Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj

+ -

Dne 1. 12. 2020 je bil v Uradnem listu RS (št. 177/20objavljen Zakon o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD), ki ureja varstvo pri obdelavi osebnih podatkov, ki jih pristojni organi (policija, državna tožilstva, Uprava RS za probacijo, Uprava RS za izvrševanje kazenskih sankcij in drugi državni organi RS, ki so zakonsko določeni kot pristojni za področja preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij), obdelujejo za namene izvrševanja teh pristojnosti.

 

Poleg tega ZVOPOKD ureja tudi pogoje za zakonito in pošteno obdelavo osebnih podatkov, postopke in načine odkrivanja in preprečevanja nezakonitih posegov v pravice posameznika, na katerega se nanašajo osebni podatki, načine uveljavljanja njegovih pravic in prenos osebnih podatkov tretjim državam in mednarodnim organizacijam. Za učinkovito varstvo zakonitosti in poštenosti obdelave osebnih podatkov ureja tudi nadzorna pooblastila in nadzorne ukrepe nadzornega organa ter odgovornost za prekrške glede njihovih kršitev. ZVOPOKD ureja tudi, kdaj sodišča, ki odločajo v kazenskih zadevah, uporabljajo njegove določbe o obdelavi in dostopu do osebnih podatkov v kazenskih zadevah. ZVOPOKD kazensko zadevo sodišča opredeljuje kot izvajanje sodne oblasti, kar vključuje opravljanje preiskave in preiskovalnih dejanj, sojenje in obravnavanje pravnih sredstev v kazenski zadevi iz pristojnosti sodišč s splošno pristojnostjo, kot jo določa zakon, ki ureja sodišča, ter o kateri odloča sodišče v skladu z zakoni, ki urejajo sodne postopke.

 

Z ZVOPOKD se v pravni red RS prenašata Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ ter Direktiva (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj. Slednja se prenaša le v tistem delu, ki se nanaša na položaj in naloge pooblaščenih oseb za varstvo osebnih podatkov.

 

ZVOPOKD je sestavljen iz 10 poglavij, in sicer:

  • splošne določbe,
  • pravice posameznika in postopek pred pristojnim organom,
  • postopek pred nadzornim organom in prijavitelj s posebnim položajem,
  • inšpekcijski nadzor glede varstva osebnih podatkov,
  • obveznosti pristojnih organov, obdelovalcev in skupnih upravljavcev,
  • posebne določbe,
  • prenos osebnih podatkov tretjim državam ali mednarodnim organizacijam,
  • nadzorni organ,
  • kazenske določbe,
  • prehodna in končna določba.

 

PRAVICE POSAMEZNIKA   

 

1. pravica do pridobitve informacij

Pristojni organ posamezniku zagotovi vse informacije o obdelavi. Na razpolago da naslednje informacije: 
1. naziv in kontaktne podatke pristojnega organa; 
2. kontaktne podatke pooblaščene osebe za varstvo osebnih podatkov iz 55. člena ZVOPOKD; 
3. o namenih obdelave osebnih podatkov; 
4. o pravici do prijave pri nadzornem organu in njegove kontaktne podatke; 
5. o pravici, da od pristojnega organa zahteva dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov, ter pravici do vložitve pritožbe pri nadzornem organu; 
6. pravno podlago obdelave; 
7. rok hrambe ali rok za redni pregled potrebe po hrambi; 
8. če so informacije o tem na razpolago, kategorije uporabnikov osebnih podatkov, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah; 
9. če je to potrebno zaradi uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki, dodatne informacije, zlasti če so bili osebni podatki pridobljeni brez vednosti posameznikov, na katere se nanašajo. 
Informacije iz prejšnjega odstavka ne vključujejo podatkov o konkretnih obdelavah osebnih podatkov posameznika. Pristojni organ informacije iz 1. do 6. točke prejšnjega odstavka javno objavi.

 

2. pravica do dostopa do osebnih podatkov,

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od pristojnega organa zahtevati podatek o tem, ali se obdelujejo njegovi osebni podatki, in kopijo ali izpis teh podatkov.

Če se obdelujejo njegovi osebni podatki, ima posameznik pravico pridobiti konkretne informacije o:

  1. namenih obdelave in njihovi pravni podlagi;
  2. vrstah osebnih podatkov, ki se obdelujejo;
  3. uporabnikih ali kategorijah uporabnikov, ki so jim bili podatki razkriti, zlasti če gre za uporabnike v tretjih državah ali mednarodnih organizacijah, v primerih omejitev iz prvega odstavka 25. člena ZVOPOKD pa se lahko navede le okvirni opis uporabnikov;
  4. roku hrambe ali roku za redni pregled potrebe po hrambi;
  5. obstoju pravice zahtevati popravek ali izbris podatkov ali omejitev obdelave in pravici do vložitve pritožbe pri nadzornem organu;
  6. obstoju pravice do vložitve prijave pri nadzornem organu in njegovih kontaktnih podatkih;
  7. vseh razpoložljivih informacijah o viru osebnih podatkov, razen če je identiteta vira varovana kot tajna ali zaupna po določbah zakona.

Pristojni organ posamezniku iz razloga po 1. ali 2. točki prvega odstavka 25. člena ZVOPOKD ne zagotovi navedenih informacij, kadar bi se s tem razkrila identiteta oseb, zoper katere se izvajajo prikriti preiskovalni ukrepi po zakonu, ki ureja kazenski postopek, ali zoper katere so razpisani ukrepi prikritega evidentiranja in namenske kontrole po zakonu, ki ureja naloge in pooblastila policije.

Pristojni organ o zahtevi odloči brez nepotrebnega odlašanja, najpozneje pa v enem mesecu po prejemu zahteve. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu (IP). Pritožbo lahko posameznik vloži na neobvezujočem obrazcu P-DOP (dostopen tukaj).

Pravica posameznika do dostopa do lastnih osebnih podatkov se lahko ob upoštevanju njegovih človekovih pravic in temeljnih svoboščin ter zakonitih interesov z zakonom delno ali popolnoma omeji glede posameznih obdelav ali posameznih kategorij obdelav, če in dokler je to nujno in sorazmerno:

1. da se onemogoči oviranje ali vplivanje na uradne postopke, katerih nameni so določeni v prvem odstavku 1. člena ZVOPOKD;

2. da se onemogoči oviranje ali vplivanje na druge uradne postopke, povezane s prejšnjo točko;

3. zaradi zagotavljanja javne varnosti;

4. zaradi zagotavljanja varnosti države ali obrambe države;

5. zaradi varstva ali uresničevanja človekovih pravic in temeljnih svoboščin tretjih oseb.

Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, odloči o zavrnitvi ali omejitvi dostopa in razlogih za to. Ta rok lahko organ po potrebi s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve oziroma števila zahtev. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu. Pritožbo lahko posameznik vloži na neobvezujočem obrazcu P-DOP (dostopen tukaj).

Pristojni organ zahtevo posameznika, na katerega se nanašajo osebni podatki, nemudoma zavrne, če izkaže, da:

1. je glede na njeno vsebino očitno neutemeljena ali

2. so zahteva ali zahteve posameznika pretirane, zlasti zato, ker posameznik nerazumno in ponavljajoče vlaga enake zahteve.

 

3. pravica do popravka osebnih podatkov,

Posameznik, na katerega se nanašajo osebni podatki, ima v skladu s prvim odstavkom 26. člena ZVOPOKD pravico od pristojnega organa zahtevati popravek oziroma dopolnitev svojih netočnih oziroma nepopolnih osebnih podatkov.

Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, popravi netočne osebne podatke ali dopolni nepopolne osebne podatke in o tem obvesti posameznika. Rok se lahko s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve in števila zahtev.

Če netočnih ali nepopolnih osebnih podatkov ni mogoče ali ni dopustno dopolniti ali popraviti, jim lahko pristojni organ priloži dopolnilno izjavo posameznika, na katerega se nanašajo osebni podatki.

Če so osebni podatki posameznika, ki zahteva njihov popravek ali dopolnitev, točni in popolni, ali če pristojni organ ne more ravnati po določbi prejšnjega stavka, z odločbo zahtevo zavrne. Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu (IP). Pritožbo lahko posameznik vloži na neobvezujočem obrazcu P-POP (dostopen tukaj).

 

4. pravica do izbrisa osebnih podatkov in omejitve obdelave osebnih podatkov

Posameznik, na katerega se nanašajo osebni podatki, ima v skladu z drugim odstavkom 26. člena ZVOPOKD pravico od pristojnega organa zahtevati izbris svojih osebnih podatkov, če obdelava krši določbe 5., 6. ali 7. člena ZVOPOKD ali če je treba osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za pristojni organ.

Pristojni organ brez nepotrebnega odlašanja, najpozneje pa v 15 dneh od prejema zahteve, izbriše te podatke in o tem obvesti posameznika. Rok se lahko s sklepom podaljša za največ 15 dni ob upoštevanju zapletenosti zahteve in števila zahtev.

Pristojni organ v primerih kršitev določb 5., 6. ali 7. člena ZVOPOKD ali izpolnitve pravne obveznosti, ki velja za pristojni organ, z odločbo zavrne zahtevo za izbris in omeji obdelavo, če:

1. posameznik, na katerega se osebni podatki nanašajo, izpodbija točnost ali posodobljenost osebnih podatkov in točnosti ali posodobljenosti ni mogoče preveriti ali

2. je treba osebne podatke še nadalje hraniti za namene dokazovanja.

Odločba vsebuje tudi pouk o pravici do pritožbe pri nadzornem organu (IP). Pritožbo lahko posameznik vloži na neobvezujočem obrazcu P-IOP (dostopen tukaj).

 

5. pritožba zoper odločitev pristojnega organa,

O pritožbi posameznika, na katerega se nanašajo osebni podatki, zoper odločitev pristojnega organa odloča nadzorni organ (IP) kot organ druge stopnje.

Zoper odločbo nadzornega organa ni pritožbe, dopusten pa je upravni spor. Tožbo v upravnem sporu lahko vložijo posameznik, na katerega se nanašajo osebni podatki, in pristojni organ, drug upravljavec ali obdelovalec.

 

6. prijava kršitve varstva osebnih podatkov.

Posameznik, ki meni, da obdelava njegovih osebnih podatkov s strani nadzorovanega organa krši določbe tega zakona ali drugih zakonov, ki urejajo obdelavo ali varstvo osebnih podatkov za namene iz prvega odstavka 1. člena ZVOPOKD, ali krši določbe s temi zakoni povezanih podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil (prijavitelj s posebnim položajem), lahko pri nadzornem organu vloži zahtevo v upravnem postopku, s katero zahteva nadzor zakonitosti obdelave svojih osebnih podatkov, lahko pa v njej predlaga tudi potrebno ukrepanje v primeru ugotovljenih kršitev.

V primeru prijave prijavitelja s posebnim položajem nadzorni organ (IP) uvede postopek nadzora, če prijava vsebuje sestavine, kot jih za vlogo določa zakon, ki ureja splošni upravni postopek, ter navedbo pristojnega organa in navedbo kršitev pri obdelavi ali varnosti njegovih osebnih podatkov, iz katerih izhaja kršitev predpisov iz prejšnjega odstavka.

Nadzorni organ o prijavi odloči z odločbo najpozneje v roku treh mesecev po prejemu prijave. Rok lahko nadzorni organ zaradi zahtevnosti obravnavanja zadeve s sklepom podaljša za največ en mesec.

Odločba v postopku nadzora poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje:

  1. ugotovitev o obstoju ali neobstoju zatrjevane kršitve obdelave osebnih podatkov prijavitelja s posebnim položajem v trenutku vložitve prijave;
  2. ukrepe, odrejene nadzorovanemu organu glede obdelave osebnih podatkov, ki se nanašajo na prijavitelja s posebnim položajem, in rok za njihovo izvedbo;
  3. dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem.

 

Nadzor

ZVOPOKD izrecno določa, da je nadzorni organ Informacijski pooblaščenec, ki izvaja nadzor nad izvajanjem ZVOPOKD in drugih zakonov glede obdelav osebnih podatkov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. Nadzorni organ skrbi za enotno uresničevanje ukrepov na področju varstva osebnih podatkov po določbah ZVOPOKD, tako da se zaščitijo človekove pravice in temeljne svoboščine posameznikov v zvezi z obdelavo osebnih podatkov ter omogoči prost pretok osebnih podatkov med državami članicami Evropske unije v skladu z določbami ZVOPOKD.

 

ZVOPOKD daje nadzornemu organu naslednja pooblastila:

  • pregled dokumentacije pristojnega organa ali obdelovalca, ki se nanaša na obdelavo osebnih podatkov, ne glede na njeno zaupnost ali tajnost, ter prenos osebnih podatkov v tretjo državo in posredovanje osebnih podatkov tujim uporabnikom;
  • pregled poslovnih knjig, pogodb, listin, poslovne korespondence, poslovnih evidenc in drugih podatkov, ki se nanašajo na obdelavo osebnih podatkov s strani pristojnega organa ali obdelovalca ali druge pravne ali fizične osebe po njunem pooblastilu oziroma na prenos osebnih podatkov v tretjo državo ali posredovanje uporabnikom osebnih podatkov iz tretjih držav s strani pristojnega organa ali obdelovalca oziroma druge pravne ali fizične osebe po njunem pooblastilu ne glede na njihovo tajnost ali drugo vrsto zaupnosti ter ne glede na vrsto nosilca, na katerem so zapisani ali shranjeni;
  • vstop in pregled prostora, zemljišča, prevoznih sredstev ter opreme in sredstev za obdelavo osebnih podatkov v oziroma s katerimi nadzorovani organ sam ali drug poslovni subjekt ali posameznik po njegovem pooblastilu opravlja obdelavo osebnih podatkov, za katero izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena ZVOPOKD
  • zavarovanje in pregled elektronskih in z njimi povezanih naprav ter nosilcev elektronskih podatkov, vključno s preko omrežja dosegljivimi informacijskimi sistemi, na katerih so shranjeni podatki, za katere je verjetno, da so na njih podatki, glede katerih izhaja verjetnost kršitve določb zakona, podzakonskih predpisov ali drugih splošnih aktov za izvrševanje javnih pooblastil za namene iz prvega odstavka 1. člena ZVOPOKD
  • odvzem ali pridobitev ustrezne kopije na stroške pristojnega organa ali obdelovalca, forenzične kopije ali izvlečka iz poslovnih knjig in druge dokumentacije v kakršni koli obliki z uporabo fotokopirnih sredstev ali računalniške opreme pristojnega organa ali obdelovalca oziroma nadzornega organa
  • zapečatenje ustreznega dela prostorov in opreme, poslovnih knjig in druge dokumentacije ter elektronskih naprav za največ pet delovnih dni
  • zaseg predmetov ter poslovnih knjig in druge dokumentacije za največ deset delovnih dni

 

Nadzor izvajajo nadzorne osebe (Informacijski pooblaščenec in nadzorniki za varstvo osebnih podatkov, kot jih določa ZInfP), pri nadzoru pa lahko sodeluje strokovno osebje nadzornega organa.

 

Seznam kategorij obdelave, za katere mora pristojni organ v skladu s 1. odstavkom 50. člena ZVOPOKD opraviti predhodno posvetovanje v zvezi z oceno učinka

Po določbi 2. odstavka 50. člena ZVOPOKD lahko nadzorni organ določi in na svojih spletnih straneh objavi seznam kategorij obdelave, za katere mora pristojni organ v skladu s 1. odstavkom 50. člena ZVOPOKD opraviti predhodno posvetovanje v zvezi z oceno učinka.

Informacijski pooblaščenec je sprejel tovrstni seznam dejanj obdelav osebnih podatkov, ki je dostopen na tej povezavi .

 

Obrazci IP                                                

Vsi obrazci za vložitev zahtev in pritožb, ki vam bodo v pomoč pri uresničevanju vaših pravic na podlagi Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOK), Splošne uredbe o varstvu podatkov (ang. GDPR), in Zakona o varstvu osebnih podatkov (ZVOP-2), so dostopni tu.