Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam
o razglasitvi Zakona o izvajanju Uredbe (EU) o evropskem upravljanju podatkov (ZIUEUP)
Razglašam Zakon o izvajanju Uredbe (EU) o evropskem upravljanju podatkov (ZIUEUP), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 22. novembra 2024.
Št. 003-02-1/2024-259
Ljubljana, dne 30. novembra 2024
O IZVAJANJU UREDBE (EU) O EVROPSKEM UPRAVLJANJU PODATKOV (ZIUEUP)
Ta zakon določa pristojne organe za izvajanje in nadzor nad izvajanjem Uredbe (EU) 2022/868 Evropskega parlamenta in Sveta z dne 30. maja 2022 o evropskem upravljanju podatkov in spremembi Uredbe (EU) 2018/1724 (UL L št. 152 z dne 3. junija 2022, str. 1; v nadaljnjem besedilu: Uredba 2022/868/EU), njihova pooblastila, pristojbine in plačila stroškov storitve zagotavljanja varnega okolja, prekrške ter sankcije za izvajanje Uredbe 2022/868/EU in tega zakona.
II. PONOVNA UPORABA NEKATERIH KATEGORIJ ZAŠČITENIH PODATKOV ORGANOV JAVNEGA SEKTORJA
(pristojni organ in plačilo stroškov storitve zagotavljanja varnega okolja)
(1) Naloge pristojnega organa iz prvega odstavka 7. člena in naloge enotne informacijske točke iz prvega odstavka 8. člena Uredbe 2022/868/EU izvaja ministrstvo, pristojno za digitalno preobrazbo (v nadaljnjem besedilu: ministrstvo).
(2) Na enotni informacijski točki iz prejšnjega odstavka so objavljeni seznami evidenc o kategorijah podatkov, ki jih hranijo organi javnega sektorja in ki so zaščiteni iz razlogov iz prvega odstavka 3. člena Uredbe 2022/868/EU (v nadaljnjem besedilu: zaščiteni podatki organov javnega sektorja) ter so opisani z metapodatki v skladu s predpisom, ki ureja posredovanje in ponovno uporabo informacij javnega značaja.
(3) Organi javnega sektorja iz prejšnjega odstavka so tisti organi, ki sestavljajo javni sektor v skladu z zakonom, ki ureja javne uslužbence, ter javna podjetja in gospodarske družbe, v katerih ima večinski delež oziroma prevladujoč vpliv država ali lokalna skupnost.
(4) Varno okolje za obdelavo zaščitenih podatkov organov javnega sektorja iz četrtega odstavka 7. člena Uredbe 2022/868/EU zagotavlja ministrstvo. Ministrstvo organom javnega sektorja zaračuna stroške storitve zagotavljanja varnega okolja za obdelavo zaščitenih podatkov organov javnega sektorja iz točke d) petega odstavka 6. člena Uredbe 2022/868/EU. Organ javnega sektorja plačilo stroškov storitve zagotavljanja varnega okolja vključi v pristojbino, ki jo odmeri v skladu s 6. členom Uredbe 2022/868/EU in z 9. členom tega zakona.
(5) Stroški storitve zagotavljanja varnega okolja za organe javnega sektorja, ki so predlagatelji finančnih načrtov državnega proračuna, se zagotavljajo v finančnem načrtu ministrstva. Organi javnega sektorja, ki niso predlagatelji finančnih načrtov državnega proračuna, storitev zagotavljanja varnega okolja plačujejo v skladu s cenikom, ki ga določi minister, pristojen za digitalno preobrazbo (v nadaljnjem besedilu: minister). Pri določitvi cenika se upoštevajo stroški strojne in programske opreme, obratovalni stroški in stroški zagotavljanja okoljskih pogojev, ki so potrebni za vzpostavitev in delovanje varnega okolja za obdelavo zaščitenih podatkov organov javnega sektorja.
(6) Plačilo storitve zagotavljanja varnega okolja za obdelavo zaščitenih podatkov organov javnega sektorja je namenski prihodek državnega proračuna, ki se porabi za financiranje vzpostavitve in delovanja varnega okolja za obdelavo zaščitenih podatkov organov javnega sektorja.
(ponovna uporaba zaščitenih podatkov organov javnega sektorja)
(1) Organi javnega sektorja odločijo o ponovni uporabi zaščitenih podatkov organov javnega sektorja ob upoštevanju pogojev za ponovno uporabo iz Uredbe 2022/868/EU in tega zakona ter po zakonu, ki ureja splošni upravni postopek, če Uredba 2022/868/EU ali ta zakon ne določata drugače, ter odločijo v dveh mesecih od prejema vloge ali v podaljšanem roku iz drugega pododstavka prvega odstavka 9. člena Uredbe 2022/868/EU.
(2) Kadar je dovoljena ponovna uporaba zaščitenih podatkov organov javnega sektorja v znanstvenoraziskovalne, zgodovinskoraziskovalne ali statistične namene (v nadaljnjem besedilu: raziskovanje), raziskovanje izvajajo organizacija oziroma posamezniki, ki pri svojem delovanju uporabljajo etična načela in metodologijo s področja raziskovanja ter pravila glede varstva podatkov iz drugega poglavja Uredbe 2022/868/EU (v nadaljnjem besedilu: raziskovalec). Raziskovalec, ki je podal vlogo za ponovno uporabo zaščitenih podatkov organov javnega sektorja, se pogodbeno zaveže, da bo spoštoval deseti odstavek 5. člena Uredbe 2022/868/EU.
(3) Ko organi javnega sektorja odločajo o ponovni uporabi osebnih podatkov iz točke d) prvega odstavka 3. člena Uredbe 2022/868/EU, odločajo ob upoštevanju pogojev za ponovno uporabo iz Uredbe 2022/868/EU in tega zakona ter po posebnih pravilih glede obdelave osebnih podatkov za znanstvenoraziskovalne, zgodovinskoraziskovalne, statistične in arhivske namene iz zakona, ki ureja varstvo osebnih podatkov, če Uredba 2022/868/EU ali ta zakon ne določata drugače, ter odločijo v dveh mesecih od prejema vloge ali v podaljšanem roku iz drugega pododstavka prvega odstavka 9. člena Uredbe 2022/868/EU.
(vloga za ponovno uporabo zaščitenih podatkov organov javnega sektorja)
(1) Vloga za ponovno uporabo zaščitenih podatkov organov javnega sektorja vsebuje zlasti naslednje podatke:
1. podatke o raziskovalcu (za fizično osebo: osebno ime, naslov stalnega ali začasnega prebivališča, elektronski naslov, za samostojnega podjetnika posameznika, posameznika, ki samostojno opravlja dejavnost, in za pravno osebo: naziv ali firmo in naslov ali sedež in matično številko, elektronski naslov) in podpis vlagatelja ali pooblaščene osebe,
2. navedbo, kateremu organu javnega sektorja, ki hrani zaščitene podatke javnega sektorja, se vloga pošilja,
3. opredelitev, do katerih zaščitenih podatkov organov javnega sektorja želi raziskovalec dostopati in jih ponovno uporabiti,
4. namen ponovne uporabe zaščitenih podatkov organov javnega sektorja in razloge, ki izkazujejo ustreznost, relevantnost in omejenost tovrstnih podatkov na to, kar je potrebno za dosego namenov pridobitve,
5. navedbo, ali namerava raziskovalec neosebne zaščitene podatke organov javnega sektorja prenesti v tretjo državo, in katero, ter namen takega prenosa (v skladu z devetim odstavkom 5. člena Uredbe 2022/868/EU),
6. obliko in način pridobitve zaprošenih podatkov in navedbo razlogov za zadevno obliko podatkov,
7. opis raziskave, ki vključuje:
– naslov raziskave in navedbo nosilcev raziskave (za fizične osebe: osebno ime, naziv in prebivališče, za pravno osebo: firmo, matično številko in sedež),
– podatke o izvajalcih raziskave (osebno ime, strokovni naziv, prebivališče, morebitno razmerje do nosilca raziskave in morebitna šifra raziskovalca),
– namene in cilje raziskave,
– trajanje raziskave,
– predvidena sredstva in dejanja ponovne uporabe podatkov, vključno z navedbo etičnih načel in metodologije iz drugega odstavka prejšnjega člena, in ukrepi za varnost zaščitenih podatkov organov javnega sektorja,
– način objave ali drugačne dostopnosti raziskave.
(2) Minister po potrebi predpiše dodatne sestavine vloge iz prejšnjega odstavka.
(3) Vloga za ponovno uporabo zaščitenih podatkov organov javnega sektorja se vloži v elektronski obliki na enotni informacijski točki iz 2. člena tega zakona, pri čemer se uporabi sredstvo elektronske identifikacije najmanj srednje ravni zanesljivosti ali se uporabi drug način elektronske identifikacije za dostop do elektronskih storitev najmanj srednje ravni zanesljivosti v skladu s predpisi, ki urejajo elektronske identifikacije in storitve zaupanja.
(4) Organ javnega sektorja zavrne vlogo za ponovno uporabo zaščitenih podatkov organov javnega sektorja, če:
1. niso izpolnjeni pogoji iz prejšnjega člena in 5. člena Uredbe 2022/868/EU,
2. presodi, da zahtevani podatki niso primerni za izvedbo raziskave iz 7. točke prvega odstavka tega člena,
3. presodi, da nameni oziroma cilji raziskave ne upravičujejo posega v pravice posameznikov, na katere se nanašajo osebni podatki, ali imetnikov podatkov,
4. presodi, da ukrepi za varnost podatkov niso ustrezni, ali
5. gre za tajne podatke v skladu z zakonom, ki ureja tajne podatke, ali varovane podatke, za katere predpisi, ki urejajo naloge in pooblastila policije, določajo omejitve razkritja, ali podatke v zvezi z izvajanjem nalog in pooblastil v skladu z zakoni, ki urejajo izvajanje obveščevalno-varnostnih in protiobveščevalnih dejavnosti države, ali podatke, za katere predpisi s področja informacijske in kibernetske varnosti določajo omejitve razkritja.
(1) Zoper odločbo, s katero je organ javnega sektorja odločil o zahtevi za ponovno uporabo zaščitenih podatkov organov javnega sektorja, in zoper sklep, s katerim je organ javnega sektorja zahtevo zavrgel, ima prosilec pravico do pritožbe.
(2) O pritožbi odloča Informacijski pooblaščenec.
(3) Postopek s pritožbo se izvaja po zakonu, ki ureja splošni upravni postopek.
(varstvo pravic tretjih oseb v postopku)
V postopkih odločanja o ponovni uporabi zaščitenih podatkov organov javnega sektorja lahko organ prve stopnje ali Informacijski pooblaščenec zainteresirane tretje osebe o postopku obvesti z javnim naznanilom, ki se objavi na osrednjem spletnem mestu državne uprave, lahko pa tudi v javnih občilih ali na drug krajevno običajen način.
(pregled spisa v zadevah ponovne uporabe zaščitenih podatkov organov javnega sektorja)
(1) Pravica strank do pregleda dokumentov v zadevah ponovne uporabe zaščitenih podatkov organov javnega sektorja po zakonu, ki ureja splošni upravni postopek, do pravnomočnosti odločbe Informacijskega pooblaščenca ne vključuje pregleda dokumentov zadeve, iz katerih bi bilo mogoče razbrati vsebino zaščitenih podatkov organov javnega sektorja ali sklepati o taki vsebini.
(2) Po pravnomočnosti odločbe Informacijskega pooblaščenca pravica stranke iz prejšnjega odstavka vključuje pregled dokumentov zadeve v obsegu, dovoljenem s pravnomočno odločbo Informacijskega pooblaščenca.
(procesno dejanje v zadevah ponovne uporabe zaščitenih podatkov organov javnega sektorja)
(1) Informacijski pooblaščenec lahko opravi procesno dejanje v zahtevi za ponovno uporabo zaščitenih podatkov organov javnega sektorja brez prisotnosti stranke, ki zahteva ponovno uporabo, ali osebe, ki ima v postopku enake pravice in dolžnosti kot stranka (v nadaljnjem besedilu: stranka), v celoti ali delno, če bi taka prisotnost škodovala izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb, o čemer Informacijski pooblaščenec odloči s sklepom in o tem obvesti stranko. V tem primeru Informacijski pooblaščenec tudi ne dovoli prisotnosti pri drugih dejanjih v postopku in stranki ne vroči zapisnika o teh dejanjih.
(2) Proti sklepu iz prejšnjega odstavka ni pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni zadevi.
(1) Ko organ javnega sektorja odloča o ponovni uporabi zaščitenih podatkov organov javnega sektorja, odloči tudi o plačilu pristojbine iz 6. člena Uredbe 2022/868/EU.
(2) Pri določitvi višine pristojbine iz prejšnjega odstavka organ javnega sektorja upošteva stroške iz petega odstavka 6. člena Uredbe 2022/868/EU in v tem okviru zahtevnost dela in višino urne postavke zaposlenih.
(3) Pristojbina, ki jo zaračuna organ javnega sektorja, ki je predlagatelj finančnega načrta državnega proračuna, je prihodek državnega proračuna.
(4) Vlada predpiše podrobnejša merila in metodologijo za izračun pristojbin iz prvega odstavka tega člena.
(5) Vlada predpiše pogoje in načine dodeljevanja državnih pomoči v primeru znižanega plačila ali oprostitve plačila pristojbin v skladu s četrtim odstavkom 6. člena Uredbe 2022/868/EU.
III. STORITVE POSREDOVANJA PODATKOV
Naloge pristojnega organa iz prvega odstavka 13. člena Uredbe 2022/868/EU izvaja ministrstvo.
(uporaba drugih predpisov v postopku priglasitve storitev posredovanja podatkov)
Ministrstvo pri izvajanju nalog v zvezi s postopkom priglasitve storitev posredovanja podatkov iz prejšnjega člena odloča po zakonu, ki ureja splošni upravni postopek, če Uredba 2022/868/EU ali ta zakon ne določata drugače, v roku, določenem z 11. členom Uredbe 2022/868/EU.
(priglasitev ponudnikov storitev posredovanja podatkov)
(1) Ministrstvo vodi uradno evidenco ponudnikov storitev posredovanja podatkov, ki so mu priglasili opravljanje storitev posredovanja podatkov, in jo objavi na osrednjem spletnem mestu državne uprave. Evidenca vsebuje podatke iz točk a), b), c), d), f) in g) šestega odstavka 11. člena Uredbe 2022/868/EU.
(2) Če ponudnik storitev posredovanja podatkov poda zahtevo iz osmega odstavka 11. člena Uredbe 2022/868/EU, mu ministrstvo izda potrdilo.
(3) Če ponudnik storitev posredovanja podatkov poda zahtevo iz devetega odstavka 11. člena Uredbe 2022/868/EU, ministrstvo o zahtevi odloči z odločbo.
(4) Ministrstvo po uradni dolžnosti iz evidence iz prvega odstavka tega člena izbriše ponudnika storitev posredovanja podatkov, ki je ministrstvo obvestil o prenehanju opravljanja dejavnosti ali če mu je inšpektor za informacijsko družbo z dokončno odločbo prepovedal opravljanje dejavnosti.
Naloge pristojnega organa iz prvega odstavka 23. člena Uredbe 2022/868/EU izvaja ministrstvo, pristojno za delovanje nevladnih organizacij.
(uporaba drugih predpisov pri vodenju javnega nacionalnega registra priznanih organizacij za podatkovni altruizem)
Pristojni organ iz prejšnjega člena pri izvajanju nalog v zvezi z vodenjem javnega nacionalnega registra priznanih organizacij za podatkovni altruizem odloča po zakonu, ki ureja splošni upravni postopek, če Uredba 2022/868/EU ali ta zakon ne določata drugače, v roku, določenem z 19. členom Uredbe 2022/868/EU.
(registracija priznanih organizacij za podatkovni altruizem)
(1) Organizacija, ki izpolnjuje pogoje za nevladno organizacijo iz zakona, ki ureja nevladne organizacije, in pogoje iz 18. člena Uredbe 2022/868/EU, se registrira pri pristojnem organu iz 13. člena tega zakona kot priznana organizacija za podatkovni altruizem, če gre za pravno osebo s podeljenim statusom nevladne organizacije v javnem interesu v skladu z zakonom, ki ureja nevladne organizacije, in če poda vlogo, ki vsebuje sestavine, določene z zakonom, ki ureja splošni upravni postopek, in sestavine, ki jih določa četrti odstavek 19. člena Uredbe 2022/868/EU.
(2) Pristojni organ iz 13. člena tega zakona na podlagi vloge iz prejšnjega odstavka izda odločbo iz petega odstavka 19. člena Uredbe 2022/868/EU.
(3) Pristojni organ iz 13. člena tega zakona vodi uradno evidenco priznanih organizacij za podatkovni altruizem, ki vsebuje podatke iz šestega odstavka 19. člena Uredbe 2022/868/EU, in jo objavi na osrednjem spletnem mestu državne uprave.
(4) Pristojni organ iz 13. člena tega zakona priznano organizacijo za podatkovni altruizem izbriše iz evidence iz prejšnjega odstavka, če ji je inšpektor za informacijsko družbo z dokončno odločbo prepovedal opravljanje dejavnosti.
(1) Nadzor nad izvajanjem Uredbe 2022/868/EU, delegiranih aktov, sprejetih na podlagi Uredbe 2022/868/EU, in tega zakona izvaja inšpekcija za informacijsko družbo.
(2) Če inšpektor za informacijsko družbo z odločbo prepove opravljanje dejavnosti ponudniku storitev posredovanja podatkov ali priznani organizaciji za podatkovni altruizem, o tem obvesti ustrezni pristojni organ iz 10. ali 13. člena tega zakona.
VI. KAZENSKE DOLOČBE
(1) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, ki ji je bila podeljena pravica do ponovne uporabe neosebnih zaščitenih podatkov organov javnega sektorja, in ki prenese podatke v tiste tretje države, za katere niso izpolnjene zahteve iz desetega, dvanajstega ali trinajstega odstavka 5. člena Uredbe 2022/868/EU (štirinajsti odstavek 5. člena Uredbe 2022/868/EU).
(2) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, ki ji je bila podeljena pravica do ponovne uporabe zaščitenih podatkov organov javnega sektorja, in ki ponovno uporabi zaščitene podatke javnega sektorja v nasprotju z namenom iz drugega odstavka 3. člena tega zakona.
(3) Z globo od 400 do 1.200 eurov se za prekršek iz prvega ali drugega odstavka tega člena kaznuje samostojni podjetnik ali posameznik, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 6.000 eurov se za prekršek iz prvega ali drugega odstavka tega člena kaznuje odgovorna oseba pravne osebe, odgovorna oseba samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ter odgovorna oseba v državnem organu ali samoupravni lokalni skupnosti.
(5) Z globo od 400 do 1.200 eurov se za prekršek iz prvega ali drugega odstavka tega člena kaznuje posameznik.
(1) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, če:
1. opravlja storitve posredovanja podatkov brez priglasitve (prvi odstavek 11. člena Uredbe 2022/868/EU) ali brez izpolnjevanja pogojev iz 12. člena Uredbe 2022/868/EU (četrti odstavek 11. člena Uredbe 2022/868/EU),
2. ne imenuje zakonitega zastopnika, če nima sedeža v Evropski uniji (tretji odstavek 11. člena Uredbe 2022/868/EU),
3. uporablja v pisni in govorni komunikaciji naziv »ponudnik storitev posredovanja podatkov, priznan v Uniji« in skupni logotip brez dokončne odločbe iz tretjega odstavka 12. člena tega zakona (deveti odstavek 11. člena Uredbe 2022/868/EU),
4. ne obvesti ministrstva v roku o spremembah informacij iz šestega odstavka 11. člena Uredbe 2022/868/EU (dvanajsti odstavek 11. člena Uredbe 2022/868/EU) ali o prenehanju opravljanja dejavnosti (trinajsti odstavek 11. člena Uredbe 2022/868/EU),
5. ravna v nasprotju z 12. členom Uredbe 2022/868/EU.
(2) Z globo od 400 do 1.200 eurov se za prekrške iz prejšnjega odstavka tega člena kaznuje samostojni podjetnik ali posameznik, ki samostojno opravlja dejavnost.
(3) Z globo od 400 do 6.000 eurov se za prekršek iz prvega odstavka kaznuje odgovorna oseba pravne osebe, odgovorna oseba samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 1.200 eurov se za prekršek iz prvega odstavka tega člena kaznuje posameznik.
(1) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, če:
1. se med izvajanjem dejavnosti podatkovnega altruizma pravnoorganizacijsko preoblikuje tako, da ni več pravna oseba, ustanovljena za doseganje ciljev v splošnem interesu (točka (b) 18. člena Uredbe 2022/868/EU),
2. med izvajanjem dejavnosti podatkovnega altruizma ne deluje več nepridobitno in je pravno odvisna od katerega koli subjekta, ki deluje pridobitno (točka (c) 18. člena Uredbe 2022/868/EU),
3. izvaja dejavnosti podatkovnega altruizma prek strukture, ki funkcionalno ni ločena od drugih njenih dejavnosti (točka (d) 18. člena Uredbe 2022/868/EU).
(2) Z globo od 400 do 6.000 eurov se za prekršek iz prejšnjega odstavka kaznuje odgovorna oseba pravne osebe.
(1) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, če:
1. ne vodi popolne in natančne evidence o vseh fizičnih ali pravnih osebah, ki so imele možnost obdelati podatke, ki jih hrani ta priznana organizacija za podatkovni altruizem, in njihovih kontaktnih podatkih, o datumu ali trajanju obdelave osebnih podatkov ali uporabe neosebnih podatkov, o namenu obdelave v skladu z izjavo fizične ali pravne osebe, ki je dobila možnost obdelave, ali o morebitnih pristojbinah, ki so jih fizične ali pravne osebe plačale za obdelavo podatkov (prvi odstavek 20. člena Uredbe 2022/868/EU),
2. ne pripravi in pristojnemu organu iz 13. člena tega zakona ne pošlje letnega poročila o dejavnostih, ki vsebuje vsaj podatke iz drugega odstavka 20. člena Uredbe 2022/868/EU.
(2) Z globo od 400 do 6.000 eurov se za prekršek iz prejšnjega odstavka kaznuje odgovorna oseba pravne osebe.
(1) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, če:
1. pred vsako obdelavo podatkov ne obvesti posameznikov, na katere se nanašajo osebni podatki, ali imetnikov podatkov na jasen in zlahka razumljiv način o ciljih v splošnem interesu ter po potrebi o določenem, izrecnem in zakonitem namenu, za katerega se bodo osebni podatki obdelovali, kadar za te cilje in ta namen uporabniku podatkov dovoljuje obdelavo njihovih podatkov (točka (a) prvega odstavka 21. člena Uredbe 2022/868/EU), ali o lokaciji in ciljih v splošnem interesu, za katere dovoljuje vsako obdelavo, ki se izvaja v tretji državi, kadar obdelavo izvaja priznana organizacija za podatkovni altruizem (točka (b) prvega odstavka 21. člena Uredbe 2022/868/EU),
2. ne uporablja podatkov samo za cilje v splošnem interesu in za katere posameznik, na katere se nanašajo osebni podatki, ali imetnik podatkov dovoljuje obdelavo ali če za pridobivanje podatkov uporablja zavajajoče tržne prakse (drugi odstavek 21. člena Uredbe 2022/868/EU),
3. ne zagotovi orodja za pridobitev privolitve posameznikov, na katere se nanašajo osebni podatki, ali dovoljenj za obdelavo podatkov, ki jih dajo na voljo imetniki podatkov, ali orodja za enostaven umik take privolitve ali dovoljenja (tretji odstavek 21. člena Uredbe 2022/868/EU),
4. ne sprejme ukrepov, s katerimi zagotovi ustrezno raven varnosti za shranjevanje in obdelavo neosebnih podatkov, ki jih je zbrala na podlagi podatkovnega altruizma (četrti odstavek 21. člena Uredbe 2022/868/EU),
5. ne obvesti brez odlašanja imetnikov podatkov v primeru vsakega nepooblaščenega prenosa neosebnih podatkov, ki jih je dal v souporabo, nepooblaščenega dostopa do njih ali njihove nepooblaščene uporabe (peti odstavek 21. člena Uredbe 2022/868/EU),
6. ne priskrbi orodja za pridobitev privolitve posameznikov, na katere se nanašajo osebni podatki, ali dovoljenja za obdelavo podatkov, ki jih dajo na voljo imetniki podatkov, ali ne navede pristojnosti tretje države, v kateri naj bi se podatki uporabljali, kadar omogoča, da tretje osebe obdelujejo podatke (šesti odstavek 21. člena Uredbe 2022/868/EU).
(2) Z globo od 400 do 6.000 eurov se za prekršek iz prejšnjega odstavka kaznuje odgovorna oseba pravne osebe.
(1) Z globo od 4.500 do 60.000 eurov se za prekršek kaznuje pravna oseba, če:
1. ne sprejme vseh razumnih tehničnih, pravnih ali organizacijskih ukrepov, tudi pogodenih dogovorov za preprečitev mednarodnega prenosa neosebnih podatkov, hranjenih v Evropski uniji, ali dostopa državnih organov drugih držav do teh podatkov (prvi odstavek 31. člena Uredbe 2022/868/EU),
2. je ob prenosu podatkov v tretjo državo zagotovila večjo količino podatkov, kot je bilo to sprejemljivo, ob upoštevanju drugega in tretjega odstavka 31. člena Uredbe 2022/868/EU (četrti odstavek 31. člena Uredbe 2022/868/EU),
3. ob prenosu podatkov v tretjo državo ni obvestila imetnika podatkov o prošnji upravnega organa tretje države za dostop do njegovih podatkov pred ugoditvijo prošnji za prenos, razen v primeru prošnje z namenom kazenskega pregona in dokler je to potrebno za ohranitev učinkovitosti kazenskega pregona (peti odstavek 31. člena Uredbe 2022/868/EU).
(2) Z globo od 400 do 6.000 eurov se za prekršek iz prejšnjega odstavka kaznuje odgovorna oseba pravne osebe, odgovorna oseba samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, ter odgovorna oseba v državnem organu ali v samoupravni lokalni skupnosti.
(3) Z globo od 400 do 1.200 eurov se za prekrške iz prvega odstavka tega člena kaznuje samostojni podjetnik ali posameznik, ki samostojno opravlja dejavnost.
(4) Z globo od 400 do 1.200 eurov se za prekršek iz prvega ali drugega odstavka tega člena kaznuje posameznik.
Pri odmeri sankcije v skladu z zakonom, ki ureja prekrške, se pri odločanju nadzornega organa o višini izrečene globe za kršitve iz 17. do 22. člena tega zakona upoštevajo tudi merila iz drugega odstavka 34. člena Uredbe 2022/868/EU.
(višina globe v hitrem prekrškovnem postopku)
Za prekrške iz tega zakona se sme v hitrem prekrškovnem postopku izreči globa tudi v znesku, ki je višji od najnižje predpisane globe, določene s tem zakonom.
VII. PREHODNI IN KONČNA DOLOČBA
(izdaja podzakonskih aktov)
(1) Vlada izda predpis iz četrtega in petega odstavka 9. člena tega zakona v šestih mesecih od uveljavitve tega zakona.
(2) Vlada v šestih mesecih od uveljavitve tega zakona uskladi Uredbo o posredovanju in ponovni uporabi informacij javnega značaja (Uradni list RS, št. 24/16 in 146/22) z drugim odstavkom 2. člena tega zakona.
(3) Cenik iz petega odstavka 2. člena tega zakona določi minister v šestih mesecih od uveljavitve tega zakona.
Četrti odstavek 2. člena tega zakona se v delu, ki se nanaša na vzpostavitev varnega okolja, začne uporabljati šest mesecev od uveljavitve tega zakona.
Ta zakon začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 040-05/24-12/11
Ljubljana, dne 22. novembra 2024
EPA 1688-IX
mag. Urška Klakočar Zupančič
predsednica
