Nalaganje dokumenta...
Zakon o varstvu osebnih podatkov (ZVOP)
OBJAVLJENO V: Uradni list RS 59-2792/1999, stran 7534 DATUM OBJAVE: 23.7.1999
VELJAVNOST: od 7.8.1999 do 31.12.2004 / UPORABA: od 7.8.1999 do 31.12.2004
RS 59-2792/1999
Verzija
6 / 6
Čistopis se uporablja od 1.1.2005 do nadaljnjega. Status čistopisa na današnji dan, 19.2.2026: NEAKTUALEN.
2792. Zakon o varstvu osebnih podatkov (ZVOP)
Na podlagi druge alinee prvega odstavka 107. člena in prvega odstavka 91. člena ustave Republike Slovenije izdajam
U K A Z
o razglasitvi zakona o varstvu osebnih podatkov (ZVOP)
o razglasitvi zakona o varstvu osebnih podatkov (ZVOP)
Razglašam zakon o varstvu osebnih podatkov (ZVOP), ki ga je sprejel Državni zbor Republike Slovenije na seji 8. julija 1999.
Št. 001-22-118/99
Ljubljana, dne 16. julija 1999.
Predsednik
Republike Slovenije
Milan Kučan l. r.
Republike Slovenije
Milan Kučan l. r.
Z A K O N
O VARSTVU OSEBNIH PODATKOV (ZVOP)
O VARSTVU OSEBNIH PODATKOV (ZVOP)
1. Splošne določbe
1. člen
Z varstvom osebnih podatkov se preprečujejo nezakoniti in neupravičeni posegi v zasebnost posameznika oziroma posameznice (v nadaljnjem besedilu: posameznik) pri obdelavi osebnih podatkov, varovanju zbirk osebnih podatkov in uporabi le-teh.
2. člen
V tem zakonu uporabljeni izrazi imajo naslednji pomen:
1.
Osebni podatek – je podatek, ki kaže na lastnosti, stanja ali razmerja posameznika ne glede na obliko, v kateri je izražen.
2.
Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se lahko identificira na način, ki ne povzroča velikih stroškov ali ne zahteva veliko časa.
3.
Obdelava osebnih podatkov – pomeni zbiranje, shranjevanje ali združevanje podatkov v zbirkah osebnih podatkov, spreminjanje, uporabo ali sporočanje, vključno s prenosom, iskanjem, blokiranjem in brisanjem; obdelava je lahko ročna ali s sredstvi informacijske tehnologije.
4.
Zbirka osebnih podatkov – je vsak niz podatkov, ki vsebuje vsaj en osebni podatek ne glede na to, ali je centraliziran ali organiziran in strukturiran na podlagi meril, ki omogočajo uporabo ali združevanjem podatkov, in ne glede na to, ali se obdeluje s sredstvi informacijske tehnologije ali ne.
5.
Skupni katalog osebnih podatkov – je katalog zbirk osebnih podatkov, ki ga vodi pristojni organ
6.
Upravljavec zbirke osebnih podatkov – je fizična ali pravna oseba, ki je z zakonom ali s pisno privolitvijo posameznika pooblaščena, da vzpostavi, vodi, vzdržuje in nadzoruje zbirko osebnih podatkov.
7.
Uporabnik osebnih podatkov – je fizična ali pravna oseba, ki je za pridobivanje osebnih podatkov pooblaščena z zakonom, pisno zahtevo ali privolitvijo posameznika, na katerega se osebni podatki nanašajo.
8.
Pisna privolitev posameznika – je podpisana privolitev posameznika, da se določeni podatki o njem obdelujejo za določene namene, in ima obliko listine, določila v pogodbi, določila v naročilu, priloge k vlogi, ali drugo obliko v skladu s posebnim zakonom.
9.
Blokiranje – je takšna sprememba oblike osebnih podatkov, da jih ni več mogoče povezovati s posameznikom ali pa je to mogoče le z nesorazmerno velikimi napori, stroški ali porabo časa.
3. člen
Osebni podatki se lahko obdelujejo le, če je obdelava osebnih podatkov določena z zakonom ali, če ima upravljavec zbirke osebnih podatkov pisno privolitev posameznika.
Državni organi, organi lokalnih skupnosti in nosilci javnih pooblastil lahko obdelujejo samo tiste osebne podatke, za katere je tako določeno z zakonom.
Upravljavci zbirk osebnih podatkov, ki so za njihovo zbiranje pooblaščeni z zakonom, lahko zbirajo osebne podatke, ki se nanašajo na rasno in drugo poreklo, politična, verska in druga prepričanja, pripadnost sindikatu, ali spolno vedenje samo na podlagi pisne privolitve posameznika. Z zakonom se lahko določi tudi druge vrste osebnih podatkov, ki jih lahko upravljavci zbirk osebnih podatkov zbirajo na podlagi pisne privolitve posameznika.
Ne glede na določbo prvega odstavka tega člena, lahko pravne ali fizične osebe, ki opravljajo javno službo ali dejavnost po zakonu, ki ureja gospodarske družbe, obdelujejo osebne podatke oseb, s katerimi so v pogodbenem razmerju, če gre za osebne podatke, ki jih potrebujejo za izpolnjevanje pogodbenih obveznosti ali uveljavljanje pravic iz pogodbenega razmerja.
Ne glede na določbo drugega odstavka tega člena, lahko državni organ ali organ lokalne skupnosti, ki nudi organizacijsko ali tehnološko podporo elektronskemu poslovanju med državnimi organi, organi lokalnih skupnosti in nosilcih javnih pooblastil na eni in fizičnimi in pravnimi osebami na drugi strani, neposredno od teh oseb zbira in obdeluje osebne podatke, ki so po zakonu potrebni za ugotavljanje istovetnosti teh oseb pri medsebojnem elektronskem poslovanju v postopkih pred državnimi organi, organi lokalnih skupnosti in nosilci javnih pooblastil.
Kadar se osebni podatki obdelujejo na podlagi pisne privolitve posameznika, mora biti ta predhodno pisno seznanjen z namenom obdelave podatkov in še posebej z namenom njihove uporabe in časom shranjevanja.
4. člen
Obdelava osebnih podatkov, ki se nanašajo na rasno in drugo poreklo, politična, verska in druga prepričanja, pripadnost sindikatu, spolno vedenje, kazenske obsodbe in zdravstveni podatki, mora biti posebej označena in zavarovana.
Osebni podatki iz prejšnjega odstavka se smejo posredovati preko telekomunikacijskih omrežij samo, če so posebej zavarovani s kriptografskimi metodami in elektronskim podpisom tako, da je zagotovljena nečitljivost podatkov med njihovim prenosom.
5. člen
Določbe tega zakona se ne uporabljajo:
1.
za osebne podatke, v zbirki osebnih podatkov, za katere je posameznik pisno privolil, da so v njej in je po naravi ali namenu lahko vsakomur dostopna;
2.
za osebne podatke, ki jih zbirajo stranke, društva ali druge podobne organizacije o svojih članih, če se ti strinjajo;
3.
za osebne podatke, ki so sestavni del firme ali imena družbe ali poslovalnice ali druge organizacije oziroma ustanove;
4.
za osebne podatke, vsebovane v knjigah, publikacijah in drugih gradivih, ki se shranjujejo v muzejih, knjižnicah, arhivih in podobnih javnih ustanovah, ter so javna in splošno dostopna.
6. člen
Na ozemlju Republike Slovenije je vsakemu posamezniku, ne glede na državljanstvo in prebivališče, zagotovljeno varstvo osebnih podatkov.
2. Varstvo osebnih podatkov
7. člen
Upravljavec zbirke osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov poveri drugi fizični ali pravni osebi, ki je registrirana za opravljanje takšne dejavnosti.
Oseba iz prejšnjega odstavka sme opravljati samo storitve obdelave osebnih podatkov v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati ali drugače uporabljati za noben drug namen. Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi pogoje in ukrepe za zagotovitev varstva osebnih podatkov in njihovega zavarovanja.
8. člen
Osebni podatki se zbirajo neposredno od posameznika.
Za posamezne primere lahko zakon določi, da se osebni podatki zbirajo tudi od drugih oseb ali pridobivajo iz že obstoječih zbirk osebnih podatkov, pri čemer mora biti določena oseba oziroma zbirka in vrsta osebnih podatkov ter način zbiranja. Pri pridobivanju podatkov iz že obstoječih zbirk, je potrebno upoštevati namene, za katere so bili zbrani.
Osebni podatki, ki so povezani z narodnim, rasnim in drugim poreklom, političnimi, verskimi in drugimi prepričanji, izobrazbo, zdravstvenim stanjem, razen nalezljivih bolezni, ter spolnim vedenjem, se smejo zbirati tudi od drugih oseb ali pridobivati in povezovati iz že obstoječih zbirk osebnih podatkov samo ob pisni privolitvi posameznika, na katerega se nanašajo, razen če uporabnik osebnih podatkov namerava uporabljati osebne podatke za statistične ali znanstveno raziskovalne namene v obliki, ki ne omogoča identifikacije posameznikov, pri čemer mora biti določena zbirka in vrsta osebnih podatkov ter način zbiranja.
Pri pridobivanju osebnih podatkov iz zbirk osebnih podatkov s področja javne varnosti, državne varnosti, obrambe države, pravosodja in zdravstva, ni dovoljena uporaba istega povezovalnega znaka.
9. člen
Osebni podatki se smejo obdelovati samo za namene določene z zakonom ali s pisno privolitvijo posameznika in ne smejo biti uporabljeni na način, ki ni združljiv s temi nameni.
10. člen
Osebni podatki se lahko shranjujejo in uporabljajo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so bili obdelovani.
Po izpolnitvi namena iz prejšnjega odstavka se osebni podatki zbrišejo iz zbirke osebnih podatkov ali blokirajo, če z zakonom za posamezne vrste osebnih podatkov ni določeno drugače.
11. člen
Upravljavec zbirke osebnih podatkov mora, če ni predpisano drugače, proti plačilu stroškov posredovanja, posredovati osebne podatke uporabnikom osebnih podatkov.
Upravljavec lahko posreduje osebne podatke uporabniku, ki ni uporabnik osebnih podatkov po tem zakonu samo, če ta namerava uporabljati osebne podatke za statistične ali znanstveno-raziskovalne namene, v obliki, ki ne omogoča identifikacije posameznikov.
Upravljavec centralnega registra prebivalstva lahko uporabnikom iz prejšnjega odstavka na podlagi pisne zahteve posreduje ime, priimek, poklic in naslov posameznika, ki je bil ob zbiranju osebnih podatkov pisno seznanjen s to možnostjo, in posredovanja podatkov ni prepovedal, če te podatke potrebujejo za izdelavo statističnih in drugih raziskovalnih vzorcev ali za pridobitev pisne privolitve posameznika.
Upravljavec centralnega registra prebivalcev ali evidenc stalno in začasno prijavljenih prebivalcev, mora na način, ki je določen za izdajo potrdila, posredovati posamezniku ali pravni osebi ali drugi organizaciji ime, priimek in naslov osebe, zoper katero uveljavlja ali varuje svoje pravice pred državnimi organi, organi lokalnih skupnosti ali nosilci javnih pooblastil.
Upravljavec zbirke osebnih podatkov mora za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov. Uporabnik osebnih podatkov in upravljavec iz tretjega odstavka tega člena, ter posameznik, pravna oseba ali druga organizacija iz četrtega odstavka tega člena, morajo s prejetimi osebnimi podatki ravnati po določbah tega zakona.
12. člen
Upravljavec zbirke osebnih podatkov lahko posreduje uporabnikom osebne podatke o umrli osebi, če uporabnik lahko izkaže zakoniti interes za uporabo osebnih podatkov o umrli osebi, pa umrli v času svojega življenja ni izrecno prepovedal posredovanja teh osebnih podatkov in če temu ožji družinski člani ne nasprotujejo.
3. Zavarovanje osebnih podatkov
13. člen
Zavarovanje osebnih podatkov obsega organizacijske in ustrezne logično tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo kakor tudi nepooblaščeno obdelavo teh podatkov tako, da se:
1.
varujejo prostori, oprema (tudi vhodno izhodne enote) in sistemsko programska oprema;
2.
varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
3.
preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih omrežjih;
4.
omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki uporabljeni ali vnešeni v zbirko osebnih podatkov in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.
V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da bo obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.
14. člen
Postopke in ukrepe iz prejšnjega člena predpišejo v svojih aktih in zagotavljajo njihovo izvajanje upravljavci zbirk osebnih podatkov, obdelovalci in uporabniki osebnih podatkov.
4. Katalogi podatkov in katalog zbirk osebnih podatkov
15. člen
Upravljavec zbirke osebnih podatkov za vsako zbirko osebnih podatkov zagotovi katalog podatkov, ki vsebuje:
1.
naziv zbirke osebnih podatkov,
2.
upravljavca zbirke osebnih podatkov in njegov sedež,
3.
pravno podlago vzpostavitve zbirke osebnih podatkov,
4.
kategorije posameznikov,
5.
vrste osebnih podatkov, shranjenih v zbirki osebnih podatkov,
6.
pravno podlago za zbiranje osebnih podatkov,
7.
način zbiranja osebnih podatkov,
8.
namen zbiranja, obdelave, shranjevanja in uporabe osebnih podatkov ter pravno podlago namena,
9.
čas shranjevanja in uporabe osebnih podatkov,
10.
omejitve pravic posameznikov glede osebnih podatkov v zbirki osebnih podatkov in pravno podlago omejitev,
11.
uporabnike osebnih podatkov, vsebovanih v zbirki osebnih podatkov,