega ali petega odstavka 82. člena tega zakona;
2.
če obdeluje biometrične osebne podatke z dejanji obdelave, ki niso
potrjena na način iz drugega odstavka 82. člena tega zakona.
(2) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
108. člen
(kršitev določb o biometriji v zasebnem sektorju)
(1) Z globo od 2.000 do 10.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 4.000 do 20.000 eurov:
1.
če biometrične ukrepe v zasebnem sektorju izvaja v nasprotju z nameni iz
prvega odstavka 83. člena tega zakona;
2.
če izvaja biometrične ukrepe nad svojimi strankami brez zakonske ali
pogodbene podlage oziroma brez izrecne pisne privolitve ali če potrošniku ne
omogoči načina identifikacije brez obdelave biometričnih osebnih podatkov (drugi
odstavek 83. člena tega zakona);
3.
če biometrične osebne podatke obdeluje na način, da dejanja obdelave
podatkov stranke niso pod njenim izključnim nadzorom ali njeno izključno
oblastjo, ali tovrstna obdelava biometričnih osebnih podatkov ni potrjena v
skladu s pristojnostmi nadzornega organa za potrjevanje iz 52. člena tega
zakona, ali če stranki ne omogoča, da izrecno dovoli obdelavo teh podatkov
drugim obdelovalcem in upravljavcem za namen dokazovanja točnosti svoje
identitete (tretji odstavek 83. člena tega zakona);
4.
če izvaja biometrične ukrepe pred prejemom odločbe nadzornega organa, s
katero je izvajanje biometričnih ukrepov dovoljeno (sedmi odstavek 83. člena
tega zakona).
(2) Z globo od 2.000 do 10.000 eurov se kaznuje za prekršek
iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 200 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
109. člen
(kršitev določb o prepovedi pridobivanja biometričnih
osebnih podatkov v zvezi s trženjem)
(1) Z globo od 8.000 do 20.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 16.000 do 40.000 eurov,
če v nasprotju s 84. členom tega zakona zahteva, pridobi ali nadalje obdela
biometrične podatke osebe v zamenjavo za storitve.
(2) Z globo od 8.000 do 20.000 eurov se kaznuje za prekršek
iz prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
110. člen
(kršitev določb o evidentiranju vstopov in izstopov)
(1) Z globo od 1.000 do 3.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 2.000 do 6.000 eurov:
1.
če v zbirki o vstopih in izstopih iz službenih prostorov obdeluje osebne
podatke v nasprotju z drugim odstavkom 85. člena tega zakona;
2.
če osebne podatke iz zbirke o vstopih in izstopih iz službenih prostorov
hrani več kot dve leti od konca koledarskega leta po vnosu osebnih podatkov v
zbirko ali osebnih podatkov ne zbriše ali uniči po poteku zakonsko določenega
roka za hrambo, in drug zakon ne določa drugače (tretji odstavek 85. člena tega
zakona).
(2) Z globo od 1.000 do 2.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 400 do 1.000 eurov se za prekršek iz
prejšnjega odstavka kaznuje odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 1.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 200 do 400 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
111. člen
(kršitev določb o javnih knjigah)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 5.000 do 20.000 eurov,
če uporablja osebne podatke iz javnih knjig v nasprotju z njihovim zakonskim
namenom (86. člen tega zakona).
(2) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki samostojno
opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 100 do 1.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
112. člen
(kršitev določb o povezovanju uradnih evidenc in javnih
knjig)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 5.000 do 20.000 eurov:
1.
če v nasprotju s prvim odstavkom 87. člena tega zakona brez zakonske
podlage izvede povezovanje uradnih evidenc ali javnih knjig;
2.
če pred začetkom povezovanja zbirk kot upravljavec oziroma obdelovalec
osebnih podatkov ne izdela ocene učinka po 35. členu Splošne uredbe in se ne
posvetuje z nadzornim organom po 36. členu Splošne uredbe (drugi odstavek 87.
člena tega zakona).
(2) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 500 do 2.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 100 do 1.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
113. člen
(kršitev določb o strokovnem nadzoru)
(1) Z globo od 2.000 do 4.000 eurov se kaznuje za prekršek
pravna oseba, če se pravna oseba po zakonu, ki ureja gospodarske družbe, šteje
za srednjo ali veliko gospodarsko družbo, pa z globo od 4.000 do 8.000 eurov:
1.
če pri izvajanju strokovnega nadzora ne varuje tajnosti osebnih podatkov
(drugi odstavek 89. člena tega zakona);
2.
če pri izvajanju strokovnega nadzora posebnih vrst osebnih podatkov ali
podatkov iz kazenskih ali prekrškovnih evidenc ne naredi uradnega zaznamka ali
drugega uradnega zapisa v zadevi ali zbirki upravljavca osebnih podatkov (91.
člen tega zakona).
(2) Z globo od 1.000 do 4.000 eurov se kaznuje za prekršek iz
prejšnjega odstavka samostojni podjetnik posameznik ali posameznik, ki
samostojno opravlja dejavnost.
(3) Z globo od 800 do 1.500 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba pravne osebe, samostojnega
podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 800 do 1.500 eurov se kaznuje za prekršek iz
prvega odstavka tega člena odgovorna oseba v državnem organu ali v samoupravni
lokalni skupnosti.
(5) Z globo od 400 do 1.000 eurov se kaznuje za prekršek iz
prvega odstavka tega člena posameznik.
114. člen
(odmerjanje sankcij za prekrške)
Poleg splošnih pravil za odmero sankcije iz zakona, ki ureja
prekrške, se pri odločanju nadzornega organa o višini izrečene globe za
kršitve, predpisane v četrtem do šestem odstavku 83. člena Splošne uredbe, v
skladu z določbami prvega odstavka 83. člena Splošne uredbe in zakona, ki ureja
prekrške, ob obravnavanju konkretnih okoliščin posameznega primera tudi
upošteva, da globa ne sme biti nesorazmerno breme ali neprimerljivo breme za
upravljavce ali obdelovalce glede na druge primerljive kršitve človekovih pravic
in temeljnih svoboščin, ki se kaznujejo za prekrške, ali je obstajal namen
koristoljubnosti ali namen škodovanja posameznikom, na katere se nanašajo
osebni podatki, v primeru izvajanja popravljalnih ukrepov s strani upravljavca
ali obdelovalca njihovo učinkovitost ali samostojno ukrepanje še pred uvedbo
nadzora, glede fizičnih oseb pa se zlasti upošteva splošna raven dohodkov v
Republiki Sloveniji in njihov ekonomski položaj. Prav tako je treba upoštevati
pri tem odločanju za vse obdelovalce ali upravljavce, ali gre za ponavljajoče
ali množične kršitve varstva osebnih podatkov in pomen, ki bi ga za odvračanje
tovrstnih kršitev varstva osebnih podatkov imela višina globe.
115. člen
(izrek globe)
Za prekrške iz Splošne uredbe in iz tega zakona se sme v hitrem
postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe,
določene s Splošno uredbo ali tem zakonom.
IV. DEL
PREHODNE IN KONČNA DOLOČBA
116. člen
(rok za uskladitev posebnih obdelav)
Obdelave osebnih podatkov iz prvega odstavka 23. člena tega
zakona se uskladijo z določbami 23. člena tega zakona v roku treh let od
uveljavitve tega zakona.
117. člen
(pravilnik o zaračunavanju stroškov)
Minister, pristojen za pravosodje, v soglasju z ministrom,
pristojnim za zdravje, po predhodnem mnenju nadzornega organa sprejme pravilnik
o zaračunavanju stroškov iz petega odstavka 17. člena tega zakona v treh
mesecih od uveljavitve tega zakona.
118. člen
(določitev pooblaščenih oseb)
Pooblaščene osebe, ki so jih do uveljavitve tega zakona
določili predstojniki organov v sestavi ministrstev, nadaljujejo opravljanje
dela pooblaščene osebe po tem zakonu.
119. člen
(delovanje nadzornega organa)
(1) Prekrškovni postopki, ki so se začeli pri Informacijskem
pooblaščencu ali na sodiščih pred uveljavitvijo tega zakona, se končajo v
skladu z Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno
prečiščeno besedilo; v nadaljnjem besedilu: ZVOP-1), razen če je ta zakon za
storilca milejši. Postopki inšpekcijskega nadzora, začeti na podlagi ZVOP-1, se
nadaljujejo v skladu s tem zakonom.
(2) Seznami tretjih držav (Uradni list RS, št. 101/15, 11/17
in 16/17) na podlagi 66. člena ZVOP-1 se z uveljavitvijo tega zakona
razveljavijo.
(3) Z dnem uveljavitve tega zakona preneha delovati Register
zbirk osebnih podatkov (v nadaljnjem besedilu: Register) pri Informacijskem
pooblaščencu, Informacijski pooblaščenec njegovo vsebino arhivira in preda v
roku enega leta Arhivu Republike Slovenije, ki vsebino Registra hrani kot
trajno arhivsko gradivo.
120. člen
(vodenje dnevnikov)
Vodenje dnevnikov obdelav se uskladi z 22. členom tega zakona
v dveh letih od uveljavitve tega zakona.
121. člen
(potrjevanje)
(1) Slovenska akreditacija začne izvajati postopke
akreditacije 1. januarja 2024.
(2) Do začetka izvajanja postopkov akreditacije po tem zakonu
se šteje, da so dejanja obdelave upravljavcev in obdelovalcev, ki morajo po
določbah tega zakona za dejanja obdelave pridobiti certifikat, ta skladna z
merili iz mehanizma potrjevanja.
(3) Upravljavci vloge za potrjevanje in vloge po drugem
stavku prvega odstavka 83. člena tega zakona vložijo v roku šestih mesecev po
poteku roka iz prvega odstavka tega člena. Obdelave, za katere je bila v roku
iz prejšnjega stavka dana vloga za akreditacijo, se štejejo za skladne z merili
iz mehanizma potrjevanja do 31. decembra 2024.
122. člen
(videonadzor v prevoznih sredstvih)
Upravljavci in obdelovalci so dolžni obdelave osebnih
podatkov, ki se nanašajo na videonadzor v prevoznih sredstvih, namenjenih
javnemu potniškemu prometu, uskladiti z določbami 79. člena tega zakona v roku
šestih mesecev od uveljavitve tega zakona.
123. člen
(upoštevanje obvestil o določitvi pooblaščenih oseb)
Upravljavcem in obdelovalcem, ki so pred začetkom uveljavitve
tega zakona posredovali podatke nadzornemu organu o pooblaščenih osebah, ni
treba ponovno posredovati informacij, če podatki o pooblaščenih osebah niso
spremenjeni.
124. člen
(razveljavitev podzakonskih predpisov)
Z dnem uveljavitve tega zakona prenehajo veljati:
-
Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni
list RS, št. 28/05 in 30/11);
-
Pravilnik o pridobivanju potrebnih informacij za odločanje o iznosu
osebnih podatkov v tretje države (Uradni list RS, št. 79/05);
-
Pravilnik o zaračunavanju stroškov pri izvrševanju pravice posameznika
do seznanitve z lastnimi osebnimi podatki (Uradni list RS, št. 85/07 in 5/12).
125. člen
(uporaba določb o prekrških)
Do sprememb določb o višinah in razponih glob, ki jih določa
zakon, ki ureja prekrške, se globe za kršitve, ki so določene v 83. členu
Splošne uredbe, izrekajo v skladu s 83. členom Splošne uredbe.
126. člen
(prenehanje veljavnosti zakona)
Z dnem uveljavitve tega zakona preneha veljati Zakon o
varstvu osebnih podatkov (Uradni list RS, št. 86/04, 113/05 – ZInfP, 51/07 –
ZUstS-A in 94/07 – uradno prečiščeno besedilo).
127. člen
(končna določba)
Ta zakon začne veljati trideseti dan po objavi v Uradnem
listu Republike Slovenije.
Št. 040-05/22-20/38
Ljubljana, dne 15. decembra 2022
EPA 189-IX
Državni zbor Republike Slovenije
mag. Urška Klakočar Zupančič
predsednica
Veljaven predpis
Veljaven predpis, vendar se še ne uporablja
Objavljen predpis, ki še ne velja
Neveljaven predpis
Neveljaven predpis, ki se še uporablja
Predpis v pripravi
Konec postopka, predpis ni nikoli veljal
Konzumiran ali obsoleten predpis