(1) Kadar se pri opravljanju nadzora ugotovi kršitev določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil, nadzorni organ lahko:

1. odredi, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
2. odredi omejitve obdelave, kot so anonimiziranje, blokiranje ali arhiviranje;
3. odredi prepoved prenosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona;
4. odredi brisanje ali uničenje osebnih podatkov ali druge ukrepe, ki pomenijo prepoved obdelave osebnih podatkov, če ne gre za arhivsko gradivo, ki ga določa drug zakon;
5. odredi druge ukrepe skladno s tem zakonom, zakonom, ki ureja splošni upravni postopek, ali zakonom, ki ureja varstvo podatkov na področju obravnavanja kaznivih dejanj;
6. izvaja preventivne ukrepe in izreka opozorila v skladu z zakonom, ki ureja inšpekcijski nadzor;
7. poda kazensko ovadbo oziroma izvede postopke v skladu z zakonom, ki ureja prekrške, če pri nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška.

(2) Nadzorni organ pri opravljanju nadzora upošteva, da:

1. ponudnik izključnega prenosa (če se storitev informacijske družbe, ki jo opravlja, nanaša na prenos podatkov, ki jih zagotovi prejemnik storitve, v komunikacijskem omrežju ali na zagotovitev dostopa do komunikacijskega omrežja) ni odgovoren za poslane podatke, če ponudnik ne sproži prenosa, ne izbere prejemnika prenosa in ne izbere ali spremeni podatkov, ki so predmet prenosa;
2. ponudnik shranjevanja podatkov v predpomnilniku (če se storitev informacijske družbe, ki jo opravlja, nanaša na prenos podatkov v komunikacijskem omrežju, ki jih zagotovi prejemnik storitve) ni odgovoren za samodejno, vmesno in začasno shranjevanje teh podatkov, ki je namenjeno le učinkovitejšemu posredovanju podatka drugim prejemnikom storitve na njihovo zahtevo, pod pogojem, da ponudnik ne spremeni podatkov in ponudnik hitro ukrepa in odstrani ali onemogoči dostop do podatka, ki ga je hranil, takoj ko je obveščen, da je bil podatek na začetnem izhodnem mestu prenosa odstranjen iz omrežja ali da je bil dostop do njega onemogočen;
3. ponudnik gostovanja (če se storitev informacijske družbe nanaša na shranjevanje podatkov, ki jih zagotovi prejemnik storitve) ni odgovoren za podatek, ki ga je shranil na zahtevo prejemnika storitve, pod pogojem, da prejemnik storitve ne ukrepa v okviru pooblastil ali pod nadzorom ponudnika, da ponudnik dejansko ne ve za nezakonito dejavnost ali podatek in mu glede danih zahtevkov niso znana dejstva ali okoliščine, iz katerih je očitno, da gre za nezakonito dejavnost ali podatek, ali da ponudnik, takoj ko za to izve ali se tega zave, nemudoma ukrepa in odstrani ali onemogoči dostop do podatka.

(3) Ukrepov iz prvega odstavka tega člena ni mogoče odrediti zoper ponudnika iz prejšnjega odstavka, če ni odgovoren po zakonu, ki ureja elektronsko poslovanje na trgu, kot ponudnik storitev izključnega prenosa ali kot ponudnik storitev shranjevanja v predpomnilniku ali kot ponudnik storitev gostiteljstva.

(4) S pooblastili in ukrepi iz prejšnjega in tega člena nadzorni organ ne sme posegati v zadeve sodišč in zadeve Ustavnega sodišča Republike Slovenije, kadar Ustavno sodišče obravnava zadeve sodišč.

(5) Kadar se pri opravljanju nadzora ugotovi kršitev določb drugega odstavka 6. člena tega zakona, nadzorni organ pri izbiri ukrepov iz 1. do 6. točke prvega odstavka tega člena ob upoštevanju teže kršitve odredi ukrep, ki je primeren za zagotovitev učinkovitega nadzora ter se z njim doseže namen nadzora.

(6) Predstojnik upravljavca s področij obveščevalno-varnostnega ali protiobveščevalnega delovanja države sme z obrazloženim sklepom za čas največ štirih mesecev odložiti izvedbo nadzora s strani nadzornega organa pri upravljavcu ali obdelovalcu s teh področij. Nadzor se lahko odloži:

1. če bi bilo zaradi izvajanja pooblastil ali ukrepov nadzornega organa iz prejšnjega in tega člena lahko resno ogroženo uspešno opravljanje z zakonom določenih nalog ali pooblastil upravljavca na področjih obveščevalno-varnostnega ali protiobveščevalnega delovanja države, ki še niso zaključene,

2. če bi zaradi izvajanja pooblastil ali ukrepov nadzornega organa lahko prišlo do resnega ogrožanja življenja ali telesa ljudi ali njihove osebne svobode, ali

3. če bi bila z izvajanjem pooblastil ali ukrepov nadzornega organa onemogočena učinkovita uporaba tehničnih sredstev, s katerimi upravljavec izvaja obdelave osebnih podatkov na področjih obveščevalno-varnostnega ali protiobveščevalnega delovanja države.

(7) Nadzorni organ nadaljuje izvedbo nadzora po poteku roka iz prejšnjega odstavka.

(8) Nadzorna oseba lahko nadzorne ukrepe iz tega člena uporabi v postopkih obravnave prijave prijavitelja s posebnim položajem po 2. oddelku tega poglavja in v postopku inšpekcijskega nadzora po 3. oddelku tega poglavja.