Uradni list

Številka 59
Uradni list RS, št. 59/1999 z dne 23. 7. 1999
Uradni list

Uradni list RS, št. 59/1999 z dne 23. 7. 1999

Kazalo

2792. Zakon o varstvu osebnih podatkov (ZVOP), stran 7534.

Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena ustave Republike Slovenije izdajam
U K A Z
o razglasitvi zakona o varstvu osebnih podatkov (ZVOP)
Razglašam zakon o varstvu osebnih podatkov (ZVOP), ki ga je sprejel Državni zbor Republike Slovenije na seji 8. julija 1999.
Št. 001-22-118/99
Ljubljana, dne 16. julija 1999.
Predsednik
Republike Slovenije
Milan Kučan l. r.
Z A K O N
O VARSTVU OSEBNIH PODATKOV (ZVOP)
1. Splošne določbe
1. člen
Z varstvom osebnih podatkov se preprečujejo nezakoniti in neupravičeni posegi v zasebnost posameznika pri obdelavi osebnih podatkov, varovanju zbirk osebnih podatkov in uporabi le-teh.
2. člen
V tem zakonu uporabljeni izrazi imajo naslednji pomen:
1. Osebni podatek – je podatek, ki kaže na lastnosti, stanja ali razmerja posameznika ne glede na obliko, v kateri je izražen.
2. Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko identificira na način, ki ne povzroča velikih stroškov ali ne zahteva veliko časa.
3. Obdelava osebnih podatkov – pomeni zbiranje, shranjevanje ali združevanje podatkov v zbirkah osebnih podatkov, spreminjanje, uporabo ali sporočanje, vključno s prenosom, iskanjem, blokiranjem in brisanjem; obdelava je lahko ročna ali s sredstvi informacijske tehnologije.
4. Zbirka osebnih podatkov – je vsak niz podatkov, ki vsebuje vsaj en osebni podatek ne glede na to, ali je centraliziran ali organiziran in strukturiran na podlagi meril, ki omogočajo uporabo ali združevanjem podatkov, in ne glede na to, ali se obdeluje s sredstvi informacijske tehnologije ali ne.
5. Upravljavec zbirke osebnih podatkov – je fizična ali pravna oseba, ki je z zakonom ali s pisno privolitvijo posameznika pooblaščena, da vzpostavi, vodi, vzdržuje in nadzoruje zbirko osebnih podatkov.
6. Uporabnik osebnih podatkov – je fizična ali pravna oseba, ki je za pridobivanje osebnih podatkov pooblaščena z zakonom, pisno zahtevo ali privolitvijo posameznika, na katerega se osebni podatki nanašajo.
7. Pisna privolitev posameznika – je podpisana privolitev posameznika, da se določeni podatki o njem obdelujejo za določene namene, in ima obliko listine, določila v pogodbi, določila v naročilu, priloge k vlogi, ali drugo obliko v skladu s posebnim zakonom.
8. Blokiranje – je takšna sprememba oblike osebnih podatkov, da jih ni več mogoče povezovati s posameznikom ali pa je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa.
3. člen
Osebni podatki se lahko obdelujejo le, če je obdelava osebnih podatkov določena z zakonom ali, če ima upravljavec zbirke osebnih podatkov pisno privolitev posameznika.
Državni organi, organi lokalnih skupnosti in nosilci javnih pooblastil lahko obdelujejo samo tiste osebne podatke, za katere je tako določeno z zakonom.
Upravljavci zbirk osebnih podatkov, ki so za njihovo zbiranje pooblaščeni z zakonom, lahko zbirajo osebne podatke, ki se nanašajo na rasno in drugo poreklo, politična, verska in druga prepričanja, pripadnost sindikatu, ali spolno vedenje samo na podlagi pisne privolitve posameznika. Z zakonom se lahko določi tudi druge vrste osebnih podatkov, ki jih lahko upravljavci zbirk osebnih podatkov zbirajo na podlagi pisne privolitve posameznika.
Ne glede na določbo prvega odstavka tega člena, lahko pravne ali fizične osebe, ki opravljajo javno službo ali dejavnost po zakonu, ki ureja gospodarske družbe, obdelujejo osebne podatke oseb, s katerimi so v pogodbenem razmerju, če gre za osebne podatke, ki jih potrebujejo za izpolnjevanje pogodbenih obveznosti ali uveljavljanje pravic iz pogodbenega razmerja.
Kadar se osebni podatki obdelujejo na podlagi pisne privolitve posameznika, mora biti ta predhodno pisno seznanjen z namenom obdelave podatkov in še posebej z namenom njihove uporabe in časom shranjevanja.
4. člen
Obdelava osebnih podatkov, ki se nanašajo na rasno in drugo poreklo, politična, verska in druga prepričanja, pripadnost sindikatu, spolno vedenje, kazenske obsodbe in zdravstveni podatki, mora biti posebej označena in zavarovana.
Osebni podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
5. člen
Določbe tega zakona se ne uporabljajo:
1. za osebne podatke, v zbirki osebnih podatkov, za katere je posameznik pisno privolil, da so v njej in je po naravi ali namenu lahko vsakomur dostopna;
2. za osebne podatke, ki jih zbirajo stranke, društva ali druge podobne organizacije o svojih članih, če se ti strinjajo;
3. za osebne podatke, ki so sestavni del firme ali imena družbe ali poslovalnice ali druge organizacije oziroma ustanove;
4. za osebne podatke, vsebovane v knjigah, publikacijah in drugih gradivih, ki se shranjujejo v muzejih, knjižnicah, arhivih in podobnih javnih ustanovah, ter so javna in splošno dostopna.
6. člen
Na ozemlju Republike Slovenije je vsakemu posamezniku, ne glede na državljanstvo in prebivališče, zagotovljeno varstvo osebnih podatkov.
2. Varstvo osebnih podatkov
7. člen
Upravljavec zbirke osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov poveri drugi fizični ali pravni osebi, ki je registrirana za opravljanje takšne dejavnosti.
Oseba iz prejšnjega odstavka sme opravljati samo storitve obdelave osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati ali drugače uporabljati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi pogoje in ukrepe za zagotovitev varstva osebnih podatkov in njihovega zavarovanja.
8. člen
Osebni podatki se zbirajo neposredno od posameznika.
Za posamezne primere lahko zakon določi, da se osebni podatki zbirajo tudi od drugih oseb ali pridobivajo iz že obstoječih zbirk osebnih podatkov, pri čemer mora biti določena oseba oziroma zbirka in vrsta osebnih podatkov ter način zbiranja. Pri pridobivanju podatkov iz že obstoječih zbirk, je potrebno upoštevati namene, za katere so bili zbrani.
Osebni podatki, ki so povezani z narodnim, rasnim in drugim poreklom, političnimi, verskimi in drugimi prepričanji, izobrazbo, zdravstvenim stanjem, razen nalezljivih bolezni, ter spolnim vedenjem, se smejo zbirati tudi od drugih oseb ali pridobivati in povezovati iz že obstoječih zbirk osebnih podatkov samo ob pisni privolitvi posameznika, na katerega se nanašajo, razen če uporabnik osebnih podatkov namerava uporabljati osebne podatke za statistične ali znanstveno raziskovalne namene v obliki, ki ne omogoča identifikacije posameznikov, pri čemer mora biti določena zbirka in vrsta osebnih podatkov ter način zbiranja.
Pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s področja javne varnosti, državne varnosti, obrambe države, pravosodja in zdravstva, ni dovoljena uporaba istega povezovalnega znaka.
9. člen
Osebni podatki se smejo obdelovati samo za namene določene z zakonom ali s pisno privolitvijo posameznika in ne smejo biti uporabljeni na način, ki ni združljiv s temi nameni.
10. člen
Osebni podatki se lahko shranjujejo in uporabljajo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so bili obdelovani.
Po izpolnitvi namena iz prejšnjega odstavka se osebni podatki zbrišejo iz zbirke osebnih podatkov ali blokirajo, če z zakonom za posamezne vrste osebnih podatkov ni določeno drugače.
11. člen
Upravljavec zbirke osebnih podatkov mora, če ni predpisano drugače, proti plačilu stroškov posredovanja, posredovati osebne podatke uporabnikom osebnih podatkov.
Upravljavec lahko posreduje osebne podatke uporabniku, ki ni uporabnik osebnih podatkov po tem zakonu samo, če ta namerava uporabljati osebne podatke za statistične ali znanstveno-raziskovalne namene, v obliki, ki ne omogoča identifikacije posameznikov.
Upravljavec centralnega registra prebivalstva lahko uporabnikom iz prejšnjega odstavka na podlagi pisne zahteve posreduje ime, priimek, poklic in naslov posameznika, ki je bil ob zbiranju osebnih podatkov pisno seznanjen s to možnostjo, in posredovanja podatkov ni prepovedal, če te podatke potrebujejo za izdelavo statističnih in drugih raziskovalnih vzorcev ali za pridobitev pisne privolitve posameznika.
Upravljavec centralnega registra prebivalcev ali evidenc stalno in začasno prijavljenih prebivalcev, mora na način, ki je določen za izdajo potrdila, posredovati posamezniku ali pravni osebi ali drugi organizaciji ime, priimek in naslov osebe, zoper katero uveljavlja ali varuje svoje pravice pred državnimi organi, organi lokalnih skupnosti ali nosilci javnih pooblastil.
Upravljavec zbirke osebnih podatkov mora za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
Uporabnik osebnih podatkov in upravljavec iz tretjega odstavka tega člena, ter posameznik, pravna oseba ali druga organizacija iz četrtega odstavka tega člena, morajo s prejetimi osebnimi podatki ravnati po določbah tega zakona.
12. člen
Upravljavec zbirke osebnih podatkov lahko posreduje uporabnikom osebne podatke o umrli osebi, če uporabnik lahko izkaže zakoniti interes za uporabo osebnih podatkov o umrli osebi, pa umrli v času svojega življenja ni izrecno prepovedal posredovanja teh osebnih podatkov in če temu ožji družinski člani ne nasprotujejo.
3. Zavarovanje osebnih podatkov
13. člen
Zavarovanje osebnih podatkov obsega organizacijske in ustrezne logično tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščeno obdelavo teh podatkov tako, da se:
1. varujejo prostori, oprema (tudi vhodno izhodne enote) in sistemsko programska oprema;
2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih;
4. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki uporabljeni ali vnešeni v zbirko osebnih podatkov in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da bo obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
14. člen
Postopke in ukrepe iz prejšnjega člena predpišejo v svojih aktih in zagotavljajo njihovo izvajanje upravljavci zbirk osebnih podatkov, obdelovalci in uporabniki osebnih podatkov.
4. Katalogi podatkov in katalog zbirk osebnih podatkov
15. člen
Upravljavec zbirke osebnih podatkov za vsako zbirko osebnih podatkov zagotovi katalog podatkov, ki vsebuje:
1. naziv zbirke osebnih podatkov,
2. upravljavca zbirke osebnih podatkov in njegov sedež,
3. pravno podlago vzpostavitve zbirke osebnih podatkov,
4. kategorije posameznikov,
5. vrste osebnih podatkov, shranjenih v zbirki osebnih podatkov,
6. pravno podlago za zbiranje osebnih podatkov,
7. način zbiranja osebnih podatkov,
8. namen zbiranja, obdelave, shranjevanja in uporabe osebnih podatkov ter pravno podlago namena,
9. čas shranjevanja in uporabe osebnih podatkov,
10. omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev,
11. uporabnike osebnih podatkov, vsebovanih v zbirki osebnih podatkov,
12. dejstvo ali se osebni podatki iznašajo iz države, kam, komu in pravno podlago iznosa,
13. opis zavarovanja.
16. člen
Upravljavec zbirke osebnih podatkov posreduje podatke iz prve, druge, četrte in pete točke prejšnjega člena ministrstvu pristojnemu za varstvo osebnih podatkov, ki v skladu z zakonom vodi katalog zbirk osebnih podatkov (skupni katalog podatkov), in sicer 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov.
Upravljavec zbirke osebnih podatkov posreduje ministrstvu iz prejšnjega odstavka tudi spremembe podatkov iz prejšnjega člena, in sicer v roku 7 dni od dneva spremembe.
Ministrstvo iz prvega odstavka tega člena objavi katalog zbirk osebnih podatkov na način in v obdobjih, določenih s predpisom o metodologiji njegovega vodenja.
5. Pravice posameznika
17. člen
Ministrstvo, ki vodi in vzdržuje katalog zbirk osebnih podatkov, mora vsakomur na ustno ali pisno zahtevo dovoliti vpogled v katalog zbirk osebnih podatkov in prepis podatkov.
Vpogled mora ministrstvo dovoliti in omogočiti praviloma istega dne, najkasneje pa v 7 dneh, sicer se šteje, da je zahteva zavrnjena.
18. člen
Upravljavec zbirke osebnih podatkov mora na zahtevo posameznika:
1. posamezniku omogočiti vpogled v katalog podatkov, vpogled v osebne podatke, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj, ter njihovo prepisovanje;
2. posamezniku posredovati izpis osebnih podatkov, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;
3. posamezniku posredovati seznam tistih, katerim so bili v skladu s petim odstavkom 11. člena tega zakona v določenem obdobju posredovani osebni podatki, ki so vsebovani v zbirki osebnih podatkov in se nanašajo nanj;
4. posamezniku omogočiti vpogled v vire, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka podatkov in metodo obdelave.
Zahteva iz prejšnjega odstavka se vloži pisno ali ustno na zapisnik pri upravljavcu zbirke osebnih podatkov.
Upravljavec zbirke osebnih podatkov mora posamezniku omogočiti vpogled in prepis osebnih podatkov po 1. točki prvega odstavka tega člena najkasneje v 15 dneh od dneva, ko je prejel zahtevo, ali pa ga v istem roku pisno obvestiti o razlogih, zaradi katerih vpogleda in prepisa ne bo omogočil.
Izpis iz 2. točke in seznam iz 3. točke prvega odstavka tega člena mora upravljavec zbirke osebnih podatkov posredovati posamezniku v 30 dneh od dneva, ko je prejel zahtevo, ali pa ga v istem roku pisno obvestiti o razlogih, zaradi katerih mu izpisa oziroma seznama ne bo posredoval.
Če upravljavec ne ravna po tretjem in četrtem odstavku tega člena, se šteje, da je zahtevo zavrnil.
Izpis iz 2. točke prvega odstavka tega člena ne more nadomestiti listine ali potrdila po predpisih o upravnem ali drugem postopku, kar se označi na izpisu.
Stroške v zvezi z zahtevo in izpisom nosi upravljavec zbirke osebnih podatkov.
19. člen
Upravljavec zbirke osebnih podatkov mora na zahtevo posameznika:
1. dopolniti ali popraviti osebne podatke, za katere se ugotovi, da so nepopolni, netočni ali neažurni;
2. izbrisati osebne podatke, za katere posameznik dokaže, da so bili zbrani v nasprotju z določbami tega zakona.
Zahteva iz prejšnjega odstavka se vloži pisno ali ustno na zapisnik pri upravljavcu zbirke osebnih podatkov.
V primeru, ko upravljavec zbirke osebnih podatkov ugotovi, da so osebni podatki nepopolni, netočni ali neažurni, jih mora sam dopolniti ali popraviti in o tem obvestiti posameznika, če z zakonom ni določeno drugače.
Dopolnitev, popravo ali izbris osebnih podatkov po prvem odstavku tega člena mora upravljavec zbirke osebnih podatkov opraviti v 15 dneh od dneva, ko je prejel zahtevo in o tem obvestiti vlagatelja zahteve ali pa ga v istem roku obvestiti o razlogih, zaradi katerih tega ne bo storil.
O dopolnitvi, popravi ali izbrisu osebnih podatkov mora upravljavec zbirke osebnih podatkov nemudoma obvestiti uporabnike osebnih podatkov, ki jim je osebne podatke posredoval.
Če upravljavec zbirke osebnih podatkov ne ravna po četrtem odstavku tega člena, se šteje, da je zahtevo zavrnil.
Stroške v zvezi z dopolnitvijo, popravo in izbrisom osebnih podatkov ter obvestilom nosi upravljavec zbirke osebnih podatkov.
Dopolnitev, poprava ali izbris podatkov upravljavca ne rešuje morebitne kazenske in materialne odgovornosti.
6. Varstvo pravic posameznika
20. člen
Posameznik, ki ugotovi, da so kršene njegove pravice, določene s tem zakonom, lahko s tožbo zahteva sodno varstvo ves čas, dokler kršitev traja.
Če je kršitev iz prejšnjega odstavka prenehala, lahko posameznik vloži tožbo za ugotovitev, da je kršitev obstajala.
O tožbi odloča upravno sodišče po določbah zakona, ki ureja postopek v upravnem sporu, kolikor ta zakon ne določa drugače.
Postopek s tožbo je nujen.
21. člen
V tožbi, vloženi zaradi kršitev pravic iz 19. člena tega zakona, lahko posameznik zahteva od sodišča, da za čas do odločitve o njegovem predlogu, naloži upravljavcu zbirke osebnih podatkov, da prepreči vsakršno uporabo spornih osebnih podatkov.
V postopku, v katerem se odloča o tožbi, je javnost izključena.
22. člen
Če je bila posamezniku zaradi uporabe osebnih podatkov, ki se nanašajo nanj in ki so bili zbrani na način ali za namen, ki ni v skladu z določbami tega zakona, povzročena škoda, lahko od povzročitelja zahteva odškodnino v skladu z zakonom.
7. Omejitve pravic posameznika
23. člen
Pravice posameznika v zvezi z varstvom osebnih podatkov je mogoče omejiti samo izjemoma v primerih, ki jih določa zakon za potrebe nacionalne varnosti, obrambe, javne varnosti, preprečevanja, razkrivanja, odkrivanja in preganjanja kaznivih dejanj ali kršitve etičnih norm za določene poklice, monetarne, proračunske in davčne zadeve, nadzora javne varnosti, in varstva subjekta podatkov ali pravic in svoboščin drugih, v obsegu, ki je nujen za dosego namena, zaradi katerega se določa omejitev, razen v zvezi z varstvom osebnih podatkov, ki so povezani z narodnim, rasnim in drugim poreklom, političnimi, verskimi in drugimi prepričanji, izobrazbo, zdravstvenim stanjem, razen nalezljivih bolezni ali spolnim vedenjem.
Ne glede na prejšnji odstavek ni mogoče omejiti pravice do vpogleda v katalog zbirk osebnih podatkov in pravice zahtevati sodno varstvo.
8. Iznos osebnih podatkov iz države
24. člen
Upravljavec zbirke osebnih podatkov lahko iznese osebne podatke iz države in jih posreduje tujim uporabnikom osebnih podatkov, če ima država, v katero se iznašajo, urejeno varstvo osebnih podatkov, ki obsega tudi tuje državljane. Potrdilo o tem izda ministrstvo, pristojno za zunanje zadeve.
Ob izpolnjenem pogoju iz prejšnjega odstavka je posredovanje osebnih podatkov tujim uporabnikom osebnih podatkov dopustno, če gre za osebne podatke, ki se posredujejo na podlagi mednarodnih pogodb, konvencij in sporazumov ter pogodb o znanstvenem, poslovnem, tehničnem, kulturnem ali drugem podobnem sodelovanju.
Ne glede na določbe prejšnjih odstavkov tega člena upravljavec zbirke osebnih podatkov lahko iznese osebne podatke iz države in jih posreduje tujim uporabnikom osebnih podatkov, če v to pisno privoli posameznik in je seznanjen s posledicami.
Iznos osebnih podatkov iz države se evidentira skladno z določbami 15. člena tega zakona.
25. člen
Ne glede na določbe prejšnjega člena iznos osebnih podatkov in njihovo posredovanje tujim uporabnikom osebnih podatkov nista dopustna, če tako določa zakon.
9. Inšpekcijsko nadzorstvo
26. člen
Inšpekcijsko nadzorstvo nad izvajanjem določb tega zakona opravlja ministrstvo, pristojno za varstvo osebnih podatkov.
V okviru inšpekcijskega nadzorstva ministrstvo:
– nadzoruje zakonitost obdelave osebnih podatkov,
– nadzoruje izvajanje postopkov in ukrepov za zavarovanje osebnih podatkov, določenih v notranjih aktih fizičnih in pravnih oseb iz 14. člena tega zakona, ter njihovo ustreznost,
– nadzoruje izvajanje določb tega zakona, ki urejajo kataloge podatkov, katalog zbirk osebnih podatkov in evidentiranje prenosa osebnih podatkov posameznim uporabnikom osebnih podatkov, ter
– nadzoruje izvajanje določb tega zakona o iznosu osebnih podatkov iz države in njihovem posredovanju tujim uporabnikom osebnih podatkov.
27. člen
Pri opravljanju inšpekcijskega nadzorstva je inšpektor upravičen:
– pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov ter njihov iznos iz države in posredovanje tujim uporabnikom osebnih podatkov,
– pregledovati vsebino zbirk osebnih podatkov, katalogov podatkov in kataloga zbirk osebnih podatkov,
– pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov,
– pregledovati prostore, v katerih se obdelujejo osebni podatki, ter računalniško in drugo opremo ter tehnično dokumentacijo,
– preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo izvajanje.
V primeru, ko inšpektor pri ukrepanju po prejšnjem odstavku ugotovi nezakonitosti v zvezi z varstvom osebnih podatkov, seznani o svoji ugotovitvi tudi prizadete, neposredno ali preko sredstev javnega obveščanja.
Osebne podatke, s katerimi se seznani inšpektor pri izvajanju inšpekcijskega nadzorstva, je dolžan varovati kot uradno tajnost.
28. člen
Inšpektor ima pravico in dolžnost:
1. odrediti, da se nepravilnosti, ki jih ugotovi, odpravijo v roku, ki ga določi;
2. odrediti prepoved obdelave osebnih podatkov fizičnim in pravnim osebam iz 14. člena tega zakona, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje osebnih podatkov ali če nezakonito obdelujejo osebne podatke;
3. odrediti prepoved iznosa osebnih podatkov iz države ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami tega zakona.
Zoper odločbo iz prejšnjega odstavka je dovoljena pritožba, in sicer v 5 dneh od dneva njene vročitve.
Pritožba zoper odločbo po 2. in 3. točki prvega odstavka tega člena ne zadrži njene izvršitve, o njej pa mora biti odločeno v 7 dneh. O pritožbi odloči vlada.
Če inšpektor pri opravljanju inšpekcijskega nadzora ugotovi kršitev, je dolžan, da poda ovadbo v primeru suma kaznivega dejanja oziroma poda predlog za uvedbo postopka o prekršku v primeru suma storitve prekrška po tem zakonu.
10. Spremljanje izvrševanja zakona
29. člen
Stanje na področju varstva osebnih podatkov in izvrševanje določb tega zakona spremlja pristojno delovno telo Državnega zbora.
11. Kazenske določbe
30. člen
Z denarno kaznijo od 500.000 do 1,000.000 tolarjev se kaznuje za prekršek upravljavec zbirke osebnih podatkov, pravna oseba ali posameznik, ki stori prekršek v zvezi s samostojnim opravljanjem dejavnosti:
1. če obdeluje osebne podatke, ne da bi imel za to podlago v zakonu ali pisni privolitvi posameznika (3. člen);
2. če posamezna opravila v zvezi z obdelavo osebnih podatkov poveri drugi osebi, ne da bi sklenil pogodbo v skladu z drugim odstavkom 7. člena;
3. če v nasprotju z zakonom zbira osebne podatke od drugih oseb ali jih pridobiva iz že obstoječih zbirk osebnih podatkov (8. člen);
4. če obdeluje osebne podatke za namene, ki niso določeni v zakonu ali pisni privolitvi posameznika, ali jih uporablja na način, ki ni združljiv s temi nameni (9. člena);
5. če ne zbriše ali blokira osebnih podatkov, potem ko je bil dosežen namen, zaradi katerega so bili obdelani in shranjeni (10. člen);
6. če ravna v nasprotju s prvim, drugim, tretjim, četrtim ali petim odstavkom 11. člena;
7. če ne zagotovi, da katalog podatkov vsebuje podatke, ki jih določa zakon (15. člen);
8. če ne posreduje podatkov za potrebe kataloga zbirk osebnih podatkov (16. člen);
9. če ravna v nasprotju s prvim, tretjim ali četrtim odstavkom 18. člena;
10. če ravna v nasprotju s prvim, tretjim, četrtim ali petim odstavkom 19. člena;
11. če v nasprotju z določbami 24. člena iznaša osebne podatke iz države.
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe.
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
31. člen
Z denarno kaznijo od 500.000 do 1,000.000 tolarjev se kaznuje za prekršek uporabnik osebnih podatkov, pravna oseba ali posameznik, ki stori prekršek v zvezi s samostojnim opravljanjem dejavnosti, če obdeluje osebne podatke za namene, ki niso določeni v zakonu ali pisni privolitvi posameznika ali jih uporablja na način, ki ni združljiv s temi nameni (9. člen).
Z denarno kaznijo od 50.000 do 100.000 tolarjev se za prekršek kaznuje tudi odgovorna oseba pravne osebe, če stori dejanje iz prejšnjega odstavka.
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa lokalne skupnosti, ki stori prekršek iz prvega odstavka tega člena.
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek posameznik, ki stori prekršek iz prvega odstavka tega člena.
32. člen
Z denarno kaznijo od 500.000 do 1,000.000 tolarjev se kaznuje za prekršek pravna oseba ali posameznik, ki stori prekršek v zvezi s samostojnim opravljanjem dejavnosti, če prekorači pooblastila, vsebovana v pogodbi iz drugega odstavka 7. člena.
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe.
33. člen
Z denarno kaznijo od 500.000 do 1,000.000 tolarjev se kaznuje za prekršek pravna oseba ali posameznik, ki stori prekršek v zvezi s samostojnim opravljanjem dejavnosti, če v skladu s tem zakonom obdeluje osebne podatke in ne zagotovi zavarovanja osebnih podatkov (14. člen).
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe.
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek odgovorna oseba državnega organa ali organa lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.
34. člen
Z denarno kaznijo od 50.000 do 100.000 tolarjev se kaznuje za prekršek odgovorna oseba ministrstva, pristojnega za vodenje in vzdrževanje kataloga zbirk osebnih podatkov, če krši pravico posameznika do vpogleda v katalog zbirk osebnih podatkov ali mu ne dovoli prepisa podatkov, ki so v njem vsebovani (17. člen).
12. Prehodne in končne določbe
35. člen
Državni organi in organi lokalnih skupnosti, organizacije in posamezniki, ki opravljajo javne službe in nosilci javnih pooblastil, uskladijo obdelavo osebnih podatkov z določbami tega zakona najkasneje v dveh letih od njegove uveljavitve.
36. člen
Z dnem uveljavitve tega zakona prenehajo veljati:
– določbe zakona o varstvu osebnih podatkov (Uradni list RS, št. 8/90 in 19/91),
– določbe zakona o družbenem sistemu informiranja (Uradni list SRS, št. 10/83).
37. člen
Ta zakon začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 210-01/89-3/20
Ljubljana, dne 8. julija 1999.
Predsednik
Državnega zbora
Republike Slovenije
Janez Podobnik, dr. med. l. r.