(1) Ta zakon ureja uresničevanje človekove pravice do varstva osebnih podatkov, obveznosti, načela, upravičenja, postopke in ukrepe, s katerimi se zagotavlja ustavna skladnost, zakonitost in upravičenost posegov v zasebnost, dostojanstvo, tajnost osebnih podatkov, podatkovna samoodločba oziroma druge temeljne pravice posameznika pri obdelavi osebnih podatkov ter pravila o prostem pretoku osebnih podatkov za izvajanje Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L št. 119 z dne 4. 5. 2016, str. 1), zadnjič popravljene s Popravkom (UL L št. 127 z dne 23. 5. 2018, str. 2; v nadaljnjem besedilu: Splošna uredba), ter druga vprašanja obdelave in varstva osebnih podatkov.

(2) Za vprašanja varstva in obdelave osebnih podatkov, ki jih ureja zakon, ki ureja varstvo osebnih podatkov pri obravnavanju kaznivih dejanj, se ne uporabljajo določbe tega zakona.

Obdelava osebnih podatkov je prepovedana, če se izvaja na način ali ima za posledico nedopustno diskriminacijo glede na narodnost, raso, barvo kože, veroizpoved, etnično pripadnost, spol, jezik, politično ali drugo prepričanje, spolno usmerjenost, spolno identiteto, premoženjsko stanje, kraj rojstva, izobrazbo, družbeni položaj, invalidnost, državljanstvo, kraj oziroma vrsto prebivališča, zdravstveno stanje, genske predispozicije ali katero koli drugo osebno okoliščino posameznice in posameznika (v nadaljnjem besedilu: posameznik).

(1) Določbe tega zakona veljajo za obdelave osebnih podatkov na področjih, ki jih ureja Splošna uredba ali jih posebej ureja ta zakon in se izvajajo v celoti ali delno z avtomatiziranimi sredstvi, in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

(2) Določbe tega zakona ne veljajo za obdelave osebnih podatkov, ki jih izvajajo posamezniki med potekom popolnoma osebne ali domače dejavnosti.

(3) Za obdelave osebnih podatkov, ki jih Splošna uredba ne ureja, se uporabljajo določbe drugih zakonov, ki urejajo te obdelave, subsidiarno določbe tega zakona ter smiselno določbe 4. do 7. in 9. do 23. člena Splošne uredbe.

(1) Ta zakon velja za obdelavo osebnih podatkov, ki se izvaja v okviru javnega sektorja Republike Slovenije, in za zasebni sektor, kadar gre za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav obdelava osebnih podatkov ne poteka v Republiki Sloveniji.

(2) Ta zakon velja tudi za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji.

(1) Izrazi, uporabljeni v tem zakonu, pomenijo enako kot izrazi, opredeljeni v 4. členu Splošne uredbe.

(2) Drugi izrazi, uporabljeni v tem zakonu, pomenijo:

1. »nadzorni organ« je Informacijski pooblaščenec, določen z zakonom, ki ureja Informacijskega pooblaščenca;
2. »nadzorne osebe« so informacijski pooblaščenec in nadzorniki za varstvo osebnih podatkov, kot jih določa zakon, ki ureja Informacijskega pooblaščenca, kadar izvajajo nadzor po določbah tega zakona;
3. »javni sektor« so državni organi, samoupravne lokalne skupnosti, nosilci javnih pooblastil v delu, kjer izvršujejo javna pooblastila, javne agencije, javni skladi, javni zavodi, univerze, samostojni visokošolski zavodi, zasebni vrtci in zasebne osnovne ter srednje šole, ki izvajajo javno veljavne vzgojno-izobraževalne programe, samoupravne narodne skupnosti, Svet romske skupnosti Republike Slovenije in druge osebe javnega prava, ustanovljene z zakonom;
4. »zasebni sektor« so pravne in fizične osebe, ki opravljajo dejavnost v skladu z zakonom, ki ureja gospodarske družbe ali gospodarske javne službe ali obrt, in druge osebe zasebnega prava; zasebni sektor so tudi javni gospodarski zavodi, javna podjetja in gospodarske družbe in izvajalci gospodarskih javnih služb, ne glede na delež oziroma vpliv države ali samoupravne lokalne skupnosti ali samoupravne narodne skupnosti ali dejstvo, da so nosilci javnega pooblastila;
5. »povezovalni znak« je osebna identifikacijska številka in druge z zakonom opredeljene enolične identifikacijske številke posameznika, z uporabo katerih je mogoče zbrati oziroma priklicati osebne podatke iz zbirk osebnih podatkov, v katerih so enolične identifikacijske številke obdelovane, ter drugi podobni znaki, ki se redno ali sistematično uporabljajo za povezovanje zbirk med različnimi upravljavci ali dveh ali več zbirk znotraj enega upravljavca;
6. »zadeva sodišča« je izvajanje sodne oblasti, kar vključuje sojenje in obravnavanje pravnih sredstev v sodnih zadevah iz pristojnosti sodišč s splošno pristojnostjo in specializiranih sodišč, kot jo določa zakon, ki ureja sodišča ali specializirana sodišča, ter o kateri odločajo sodišča v skladu z zakoni, ki urejajo sodne postopke, razen v kazenskih zadevah sodišč, kot jih določa zakon, ki ureja varstvo osebnih podatkov na področju obravnavanja kaznivih dejanj;
7. »zakon« je ta zakon, drugi zakoni, obvezujoče mednarodne pogodbe, ki zavezujejo Republiko Slovenijo, ter pravni akti ali odločitve Evropske unije, katerih določbe so enakovredne zakonom in neposredno uporabljive ali neposredno učinkovite;
8. »varnost države« je izvajanje nalog ali pooblastil v skladu z zakoni, ki urejajo izvajanje obveščevalno-varnostnih in protiobveščevalnih dejavnosti države;
9. »kazenske evidence« so evidence, določene v zakonu, ki ureja izvrševanje kazenskih sankcij;
10. »prekrškovne evidence« so evidence o pravnomočnih odločbah o prekrških, evidence pravnomočnih sodb oziroma sklepov o prekrških in kazenskih točk, določenih v zakonu, ki ureja prekrške;
11. »storitev informacijske družbe« je katerakoli storitev, ki se običajno opravi odplačno, na daljavo (storitev se opravi, ne da bi bile stranke sočasno navzoče), elektronsko (storitev se pošlje na začetnem kraju in sprejme na cilju z elektronsko opremo za obdelavo in shranjevanje podatkov ter se v celoti prenaša, pošilja in sprejema po žici, radijsko, z optičnimi ali drugimi elektromagnetnimi sredstvi) in na posamezno zahtevo prejemnika storitev (storitev opravi s prenosom podatkov na posamezno zahtevo);
12. »povezovanje zbirk podatkov« je avtomatsko in elektronsko povezovanje zbirk, ki jih upravljajo upravljavci za različne namene ali po različnih pravnih podlagah, in sicer tako, da se določeni osebni podatki samodejno prenesejo ali vključijo v drugo povezano zbirko ali več povezanih zbirk, tudi če se izvaja le enosmeren pretok osebnih podatkov; zbirke so povezane, če se določeni osebni podatki iz ene zbirke neposredno vključijo v drugo zbirko in se tako druga zbirka poveča ali posodobi ali pa se osebni podatki v njej zaradi točnosti spremenijo.

(1) Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe.

(2) Obdelava osebnih podatkov v javnem sektorju in v zasebnem sektorju je zaradi izvajanja zakonske obveznosti, javnega interesa ali izvajanja javne oblasti v primerih iz točk c) in e) prvega odstavka ter drugega in tretjega odstavka 6. člena Splošne uredbe zakonita le, če obdelavo osebnih podatkov, vrste osebnih podatkov, ki naj se obdelujejo, kategorije posameznikov, na katere se ti osebni podatki nanašajo, namen njihove obdelave in rok hrambe osebnih podatkov ali rok za redni pregled potrebe po hrambi določa zakon. Če je mogoče, se v zakonu določijo tudi uporabniki osebnih podatkov, posamezna dejanja obdelave in postopki obdelave ter drugi ukrepi za zagotovitev zakonite, poštene in pregledne obdelave.

(3) V javnem sektorju se lahko v skladu s prvim odstavkom tega člena obdelujejo osebni podatki posameznika, ki je dal privolitev za obdelavo svojih osebnih podatkov za enega ali več določenih namenov, če tako možnost določa zakon, sicer pa na podlagi privolitve, če ne gre za izvrševanje zakonskih pristojnosti, nalog ali oblastnih obveznosti javnega sektorja.

(4) Ne glede na določbe drugega odstavka tega člena se za izvrševanje točke e) prvega odstavka 6. člena Splošne uredbe lahko v javnemu sektorju izjemoma obdelujejo tisti osebni podatki, ki so nujno potrebni za izvrševanje zakonitih pristojnosti, nalog ali obveznosti javnega sektorja, če se s to obdelavo ne poseže v upravičen interes posameznika, na katerega se osebni podatki nanašajo.

(5) Z zakonom se sme obdelava osebnega podatka o narodni ali etnični pripadnosti v javnem sektorju določiti samo izjemoma, za primere, v katerih je to nujno za odločitev o osebnem stanju, pravicah, spodbudah in ugodnostih za posameznika, na katerega se nanašajo osebni podatki, ali za zagotavljanje in spodbujanje enakega obravnavanja, enakih možnosti ter zajamčenih posebnih pravic pripadnikov narodne ali etnične skupnosti v Republiki Sloveniji, pri čemer zakon določi privolitev posameznika, na katerega se nanašajo osebni podatki, ali določi obdelavo podatkov, glede katerih se posameznik svobodno opredeli.

(6) Na obveščevalno-varnostnem in protiobveščevalnem področju se lahko zbirajo in nadalje obdelujejo osebni podatki, vključno s posebnimi vrstami osebnih podatkov, ne glede na določbe drugega odstavka 9. člena Splošne uredbe. Obdelava osebnih podatkov je dopustna, če je nujno potrebna za namen izvajanja zakonsko določenih pooblastil in nalog državnih organov, ki delujejo na tem področju. Obdelave morajo biti določene z zakonom, v skladu z drugim odstavkom tega člena.

(1) Obdelava osebnih podatkov za drug namen kot za tistega, za katerega so bili zbrani (v nadaljnjem besedilu: nadaljnja obdelava), je v javnem in zasebnem sektorju dopustna, če je to v skladu z določbami iz četrtega odstavka 6. člena Splošne uredbe. Kadar gre za nadaljnjo obdelavo, ki jo izvajajo upravljavci zaradi zakonske obveznosti ali v okviru svojih nalog v javnem interesu ali zaradi izvajanja javne oblasti, mora tako obdelavo določati zakon v skladu z drugim odstavkom prejšnjega člena.

(2) Kadar se nenamerno zberejo osebni podatki, za katere je očitno, da niso potrebni za konkretno obdelavo, se izbrišejo brez nepotrebnega odlašanja, drugače nepovratno uničijo ali vrnejo posamezniku, na katerega se nanašajo, ali upravljavcu ali obdelovalcu, ki jih je poslal.

(1) Privolitev otroka za uporabo storitev informacijske družbe, ki se ponujajo neposredno otrokom oziroma za katere se lahko verjetno domneva, da jih bodo uporabljali otroci, je veljavna, če je otrok star 15 let ali več. Če je otrok mlajši od 15 let, je privolitev veljavna le, če jo da ali odobri eden od staršev otroka, njegov skrbnik ali oseba, ki ji je podeljena starševska skrb. Kadar se storitev informacijske družbe ponuja neodplačno, lahko privolitev odobri tudi rejnik ali predstavnik zavoda, v katerega je nameščen otrok. V primerih, ko pogoji poslovanja izvajalca storitev informacijske družbe predpisujejo višjo starost otroka za uporabo teh storitev, se upošteva starost iz navedenih pogojev poslovanja izvajalca storitev.

(2) Privolitev otroka iz prejšnjega odstavka ne sme biti pogojena s pretiranimi pogoji s strani upravljavca, tako da bi otrok moral posredovati več osebnih podatkov, kot je potrebno za namen opravljanja takšne dejavnosti.

(1) Osebni podatki umrlih posameznikov se obdelujejo v skladu z zakonom.

(2) Upravljavec podatke o umrlem posamezniku posreduje le tistim uporabnikom, ki so za obdelavo osebnih podatkov pooblaščeni z zakonom, in tistim uporabnikom, ki izkažejo pravni interes za uveljavljanje pravic pred subjekti javnega sektorja.

(3) Ne glede na določbe prejšnjega odstavka upravljavec osebne podatke o umrlem posamezniku na njihovo zahtevo posreduje zakoncu, zunajzakonskemu partnerju, otrokom, staršem ali dedičem, če umrli posameznik ni pisno prepovedal upravljavcu posredovanja njegovih osebnih podatkov ali če drug zakon ne določa drugače.

(4) Če drug zakon ne določa drugače, lahko upravljavec podatke o umrlem posamezniku posreduje tudi drugi osebi, ki izkaže, da namerava te podatke uporabljati za namene znanstvenega raziskovanja, zgodovinskega raziskovanja, izobraževalne, statistične ali arhivske namene.

(5) Za obdelavo za namene iz prejšnjega odstavka ali v okviru izvajanja svobode izražanja se lahko obdelujejo zakonito pridobljeni osebni podatki umrlih posameznikov, če tako določa zakon, če je privolitev pred smrtjo dal posameznik sam ali če je za tako obdelavo v času po smrti posameznika dana pisna privolitev naslednjih oseb v izključujočem vrstnem redu: zakonec ali zunajzakonski partner, otroci ali starši umrlega posameznika. Ne glede na določbe prejšnjega stavka se lahko za objavo ali drugo obdelavo v zgodovinskih in drugih izobraževalnih publikacijah obdelujejo zakonito pridobljeni osebni podatki umrlih posameznikov, če so bili umrli posamezniki javne osebe in če tega ne prepoveduje drug zakon.

(6) Določbe tega člena se uporabljajo za osebne podatke umrlih posameznikov 20 let po njihovi smrti, če drug zakon ne določa drugače.

(1) Podatki o vpisu ali izbrisu v ali iz kazenskih evidenc in prekrškovnih evidenc ter prenosi teh podatkov se obravnavajo kot posebne vrste osebnih podatkov v skladu s prvim in drugim odstavkom 9. člena Splošne uredbe.

(2) Zakon določi namen obdelave, vključno s povezovanjem, ki mora biti v javnem interesu, vrste podatkov, ki se obdelujejo, posameznike, na katere se nanašajo osebni podatki, subjekte, katerim se osebni podatki lahko razkrijejo, namene, za katere se lahko razkrijejo, omejitve namena ter rok hrambe, vključno z ukrepi za zagotovitev zakonite in poštene obdelave.

(3) Za izvedbo povezovanja iz prejšnjega odstavka se za državljana Republike Slovenije ali osebo s prebivališčem v Republiki Sloveniji kot identifikacijski znak uporabi enotna matična številka občana iz kazenske ali prekrškovne evidence.

(1) Posameznik, ki meni, da upravljavec ali obdelovalec iz javnega ali zasebnega sektorja krši njegove pravice, določene s Splošno uredbo ali z zakoni, ki urejajo obdelavo ali varstvo osebnih podatkov, lahko zahteva sodno varstvo svojih pravic ves čas trajanja kršitve, brez predhodnega uveljavljanja pravic po drugih določbah tega zakona ali uporabe drugih pravnih sredstev.

(2) Posameznik lahko s sodnim varstvom po določbah tega člena zahteva poleg prenehanja kršitve in vzpostavitve zakonitega stanja tudi povrnitev škode.

(3) Če je kršitev iz prvega odstavka tega člena prenehala, lahko posameznik s tožbo zahteva ugotovitev, da je kršitev obstajala.

(4) V postopku po prvem, drugem in tretjem odstavku tega člena odloča upravno sodišče po postopku, ki ga zakon, ki ureja upravni spor, določa za tožbo zaradi kršitve človekovih pravic in temeljnih svoboščin, posameznik pa lahko v tožbo vključi tudi odškodninski zahtevek.

(5) V postopku pred upravnim sodiščem je zaradi varstva podatkovne zasebnosti posameznika ali njegovega osebnega dostojanstva javnost izključena, če sodišče na predlog posameznika, na katerega se nanašajo osebni podatki, iz utemeljenih razlogov ne odloči drugače.

(6) Ta člen se ne uporablja za postopke proti upravljavcem ali obdelovalcem osebnih podatkov glede obdelav osebnih podatkov s področja varnosti države.

V postopkih uveljavljanja pravic ali zahtev iz 15. do 22. člena Splošne uredbe pred upravljavcem in pred obdelovalcem, kadar deluje po desetem odstavku 28. člena Splošne uredbe ter pravice do seznanitve z osebnimi podatki, ki se obdelujejo v skladu z zakoni iz tretjega odstavka 3. člena tega zakona, se uporabljajo določbe Splošne uredbe in tega poglavja.

(1) Upravljavci, ki so državni organi ali samoupravne lokalne skupnosti, o zahtevi posameznika iz 15. do 22. člena Splošne uredbe in drugih zahtevkih posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu odločajo na podlagi zakona, ki ureja splošni upravni postopek, če drug zakon ne določa drugače, v roku, določenem s Splošno uredbo. Kadar upravljavec ugodi zahtevi posameznika, ne izda posebne odločbe, temveč o tem napravi uradni zaznamek in posameznika seznani z odločitvijo. Kadar upravljavec zahtevi posameznika ne ugodi, izda odločbo, ki poleg sestavin, določenih z zakonom, ki ureja splošni upravni postopek, vsebuje tudi sestavine, ki jih določa ta zakon.

(2) Kadar zahtevi posameznika ni ugodeno, mora biti v odločbi v pravnem pouku navedena pravica do pritožbe pri nadzornem organu v roku 15 dni od vročitve odločbe v zadevi, po določbah točke f) prvega odstavka 15. člena Splošne uredbe.

(1) Kadar upravljavec, ki ni državni organ ali samoupravna lokalna skupnost, obravnava zahtevke posameznika iz 15. do 22. člena Splošne uredbe in druge zahtevke posameznika s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu, posameznika seznani z odločitvijo in, če je to predmet zahteve, z osebnimi podatki, ki se nanašajo nanj, v roku, določenem s Splošno uredbo. Če posameznik to zahteva, ga lahko z osebnimi podatki seznani tudi ustno.

(2) Odločitev mora vsebovati razloge in informacijo o pravici do pritožbe pri nadzornem organu v roku 15 dni od seznanitve z odločitvijo po določbah točke f) prvega odstavka 15. člena Splošne uredbe. Odločitev ima lahko obliko uradnega zaznamka, ki se pošlje posamezniku na način, ki omogoča seznanitev z odločitvijo in dokazovanje njenega prejema.

(1) Če je to potrebno zaradi omejitev iz 18. člena tega zakona, odločba iz 13. člena tega zakona vsebuje tudi obseg dovoljenega pregleda spisa, zbirke ali drugače obdelanih lastnih osebnih podatkov.

(2) Ne glede na določbe 13. člena tega zakona odločba ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz prvega odstavka 18. člena tega zakona.

(3) Odločba iz prejšnjega odstavka tudi ne obsega navedb, s katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje konkretnih ukrepov iz zakona, ki ureja Slovensko obveščevalno-varnostno agencijo, ukrepov glede varnosti države iz zakona, ki ureja obrambo ali zakona, ki ureja naloge in pooblastila policije.

(4) Konkretne razloge iz drugega odstavka tega člena upravljavec navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, je dostopna samo nadzornemu organu, Varuhu človekovih pravic, pristojnemu sodišču ali drugim organom, pristojnim za nadzor po drugem zakonu. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča prijavitelju s posebnim položajem iz 30. člena tega zakona.

(1) Nadzorni organ izvaja postopek izvršbe po določbah zakona, ki ureja splošni upravni postopek, če ni s tem zakonom določeno drugače.

(2) Upravna izvršba iz prejšnjega odstavka se opravi na predlog posameznika, na katerega se nanašajo osebni podatki, s prisilitvijo zoper upravljavca ali obdelovalca, po določbah zakona, ki ureja splošni upravni postopek. Upravna izvršba se opravi na podlagi izvršljive odločbe iz 13. člena ali odločitve iz 14. člena tega zakona.

(1) Poleg informacij, sporočil, odgovorov in ukrepanj upravljavca iz 15. do 22. člena Splošne uredbe, ki se zagotavljajo brezplačno, se brezplačno zagotavljajo tudi informacije, sporočila, odgovori in ukrepanja upravljavca glede uveljavljanja pravic in zahtevkov s področja varstva osebnih podatkov, dostopa do osebnih podatkov, njihovega pridobivanja in obdelave po tem ali drugem zakonu.

(2) Kadar so zahtevki posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljeni ali pretirani, zlasti ker se ponavljajo, lahko upravljavec kljub temu zahtevi ugodi, če je po vsebini utemeljena, in posamezniku zaračuna razumne stroške. Razumni stroški vključujejo samo materialne stroške posredovanja informacij, sporočil, odgovorov oziroma izvajanja zahtevanega ukrepanja.

(3) V primerih neugoditve zahtevkom ali drugim upravičenjem iz prvega odstavka tega člena upravljavec z zaznamkom navede tudi razloge glede očitne neutemeljenosti ali pretiranosti zahteve.

(4) Če upravljavec ugotovi, da bodo nastali stroški v skladu z določbami tega člena, posameznika o tem vnaprej obvesti.

(5) Višino stroškov iz drugega odstavka tega člena in iz tretjega odstavka 15. člena Splošne uredbe glede dodatnih kopij osebnih podatkov, pravila o zaračunavanju, način vnaprejšnjega obveščanja posameznika o nastalih stroških iz prejšnjega odstavka, višino stroškov na področju seznanitve z lastno zdravstveno dokumentacijo in dokumentacijo umrlih pacientov predpiše minister, pristojen za pravosodje, v soglasju z ministrom, pristojnim za zdravje, po predhodnem mnenju nadzornega organa.

Z zakonom se lahko v skladu z razlogi in pogoji iz 23. člena Splošne uredbe izjemoma določijo omejitve pravic posameznika in obveznosti ter nalog upravljavcev ali obdelovalcev iz III. poglavja in 34. člena Splošne uredbe, 7. in 9. člena tega zakona ali drugega zakona.

(1) Pravice ali drugi zahtevki posameznikov, na katere se nanašajo osebni podatki, iz 73. do 75. člena tega zakona se ne izvajajo v postopkih pred nadzornim organom po določbah tega zakona ali po določbah Splošne uredbe.

(2) Ne glede na določbe prejšnjega odstavka nadzor nad zakonitostjo posredovanja, razkritja ali omogočanja nepooblaščenega dostopa do osebnih podatkov iz zbirke za namene iz četrtega odstavka 73. člena tega zakona izvaja nadzorni organ.

(3) Če drug zakon v zadevi sodišča določa uresničevanje pravic s področja varstva osebnih podatkov iz Splošne uredbe, posameznik, na katerega se nanašajo osebni podatki, uresničuje te pravice le v obsegu in na način, kot je določeno z drugim zakonom.

(4) V postopku s pritožbo glede načina seznanitve z zdravstveno dokumentacijo, seznanitve z zdravstveno dokumentacijo po pacientovi smrti ter varovanja poklicne skrivnosti po zakonu, ki ureja pacientove pravice, se uporabljajo določbe zakona, ki ureja pacientove pravice, smiselno pa se uporabljajo določbe Splošne uredbe in tega zakona.

Upravljavec lahko izjemoma zavrne zahtevo posameznika iz 15. do 22. člena Splošne uredbe ali dostop do osebnih podatkov iz posameznikove zdravstvene dokumentacije, vložen prek zakonitega zastopnika, če obstajajo konkretne in objektivne okoliščine, zaradi katerih bi bilo utemeljeno sklepati, da bi bile zaradi seznanitve z določenimi osebnimi podatki neposredno ali posredno prizadete koristi, pravice ali upravičeni interesi mladoletnih oseb ali oseb, postavljenih pod skrbništvo ali drugih oseb, za katere tako določa zakon, ter če te pravice in interesi pretehtajo nad interesi zakonitega zastopnika za seznanitev. V tem primeru so razlogi za zavrnitev dostopni nadzornemu organu, Varuhu človekovih pravic, kolizijskemu skrbniku, kadar gre za osebne podatke iz zdravstvene dokumentacije, pa zastopniku pacientovih pravic po zakonu, ki ureja pacientove pravice.

(1) Upravljavec ali obdelovalec od prejema zahteve iz 15. do 22. člena Splošne uredbe ali zahtev posameznika po tem ali drugem zakonu ne sme izbrisati, odsvojiti ali spremeniti zahtevanih osebnih podatkov, ki so predmet postopka, dnevnikov obdelav in drugih povezanih informacij, ne glede na potek predpisanih ali interno določenih rokov hrambe, dokler o zadevi ni pravnomočno odločeno, po pravnomočnosti pa skladno s pravnomočno odločitvijo v zadevi.

(2) Ob upoštevanju okoliščin konkretnega postopka lahko nadzorni organ zaradi učinkovitega izvajanja poslovanja, nalog ali pooblastil upravljavca ali obdelovalca odredi izdelavo kopije osebnih podatkov ali kopije postopkov obdelave ali na drug način, ki ne otežuje poslovanja oziroma izvajanja nalog ali pooblastil upravljavca ali obdelovalca, ter kadar gre za osebne podatke, ki so označeni kot tajni podatki, zavaruje osebne podatke, ki so predmet postopka.

(1) Zaradi učinkovitejšega izvajanja 2. in 3. oddelka IV. poglavja Splošne uredbe upravljavci po tem zakonu vodijo dnevnik obdelave, kadar se v avtomatiziranih sistemih obdelave osebnih podatkov izvajajo obsežne obdelave posebnih vrst osebnih podatkov, ali kadar gre za redno in sistematično spremljanje posameznikov, ali kadar je z oceno učinka ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati z vodenjem dnevnika obdelave, ali če tako določa zakon, o naslednjih dejanjih obdelave osebnih podatkov:

1. zbiranje;
2. spreminjanje;
3. vpogled;
4. razkritje, vključno s prenosi;
5. izbris;
6. druga dejanja obdelave, ki jih določa zakon.

(2) Dnevnik obdelave iz prejšnjega odstavka mora za dejanja obdelave iz prejšnjega odstavka vsebovati vrsto dejanja obdelave, datum in čas obdelave, identifikacijo osebe, ki je izvedla dejanje obdelave, ter identifikacijo uporabnikov osebnih podatkov, da je mogoče naknadno ugotoviti točno identiteto teh oseb. Dodatne vsebine dnevnika obdelave lahko določi upravljavec ob upoštevanju ocene učinka.

(3) Dnevnik obdelave se uporablja le za izkazovanje zakonitosti obdelave ter izvajanje notranjega nadzora, izvajanje nadzorov ali drugih zakonsko določenih preverjanj s strani nadzornega organa ali drugih pristojnih organov, zagotavljanje celovitosti in varnosti osebnih podatkov ter za odpravljanje napak v delovanju informacijskega sistema ali obdelavi podatkov.

(4) Upravljavec in obdelovalec nadzornemu organu ali drugemu zakonsko določenemu pristojnemu organu na njegovo zahtevo omogočita dostop do dnevnika obdelave.

(5) Vsebina dnevnika obdelave se hrani dve leti od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave, če drug zakon ne določa drugače. Kadar je z oceno učinka ali analizo upoštevnih tveganj ugotovljeno tveganje, ki ga je mogoče učinkovito upravljati s podaljšanjem roka hrambe, se sme dnevnik obdelave hraniti največ pet let od zaključka koledarskega leta, v katerem so bila zabeležena dejanja obdelave. Kadar so za seznanitev s podatki iz dnevnika določene omejitve iz 18. člena tega zakona, se vsebina dnevnika obdelave hrani dve leti po prenehanju omejitev, če drug zakon ne določa drugače.

(1) Za informacijske sisteme, v katerih:

1. se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
2. se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali

3. upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali

4. se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,

se smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.

(2) Kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v informacijskih sistemih iz prejšnjega odstavka, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije.

(3) Če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.

(4) Zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.

(1) Ocena učinka v zvezi z varstvom osebnih podatkov po 35. členu Splošne uredbe in predhodno posvetovanje po 36. členu Splošne uredbe se izvajata tudi pred uvedbo posebnih obdelav iz prvega odstavka prejšnjega člena. Ocena učinka mora upoštevati okoliščino, določeno v drugem odstavku tega člena in možne škodljive posledice za varnost države, vključno z njenimi političnimi ali gospodarskimi koristmi, če bi bili obdelovani podatki razkriti nepooblaščenim osebam ali subjektom.

(2) Pred začetkom obdelave se ocena učinka ponovno izdela tudi, kadar je bila spremenjena pravna podlaga za obdelavo iz 6. člena tega zakona.

(3) Kadar se z zakonom določa obdelava osebnih podatkov, za katero je treba izdelati oceno učinka, predlagatelj predlogu zakona priloži oceno učinka v skladu s 35. členom Splošne uredbe. Po proučitvi ocene učinka nadzorni organ poda mnenje glede obdelave osebnih podatkov, glede katerega se mora predlagatelj zakona opredeliti. Kadar ocene učinka ni treba izdelati, predlagatelj zakona opravi samo predhodno posvetovanje z nadzornim organom v skladu s 36. členom Splošne uredbe.

(4) Za obdelave osebnih podatkov na področju varnosti države pristojni organ s področja varnosti države pripravi oceno učinka s smiselno uporabo določb tega člena. Ocena učinka je za potrebe nadzorov dostopna nadzornemu organu, Varuhu človekovih pravic in pristojnemu delovnemu telesu iz drugega odstavka 64. člena tega zakona.

V postopkih pred nadzornim organom po tem zakonu se uporabljajo določbe zakona, ki ureja splošni upravni postopek, če ta zakon ne določa drugače.

(1) V postopkih pred nadzornim organom lahko nadzorni organ opravlja razgovore z osebami pri upravljavcu ali obdelovalcu in s pričami brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, v celoti ali deloma, če bi taka prisotnost škodovala izvedbi uradnih postopkov ali varstvu ali uresničevanju človekovih pravic in temeljnih svoboščin tretjih oseb, o čemer nadzorni organ odloči s sklepom in o tem obvesti posameznika. V tem primeru nadzorni organ tudi ne dovoli prisotnosti pri drugih dejanjih v postopku in posamezniku ne vroča zapisnika o teh dejanjih.

(2) Nadzorni organ v zadevah s področja varnosti države opravlja razgovore z osebami pri upravljavcu ali obdelovalcu brez prisotnosti posameznika, na katerega se nanašajo osebni podatki, o čemer nadzorni organ odloči s sklepom in o tem obvesti posameznika ter ne dovoli njegove prisotnosti pri drugih dejanjih v postopku in mu ne vroča zapisnika o teh dejanjih.

(3) Proti sklepu iz prvega in drugega odstavka tega člena, s katerim se omeji prisotnost posameznika, na katerega se nanašajo osebni podatki, pri postopkovnih dejanjih po tem členu, ni pritožbe, sklep pa se sme izpodbijati skupaj z odločitvijo o glavni zadevi.

V postopkih pred nadzornim organom ni dopustna stranska udeležba, kot jo določa zakon, ki ureja splošni upravni postopek.

(1) Nadzorna pooblastila nadzornega organa so:

1. pregled dokumentacije upravljavca ali obdelovalca, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter prenos osebnih podatkov v tretjo državo in posredovanje osebnih podatkov tujim uporabnikom;
2. pregled poslovnih knjig, pogodb, listin, poslovnih evidenc in drugih podatkov, ki se nanašajo na obdelavo osebnih podatkov s strani upravljavca ali obdelovalca ali druge pravne ali fizične osebe po njunem pooblastilu oziroma na prenos osebnih podatkov v tretjo državo ali posredovanje uporabnikom osebnih podatkov iz tretjih držav s strani upravljavca ali obdelovalca oziroma druge pravne ali fizične osebe po njunem pooblastilu (v nadaljnjem besedilu: poslovne knjige in druga dokumentacija), ne glede na njihovo tajnost ali drugo vrsto zaupnosti in ne glede na vrsto nosilca, na katerem so zapisani ali shranjeni;
3. vstop in pregled prostora, zemljišča, prevoznih sredstev (v nadaljnjem besedilu: prostori) ter opreme in sredstev za obdelavo osebnih podatkov (v nadaljnjem besedilu: oprema), v oziroma s katerimi upravljavec ali obdelovalec (v nadaljnjem besedilu: nadzorovani subjekt) sam ali drug poslovni subjekt ali posameznik po njihovem pooblastilu opravlja obdelavo osebnih podatkov, za katero izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih podatkov iz tega zakona;
4. zavarovanje in pregled poslovne korespondence, elektronskih in z njimi povezanih naprav ter nosilcev elektronskih podatkov, vključno s prek omrežja dosegljivimi informacijskimi sistemi, na katerih so shranjeni podatki (v nadaljnjem besedilu: elektronska naprava), za katere je verjetno, da so na njih podatki, glede katerih izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih podatkov iz tega zakona;
5. odvzem ali pridobitev ustrezne kopije na stroške nadzorovanega subjekta, forenzične kopije ali izvlečka iz poslovnih knjig in druge dokumentacije v kakršni koli obliki z uporabo fotokopirnih sredstev ali računalniške opreme upravljavca ali obdelovalca oziroma nadzornega organa. Če zaradi tehničnih ali časovnih razlogov ni mogoče narediti kopij na kraju samem, se lahko poslovne knjige in druga dokumentacija odnesejo za čas, ki je potreben, da se naredijo kopije, o čemer se naredi uradni zaznamek, če so osebni podatki označeni s stopnjo tajnosti, pa se naredijo le ustrezne kopije;
6. zapečatenje ustreznega dela prostorov in opreme ter elektronskih naprav za največ pet delovnih dni, v najmanjšem možnem obsegu, potrebnem za izvedbo nadzora, o čemer se naredi uradni zaznamek;
7. zaseg predmetov ter poslovnih knjig in druge dokumentacije za največ deset delovnih dni, če je to potrebno za izvedbo postopka, o čemer se izda potrdilo o zasegu, ki vsebuje navedbo zaseženih predmetov in njihov opis, navedbo kraja, kjer so bili najdeni, ter navedbo razloga za zaseg.

(2) Nadzorna oseba lahko odredi začasno zapečatenje oziroma blokiranje ustrezne opreme ali elektronske naprave le, če je to nujno, da se ohranijo možni dokazi, in če zapečatenje ali blokiranje opreme ali elektronske naprave ne onemogoča izvajanja rednega poslovanja, zakonskih nalog ali pristojnosti nadzorovanega upravljavca ali obdelovalca, vendar le za čas, dokler ni izdana sodna odredba iz prvega stavka tretjega odstavka tega člena oziroma do poteka roka za njeno izdajo iz drugega stavka tretjega odstavka tega člena.

(3) Nadzorna oseba izvaja nadzorna pooblastila iz 3. in 4. točke prvega odstavka tega člena pri pregledu poslovne korespondence, opreme ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, le z njegovim soglasjem ali na podlagi predhodne pisne odredbe sodišča. O predlogu nadzorne osebe za izdajo odredbe iz prejšnjega stavka preiskovalna sodnica ali preiskovalni sodnik (v nadaljnjem besedilu: preiskovalni sodnik) pri Okrožnem sodišču v Ljubljani odloči najpozneje v 48 urah od prejema predloga. Nadzorna oseba predlogu za izdajo odredbe priloži stališče nadzorovanega subjekta, do katerega se lahko tudi opredeli. Stališče nadzorovani subjekt poda najpozneje v 48 urah po pozivu nadzornega organa.

(4) Preiskovalni sodnik z odredbo odloči, da se pregled iz prejšnjega odstavka izvede, če obstajajo utemeljeni razlogi za sum, da je nadzorovani subjekt kršil ali krši določbe zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil s področja varstva osebnih podatkov iz tega zakona, in je verjetno, da se bodo pri pregledu opreme oziroma elektronskih naprav oziroma poslovne korespondence, ki bi posegel v upravičeno pričakovano zasebnost posameznika iz prejšnjega odstavka, našli dokazi, pomembni za odločanje v postopku nadzora ali s tem postopkom povezanem prekrškovnem postopku. Odredba vsebuje:

1. opredelitev poslovne korespondence, opreme oziroma elektronskih naprav, ki jih je treba zavarovati in pregledati;
2. opredelitev razlogov za pregled;
3. opredelitev dokazov oziroma vsebine podatkov, ki se iščejo;
4. navedbo razlogov, ki utemeljujejo uporabo nadzornega pooblastila in način njegove izvršitve.

(5) Pregled poslovne korespondence, prostora ali elektronske naprave, ki bi posegel v upravičeno pričakovano zasebnost posameznika, se opravi na način, s katerim se v najmanjši možni meri posega v pravice oseb, zoper katere ni uveden nadzor, in varuje tajnost oziroma zaupnost podatkov ter ne povzroča nesorazmerna škoda, kadar je izdana odredba preiskovalnega sodnika glede opreme ali elektronske naprave, pa tudi v skladu z njo. Za zavarovanje podatkov na elektronskih napravah se smiselno uporabljajo določbe zakona, ki ureja kazenski postopek glede zavarovanja podatkov v elektronski obliki. Predstavnik nadzorovanega subjekta ima pravico biti navzoč pri zavarovanju in pregledu poslovne korespondence, elektronske naprave ter pri pregledu prostora, pri pregledu poslovne korespondence, prostorov, elektronske naprave odvetnika in prostorov, ki jih uporablja odvetnik, pa ima pravico biti navzoč tudi predstavnik Odvetniške zbornice Slovenije. Če določeno elektronsko napravo uporablja oseba, ki upravičeno pričakuje zasebnost na njej, ima pravico biti navzoča ob zavarovanju ali pregledu elektronske naprave sama ali po pooblaščencu. Če prostor uporablja druga oseba, ki upravičeno pričakuje zasebnost na njem, ima pravico biti navzoča ob zavarovanju ali pregledu sama ali po pooblaščencu, nadzorni organ pa pri pregledu zagotovi tudi prisotnost dveh polnoletnih prič.

(6) O opravljenem nadzoru se sestavi zapisnik, ki se lahko ne glede na določbe zakona, ki ureja splošni upravni postopek, kadar gre za nujne in neodložljive ukrepe, sestavi takoj, v drugih primerih pa najpozneje v treh dneh od dneva opravljenega nadzora in se vroči nadzorovanemu subjektu ali njegovemu predstavniku ali vodstvu. Nadzorovani subjekt lahko na zapisnik poda pripombe v roku, ki ga določi nadzorna oseba in ne sme biti krajši od dveh delovnih dni po vročitvi zapisnika, o čemer se ga v zapisniku izrecno pouči. Določbe prejšnjega stavka ne veljajo za zapisnike, ki vsebujejo vsebine glede nujnih in neodložljivih ukrepov, nadzorovani subjekt pa lahko na tak zapisnik takoj ustno poda pripombe.

(7) Zoper odredbo preiskovalnega sodnika ni dovoljena pritožba, sme pa se izpodbijati v upravnem sporu zoper končno odločitev nadzornega organa.

(8) Nadzorna oseba lahko nadzorna pooblastila iz tega člena uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2. oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega poglavja.

(1) Kadar se pri opravljanju nadzora ugotovi kršitev določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil, nadzorni organ lahko:

1. odredi, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odredi omejitve obdelave, kot so anonimiziranje, blokiranje ali arhiviranje;
3. odredi prepoved prenosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona;
4. odredi brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki pomenijo prepoved obdelave osebnih podatkov, če ne gre za arhivsko gradivo, ki ga določa drug zakon;
5. odredi druge ukrepe skladno s tem zakonom, zakonom, ki ureja splošni upravni postopek, ali zakonom, ki ureja varstvo podatkov na področju obravnavanja kaznivih dejanj;
6. izvaja preventivne ukrepe in izreka opozorila v skladu z zakonom, ki ureja inšpekcijski nadzor;
7. poda kazensko ovadbo oziroma izvede postopke v skladu z zakonom, ki ureja prekrške, če pri nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška.

(2) Nadzorni organ pri opravljanju nadzora upošteva, da:

1. ponudnik izključnega prenosa (če se storitev informacijske družbe, ki jo opravlja, nanaša na prenos podatkov, ki jih zagotovi prejemnik storitve, v komunikacijskem omrežju ali na zagotovitev dostopa do komunikacijskega omrežja) ni odgovoren za poslane podatke, če ponudnik ne sproži prenosa, ne izbere prejemnika prenosa in ne izbere ali spremeni podatkov, ki so predmet prenosa;
2. ponudnik shranjevanja podatkov v predpomnilniku (če se storitev informacijske družbe, ki jo opravlja, nanaša na prenos podatkov v komunikacijskem omrežju, ki jih zagotovi prejemnik storitve) ni odgovoren za samodejno, vmesno in začasno shranjevanje teh podatkov, ki je namenjeno le učinkovitejšemu posredovanju podatka drugim prejemnikom storitve na njihovo zahtevo, pod pogojem, da ponudnik ne spremeni podatkov in ponudnik hitro ukrepa in odstrani ali onemogoči dostop do podatka, ki ga je hranil, takoj ko je obveščen, da je bil podatek na začetnem izhodnem mestu prenosa odstranjen iz omrežja ali da je bil dostop do njega onemogočen;
3. ponudnik gostovanja (če se storitev informacijske družbe nanaša na shranjevanje podatkov, ki jih zagotovi prejemnik storitve) ni odgovoren za podatek, ki ga je shranil na zahtevo prejemnika storitve, pod pogojem, da prejemnik storitve ne ukrepa v okviru pooblastil ali pod nadzorom ponudnika, da ponudnik dejansko ne ve za nezakonito dejavnost ali podatek in mu glede danih zahtevkov niso znana dejstva ali okoliščine, iz katerih je očitno, da gre za nezakonito dejavnost ali podatek, ali da ponudnik, takoj ko za to izve ali se tega zave, nemudoma ukrepa in odstrani ali onemogoči dostop do podatka.

(3) Ukrepov iz prvega odstavka tega člena ni mogoče odrediti zoper ponudnika iz prejšnjega odstavka, če ni odgovoren po zakonu, ki ureja elektronsko poslovanje na trgu, kot ponudnik storitev izključnega prenosa ali kot ponudnik storitev shranjevanja v predpomnilniku ali kot ponudnik storitev gostiteljstva.

(4) S pooblastili in ukrepi iz prejšnjega in tega člena nadzorni organ ne sme posegati v zadeve sodišč in zadeve Ustavnega sodišča Republike Slovenije, kadar Ustavno sodišče obravnava zadeve sodišč.

(5) Kadar se pri opravljanju nadzora ugotovi kršitev določb drugega odstavka 6. člena tega zakona, nadzorni organ pri izbiri ukrepov iz 1. do 6. točke prvega odstavka tega člena ob upoštevanju teže kršitve odredi ukrep, ki je primeren za zagotovitev učinkovitega nadzora ter se z njim doseže namen nadzora.

(6) Predstojnik upravljavca s področij obveščevalno-varnostnega ali protiobveščevalnega delovanja države sme z obrazloženim sklepom za čas največ štirih mesecev odložiti izvedbo nadzora s strani nadzornega organa pri upravljavcu ali obdelovalcu s teh področij. Nadzor se lahko odloži:

1. če bi bilo zaradi izvajanja pooblastil ali ukrepov nadzornega organa iz prejšnjega in tega člena lahko resno ogroženo uspešno opravljanje z zakonom določenih nalog ali pooblastil upravljavca na področjih obveščevalno-varnostnega ali protiobveščevalnega delovanja države, ki še niso zaključene,

2. če bi zaradi izvajanja pooblastil ali ukrepov nadzornega organa lahko prišlo do resnega ogrožanja življenja ali telesa ljudi ali njihove osebne svobode, ali

3. če bi bila z izvajanjem pooblastil ali ukrepov nadzornega organa onemogočena učinkovita uporaba tehničnih sredstev, s katerimi upravljavec izvaja obdelave osebnih podatkov na področjih obveščevalno-varnostnega ali protiobveščevalnega delovanja države.

(7) Nadzorni organ nadaljuje izvedbo nadzora po poteku roka iz prejšnjega odstavka.

(8) Nadzorna oseba lahko nadzorne ukrepe iz tega člena uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2. oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega poglavja.

(1) Posameznik, ki meni, da obdelava njegovih osebnih podatkov s strani upravljavca ali obdelovalca krši določbe Splošne uredbe, tega zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov, ali krši določbe s temi zakoni povezanih podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil (v nadaljnjem besedilu: prijavitelj s posebnim položajem), lahko pri nadzornem organu vloži zahtevo v skladu z zakonom, ki ureja splošni upravni postopek, s katero zahteva nadzor zakonitosti obdelave svojih osebnih podatkov (v nadaljnjem besedilu: prijava), lahko pa v njej predlaga tudi potrebno ukrepanje v skladu s prejšnjim členom v primeru ugotovljenih kršitev, tako da se doseže vzpostavitev zakonitega stanja.

(2) V postopku po tem oddelku vsaka stranka krije svoje stroške postopka.

(3) Določbe tega oddelka se ne uporabljajo za obdelave osebnih podatkov, ki jih upravljavci in obdelovalci izvajajo za namen izvajanja zakonskih nalog in pooblastil na področju obveščevalno-varnostne in protiobveščevalne dejavnosti. Kadar nadzorni organ prejme takšno prijavo, jo obravnava po določbah 3. oddelka tega poglavja.

(1) V primeru prijave prijavitelja s posebnim položajem nadzorni organ uvede postopek nadzora, ko prijava vsebuje sestavine, kot jih za vlogo določa zakon, ki ureja splošni upravni postopek, ter navedbo upravljavca ali obdelovalca in navedbo kršitev pri obdelavi ali varnosti njegovih osebnih podatkov, iz katerih izhaja kršitev predpisov iz prejšnjega člena.

(2) Nadzorni organ o prijavi odloči z odločbo najpozneje v roku treh mesecev po prejemu prijave. Rok lahko nadzorni organ zaradi zahtevnosti obravnavanja zadeve s sklepom podaljša za največ en mesec.

(1) Nadzorni organ prijavitelja s posebnim položajem na njegovo zahtevo obvešča o bistvenih dejanjih v postopku in stanju zadeve.

(2) Nadzorni organ pred izdajo odločbe prijavitelju vroči zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od dveh delovnih dni, pisno ali ustno o njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Zapis ugotovitev ne vsebuje razlogov in navedb, ko so izpolnjeni pogoji iz drugega odstavka 15. člena tega zakona. Če se prijavitelj v določenem roku ne izjavi, to ni ovira za izdajo odločbe.

(1) Pri izvajanju nadzora po določbah tega oddelka ima nadzorovani upravljavec ali obdelovalec položaj stranke in ima pravico biti neposredno prisoten pri vseh postopkovnih dejanjih.

(2) Nadzorni organ pred izdajo odločbe nadzorovanemu upravljavcu ali obdelovalcu vroči zapis ugotovitev, bistvenih za odločitev v tem postopku, in ga pozove, naj se v določenem roku, ki ne sme biti krajši od dveh delovnih dni, pisno ali ustno o njih izjavi, o čemer se nadzorni organ opredeli v odločbi. Če se upravljavec ali obdelovalec v določenem roku ne izjavi, to ni ovira za izdajo odločbe.

(1) Odločba v postopku nadzora po določbah tega oddelka poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje:

1. ugotovitev o obstoju ali neobstoju zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem v trenutku vložitve prijave;
2. ukrepe, odrejene upravljavcu ali obdelovalcu glede obdelave osebnih podatkov, ki se nanašajo na prijavitelja s posebnim položajem, in rok za njihovo izvedbo;
3. dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem.

(2) Ne glede na prejšnji odstavek v primerih iz 15. člena tega zakona odločba ne obsega konkretnih razlogov za zavrnitev ali omejitev dostopa, če bi to ogrozilo izvrševanje namena zavrnitve ali omejitve dostopa iz 23. člena Splošne uredbe, ki ga določa zakon. Odločba tudi ne obsega navedb, s katerimi bi se potrdilo ali zanikalo izvajanje ali neizvajanje konkretnih ukrepov na področjih obveščevalno-varnostne in protiobveščevalne dejavnosti.

(3) Konkretne razloge iz prvega stavka prejšnjega odstavka nadzorni organ navede ločeno v prilogi k odločbi. Priloga, opremljena s številko zadeve, datumom in podpisom pristojne uradne osebe, se ne vroča prijavitelju s posebnim položajem.

Kadar nadzorni organ v postopku nadzora zazna sum kršitve varstva pravic glede osebnih podatkov po določbah tega oddelka, ki bi lahko vplivale na pravice drugih posameznikov, na katere se nanašajo osebni podatki, uvede tudi postopek nadzora po določbah naslednjega oddelka.

V postopku inšpekcijskega nadzora po tem oddelku se uporabljajo določbe 18. člena, 26. do 29. člena in 34. člena tega zakona. Za vprašanja inšpekcijskega nadzora, ki niso urejena z določbami 18. člena in 26. do 29. člena tega zakona, se uporabljajo določbe zakona, ki ureja inšpekcijski nadzor.

(1) Nadzorni organ uvede inšpekcijski nadzor v skladu z določbami zakona, ki ureja inšpekcijski nadzor.

(2) Nadzorni organ uvede inšpekcijski nadzor tudi na pobudo, ki jo prejme od drugega državnega organa, nadzornih javnih agencij Republike Slovenije ali nadzornega organa za varstvo osebnih podatkov države članice Evropske unije ali Sveta Evrope ali na predlog Varuha človekovih pravic.

Nadzorni organ v letnem načrtu nadzorov posebej opredeli nadzore na področju posebnih obdelav iz 23. člena tega zakona.

(1) Osebe javnega sektorja posredujejo osebne podatke drugim osebam javnega sektorja ali drugim fizičnim ali pravnim osebam, če je za posredovanje dana pravna podlaga v skladu s 6. členom tega zakona, ter na podlagi zahteve iz prvega odstavka 41. člena tega zakona, razen če drug zakon določa drugače. Prejemnik podatkov sme osebne podatke obdelovati samo za namen, za uresničevanje katerega se mu posredujejo.

(2) Posredovanje posebnih vrst osebnih podatkov ter osebnih podatkov iz 10. člena tega zakona je dovoljeno, če so izpolnjeni pogoji iz prejšnjega odstavka in je to v skladu z drugim odstavkom 9. člena Splošne uredbe ali drugim zakonom.

(3) Osebe javnega sektorja v skladu s prvim in drugim odstavkom tega člena posredujejo osebne podatke brezplačno, če zakon ne določa drugače.

(4) Ne glede na določbe prejšnjih odstavkov upravljavci registra stalnega prebivalstva, matičnega registra, evidence registriranih vozil in centralnega registra prebivalstva na način, ki je določen za izdajo potrdila, posredujejo upravičencu, ki izkaže zakoniti interes za uveljavljanje pravic pred osebami javnega sektorja, naslednje osebne podatke: osebno ime in naslov stalnega ali začasnega prebivališča oziroma stalni ali začasni naslov prebivališča v drugi državi, navedba lastnika ali uporabnika vozila, naslov za vročanje ali datum smrti posameznika, zoper katerega ali v zvezi s katerim uveljavlja svoje pravice.

(5) Upravljavci ali obdelovalci, ki se jim na podlagi zakona za izvajanje njihovih pristojnosti ali nalog posredujejo osebni podatki iz registrov ali evidenc s področja upravnih notranjih zadev, ki so v upravljanju ministrstva, pristojnega za notranje zadeve, na lastne stroške vzpostavijo varnostne mehanizme, ki jih kot ukrepe ali postopke za izvajanje varnosti osebnih podatkov določi minister, pristojen za notranje zadeve.

(6) Ne glede na določbe prvega do četrtega odstavka tega člena se posredovanje osebnih podatkov s področja varnosti države ureja v zakonih, ki urejajo izvajanje obveščevalnih in protiobveščevalnih nalog.