Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Inšpekcijski nadzor

+ -

Zakon o varstvu osebnih podatkov načelno določa, da je varstvo osebnih podatkov namenjeno preprečevanju nezakonitih in neupravičenih posegov v informacijsko zasebnost posameznika na vseh relevantnih področjih. Določa tudi, da je na ozemlju Republike Slovenije vsakemu posamezniku, ne glede na državljanstvo in prebivališče, zagotovljeno varstvo osebnih podatkov. Smisel varstva osebnih podatkov torej ni varovanje osebnih podatkov kot takih, temveč varovanje pravic posameznika, na katerega se podatki nanašajo.

Osebni podatki se lahko obdelujejo le, če je njihova obdelava določena z zakonom, ali če ima upravljavec zbirke podatkov pisno privolitev posameznika. Za pravne ali fizične osebe, ki opravljajo javno službo ali dejavnost po zakonu, ki ureja gospodarske družbe, pa velja, da lahko že neposredno na podlagi tega zakona, torej brez izrecne podlage v nekem drugem zakonu ali pisne privolitve posameznika, obdelujejo osebne podatke oseb, s katerimi so v pogodbenem razmerju, vendar le, če gre za osebne podatke, ki jih potrebujejo za izpolnjevanje pogodbenih obveznosti ali uveljavljanje pravic iz pogodbenega razmerja. Za državne organe, organe lokalnih skupnosti in nosilce javnih pooblastil je ureditev drugačna, saj lahko obdelujejo le tiste osebne podatke, za katere je tako določeno z zakonom. Posameznik, čigar osebni podatki se obdelujejo na podlagi njegove pisne privolitve, mora biti predhodno pisno seznanjen z namenom obdelave podatkov, njihove uporabe in časom shranjevanja.

Obseg inšpekcijskega nadzora

V okviru inšpekcijskega nadzora državni nadzorni organ:

  • nadzoruje zakonitost obdelave osebnih podatkov;
  • nadzoruje ustreznost ukrepov za zavarovanje osebnih podatkov ter izvajanja postopkov in ukrepov za zavarovanje osebnih podatkov po 24. in 25. členu tega zakona;
  • nadzoruje izvajanje določb zakona, ki urejajo katalog zbirke osebnih podatkov, register zbirk osebnih podatkov in evidentiranje posredovanja osebnih podatkov posameznim uporabnikom osebnih podatkov;
  • nadzoruje izvajanje določb zakona glede iznosa osebnih podatkov v tretjo državo in o njihovem posredovanju tujim uporabnikom osebnih podatkov.

Pristojnosti nadzornika

Pri opravljanju inšpekcijskega nadzora je nadzornik upravičen:

  • pregledovati dokumentacijo, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter iznos osebnih podatkov v tretjo državo in posredovanje tujim uporabnikom osebnih podatkov;
  • pregledovati vsebino zbirk osebnih podatkov ne glede na njihovo zaupnost ali tajnost in katalogov zbirk osebnih podatkov;
  • pregledovati dokumentacijo in akte, ki urejajo zavarovanje osebnih podatkov;
  • pregledovati prostore, v katerih se obdelujejo osebni podatki, računalniško in drugo opremo ter tehnično dokumentacijo;
  • preverjati ukrepe in postopke za zavarovanje osebnih podatkov ter njihovo izvajanje;
  • izvajati druge pristojnosti, določene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek;
  • opravljati druge zadeve, določene z zakonom.

Inšpekcijski ukrepi

Nadzornik, ki pri opravljanju inšpekcijskega nadzora ugotovi kršitev ZVOP-1 ali drugega zakona ali predpisa, ki ureja varstvo osebnih podatkov, ima pravico takoj:

  • odrediti, da se nepravilnosti ali pomanjkljivosti, ki jih ugotovi, odpravijo na način in v roku, ki ga sam določi;
  • odrediti prepoved obdelave osebnih podatkov osebam javnega ali zasebnega sektorja, ki niso zagotovile ali ne izvajajo ukrepov in postopkov za zavarovanje osebnih podatkov;
  • odrediti prepoved obdelave osebnih podatkov ter anonimiziranje, blokiranje, brisanje ali uničenje osebnih podatkov, kadar ugotovi, da se osebni podatki obdelujejo v nasprotju z določbami zakona;
  • odrediti prepoved iznosa osebnih podatkov v tretjo državo ali njihovega posredovanja tujim uporabnikom osebnih podatkov, če se iznašajo ali posredujejo v nasprotju z določbami zakona ali obvezujoče mednarodne pogodbe;
  • odrediti druge ukrepe, določene z zakonom, ki ureja inšpekcijski nadzor, ter zakonom, ki ureja splošni upravni postopek.

Ukrepov iz prejšnjega odstavka ni mogoče odrediti zoper osebo, ki v elektronskem komunikacijskem omrežju opravlja storitve prenosa podatkov, vključno z začasnim shranjevanjem podatkov in drugimi delovanji v zvezi s podatki, ki so pretežno ali v celoti v funkciji opravljanja ali olajšanja prenosa podatkov po omrežjih, če ta oseba sama nima interesa, povezanega z vsebino teh podatkov, in ne gre za osebo, ki lahko sama ali skupaj z omejenim krogom z njo povezanih oseb učinkovito nadzoruje dostop do teh podatkov.

Če nadzornik pri inšpekcijskem nadzoru ugotovi, da obstaja sum storitve kaznivega dejanja ali prekrška poda kazensko ovadbo oziroma izvede postopke v skladu zakonom, ki ureja prekrške.

Zavarovanje osebnih podatkov (informacijska varnost)

Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci so dolžni ustrezno zavarovati osebne podatke, ki jih obdelujejo, kot to določajo 14., 24. in 25. člen ZVOP-1.

Namen inšpekcijskega nadzora je predvsem v odpravi nepravilnosti, zato je preventivno ukrepanje pomembno tudi z vidika nadzora. Skladno s tem objavljamo vprašalnik o informacijski varnosti, ki je lahko v pomoč pri oblikovanju ustreznih postopkov in ukrepov za zavarovanje podatkov. Vprašalnik se uporablja v inšpekcijskih nadzorih po uradni dolžnosti (ex offo), predvsem pri večjih upravljavcih in večjih pogodbenih obdelovalcih osebnih podatkov ter pri tistih subjektih, kjer gre za večja tveganja zaradi narave podatkov, kot so npr. občutljivi osebni podatki. Upravljavci zbirk osebnih podatkov in njihovi pogodbeni obdelovalci lahko s pomočjo vprašalnika preverijo, ali so obravnavali vsa pomembna področja zavarovanja osebnih podatkov (informacijske varnosti) in se tako ustrezno pripravijo na morebitni inšpekcijski nadzor.

Aktualna verzija vprašalnika je na voljo na tej povezavi.