Zakon o varstvu osebnih podatkov na področju...

3110. Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD)

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena Ustave Republike Slovenije izdajam

U K A Z
o razglasitvi Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD)

Razglašam Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki ga je sprejel Državni zbor Republike Slovenije na seji dne 20. novembra 2020.

Št. 003-02-9/2020-8

Ljubljana, dne 28. novembra 2020

Borut Pahor predsednik Republike Slovenije

Z A K O N
O VARSTVU OSEBNIH PODATKOV NA PODROČJU OBRAVNAVANJA KAZNIVIH DEJANJ (ZVOPOKD)

I. POGLAVJE

SPLOŠNE DOLOČBE

1. člen

(vsebina)

(1)

Ta zakon ureja varstvo pri obdelavi osebnih podatkov, ki jih policija, državna tožilstva, Uprava Republike Slovenije za probacijo, Uprava Republike Slovenije za izvrševanje kazenskih sankcij in drugi državni organi Republike Slovenije, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij (v nadaljnjem besedilu: pristojni organi), obdelujejo za namene izvrševanja teh pristojnosti.

(2)

Ta zakon ureja tudi, kdaj sodišča, ki odločajo v kazenskih zadevah, uporabljajo določbe tega zakona o obdelavi in dostopu do osebnih podatkov v kazenskih zadevah.

(3)

Ta zakon ureja tudi pogoje za zakonito in pošteno obdelavo osebnih podatkov, postopke in načine odkrivanja in preprečevanja nezakonitih posegov v pravice posameznice ali posameznika (v nadaljnjem besedilu: posameznik), na katerega se nanašajo osebni podatki, načine uveljavljanja njegovih pravic in prenos osebnih podatkov tretjim državam in mednarodnim organizacijam. Za učinkovito varstvo zakonitosti in poštenosti obdelave osebnih podatkov ureja tudi nadzorna pooblastila in nadzorne ukrepe nadzornega organa ter odgovornost za prekrške glede njihovih kršitev.

(4)

S tem zakonom se v pravni red Republike Slovenije prenašata Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L št. 119 z dne 4. 5. 2016, str. 89), zadnjič popravljena s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 20), (v nadaljnjem besedilu: Direktiva 2016/680/EU) ter Direktiva (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj (UL L št. 119 z dne 4. 5. 2016, str. 132) v delu, ki se nanaša na položaj in naloge pooblaščenih oseb za varstvo osebnih podatkov.

2. člen

(prepoved diskriminacije glede obdelave osebnih podatkov)

Obdelava osebnih podatkov je prepovedana, če se izvaja na način ali ima za posledico nedopustno diskriminacijo glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, državljanstvo, kraj oziroma vrsto prebivališča, zdravstveno stanje, genske predispozicije ali katero koli drugo osebno okoliščino posameznika.

3. člen

(področje uporabe)

Določbe tega zakona se uporabljajo za obdelave osebnih podatkov, ki se v celoti ali delno izvajajo z avtomatiziranimi sredstvi, in za obdelave osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvajajo z avtomatiziranimi sredstvi.

4. člen

(pomen izrazov)

Izrazi, uporabljeni v tem zakonu, pomenijo:

1.

»osebni podatek« je katera koli informacija v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji in spletni identifikator, ali z navedbo enega ali več dejavnikov, značilnih za fizično, fiziološko, gensko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

2.

»obdelava« je vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

3.

»omejitev obdelave« je označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

4.

»oblikovanje profilov« je vsaka oblika avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

5.

»psevdonimizacija« je obdelava osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

6.

»zbirka« je vsak strukturiran niz osebnih podatkov, dostopnih v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

7.

»upravljavec« je pristojni organ, ki sam ali skupaj z drugimi določa sredstva obdelave osebnih podatkov v skladu z namenom, določenim v zakonu; upravljavec je lahko tudi drug državni organ, določen z zakonom ali obdelovalec v skladu z določbami tega zakona;

8.

»obdelovalec« je fizična ali pravna oseba, državni organ, organ samoupravne lokalne skupnosti, javna agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

9.

»uporabnik« je fizična ali pravna oseba, državni organ, organ samoupravne lokalne skupnosti, javna agencija ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Državni organi, ki imajo za obdelavo osebnih podatkov zakonsko podlago in so jim osebni podatki posredovani za zakonit namen obdelave, niso uporabniki po določbah tega zakona;

10.

»privolitev« posameznika, na katerega se nanašajo osebni podatki, je vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;

11.

»kršitev varnosti osebnih podatkov« je kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

12.

»posebne vrste osebnih podatkov« so osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, obdelavo genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem posameznikov in podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo;

13.

»genski podatki« so osebni podatki v zvezi s podedovanimi ali pridobljenimi genskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

14.

»biometrični podatki« so osebni podatki, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

15.

»podatki o zdravstvenem stanju« so osebni podatki, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

16.

»nadzorni organ« je Informacijski pooblaščenec, določen z zakonom, ki ureja Informacijskega pooblaščenca;

17.

»nadzorne osebe« so informacijski pooblaščenec in nadzorniki za varstvo osebnih podatkov, kot jih določa zakon, ki ureja Informacijskega pooblaščenca, kadar izvajajo nadzor po določbah tega zakona;

18.

»mednarodna organizacija« je organizacija in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljena z mednarodno pogodbo med dvema ali več državami ali na podlagi take mednarodne pogodbe;

19.

»izbris« je trajna odstranitev ali uničenje osebnega podatka, tako da ga ni več mogoče obnoviti;

20.

»anonimiziranje« je takšna sprememba osebnih podatkov, da jih ni več mogoče povezati s posameznikom ali je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa; tako anonimizirani podatki pa ne veljajo za osebne podatke po tem zakonu;

21.

»blokiranje« je takšna označitev ali izločitev osebnih podatkov, da se omeji ali prepreči njihova nadaljnja obdelava, blokirani podatki pa veljajo za osebne podatke po tem zakonu;

22.

»povezovalni znak« je osebna identifikacijska številka in druge z zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo katerih je mogoče zbrati oziroma priklicati osebne podatke iz zbirk osebnih podatkov, v katerih so enolične identifikacijske številke obdelovane, ter druge podobne znake v javnem sektorju, ki se redno ali sistematično uporabljajo za povezovanje zbirk med različnimi upravljavci ali dveh ali več zbirk, ki jih upravlja en upravljavec;

23.

»kazenska zadeva sodišča« je izvajanje sodne oblasti, kar vključuje opravljanje preiskave in preiskovalnih dejanj, sojenje in obravnavanje pravnih sredstev v kazenski zadevi iz pristojnosti sodišč s splošno pristojnostjo, kot jo določa zakon, ki ureja sodišča, ter o kateri odloča sodišče v skladu z zakoni, ki urejajo sodne postopke;

24.

»zakon« je ta zakon, drugi zakoni, obvezujoče mednarodne pogodbe, ki zavezujejo Republiko Slovenijo, ter pravni akti ali odločitve Evropske unije, katerih določbe so enakovredne zakonom in neposredno uporabljive ali neposredno učinkovite.

5. člen

(načela varstva osebnih podatkov)

Osebni podatki:

1.

se obdelujejo zakonito, pošteno in pregledno za posameznika, na katerega se nanašajo osebni podatki (zakonitost, poštenost in preglednost);

2.

se zbirajo za določene, izrecne in zakonite namene ter jih ni dovoljeno nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena);

3.

so ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov);

4.

so točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (točnost in posodobljenost);

5.

se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za izpolnitev namena, za katerega se osebni podatki obdelujejo, razen če je z zakonom določen drug rok hrambe (omejitev roka hrambe);

6.

se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo, pred nenamerno izgubo, uničenjem, poškodbo ali izgubo razpoložljivosti, z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost, zaupnost in razpoložljivost).

6. člen

(zakonitost obdelave)

(1)

Obdelava osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona je zakonita le, če je potrebna in v obsegu, v katerem je potrebna, za opravljanje nalog pristojnih organov, določenih z zakonom, ter če vrste osebnih podatkov, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen obdelave in rok hrambe ali rok za redni pregled potrebe po hrambi določa zakon.

(2)

Pristojni organi lahko obdelujejo tudi osebne podatke posameznika, ki je podal privolitev za obdelavo svojih osebnih podatkov za enega ali več namenov iz prvega odstavka 1. člena tega zakona, če takšno možnost, namen obdelave in vrste osebnih podatkov, ki naj se obdelujejo, določa zakon.

(3)

Pristojni organi lahko ne glede na namene iz prvega odstavka 1. člena tega zakona izjemoma in ob upoštevanju konkretnih okoliščin zadeve obdelujejo osebne podatke, nujno potrebne za varovanje življenja ali telesa posameznika, na katerega se osebni podatki nanašajo, ali druge osebe. Po izvedeni obdelavi pristojni organ sestavi poročilo o razlogih za obdelavo in obsegu obdelanih osebnih podatkov. Poročilo se najpozneje v osmih dneh po izvedeni obdelavi posreduje posamezniku, na katerega se nanašajo osebni podatki, in je na razpolago nadzornemu organu.

7. člen

(zakonitost obdelave posebnih vrst osebnih podatkov)

(1)

Obdelava posebnih vrst osebnih podatkov je prepovedana.

(2)

Ne glede na določbo prejšnjega odstavka je obdelava posebnih vrst osebnih podatkov zakonita, če je skladna z določbami prejšnjega člena, so v zakonu določeni pogoji in ukrepi, s katerimi je zagotovljeno ustrezno varstvo človekovih pravic ali temeljnih svoboščin posameznika, na katerega se nanašajo osebni podatki, in:

1.

je nujno potrebna za opravljanje nalog pristojnih organov, določenih z zakonom, ali

2.

jih je posameznik očitno naredil javno dostopne ali objavil, razen če gre za komunikacijo znotraj dejansko ožjega kroga oseb.

8. člen

(obdelava osebnih podatkov za druge namene)

(1)

Obdelava osebnih podatkov s strani istega ali drugega pristojnega organa za druge namene obdelave od tistih, za katere so bili podatki pridobljeni, je dovoljena, če ti nameni obdelave spadajo med namene iz prvega odstavka 1. člena tega zakona in tako določa zakon.

(2)

Ne glede na prejšnji odstavek se osebni podatki, ki jih pristojni organi zbirajo za namene iz prvega odstavka 1. člena tega zakona, ne obdelujejo za druge namene, kot so nameni iz prvega odstavka 1. člena tega zakona, razen če to dovoljuje zakon. V tem primeru za obdelavo veljajo določbe Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 2), zakona, ki ureja varstvo osebnih podatkov, in drugih zakonov.

9. člen

(razlikovanje med različnimi kategorijami posameznikov)

Pristojni organ pri obdelavi v največji možni meri in z uporabo razumnih ukrepov razlikuje med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so:

1.

osumljenci;

2.

obdolženci;

3.

obtoženci;

4.

obsojenci;

5.

žrtve kaznivega dejanja ali osebe, pri katerih določena dejstva upravičujejo domnevo, da so ali bi lahko bile žrtve kaznivega dejanja;

6.

druge osebe, povezane s kaznivim dejanjem, zlasti osebe, ki bi lahko nastopale kot priče, osebe, ki lahko podajo informacije o kaznivem dejanju, ali osebe, ki so ali so bile v stiku ali povezane z osebami iz 1. do 5. točke tega člena.

10. člen

(razlikovanje med osebnimi podatki, ki temeljijo na dejstvih, in osebnimi podatki, ki temeljijo na osebnih ocenah)

Pristojni organ pri obdelavi v največji možni meri razlikuje med osebnimi podatki, ki temeljijo na dejstvih, in osebnimi podatki, ki temeljijo na osebnih ocenah. Pristojni organ izvaja redno notranje preverjanje skladnosti teh obdelav in to dokumentira. Pri tem osebne podatke, ki temeljijo na osebnih ocenah, v največji možni meri ustrezno označi in utemelji na način, ki omogoča naknadno preverjanje teh ocen.

11. člen

(avtomatizirano odločanje in oblikovanje profilov)

(1)

Odločanje, ki temelji izključno na avtomatizirani obdelavi osebnih podatkov, vključno z oblikovanjem profilov, ki ima lahko negativne posledice za pravni položaj ali pravice posameznika, na katerega se nanašajo osebni podatki, ali ga lahko bistveno prizadene, je prepovedano, razen če je to določeno z zakonom, ki določa pravico posameznika, da zahteva vsaj ponovni in ročni pregled odločitve s strani fizične osebe pri pristojnem organu in da do odločitve izrazi lastno stališče, ter določa tudi druge ukrepe za zagotavljanje ustreznega varstva človekovih pravic in temeljnih svoboščin, ki jih mora izvesti pristojni organ.

(2)

Odločitve iz prejšnjega odstavka ne smejo temeljiti na obdelavah posebnih vrst osebnih podatkov, razen če zakon določa ustrezne ukrepe za varstvo človekovih pravic in temeljnih svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, kot je privolitev posameznika v tako obdelavo.

(3)

Pred sprejetjem zakona, ki določa avtomatizirano odločanje, mora pristojni predlagatelj zakona izvesti oceno učinka iz 49. člena tega zakona.

(4)

Oblikovanje profilov v okviru avtomatizirane ali drugačne obdelave posebnih vrst osebnih podatkov, ki ima za posledico diskriminacijo posameznikov, na katere se nanašajo osebni podatki, je prepovedano.

12. člen

(sodno varstvo)

(1)

Posameznik, ki meni, da določeno dejanje obdelave njegovih osebnih podatkov s strani pristojnega organa ali obdelovalca krši določbe tega zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov za namene iz prvega odstavka 1. člena tega zakona, lahko zahteva sodno varstvo svojih pravic ves čas, dokler kršitev traja, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali drugih pravnih sredstev.

(2)

Posameznik lahko s sodnim varstvom po določbah tega člena zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi povrnitev škode.

(3)

Če je kršitev iz prvega odstavka tega člena prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala.

(4)

V postopku po prvem, drugem in tretjem odstavku tega člena odloča upravno sodišče po postopku, ki ga zakon, ki ureja upravni spor, določa za tožbo zaradi kršitve človekovih pravic in temeljnih svoboščin, posameznik pa lahko v tožbo vključi tudi odškodninski zahtevek.

(5)

V postopku pred upravnim sodiščem je javnost izključena, če sodišče na predlog posameznika, na katerega se nanašajo osebni podatki, iz utemeljenih razlogov ne odloči drugače.

(6)

Sodišče v postopku odloči najpozneje v šestih mesecih.

13. člen

(zastopanje s strani nevladnih organizacij)

Posameznik, na katerega se nanašajo osebni podatki, lahko pisno pooblasti nevladno organizacijo s področja varstva človekovih pravic in temeljnih svoboščin, ki ima status nevladne organizacije v javnem interesu, da v njegovem imenu glede obdelav njegovih osebnih podatkov uveljavlja sodno varstvo ali vloži pritožbo ali prijavo po določbah tega zakona.

14. člen

(omejitev seznanitve z osebnimi podatki)

(1)

Posameznik, na katerega se nanašajo osebni podatki, do dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu nima pravice do seznanitve z osebnimi podatki, če:

1.

bi to lahko glede na okoliščine konkretne zadeve škodovalo izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb ter je omejitev vpogleda v osebne podatke nujna in sorazmerna ali

2.

mu je ta pravica omejena na podlagi 20. člena tega zakona.

(2)

Če je posamezniku, na katerega se nanašajo osebni podatki, z zakonom prepovedan ali omejen dostop do ali seznanitev z osebnimi podatki, se mu tudi ne dovoli pregled in prepis dokumentov zadeve oziroma dela spisa pristojnega ali nadzornega organa, ki vsebuje te podatke.

(3)

Po dokončnosti odločitve v postopku uveljavljanja pravic po tem zakonu lahko posameznik pregleda dokumente zadeve oziroma spisa v obsegu, dovoljenem z odločitvijo pristojnega ali nadzornega organa.

(4)

Proti sklepu, s katerim se omeji seznanitev z osebnimi podatki, ni posebne pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni stvari.

15. člen

(preverjanje identitete posameznika)

(1)

Če pristojni organ, drug upravljavec, obdelovalec ali nadzorni organ upravičeno dvomi o identiteti posameznika, ki je vložil zahtevo iz drugega odstavka 18. člena tega zakona, pritožbo iz 27. člena tega zakona ali prijavo iz 33. člena tega zakona, lahko od njega zahteva dodatne informacije, potrebne za potrditev njegove identitete, ali pa zahteva vpogled v njegov uradni identifikacijski dokument iz 60. člena tega zakona, postopek identifikacije pa lahko opravi tudi z uporabo sredstev elektronske identifikacije ali z uporabo drugih sredstev informacijske tehnologije.

(2)

Če tako določa drug zakon, se lahko preverjanje točnosti izvede tudi ob zajemu posameznikovih osebnih podatkov, njihovi spremembi ali dopolnitvi. Osebni podatki, ki se pridobijo pri tem, se lahko obdelujejo le za ta namen in se jih sme za namen izkazovanja skladnosti obdelave s tem zakonom hraniti dve leti od zaključka obdelave.

16. člen

(zavarovanje osebnih podatkov, ki so predmet postopka)

(1)

Pristojni organ, drug upravljavec ali obdelovalec od seznanitve z uvedbo postopka po tem zakonu ne sme izbrisati ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih zahtevanih podatkov, ne glede na potek rokov hrambe, dokler o zadevi ni pravnomočno odločeno.

(2)

Ob upoštevanju okoliščin konkretnega postopka lahko nadzorni organ zaradi učinkovitega izvajanja nalog ali pooblastil pristojnega organa odredi izdelavo kopije osebnih podatkov ali kopije postopkov obdelave ali na drug način, ki ne otežuje dela pristojnega organa, zavaruje osebne podatke, ki so predmet postopka.

17. člen

(izvršba)

(1)

Izvršba izvršljive odločbe nadzornega organa se opravlja po postopku, ki ga določa zakon, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.

(2)

Za izvršbo je pristojen nadzorni organ.

(3)

Izvršba se opravi na zahtevo posameznika, na katerega se nanašajo osebni podatki, na podlagi izvršljive odločbe in sklepa o dovolitvi izvršbe, in sicer s prisilitvijo zoper pristojni organ ali drugega upravljavca. Denarna kazen bremeni odgovorno osebo pristojnega organa ali drugega upravljavca, ki ni izvršila odločbe nadzornega organa.

II. POGLAVJE

PRAVICE POSAMEZNIKA IN POSTOPEK PRED PRISTOJNIM ORGANOM

18. člen

(uveljavljanje pravic pred pristojnim organom ali drugim upravljavcem)

(1)

Posameznik ima pravice do pridobitve informacij iz 23. člena, dostopa do podatkov iz 24. člena ter do popravka, izbrisa in omejitve obdelave iz 26. člena tega zakona.

(2)

Posameznik, na katerega se nanašajo osebni podatki, lahko uveljavlja svoje pravice iz tega zakona z zahtevo pred pristojnim organom, v primeru iz petega odstavka 44. člena tega zakona pa pred obdelovalcem.

19. člen

(uporaba določb zakona, ki ureja splošni upravni postopek)

Za vprašanja postopka uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, po tem poglavju in za odločanje o teh pravicah se uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.

20. člen

(omejitve in uresničevanje pravic na podlagi drugih zakonov)

(1)

Če je v skladu z drugim zakonom omejena pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do podatkov iz 24. člena tega zakona ali do popravka, izbrisa in omejitve obdelave iz 26. člena tega zakona, jih lahko uveljavlja le v obsegu, ki ga dovoljuje drugi zakon.

(2)

Če drug zakon določa uresničevanje pravic iz 7., 8. in 9. točke prvega odstavka 23. člena ter 24. in 26. člena tega zakona v kazenski zadevi sodišča, posameznik, na katerega se nanašajo osebni podatki, uresničuje te pravice le v obsegu in na način, kot je določeno z drugim zakonom.

21. člen

(komunikacija s posameznikom, na katerega se nanašajo osebni podatki)

(1)

Pristojni organ posamezniku, na katerega se nanašajo osebni podatki, vse informacije o obdelavi (23. člen tega zakona) ter vsa sporočila v zvezi z uveljavljanjem njegovih pravic (24. do 26. člen tega zakona) zagotovi v jedrnati, razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Pristojni organ lahko te informacije oziroma sporočila posamezniku posreduje na vse ustrezne načine, vključno z elektronsko obliko, pri čemer jih praviloma posreduje v obliki, v kateri je bila zahteva vložena.

(2)

Pristojni organ posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic zlasti tako, da pripravi obrazce za uveljavljanje pravic.

(3)

Pristojni organ posamezniku, na katerega se nanašajo osebni podatki, brezplačno zagotovi:

1.

informacije in sporočila iz prvega odstavka tega člena;

2.

izvedbo ustreznih ukrepov iz prvega odstavka 11. člena tega zakona;

3.

uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, po določbah tega zakona;

4.

sporočila o kršitvah iz 53. člena tega zakona.

22. člen

(ravnanje z očitno neutemeljeno ali pretirano zahtevo)

Pristojni organ zahtevo posameznika, na katerega se nanašajo osebni podatki, nemudoma zavrne, če izkaže, da:

1.

je glede na njeno vsebino očitno neutemeljena ali

2.

so zahteva ali zahteve posameznika pretirane, zlasti zato, ker posameznik nerazumno in ponavljajoče vlaga enake zahteve.

23. člen

(dajanje informacij)

(1)

Pristojni organ da na razpolago naslednje informacije:

1.

naziv in kontaktne podatke pristojnega organa;

2.

kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov iz 55. člena tega zakona;

3.

o namenih obdelave osebnih podatkov;

4.

o pravici do prijave pri nadzornem organu in njegove kontaktne podatke;

5.

o pravici, da od pristojnega organa zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov, ter pravici do vložitve pritožbe pri nadzornem organu;

6.

pravno podlago obdelave;

7.

rok hrambe ali rok za redni pregled potrebe po hrambi;

8.

če so informacije o tem na razpolago, kategorije uporabnikov osebnih podatkov, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

9.

če je to potrebno zaradi uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki, dodatne informacije, zlasti če so bili osebni podatki pridobljeni brez vednosti posameznikov, na katere se nanašajo.

(2)

Informacije iz prejšnjega odstavka ne vključujejo podatkov o konkretnih obdelavah osebnih podatkov posameznika.

(3)

Pristojni organ informacije iz 1. do 6. točke prvega odstavka tega člena javno objavi.

24. člen

(pravica do dostopa do osebnih podatkov)

(1)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati podatek o tem, ali se obdelujejo njegovi osebni podatki, in kopijo ali izpis teh podatkov.

(2)

Če se obdelujejo njegovi osebni podatki, ima posameznik pravico pridobiti konkretne informacije o:

1.

namenih obdelave in njihovi pravni podlagi;

2.

vrstah osebnih podatkov, ki se obdelujejo;

3.

uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev iz prvega odstavka 25. člena tega zakona pa se lahko navede le okvirni opis uporabnikov;

4.

roku hrambe ali roku za redni pregled potrebe po hrambi;

5.

obstoju pravice zahtevati popravek ali izbris podatkov ali omejitev obdelave in pravici do vložitve pritožbe pri nadzornem organu;

6.

obstoju pravice do vložitve prijave pri nadzornem organu in njegovih kontaktnih podatkih;

7.

vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona.

(3)

Pristojni organ posamezniku iz razloga po 1. ali 2. točki prvega odstavka 25. člena tega zakona ne zagotovi informacij iz prejšnjega odstavka, kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije.

(4)

Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu.

25. člen

(omejitve pravice do dostopa do osebnih podatkov)

(1)

Pravica posameznika do dostopa do lastnih osebnih podatkov se lahko ob upoštevanju njegovih človekovih pravic in temeljnih svoboščin ter zakonitih interesov z zakonom delno ali popolnoma omeji glede posameznih obdelav ali posameznih kategorij obdelav, če in dokler je to nujno in sorazmerno:

1.

da se onemogoči oviranje ali vplivanje na uradne postopke, katerih nameni so določeni v prvem odstavku 1. člena tega zakona;

2.

da se onemogoči oviranje ali vplivanje na druge uradne postopke, povezane s prejšnjo točko;

3.

zaradi zagotavljanja javne varnosti;

4.

zaradi zagotavljanja varnosti države ali obrambe države;

5.

zaradi varstva ali uresničevanja človekovih pravic in temeljnih svoboščin tretjih oseb.

(2)

Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, odloči o zavrnitvi ali omejitvi dostopa in razlogih za to. Ta rok lahko organ po potrebi s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve oziroma števila zahtev. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu.

(3)

Pristojni organ v odločbi iz prejšnjega odstavka ne navede dejanskega stanja in pravnih razlogov (v nadaljnjem besedilu: konkretni razlogi) za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka tega člena. Odločba ne sme obsegati navedb, s katerimi bi se potrdila ali zanikala obdelava osebnih podatkov ali morebitne omejitve dostopa do njih.

(4)

Kadar gre za vprašanje, ali se v zvezi s posameznikom izvajajo ali ne izvajajo prikriti preiskovalni ukrepi iz zakona, ki ureja kazenski postopek, ali ukrepi prikrite in namenske kontrole iz zakona, ki ureja naloge in pooblastila policije, odločba pristojnega organa ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka tega člena. Odločba ne sme obsegati navedb, s katerimi bi se potrdila ali zanikala obdelava osebnih podatkov ali morebitne omejitve dostopa do njih.

(5)

Konkretne razloge iz prvega stavka tretjega odstavka tega člena in prvega stavka prejšnjega odstavka pristojni organ navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča posamezniku in je dostopna pooblaščeni osebi za varstvo osebnih podatkov pristojnega organa in nadzornemu organu na podlagi zahteve zaradi opravljanja nalog v konkretni zadevi.

26. člen

(pravica do popravka ali izbrisa osebnih podatkov in do omejitve obdelave)

(1)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati popravek oziroma dopolnitev svojih netočnih oziroma nepopolnih osebnih podatkov. Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, popravi netočne osebne podatke ali dopolni nepopolne osebne podatke in o tem obvesti posameznika. Rok se lahko s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve in števila zahtev. Če netočnih ali nepopolnih osebnih podatkov ni mogoče ali ni dopustno dopolniti ali popraviti, jim lahko pristojni organ priloži dopolnilno izjavo posameznika, na katerega se nanašajo osebni podatki. Če so osebni podatki posameznika, ki zahteva njihov popravek ali dopolnitev, točni in popolni, ali če pristojni organ ne more ravnati po določbi prejšnjega stavka, z odločbo zahtevo zavrne.

(2)

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati, da izbriše njegove osebne podatke, če obdelava krši določbe 5., 6. ali 7. člena tega zakona ali če je treba osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za pristojni organ. Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, izbriše te podatke in o tem obvesti posameznika. Rok se lahko s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve in števila zahtev.

(3)

Pristojni organ v primerih kršitev določb 5., 6. ali 7. člena tega zakona ali izpolnitve pravne obveznosti iz prejšnjega odstavka z odločbo zavrne zahtevo za izbris in omeji obdelavo, če:

1.

posameznik, na katerega se osebni podatki nanašajo, izpodbija točnost ali posodobljenost osebnih podatkov in točnosti ali posodobljenosti ni mogoče preveriti ali

2.

je treba osebne podatke še nadalje hraniti za namene dokazovanja.

(4)

Pristojni organ v odločbi iz prejšnjega odstavka pod pogoji iz prvega ali tretjega odstavka prejšnjega člena ne navede razlogov za zavrnitev in ravna v skladu s petim odstavkom prejšnjega člena. Kadar pristojni organ omejitev iz 1. točke prejšnjega odstavka pozneje prekliče, o tem nemudoma obvesti posameznika, na katerega se nanašajo osebni podatki.

(5)

Pristojni organ sporoči popravek netočnih ali dopolnitev nepopolnih osebnih podatkov upravljavcu, od katerega je prejel te osebne podatke.

(6)

V primerih popravka, dopolnitve, izbrisa ali omejitve dostopa do osebnih podatkov ali omejitve obdelave pristojni organ obvesti vse uporabnike osebnih podatkov. Uporabniki osebne podatke, ki jih v okviru svojih pristojnosti obdelujejo, nemudoma popravijo, izbrišejo, ustrezno označijo ali omejijo njihovo obdelavo.

(7)

Pristojni organ v odločitev po tem členu, s katero ne ugodi zahtevku v celoti, vključi tudi pouk o pravici do pritožbe pri nadzornem organu.

27. člen

(pravna sredstva)

(1)

O pritožbi posameznika, na katerega se nanašajo osebni podatki, zoper odločitev pristojnega organa odloča nadzorni organ kot organ druge stopnje.

(2)

Zoper odločbo nadzornega organa ni pritožbe, je pa dopusten upravni spor.

(3)

Tožbo v upravnem sporu lahko vložijo posameznik, na katerega se nanašajo osebni podatki, in pristojni organ, drug upravljavec ali obdelovalec.

III. POGLAVJE

POSTOPEK PRED NADZORNIM ORGANOM IN PRIJAVITELJ S POSEBNIM POLOŽAJEM

1. oddelek – skupne določbe glede postopka pred nadzornim organom

28. člen

(uporaba določb zakona, ki ureja splošni upravni postopek)

V postopkih pred nadzornim organom po tem poglavju se uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.

29. člen

(izvajanje postopkovnih dejanj brez prisotnosti)

(1)

V postopku po tem poglavju lahko nadzorni organ opravlja razgovore z osebami pri pristojnem organu in s pričami brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, v celoti ali deloma, če bi takšna prisotnost škodovala izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb, o čemer odloči s sklepom in obvesti tega posameznika. V tem primeru nadzorni organ tudi ne dovoli prisotnosti pri drugih dejanjih v postopku in posamezniku ne vroča zapisnikov o teh dejanjih.

(2)

Nadzorni organ v primerih iz tretjega odstavka 24. člena in četrtega odstavka 25. člena tega zakona opravlja razgovore z osebami pri pristojnem organu brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, ter ne dovoli njegove prisotnosti pri drugih dejanjih v postopku in mu ne vroča zapisnikov o teh dejanjih.

(3)

Proti sklepu iz prvega in drugega odstavka tega člena, s katerim se omeji prisotnost posameznika, na katerega se nanašajo osebni podatki, pri postopkovnih dejanjih po tem členu, ni posebne pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni stvari.

30. člen

(izključitev stranske udeležbe)

V postopku po tem poglavju ni dopustna stranska udeležba, kot jo določa zakon, ki ureja splošni upravni postopek.

31. člen

(nadzorna pooblastila)

(1)

Nadzorna pooblastila nadzornega organa so:

1.

pregled dokumentacije pristojnega organa ali obdelovalca, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter prenos osebnih podatkov v tretjo državo in posredovanje osebnih podatkov tujim uporabnikom;

2.

pregled poslovnih knjig, pogodb, listin, poslovne korespondence, poslovnih evidenc in drugih podatkov, ki se nanašajo na obdelavo osebnih podatkov s strani pristojnega organa ali obdelovalca ali druge pravne ali fizične osebe po njunem pooblastilu oziroma na prenos osebnih podatkov v tretjo državo ali posredovanje uporabnikom osebnih podatkov iz tretjih držav s strani pristojnega organa ali obdelovalca oziroma druge pravne ali fizične osebe po njunem pooblastilu (v nadaljnjem besedilu: poslovne knjige in druga dokumentacija), ne glede na njihovo tajnost ali drugo vrsto zaupnosti ter ne glede na vrsto nosilca, na katerem so zapisani ali shranjeni;

3.

vstop in pregled prostora, zemljišča, prevoznih sredstev (v nadaljnjem besedilu: prostori) ter opreme in sredstev za obdelavo osebnih podatkov (v nadaljnjem besedilu: oprema), v oziroma s katerimi pristojni organ, upravljavec ali obdelovalec (v nadaljnjem besedilu: nadzorovani organ) sam ali drug poslovni subjekt ali posameznik po njihovem pooblastilu opravlja obdelavo osebnih podatkov, za katero izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena tega zakona;

4.

zavarovanje in pregled elektronskih in z njimi povezanih naprav ter nosilcev elektronskih podatkov, vključno s preko omrežja dosegljivimi informacijskimi sistemi, na katerih so shranjeni podatki (v nadaljnjem besedilu: elektronska naprava), za katere je verjetno, da so na njih podatki, glede katerih izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena tega zakona;

5.

odvzem ali pridobitev ustrezne kopije na stroške pristojnega organa ali obdelovalca, forenzične kopije ali izvlečka iz poslovnih knjig in druge dokumentacije v kakršni koli obliki z uporabo fotokopirnih sredstev ali računalniške opreme pristojnega organa ali obdelovalca oziroma nadzornega organa. Če zaradi tehničnih ali časovnih razlogov ni mogoče narediti kopij na kraju samem, se lahko poslovne knjige in druga dokumentacija odnesejo za čas, potreben, da se naredijo kopije, o čemer se naredi uradni zaznamek, če so osebni podatki označeni s stopnjo tajnosti, pa se naredijo le ustrezne kopije;

6.

zapečatenje ustreznega dela prostorov in opreme, poslovnih knjig in druge dokumentacije ter elektronskih naprav za največ pet delovnih dni, v najmanjšem možnem obsegu, potrebnem za izvedbo nadzora, o čemer se naredi uradni zaznamek;

7.

zaseg predmetov ter poslovnih knjig in druge dokumentacije za največ deset delovnih dni, če je to potrebno za izvedbo postopka, o čemer se izda potrdilo o zasegu, ki vsebuje navedbo zaseženih predmetov in njihov opis, navedbo kraja, kjer so bili najdeni, ter navedbo razloga za zaseg.