Zakoni o varstvu osebnih podatkov v Sloveniji: GDPR, ZVOP-2 in Informacijski pooblaščenec (2026)

Slovenija osebne podatke varuje prek treh prekrivajočih se plasti: GDPR EU (Uredba 2016/679), ZVOP-2 (v veljavi od 26. januarja 2023) in 38. člen Ustave iz leta 1991. Vse tri izvršuje Informacijski pooblaščenec, ki lahko za hude kršitve naloži globe do 20 milijonov EUR.
Slovenija zaseda posebno mesto v evropski zgodovini varstva podatkov: bila je zadnja država članica EU, ki je sprejela nacionalno zakonodajo za izvajanje GDPR, ta prehod pa je dokončala šele januarja 2023. Vendar je nastali okvir tudi izjemno sodoben, saj vključuje izkušnje iz skoraj petih let praktične uporabe GDPR po vsej EU.
Ta vodnik zajema celoten slovenski okvir varstva podatkov: od ustavnih temeljev do najbolj inovativnih določb ZVOP-2, naraščajoče prakse izvrševanja Informacijskega pooblaščenca, pravil o čezmejnem prenosu podatkov in vloge, ki jo Slovenija dobiva pri nadzoru nad Aktom EU o umetni inteligenci.
Kratek odgovor
Slovenski sistem varstva podatkov temelji na treh plasteh. Na vrhu je GDPR EU (Uredba 2016/679), ki se neposredno uporablja od 25. maja 2018. Pod njim je ZVOP-2 (Zakon o varstvu osebnih podatkov), ki je začel veljati 26. januarja 2023 in zapolnjuje področja, ki jih je GDPR prepustil državam članicam. Temelj obeh pa je 38. člen slovenske Ustave, ki varstvo osebnih podatkov opredeljuje kot temeljno ustavno pravico. Vse tri izvršuje Informacijski pooblaščenec.
Za podjetja, ki poslujejo v Sloveniji, praktični kontrolni seznam skladnosti poleg standardne skladnosti z GDPR dodaja več slovenskih posebnosti: predhodno odobritev za obdelavo biometričnih podatkov, obvezne dnevnike sledljivosti za nekatere visoko tvegane dejavnosti, razširjene obveznosti imenovanja pooblaščene osebe za varstvo podatkov in strukturo upravnih glob, ki poteka prek prekrškovnega okvira.
Ustavni temelj: 38. člen
Slovenska Ustava iz leta 1991 varstvo osebnih podatkov opredeljuje kot izrecno temeljno pravico. 38. člen zagotavlja varstvo osebnih podatkov, prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja ter zahteva, da zbiranje, obdelavo, uporabo in nadzor nad osebnimi podatki ureja zakon. Zagotavlja tudi sodno varstvo v primeru zlorabe.
To se pomembno razlikuje od pristopa EU, kjer varstvo podatkov delno izhaja iz 8. člena Listine EU o temeljnih pravicah (ki je pravno zavezujoča postala šele z Lizbonsko pogodbo leta 2009). Slovensko ustavno varstvo je za desetletja starejše tako od Listine EU kot od GDPR.
Ustavno sodišče Republike Slovenije je vrhovni razsodnik glede pravic po 38. členu. Njegove odločitve oblikujejo, kako Informacijski pooblaščenec in redna sodišča razlagajo meje zakonite obdelave ter obseg pravic posameznikov.
- člen Ustave zagotavlja vzporedno varstvo splošne pravice do zasebnosti in osebnostnih pravic. Skupaj 35. in 38. člen ustvarjata prekrivajoče se plasti ustavnega varstva zasebnosti, ki oblikujejo vsako določbo ZVOP-2.
Pot do ZVOP-2: pozna prenoslitev Slovenije
GDPR je postal neposredno uporaben v vseh državah članicah EU 25. maja 2018. Večina držav članic je nacionalne izvedbene zakone sprejela okoli istega časa ali v enem letu. Slovenija ni. Skoraj pet let je država delovala pod kombinacijo neposredno uporabnega GDPR in določb starega ZVOP-1 (2004), ki mu niso nasprotovale.
Zamuda ni bila zgolj posledica upravne počasnosti. Med letoma 2017 in 2022 je krožilo več osnutkov ZVOP-2, vsak od njih pa je sprožil politične in pravne spore o posameznih določbah. Osrednja sporna vprašanja so vključevala obseg preiskovalnih pooblastil Informacijskega pooblaščenca, mehanizem za nalaganje upravnih glob (GDPR zahteva visoke globe, slovensko ustavno pravo pa omejuje, kako je mogoče urediti regulativne globe) in ravnotežje med varstvom podatkov ter svobodo izražanja na področju novinarstva in raziskovanja.
Ustavno omejitev glob je vredno razumeti. Po slovenskem pravu morajo visoke upravne globe praviloma potekati prek prekrškovnega okvira, ki naslovnikom zagotavlja postopkovna jamstva. ZVOP-2 je to rešil tako, da so upravne globe po GDPR obravnavane kot prekrški, Informacijski pooblaščenec pa nastopa kot prekrškovni organ. Zato je struktura kazni po ZVOP-2 drugačna kot ustrezne določbe na primer nemškega ali francoskega prava.
ZVOP-1 je globe omejeval na 12.510 EUR, kar je za večje organizacije pomenilo minimalno odvračilno moč. V obdobju ZVOP-1 je bilo izvrševanje v Sloveniji med najmilejšimi v EU. ZVOP-2 je to temeljito spremenil.
Državni zbor je končno besedilo sprejel decembra 2022, v veljavo pa je stopilo 26. januarja 2023, s čimer je Slovenija postala zadnja država članica EU, ki je dokončala izvajanje GDPR.
Informacijski pooblaščenec
Informacijski pooblaščenec Republike Slovenije deluje kot nacionalni nadzorni organ po 51. členu GDPR. Pooblaščenca imenuje Državni zbor za petletni mandat, njegov urad pa deluje neodvisno od vlade. Urad obravnava pritožbe, izvaja inšpekcijske nadzore, izdaja smernice, sprejema zavezujoče odločitve ter izvršuje tako GDPR kot ZVOP-2.
Slovenski pooblaščenec ima dvojni mandat, ki zajema varstvo podatkov in dostop do informacij javnega značaja (po Zakonu o dostopu do informacij javnega značaja). To je podobno ureditvam na Madžarskem in v nekaterih drugih državah članicah EU. Dvojni mandat od pooblaščenca zahteva, da uravnoteži nasprotujoče si interese, kadar se osebni podatki prekrivajo z informacijami javnega pomena, kar je napetost, ki se pogosto pojavlja pri zadevah, povezanih z javnimi uslužbenci, javnim naročanjem in sodnimi evidencami.
Pooblastila za izvrševanje po ZVOP-2
Po starem ZVOP-1 je bila zgornja meja globe, ki jo je lahko naložil pooblaščenec, 12.510 EUR. Po ZVOP-2 lahko pooblaščenec naloži globe, usklajene s celotnim okvirom GDPR:
- do 10 milijonov EUR ali 2 % svetovnega letnega prometa za kršitve obveznosti obdelovalca, zahtev glede varnosti podatkov, pravil o pooblaščeni osebi za varstvo podatkov in obveznosti obveščanja
- do 20 milijonov EUR ali 4 % svetovnega letnega prometa za kršitve temeljnih načel GDPR, zahtev glede pravne podlage, pravic posameznikov in pravil o mednarodnem prenosu podatkov
Za kršitve določb, specifičnih za ZVOP-2 (za razliko od kršitev GDPR), se pravnim osebam naloži globa od 100 do 40.000 EUR.
Vse globe se obravnavajo po prekrškovnem postopku, ki naslovnikom zagotavlja postopkovne pravice, vključno s pravico do izjave in do izpodbijanja odločitev pred prekrškovnimi sodišči.
Nedavno izvrševanje: odločitve iz leta 2024
Baza podatkov o izvrševanju GDPRhub dokumentira več pomembnih odločitev Informacijskega pooblaščenca iz leta 2024:
V zadevi 0609-20/2024/6 (marec 2024) je pooblaščenec ugotovil, da upravljavec ni imel pravne podlage po 1. odstavku 6. člena GDPR in je kršil temeljna načela obdelave podatkov po 1. odstavku 96. člena ZVOP-2.
V zadevi 0603-56/2024/6 je pooblaščenec ugotovil, da je slovenska policija nezakonito zavrnila zahtevo posameznika za izbris po 17. členu GDPR v zvezi z opozorilom v schengenskem informacijskem sistemu (SIS II) in odredila izbris v treh dneh.
V zadevi 0600-43/2024/12 (marec 2025) je pooblaščenec ugotovil, da je preusmerjanje e-pošte z enega naslova na drugega brez pravne podlage kršilo točko (a) 1. odstavka 5. člena in 1. odstavek 6. člena GDPR, kar je pomembna odločitev za pogosto rabljeno prakso na področju IT.
V zadevi 0602-18/2024/43 (junij 2025) je pooblaščenec ugotovil, da upravljavec ni odgovoril na zahtevo za dostop do podatkov posameznika v predpisanem roku in ni predložil popolne kopije osebnih podatkov, s čimer je kršil 12. in 15. člen GDPR.
Te odločitve kažejo premik od skoraj neaktivnega izvrševanja v obdobju ZVOP-1 k dejavnemu, primer za primerom vodenemu izvrševanju pri različnih vrstah upravljavcev in kategorijah kršitev.
Pravne podlage za obdelavo
ZVOP-2 ne spreminja šestih pravnih podlag za obdelavo iz 6. člena GDPR. Vseh šest ostaja na voljo v Sloveniji:
- Soglasje posameznika, na katerega se nanašajo osebni podatki
- Izvajanje pogodbe ali koraki pred sklenitvijo pogodbe
- Izpolnitev pravne obveznosti
- Varstvo življenjskih interesov
- Izvajanje naloge v javnem interesu ali izvrševanje javne oblasti
- Zakoniti interesi upravljavca ali tretje osebe (ob upoštevanju testa tehtanja)
ZVOP-2 posebej obravnava neposredno trženje. Kadar se neposredno trženje opira na zakonite interese po točki (f) 1. odstavka 6. člena, morajo upravljavci zagotoviti, da test tehtanja upošteva razumna pričakovanja posameznikov. Zakon zakonitih interesov kot podlage za neposredno trženje ne omejuje, zahteva pa skrbno dokumentiranje ocene tehtanja.
Za posebne vrste osebnih podatkov po 9. členu GDPR (zdravstveni podatki, biometrični podatki, rasni ali etnični izvor, verska prepričanja itd.) se zahteva izrecno soglasje, ki mora biti resnično izrecno. Smernice Informacijskega pooblaščenca kljukanje polja za izrecno soglasje obravnavajo kot standardno obliko izrecnega soglasja za obdelavo posebnih vrst podatkov.
Pravice posameznikov
Slovenija v celoti uveljavlja vse pravice posameznikov po III. poglavju GDPR:
- Pravica do dostopa (15. člen): upravljavci morajo odgovoriti v enem mesecu, z možnostjo dvomesečnega podaljšanja za zapletene zahteve
- Pravica do popravka (16. člen)
- Pravica do izbrisa (17. člen): pravica do pozabe, ob upoštevanju izjem iz GDPR
- Pravica do omejitve obdelave (18. člen)
- Pravica do prenosljivosti podatkov (20. člen): velja le za obdelavo na podlagi soglasja ali pogodbe, izvedeno z avtomatiziranimi sredstvi
- Pravica do ugovora (21. člen): še posebej pomembna pri neposrednem trženju, kjer je ugovor absoluten
- Pravice, povezane z avtomatiziranim sprejemanjem odločitev in oblikovanjem profilov (22. člen)
Informacijski pooblaščenec zagotavlja smernice o uveljavljanju teh pravic na ip-rs.si/en/data-protection/my-rights. Pritožbe glede kršitev pravic je mogoče brezplačno vložiti neposredno pri uradu pooblaščenca.
Pooblaščene osebe za varstvo podatkov (DPO)
ZVOP-2 razširja zahteve GDPR glede imenovanja pooblaščene osebe za varstvo podatkov na širši krog organizacij.
Po 37. členu GDPR je imenovanje pooblaščene osebe obvezno za (1) javne organe, (2) upravljavce ali obdelovalce, katerih osnovna dejavnost zahteva obsežno redno in sistematično spremljanje posameznikov, ter (3) upravljavce ali obdelovalce, katerih osnovna dejavnost vključuje obsežno obdelavo posebnih vrst podatkov ali podatkov o kazenskih obsodbah.
ZVOP-2 to zahtevo razširja. Obveznost imenovanja pooblaščene osebe je izrecno razširjena na širšo skupino organizacij, ki v Sloveniji obdelujejo osebne podatke, zlasti v javnem sektorju. ZVOP-2 določa tudi zahteve glede usposobljenosti: pooblaščena oseba mora imeti vsaj tri leta delovnih izkušenj na področju varstva podatkov ali nacionalno oziroma mednarodno priznano potrdilo s področja prava varstva podatkov.
ZVOP-2 dodatno zahteva, da se imenovanje pooblaščene osebe sporoči Informacijskemu pooblaščencu v določenem roku in objavi na način, dostopen posameznikom, na katere se nanašajo podatki. Ta zahteva po registraciji in objavi presega, kar zahteva sam GDPR.
Obveščanje o kršitvah
Uporabljajo se standardne zahteve GDPR glede obveščanja o kršitvah. Po 33. členu GDPR morajo upravljavci Informacijskega pooblaščenca obvestiti v 72 urah, odkar so izvedeli za kršitev varstva osebnih podatkov, ki predstavlja tveganje za pravice in svoboščine posameznikov. Kadar obvestila ni mogoče podati v 72 urah, je treba obvestilu priložiti razloge za zamudo.
Če kršitev verjetno povzroči veliko tveganje za posameznike, 34. člen GDPR zahteva, da upravljavec o njej brez nepotrebnega odlašanja obvesti tudi prizadete posameznike.
Med pogostimi vzroki kršitev, dokumentiranimi v Sloveniji, so: pošiljanje osebnih podatkov nepooblaščenim ali napačnim prejemnikom; nepooblaščen dostop zaradi programskih napak ali zlorabe pooblastil zaposlenih; izsiljevalska programska oprema in drugi kibernetski napadi; ter izguba ali kraja fizičnih nosilcev podatkov.
Informacijski pooblaščenec sprejema obvestila o kršitvah prek svojega uradnega portala in objavlja smernice o postopku obveščanja na ip-rs.si/en.
Obvezni dnevniki obdelave (sledljivost)
Ena od najbolj razpoznavnih določb ZVOP-2 upravljavcem nalaga vodenje obveznih dnevnikov obdelave (dnevnikov sledljivosti) za nekatere visoko tvegane dejavnosti. To presega standardno evidenco dejavnosti obdelave (RoPA), ki jo zahteva 30. člen GDPR.
Dnevniki obdelave so zahtevani, kadar:
- avtomatiziran sistem obdeluje osebne podatke več kot 100.000 posameznikov
- avtomatiziran sistem obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov
- obdelava vključuje sistematično in redno spremljanje posameznikov
- je ocena učinka v zvezi z varstvom podatkov ugotovila tveganje, ki ga je mogoče učinkovito obvladovati z vodenjem dnevnika obdelave
Dnevnik mora beležiti, kdo je dostopal do osebnih podatkov, kdaj in za kateri namen, s čimer nastane revizijska sled, ki jo lahko Informacijski pooblaščenec pregleda med preiskavami in inšpekcijskimi nadzori.
Organizacijam je bilo za uvedbo skladnih sistemov beleženja dano dvoletno prehodno obdobje, ki se je izteklo 26. januarja 2025. Ta rok je že potekel. Neizpolnjevanje zahteve po ustreznem beleženju za zajete dejavnosti zdaj pomeni kršitev ZVOP-2, za katero veljajo globe.
Biometrični podatki: strožje kot GDPR

Slovenija glede biometričnih podatkov postavlja zahteve, ki znatno presegajo osnovne zahteve GDPR.
V zasebnem sektorju obdelava biometričnih podatkov za namene identifikacije ali avtentikacije zahteva predhodno odobritev Informacijskega pooblaščenca. Ta zahteva po predhodni odobritvi Slovenijo razlikuje od večine drugih držav članic EU, ki obdelavo biometričnih podatkov dovoljujejo na standardnih pravnih podlagah GDPR (običajno izrecno soglasje ali, v omejenih primerih, nujnost po delovnopravni zakonodaji) brez predhodne regulativne odobritve.
Pred obdelavo biometričnih podatkov morajo upravljavci v zasebnem sektorju tudi:
- prizadetim posameznikom podati predhodno pisno obvestilo
- pridobiti odobritev nadzornega organa, razen če obdelava ostaja pod izključnim nadzorom posameznika samega
ZVOP-2 izrecno prepoveduje zbiranje biometričnih osebnih podatkov za trženjske namene. Ta ciljno usmerjena prepoved zajema komercialne rabe, kot je prepoznava obraza za ciljno usmerjeno oglaševanje.
Delodajalci naj bodo pozorni, da v slovenskih podjetjih pogosti biometrični sistemi za evidenco delovnega časa spadajo neposredno v ta okvir. Uvedba takega sistema brez odobritve Informacijskega pooblaščenca ustvarja znatno tveganje neskladnosti.
Video nadzor
ZVOP-2 vsebuje posebno poglavje o video nadzoru, ki dopolnjuje splošni okvir GDPR. Pravila veljajo za CCTV in drug sistematičen video nadzor na delovnih mestih, v stanovanjskih stavbah, skupnih prostorih in prostorih, dostopnih javnosti.
Ključne zahteve vključujejo:
- zakonit namen, običajno varnost ali varovanje premoženja
- jasno in vidno označbo, ki posameznike obvešča, da nadzor deluje
- sorazmerne omejitve hrambe (ZVOP-2 na splošno določa privzeto najdaljšo hrambo enega leta, pričakuje pa se krajše obdobje, razen če je utemeljeno drugače)
- DPIA za obsežne ali posebej vsiljive nadzorne sisteme
Informacijski pooblaščenec je objavil smernice o sprejemljivi postavitvi kamer, zlasti za nadzor na delovnem mestu. Kamere, usmerjene na posamezna delovna mesta, zahtevajo trdno utemeljitev, nadzor, namenjen spremljanju produktivnosti zaposlenih namesto resničnih varnostnih interesov, pa je deležen znatnega nadzora.
Čezmejni prenosi podatkov
Slovenija za mednarodne prenose podatkov uporablja standardni okvir GDPR brez bistvenih odstopanj.
Prenosi v države zunaj Evropskega gospodarskega prostora zahtevajo enega od naslednjih mehanizmov:
- sklep Evropske komisije o ustreznosti. Okvir EU-ZDA za varstvo podatkov (sprejet julija 2023) zajema prenose k certificiranim ameriškim organizacijam. Drugi sklepi o ustreznosti zajemajo Združeno kraljestvo, Švico, Japonsko, Kanado (za komercialne organizacije), Južno Korejo in druge
- standardne pogodbene klavzule (SCC): SCC iz leta 2021, ki jih je izdala Evropska komisija, ostajajo najpogosteje uporabljano orodje in zahtevajo oceno učinka prenosa za presojo tveganja namembne države
- zavezujoča poslovna pravila za prenose znotraj skupine, ki jih odobri vodilni nadzorni organ
- odobreni kodeksi ravnanja ali mehanizmi certificiranja
- posebna odstopanja za posamezne ali občasne prenose, kadar drugi mehanizmi niso na voljo

Ena slovenska posebnost: prenosi v Severno Makedonijo so zgodovinsko izkoriščali podedovano slovensko ugotovitev ustreznosti po ZVOP-1. ZVOP-2 te ureditve ne prevzema naprej. Organizacije, ki prenašajo podatke v Severno Makedonijo, se zdaj morajo opreti na SCC ali drug mehanizem, skladen z GDPR.
Nadgradnja z Aktom EU o umetni inteligenci
Slovenija je bila med prvimi državami članicami EU, ki so sprejele nacionalno zakonodajo za izvajanje Akta o umetni inteligenci. Zakon o izvajanju uredbe EU o harmoniziranih pravilih za umetno inteligenco (ZIUDHPUI) je začel veljati 21. novembra 2025.
ZIUDHPUI vzpostavlja domačo upravljavsko strukturo za Akt EU o umetni inteligenci, določa tržne nadzorne organe, predpisuje sankcije za kršitve in zagotavlja pravno podlago za delovanje regulativnih peskovnikov.
V Sloveniji je nadzor nad Aktom o umetni inteligenci porazdeljen med pet organov. Informacijski pooblaščenec je bil določen kot tržni nadzorni organ za sisteme umetne inteligence z najvišjim tveganjem, zlasti vključno s:
- sistemi umetne inteligence za socialno točkovanje posameznikov
- sistemi umetne inteligence za napovedovanje storitve kaznivih dejanj
- sistemi umetne inteligence, ki razumejo ali sklepajo o čustvih na delovnih mestih in v izobraževalnih okoljih
- visoko tveganimi sistemi umetne inteligence na področjih biometrije, izobraževanja, preprečevanja in preiskovanja kaznivih dejanj, migracij in nadzora meja ter pravosodja in volitev
Ta določitev ustvarja neposredno prekrivanje med varstvom podatkov in upravljanjem umetne inteligence. Sistem umetne inteligence, ki obdeluje biometrične podatke za namene identifikacije, se sooča tako z zahtevo ZVOP-2 po predhodni odobritvi biometrije kot z nadzorom Informacijskega pooblaščenca po Aktu o umetni inteligenci. Obe obveznosti izvršuje isti organ.
Preostali štirje nadzorni organi po ZIUDHPUI so: AKOS (Agencija za komunikacijska omrežja in storitve), Banka Slovenije, Agencija za zavarovalni nadzor in Tržni inšpektorat.
Kazni in izvrševanje
Struktura kazni po ZVOP-2 deluje na dveh tirih.
Kršitve GDPR se kaznujejo po standardnih stopnjah glob GDPR, ki potekajo prek prekrškovnega okvira:
-
- stopnja: do 10 milijonov EUR ali 2 % svetovnega letnega prometa (kar koli je višje) za kršitve obveznosti obdelovalca, varnostnih zahtev, pravil o pooblaščeni osebi, obveznosti certificiranja in obveščanja o kršitvah
-
- stopnja: do 20 milijonov EUR ali 4 % svetovnega letnega prometa (kar koli je višje) za kršitve temeljnih načel, zahtev glede pravne podlage, pravic posameznikov in pravil o mednarodnem prenosu podatkov
Kršitve, specifične za ZVOP-2, se za pravne osebe kaznujejo z globo od 100 do 40.000 EUR.
Mogoča je tudi kazenska odgovornost. Zloraba osebnih podatkov po slovenskem Kazenskem zakoniku pomeni kaznivo dejanje, za katero grozi denarna kazen ali zapor od enega do petih let.
Prehod z omejitve 12.510 EUR po ZVOP-1 na sedanji najvišji znesek 20 milijonov EUR pomeni približno 1.600-kratno povečanje najvišje izpostavljenosti za najhujše kršitve. Organizacije, ki so slovensko skladnost z varstvom podatkov nekoč obravnavale kot nizko tvegano, morajo temeljito prevrednotiti svoje ocene tveganja.
Nedavni razvoj dogodkov (2024-2026)
Skladnost z dnevniki obdelave (januar 2025): Dvoletno prehodno obdobje za uvedbo obveznih dnevnikov obdelave po ZVOP-2 se je izteklo 26. januarja 2025. Informacijski pooblaščenec je nakazal, da je skladnost z vodenjem dnevnikov dejavna prednostna naloga izvrševanja.
Izvajanje Akta o umetni inteligenci (november 2025): Slovenija je 21. novembra 2025 sprejela ZIUDHPUI, med prvimi državami članicami EU, in Informacijski pooblaščenec je bil določen kot vodilni nadzornik za sisteme umetne inteligence z visokim tveganjem na svojih določenih področjih.
Dejavnost izvrševanja (2024): Informacijski pooblaščenec je leta 2024 izdal več vsebinskih odločitev, ki so zajemale neodgovarjanje na zahteve za dostop do podatkov, nezakonito preusmerjanje e-pošte brez pravne podlage, nezakonito zavrnitev zahtev za izbris s strani slovenske policije in manjkajoče pogodbe o obdelavi podatkov. To pomeni pomemben napredek v primerjavi z minimalno dejavnostjo izvrševanja v obdobju ZVOP-1.
Sodelovanje z Evropskim odborom za varstvo podatkov (EDPB): Slovenski Informacijski pooblaščenec sodeluje v mehanizmih usklajevanja in sodelovanja Evropskega odbora za varstvo podatkov. Ker čezmejne zadeve izvrševanja, ki vključujejo velike tehnološke platforme, vse pogosteje vključujejo vodilne nadzorne organe v drugih državah članicah, pooblaščenec pri zadevah, ki zadevajo slovenske prebivalce, nastopa kot zainteresirani nadzorni organ.
Kontrolni seznam skladnosti za podjetja
Organizacije, ki poslujejo v Sloveniji, naj poleg standardne skladnosti z GDPR preverijo naslednje korake:
Presoja biometričnih podatkov: Ugotovite, ali obdelujete biometrične podatke za namene identifikacije ali avtentikacije. Če obdelava poteka v zasebnem sektorju, preverite, ali je bila pridobljena predhodna odobritev Informacijskega pooblaščenca. Potrdite, da se biometrični podatki ne zbirajo za trženjske namene.
Uvedba dnevnikov obdelave: Ocenite, ali katera koli dejavnost obdelave dosega pragove za obvezne dnevnike (več kot 100.000 posameznikov v avtomatiziranih sistemih ali več kot 10.000 posameznikov za posebne vrste podatkov). Če je tako, preverite, ali skladni dnevniki delujejo. Rok za prehod, ki je potekel januarja 2025, je že mimo.
Pregled imenovanja pooblaščene osebe: Ugotovite, ali mora vaša organizacija po razširjenih merilih ZVOP-2 imenovati pooblaščeno osebo za varstvo podatkov. Če je tako, preverite, ali pooblaščena oseba izpolnjuje zahteve glede usposobljenosti (tri leta izkušenj ali priznano potrdilo), je bila sporočena Informacijskemu pooblaščencu in je dostopna posameznikom, na katere se nanašajo podatki.
Pregled video nadzora: Preverite vse sisteme CCTV glede skladnosti z zahtevami ZVOP-2 o obveščanju, omejitvi namena in hrambi. Zagotovite, da kamere na delovnem mestu niso usmerjene na posamezna delovna mesta brez dokumentirane utemeljitve.
Posodobitev mehanizma prenosa: Če prenašate osebne podatke v Severno Makedonijo, preverite, ali imate vzpostavljene SCC ali drug mehanizem, skladen z GDPR.
Presoja sistemov umetne inteligence: Če uvajate sisteme umetne inteligence, ugotovite, ali kateri od njih spada v kategorije, kjer ima Informacijski pooblaščenec tržno nadzorno pristojnost po ZIUDHPUI. Sistemi, ki vključujejo biometrijo, socialno točkovanje ali zaznavanje čustev, so predmet dvojnega nadzora po ZVOP-2 in okviru Akta o umetni inteligenci.
Pripravljenost za obveščanje o kršitvah: Preverite, ali lahko vaši notranji postopki odkrivanja in obveščanja o kršitvah izpolnijo 72-urni rok za obveščanje Informacijskega pooblaščenca in, kjer je zahtevano, obveščanje prizadetih posameznikov.
Ta članek zagotavlja splošne informacije o slovenskih zakonih o varstvu osebnih podatkov in ne predstavlja pravnega nasveta. Pravo varstva podatkov je zapleteno in se pogosto spreminja. Za nasvet glede vaše konkretne situacije se posvetujte s pooblaščenim odvetnikom v Sloveniji.
Frequently Asked Questions
Zakaj je bila Slovenija zadnja država članica EU, ki je izvajala GDPR?
Skoraj petletna zamuda Slovenije je bila posledica dolgotrajnih političnih in pravnih razprav o obsegu pooblastil Informacijskega pooblaščenca, o tem, kako v okviru slovenskega ustavnega prava strukturirati upravne globe, ter o ravnotežju med varstvom podatkov in svobodo izražanja. Od leta 2017 je krožilo več osnutkov, preden je bilo decembra 2022 sprejeto končno besedilo. GDPR se je v tem obdobju uporabljal neposredno, starejši ZVOP-1 (2004) pa je še naprej veljal tam, kjer mu ni nasprotoval.
Kakšna je ustavna podlaga za varstvo podatkov v Sloveniji?
38. člen slovenske Ustave iz leta 1991 izrecno zagotavlja varstvo osebnih podatkov, prepoveduje uporabo osebnih podatkov v nasprotju z namenom njihovega zbiranja ter zahteva, da zbiranje, obdelavo, uporabo in nadzor nad osebnimi podatki ureja zakon. To varstvo osebnih podatkov v Sloveniji uvršča med ustavne pravice, ki so starejše od Listine EU o temeljnih pravicah in GDPR.
Ali organizacije potrebujejo predhodno odobritev za obdelavo biometričnih podatkov v Sloveniji?
Da, v zasebnem sektorju. Obdelava biometričnih podatkov za identifikacijo ali avtentikacijo zahteva predhodno odobritev Informacijskega pooblaščenca, predhodno pisno obvestilo prizadetim posameznikom, uporaba za trženjske namene pa ni dovoljena. Ta zahteva je strožja kot v večini držav članic EU, ki obdelavo biometričnih podatkov na splošno dovoljujejo na standardnih pravnih podlagah GDPR brez predhodne regulativne odobritve.
Kakšne so zahteve glede obveznih dnevnikov obdelave po ZVOP-2?
ZVOP-2 zahteva dnevnike sledljivosti za avtomatizirane sisteme, ki obdelujejo osebne podatke več kot 100.000 posameznikov, ali posebne vrste osebnih podatkov več kot 10.000 posameznikov, ter za dejavnosti sistematičnega spremljanja in kadar je ocena učinka v zvezi z varstvom podatkov ugotovila obvladljivo tveganje. Dnevniki morajo beležiti, kdo je dostopal do podatkov, kdaj in za kateri namen. Prehodno obdobje se je izteklo 26. januarja 2025.
Kakšne globe lahko Informacijski pooblaščenec naloži po ZVOP-2?
Za kršitve GDPR lahko pooblaščenec naloži globe do 10 milijonov EUR ali 2 % svetovnega letnega prometa (1. stopnja) oziroma do 20 milijonov EUR ali 4 % svetovnega letnega prometa (2. stopnja), kar koli je višje. Za kršitve, specifične za ZVOP-2, se pravnim osebam naloži globa od 100 do 40.000 EUR. Vse globe se obravnavajo po slovenskem prekrškovnem okviru, v primerjavi s prejšnjo najvišjo mejo 12.510 EUR po ZVOP-1.
Kako izvajanje Akta o umetni inteligenci v Sloveniji vpliva na skladnost z varstvom podatkov?
Slovenija je 21. novembra 2025 sprejela ZIUDHPUI, s katerim je Informacijski pooblaščenec določen kot tržni nadzorni organ za sisteme umetne inteligence z najvišjim tveganjem, vključno z biometrično identifikacijo, socialnim točkovanjem, napovedovanjem kaznivih dejanj in zaznavanjem čustev na delovnih mestih. Sistemi umetne inteligence, ki obdelujejo biometrične podatke, se hkrati soočajo z zahtevo ZVOP-2 po predhodni odobritvi in z nadzorom po Aktu o umetni inteligenci, oboje izvršuje isti organ.
Kolikšna je starost za digitalno soglasje v Sloveniji?
Slovenija je starost za digitalno soglasje določila na 15 let. Otroci, stari 15 let ali več, lahko samostojno privolijo v storitve informacijske družbe, kot so platforme družbenih medijev. Otroci, mlajši od 15 let, potrebujejo dovoljenje staršev ali skrbnika.
Kako po slovenskem pravu delujejo čezmejni prenosi podatkov?
Slovenija sledi standardnemu okviru GDPR. Prenosi zunaj EGP zahtevajo sklep o ustreznosti, standardne pogodbene klavzule z oceno učinka prenosa, zavezujoča poslovna pravila ali ustrezno odstopanje. Podedovana slovenska ureditev ustreznosti za prenose v Severno Makedonijo po ZVOP-1 se ne prenaša na ZVOP-2, zato morajo organizacije, ki prenašajo podatke v Severno Makedonijo, zdaj uporabiti SCC ali drug mehanizem GDPR.
Sources and References
- Pregled ZVOP-2 Informacijskega pooblaščenca(ip-rs.si).gov
- Ključne značilnosti ZVOP-2, Informacijski pooblaščenec(ip-rs.si).gov
- Moje pravice, Informacijski pooblaščenec(ip-rs.si).gov
- Schoenherr o pozni prenoslitvi ZVOP-2(schoenherr.eu)
- Analiza ZVOP-2, Wolf Theiss(wolftheiss.com)
- Strokovni vodnik CMS za Slovenijo(cms.law)
- DLA Piper, varstvo podatkov v Sloveniji(dlapiperdataprotection.com)
- GDPRhub, izvrševanje Informacijskega pooblaščenca(gdprhub.eu)
- EuroCloud, Slovenija kot zadnja država EU(eurocloud.org)
- Jadek Pensa, začetek veljavnosti ZVOP-2(jadek-pensa.si)
- Nadzor Informacijskega pooblaščenca nad Aktom o umetni inteligenci(365trust.me)
- EDPB, Slovenija(edpb.europa.eu).gov
- Agencija EU za temeljne pravice, slovenska Ustava(fra.europa.eu).gov