Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov

+ -

(Uradni list RS, št. 28/2005 in 30/11 NEURADNO PREČIŠČENO BESEDILO)*

 

1. SPLOŠNA DOLOČBA

Vsebina pravilnika

1. člen

Za vodenje in vzdrževanje registra zbirk osebnih podatkov (v nadaljnjem besedilu: register) se s tem pravilnikom določajo:
-       vsebina registra;
-       oblika in način posredovanja podatkov, vsebovanih v katalogih zbirk osebnih podatkov;
-       način vodenja registra;
-       način objave registra.

2. VSEBINA REGISTRA

 

Splošna opredelitev vsebine registra

2. člen

(1) Register vsebuje podatke iz katalogov zbirk osebnih podatkov, ki jih vodijo upravljavci osebnih podatkov (v nadaljnjem besedilu: upravljavec) v skladu z določbami zakona, ki ureja varstvo osebnih podatkov.

(2) Za vsako zbirko osebnih podatkov se v registru vodijo naslednji podatki:
1.     naziv zbirke osebnih podatkov;
2.     podatki o upravljavcu;
3.     kategorije posameznikov, na katere se nanašajo osebni podatki;
4.     vrste osebnih podatkov v zbirki osebnih podatkov;
5.     namen obdelave;
6.     uporabniki ali kategorije uporabnikov osebnih podatkov, vsebovanih v zbirki osebnih podatkov;
7.     dejstvo, ali se osebni podatki iznašajo v tretje države, kam, komu in pravno podlago iznosa;
8.     splošen opis zavarovanja osebnih podatkov;
9.     podatke o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig;
10.  podatke o zastopniku iz tretjega odstavka 5. člena Zakona o varstvu osebnih podatkov.

Vsebina zapisov podatkov

3. člen

(1) Podatki iz prejšnjega člena imajo obliko zapisov z naslednjo vsebino:
1.     Zapis o nazivu zbirke osebnih podatkov vsebuje njen naziv, ki ga določa predpis ali ga določi upravljavec, če je zbirka osebnih podatkov vzpostavljena na podlagi osebne privolitve posameznika, pogodbenega razmerja ali na drugi pravni podlagi.
2.     Zapis podatkov o upravljavcu vsebuje za pravno osebo: naziv oziroma firmo in naslov oziroma sedež upravljavca in matično številko. Če je upravljavec fizična oseba vsebuje zapis: osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko.
3.     Zapis kategorij posameznikov vsebuje generično oznako oseb, na katere se nanašajo osebni podatki, ki se vodijo v zbirki osebnih podatkov.
4.     Zapis o vrstah osebnih podatkov vsebuje navedbo vseh vrst osebnih podatkov, ki se vodijo v zbirki osebnih podatkov.
5.     Zapis namena obdelave vsebuje navedbo vseh namenov, za katere se obdelujejo osebni podatki, ki se vodijo v zbirki osebnih podatkov.
6.     Zapis o uporabnikih ali kategorijah uporabnikov osebnih podatkov vsebuje navedbo pravnih oseb ali samostojnih podjetnikov posameznikov oziroma navedbo kategorij fizičnih ali pravnih oseb, katerim se ali se bodo posredovali ali razkrivali osebni podatki iz zbirke osebnih podatkov. Če so uporabniki osebnih podatkov pravne osebe, vsebuje zapis njihov naziv ali firmo, za samostojne podjetnike posameznike pa njihovo firmo. Kategorije pravnih oseb in samostojnih podjetnikov posameznikov se navajajo le izjemoma. V primeru, da je krog uporabnikov neomejen zaradi narave medija, ki omogoča posredovanje osebnih podatkov brez omejitev, zapis vsebuje navedbo, da se podatki posredujejo neomejenemu krogu uporabnikov. Če se osebni podatki ne posredujejo uporabnikom, se zapiše, da se osebni podatki iz zbirke osebnih podatkov ne posredujejo uporabnikom.
7.     Zapis o dejstvu, ali se osebni podatki iznašajo v tretje države, kam, komu in pravno podlago iznosa vsebuje navedbo imen tretjih držav, v katere se osebni podatki iznašajo, navedbo uporabnikov ali kategorij uporabnikov osebnih podatkov v tretjih državah, s podatki, navedenimi v prejšnji točki ter navedbo pravne podlage za iznos osebnih podatkov. Če se osebni podatki ne iznašajo v tretje države, se zapiše, da se osebni podatki iz zbirke osebnih podatkov ne iznašajo v tretje države.
8.     Zapis splošnega opisa zavarovanja osebnih podatkov vsebuje splošen opis postopkov in ukrepov, s katerimi se varujejo osebni podatki in preprečuje njihova nepooblaščena obdelava ter navedbo naziva notranjih aktov, ki predpisujejo organizacijske, tehnične in logično tehnične postopke in ukrepe za zavarovanje osebnih podatkov.
9.     Zapis podatkov o povezanih zbirkah osebnih podatkov iz uradnih evidenc ter javnih knjig vsebuje nazive tistih uradnih evidenc ter javnih knjig, s katerimi se povezujejo osebni podatki iz zbirke osebnih podatkov. Če se osebni podatki ne povezujejo z uradnimi evidencami ali javnimi knjigami, se zapiše, da se osebni podatki iz zbirke osebnih podatkov ne povezujejo z uradnimi evidencami ter javnimi knjigami.
10.  Zapis podatkov o zastopniku iz tretjega odstavka 5. člena Zakona o varstvu osebnih podatkov vsebuje podatke o pravni ali fizični osebi, ki zastopa tistega upravljavca, ki ni ustanovljen, nima sedeža oziroma ni registriran v državi članici Evropske unije oziroma ni del Evropskega gospodarskega prostora in za obdelavo osebnih podatkov uporablja avtomatsko ali drugo opremo, ki se nahaja v Republiki Sloveniji, razen če se ta oprema uporablja samo za prenos osebnih podatkov preko ozemlja Republike Slovenije. Če je zastopnik pravna oseba, vsebuje zapis naziv oziroma firmo in naslov oziroma sedež in matično številko pravne osebe. Če je zastopnik fizična oseba, vsebuje zapis osebno ime, naslov opravljanja dejavnosti ali naslov stalnega ali začasnega prebivališča, za samostojnega podjetnika posameznika pa še firmo, sedež in matično številko. Upravljavci, ki so ustanovljeni, imajo sedež oziroma so registrirani v državi članici Evropske unije oziroma so del Evropskega gospodarskega prostora, ne zapisujejo podatkov iz te točke.

(2) Matična številka iz 2. in 10. točke prejšnjega odstavka je številka, pod katero se upravljavec oziroma zastopnik vodi v poslovnem registru.

3. NAČIN POSREDOVANJA PODATKOV

Posredovanje zapisov

4. člen

(1) Upravljavec za vsako zbirko osebnih podatkov, ki jo vodi, posreduje Državnemu nadzornemu organu za varstvo osebnih podatkov (v nadaljnjem besedilu: nadzorni organ) zapise iz prvega odstavka prejšnjega člena najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov.

(2) Upravljavec po prejemu črtne kode, s katero se registrira za vnos zapisov prek spletne strani nadzornega organa, zapise neposredno vnese v obrazec RZOP, ki je kot priloga sestavni del tega pravilnika. Po vnosu zapisov obrazce natisne, jih podpiše in overi ter pošlje nadzornemu organu.

(3) V primeru, da upravljavec nima dostopa do spletnih strani nadzornega organa, posreduje zapise v pisni obliki na obrazcu RZOP ali na drugem dokumentu, ki ima ustrezno podobno obliko in enako vsebino kot obrazec RZOP.

(4) Obrazec RZOP se objavi na spletni strani nadzornega organa.

Posredovanje sprememb in dopolnitev zapisov ter novih vrst osebnih podatkov

5. člen

(1) Upravljavec mora nadzornemu organu posredovati spremembe in dopolnitve zapisov iz prvega odstavka 3. člena tega pravilnika najkasneje v osmih dneh od dneva spremembe.

(2) Upravljavec mora nadzornemu organu posredovati nove vrste osebnih podatkov najmanj 15 dni pred vnosom nove vrste osebnih podatkov.

(3) Upravljavec opravi posredovanje iz tega člena na način, določen v drugem in tretjem odstavku prejšnjega člena, pri čemer izpolni le rubrike iz 1. in 2. točke prvega odstavka 3. člena tega pravilnika ter rubrike, ki se spreminjajo oziroma dopolnjujejo.

Posredovanje podatkov o prenehanju vodenja zbirke osebnih podatkov oziroma o prenehanju upravljavca

6. člen

(1) Upravljavec, ki preneha z vodenjem posamezne zbirke osebnih podatkov, sporoči nadzornemu organu najpozneje v osmih dneh po prenehanju vodenja posamezne zbirke osebnih podatkov, katero zbirko osebnih podatkov je prenehal voditi ter kaj je storil z osebnimi podatki iz te zbirke (ali jih je zbrisal, uničil, blokiral, anonimiziral ali predal drugemu upravljavcu).

(2) Upravljavec, ki je prenehal, sporoči ta podatek ter kaj je storil z osebnimi podatki iz zbirk osebnih podatkov, ki jih je vodil (ali jih je zbrisal, uničil, blokiral, anonimiziral ali predal drugemu upravljavcu), nadzornemu organu najkasneje v osmih dneh po izbrisu iz poslovnega registra.

(3) Upravljavec opravi posredovanje iz tega člena na način, določen v drugem in tretjem odstavku 4. člena tega pravilnika, na obrazcu RZOPI, ki je kot priloga sestavni del tega pravilnika.

(4) Obrazec RZOPI se objavi na spletni strani nadzornega organa.

4. NAČIN VODENJA REGISTRA

Struktura registra


7. člen

(1) Register je urejen po abecednem vrstnem redu nazivov oziroma firm ali osebnih imen upravljavcev.

(2) Seznam zbirk osebnih podatkov, ki jih vodi posamezen upravljavec, je urejen po abecednem vrstnem redu nazivov zbirk osebnih podatkov.

(3) Posamezna zbirka osebnih podatkov je urejena po vrstnem redu rubrik, kot so določene v drugem odstavku 2. člena tega pravilnika.

(4) V registru je mogoče iskanje po nazivu oziroma firmi ali osebnemu imenu upravljavca ter po kraju, kjer ima upravljavec sedež oziroma prebivališče.

Hramba obrazcev

8. člen

(1) Obrazce, ki jih izpolnijo upravljavci na način, določen v drugem in tretjem odstavku 4. člena tega pravilnika, nadzorni organ trajno hrani samo v elektronski obliki, izpolnjene obrazce v papirnati obliki pa organ hrani dve leti po vnosu zapisov v register in jih nato uniči.

(2) Nadzorni organ zbirke osebnih podatkov, ki jih vodi posamezen upravljavec, izbriše iz registra eno leto po izbrisu upravljavca iz poslovnega registra.

(3) Izbris iz prejšnjega odstavka se izvede na način, da se podatki umaknejo iz aktivnega dela registra v arhivski del.

5. OBJAVA REGISTRA

Objava registra na spletni strani


9. člen

Register se z vsebino in strukturo, določeno v drugem odstavku 2. člena, prvem odstavku 3. člena ter 7. členu tega pravilnika, objavi na spletni strani nadzornega organa.

Prilogi

Obrazec RZOP (PDF, 74 kb)

Obrazec RZOPI (PDF, 69 kb)



Pravilnik o metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 28/05) vsebuje naslednje prehodne in končne določbe:

»6. PREHODNE IN KONČNE DOLOČBE

Prehodno posredovanje podatkov v register

10. člen

Do 1. januarja 2006, ko začne z delom nadzorni organ, se podatki iz 4., 5. in 6. člena tega pravilnika posredujejo Ministrstvu za pravosodje.

Prehodno vodenje registra

11. člen

Register z vsebino iz drugega odstavka 2. člena tega pravilnika do 1. januarja 2006, ko začne z delom nadzorni organ, vodi, vzdržuje in objavi na svoji spletni strani Ministrstvo za pravosodje.

Uporaba določb tega pravilnika

12. člen

(1) Upravljavci lahko posredujejo podatke iz 4., 5. in 6. člena tega pravilnika v elektronski obliki od 1. januarja 2006.

(2) 7. in 9. člen tega pravilnika se pričneta uporabljati 1. januarja 2006, ko začne z delom nadzorni organ.

Prenehanje veljavnosti

13. člen

Z dnem uveljavitve tega pravilnika preneha veljati Pravilnik o metodologiji vodenja skupnega kataloga osebnih podatkov (Uradni list RS, št. 101/01).

Dopolnitev podatkov v registru

14. člen

(1) Upravljavci, ki so posredovali zapise po določbah Zakona o varstvu osebnih podatkov (Uradni list RS, št. 59/99, 57/01, 59/01 – popr, 52/02 – ZDU-1 in 73/04 – ZUP-C) in določbah pravilnika iz prejšnjega člena v skupni katalog osebnih podatkov, morajo manjkajoče zapise iz 3. člena tega pravilnika posredovati na način, določen v tretjem odstavku 5. člena tega pravilnika, pristojnemu organu v enem letu po uveljavitvi tega pravilnika.

(2) Pristojni organ iz prejšnjega odstavka pomeni do 31. decembra 2005 Ministrstvo za pravosodje, od 1. januarja 2006 pa Državni nadzorni organ za varstvo osebnih podatkov.

Začetek veljavnosti

15. člen

Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.«.

Pravilnik o spremembah Pravilnika o metodologiji vodenja registra zbirk osebnih podatkov (Uradni list RS, št. 30/11) vsebuje naslednjo končno določbo:

»3. člen

Ta pravilnik začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.«.

 

* Prečiščeno besedilo je le pripomoček za splošno rabo. Avtentično besedilo obeh pravilnikov je dostopno na spletni strani Uradnega lista RS.