Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
o razglasitvi Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD)
Razglašam Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 20. novembra 2020.
Št. 003-02-9/2020-8
Ljubljana, dne 28. novembra 2020
O VARSTVU OSEBNIH PODATKOV NA PODROČJU OBRAVNAVANJA KAZNIVIH DEJANJ (ZVOPOKD)
(1) Ta zakon ureja varstvo pri obdelavi osebnih podatkov, ki jih policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij (v nadaljnjem besedilu: pristojni organi), obdelujejo za namene izvrševanja teh pristojnosti.
(2) Ta zakon ureja tudi, kdaj sodišča, ki odločajo v kazenskih zadevah, uporabljajo določbe tega zakona o obdelavi in dostopu do osebnih podatkov v kazenskih zadevah.
(3) Ta zakon ureja tudi pogoje za zakonito in pošteno obdelavo osebnih podatkov, postopke in načine odkrivanja in preprečevanja nezakonitih posegov v pravice posameznice ali posameznika (v nadaljnjem besedilu: posameznik), na katerega se nanašajo osebni podatki, načine uveljavljanja njegovih pravic in prenos osebnih podatkov tretjim državam in mednarodnim organizacijam. Za učinkovito varstvo zakonitosti in poštenosti obdelave osebnih podatkov ureja tudi nadzorna pooblastila in nadzorne ukrepe nadzornega organa ter odgovornost za prekrške glede njihovih kršitev.
(4) S tem zakonom se v pravni red Republike Slovenije prenašata Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L št. 119 z dne 4. 5. 2016, str. 89), zadnjič popravljena s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 20), (v nadaljnjem besedilu: Direktiva 2016/680/EU) ter Direktiva (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj (UL L št. 119 z dne 4. 5. 2016, str. 132) v delu, ki se nanaša na položaj in naloge pooblaščenih oseb za varstvo osebnih podatkov.
(prepoved diskriminacije glede obdelave osebnih podatkov)
Obdelava osebnih podatkov je prepovedana, če se izvaja na način ali ima za posledico nedopustno diskriminacijo glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto prebivališča, zdravstveno stanje, genske predispozicije ali katero koli drugo osebno okoliščino posameznika.
Določbe tega zakona se uporabljajo za obdelave osebnih podatkov, ki se v celoti ali delno izvajajo z avtomatiziranimi sredstvi, in za obdelave osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvajajo z avtomatiziranimi sredstvi.
Izrazi, uporabljeni v tem zakonu, pomenijo:
1. »osebni podatek« je katera koli informacija v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji in spletni identifikator, ali z navedbo enega ali več dejavnikov, značilnih za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;
2. »obdelava« je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;
3. »omejitev obdelave« je označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;
4. »oblikovanje profilov« je vsaka oblika avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;
5. »psevdonimizacija« je obdelava osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;
6. »zbirka« je vsak strukturiran niz osebnih podatkov, dostopnih v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
7. »upravljavec« je pristojni organ, ki sam ali skupaj z drugimi določa sredstva obdelave osebnih podatkov v skladu z namenom, določenim v zakonu; upravljavec je lahko tudi drug državni organ, določen z zakonom ali obdelovalec v skladu z določbami tega zakona;
8. »obdelovalec« je fizična ali pravna oseba, državni organ, organ samoupravne lokalne skupnosti, javna agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;
9. »uporabnik« je fizična ali pravna oseba, državni organ, organ samoupravne lokalne skupnosti, javna agencija ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Državni organi, ki imajo za obdelavo osebnih podatkov zakonsko podlago in so jim osebni podatki posredovani za zakonit namen obdelave, niso uporabniki po določbah tega zakona;
10. »privolitev« posameznika, na katerega se nanašajo osebni podatki, je vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;
11. »kršitev varnosti osebnih podatkov« je kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
12. »posebne vrste osebnih podatkov« so osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, obdelavo genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem posameznikov in podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;
13. »genski podatki« so osebni podatki v zvezi s podedovanimi ali pridobljenimi genskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;
14. »biometrični podatki« so osebni podatki, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;
15. »podatki o zdravstvenem stanju« so osebni podatki, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;
16. »nadzorni organ« je Informacijski pooblaščenec, določen z zakonom, ki ureja Informacijskega pooblaščenca;
17. »nadzorne osebe« so informacijski pooblaščenec in nadzorniki za varstvo osebnih podatkov, kot jih določa zakon, ki ureja Informacijskega pooblaščenca, kadar izvajajo nadzor po določbah tega zakona;
18. »mednarodna organizacija« je organizacija in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljena z mednarodno pogodbo med dvema ali več državami ali na podlagi take mednarodne pogodbe;
19. »izbris« je trajna odstranitev ali uničenje osebnega podatka, tako da ga ni več mogoče obnoviti;
20. »anonimiziranje« je takšna sprememba osebnih podatkov, da jih ni več mogoče povezati s posameznikom ali je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa; tako anonimizirani podatki pa ne veljajo za osebne podatke po tem zakonu;
21. »blokiranje« je takšna označitev ali izločitev osebnih podatkov, da se omeji ali prepreči njihova nadaljnja obdelava, blokirani podatki pa veljajo za osebne podatke po tem zakonu;
22. »povezovalni znak« je osebna identifikacijska številka in druge z zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo katerih je mogoče zbrati oziroma priklicati osebne podatke iz zbirk osebnih podatkov, v katerih so enolične identifikacijske številke obdelovane, ter druge podobne znake v javnem sektorju, ki se redno ali sistematično uporabljajo za povezovanje zbirk med različnimi upravljavci ali dveh ali več zbirk, ki jih upravlja en upravljavec;
23. »kazenska zadeva sodišča« je izvajanje sodne oblasti, kar vključuje opravljanje preiskave in preiskovalnih dejanj, sojenje in obravnavanje pravnih sredstev v kazenski zadevi iz pristojnosti sodišč s splošno pristojnostjo, kot jo določa zakon, ki ureja sodišča, ter o kateri odloča sodišče v skladu z zakoni, ki urejajo sodne postopke;
24. »zakon« je ta zakon, drugi zakoni, obvezujoče mednarodne pogodbe, ki zavezujejo Republiko Slovenijo, ter pravni akti ali odločitve Evropske unije, katerih določbe so enakovredne zakonom in neposredno uporabljive ali neposredno učinkovite.
(načela varstva osebnih podatkov)
Osebni podatki:
1. se obdelujejo zakonito, pošteno in pregledno za posameznika, na katerega se nanašajo osebni podatki (zakonitost, poštenost in preglednost);
2. se zbirajo za določene, izrecne in zakonite namene ter jih ni dovoljeno nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena);
3. so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov);
4. so točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (točnost in posodobljenost);
5. se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za izpolnitev namena, za katerega se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe (omejitev roka hrambe);
6. se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost, zaupnost in razpoložljivost).
(1) Obdelava osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona je zakonita le, če je potrebna in v obsegu, v katerem je potrebna, za opravljanje nalog pristojnih organov, določenih z zakonom, ter če vrste osebnih podatkov, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen obdelave in rok hrambe ali rok za redni pregled potrebe po hrambi določa zakon.
(2) Pristojni organi lahko obdelujejo tudi osebne podatke posameznika, ki je podal privolitev za obdelavo svojih osebnih podatkov za enega ali več namenov iz prvega odstavka 1. člena tega zakona, če takšno možnost, namen obdelave in vrste osebnih podatkov, ki naj se obdelujejo, določa zakon.
(3) Pristojni organi lahko ne glede na namene iz prvega odstavka 1. člena tega zakona izjemoma in ob upoštevanju konkretnih okoliščin zadeve obdelujejo osebne podatke, nujno potrebne za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe. Po izvedeni obdelavi pristojni organ sestavi poročilo o razlogih za obdelavo in obsegu obdelanih osebnih podatkov. Poročilo se najpozneje v osmih dneh po izvedeni obdelavi posreduje posamezniku, na katerega se nanašajo osebni podatki, in je na razpolago nadzornemu organu.
(zakonitost obdelave posebnih vrst osebnih podatkov)
(1) Obdelava posebnih vrst osebnih podatkov je prepovedana.
(2) Ne glede na določbo prejšnjega odstavka je obdelava posebnih vrst osebnih podatkov zakonita, če je skladna z določbami prejšnjega člena, so v zakonu določeni pogoji in ukrepi, s katerimi je zagotovljeno ustrezno varstvo človekovih pravic ali temeljnih svoboščin posameznika, na katerega se nanašajo osebni podatki, in:
1. je nujno potrebna za opravljanje nalog pristojnih organov, določenih z zakonom, ali
2. jih je posameznik očitno naredil javno dostopne ali objavil, razen če gre za komunikacijo znotraj dejansko ožjega kroga oseb.
(obdelava osebnih podatkov za druge namene)
(1) Obdelava osebnih podatkov s strani istega ali drugega pristojnega organa za druge namene obdelave od tistih, za katere so bili podatki pridobljeni, je dovoljena, če ti nameni obdelave spadajo med namene iz prvega odstavka 1. člena tega zakona in tako določa zakon.
(2) Ne glede na prejšnji odstavek se osebni podatki, ki jih pristojni organi zbirajo za namene iz prvega odstavka 1. člena tega zakona, ne obdelujejo za druge namene, kot so nameni iz prvega odstavka 1. člena tega zakona, razen če to dovoljuje zakon. V tem primeru za obdelavo veljajo določbe Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 2), zakona, ki ureja varstvo osebnih podatkov, in drugih zakonov.
(razlikovanje med različnimi kategorijami posameznikov)
Pristojni organ pri obdelavi v največji možni meri in z uporabo razumnih ukrepov razlikuje med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so:
1. osumljenci;
2. obdolženci;
3. obtoženci;
4. obsojenci;
5. žrtve kaznivega dejanja ali osebe, pri katerih določena dejstva upravičujejo domnevo, da so ali bi lahko bile žrtve kaznivega dejanja;
6. druge osebe, povezane s kaznivim dejanjem, zlasti osebe, ki bi lahko nastopale kot priče, osebe, ki lahko podajo informacije o kaznivem dejanju, ali osebe, ki so ali so bile v stiku ali povezane z osebami iz 1. do 5. točke tega člena.
(razlikovanje med osebnimi podatki, ki temeljijo na dejstvih, in osebnimi podatki, ki temeljijo na osebnih ocenah)
Pristojni organ pri obdelavi v največji možni meri razlikuje med osebnimi podatki, ki temeljijo na dejstvih, in osebnimi podatki, ki temeljijo na osebnih ocenah. Pristojni organ izvaja redno notranje preverjanje skladnosti teh obdelav in to dokumentira. Pri tem osebne podatke, ki temeljijo na osebnih ocenah, v največji možni meri ustrezno označi in utemelji na način, ki omogoča naknadno preverjanje teh ocen.
(avtomatizirano odločanje in oblikovanje profilov)
(1) Odločanje, ki temelji izključno na avtomatizirani obdelavi osebnih podatkov, vključno z oblikovanjem profilov, ki ima lahko negativne posledice za pravni položaj ali pravice posameznika, na katerega se nanašajo osebni podatki, ali ga lahko bistveno prizadene, je prepovedano, razen če je to določeno z zakonom, ki določa pravico posameznika, da zahteva vsaj ponovni in ročni pregled odločitve s strani fizične osebe pri pristojnem organu in da do odločitve izrazi lastno stališče, ter določa tudi druge ukrepe za zagotavljanje ustreznega varstva človekovih pravic in temeljnih svoboščin, ki jih mora izvesti pristojni organ.
(2) Odločitve iz prejšnjega odstavka ne smejo temeljiti na obdelavah posebnih vrst osebnih podatkov, razen če zakon določa ustrezne ukrepe za varstvo človekovih pravic in temeljnih svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, kot je privolitev posameznika v tako obdelavo.
(3) Pred sprejetjem zakona, ki določa avtomatizirano odločanje, mora pristojni predlagatelj zakona izvesti oceno učinka iz 49. člena tega zakona.
(4) Oblikovanje profilov v okviru avtomatizirane ali drugačne obdelave posebnih vrst osebnih podatkov, ki ima za posledico diskriminacijo posameznikov, na katere se nanašajo osebni podatki, je prepovedano.
(1) Posameznik, ki meni, da določeno dejanje obdelave njegovih osebnih podatkov s strani pristojnega organa ali obdelovalca krši določbe tega zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona, lahko zahteva sodno varstvo svojih pravic ves čas, dokler kršitev traja, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali drugih pravnih sredstev.
(2) Posameznik lahko s sodnim varstvom po določbah tega člena zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi povrnitev škode.
(3) Če je kršitev iz prvega odstavka tega člena prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala.
(4) V postopku po prvem, drugem in tretjem odstavku tega člena odloča upravno sodišče po postopku, ki ga zakon, ki ureja upravni spor, določa za tožbo zaradi kršitve človekovih pravic in temeljnih svoboščin, posameznik pa lahko v tožbo vključi tudi odškodninski zahtevek.
(5) V postopku pred upravnim sodiščem je javnost izključena, če sodišče na predlog posameznika, na katerega se nanašajo osebni podatki, iz utemeljenih razlogov ne odloči drugače.
(6) Sodišče v postopku odloči najpozneje v šestih mesecih.
(zastopanje s strani nevladnih organizacij)
Posameznik, na katerega se nanašajo osebni podatki, lahko pisno pooblasti nevladno organizacijo s področja varstva človekovih pravic in temeljnih svoboščin, ki ima status nevladne organizacije v javnem interesu, da v njegovem imenu glede obdelav njegovih osebnih podatkov uveljavlja sodno varstvo ali vloži pritožbo ali prijavo po določbah tega zakona.
(omejitev seznanitve z osebnimi podatki)
(1) Posameznik, na katerega se nanašajo osebni podatki, do dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu nima pravice do seznanitve z osebnimi podatki, če:
1. bi to lahko glede na okoliščine konkretne zadeve škodovalo izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb ter je omejitev vpogleda v osebne podatke nujna in sorazmerna ali
2. mu je ta pravica omejena na podlagi 20. člena tega zakona.
(2) Če je posamezniku, na katerega se nanašajo osebni podatki, z zakonom prepovedan ali omejen dostop do ali seznanitev z osebnimi podatki, se mu tudi ne dovoli pregled in prepis dokumentov zadeve oziroma dela spisa pristojnega ali nadzornega organa, ki vsebuje te podatke.
(3) Po dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu lahko posameznik pregleda dokumente zadeve oziroma spisa v obsegu, dovoljenem z odločitvijo pristojnega ali nadzornega organa.
(4) Proti sklepu, s katerim se omeji seznanitev z osebnimi podatki, ni posebne pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni stvari.
(preverjanje identitete posameznika)
(1) Če pristojni organ, drug upravljavec, obdelovalec ali nadzorni organ upravičeno dvomi o identiteti posameznika, ki je vložil zahtevo iz drugega odstavka 18. člena tega zakona, pritožbo iz 27. člena tega zakona ali prijavo iz 33. člena tega zakona, lahko od njega zahteva dodatne informacije, potrebne za potrditev njegove identitete, ali pa zahteva vpogled v njegov uradni identifikacijski dokument iz 60. člena tega zakona, postopek identifikacije pa lahko opravi tudi z uporabo sredstev elektronske identifikacije ali z uporabo drugih sredstev informacijske tehnologije.
(2) Če tako določa drug zakon, se lahko preverjanje točnosti izvede tudi ob zajemu posameznikovih osebnih podatkov, njihovi spremembi ali dopolnitvi. Osebni podatki, ki se pridobijo pri tem, se lahko obdelujejo le za ta namen in se jih sme za namen izkazovanja skladnosti obdelave s tem zakonom hraniti dve leti od zaključka obdelave.
(zavarovanje osebnih podatkov, ki so predmet postopka)
(1) Pristojni organ, drug upravljavec ali obdelovalec od seznanitve z uvedbo postopka po tem zakonu ne sme izbrisati ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih zahtevanih podatkov, ne glede na potek rokov hrambe, dokler o zadevi ni pravnomočno odločeno.
(2) Ob upoštevanju okoliščin konkretnega postopka lahko nadzorni organ zaradi učinkovitega izvajanja nalog ali pooblastil pristojnega organa odredi izdelavo kopije osebnih podatkov ali kopije postopkov obdelave ali na drug način, ki ne otežuje dela pristojnega organa, zavaruje osebne podatke, ki so predmet postopka.
(1) Izvršba izvršljive odločbe nadzornega organa se opravlja po postopku, ki ga določa zakon, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.
(2) Za izvršbo je pristojen nadzorni organ.
(3) Izvršba se opravi na zahtevo posameznika, na katerega se nanašajo osebni podatki, na podlagi izvršljive odločbe in sklepa o dovolitvi izvršbe, in sicer s prisilitvijo zoper pristojni organ ali drugega upravljavca. Denarna kazen bremeni odgovorno osebo pristojnega organa ali drugega upravljavca, ki ni izvršila odločbe nadzornega organa.
PRAVICE POSAMEZNIKA IN POSTOPEK PRED PRISTOJNIM ORGANOM
(uveljavljanje pravic pred pristojnim organom ali drugim upravljavcem)
(1) Posameznik ima pravice do pridobitve informacij iz 23. člena, dostopa do podatkov iz 24. člena ter do popravka, izbrisa in omejitve obdelave iz 26. člena tega zakona.
(2) Posameznik, na katerega se nanašajo osebni podatki, lahko uveljavlja svoje pravice iz tega zakona z zahtevo pred pristojnim organom, v primeru iz petega odstavka 44. člena tega zakona pa pred obdelovalcem.
(uporaba določb zakona, ki ureja splošni upravni postopek)
Za vprašanja postopka uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, po tem poglavju in za odločanje o teh pravicah se uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.
(omejitve in uresničevanje pravic na podlagi drugih zakonov)
(1) Če je v skladu z drugim zakonom omejena pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do podatkov iz 24. člena tega zakona ali do popravka, izbrisa in omejitve obdelave iz 26. člena tega zakona, jih lahko uveljavlja le v obsegu, ki ga dovoljuje drugi zakon.
(2) Če drug zakon določa uresničevanje pravic iz 7., 8. in 9. točke prvega odstavka 23. člena ter 24. in 26. člena tega zakona v kazenski zadevi sodišča, posameznik, na katerega se nanašajo osebni podatki, uresničuje te pravice le v obsegu in na način, kot je določeno z drugim zakonom.
(komunikacija s posameznikom, na katerega se nanašajo osebni podatki)
(1) Pristojni organ posamezniku, na katerega se nanašajo osebni podatki, vse informacije o obdelavi (23. člen tega zakona) ter vsa sporočila v zvezi z uveljavljanjem njegovih pravic (24. do 26. člen tega zakona) zagotovi v jedrnati, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Pristojni organ lahko te informacije oziroma sporočila posamezniku posreduje na vse ustrezne načine, vključno z elektronsko obliko, pri čemer jih praviloma posreduje v obliki, v kateri je bila zahteva vložena.
(2) Pristojni organ posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic zlasti tako, da pripravi obrazce za uveljavljanje pravic.
(3) Pristojni organ posamezniku, na katerega se nanašajo osebni podatki, brezplačno zagotovi:
1. informacije in sporočila iz prvega odstavka tega člena;
2. izvedbo ustreznih ukrepov iz prvega odstavka 11. člena tega zakona;
3. uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, po določbah tega zakona;
4. sporočila o kršitvah iz 53. člena tega zakona.
(ravnanje z očitno neutemeljeno ali pretirano zahtevo)
Pristojni organ zahtevo posameznika, na katerega se nanašajo osebni podatki, nemudoma zavrne, če izkaže, da:
1. je glede na njeno vsebino očitno neutemeljena ali
2. so zahteva ali zahteve posameznika pretirane, zlasti zato, ker posameznik nerazumno in ponavljajoče vlaga enake zahteve.
(1) Pristojni organ da na razpolago naslednje informacije:
1. naziv in kontaktne podatke pristojnega organa;
2. kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov iz 55. člena tega zakona;
3. o namenih obdelave osebnih podatkov;
4. o pravici do prijave pri nadzornem organu in njegove kontaktne podatke;
5. o pravici, da od pristojnega organa zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov, ter pravici do vložitve pritožbe pri nadzornem organu;
6. pravno podlago obdelave;
7. rok hrambe ali rok za redni pregled potrebe po hrambi;
8. če so informacije o tem na razpolago, kategorije uporabnikov osebnih podatkov, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
9. če je to potrebno zaradi uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki, dodatne informacije, zlasti če so bili osebni podatki pridobljeni brez vednosti posameznikov, na katere se nanašajo.
(2) Informacije iz prejšnjega odstavka ne vključujejo podatkov o konkretnih obdelavah osebnih podatkov posameznika.
(3) Pristojni organ informacije iz 1. do 6. točke prvega odstavka tega člena javno objavi.
(pravica do dostopa do osebnih podatkov)
(1) Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati podatek o tem, ali se obdelujejo njegovi osebni podatki, in kopijo ali izpis teh podatkov.
(2) Če se obdelujejo njegovi osebni podatki, ima posameznik pravico pridobiti konkretne informacije o:
1. namenih obdelave in njihovi pravni podlagi;
2. vrstah osebnih podatkov, ki se obdelujejo;
3. uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev iz prvega odstavka 25. člena tega zakona pa se lahko navede le okvirni opis uporabnikov;
4. roku hrambe ali roku za redni pregled potrebe po hrambi;
5. obstoju pravice zahtevati popravek ali izbris podatkov ali omejitev obdelave in pravici do vložitve pritožbe pri nadzornem organu;
6. obstoju pravice do vložitve prijave pri nadzornem organu in njegovih kontaktnih podatkih;
7. vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona.
(3) Pristojni organ posamezniku iz razloga po 1. ali 2. točki prvega odstavka 25. člena tega zakona ne zagotovi informacij iz prejšnjega odstavka, kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije.
(4) Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu.
(omejitve pravice do dostopa do osebnih podatkov)
(1) Pravica posameznika do dostopa do lastnih osebnih podatkov se lahko ob upoštevanju njegovih človekovih pravic in temeljnih svoboščin ter zakonitih interesov z zakonom delno ali popolnoma omeji glede posameznih obdelav ali posameznih kategorij obdelav, če in dokler je to nujno in sorazmerno:
1. da se onemogoči oviranje ali vplivanje na uradne postopke, katerih nameni so določeni v prvem odstavku 1. člena tega zakona;
2. da se onemogoči oviranje ali vplivanje na druge uradne postopke, povezane s prejšnjo točko;
3. zaradi zagotavljanja javne varnosti;
4. zaradi zagotavljanja varnosti države ali obrambe države;
5. zaradi varstva ali uresničevanja človekovih pravic in temeljnih svoboščin tretjih oseb.
(2) Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, odloči o zavrnitvi ali omejitvi dostopa in razlogih za to. Ta rok lahko organ po potrebi s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve oziroma števila zahtev. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu.
(3) Pristojni organ v odločbi iz prejšnjega odstavka ne navede dejanskega stanja in pravnih razlogov (v nadaljnjem besedilu: konkretni razlogi) za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka tega člena. Odločba ne sme obsegati navedb, s katerimi bi se potrdila ali zanikala obdelava osebnih podatkov ali morebitne omejitve dostopa do njih.
(4) Kadar gre za vprašanje, ali se v zvezi s posameznikom izvajajo ali ne izvajajo prikriti preiskovalni ukrepi iz zakona, ki ureja kazenski postopek, ali ukrepi prikrite in namenske kontrole iz zakona, ki ureja naloge in pooblastila policije, odločba pristojnega organa ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka tega člena. Odločba ne sme obsegati navedb, s katerimi bi se potrdila ali zanikala obdelava osebnih podatkov ali morebitne omejitve dostopa do njih.
(5) Konkretne razloge iz prvega stavka tretjega odstavka tega člena in prvega stavka prejšnjega odstavka pristojni organ navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča posamezniku in je dostopna pooblaščeni osebi za varstvo osebnih podatkov pristojnega organa in nadzornemu organu na podlagi zahteve zaradi opravljanja nalog v konkretni zadevi.
(pravica do popravka ali izbrisa osebnih podatkov in do omejitve obdelave)
(1) Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati popravek oziroma dopolnitev svojih netočnih oziroma nepopolnih osebnih podatkov. Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, popravi netočne osebne podatke ali dopolni nepopolne osebne podatke in o tem obvesti posameznika. Rok se lahko s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve in števila zahtev. Če netočnih ali nepopolnih osebnih podatkov ni mogoče ali ni dopustno dopolniti ali popraviti, jim lahko pristojni organ priloži dopolnilno izjavo posameznika, na katerega se nanašajo osebni podatki. Če so osebni podatki posameznika, ki zahteva njihov popravek ali dopolnitev, točni in popolni, ali če pristojni organ ne more ravnati po določbi prejšnjega stavka, z odločbo zahtevo zavrne.
(2) Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati, da izbriše njegove osebne podatke, če obdelava krši določbe 5., 6. ali 7. člena tega zakona ali če je treba osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za pristojni organ. Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, izbriše te podatke in o tem obvesti posameznika. Rok se lahko s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve in števila zahtev.
(3) Pristojni organ v primerih kršitev določb 5., 6. ali 7. člena tega zakona ali izpolnitve pravne obveznosti iz prejšnjega odstavka z odločbo zavrne zahtevo za izbris in omeji obdelavo, če:
1. posameznik, na katerega se osebni podatki nanašajo, izpodbija točnost ali posodobljenost osebnih podatkov in točnosti ali posodobljenosti ni mogoče preveriti ali
2. je treba osebne podatke še nadalje hraniti za namene dokazovanja.
(4) Pristojni organ v odločbi iz prejšnjega odstavka pod pogoji iz prvega ali tretjega odstavka prejšnjega člena ne navede razlogov za zavrnitev in ravna v skladu s petim odstavkom prejšnjega člena. Kadar pristojni organ omejitev iz 1. točke prejšnjega odstavka pozneje prekliče, o tem nemudoma obvesti posameznika, na katerega se nanašajo osebni podatki.
(5) Pristojni organ sporoči popravek netočnih ali dopolnitev nepopolnih osebnih podatkov upravljavcu, od katerega je prejel te osebne podatke.
(6) V primerih popravka, dopolnitve, izbrisa ali omejitve dostopa do osebnih podatkov ali omejitve obdelave pristojni organ obvesti vse uporabnike osebnih podatkov. Uporabniki osebne podatke, ki jih v okviru svojih pristojnosti obdelujejo, nemudoma popravijo, izbrišejo, ustrezno označijo ali omejijo njihovo obdelavo.
(7) Pristojni organ v odločitev po tem členu, s katero ne ugodi zahtevku v celoti, vključi tudi pouk o pravici do pritožbe pri nadzornem organu.
(1) O pritožbi posameznika, na katerega se nanašajo osebni podatki, zoper odločitev pristojnega organa odloča nadzorni organ kot organ druge stopnje.
(2) Zoper odločbo nadzornega organa ni pritožbe, je pa dopusten upravni spor.
(3) Tožbo v upravnem sporu lahko vložijo posameznik, na katerega se nanašajo osebni podatki, in pristojni organ, drug upravljavec ali obdelovalec.
POSTOPEK PRED NADZORNIM ORGANOM IN PRIJAVITELJ S POSEBNIM POLOŽAJEM
1. oddelek – skupne določbe glede postopka pred nadzornim organom
(uporaba določb zakona, ki ureja splošni upravni postopek)
V postopkih pred nadzornim organom po tem poglavju se uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.
(izvajanje postopkovnih dejanj brez prisotnosti)
(1) V postopku po tem poglavju lahko nadzorni organ opravlja razgovore z osebami pri pristojnem organu in s pričami brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, v celoti ali deloma, če bi takšna prisotnost škodovala izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb, o čemer odloči s sklepom in obvesti tega posameznika. V tem primeru nadzorni organ tudi ne dovoli prisotnosti pri drugih dejanjih v postopku in posamezniku ne vroča zapisnikov o teh dejanjih.
(2) Nadzorni organ v primerih iz tretjega odstavka 24. člena in četrtega odstavka 25. člena tega zakona opravlja razgovore z osebami pri pristojnem organu brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, ter ne dovoli njegove prisotnosti pri drugih dejanjih v postopku in mu ne vroča zapisnikov o teh dejanjih.
(3) Proti sklepu iz prvega in drugega odstavka tega člena, s katerim se omeji prisotnost posameznika, na katerega se nanašajo osebni podatki, pri postopkovnih dejanjih po tem členu, ni posebne pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni stvari.
(izključitev stranske udeležbe)
V postopku po tem poglavju ni dopustna stranska udeležba, kot jo določa zakon, ki ureja splošni upravni postopek.
(1) Nadzorna pooblastila nadzornega organa so:
1. pregled dokumentacije pristojnega organa ali obdelovalca, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter prenos osebnih podatkov v tretjo državo in posredovanje osebnih podatkov tujim uporabnikom;
2. pregled poslovnih knjig, pogodb, listin, poslovne korespondence, poslovnih evidenc in drugih podatkov, ki se nanašajo na obdelavo osebnih podatkov s strani pristojnega organa ali obdelovalca ali druge pravne ali fizične osebe po njunem pooblastilu oziroma na prenos osebnih podatkov v tretjo državo ali posredovanje uporabnikom osebnih podatkov iz tretjih držav s strani pristojnega organa ali obdelovalca oziroma druge pravne ali fizične osebe po njunem pooblastilu (v nadaljnjem besedilu: poslovne knjige in druga dokumentacija), ne glede na njihovo tajnost ali drugo vrsto zaupnosti ter ne glede na vrsto nosilca, na katerem so zapisani ali shranjeni;
3. vstop in pregled prostora, zemljišča, prevoznih sredstev (v nadaljnjem besedilu: prostori) ter opreme in sredstev za obdelavo osebnih podatkov (v nadaljnjem besedilu: oprema), v oziroma s katerimi pristojni organ, upravljavec ali obdelovalec (v nadaljnjem besedilu: nadzorovani organ) sam ali drug poslovni subjekt ali posameznik po njihovem pooblastilu opravlja obdelavo osebnih podatkov, za katero izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena tega zakona;
4. zavarovanje in pregled elektronskih in z njimi povezanih naprav ter nosilcev elektronskih podatkov, vključno s preko omrežja dosegljivimi informacijskimi sistemi, na katerih so shranjeni podatki (v nadaljnjem besedilu: elektronska naprava), za katere je verjetno, da so na njih podatki, glede katerih izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena tega zakona;
5. odvzem ali pridobitev ustrezne kopije na stroške pristojnega organa ali obdelovalca, forenzične kopije ali izvlečka iz poslovnih knjig in druge dokumentacije v kakršni koli obliki z uporabo fotokopirnih sredstev ali računalniške opreme pristojnega organa ali obdelovalca oziroma nadzornega organa. Če zaradi tehničnih ali časovnih razlogov ni mogoče narediti kopij na kraju samem, se lahko poslovne knjige in druga dokumentacija odnesejo za čas, potreben, da se naredijo kopije, o čemer se naredi uradni zaznamek, če so osebni podatki označeni s stopnjo tajnosti, pa se naredijo le ustrezne kopije;
6. zapečatenje ustreznega dela prostorov in opreme, poslovnih knjig in druge dokumentacije ter elektronskih naprav za največ pet delovnih dni, v najmanjšem možnem obsegu, potrebnem za izvedbo nadzora, o čemer se naredi uradni zaznamek;
7. zaseg predmetov ter poslovnih knjig in druge dokumentacije za največ deset delovnih dni, če je to potrebno za izvedbo postopka, o čemer se izda potrdilo o zasegu, ki vsebuje navedbo zaseženih predmetov in njihov opis, navedbo kraja, kjer so bili najdeni, ter navedbo razloga za zaseg.
(2) Nadzorna oseba nadzornega organa lahko odredi začasno zapečatenje oziroma blokiranje ustrezne opreme ali elektronske naprave le, če je to nujno, da se ohranijo možni dokazi, in če zapečatenje ali blokiranje opreme ali elektronske naprave ne onemogoča izvajanja drugih zakonskih nalog ali pristojnosti nadzorovanega organa, vendar le za čas, dokler ni izdana sodna odredba iz prvega stavka tretjega odstavka tega člena oziroma do poteka roka za njeno izdajo iz drugega stavka tretjega odstavka tega člena.
(3) Nadzorna oseba izvaja nadzorna pooblastila iz 3. in 4. točke prvega odstavka tega člena pri pregledu opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, le z njegovim soglasjem ali na podlagi predhodne pisne odredbe sodišča. O predlogu nadzorne osebe za izdajo odredbe iz prejšnjega stavka preiskovalna sodnica ali preiskovalni sodnik (v nadaljnjem besedilu: preiskovalni sodnik) pri Okrožnem sodišču v Ljubljani odloči najpozneje v 48 urah od prejema predloga. Nadzorna oseba predlogu za izdajo odredbe priloži stališče nadzorovanega organa, do katerega se lahko tudi opredeli. Stališče nadzorovani organ poda najpozneje v 48 urah po pozivu nadzornega organa.
(4) Preiskovalni sodnik z odredbo odloči, da se pregled izvede, če obstajajo utemeljeni razlogi za sum, da je nadzorovani organ kršil ali krši določbe zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena tega zakona, in je verjetno, da se bodo pri pregledu opreme oziroma elektronskih naprav iz prejšnjega odstavka našli dokazi, pomembni za odločanje v postopku nadzora ali povezanem prekrškovnem postopku. Odredba vsebuje:
1. opredelitev opreme oziroma elektronskih naprav, ki jih je treba zavarovati in pregledati;
2. opredelitev razlogov za pregled;
3. opredelitev dokazov oziroma vsebine podatkov, ki se iščejo;
4. navedbo razlogov, ki utemeljujejo uporabo nadzornega pooblastila in način njegove izvršitve.
(5) Pregled prostora ali elektronske naprave se opravi na način, s katerim se v najmanjši možni meri posega v pravice oseb, zoper katere ni uveden nadzor, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda, kadar je izdana odredba preiskovalnega sodnika glede opreme ali elektronske naprave, pa tudi v skladu z njo. Za zavarovanje podatkov na elektronskih napravah se smiselno uporabljajo določbe zakona, ki ureja kazenski postopek glede zavarovanja podatkov v elektronski obliki. Predstavnika nadzorovanega organa imata pravico biti navzoča pri zavarovanju in pregledu elektronske naprave ter pri pregledu prostora. Če določeno elektronsko napravo uporablja oseba, ki upravičeno pričakuje zasebnost na njej, ima pravico biti navzoča ob zavarovanju ali pregledu elektronske naprave sama ali po pooblaščencu. Če prostor uporablja druga oseba, ki upravičeno pričakuje zasebnost na njem, ima pravico biti navzoča ob zavarovanju ali pregledu sama ali po pooblaščencu, nadzorni organ pa pri pregledu zagotovi tudi prisotnost dveh polnoletnih prič.
(6) O opravljenem nadzoru se sestavi zapisnik, ki se lahko ne glede na določbe zakona, ki ureja splošni upravni postopek, kadar gre za nujne in neodložljive ukrepe, sestavi takoj, v drugih primerih pa najpozneje v treh dneh od dneva opravljenega nadzora ter se vroči nadzorovanemu organu ali njegovemu predstavniku. Nadzorovani organ lahko na zapisnik poda pripombe v roku, ki ga določi nadzorni organ in ne sme biti krajši od dveh delovnih dni po vročitvi zapisnika, o čemer se ga v zapisniku izrecno pouči. Določbe prejšnjega stavka ne veljajo za zapisnike, ki vsebujejo vsebine glede nujnih in neodložljivih ukrepov, nadzorovani organ pa lahko na tak zapisnik takoj ustno poda pripombe.
(7) Zoper odredbo preiskovalnega sodnika ni dovoljena pritožba, sme pa se izpodbijati v upravnem sporu zoper končno odločitev nadzornega organa.
(8) Pooblastila iz prvega do sedmega odstavka tega člena se izvajajo v skladu s predpisi, ki urejajo tajne podatke in poslovno skrivnost.
(1) Kadar se pri opravljanju nadzora ugotovi kršitev določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena tega zakona v delih, ki urejajo varstvo osebnih podatkov, nadzorni organ:
1. odredi, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odredi omejitve obdelave, kot so anonimiziranje, blokiranje ali arhiviranje;
3. odredi prepoved prenosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona;
4. odredi brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki pomenijo prepoved obdelave osebnih podatkov;
5. odredi druge ukrepe skladno s tem zakonom;
6. izvaja preventivne ukrepe in izreka opozorila v skladu z zakonom, ki ureja inšpekcijski nadzor.
(2) S pooblastili in ukrepi iz prejšnjega člena in prejšnjega odstavka se ne sme posegati v kazenske zadeve sodišč in zadeve Ustavnega sodišča Republike Slovenije, kadar obravnava kazenske zadeve sodišča.
2. oddelek – položaj prijavitelja s posebnim položajem in nadzorovanega organa
(prijava in prijavitelj s posebnim položajem)
Posameznik, ki meni, da obdelava njegovih osebnih podatkov s strani nadzorovanega organa krši določbe tega zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona, ali krši določbe s temi zakoni povezanih podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil (v nadaljnjem besedilu: prijavitelj s posebnim položajem), lahko pri nadzornem organu vloži zahtevo v upravnem postopku, s katero zahteva nadzor zakonitosti obdelave svojih osebnih podatkov (v nadaljnjem besedilu: prijava), lahko pa v njej predlaga tudi potrebno ukrepanje v primeru ugotovljenih kršitev.
(posebna pravila postopka)
(1) V primeru prijave prijavitelja s posebnim položajem nadzorni organ uvede postopek nadzora, če prijava vsebuje sestavine, kot jih za vlogo določa zakon, ki ureja splošni upravni postopek, ter navedbo pristojnega organa in navedbo kršitev pri obdelavi ali varnosti njegovih osebnih podatkov, iz katerih izhaja kršitev predpisov iz prejšnjega člena.
(2) Nadzorni organ o prijavi odloči z odločbo najpozneje v roku treh mesecev po prejemu prijave. Rok lahko nadzorni organ zaradi zahtevnosti obravnavanja zadeve s sklepom podaljša za največ en mesec.
(pravice prijavitelja s posebnim položajem)
(1) Nadzorni organ prijavitelja s posebnim položajem na njegovo zahtevo obvešča o opravljenih dejanjih in stanju zadeve.
(2) Nadzorni organ pred izdajo odločbe prijavitelju vroči zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od 48 ur, pisno ali ustno o njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Zapis ugotovitev ne vsebuje razlogov in navedb iz drugega odstavka 37. člena tega zakona. Če se prijavitelj v določenem roku ne izjavi, to ni ovira za izdajo odločbe.
(položaj nadzorovanega organa)
(1) Pri izvajanju nadzora po določbah tega oddelka ima nadzorovani organ položaj stranke.
(2) Nadzorni organ pred izdajo odločbe nadzorovanemu organu vroči zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od 48 ur, pisno ali ustno o njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Če se nadzorovani organ v določenem roku ne izjavi, to ni ovira za izdajo odločbe.
(1) Odločba v postopku nadzora po določbah tega oddelka poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje:
1. ugotovitev o obstoju ali neobstoju zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem v trenutku vložitve prijave;
2. ukrepe, odrejene nadzorovanemu organu glede obdelave osebnih podatkov, ki se nanašajo na prijavitelja s posebnim položajem, in rok za njihovo izvedbo;
3. dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem.
(2) Ne glede na prejšnji odstavek odločba v skladu s tretjim odstavkom 25. člena tega zakona ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka 25. člena tega zakona. Odločba v skladu s četrtim odstavkom 25. člena tega zakona tudi ne obsega navedb, s katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje prikritih preiskovalnih ukrepov iz zakona, ki ureja kazenski postopek, ali prikritih in namenskih kontrol iz zakona, ki ureja naloge in pooblastila policije.
(3) Konkretne razloge iz prvega stavka prejšnjega odstavka nadzorni organ navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča prijavitelju s posebnim položajem.
(ukrepanje glede obdelav osebnih podatkov drugih posameznikov)
Kadar nadzorni organ v postopku nadzora zazna sum kršitve varstva pravic glede osebnih podatkov po določbah tega oddelka, ki bi lahko vplivale na pravico drugih posameznikov, na katere se nanašajo osebni podatki, uvede tudi postopek nadzora po določbah naslednjega poglavja.
INŠPEKCIJSKI NADZOR GLEDE VARSTVA OSEBNIH PODATKOV
(uporaba zakona, ki ureja inšpekcijski nadzor)
V postopku inšpekcijskega nadzora po tem poglavju se uporabljajo določbe 14. člena, 29. do 32. člena ter drugega in tretjega odstavka 37. člena tega zakona. Za vprašanja inšpekcijskega nadzora, ki niso urejena z določbami 14. člena in 29. do 32. člena tega zakona, se uporabljajo določbe zakona, ki ureja inšpekcijski nadzor.
(uvedba inšpekcijskega nadzora)
(1) Nadzorni organ uvede inšpekcijski nadzor v skladu z določbami zakona, ki ureja inšpekcijski nadzor.
(2) Nadzorni organ uvede inšpekcijski nadzor tudi na pobudo, ki jo prejme od drugega državnega organa, nadzornih javnih agencij Republike Slovenije ali nadzornega organa za varstvo osebnih podatkov države članice Evropske unije in Sveta Evrope.
OBVEZNOSTI PRISTOJNIH ORGANOV, OBDELOVALCEV IN SKUPNIH UPRAVLJAVCEV
1. oddelek – splošne obveznosti
(odgovornost pristojnega organa za skladnost obdelave)
(1) Pristojni organ izvede in dokumentira ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi skladnost obdelave z zakonom.
(2) Pristojni organ pri izbiri ukrepov iz prejšnjega odstavka upošteva naravo, obseg, okoliščine in namene obdelave ter tveganja za človekove pravice in temeljne svoboščine, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi vključujejo tudi izvajanje ustreznih politik za varstvo osebnih podatkov.
(3) Pristojni organ ukrepe iz prvega odstavka tega člena pregleda in dopolni, kadar se spremenijo okoliščine obdelave.
(4) Pristojni organ izbriše osebne podatke po uradni dolžnosti, ko poteče rok hrambe, določen z zakonom, ali v drugih primerih, ki jih določa zakon.
(5) Pristojni organ omogoči nadzornemu organu nemoteno opravljanje njegovih nalog in na zahtevo nadzornega organa z njim sodeluje pri izvajanju pristojnosti nadzornega organa, določenih s tem zakonom.
(6) Pristojni organ mora biti zmožen izkazati skladnost obdelave z zakonom.
(vgrajeno in privzeto varstvo osebnih podatkov)
(1) Pristojni organ izvede ustrezne tehnične in organizacijske ukrepe za vgrajeno varstvo osebnih podatkov, kot je psevdonimizacija, s katerimi se med načrtovanjem obdelave in med njenim izvajanjem zagotovi učinkovito uveljavljanje načel varstva osebnih podatkov ter varstvo pravic posameznikov, na katere se nanašajo osebni podatki.
(2) Pristojni organ pri izbiri ukrepov iz prejšnjega odstavka upošteva stanje najnovejšega tehnološkega razvoja in stroške izvajanja ter naravo, obseg, okoliščine in namene obdelave, pa tudi tveganja za človekove pravice in temeljne svoboščine posameznikov, povezane z obdelavo, ki se razlikujejo po verjetnosti in resnosti.
(3) Pristojni organ izvede ustrezne tehnične in organizacijske ukrepe, s katerimi vzpostavi sistem privzetega varstva osebnih podatkov, kar vključuje privzeto obdelavo samo tistih osebnih podatkov, ki so potrebni za vsak posamični namen obdelave. Obveznost iz prejšnjega stavka velja glede na količino zbranih osebnih podatkov, obseg njihove obdelave, rok njihove hrambe in njihovo dostopnost. S temi ukrepi je treba zagotoviti zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu oseb brez posredovanja pristojne osebe pristojnega organa.
(1) V primerih, ko dva ali več pristojnih organov ali pristojnih organov in upravljavcev skupaj določijo sredstva obdelave, ti veljajo za skupne upravljavce. Skupni upravljavci pregledno z medsebojnim pisnim dogovorom določijo dolžnosti vsakega od njih za izpolnjevanje obveznosti iz tega zakona, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, ter v zvezi z nalogami vsakega od njih glede dajanja informacij, razen če in kolikor so te dolžnosti določene že z zakonom. Z dogovorom ali zakonom se lahko določi tudi enotna kontaktna točka za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki.
(2) Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na določbe dogovora oziroma zakona uresničuje pravice, ki jih ima na podlagi tega zakona glede varstva svojih pravic s področja osebnih podatkov, pri vsakem od skupnih upravljavcev.
(1) Pristojni organ sme zaupati izvajanje posamezne obdelave le tistemu obdelovalcu, ki da zadostna zagotovila za izvedbo ustreznih tehničnih in organizacijskih ukrepov, da bo obdelava potekala v skladu z zakonom in da bo zagotovljeno varstvo pravic posameznika, na katerega se nanašajo osebni podatki.
(2) Obdelovalec lahko izvajanje posamezne obdelave nadalje zaupa drugemu obdelovalcu, ob izpolnjevanju pogojev iz prejšnjega odstavka, le na podlagi predhodnega posebnega pisnega dovoljenja pristojnega organa.
(3) Pristojni organ in obdelovalec s pogodbo določita vsebino in trajanje dejanj obdelave, katerih izvajanje se zaupa obdelovalcu, naravo in namen teh obdelav, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice pristojnega organa in obdelovalca. Pogodba poleg navedenega določa tudi, da obdelovalec:
1. deluje samo po navodilih upravljavca;
2. zagotovi, da so osebe pri obdelovalcu, ki bodo pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje zakon;
3. ustrezno pomaga pristojnemu organu pri zagotavljanju pravic posameznika, na katerega se nanašajo osebni podatki;
4. v skladu z navodili pristojnega organa po zaključku izvajanja obdelave izbriše ali vrne vse osebne podatke pristojnemu organu ter uniči obstoječe kopije teh osebnih podatkov, vključno z morebitnimi dnevniškimi zapisi in varnostnimi kopijami, razen v primerih, ko zakon predpisuje nadaljnjo hrambo teh osebnih podatkov;
5. da pristojnemu organu na razpolago vse informacije, potrebne za izkazovanje skladnosti obdelave z določbami tega člena;
6. pri vključitvi drugega obdelovalca zagotovi izpolnjevanje pogojev iz prejšnjega in tega odstavka.
(4) Pogodba iz prejšnjega odstavka mora biti sklenjena v pisni obliki.
(5) Če obdelovalec iz prvega ali drugega odstavka tega člena v nasprotju z določbami tega zakona oziroma pogodbe iz tretjega odstavka tega člana samostojno določi druge namene oziroma sredstva obdelave, se ta obdelovalec v zvezi s to obdelavo šteje za upravljavca.
(6) Obdelovalec nadzornemu organu omogoči nemoteno opravljanje njegovih nalog in na zahtevo sodeluje z nadzornim organom pri izvajanju njegovih pristojnosti, v skladu z določbami tega zakona.
(dolžnost upoštevanja navodil pristojnega organa)
Vsakdo, ki dela za pristojni organ ali drugega upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh osebnih podatkov ne sme obdelovati brez navodila pristojnega organa, razen če to določa zakon.
(evidenca dejavnosti obdelave)
(1) Pristojni organ upravlja evidenco vseh kategorij dejavnosti obdelave osebnih podatkov ter skrbi za njeno točnost in posodobljenost.
(2) Evidenca iz prejšnjega odstavka vsebuje:
1. naziv oziroma ime in kontaktne podatke pristojnega organa in njegove pooblaščene osebe za varstvo osebnih podatkov in, kadar obstaja, skupnega upravljavca;
2. namene obdelave;
3. opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov, ki se obdelujejo;
4. kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
5. kategorije prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo;
6. roke za izbris oziroma pregled potrebe po hrambi za posamezne kategorije osebnih podatkov;
7. kadar je ustrezno, splošni opis tehničnih in organizacijskih ukrepov za zagotavljanje varnosti osebnih podatkov v skladu z 51. členom tega zakona;
8. navedbo pravne podlage za dejavnost obdelave, vključno s pravno podlago za prenose;
9. informacijo, ali se pri dejavnosti obdelave oblikujejo profili.
(3) Obdelovalec upravlja evidenco vseh kategorij dejavnosti obdelave, ki jih izvaja v imenu pristojnega organa.
(4) Evidenca iz prejšnjega odstavka vsebuje:
1. naziv oziroma ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih pristojnih organov, v imenu katerih deluje obdelovalec, kadar jo ima imenovano, pa tudi naziv oziroma ime in kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov;
2. kategorije obdelav, ki jih izvaja v imenu posameznega pristojnega organa;
3. kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo in identifikacijo te tretje države ali mednarodne organizacije, kadar to izrecno naroči pristojni organ;
4. kadar je ustrezno, splošni opis tehničnih in organizacijskih ukrepov za zagotavljanje varnosti osebnih podatkov v skladu z 51. členom tega zakona.
(5) Evidenci iz prvega in tretjega odstavka tega člena morata biti v pisni obliki ali z njo enakovredni elektronski obliki.
(6) Pristojni organ in obdelovalec nadzornemu organu na njegovo zahtevo omogočita dostop do evidenc iz prvega in tretjega odstavka tega člena.
(1) Pristojni organi, skupni upravljavci iz 43. člena tega zakona in obdelovalci po tem zakonu vodijo dnevnik obdelave o naslednjih dejanjih obdelave osebnih podatkov v avtomatiziranih sistemih obdelave osebnih podatkov:
1. zbiranje;
2. spreminjanje;
3. vpogled;
4. razkritje, vključno s prenosi;
5. povezovanje;
6. izbris,
7. druga dejanja obdelave, ki jih določa zakon.
(2) Dnevnik obdelave iz prejšnjega odstavka mora za dejanja vpogleda in razkritja osebnih podatkov vsebovati utemeljitev dejanja obdelave, datum in čas obdelave, identifikacijo organa ali osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov. Dodatne vsebine dnevnika obdelave določi pristojni organ ob upoštevanju drugega odstavka 41. člena tega zakona.
(3) Dnevnik obdelave se uporablja le za preverjanje zakonitosti obdelave s strani nadzornega organa ali drugih pristojnih organov, strokovni in notranji nadzor, zagotavljanje celovitosti in varnosti osebnih podatkov ter za potrebe predkazenskih in kazenskih postopkov.
(4) Pristojni organi, skupni upravljavci iz 43. člena tega zakona in obdelovalci nadzornemu organu na njegovo zahtevo omogočijo dostop do dnevnika obdelave.
(5) Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave, če drug zakon ne določa drugače.
(6) Vsebina dnevnika obdelave, ki ga upravlja Nacionalna enota za informacije o potnikih po zakonu, ki ureja naloge in pooblastila policije, se hrani pet let od zaključka koledarskega leta, v katerem so bila v njih zabeležena dejanja obdelave.
(preverjanje kakovosti osebnih podatkov)
(1) Pristojni organ sprejme vse razumne ukrepe, da se pred posredovanjem osebnih podatkov ali njihovim dajanjem na razpolago preveri njihova točnost, popolnost, zanesljivost in posodobljenost.
(2) Kolikor je to mogoče, pristojni organ osebnim podatkom, ki se posredujejo ali dajo na razpolago, priloži informacije, na podlagi katerih lahko uporabnik oceni njihovo točnost, popolnost, zanesljivost in posodobljenost.
(3) Kadar se izkaže, da so bili posredovani ali dani na razpolago osebni podatki, ki ne ustrezajo zahtevam iz prvega odstavka tega člena, ali so bili posredovani nezakonito, pristojni organ to nemudoma sporoči vsem uporabnikom.
(4) Pristojni organ v primeru iz prejšnjega odstavka nemudoma popravi osebne podatke oziroma jih izbriše ali omeji njihovo obdelavo.
(5) Ob izbrisu osebnih podatkov je zaradi zagotavljanja sledljivosti obdelave osebnih podatkov v skladu s prejšnjim členom dopustno tudi zabeležiti zaznamek, da je bil v zvezi z osebnimi podatki določenega posameznika izveden izbris, pri čemer pa zaznamek ne vsebuje podatkov, ki bi omogočali obnovo izbrisanega osebnega podatka.
2. oddelek – ukrepi pred obdelavo in varnost osebnih podatkov
(1) Kadar bi lahko kategorija obdelave, zlasti zaradi uporabe novih tehnologij ali ob upoštevanju narave, obsega, okoliščin oziroma namena obdelave, povzročila veliko tveganje za človekove pravice in temeljne svoboščine posameznikov, mora pristojni organ pred začetkom obdelave opraviti oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov (v nadaljnjem besedilu: ocena učinka).
(2) Oceno učinka je vedno treba opraviti glede:
1. obdelav, ki vključujejo sistematično in obsežno vrednotenje osebnih podatkov s sredstvi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki so potem podlaga za odločitve, ki imajo za posameznika pravne posledice ali nanj na podoben način znatno vplivajo;
2. obdelav posebnih vrst osebnih podatkov ali osebnih podatkov v velikem obsegu;
3. trajajočega obsežnega in sistematičnega nadzora javno dostopnega območja;
4. povezovanja zbirk podatkov.
(3) Ocene učinka ni treba opraviti za obdelavo, glede katere je bila ocena učinka izvedena že v postopku sprejemanja zakona, ki je podlaga za obdelavo, vendar le, če se okoliščine obdelave po izdelavi ocene učinka niso bistveno spremenile.
(4) Ocena učinka obsega:
1. splošni opis predvidenih dejanj obdelave;
2. oceno tveganj za človekove pravice in temeljne svoboščine ter zakonite interese posameznikov, na katere se nanašajo osebni podatki, zlasti glede prepovedi diskriminacije iz 2. člena tega zakona;
3. ukrepe, namenjene obvladovanju teh tveganj;
4. zaščitne ukrepe, kot so notranji nadzori;
5. ukrepe za zagotavljanje varnosti obdelave;
6. mehanizme za zagotavljanje varstva osebnih podatkov in za izkazovanje skladnosti z zakonom, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, in tretjih oseb.
(5) Pred uvedbo novega sistema za avtomatizirano obdelavo osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona pristojni organ izdela oceno učinka glede ukrepov za zagotavljanje varnosti obdelave po 5. in 6. točki prejšnjega odstavka.
(predhodno posvetovanje z nadzornim organom)
(1) Pristojni organ in obdelovalec pred začetkom obdelave, ki bo del nove zbirke, izvedeta predhodno posvetovanje z nadzornim organom, kadar:
1. iz ocene učinka iz prejšnjega člena izhaja, da bi obdelava povzročila veliko tveganje za človekove pravice ali temeljne svoboščine posameznikov, na katere se nanašajo osebni podatki, če pristojni organ ne bi sprejel ukrepov za zmanjšanje tega tveganja, ali
2. kategorija obdelave, zlasti kadar vključuje uporabo novih tehnologij, mehanizmov ali postopkov, predstavlja veliko tveganje za človekove pravice ali temeljne svoboščine posameznikov, na katere se nanašajo osebni podatki.
(2) Nadzorni organ lahko določi in na svojih spletnih straneh objavi seznam kategorij obdelave, za katere mora pristojni organ v skladu s prejšnjim odstavkom opraviti predhodno posvetovanje.
(3) Pristojni organ in obdelovalec nadzornemu organu na njegovo zahtevo zagotovita dostop do vsebine ocene učinka ter druge informacije, potrebne za oceno skladnosti obdelave z zakonom in tveganja za varstvo osebnih podatkov posameznika, na katerega se ti podatki nanašajo, ter s tem povezane zaščitne ukrepe.
(4) Kadar nadzorni organ meni, da bi načrtovana obdelava osebnih podatkov lahko pomenila kršitev zakona, zlasti ker pristojni organ ni ustrezno opredelil tveganja ali ni sprejel ustreznih ukrepov za zmanjšanje tveganja, v roku šestih tednov po prejetju zaprosila za posvetovanje pisno svetuje pristojnemu organu in, kadar je to primerno, obdelovalcu, katere dodatne ukrepe je treba sprejeti. Nadzorni organ lahko ob upoštevanju zapletenosti zadeve rok podaljša za en mesec ter o podaljšanju roka in o razlogih za to obvesti pristojni organ in po potrebi obdelovalca.
(1) Pristojni organi, skupni upravljavci iz 43. člena tega zakona in obdelovalci morajo ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za človekove pravice in temeljne svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotoviti ustrezno raven varnosti obdelave osebnih podatkov glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst osebnih podatkov.
(2) Kadar se obdelava izvaja v sistemih za avtomatizirano obdelavo osebnih podatkov, morajo pristojni organi, skupni upravljavci iz 43. člena tega zakona in obdelovalci po izvedeni oceni tveganj iz prejšnjega odstavka izvesti ukrepe, ki:
1. preprečujejo dostop nepooblaščenih oseb do opreme, ki se uporablja za obdelavo (nadzor dostopa do opreme);
2. preprečujejo nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);
3. preprečujejo nepooblaščeno vnašanje osebnih podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);
4. preprečujejo uporabo sistemov za avtomatizirano obdelavo nepooblaščenim uporabnikom, ki do sistemov dostopajo z uporabo komunikacijske opreme (nadzor uporabnikov);
5. zagotavljajo, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do podatkov, ki jih vključuje njihovo pooblastilo za dostop (nadzor dostopa do podatkov);
6. zagotavljajo, da je mogoče preveriti in ugotoviti, komu so bili ali bi mu lahko bili osebni podatki poslani oziroma komu je bil ali bi lahko bil omogočen dostop do njih prek komunikacijske opreme (nadzor prenosa);
7. zagotavljajo, da je mogoče naknadno preveriti in ugotoviti, katere vrste osebnih podatkov so bile vnesene v sisteme za avtomatizirano obdelavo ter kdaj in kdo jih je vnesel (nadzor vnosa);
8. preprečujejo nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);
9. zagotavljajo, da se osebni podatki, ki jih za pristojni organ obdelujejo njegovi zaposleni oziroma obdelovalec, obdelujejo le v skladu z navodili pristojnega organa (nadzor obdelave);
10. zagotavljajo, da se osebni podatki, zbrani za različne namene, obdelujejo ločeno, razen če zakon določa drugače (ločenost);
11. zagotavljajo, da je mogoče nameščene sisteme v primeru prekinitve delovanja ponovno vzpostaviti (obnova);
12. zagotavljajo, da funkcije sistema delujejo in da se morebitne napake v funkcijah sporočijo ustreznim osebam (zanesljivost);
13. zagotavljajo, da se shranjeni osebni podatki ne okvarijo zaradi napak v delovanju sistema (celovitost);
14. zagotavljajo, da so osebni podatki zaščiteni pred izgubo in uničenjem (razpoložljivost).
(3) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri nadzornem organu, pristojnih organih in obdelovalcih, so dolžni varovati tajnost osebnih podatkov in drugih zaupnih informacij, vključno s poklicnimi skrivnostmi, s katerimi se seznanijo pri opravljanju svojih funkcij, del ali nalog. Dolžnost varovanja jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev obdelave.
(obvestilo nadzornemu organu o kršitvi varnosti osebnih podatkov)
(1) V primeru kršitve varnosti osebnih podatkov, za katero je verjetno, da bi povzročila tveganje za človekove pravice in temeljne svoboščine posameznikov, pristojni organ brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o kršitvi uradno obvesti nadzorni organ. Kadar obvestilo ni podano v 72 urah, obvestilu priloži tudi razloge za zamudo.
(2) Obdelovalec ob seznanitvi s kršitvijo varnosti osebnih podatkov o tem nemudoma obvesti pristojni organ.
(3) Obvestilo iz prvega odstavka tega člena vsebuje najmanj:
1. opis narave kršitve varnosti osebnih podatkov, po možnosti pa tudi kategorije in oceno števila zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in oceno števila zbirk osebnih podatkov, v zvezi s katerimi so se zgodile kršitve;
2. sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo osebnih podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
3. opis verjetnih posledic kršitve varnosti osebnih podatkov;
4. opis sprejetih ali predlaganih ukrepov za obravnavanje kršitve varnosti osebnih podatkov, če je to primerno, tudi z ukrepi za zmanjšanje morebitnih škodljivih učinkov kršitve.
(4) Kadar informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
(5) Pristojni organ dokumentira vsako kršitev varnosti osebnih podatkov iz prvega odstavka tega člena, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njenimi predvidenimi učinki in sprejetimi popravnimi ukrepi, ki jih je sprejel za odpravo kršitve. Dokumentacija je na razpolago nadzornemu organu, kadar preverja skladnost delovanja pristojnega organa z določbami tega člena.
(6) Kadar kršitev varnosti osebnih podatkov vključuje osebne podatke, ki jih je pristojni organ dobil od upravljavca iz druge države članice Evropske unije ali ki jih je poslal upravljavcu iz druge države članice Evropske unije, mora pristojni organ informacije iz tretjega odstavka tega člena brez nepotrebnega odlašanja sporočiti upravljavcu druge države članice Evropske unije.
(sporočilo posamezniku o kršitvi varnosti osebnih podatkov)
(1) V primerih, ko je verjetno, da bi kršitev varnosti osebnih podatkov lahko povzročila veliko tveganje za človekove pravice in temeljne svoboščine posameznikov, pristojni organ brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.
(2) V sporočilu iz prejšnjega odstavka je treba v jasnem in preprostem jeziku opisati naravo kršitve varnosti osebnih podatkov ter navesti vsaj informacije in opis ukrepov iz 2., 3. in 4. točke tretjega odstavka prejšnjega člena.
(3) Sporočilo iz prvega odstavka tega člena ni potrebno, če je izpolnjen kateri izmed naslednjih pogojev:
1. pristojni organ je že pred kršitvijo izvajal ustrezne tehnološke in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je prišlo do kršitve varnosti osebnih podatkov, zlasti ukrepe, na podlagi katerih so osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot na primer šifriranje;
2. pristojni organ je po kršitvi sprejel ukrepe, zaradi katerih ni več verjetno, da bi se veliko tveganje za človekove pravice in temeljne svoboščine, nastalo zaradi kršitve varnosti osebnih podatkov, še lahko uresničilo;
3. obveščanje posameznikov bi zahtevalo nesorazmeren napor, zato se v takšnem primeru objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.
(4) Če pristojni organ posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, mu nadzorni organ to odredi, če oceni, da je verjetno, da bi kršitev lahko povzročila veliko tveganje za človekove pravice in temeljne svoboščine posameznika. Ne glede na določbo prejšnjega stavka nadzorni organ ne odredi obveščanja, če sporočilo ni potrebno v skladu s prejšnjim odstavkom.
(5) Sporočilo posamezniku, na katerega se nanašajo osebni podatki iz prvega odstavka tega člena, se lahko pod pogoji in iz razlogov iz prvega odstavka 25. člena tega zakona zadrži, omeji ali opusti.
(zaupno obveščanje o kršitvah)
(1) Pristojni organ vzpostavi notranje poti obveščanja, ki omogočajo zaupno in hitro seznanitev vodstva pristojnega organa in pooblaščene osebe za varstvo osebnih podatkov o kršitvah določb tega zakona.
(2) Pristojni organ določi način ukrepanja glede prijav kršitev.
(3) Pristojni organ in pooblaščena oseba za varstvo osebnih podatkov varujeta tajnost vira prijave. Identiteto prijavitelja lahko razkrijeta le nadzornemu organu ali na podlagi odredbe sodišča.
3. oddelek – pooblaščena oseba za varstvo osebnih podatkov
(pooblaščena oseba za varstvo osebnih podatkov)
(1) Pristojni organ izmed zaposlenih določi pooblaščeno osebo za varstvo osebnih podatkov, ki mu na neodvisen način svetuje in pomaga pri zagotovitvi skladnosti obdelav s tem zakonom in drugimi zakoni, ki urejajo obdelavo in varstvo osebnih podatkov.
(2) Pristojni organ lahko izmed zaposlenih določi tudi namestnika pooblaščene osebe za varstvo osebnih podatkov. Pooblaščena oseba za varstvo osebnih podatkov njenega namestnika pooblasti, da opravlja s pooblastilom določene naloge pooblaščene osebe.
(3) Pristojni organ sporoči ime ter službene kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov in njenega morebitnega namestnika (naslov pristojnega organa, telefonska številka, naslov elektronske pošte) nadzornemu organu. Njune kontaktne podatke za namen vzpostavitve stika posameznika s pristojnim organom glede njegovih pravic po tem zakonu tudi javno objavi na svojih spletnih straneh.
(4) Pristojni organ pooblaščeni osebi za varstvo osebnih podatkov in njenemu namestniku zagotovi ustrezna sredstva za nepristransko in učinkovito opravljanje nalog ter ustrezna usposabljanja za ohranjanje strokovnega znanja.
(5) Pristojni organ zagotovi, da sta pooblaščena oseba za varstvo osebnih podatkov in njen namestnik ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
(6) Pristojni organ zagotovi, da pooblaščena oseba za varstvo osebnih podatkov in njen namestnik v zvezi s svojim delom ne prejemata nobenih navodil, da zaradi opravljanja svojih nalog nista razrešena ali kaznovana ter da neposredno poročata predstojniku pristojnega organa.
(pogoji za določitev pooblaščene osebe za varstvo osebnih podatkov)
(1) Pristojni organ lahko za pooblaščeno osebo za varstvo osebnih podatkov in njenega namestnika določi zaposlenega, ki ima znanja oziroma praktične izkušnje s področja varstva osebnih podatkov.
(2) Več pristojnih organov lahko ob upoštevanju svoje organizacijske strukture in velikosti določi skupno pooblaščeno osebo za varstvo osebnih podatkov in njenega namestnika.
(3) Pristojni organ lahko za pooblaščeno osebo za varstvo osebnih podatkov iz prvega odstavka tega člena določi osebo, ki je že imenovana za pooblaščeno osebo za varstvo osebnih podatkov na drugih pravnih podlagah.
(naloge in upravičenja pooblaščene osebe za varstvo osebnih podatkov)
(1) Pooblaščena oseba za varstvo osebnih podatkov opravlja naslednje naloge v zvezi z obdelavami osebnih podatkov, ki jih izvaja pristojni organ, pri katerem je določena:
1. obveščanje pristojnega organa in njegovih zaposlenih, ki izvajajo obdelavo, o njihovih obveznostih v skladu z zakonom in drugimi predpisi, ki urejajo varstvo osebnih podatkov, ter svetovanje o teh obveznostih;
2. spremljanje skladnosti obdelav z zakoni in politikami pristojnega organa, ki urejajo varstvo osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter izvajanjem ustreznih nadzorov;
3. svetovanje glede ocene učinka v zvezi z varstvom osebnih podatkov in spremljanje njenega izvajanja v skladu s tem zakonom;
4. sodelovanje z nadzornim organom glede vzpostavljanja tehničnih pogojev za izvedbo nadzorov in neposredno obveščanje vodstva pristojnega organa;
5. delovanje kot kontaktna točka za nadzorni organ pri vseh vprašanjih v zvezi z obdelavo osebnih podatkov pri pristojnem organu, pomoč pri izvajanju posvetovanj ali pridobivanju mnenj po določbah tega zakona;
6. posvetovanje o drugih vprašanjih, politikah ali obdelavah osebnih podatkov pri pristojnem organu ali glede sodelovanja z drugimi subjekti glede teh vprašanj.
(2) Pooblaščena oseba za varstvo osebnih podatkov ima dostop do vsebine vseh osebnih podatkov, ki jih obdeluje pristojni organ, kadar izvršuje svoje naloge.
(pooblaščena oseba za varstvo osebnih podatkov pri Nacionalni enoti za informacije o potnikih)
(1) Pooblaščena oseba za varstvo osebnih podatkov po zakonu, ki ureja naloge in pooblastila policije, mora izpolnjevati pogoje iz prvega odstavka 56. člena tega zakona ter opravlja naloge, kot jih določata ta zakon in zakon, ki ureja naloge in pooblastila policije.
(2) Generalni direktor policije za Nacionalno enoto za informacije o potnikih določi osebo, ki je že določena za opravljanje nalog pooblaščene osebe za varstvo osebnih podatkov pri policiji, ali drugo osebo izmed zaposlenih znotraj policije.
(3) Če pooblaščena oseba iz prvega odstavka tega člena meni, da obdelava podatkov iz pristojnosti Nacionalne enote za informacije o potnikih ni bila zakonita, lahko o tem obvesti nadzorni organ.
(uporaba določb tega zakona v kazenskih zadevah sodišč)
V kazenskih zadevah sodišč se smiselno uporabljajo določbe iz 2., 5., prvega in drugega odstavka 6. člena, 7., 8., 9., 20., 23., 24., 25., 44., 45., 47., 51., 53., razen četrtega odstavka 53. člena, 54., 62., 63., 67., 68. in 69. člena tega zakona.
1. oddelek – preverjanje identitete
(uradni identifikacijski dokument)
Za potrebe izvajanja določb tega zakona velja za uradni identifikacijski dokument vsak uradno izdani dokument, ki vsebuje fotografijo imetnika in ga je izdal državni organ, kar so osebna izkaznica, potni list, obmejna prepustnica, vozniško dovoljenje, orožni list in uradni identifikacijski dokumenti drugih držav ali mednarodnih organizacij.
(uporaba povezovalnih znakov)
(1) Pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s področja zdravstva, policije, obveščevalno-varnostne dejavnosti države, obrambe države, sodstva in državnega tožilstva, probacije ter iz kazenske evidence in prekrškovnih evidenc pristojni organ ali obdelovalec ne sme uporabljati povezovalnega znaka tako, da bi se za pridobitev osebnega podatka uporabil izključno ta znak.
(2) Ne glede na prejšnji odstavek se lahko izjemoma uporabi en povezovalni znak za pridobivanje osebnih podatkov, če je to podatek v konkretni zadevi, ki lahko omogoči, da se prepreči, odkrije, preišče ali preganja kaznivo dejanje, ki se preganja po uradni dolžnosti. O tem se brez odlašanja napravi uradni zaznamek ali drug zapis.
(povezovanje uradnih evidenc in javnih knjig)
(1) Zbirke pristojnih organov se lahko povezujejo med seboj ali z drugimi uradnimi evidencami, javnimi knjigami ali drugimi zbirkami, v katerih se obdelujejo posebne vrste osebnih podatkov, osebni podatki v zvezi s kazenskimi obsodbami in prekrški, podatki o dohodkih v skladu z zakonom, ki ureja dohodnino, podatki o premoženju posameznika v skladu z zakonom, ki ureja uveljavljanje pravic iz javnih sredstev, podatki o nepremičninah v lasti posameznika v skladu z drugimi zakoni, podatki oziroma informacije o kreditni sposobnosti v skladu z zakonom, ki ureja centralni kreditni register, ter zakonom, ki ureja preprečevanje pranja denarja in financiranja terorizma, samo če takšno povezovanje izrecno določa zakon.
(2) Povezovanje zbirk v skladu s prejšnjim odstavkom pomeni elektronsko povezovanje dveh ali več uradnih evidenc, javnih knjig ali drugih zbirk, ki se upravljajo pri različnih upravljavcih ali pri istem upravljavcu na podlagi različnih pravnih podlag, in ki se neodvisno od tehnične izvedbe izvaja v obsegu oziroma na način, ki predstavljata ali bi lahko predstavljala bistveno večje tveganje za človekove pravice ali temeljne svoboščine posameznikov kot obdelava osebnih podatkov le v okviru ene same uradne evidence, javne knjige ali zbirke. Povezovanje zbirk pomeni tudi obdelavo dveh ali več zbirk istega ali različnih upravljavcev pri istem obdelovalcu, če ni z organizacijskimi in tehničnimi ukrepi in postopki zagotovljena popolna ločenost obdelav osebnih podatkov iz teh zbirk.
(3) Najpozneje 30 dni pred začetkom povezovanja zbirk iz prvega odstavka tega člena mora pristojni organ oziroma obdelovalec poslati obvestilo nadzornemu organu, v katerem navede, da namerava izvesti povezovanje v skladu s tem členom, ga podrobno opisati zlasti z navedbo pravnih podlag, tehničnih rešitev in zaščitnih ukrepov ter priložiti oceno učinka, razen če ocene učinka v skladu z določbo tretjega odstavka 49. člena tega zakona ni treba izdelati.
3. oddelek – strokovni nadzor
Če drug zakon ne določa drugače, se določbe tega oddelka uporabljajo za obdelavo osebnih podatkov pri notranjem in zunanjem strokovnem nadzoru.
(1) Organ, ki izvaja strokovni nadzor pri pristojnem organu (v nadaljnjem besedilu: izvajalec strokovnega nadzora), za namen izvedbe strokovnega nadzora obdeluje vse osebne podatke, ki jih obdeluje pristojni organ in ki so potrebni za izvedbo posameznega strokovnega nadzora.
(2) Izvajalec strokovnega nadzora mora pri izvajanju strokovnega nadzora in izdelavi poročila ali ocene ob zaključku strokovnega nadzora varovati tajnost osebnih podatkov, s katerimi se seznani v okviru strokovnega nadzora. V poročilu ali oceni ob zaključku strokovnega nadzora lahko izvajalec strokovnega nadzora zapiše le tiste osebne podatke, ki so nujni za dosego namena strokovnega nadzora.
(obveščanje posameznika in pridobivanje podatkov)
(1) Izvajalec strokovnega nadzora lahko pri opravljanju strokovnega nadzora, pri katerem v skladu s prvim odstavkom prejšnjega člena obdeluje osebne podatke, če je to potrebno za uspešen nadzor in tega z drugimi ukrepi ni mogoče doseči, pisno obvesti posameznika, na katerega se nanašajo osebni podatki, da izvaja strokovni nadzor, in ga obvesti, da lahko pisno ali ustno poda svoja stališča in dodatne informacije, pomembne za nadzor, s katerimi razpolaga. Izvajalec nadzora lahko s posameznikom, na katerega se nanašajo osebni podatki, opravi razgovor.
(2) Posameznik iz prejšnjega odstavka lahko izvajalcu strokovnega nadzora za namene izvajanja strokovnega nadzora posreduje kontaktne osebne podatke drugega posameznika (osebno ime, zaposlitev, številke ali naslove službenih komunikacijskih sredstev in navedbo povezave z zadevo nadzora), ki bi lahko o zadevi, v kateri se izvaja strokovni nadzor, podal pomembne informacije, s katerimi razpolaga. Če izvajalec strokovnega nadzora ugotovi, da je to potrebno, opravi razgovor tudi z drugim posameznikom.
(posebne vrste osebnih podatkov)
Če se pri izvajanju strokovnega nadzora obdelujejo posebne vrste osebnih podatkov ali podatki iz kazenskih evidenc ali prekrškovnih evidenc, izvajalec strokovnega nadzora o tem naredi uradni zaznamek ali drug zapis, ki ga lahko vključi tudi v poročilo iz drugega odstavka 64. člena tega zakona.
4. oddelek – posredovanje osebnih podatkov
(posredovanje osebnih podatkov, ki ga izvedejo osebe javnega sektorja)
(1) Posredovanje osebnih podatkov s strani pristojnega organa drugi osebi javnega sektorja ali s strani druge osebe javnega sektorja pristojnemu organu je dovoljeno, če je za posredovanje podana pravna podlaga v skladu s 6., 7. ali 8. členom tega zakona. Pristojni organ oziroma druga oseba javnega sektorja, ki se ji osebni podatki posredujejo, osebne podatke obdeluje samo za namen, za katerega so ji bili posredovani.
(2) Posredovanje osebnih podatkov od pristojnega organa k pravnim ali fizičnim osebam zasebnega sektorja je dovoljeno, če je to potrebno za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali če obstaja druga pravna podlaga za pridobitev zahtevanih osebnih podatkov. Pravna ali fizična oseba zasebnega prava, ki se ji osebni podatki posredujejo, osebne podatke obdeluje samo za namen, za katerega so ji bili posredovani.
(3) Posredovanje iz prvega odstavka tega člena je brezplačno.
(4) Upravljavci ali obdelovalci, ki na podlagi zakona za izvajanje svojih pristojnosti ali nalog pridobivajo osebne podatke iz registrov ali evidenc s področja upravnih notranjih zadev, ki so v upravljanju ministrstva, pristojnega za notranje zadeve, na lastne stroške vzpostavijo primerljive varnostne mehanizme, ki jih kot ukrepe in postopke za izvajanje varnosti osebnih podatkov izvaja ministrstvo, pristojno za notranje zadeve.
(posredovanje osebnih podatkov, ki ga izvedejo osebe zasebnega sektorja)
(1) Posredovanje osebnih podatkov s strani osebe zasebnega sektorja pristojnemu organu je dovoljeno, če je za posredovanje podana pravna podlaga v skladu s 6., 7. ali 8. členom tega zakona.
(2) Pristojni organ osebne podatke pridobi z zahtevo iz prvega odstavka 69. člena tega zakona, razen če drug zakon določa drugače.
(3) Posredovanje podatkov iz prvega odstavka tega člena je brezplačno.
(postopek posredovanja osebnih podatkov)
(1) Posredovanje osebnih podatkov po tem oddelku se izvede na podlagi zahteve, ki vsebuje:
1. podatke o vlagatelju zahteve (ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča za fizično osebo ter naziv oziroma firmo in naslov oziroma sedež in matično številko za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, ter za pravno osebo oziroma pristojni organ) in podpis vlagatelja oziroma pooblaščene osebe;
2. pravno podlago za pridobitev zahtevanih osebnih podatkov;
3. namen obdelave osebnih podatkov;
4. predmet in številko ali drugo identifikacijo zadeve, v zvezi s katero so osebni podatki potrebni;
5. vrste osebnih podatkov, ki naj se mu posredujejo;
6. obliko in način pridobitve zahtevanih osebnih podatkov.
(2) Upravljavec vlagatelju zahteve, če zakon ne določa drugačnega roka, zahtevane osebne podatke posreduje najpozneje v 15 dneh od prejema popolne zahteve ali pa ga v tem roku pisno obvesti o razlogih, zaradi katerih mu zahtevanih osebnih podatkov ne bo posredoval.
(3) Če upravljavec ne ravna v skladu s prejšnjim odstavkom, se šteje, da je zahteva zavrnjena.
(4) Če je zahteva za posredovanje osebnih podatkov delno ali v celoti zavrnjena, lahko vlagatelj v primeru, ko se zahteva nanaša na posredovanje osebnih podatkov iz uradnih evidenc ali javnih knjig, zahteva, da o njegovi vlogi najprej odloči organ druge stopnje, če tega ni ali če tudi organ druge stopnje zavrne njegovo zahtevo, lahko zahteva sodno varstvo, o katerem odloča pristojno sodišče v skladu z zakonom, ki ureja upravni spor. V primeru zavrnitve zahteve za posredovanje osebnih podatkov iz zbirk, ki niso uradne evidence ali javne knjige, lahko vlagatelj zahteva sodno varstvo, o katerem odloča sodišče s splošno pristojnostjo v skladu z zakonom, ki ureja nepravdni postopek.
(5) Ta člen se ne uporablja, če fizična ali pravna oseba ali pristojni organ uveljavlja pravico do pregledovanja ali pridobivanja podatkov iz kazenskih zadev sodišč, upravnih ali drugih zadev, spisov, evidenc ali drugih zbirk v skladu z drugim zakonom.
(6) Upravljavec za vsako posredovanje osebnih podatkov zagotovi možnost poznejše ugotovitve, kateri osebni podatki so bili posredovani, komu, kdaj in po kateri pravni podlagi, za kateri namen oziroma iz katerih razlogov oziroma za potrebe katerega postopka, razen če zakon za posredovanje posameznih vrst podatkov določa drugače.
(7) Informacije iz prejšnjega odstavka upravljavec hrani pet let, razen če zakon za posredovanje posameznih vrst podatkov določa drugačen rok.
(8) Šesti in sedmi odstavek tega člena veljata tudi za obdelovalce, če so z zakonom ali pogodbo ali drugim dogovorom zavezani posredovati določene osebne podatke.
(9) Pristojni organ, drug upravljavec ali obdelovalec posamezniku, na katerega se nanašajo osebni podatki, do vložitve obtožnega akta, vendar največ 36 mesecev, ne razkrije, da je ali da bo posredoval določene osebne podatke drugemu pristojnemu organu. Za državna tožilstva in kazenske zadeve sodišč veljajo določbe zakonov, ki urejajo postopke v teh zadevah.
PRENOS OSEBNIH PODATKOV TRETJIM DRŽAVAM ALI MEDNARODNIM ORGANIZACIJAM
(splošna pravila za prenos osebnih podatkov)
(1) Pristojni organ izvede vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, vključno z nadaljnjimi prenosi v drugo tretjo državo ali mednarodno organizacijo, le, če so upoštevane določbe tega zakona in:
1. je prenos potreben za namene iz prvega odstavka 1. člena tega zakona;
2. se osebni podatki posredujejo upravljavcu v tretji državi ali mednarodni organizaciji, ki je pristojen za izpolnitev enega od namenov iz prvega odstavka 1. člena tega zakona;
3. v primeru, ko se prenašajo ali dajejo na razpolago osebni podatki iz druge države članice Evropske unije in je ta država članica v skladu s svojim nacionalnim pravom dala predhodno soglasje za prenos;
4. je Evropska komisija sprejela sklep o ustreznosti ravni varstva osebnih podatkov v tretji državi ali mednarodni organizaciji iz tretjega odstavka 36. člena Direktive 2016/680/EU ali, če tak sklep ne obstaja, v tretji državi ali mednarodni organizaciji obstajajo ustrezni zaščitni ukrepi v skladu z 72. členom tega zakona, ali je, če ne obstaja sklep o ustreznosti in ne obstajajo ustrezni ukrepi in niso predložena ustrezna zagotovila, mogoče v skladu s 73. členom tega zakona uporabiti izjeme za posamezne primere;
5. tretja država ali mednarodna organizacija soglaša, da bo osebne podatke naprej prenesla drugi tretji državi ali drugi mednarodni organizaciji le na podlagi predhodnega dovoljenja pristojnega organa Republike Slovenije, ki je izvedel prvotni prenos, in ob upoštevanju vseh tehtnih meril, vključno z resnostjo kaznivega dejanja, namenom prvotnega prenosa osebnih podatkov in stopnjo varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, ki se ji posredujejo osebni podatki.
(2) Prenos se v primerih iz 3. točke prejšnjega odstavka lahko izvede tudi brez podaje predhodnega soglasja druge države članice Evropske unije, če je prenos nujno potreben za preprečitev neposredne in resne grožnje javni varnosti Republike Slovenije ali tretje države ali za varstvo ustavne ureditve, bistvenih varnostnih, političnih in gospodarskih interesov Republike Slovenije, predhodnega soglasja pa ni bilo mogoče pravočasno pridobiti. O tem se brez nepotrebnega odlašanja obvesti organ druge države članice Evropske unije, pristojen za dajanje predhodnega soglasja.
(prenos osebnih podatkov na podlagi sklepa o ustreznosti varstva osebnih podatkov)
(1) Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo je dovoljen, če je Evropska komisija s sklepom iz tretjega odstavka 36. člena Direktive 2016/680/EU odločila, da ta tretja država oziroma eden ali več specifičnih sektorjev v tej tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno stopnjo varstva osebnih podatkov.
(2) Če je sklep iz tretjega odstavka 36. člena Direktive 2016/680/EU razveljavljen, spremenjen ali začasno odložen, se lahko prenosi nadaljujejo, če je za to podana katera od drugih pravnih podlag iz tega poglavja.
(prenos osebnih podatkov z uporabo ustreznih zaščitnih ukrepov)
(1) Če ne obstaja sklep Evropske komisije iz tretjega odstavka 36. člena Direktive 2016/680/EU, je prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo dopusten, če:
1. so v pravnem aktu, ki obvezuje tretjo državo ali mednarodno organizacijo, določeni ustrezni zaščitni ukrepi za varstvo osebnih podatkov ali
2. je pristojni organ po oceni vseh okoliščin, ki so pri prenosu pomembne, ugotovil, da v tretji državi ali mednarodni organizaciji dejansko obstajajo ustrezni ukrepi za varstvo osebnih podatkov.
(2) Pristojni organ obvesti nadzorni organ o kategorijah prenosov, ki jih izvaja na podlagi prejšnjega odstavka.
(3) Pristojni organ mora izpolnjevanje pogojev iz prvega odstavka tega člena dokumentirati, kar vključuje datum in uro prenosa, podatke o prejemniku oziroma uporabniku, utemeljitev prenosa in prenesene osebne podatke. Dokumentacijo hrani pet let od zaključka koledarskega leta, v katerem je bil izveden prenos. Dokumentacijo mora na podlagi zahteve dati na razpolago nadzornemu organu.
(4) Če nadzorni organ ugotovi neskladnost ukrepov za varstvo osebnih podatkov v zadevni tretji državi ali mednarodni organizaciji s tem zakonom, lahko z odločbo odredi ustavitev oziroma prepoved prenosa osebnih podatkov.
(5) Zoper odločbo iz prejšnjega odstavka ni dovoljena pritožba, dopusten pa je upravni spor.
(6) Nadzorni organ o odločbi obvesti Evropsko komisijo in jo objavi na svoji spletni strani.
(izjeme za posamezne primere)
(1) V primerih, ko ne obstajajo sklep o ustreznosti iz tretjega odstavka 36. člena Direktive 2016/680/EU, niti ustrezni zaščitni ukrepi v skladu s prejšnjim členom, je prenos osebnih podatkov tretji državi ali mednarodni organizaciji dopusten, kadar je prenos potreben:
1. za varovanje življenjskih interesov posameznika, zlasti življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe,
2. za varovanje zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, in je to določeno v zakonu,
3. za preprečitev neposredne in resne nevarnosti za javno varnost države članice Evropske unije ali tretje države ali za varstvo ustavne ureditve, bistvenih varnostnih, političnih in gospodarskih interesov Republike Slovenije,
4. v posameznem primeru za namene iz prvega odstavka 1. člena tega zakona ali
5. v posameznem primeru za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v povezavi z nameni iz prvega odstavka 1. člena tega zakona.
(2) V primerih iz 4. in 5. točke prejšnjega odstavka prenos ni dovoljen, če človekove pravice in temeljne svoboščine posameznika, na katerega se nanašajo osebni podatki, prevladajo nad javnim interesom za prenos.
(3) Za prenose v skladu s prvim odstavkom tega člena se uporablja tretji odstavek prejšnjega člena.
(posebni prenosi določenim uporabnikom v tretjih državah)
(1) Pristojni organi lahko izvedejo v posameznih posebej utemeljenih primerih posebni prenos osebnih podatkov v tretjo državo tudi tako, da jih neposredno prenesejo uporabniku, ustanovljenemu v tretji državi, ne glede na to, ali je ta uporabnik v skladu s pravom tretje države pristojen za obdelavo osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona ter ne glede na določbe mednarodnih pogodb s področja pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja s tretjo državo, če so izpolnjeni vsi naslednji pogoji:
1. upoštevane so druge zahteve tega zakona, zlasti iz 2., 5., prvega in drugega odstavka 6., 7., 8., 9., 20., 23., 24., 25., 44., 45. in 47. člena tega zakona;
2. prenos je nujno potreben za izvajanje nalog pristojnega organa, ki podatke prenese za namene iz prvega odstavka 1. člena tega zakona;
3. v tem posameznem primeru pristojni organ ugotovi, da človekove pravice in temeljne svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo nad javnim interesom za prenos;
4. prenos bi bil v skladu z drugimi določbami tega poglavja zakona neučinkovit ali neprimeren, zlasti ker ga ne bi bilo mogoče izvesti pravočasno;
5. pristojni organ tretje države je o tem brez nepotrebnega odlašanja obveščen, razen če to ne bi bilo učinkovito ali primerno;
6. pristojni organ obvesti uporabnika iz tretje države o določenem namenu ali namenih, izključno za katere lahko obdela osebne podatke, če je takšna obdelava potrebna.
(2) Pristojni organ obvesti nadzorni organ o prenosih, ki jih izvede na podlagi prejšnjega odstavka.
(3) Za prenose v skladu s prvim odstavkom tega člena se uporablja tretji odstavek 72. člena tega zakona.
(določitev nadzornega organa)
(1) Nadzorni organ po tem zakonu je Informacijski pooblaščenec, ki je neodvisni in samostojni nadzorni organ. Nadzorni organ izvaja nadzor nad izvajanjem določb tega zakona in drugih zakonov glede obdelav osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona.
(2) Nadzorni organ skrbi za enotno uresničevanje ukrepov na področju varstva osebnih podatkov po določbah tega zakona, tako da se zaščitijo človekove pravice in temeljne svoboščine posameznikov v zvezi z obdelavo osebnih podatkov ter omogoči prost pretok osebnih podatkov med državami članicami Evropske unije v skladu z določbami tega zakona.
(pristojnosti nadzornega organa)
(1) Nadzorni organ:
1. izvaja nadzore nad izvajanjem določb tega zakona in drugih zakonov, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil glede obdelav osebnih podatkov s področij iz prvega odstavka 1. člena tega zakona, na način, ki čim manj otežuje izvajanje pristojnosti in nalog nadzorovanih organov;
2. odloča v pritožbenem postopku, odloča v postopkih prijav prijaviteljev s posebnim položajem in izvaja inšpekcijski nadzor po tem zakonu;
3. daje predhodna mnenja ministrstvom, državnemu zboru, organom samoupravnih lokalnih skupnosti, drugim državnim organom in nosilcem javnih pooblastil o usklajenosti določb predlogov zakonov ter ostalih predpisov z zakoni in drugimi predpisi, ki urejajo osebne podatke s področij iz prvega odstavka 1. člena tega zakona; ministrstva in drugi organi posredujejo predloge zakonov in drugih predpisov pravočasno v mnenje nadzornemu organu;
4. izvaja predhodno posvetovanje v skladu s tem zakonom;
5. daje pristojnim organom in posameznikom neobvezna mnenja, pojasnila in stališča o vprašanjih glede varstva osebnih podatkov v zvezi z zakoni in povezanimi predpisi na področjih obravnavanja kaznivih dejanj, določenih v prvem odstavku 1. člena tega zakona;
6. spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo;
7. spodbuja ozaveščenost pristojnih organov, drugih upravljavcev in obdelovalcev o njihovih obveznostih na podlagi tega zakona;
8. sodeluje z nadzornimi organi drugih držav ali mednarodnih organizacij;
9. sodeluje pri delovanju Evropskega odbora za varstvo osebnih podatkov;
10. pripravi letno poročilo o izvajanju tega zakona v skladu z določbami zakonov, ki urejata Informacijskega pooblaščenca in varstvo osebnih podatkov;
11. obvesti pristojno sodišče o kršitvah zakona, lahko pa sodišču v sodnem postopku tudi posreduje mnenje o ugotovljenih kršitvah;
12. sodeluje s pristojnimi organi, drugimi upravljavci in obdelovalci pri izvajanju nadzorov v skladu z določbami tega zakona;
13. olajša postopek vložitve pritožb iz 27. člena tega zakona, zahtev iz 33. člena tega zakona in prijav, pritožb, sporočil, pobud in drugih vlog v postopku inšpekcijskega nadzora glede varstva osebnih podatkov iz 40. člena tega zakona, in sicer tako, da pripravi obrazce, ki se lahko vložijo tudi v elektronski obliki;
14. izvaja druge naloge, določene s tem zakonom.
(2) Nadzorni organ izvaja pristojnosti in naloge iz prejšnjega odstavka brezplačno.
(3) Nadzore po tem zakonu izvajajo nadzorne osebe, pri nadzoru pa lahko sodeluje strokovno osebje nadzornega organa.
(omejitve pri izvajanju nadzorov)
(1) Ne glede na določbe prejšnjega člena nadzorni organ ni pristojen za izvajanje nadzorov po tem zakonu in za prekrškovni nadzor glede:
1. obdelav osebnih podatkov, ki se obdelujejo v kazenski zadevi sodišča, izvedenih v okviru neodvisnega sodniškega odločanja ali odločanja strokovnih sodelavcev ali sodniških pomočnikov po odredbi sodnika, kot to opredeljuje zakon, ki ureja sodišča, ali po določbah drugih zakonov, ki določajo njihovo samostojno delovanje;
2. obdelav osebnih podatkov, izvedenih v okviru neodvisnega sodniškega odločanja Ustavnega sodišča Republike Slovenije v zadevah iz prejšnje točke.
(2) Pri nadzoru obdelav osebnih podatkov in zbirk podatkov, ki se nanašajo na tajne delavce po zakonih, ki urejata naloge in pooblastila policije in kazenski postopek, policiste, ki jim je dodeljena prirejena identiteta, ter policijske delavce tuje države s statusom tajnega delavca po zakonu, ki ureja naloge in pooblastila policije, zaščitene priče po zakonu, ki ureja zaščito prič, in osebe, ki dajejo podatke policiji po zakonu, ki ureja naloge in pooblastila policije (v nadaljnjem besedilu: zaščitene osebe), nadzorna oseba ne sme vpogledati v del dokumenta ali zbirke, ki vključuje osebne podatke o identiteti teh oseb in druge podatke, na podlagi katerih bi bilo mogoče identificirati te osebe, razen če je prijavo glede svojih osebnih podatkov podala zaščitena oseba kot prijavitelj s posebnim položajem. Nadzorni organ izvaja nadzor iz prejšnjega stavka tako, da opravi nadzor samo glede osebnih podatkov zaščitene osebe, ki je podala prijavo, pri opravljanju nadzora pa ni dopustno razkriti podatkov o delovanju pristojnega organa v konkretni zadevi.
(3) Nadzorovani organ lahko v skladu s 1. točko prvega odstavka prejšnjega člena obrazloženo obvesti nadzorni organ, da se nadzor v posamični zadevi izvaja na način, ki bi lahko otežil izvajanje pristojnosti in nalog nadzorovanega organa. Nadzorni organ v roku 24 ur obvesti nadzorovani organ o nadaljnjem delovanju v postopku nadzora.
(4) V odločitvah in dokumentaciji nadzornega organa po tem zakonu se ne navajajo konkretni podatki o lokaciji prostorov in tehnične značilnosti opreme pristojnih organov, ki niso dostopni javnosti.
(1) Nadzorni organ pristojnim nadzornim organom drugih držav članic Evropske unije na njihovo zahtevo zagotovi ustrezne informacije in medsebojno pomoč glede konkretne zadeve, ki jo potrebujejo za dosledno izvajanje in uporabo njihove zakonodaje, s katero v svoj pravni red prenašajo Direktivo 2016/680/EU.
(2) Informacije in medsebojna pomoč iz prejšnjega odstavka obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za posvetovanja, preglede in preiskave.
(3) Zahteva za pomoč mora vsebovati vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo za namen, za katerega so bile zahtevane.
(4) Nadzorni organ obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo.
(5) Zahteva se ne zavrne, razen če:
1. nadzorni organ ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov ali
2. bi izpolnitev zahteve kršila zakon.
(6) Nadzorni organ zavrnitev zahteve obrazloži.
(7) Nadzorni organ zahtevane informacije praviloma posreduje z elektronskimi sredstvi v standardizirani obliki.
(8) Nadzorni organ medsebojno pomoč zagotovi brez nepotrebnega odlašanja, najpozneje pa en mesec po prejemu zahteve.
(9) Ne glede na prejšnji odstavek se nadzorni organi lahko dogovorijo o pravilih o vzajemnih nadomestilih za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah.
(10) Nadzorni organ lahko zahteva pomoč nadzornih organov drugih držav članic Evropske unije. Zahteva za pomoč mora vsebovati vse potrebne informacije glede konkretne zadeve, vključno z namenom in obrazložitvijo zahteve, ki jo potrebuje za dosledno izvajanje in uporabo zakonov za namen iz prvega odstavka 1. člena tega zakona. Pridobljene informacije se uporabljajo samo za namen, za katerega so bile zahtevane.
(splošne kršitve s strani pristojnega organa in drugih upravljavcev)
(1) Z globo od 100 do 5.000 eurov se kaznuje za prekršek odgovorna oseba pristojnega organa ali drugega upravljavca, če:
1. obdeluje osebne podatke brez podlage v zakonu ali brez privolitve posameznika, na katerega se nanašajo osebni podatki (prvi in drugi odstavek 6. člena);
2. po izvedeni obdelavi ne sestavi ali ne posreduje poročila z navedbo razlogov za obdelavo in obsegom obdelanih osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki (tretji odstavek 6. člena);
3. obdeluje posebne vrste osebnih podatkov brez podlage v zakonu, pa to ni nujno potrebno za opravljanje nalog pristojnih organov, določenih z zakonom (1. točka drugega odstavka 7. člena);
4. na zahtevo posameznika ne opravi vsaj ponovnega in ročnega pregleda odločitve, ki temelji izključno na avtomatizirani obdelavi osebnih podatkov in ki ima lahko negativne posledice za pravni položaj in pravice posameznika, na katerega se nanašajo osebni podatki, ali ga lahko bistveno prizadene (prvi odstavek 11. člena);
5. po seznanitvi z uvedbo postopka izbriše ali spremeni zahtevane osebne podatke, ki so predmet postopka, dnevnike obdelav in druge zahtevane podatke, preden je o zadevi pravnomočno odločeno (prvi odstavek 16. člena);
6. javno ne objavi informacij iz 1. do 6. točke prvega odstavka 23. člena (tretji odstavek 23. člena);
7. ne vodi dokumentacije, iz katere izhaja, da je zagotovljena skladnost obdelav z zakonom (prvi odstavek 41. člena);
8. ne upravlja evidence vseh kategorij dejavnosti obdelave osebnih podatkov (prvi odstavek 46. člena);
9. dnevnik obdelave uporabi za druge namene od tistih, določenih v tretjem odstavku 47. člena tega zakona;
10. ne sporoči nemudoma vsem uporabnikom, da so jim bili posredovani ali dani na razpolago osebni podatki, ki ne ustrezajo zahtevam iz prvega odstavka 48. člena tega zakona, ali jim ne sporoči, da so bili posredovani nezakonito (tretji odstavek 48. člena), oziroma takšnih podatkov nemudoma ne popravi, jih izbriše ali omeji njihovo obdelavo (četrti odstavek 48. člena);
11. ne izvaja predpisanih ukrepov varnosti obdelave iz 1. do 10. točke drugega odstavka 51. člena tega zakona;
12. ne dokumentira vseh kršitev varnosti osebnih podatkov (peti odstavek 52. člena);
13. uporablja povezovalni znak v nasprotju z 61. členom tega zakona.
(2) Ne glede na 1. točko prejšnjega odstavka se z globo od 100 do 1.000 eurov kaznuje za prekršek odgovorna oseba pristojnega organa ali drugega upravljavca, ki brez podlage v zakonu ali brez privolitve posameznika, na katerega se nanašajo osebni podatki, obdeluje osebne podatke samo z vpogledom v posameznikove osebne podatke (prvi in drugi odstavek 6. člena).
(kršitve s področja pogodbene obdelave)
(1) Z globo od 400 do 20.000 eurov se za prekršek kaznuje pravna oseba, ki:
1. zaupa obdelavo drugemu obdelovalcu brez predhodnega posebnega pisnega dovoljenja pristojnega organa (drugi odstavek 44. člena);
2. ne deluje samo po navodilih pristojnega organa kot upravljavca (1. točka tretjega odstavka 44. člena);
3. ne zagotovi, da so osebe pri obdelovalcu, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti (2. točka tretjega odstavka 44. člena);
4. po zaključku izvajanja obdelave ne izbriše ali vrne vseh osebnih podatkov pristojnemu organu ali ne uniči obstoječih kopij teh osebnih podatkov (4. točka tretjega odstavka 44. člena);
5. v nasprotju z določbami tega zakona samostojno določi druge namene oziroma sredstva obdelave (peti odstavek 44. člena);
6. ne upravlja evidence vseh kategorij dejavnosti obdelave, ki jih izvaja v imenu pristojnega organa (tretji odstavek 46. člena);
7. dnevnik obdelave uporabi za druge namene od tistih, določenih v tretjem odstavku 47. člena tega zakona;
8. povezuje zbirke podatkov brez pravne podlage v zakonu (prvi odstavek 62. člena).
(2) Z globo od 200 do 10.000 eurov se za prekršek iz prejšnjega odstavka kaznuje samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 100 do 5.000 eurov se za prekršek iz prvega odstavka tega člena kaznuje odgovorna oseba pogodbenega obdelovalca, ki je pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost.
(4) Z globo od 40 do 5.000 eurov se za prekršek iz prvega odstavka kaznuje posameznik.
(kršitve s področja prenosov osebnih podatkov tretjim državam ali mednarodnim organizacijam)
Z globo od 100 do 5.000 eurov se kaznuje za prekršek odgovorna oseba pristojnega organa, če:
1. izvede prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo v nasprotju z določbami prvega odstavka 71. člena tega zakona;
2. izvede prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo v nasprotju z določbami prvega odstavka 72. člena tega zakona;
3. izvede posamezen prenos osebnih podatkov v tretjo državo, ki ni dopusten po 1. do 5. točki prvega odstavka 73. člena tega zakona;
4. izvede posebni prenos določenim uporabnikom v tretjih državah, ki ni dopusten po 1. do 6. točki prvega odstavka 74. člena tega zakona;
5. ne dokumentira izpolnjevanja pogojev iz prvega odstavka 72. člena, prvega odstavka 73. člena ali prvega odstavka 74. člena tega zakona (tretji odstavek 72. člena, tretji odstavek 73. člena in tretji odstavek 74. člena).
Za prekrške iz tega zakona se sme v hitrem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s tem zakonom.
PREHODNA IN KONČNA DOLOČBA
(prehodna določba glede delovanja nadzornega organa)
(1) Prekrškovni postopki v zvezi s področji iz prvega odstavka 1. člena tega zakona, ki so se začeli proti pristojnim organom pri Informacijskem pooblaščencu ali na sodiščih pred uveljavitvijo tega zakona, se končajo v skladu z Zakonom o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; v nadaljnjem besedilu: Zakon o varstvu osebnih podatkov), razen če je ta zakon za storilca milejši. Postopki inšpekcijskega nadzora v zvezi s področji iz prvega odstavka 1. člena tega zakona, začeti na podlagi Zakona o varstvu osebnih podatkov, se končajo po določbah Zakona o varstvu osebnih podatkov.
(2) Z dnem uveljavitve tega zakona se za pristojne organe prenehajo uporabljati določbe Zakona o varstvu osebnih podatkov, ki se nanašajo na Register zbirk osebnih podatkov pri Informacijskem pooblaščencu.
Ta zakon začne veljati trideseti dan po objavi v Uradnem listu Republike Slovenije.
Št. 040-05/20-27/23
Ljubljana, dne 20. novembra 2020
EPA 1345-VIII