Namen prava varstva osebnih podatkov je v zakoniti in pošteni obdelavi osebnih podatkov posameznikov. Za osebni podatek se šteje katera koli informacija v zvezi z določenim ali določljivim posameznikom, ne glede na obliko, v kateri je izražena. Za osebni podatek se štejejo tudi druge informacije, ki same po sebi ne predstavljajo osebnega podatka, vendar pa lahko v kombinaciji ena z drugo privedejo do identifikacije določene osebe. Osebni podatek ima tako zelo širok pomen, njegova zakonita in varna obdelava pa sta bistvenega pomena za dostojanstvo in integriteto posameznika. Normativno določneje so opredeljene posebne vrste osebnih podatkov.

Termin obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanja, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstva ali brez njih, kot npr. zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, preklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanja ali kombinacije, omejevanja, izbris ali uničenje. Obdelava osebnih podatkov ni nedopustna, je le omejena z vidika namena njihove obdelave in ustrezne pravne podlage.

Ključni akterji, na katere se razteza pravo varstva osebnih podatkov so upravljavci osebnih podatkov, to so fizične ali pravne osebe javnega ali zasebnega prava, ki določajo namene in sredstva obdelave osebnih podatkov in so skladno z veljavnimi predpisi dolžni izvajati učinkovite ukrepe za varstvo osebnih podatkov oziroma preprečevanje tveganj za pravice in svoboščine posameznikov pri dejavnostih obdelave njihovih osebnih podatkov. Upravljavci osebnih podatkov so pristojni in odgovorni za vsako obdelavo osebnih podatkov, zato bi morali za namene skladnosti dejavnosti obdelave z veljavnimi predpisi poleg ukrepov za varstvo podatkov redno izvajati tudi postopke za ugotavljanje verjetnosti in resnosti tveganja za pravice in svoboščine posameznikov. Kadar dve ali več organizacij skupaj odločajo o namenu in načinu obdelave osebnih podatkov, govorimo o skupnih upravljavcih. Za slednje je ključnega pomena zlasti pregledna ureditev medsebojnih obveznosti pri zagotavljanju informacij posameznikom ter uresničevanju njihove pravice do seznanitve z lastnimi osebnimi podatki, namenom njihove obdelave in uresničevanju drugih pravic.


Upravljavci osebnih podatkov lahko posamezna opravila, vezana na obdelavo osebnih podatkov zaupajo tudi obdelovalcem, ki morajo prav tako kot upravljavci osebnih podatkov zagotavljati zadostna jamstva za varstvo pravic posameznikov. Pravno razmerje med upravljavcem osebnih podatkov in njegovim obdelovalcem temelji na pogodi, ki mora vsebovati najmanj naslednje vsebine: narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, nekatere se nanašajo osebni podatki, vsebina in trajanje obdelave, obveznosti in pravice upravljavca, ukrepe, ki jih mora obdelovalec zagotavljati, odgovornost obdelovalca idr.

Temeljna načela obdelave osebnih podatkov

Temeljna načela, ki jih je upravljavec osebnih podatkov dolžan spoštovati so:

  • Načelo transparentnosti, ki od upravljavcev zahteva, da so posameznikom na pregleden in razumljiv način dostopne vse informacije in obvestila, vezane na dejanja obdelave osebnih podatkov in uveljavljanja pravic (npr. način uresničevanja pravic posameznika, opozorila na tveganja in sprejete ukrepe za zaščito osebnih podatkov ali medijev, na katerih se slednji obdelujejo);
  • Načelo zakonitosti, ki od upravljavcev osebnih podatkov zahteva pravno podlago za obdelavo osebnih podatkov, bodisi zakonita pravna podlaga (tj. področni zakon) bodisi privolitev posameznika (npr. enostranska izjava volje, pogodba ali »predpogodba«), pri čemer pravna podlaga ni relevantna le kot predpogoj za obdelavo osebnih podatkov pač pa vpliva tudi na obseg in način uresničevanja pravic posameznikov (npr. pravica do izbrisa, pravica do popravka idr.);
  • Načelo najmanjšega obsega, katerega tendenca gre v smeri minimizacije dejavnosti in časovnega vidika izvajanja obdelave osebnih podatkov, v obsegu, ki je nujno potreben za izvajanje nalog ali opravljanje dejavnosti in pri tem upoštevanja sorazmernosti med nujnostjo obdelave osebnih podatkov in tveganji za varnost le-teh;
  • Načelo omejitve namena obdelave, skladno s katerim se osebni podatkih lahko obdelujejo za namene, za katere se bili zbrani in so praviloma opredeljeni že v aktih, ki predstavljajo pravno podlago za obdelavo osebnih podatkov ter omejeno tudi za druge namene, v kolikor upravljavec lahko izkaže združljivost takšnih namenov (t.i. namen načrtovane nadaljnje obdelave) s primarnimi nameni obdelave osebnih podatkov (npr. kadar to opravičuje javni interes, pričakovanja posameznikov itd.).

Razvoj varstva osebnih podatkov

Varstvo osebnih podatkov je temeljna pravica vsakega posameznika in je močno varovana tako znotraj nacionalnega kot tudi evropskega prostora. V Ustavo RS je bila kot enakovredna pravicam do enakosti pred zakonom, svobodi gibanja in izražanja ter drugim človekovim pravicam in temeljnim svoboščinam zapisana že ob sprejemu prvega ustavnega zakona leta 1991. Prvi nacionalni zakon o varstvu osebnih podatkov je bil sprejet v letu 1990, ko je nasledil takrat veljavni Zakon o družbenem sistemu informiranja (ZDSI). Odtlej je bil predmetni zakon večkrat spremenjen, danes veljavni ZVOP-1 pa se uporablja od začetka leta 2005 in na predmetnem področju predstavlja prvi korak k harmonizaciji nacionalnih pravil s pravom EU, predvsem takrat veljavno Direktivo 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takšnih podatkov, ki je bila v prvi vrsti namenjena varovanju pravice do zasebnosti pri obdelavi osebnih podatkov.


V istem letu 2005 je RS z združitvijo takratnega Inšpektorata za varstvo osebnih podatkov ter Pooblaščenca za dostop do informacij javnega značaja pridobila tudi neodvisni državni organ Informacijski pooblaščenec Republike Slovenije, kot ga poznamo danes. Slednji je trdno tlakoval pot konsistentni interpretaciji prava na praktičnih primerih in širjenju dobre prakse varstva osebnih podatkov v RS.


Danes se RS nahaja na pragu nove zakonodaje, kot posledica uveljavitve Uredbe EU 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, krajše Splošni uredbi o varstvu osebnih podatkov (ang.: »General Data Protection Regulation«, kratica: GDPR), ki v pravni red EU prinaša predvsem več pravic za posameznike pri obdelavi njihovih osebnih podatkov. Z razvojem tehnologije, vstopom v »četrto industrijsko dobo« ali ero digitalnega sveta, obdelava osebnih podatkov pridobiva povsem drugačne razsežnosti. Implementacija smart projektov, digitalna transformacija delovnih procesov javnega in zasebnega sektorja ter spodbujanje inovativnosti, prinašajo tudi prikrite oblike obdelave osebnih podatkov znotraj danih možnosti generiranja informacij in avtomatizirane obdelave množice podatkov. Posledično je bila z namenom harmonizacije varstva temeljnih pravic in svoboščin posameznikov pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami, dne 27. aprila 2016 sprejeta Splošna uredba o varstvu podatkov (GDPR) z učinkom neposredne uporabe pa se je po izteku prehodnega obdobja začela uporabljati z dnem 28. maj 2018.