Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena ustave Republike Slovenije izdajam
U K A Z
o razglasitvi zakona o spremembah in dopolnitvah zakona o varstvu osebnih podatkov (ZVOP-A)
Razglašam zakon o spremembah in dopolnitvah zakona o varstvu osebnih podatkov (ZVOP-A), ki ga je sprejel Državni zbor Republike Slovenije na seji 26. junija 2001.
Št. 001-22-70/01
Ljubljana, dne 4. julija 2001.
Predsednik
Republike Slovenije
Milan Kučan l. r.
Z A K O N
O SPREMEMBAH IN DOPOLNITVAH ZAKONA O VARSTVU OSEBNIH PODATKOV (ZVOP-A)
1. člen
V zakonu o varstvu osebnih podatkov (Uradni list RS, št. 59/99) se v 1. členu za besedo “posameznika” doda besedilo “oziroma posameznice (v nadaljnjem besedilu: posameznik)”.
2. člen
V 2. členu se za 4. točko doda nova 5. točka, ki se glasi:
“5. Skupni katalog osebnih podatkov – je katalog zbirk osebnih podatkov, ki ga vodi pristojni organ”.
Dosedanje 5. do 8. točka postanejo 6. do 9. točka.
3. člen
V 3. členu se za četrtim odstavkom dodata nova peti in šesti odstavek, ki se glasita:
“Zahteva stranke za uvedbo upravnega postopka, izdajo potrdila in druge listine ali izvedbo druge upravne naloge se šteje za pisno privolitev vlagatelja, da državni organ, organ lokalne skupnosti oziroma nosilec javnih pooblastil pridobi osebne podatke vlagatelja, ki so v skladu s predpisi potrebni za odločitev o upravni zadevi, izdajo potrdila in druge listine oziroma izvedbo upravne naloge, iz uradne evidence, ki jo vodi isti ali drug državni organ, organ lokalne skupnosti oziroma nosilec javnega pooblastila razen, če stranka tega pisno izrecno ne prepove ali če zakon ne določa drugače.
Ne glede na določbo drugega odstavka tega člena, lahko državni organ ali organ lokalne skupnosti, ki nudi organizacijsko ali tehnološko podporo elektronskemu poslovanju med državnimi organi, organi lokalnih skupnosti in nosilcih javnih pooblastil na eni in fizičnimi in pravnimi osebami na drugi strani, neposredno od teh oseb zbira in obdeluje osebne podatke, ki so po zakonu potrebni za ugotavljanje istovetnosti teh oseb pri medsebojnem elektronskem poslovanju v postopkih pred državnimi organi, organi lokalnih skupnosti in nosilci javnih pooblastil.”
Dosedanji peti odstavek postane sedmi odstavek.
4. člen
16. člen se spremeni tako, da se glasi:
“Upravljavec zbirke osebnih podatkov posreduje podatke iz 1., 2., 4. in 5. točke prejšnjega člena ministrstvu, pristojnemu za varstvo osebnih podatkov (v nadaljnjem besedilu: ministrstvo), najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov.
Upravljavec zbirke osebnih podatkov posreduje ministrstvu tudi spremembe podatkov iz prejšnjega člena, najkasneje v osmih dneh od dneva spremembe.
Ministrstvo objavi skupni katalog osebnih podatkov na način in v obdobjih, določenih z metodologijo njihovega vodenja.
Metodologijo predpiše minister, pristojen za varstvo osebnih podatkov, s pravilnikom o metodologiji vodenja skupnega kataloga osebnih podatkov.”
5. člen
V prvem odstavku 17. člena se besedi “katalog zbirk” nadomestita z besedama “skupni katalog”.
6. člen
Tretji odstavek 24. člena se spremeni tako, da se glasi:
“Ne glede na določbe prvega in drugega odstavka tega člena upravljavec zbirke osebnih podatkov lahko iznese osebne podatke iz države in jih posreduje tujim uporabnikom osebnih podatkov, če tako določa drug zakon, ali če v to pisno privoli posameznik in je seznanjen s posledicami.”
7. člen
V 9. poglavju “Inšpekcijsko nadzorstvo” se 26., 27. in 28. člen nadomestijo z novimi 26., 27. in 27.a do 27.e ter 28. in 28.a do 28.c členi, ki se glasijo:
“26. člen
Inšpekcijsko nadzorstvo nad izvajanjem določb tega zakona in drugih predpisov s področja varstva osebnih podatkov, opravlja inšpektorat za varstvo osebnih podatkov (v nadaljnjem besedilu: inšpektorat).
27. člen
Inšpektorat se ustanovi kot organ v sestavi ministrstva.
Inšpektorat vodi glavni inšpektor za varstvo osebnih podatkov (v nadaljnjem besedilu: glavni inšpektor), ki ga na predlog ministra, pristojnega za varstvo osebnih podatkov (v nadaljnjem besedilu: minister) imenuje in razrešuje vlada.
27.a člen
Inšpektorat zagotavlja enotno uresničevanje ukrepov na področju varstva osebnih podatkov in sodeluje z ministrstvi pri pripravi predpisov s področja osebnih podatkov.
27.b člen
Inšpektorat predloži ministrstvu in varuhu človekovih pravic do konca meseca marca tekočega koledarskega leta poročilo o svojem delu za preteklo koledarsko leto.
Ministrstvo predloži poročilo najkasneje do konca meseca aprila tekočega leta v obravnavo vladi.
27.c člen
Inšpektorat pri svojem delu sodeluje z drugimi inšpektorati, upravnimi organi in organizacijami, zavodi, združenji in drugimi organizacijami in organi glede vseh vprašanj, ki so pomembna za varstvo osebnih podatkov.
27.č člen
Inšpekcijsko nadzorstvo, v mejah pristojnosti inšpektorata, neposredno opravlja inšpektor za varstvo osebnih podatkov (v nadaljnjem besedilu: inšpektor).
Za inšpektorja se lahko imenuje oseba, ki ima univerzitetno strokovno izobrazbo, najmanj pet let delovnih izkušenj pri delu z osebnimi podatki in strokovni izpit za inšpektorja.
Vsebino in način opravljanja strokovnega izpita predpiše minister s pravilnikom o strokovnem izpitu inšpektorja za varstvo osebnih podatkov.
S pravilnikom iz prejšnjega odstavka minister določi tudi vsebino in način preverjanja rednega strokovnega izpopolnjevanja inšpektorja.
27.d člen
Pravna oseba, samostojni podjetnik posameznik ali druga fizična oseba mora inšpektorju omogočiti nemoteno opravljanje inšpekcijskega nadzorstva za potrebe varstva osebnih podatkov.
V okviru inšpekcijskega nadzorstva inšpektorat:
– nadzoruje zakonitost obdelave osebnih podatkov;
– nadzoruje izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih v notranjih aktih fizičnih in pravnih oseb iz 14. člena tega zakona ter njihovo ustreznost;
– nadzoruje izvajanje določb zakona, ki urejajo kataloge podatkov, skupni katalog osebnih podatkov in evidentiranje prenosa osebnih podatkov posameznim uporabnikom osebnih podatkov, ter
– nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov iz države in o njihovem posredovanju tujim uporabnikom osebnih podatkov.
27.e člen
Pri opravljanju inšpekcijskega nadzorstva je inšpektor upravičen:
– pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov ter njihov iznos iz države in posredovanje tujim uporabnikom osebnih podatkov;
– pregledovati vsebino zbirk osebnih podatkov, katalogov podatkov in skupnega kataloga osebnih podatkov;
– pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov;
– pregledovati prostore, v katerih se obdelujejo osebni podatki, računalniško in drugo opremo ter tehnično dokumentacijo;
– preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo izvajanje ter
– opravljati druge zadeve, določene z zakonom.
28. člen
Inšpektor, ki pri opravljanju inšpekcijskega nadzorstva ugotovi kršitev zakona ali drugega predpisa, ki ureja varstvo osebnih podatkov, ima pravico takoj:
1. odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odrediti prepoved obdelave osebnih podatkov fizičnim in pravnim osebam iz 14. člena tega zakona, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje osebnih podatkov ali če nezakonito obdelujejo osebne podatke;
3. odrediti prepoved iznosa osebnih podatkov iz države ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona.
Če inšpektor pri nadzoru ugotovi, da gre za sum storitve kaznivega dejanja ali prekrška poda kazensko ovadbo oziroma uvede postopek o prekršku.
28.a člen
Zoper odločbo inšpektorja iz prejšnjega člena je dovoljena pritožba, ki jo je treba vložiti v osmih dneh od dneva njene vročitve.
O pritožbi odloči minister v osmih dneh od vložitve.
Pritožba zoper odločbo po 2. in 3. točki prvega odstavka prejšnjega člena ne zadrži njene izvršitve.
28.b člen
V primeru, ko inšpektor pri ukrepanju ugotovi nezakonitosti v zvezi z varstvom osebnih podatkov, seznani o svoji ugotovitvi tudi prizadete, če gre za ugotovitve, ki imajo splošen pomen, pa tudi medije.
28.c člen
Osebne podatke, s katerimi se seznani pri izvajanju inšpekcijskega nadzorstva, je inšpektor dolžan varovati kot uradno tajnost, tudi po prenehanju opravljanja službe inšpektorja.
Ta dolžnost velja tudi za vse zaposlene delavce v inšpektoratu.”
8. člen
Za 29. členom se doda novo poglavje 10.a, ki se glasi:
“10.a Neodvisna institucija za varstvo osebnih podatkov
29.a člen
Neodvisni nadzor varstva osebnih podatkov opravlja varuh človekovih pravic (v nadaljnjem besedilu: varuh).
29.b člen
Če s tem zakonom ni drugače določeno, se za postopek neodvisnega nadzora varstva osebnih podatkov smiselno uporabljajo določbe zakona o varuhu človekovih pravic (Uradni list RS, št. 71/93).
29.c člen
Varuh nadzoruje spoštovanje predpisov o varstvu osebnih podatkov pri upravljavcih zbirk osebnih podatkov in pri uporabnikih osebnih podatkov. Pri opravljanju svoje naloge varuh:
– svetuje v vseh zadevah, ki se nanašajo na obdelavo osebnih podatkov in sodeluje v postopkih sprejemanja predpisov, ki urejajo varstvo osebnih podatkov;
– obravnava in preiskuje pobude in predloge glede varstva osebnih podatkov in njihovih kršitev;
– spremlja delo inšpektorata in predlaga ukrepe za izvajanje nadzorstva in za varstvo osebnih podatkov;
– na lastno pobudo pregleduje uresničevanje določb tega zakona ter
– opravlja druge naloge, določene z zakonom.
29.č člen
Varuh pri opravljanju svojih nalog lahko:
– zahteva od vsakega državnega organa, organa lokalne samouprave in nosilca javnih pooblastil vse podatke in informacije, ki se nanašajo na obdelavo in uporabo osebnih podatkov, ne glede na stopnjo zaupnosti;
– predlaga inšpektoratu, da opravi nadzor in sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo obdelave in uporabe osebnih podatkov, ki se obdelujejo ali uporabljajo v nasprotju z določbami zakona ali drugega predpisa;
– zahteva od inšpektorata, da poroča o ukrepih in odločitvah, ki jih je sprejel na podlagi zakona.
29.d člen
Inšpektorat je dolžan v postavljenem roku obvestiti varuha o uresničitvi njegovih predlogov in priporočil ter poročati na njegovo zahtevo.
Če inšpektorat predloga varuha ne upošteva, je dolžan pisno obrazložiti svojo odločitev.
29.e člen
Varuh enkrat letno pisno poroča Državnemu zboru o ugotovitvah, predlogih in priporočilih ter o stanju na področju varstva osebnih podatkov.
29.f člen
Varuh določi posebnega namestnika, ki je zadolžen za izvajanje nalog na podlagi tega zakona.
29.g člen
Varuh, namestnik in zaposleni v strokovni službi varuha so dolžni kot tajne varovati podatke, za katere so izvedeli pri svojem delu.
Določba prejšnjega odstavka velja tudi po preteku mandatne dobe oziroma po prenehanju zaposlitve.”
Prehodne in končne določbe
9. člen
Minister izda pravilnik o metodologiji vodenja skupnega kataloga osebnih podatkov iz 4. člena tega zakona in pravilnik o strokovnem izpitu za inšpektorja za varstvo osebnih podatkov iz 27.č člena zakona v treh mesecih po uveljavitvi tega zakona.
Varuh človekovih pravic uskladi notranjo organizacijo in sistemizacijo z določbami tega zakona v treh mesecih po njegovi uveljavitvi.
10. člen
Inšpektorji, ki na dan uveljavitve tega zakona opravljajo službo inšpektorja, nadaljujejo delo po tem zakonu, strokovni izpit pa so dolžni opraviti najkasneje v dveh letih od njegove uveljavitve.
Če izpita ne opravijo v roku določenem v prejšnjem odstavku, jih minister razreši s položaja inšpektorja.
11. člen
Ta zakon začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 210-01/89-3/21
Ljubljana, dne 26. junija 2001.
Predsednik
Državnega zbora
Republike Slovenije
Borut Pahor l. r.