1
2004-01-01
Dz.U. 2002.153.1271
art. 52
2004-03-01
Dz.U. 2004.25.219
art. 181
2004-05-01
Dz.U. 2004.33.285
art. 1
2006-07-24
Dz.U. 2006.104.708
art. 178
2006-10-01
Dz.U. 2006.104.711
art. 31
2007-09-14
Dz.U. 2007.165.1170
art. 39
2007-10-10
Dz.U. 2007.176.1238
art. 13
2010-04-01
Dz.U. 2010.41.233
art. 2
2011-01-02
Dz.U. 2010.182.1228
art. 121
2011-03-07 Dz. U. 2010.229.1497
art.1
USTAWA
z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
(tekst pierwotny: Dz. U. 1997 r. Nr 133 poz. 883)
(tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926)
Rozdział 1
Przepisy ogólne
Art. 1. 1. Ka
ż
dy ma prawo do ochrony dotycz
ą
cych go danych osobowych.
2. Przetwarzanie danych osobowych mo
ż
e mie
ć
miejsce ze wzgl
ę
du na dobro publiczne, dobro
osoby, której dane dotycz
ą
, lub dobro osób trzecich w zakresie i trybie okre
ś
lonym ustaw
ą
.
Art. 2. 1. Ustawa okre
ś
la zasady post
ę
powania przy przetwarzaniu danych osobowych oraz
prawa osób fizycznych, których dane osobowe s
ą
lub mog
ą
by
ć
przetwarzane w zbiorach danych.
2. Ustaw
ę
stosuje si
ę
do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, ksi
ę
gach, wykazach i w innych zbiorach
ewidencyjnych,
2) w systemach informatycznych, tak
ż
e w przypadku przetwarzania danych poza
zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporz
ą
dzanych dora
ź
nie, wył
ą
cznie ze
wzgl
ę
dów technicznych, szkoleniowych lub w zwi
ą
zku z dydaktyk
ą
w szkołach wy
ż
szych, a po ich
wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, maj
ą
zastosowanie jedynie
przepisy rozdziału 5.
Art. 3. 1. Ustaw
ę
stosuje si
ę
do organów pa
ń
stwowych, organów samorz
ą
du terytorialnego oraz do
pa
ń
stwowych i komunalnych jednostek organizacyjnych.
2. Ustaw
ę
stosuje si
ę
równie
ż
do:
1)
podmiotów niepublicznych realizuj
ą
cych zadania publiczne,
2)
osób fizycznych i osób prawnych oraz jednostek organizacyjnych nieb
ę
d
ą
cych
osobami prawnymi, je
ż
eli przetwarzaj
ą
dane osobowe w zwi
ą
zku z działalno
ś
ci
ą
zarobkow
ą
,
zawodow
ą
lub dla realizacji celów statutowych
- które maj
ą
siedzib
ę
albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w
pa
ń
stwie trzecim, o ile przetwarzaj
ą
dane osobowe przy wykorzystaniu
ś
rodków technicznych
znajduj
ą
cych si
ę
na terytorium Rzeczypospolitej Polskiej.
2
Art. 3a. 1. Ustawy nie stosuje si
ę
do:
1)
osób fizycznych, które przetwarzaj
ą
dane wył
ą
cznie w celach osobistych lub
domowych,
2)
podmiotów maj
ą
cych siedzib
ę
lub miejsce zamieszkania w pa
ń
stwie trzecim,
wykorzystuj
ą
cych
ś
rodki techniczne znajduj
ą
ce si
ę
na terytorium Rzeczypospolitej Polskiej
wył
ą
cznie do przekazywania danych.
2. Ustawy, z wyj
ą
tkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje si
ę
równie
ż
do prasowej
działalno
ś
ci dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U.
Nr 5, poz. 24, z pó
ź
n. zm.) oraz do działalno
ś
ci literackiej lub artystycznej, chyba
ż
e wolno
ść
wyra
ż
ania swoich pogl
ą
dów i rozpowszechniania informacji istotnie narusza prawa i wolno
ś
ci osoby,
której dane dotycz
ą
.
Art. 4. Przepisów ustawy nie stosuje si
ę
, je
ż
eli umowa mi
ę
dzynarodowa, której stron
ą
jest
Rzeczpospolita Polska, stanowi inaczej.
Art. 5. Je
ż
eli przepisy odr
ę
bnych ustaw, które odnosz
ą
si
ę
do przetwarzania danych, przewiduj
ą
dalej id
ą
c
ą
ich ochron
ę
, ni
ż
wynika to z niniejszej ustawy, stosuje si
ę
przepisy tych ustaw.
Art. 6. 1. W rozumieniu ustawy za dane osobowe uwa
ż
a si
ę
wszelkie informacje dotycz
ą
ce
zidentyfikowanej lub mo
ż
liwej do zidentyfikowania osoby fizycznej.
2. Osob
ą
mo
ż
liw
ą
do zidentyfikowania jest osoba, której to
ż
samo
ść
mo
ż
na okre
ś
li
ć
bezpo
ś
rednio
lub po
ś
rednio, w szczególno
ś
ci przez powołanie si
ę
na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników okre
ś
laj
ą
cych jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
3. Informacji nie uwa
ż
a si
ę
za umo
ż
liwiaj
ą
c
ą
okre
ś
lenie to
ż
samo
ś
ci osoby, je
ż
eli wymagałoby to
nadmiernych kosztów, czasu lub działa
ń
.
Art. 7. Ilekro
ć
w ustawie jest mowa o:
1)
zbiorze danych - rozumie si
ę
przez to ka
ż
dy posiadaj
ą
cy struktur
ę
zestaw danych o
charakterze osobowym, dost
ę
pnych według okre
ś
lonych kryteriów, niezale
ż
nie od tego, czy
zestaw ten jest rozproszony lub podzielony funkcjonalnie,
2)
przetwarzaniu danych - rozumie si
ę
przez to jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udost
ę
pnianie i usuwanie, a zwłaszcza te, które wykonuje si
ę
w systemach
informatycznych,
2a) systemie informatycznym - rozumie si
ę
przez to zespół współpracuj
ą
cych ze sob
ą
urz
ą
dze
ń
, programów, procedur przetwarzania informacji i narz
ę
dzi programowych
zastosowanych w celu przetwarzania danych,
2b) zabezpieczeniu danych w systemie informatycznym - rozumie si
ę
przez to
wdro
ż
enie i eksploatacj
ę
stosownych
ś
rodków technicznych i organizacyjnych
zapewniaj
ą
cych ochron
ę
danych przed ich nieuprawnionym przetwarzaniem,
3)
usuwaniu danych - rozumie si
ę
przez to zniszczenie danych osobowych lub tak
ą
ich
modyfikacj
ę
, która nie pozwoli na ustalenie to
ż
samo
ś
ci osoby, której dane dotycz
ą
,
4)
administratorze danych - rozumie si
ę
przez to organ, jednostk
ę
organizacyjn
ą
,
podmiot lub osob
ę
, o których mowa w art. 3, decyduj
ą
ce o celach i
ś
rodkach przetwarzania
danych osobowych,
5) zgodzie osoby, której dane dotycz
ą
- rozumie si
ę
przez to o
ś
wiadczenie woli,
którego tre
ś
ci
ą
jest zgoda na przetwarzanie danych osobowych tego, kto składa
o
ś
wiadczenie; zgoda nie mo
ż
e by
ć
domniemana lub dorozumiana z o
ś
wiadczenia woli
o innej tre
ś
ci; zgoda mo
ż
e by
ć
odwołana w ka
ż
dym czasie,
5)
odbiorcy danych - rozumie si
ę
przez to ka
ż
dego, komu udost
ę
pnia si
ę
dane
osobowe, z wył
ą
czeniem:
a)
osoby, której dane dotycz
ą
,
b)
osoby upowa
ż
nionej do przetwarzania danych,
c)
przedstawiciela, o którym mowa w art. 31a,
d)
podmiotu, o którym mowa w art. 31,
3
e) organów pa
ń
stwowych lub organów samorz
ą
du terytorialnego, którym dane s
ą
udost
ę
pniane w zwi
ą
zku z prowadzonym post
ę
powaniem,
7) pa
ń
stwie trzecim - rozumie si
ę
przez to pa
ń
stwo nienale
żą
ce do Europejskiego
Obszaru Gospodarczego.
Rozdział 2
Organ ochrony danych osobowych
Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony
Danych Osobowych, zwany dalej „Generalnym Inspektorem”.
2.
Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgod
ą
Senatu.
3.
Na stanowisko Generalnego Inspektora mo
ż
e by
ć
powołany ten, kto ł
ą
cznie spełnia
nast
ę
puj
ą
ce warunki:
1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej
Polskiej,
2) wyró
ż
nia si
ę
wysokim autorytetem moralnym,
3) posiada wy
ż
sze wykształcenie prawnicze oraz odpowiednie do
ś
wiadczenie
zawodowe,
4) nie był karany za przest
ę
pstwo.
4.
Generalny Inspektor w zakresie wykonywania swoich zada
ń
podlega tylko ustawie.
5.
Kadencja Generalnego Inspektora trwa 4 lata, licz
ą
c od dnia zło
ż
enia
ś
lubowania. Po upływie
kadencji Generalny Inspektor pełni swoje obowi
ą
zki do czasu obj
ę
cia stanowiska przez nowego
Generalnego Inspektora.
6.
Ta sama osoba nie mo
ż
e by
ć
Generalnym Inspektorem wi
ę
cej ni
ż
przez dwie kadencje.
7.
Kadencja Generalnego Inspektora wygasa z chwil
ą
jego
ś
mierci, odwołania lub utraty
obywatelstwa polskiego.
8.
Sejm, za zgod
ą
Senatu, odwołuje Generalnego Inspektora, je
ż
eli:
1)
zrzekł si
ę
stanowiska,
2)
stał si
ę
trwale niezdolny do pełnienia obowi
ą
zków na skutek choroby,
3)
sprzeniewierzył si
ę
zło
ż
onemu
ś
lubowaniu,
4)
został skazany prawomocnym wyrokiem s
ą
du za popełnienie przest
ę
pstwa.
Art. 9. Przed przyst
ą
pieniem do wykonywania obowi
ą
zków Generalny Inspektor składa przed
Sejmem nast
ę
puj
ą
ce
ś
lubowanie: „Obejmuj
ą
c stanowisko Generalnego Inspektora Ochrony Danych
Osobowych uroczy
ś
cie
ś
lubuj
ę
dochowa
ć
wierno
ś
ci postanowieniom Konstytucji Rzeczypospolitej
Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowi
ą
zki wypełnia
ć
sumiennie i bezstronnie.”
Ś
lubowanie mo
ż
e by
ć
zło
ż
one z dodaniem słów „Tak mi dopomó
ż
Bóg”.
Art. 10. 1. Generalny Inspektor nie mo
ż
e zajmowa
ć
innego stanowiska, z wyj
ą
tkiem
stanowiska profesora szkoły wy
ż
szej, ani wykonywa
ć
innych zaj
ęć
zawodowych.
2. Generalny Inspektor nie mo
ż
e nale
ż
e
ć
do partii politycznej, zwi
ą
zku zawodowego ani
prowadzi
ć
działalno
ś
ci publicznej niedaj
ą
cej si
ę
pogodzi
ć
z godno
ś
ci
ą
jego urz
ę
du.
Art. 11. Generalny Inspektor nie mo
ż
e by
ć
bez uprzedniej zgody Sejmu poci
ą
gni
ę
ty do
odpowiedzialno
ś
ci karnej ani pozbawiony wolno
ś
ci. Generalny Inspektor nie mo
ż
e by
ć
zatrzymany lub
aresztowany, z wyj
ą
tkiem uj
ę
cia go na gor
ą
cym uczynku przest
ę
pstwa i je
ż
eli jego zatrzymanie jest
niezb
ę
dne do zapewnienia prawidłowego toku post
ę
powania. O zatrzymaniu niezwłocznie
powiadamia si
ę
Marszałka Sejmu, który mo
ż
e nakaza
ć
natychmiastowe zwolnienie zatrzymanego.
Art. 12. Do zada
ń
Generalnego Inspektora w szczególno
ś
ci nale
ż
y:
1) kontrola zgodno
ś
ci przetwarzania danych z przepisami o ochronie danych
osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych,
4
3) zapewnienie
wykonania
przez
zobowi
ą
zanych
obowi
ą
zków
o
charakterze
niepieni
ęż
nym wynikaj
ą
cych z decyzji, o których mowa w pkt 2, przez stosowanie
ś
rodków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r.
o post
ę
powaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z
pó
ź
n. zm.),
4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych
zbiorach,
5) opiniowanie projektów ustaw i rozporz
ą
dze
ń
dotycz
ą
cych ochrony danych
osobowych,
6) inicjowanie i podejmowanie przedsi
ę
wzi
ęć
w zakresie doskonalenia ochrony danych
osobowych,
7) uczestniczenie w pracach mi
ę
dzynarodowych organizacji i instytucji zajmuj
ą
cych si
ę
problematyk
ą
ochrony danych osobowych.
Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu mo
ż
e powoła
ć
zast
ę
pc
ę
Generalnego Inspektora. Odwołanie zast
ę
pcy Generalnego Inspektora nast
ę
puje w tym samym
trybie.
2. Generalny Inspektor okre
ś
la zakres zada
ń
swojego zast
ę
pcy.
3. Zast
ę
pca Generalnego Inspektora powinien spełnia
ć
wymogi okre
ś
lone w art. 8 ust. 3 pkt 1,
2 i 4 oraz posiada
ć
wy
ż
sze wykształcenie i odpowiednie do
ś
wiadczenie zawodowe.
Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego
Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczb
ą
spraw z
zakresu ochrony danych osobowych na danym terenie mo
ż
e wykonywa
ć
swoje zadania
przy pomocy jednostek zamiejscowych Biura.
2. (uchylony)
3. Prezydent Rzeczypospolitej Polskiej, po zasi
ę
gni
ę
ciu opinii Generalnego Inspektora,
w drodze rozporz
ą
dzenia, nadaje statut Biuru, okre
ś
laj
ą
c jego organizacj
ę
, zasady
działania oraz siedziby jednostek zamiejscowych i zakres ich wła
ś
ciwo
ś
ci terytorialnej,
maj
ą
c na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej
realizacji zada
ń
Biura.
Art. 14. W celu wykonania zada
ń
, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor,
zast
ę
pca Generalnego Inspektora lub upowa
ż
nieni przez niego pracownicy Biura, zwani dalej
„inspektorami”, maj
ą
prawo:
1)
wst
ę
pu, w godzinach od 6°° do 22°°, za okazaniem imienn ego upowa
ż
nienia i
legitymacji słu
ż
bowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz
pomieszczenia, w którym przetwarzane s
ą
dane poza zbiorem danych, i przeprowadzenia
niezb
ę
dnych bada
ń
lub innych czynno
ś
ci kontrolnych w celu oceny zgodno
ś
ci przetwarzania
danych z ustaw
ą
,
2)
żą
da
ć
zło
ż
enia pisemnych lub ustnych wyja
ś
nie
ń
oraz wzywa
ć
i przesłuchiwa
ć
osoby
w zakresie niezb
ę
dnym do ustalenia stanu faktycznego,
3)
wgl
ą
du do wszelkich dokumentów i wszelkich danych maj
ą
cych bezpo
ś
redni zwi
ą
zek
z przedmiotem kontroli oraz sporz
ą
dzania ich kopii,
4)
przeprowadzania ogl
ę
dzin urz
ą
dze
ń
, no
ś
ników oraz systemów informatycznych
słu
żą
cych do przetwarzania danych,
5)
zleca
ć
sporz
ą
dzanie ekspertyz i opinii.
Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna
b
ę
d
ą
ca administratorem danych osobowych s
ą
obowi
ą
zani umo
ż
liwi
ć
inspektorowi przeprowadzenie
kontroli, a w szczególno
ś
ci umo
ż
liwi
ć
przeprowadzenie czynno
ś
ci oraz spełni
ć
żą
dania, o których
mowa w art. 14 pkt 1-4.
2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor
przeprowadzaj
ą
cy kontrol
ę
ma prawo wgl
ą
du do zbioru zawieraj
ą
cego dane osobowe jedynie za
po
ś
rednictwem upowa
ż
nionego przedstawiciela kontrolowanej jednostki organizacyjnej.
3. Kontrol
ę
przeprowadza si
ę
po okazaniu imiennego upowa
ż
nienia wraz z
5
legitymacj
ą
słu
ż
bow
ą
.
4. Imienne upowa
ż
nienie powinno zawiera
ć
:
1) wskazanie podstawy prawnej przeprowadzenia kontroli,
2) oznaczenie organu kontroli,
3) imi
ę
i nazwisko, stanowisko słu
ż
bowe osoby upowa
ż
nionej do przeprowadzenia
kontroli oraz numer jej legitymacji słu
ż
bowej,
4) okre
ś
lenie zakresu przedmiotowego kontroli,
5) oznaczenie podmiotu obj
ę
tego kontrol
ą
albo zbioru danych, albo miejsca
poddawanego kontroli,
6) wskazanie daty rozpocz
ę
cia i przewidywanego terminu zako
ń
czenia kontroli,
7) podpis Generalnego Inspektora,
8) pouczenie kontrolowanego podmiotu o jego prawach i obowi
ą
zkach,
9) dat
ę
i miejsce wystawienia imiennego upowa
ż
nienia.
Art. 16. 1. Z czynno
ś
ci kontrolnych inspektor sporz
ą
dza protokół, którego jeden egzemplarz
dor
ę
cza kontrolowanemu administratorowi danych.
1a. Protokół kontroli powinien zawiera
ć
:
1) nazw
ę
podmiotu kontrolowanego w pełnym brzmieniu i jego adres,
2) imi
ę
i nazwisko, stanowisko słu
ż
bowe, numer legitymacji słu
ż
bowej oraz numer
upowa
ż
nienia inspektora,
3) imi
ę
i nazwisko osoby reprezentuj
ą
cej podmiot kontrolowany oraz nazw
ę
organu
reprezentuj
ą
cego ten podmiot,
4) dat
ę
rozpocz
ę
cia i zako
ń
czenia czynno
ś
ci kontrolnych z wymienieniem dni przerw
w kontroli,
5) okre
ś
lenie przedmiotu i zakresu kontroli,
6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje maj
ą
ce
istotne znaczenie dla oceny zgodno
ś
ci przetwarzania danych z przepisami o ochronie
danych osobowych,
7) wyszczególnienie zał
ą
czników stanowi
ą
cych składow
ą
cz
ęść
protokołu,
8) omówienie dokonanych w protokole poprawek, skre
ś
le
ń
i uzupełnie
ń
,
9) parafy inspektora i osoby reprezentuj
ą
cej podmiot kontrolowany na ka
ż
dej stronie
protokołu,
10) wzmiank
ę
o dor
ę
czeniu egzemplarza protokołu osobie reprezentuj
ą
cej podmiot
kontrolowany,
11) wzmiank
ę
o wniesieniu lub niewniesieniu zastrze
ż
e
ń
i uwag do protokołu,
12) dat
ę
i miejsce podpisania protokołu przez inspektora oraz przez osob
ę
lub organ
reprezentuj
ą
cy podmiot kontrolowany.
2.
Protokół podpisuj
ą
inspektor i kontrolowany administrator danych, który mo
ż
e wnie
ść
do
protokołu umotywowane zastrze
ż
enia i uwagi.
3.
W razie odmowy podpisania protokołu przez kontrolowanego administratora danych,
inspektor czyni o tym wzmiank
ę
w protokole, a odmawiaj
ą
cy podpisu mo
ż
e, w terminie 7 dni,
przedstawi
ć
swoje stanowisko na pi
ś
mie Generalnemu Inspektorowi.
6
Art. 17. 1. Je
ż
eli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów
o ochronie danych osobowych, wyst
ę
puje do Generalnego Inspektora o zastosowanie
ś
rodków,
o których mowa w art. 18.
2. Na podstawie ustale
ń
kontroli inspektor mo
ż
e
Żą
da
ć
wszcz
ę
cia post
ę
powania
dyscyplinarnego lub innego przewidzianego prawem post
ę
powania przeciwko osobom winnym
dopuszczenia do uchybie
ń
i poinformowania go, w okre
ś
lonym terminie, o wynikach tego
post
ę
powania i podj
ę
tych działaniach.
Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny
Inspektor z urz
ę
du lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej,
nakazuje przywrócenie stanu zgodnego z prawem, a w szczególno
ś
ci:
1)
usuni
ę
cie uchybie
ń
,
2)
uzupełnienie, uaktualnienie, sprostowanie, udost
ę
pnienie lub nieudost
ę
pnienie
danych osobowych,
3)
zastosowanie dodatkowych
ś
rodków zabezpieczaj
ą
cych zgromadzone dane
osobowe,
4)
wstrzymanie przekazywania danych osobowych do pa
ń
stwa trzeciego,
5)
zabezpieczenie danych lub przekazanie ich innym podmiotom,
6)
usuni
ę
cie danych osobowych.
2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mog
ą
ogranicza
ć
swobody
działania podmiotów zgłaszaj
ą
cych kandydatów lub listy kandydatów w wyborach na urz
ą
d
Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorz
ą
du terytorialnego, a
tak
ż
e w wyborach do Parlamentu Europejskiego, pomi
ę
dzy dniem zarz
ą
dzenia wyborów a dniem
głosowania.
2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów
okre
ś
lonych w art. 43 ust. 1 pkt 1a, nie mog
ą
nakazywa
ć
usuni
ę
cia danych osobowych zebranych w
toku czynno
ś
ci operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
3. W przypadku gdy przepisy innych ustaw reguluj
ą
odr
ę
bnie wykonywanie czynno
ś
ci, o
których mowa w ust. 1, stosuje si
ę
przepisy tych ustaw.
Art. 19. W razie stwierdzenia,
ż
e działanie lub zaniechanie kierownika jednostki organizacyjnej,
jej pracownika lub innej osoby fizycznej b
ę
d
ą
cej administratorem danych wyczerpuje znamiona
przest
ę
pstwa okre
ś
lonego w ustawie, Generalny Inspektor kieruje do organu powołanego do
ś
cigania
przest
ę
pstw zawiadomienie o popełnieniu przest
ę
pstwa, doł
ą
czaj
ą
c dowody dokumentuj
ą
ce
podejrzenie.
Art. 19a. 1. W celu realizacji zada
ń
, o których mowa w art. 12 pkt 6, Generalny Inspektor
mo
ż
e kierowa
ć
do organów pa
ń
stwowych, organów samorz
ą
du terytorialnego,
pa
ń
stwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych
realizuj
ą
cych zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych
nieb
ę
d
ą
cych osobami prawnymi oraz innych podmiotów wyst
ą
pienia zmierzaj
ą
ce do
zapewnienia skutecznej ochrony danych osobowych.
2. Generalny Inspektor mo
ż
e równie
ż
wyst
ę
powa
ć
do wła
ś
ciwych organów z wnioskami o
podj
ę
cie inicjatywy ustawodawczej albo o wydanie b
ą
d
ź
zmian
ę
aktów prawnych w
sprawach dotycz
ą
cych ochrony danych osobowych.
3. Podmiot, do którego zostało skierowane wyst
ą
pienie lub wniosek, o których mowa w
ust. 1 i 2, jest obowi
ą
zany ustosunkowa
ć
si
ę
do tego wyst
ą
pienia lub wniosku na pi
ś
mie w
terminie 30 dni od daty jego otrzymania
.
Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalno
ś
ci
wraz z wnioskami wynikaj
ą
cymi ze stanu przestrzegania przepisów o ochronie danych osobowych.
Art. 21. 1. Strona mo
ż
e zwróci
ć
si
ę
do Generalnego Inspektora z wnioskiem o ponowne
rozpatrzenie sprawy.
2. Na decyzj
ę
Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy
stronie przysługuje skarga do s
ą
du administracyjnego.
Art. 22. Post
ę
powanie w sprawach uregulowanych w niniejszej ustawie prowadzi si
ę
według
przepisów Kodeksu post
ę
powania administracyjnego, o ile przepisy ustawy nie stanowi
ą
inaczej.
7
Art. 22a. Minister wła
ś
ciwy do spraw administracji publicznej okre
ś
li, w drodze rozporz
ą
dzenia,
wzór upowa
ż
nienia i legitymacji słu
ż
bowej, o których mowa w art. 14 pkt 1, uwzgl
ę
dniaj
ą
c
konieczno
ść
imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych.
Rozdział 3
Zasady przetwarzania danych osobowych
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1)
osoba, której dane dotycz
ą
, wyrazi na to zgod
ę
, chyba
ż
e chodzi o usuni
ę
cie
dotycz
ą
cych jej danych,
2)
jest to niezb
ę
dne dla zrealizowania uprawnienia lub spełnienia obowi
ą
zku
wynikaj
ą
cego z przepisu prawa,
3)
jest to konieczne do realizacji umowy, gdy osoba, której dane dotycz
ą
, jest jej stron
ą
lub gdy jest to niezb
ę
dne do podj
ę
cia działa
ń
przed zawarciem umowy na
żą
danie osoby,
której dane dotycz
ą
,
4)
jest niezb
ę
dne do wykonania okre
ś
lonych prawem zada
ń
realizowanych dla dobra
publicznego,
5)
jest to niezb
ę
dne dla wypełnienia prawnie usprawiedliwionych celów realizowanych
przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i
wolno
ś
ci osoby, której dane dotycz
ą
.
2.
Zgoda, o której mowa w ust. 1 pkt 1, mo
ż
e obejmowa
ć
równie
ż
przetwarzanie danych w
przyszło
ś
ci, je
ż
eli nie zmienia si
ę
cel przetwarzania.
3.
Je
ż
eli przetwarzanie danych jest niezb
ę
dne dla ochrony
ż
ywotnych interesów osoby, której
dane dotycz
ą
, a spełnienie warunku okre
ś
lonego w ust. 1 pkt 1 jest niemo
ż
liwe, mo
ż
na przetwarza
ć
dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody b
ę
dzie mo
ż
liwe.
4.
Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uwa
ż
a si
ę
w szczególno
ś
ci:
1)
marketing bezpo
ś
redni własnych produktów lub usług administratora danych,
2)
dochodzenie roszcze
ń
z tytułu prowadzonej działalno
ś
ci gospodarczej.
Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotycz
ą
,
administrator danych jest obowi
ą
zany poinformowa
ć
t
ę
osob
ę
o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych
jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu zbierania danych, a w szczególno
ś
ci o znanych mu w czasie udzielania
informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3)
prawie dost
ę
pu do tre
ś
ci swoich danych oraz ich poprawiania,
4)
dobrowolno
ś
ci albo obowi
ą
zku podania danych, a je
ż
eli taki obowi
ą
zek istnieje, o jego
podstawie prawnej.
2. Przepisu ust. 1 nie stosuje si
ę
, je
ż
eli:
1)
przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego
celu ich zbierania,
2)
osoba, której dane dotycz
ą
, posiada informacje, o których mowa w ust. 1.
Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotycz
ą
,
administrator danych jest obowi
ą
zany poinformowa
ć
t
ę
osob
ę
, bezpo
ś
rednio po utrwaleniu
zebranych danych, o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych
jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu i zakresie zbierania danych, a w szczególno
ś
ci o odbiorcach lub kategoriach
odbiorców danych,
3)
ź
ródle danych,
4)
prawie dost
ę
pu do tre
ś
ci swoich danych oraz ich poprawiania,
5) uprawnieniach wynikaj
ą
cych z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu ust. 1 nie stosuje si
ę
, je
ż
eli:
8
1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez
wiedzy osoby, której dane dotycz
ą
,
2) (skre
ś
lony)
3) dane te s
ą
niezb
ę
dne do bada
ń
naukowych, dydaktycznych, historycznych,
statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolno
ś
ci
osoby, której dane dotycz
ą
, a spełnienie wymaga
ń
okre
ś
lonych w ust. 1 wymagałoby
nadmiernych nakładów lub zagra
ż
ałoby realizacji celów badania,
4) (uchylony)
5) dane te s
ą
przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2
pkt 1, na podstawie przepisów prawa,
6) osoba, której dane dotycz
ą
, posiada informacje, o których mowa w ust. 1.
Art. 26. 1. Administrator danych przetwarzaj
ą
cy dane powinien doło
ż
y
ć
szczególnej
staranno
ś
ci w celu ochrony interesów osób, których dane dotycz
ą
, a w szczególno
ś
ci jest obowi
ą
zany
zapewni
ć
, aby dane te były:
1)
przetwarzane zgodnie z prawem,
2)
zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, z zastrze
ż
eniem ust. 2,
3)
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich s
ą
przetwarzane,
4)
przechowywane w postaci umo
ż
liwiaj
ą
cej identyfikacj
ę
osób, których dotycz
ą
, nie
dłu
ż
ej ni
ż
jest to niezb
ę
dne do osi
ą
gni
ę
cia celu przetwarzania.
2. Przetwarzanie danych w celu innym ni
ż
ten, dla którego zostały zebrane, jest dopuszczalne,
je
ż
eli nie narusza praw i wolno
ś
ci osoby, której dane dotycz
ą
, oraz nast
ę
puje:
1)
w celach bada
ń
naukowych, dydaktycznych, historycznych lub statystycznych,
z zachowaniem przepisów art. 23 i 25.
Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygni
ę
cie indywidualnej sprawy osoby,
której dane dotycz
ą
, je
ż
eli jego tre
ść
jest wył
ą
cznie wynikiem operacji na danych
osobowych, prowadzonych w systemie informatycznym.
2. Przepisu ust. 1 nie stosuje si
ę
, je
ż
eli rozstrzygni
ę
cie zostało podj
ę
te podczas
zawierania lub wykonywania umowy i uwzgl
ę
dnia wniosek osoby, której dane dotycz
ą
.
Art. 27. 1. Zabrania si
ę
przetwarzania danych ujawniaj
ą
cych pochodzenie rasowe lub
etniczne, pogl
ą
dy polityczne, przekonania religijne lub filozoficzne, przynale
ż
no
ść
wyznaniow
ą
, partyjn
ą
lub zwi
ą
zkow
ą
, jak równie
ż
danych o stanie zdrowia, kodzie
genetycznym, nałogach lub
ż
yciu seksualnym oraz danych dotycz
ą
cych skaza
ń
, orzecze
ń
o
ukaraniu i mandatów karnych, a tak
ż
e innych orzecze
ń
wydanych w post
ę
powaniu s
ą
dowym
lub administracyjnym.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, je
ż
eli:
1)
osoba, której dane dotycz
ą
, wyrazi na to zgod
ę
na pi
ś
mie, chyba
Ż
e chodzi o
usuni
ę
cie dotycz
ą
cych jej danych,
2)
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody
osoby, której dane dotycz
ą
, i stwarza pełne gwarancje ich ochrony,
3)
przetwarzanie takich danych jest niezb
ę
dne do ochrony
ż
ywotnych interesów osoby,
której dane dotycz
ą
, lub innej osoby, gdy osoba, której dane dotycz
ą
, nie jest fizycznie lub
prawnie zdolna do wyra
ż
enia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
9
4) jest to niezb
ę
dne do wykonania statutowych zada
ń
ko
ś
ciołów i innych zwi
ą
zków wyznaniowych,
stowarzysze
ń
, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych,
naukowych, religijnych, filozoficznych lub zwi
ą
zkowych, pod warunkiem,
Ż
e przetwarzanie danych
dotyczy wył
ą
cznie członków tych organizacji lub instytucji albo osób utrzymuj
ą
cych z nimi stałe
kontakty w zwi
ą
zku z ich działalno
ś
ci
ą
i zapewnione s
ą
pełne gwarancje ochrony przetwarzanych
danych,
5) przetwarzanie dotyczy danych, które s
ą
niezb
ę
dne do dochodzenia praw przed s
ą
dem,
6) przetwarzanie jest niezb
ę
dne do wykonania zada
ń
administratora danych odnosz
ą
cych si
ę
do
zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest okre
ś
lony w
ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,
ś
wiadczenia usług
medycznych lub leczenia pacjentów przez osoby trudni
ą
ce si
ę
zawodowo leczeniem lub
ś
wiadczeniem innych usług medycznych, zarz
ą
dzania udzielaniem usług medycznych i s
ą
stworzone
pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomo
ś
ci publicznej przez osob
ę
, której
dane dotycz
ą
,
9) jest to niezb
ę
dne do prowadzenia bada
ń
naukowych, w tym do przygotowania rozprawy
wymaganej do uzyskania dyplomu uko
ń
czenia szkoły wy
ż
szej lub stopnia naukowego;
publikowanie wyników bada
ń
naukowych nie mo
ż
e nast
ę
powa
ć
w sposób umo
ż
liwiaj
ą
cy
identyfikacj
ę
osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stron
ę
w celu realizacji praw i
obowi
ą
zków wynikaj
ą
cych z orzeczenia wydanego w post
ę
powaniu s
ą
dowym lub
administracyjnym.
Art. 28. 1. (skre
ś
lony)
2.
Numery porz
ą
dkowe stosowane w ewidencji ludno
ś
ci mog
ą
zawiera
ć
tylko oznaczenie płci,
daty urodzenia, numer nadania oraz liczb
ę
kontroln
ą
.
3.
Zabronione jest nadawanie ukrytych znacze
ń
elementom numerów porz
ą
dkowych w
systemach ewidencjonuj
ą
cych osoby fizyczne.
Art. 29 - z dniem 07 marca 2011 r. art. 29 niniejszej ustawy zostaje uchylony.
Art. 30 – z dniem 07 marca 2011 r. art. 30 niniejszej ustawy zostaje uchylony.
Art. 31. 1. Administrator danych mo
ż
e powierzy
ć
innemu podmiotowi, w drodze umowy zawartej
na pi
ś
mie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, mo
ż
e przetwarza
ć
dane wył
ą
cznie w zakresie i celu
przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowi
ą
zany przed rozpocz
ę
ciem przetwarzania danych
podj
ąć
ś
rodki zabezpieczaj
ą
ce zbiór danych, o których mowa w art. 36-39, oraz spełni
ć
wymagania okre
ś
lone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych
przepisów podmiot ponosi odpowiedzialno
ść
jak administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialno
ść
za przestrzeganie przepisów
niniejszej ustawy spoczywa na administratorze danych, co nie wył
ą
cza odpowiedzialno
ś
ci podmiotu,
który zawarł umow
ę
, za przetwarzanie danych niezgodnie z t
ą
umow
ą
.
5. Do kontroli zgodno
ś
ci przetwarzania danych przez podmiot, o którym mowa w ust. 1,
z przepisami o ochronie danych osobowych stosuje si
ę
odpowiednio przepisy art. 14-19.
Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty maj
ą
ce siedzib
ę
albo
miejsce zamieszkania w pa
ń
stwie trzecim, administrator danych jest obowi
ą
zany wyznaczy
ć
swojego przedstawiciela w Rzeczypospolitej Polskiej.
Rozdział 4
Prawa osoby, której dane dotycz
ą
Art. 32. 1. Ka
ż
dej osobie przysługuje prawo do kontroli przetwarzania danych, które jej
10
dotycz
ą
, zawartych w zbiorach danych, a zwłaszcza prawo do:
1)
uzyskania wyczerpuj
ą
cej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i
nazwiska,
2)
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w
takim zbiorze,
3)
uzyskania informacji, od kiedy przetwarza si
ę
w zbiorze dane jej dotycz
ą
ce, oraz
podania w powszechnie zrozumiałej formie tre
ś
ci tych danych,
4)
uzyskania informacji o
ź
ródle, z którego pochodz
ą
dane jej dotycz
ą
ce, chyba
ż
e
administrator danych jest zobowi
ą
zany do zachowania w tym zakresie w tajemnicy informacji
niejawnych lub zachowania tajemnicy zawodowej,
5)
uzyskania informacji o sposobie udost
ę
pniania danych, a w szczególno
ś
ci informacji o
odbiorcach lub kategoriach odbiorców, którym dane te s
ą
udost
ę
pniane,
5a) uzyskania informacji o przesłankach podj
ę
cia rozstrzygni
ę
cia, o którym mowa w
art. 26a ust. 2,
6)
żą
dania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego
lub stałego wstrzymania ich przetwarzania lub ich usuni
ę
cia, je
ż
eli s
ą
one niekompletne,
nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s
ą
ju
ż
zb
ę
dne do
realizacji celu, dla którego zostały zebrane,
7)
wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego,
umotywowanego
żą
dania zaprzestania przetwarzania jej danych ze wzgl
ę
du na jej
szczególn
ą
sytuacj
ę
,
8)
wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych
w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarza
ć
w celach
marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi
danych,
9)
wniesienia do administratora danych
żą
dania ponownego, indywidualnego
rozpatrzenia sprawy rozstrzygni
ę
tej z naruszeniem art. 26a ust. 1.
2.
W przypadku wniesienia
żą
dania, o którym mowa w ust. 1 pkt 7, administrator danych
zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zb
ę
dnej zwłoki przekazuje
żą
danie Generalnemu Inspektorowi, który wydaje stosown
ą
decyzj
ę
.
3.
W razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie
kwestionowanych danych jest niedopuszczalne. Administrator danych mo
ż
e jednak pozostawi
ć
w
zbiorze imi
ę
lub imiona i nazwisko osoby oraz numer PESEL lub adres wył
ą
cznie w celu unikni
ę
cia
ponownego wykorzystania danych tej osoby w celach obj
ę
tych sprzeciwem.
3a. W razie wniesienia
żą
dania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez
zb
ę
dnej zwłoki rozpatruje spraw
ę
albo przekazuje j
ą
wraz z uzasadnieniem swojego stanowiska
Generalnemu Inspektorowi, który wydaje stosown
ą
decyzj
ę
.
4.
Je
ż
eli dane s
ą
przetwarzane dla celów naukowych, dydaktycznych, historycznych,
statystycznych lub archiwalnych, administrator danych mo
ż
e odst
ą
pi
ć
od informowania osób o
przetwarzaniu ich danych w przypadkach, gdy poci
ą
gałoby to za sob
ą
nakłady niewspółmierne z
zamierzonym celem.
5.
Osoba zainteresowana mo
ż
e skorzysta
ć
z prawa do informacji, o których mowa w ust. 1 pkt
1-5, nie cz
ęś
ciej ni
ż
raz na 6 miesi
ę
cy.
Art. 33. 1. Na wniosek osoby, której dane dotycz
ą
, administrator danych jest obowi
ą
zany,
w terminie 30 dni, poinformowa
ć
o przysługuj
ą
cych jej prawach oraz udzieli
ć
, odno
ś
nie do jej
danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a.
2. Na wniosek osoby, której dane dotycz
ą
, informacji, o których mowa w ust. 1, udziela si
ę
na pi
ś
mie.
Art. 34. Administrator danych odmawia osobie, której dane dotycz
ą
, udzielenia informacji,
o których mowa w art. 32 ust. 1 pkt 1-5a, je
ż
eli spowodowałoby to:
1) ujawnienie wiadomo
ś
ci zawieraj
ą
cych informacje niejawne,
2) zagro
ż
enie dla obronno
ś
ci lub bezpiecze
ń
stwa pa
ń
stwa,
ż
ycia i zdrowia ludzi lub
bezpiecze
ń
stwa i porz
ą
dku publicznego,
3) zagro
ż
enie dla podstawowego interesu gospodarczego lub finansowego pa
ń
stwa,
11
4) istotne naruszenie dóbr osobistych osób, których dane dotycz
ą
, lub innych osób.
Art. 35. 1. W razie wykazania przez osob
ę
, której dane osobowe dotycz
ą
,
ż
e s
ą
one
niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s
ą
zb
ę
dne
do realizacji celu, dla którego zostały zebrane, administrator danych jest obowi
ą
zany, bez zb
ę
dnej
zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania
przetwarzania kwestionowanych danych lub ich usuni
ę
cia ze zbioru, chyba
ż
e dotyczy to danych
osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania okre
ś
laj
ą
odr
ę
bne ustawy.
2.
W razie niedopełnienia przez administratora danych obowi
ą
zku, o którym mowa w ust. 1,
osoba, której dane dotycz
ą
, mo
ż
e si
ę
zwróci
ć
do Generalnego Inspektora z wnioskiem o nakazanie
dopełnienia tego obowi
ą
zku.
3.
Administrator danych jest obowi
ą
zany poinformowa
ć
bez zb
ę
dnej zwłoki innych
administratorów, którym udost
ę
pnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu
danych.
Rozdział 5
Zabezpieczenie danych osobowych
Art. 36. 1. Administrator danych jest obowi
ą
zany zastosowa
ć
ś
rodki techniczne i organizacyjne
zapewniaj
ą
ce ochron
ę
przetwarzanych danych osobowych odpowiedni
ą
do zagro
ż
e
ń
oraz kategorii
danych obj
ę
tych ochron
ą
, a w szczególno
ś
ci powinien zabezpieczy
ć
dane przed ich udost
ę
pnieniem
osobom nieupowa
ż
nionym, zabraniem przez osob
ę
nieuprawnion
ą
, przetwarzaniem z naruszeniem
ustawy oraz zmian
ą
, utrat
ą
, uszkodzeniem lub zniszczeniem.
2.
Administrator danych prowadzi dokumentacj
ę
opisuj
ą
c
ą
sposób przetwarzania danych
oraz
ś
rodki, o których mowa w ust. 1.
3.
Administrator danych wyznacza administratora bezpiecze
ń
stwa informacji, nadzoruj
ą
cego
przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba
ż
e sam wykonuje te czynno
ś
ci.
Art. 37. Do przetwarzania danych mog
ą
by
ć
dopuszczone wył
ą
cznie osoby posiadaj
ą
ce
upowa
ż
nienie nadane przez administratora danych.
Art. 38. Administrator danych jest obowi
ą
zany zapewni
ć
kontrol
ę
nad tym, jakie dane
osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu s
ą
przekazywane.
Art. 39. 1. Administrator danych prowadzi ewidencj
ę
osób upowa
ż
nionych do ich
przetwarzania, która powinna zawiera
ć
:
1)
imi
ę
i nazwisko osoby upowa
ż
nionej,
2)
dat
ę
nadania i ustania oraz zakres upowa
ż
nienia do przetwarzania danych
osobowych,
3)
identyfikator, je
ż
eli dane s
ą
przetwarzane w systemie informatycznym.
2. Osoby, które zostały upowa
ż
nione do przetwarzania danych, s
ą
obowi
ą
zane zachowa
ć
w
tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Art. 39a. Minister wła
ś
ciwy do spraw administracji publicznej w porozumieniu z ministrem
wła
ś
ciwym do spraw informatyzacji okre
ś
li, w drodze rozporz
ą
dzenia, sposób prowadzenia i zakres
dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne,
jakim powinny odpowiada
ć
urz
ą
dzenia i systemy informatyczne słu
żą
ce do przetwarzania danych
osobowych, uwzgl
ę
dniaj
ą
c zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do
zagro
ż
e
ń
oraz kategorii danych obj
ę
tych ochron
ą
, a tak
ż
e wymagania w zakresie odnotowywania
udost
ę
pniania danych osobowych i bezpiecze
ń
stwa przetwarzanych danych.
12
Rozdział 6
Rejestracja zbiorów danych osobowych
Art. 40. Administrator danych jest obowi
ą
zany zgłosi
ć
zbiór danych do rejestracji Generalnemu
Inspektorowi, z wyj
ą
tkiem przypadków, o których mowa w art. 43 ust. 1.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawiera
ć
:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie administratora danych i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki
narodowej, je
ż
eli został mu nadany, oraz podstaw
ę
prawn
ą
upowa
ż
niaj
ą
c
ą
do
prowadzenia
zbioru,
a w
przypadku
powierzenia
przetwarzania
danych
podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa
w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca
zamieszkania,
1)
cel przetwarzania danych,
3a) opis kategorii osób, których dane dotycz
ą
, oraz zakres przetwarzanych danych,
4) sposób zbierania oraz udost
ę
pniania danych,
4a) informacj
ę
o odbiorcach lub kategoriach odbiorców, którym dane mog
ą
by
ć
przekazywane,
5) opis
ś
rodków technicznych i organizacyjnych zastosowanych w celach okre
ś
lonych w
art. 36-39,
6) informacj
ę
o sposobie wypełnienia warunków technicznych i organizacyjnych,
okre
ś
lonych w przepisach, o których mowa w art. 39a,
7) informacj
ę
dotycz
ą
c
ą
ewentualnego przekazywania danych do pa
ń
stwa trzeciego.
.
2. Administrator danych jest obowi
ą
zany zgłasza
ć
Generalnemu Inspektorowi ka
ż
d
ą
zmian
ę
informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w
zbiorze danych, z zastrze
ż
eniem ust. 3.
3. Je
ż
eli zmiana informacji, o której mowa w ust. 1 pkt 3a, dotyczy rozszerzenia
zakresu przetwarzanych danych o dane, o których mowa w art. 27 ust. 1, administrator
danych jest obowi
ą
zany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.
4. Do zgłaszania zmian stosuje si
ę
odpowiednio przepisy o rejestracji zbiorów danych.
Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych
osobowych. Rejestr powinien zawiera
ć
informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7.
2. Ka
ż
dy ma prawo przegl
ą
da
ć
rejestr, o którym mowa w ust. 1.
3. Na
żą
danie administratora danych mo
ż
e by
ć
wydane za
ś
wiadczenie o zarejestrowaniu
zgłoszonego przez niego zbioru danych, z zastrze
ż
eniem ust. 4.
4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1,
za
ś
wiadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.
Art. 43. 1. Z obowi
ą
zku rejestracji zbioru danych zwolnieni s
ą
administratorzy danych:
1) zawieraj
ą
cych informacje niejawne,
1a) które zostały uzyskane w wyniku czynno
ś
ci operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynno
ś
ci,
2) przetwarzanych przez wła
ś
ciwe organy dla potrzeb post
ę
powania s
ą
dowego oraz na
podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez wła
ś
ciwe organy na potrzeby udziału Rzeczypospolitej
Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
3)
dotycz
ą
cych osób nale
żą
cych do ko
ś
cioła lub innego zwi
ą
zku wyznaniowego, o
uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego ko
ś
cioła lub zwi
ą
zku
wyznaniowego,
13
4)
przetwarzanych w zwi
ą
zku z zatrudnieniem u nich,
ś
wiadczeniem im usług na
podstawie umów cywilnoprawnych, a tak
ż
e dotycz
ą
cych osób u nich zrzeszonych lub
ucz
ą
cych si
ę
,
5)
dotycz
ą
cych osób korzystaj
ą
cych z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego
rewidenta,
6)
tworzonych na podstawie przepisów dotycz
ą
cych wyborów do Sejmu, Senatu,
Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na
urz
ą
d Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz
dotycz
ą
cych referendum ogólnokrajowego i referendum lokalnego,
7)
dotycz
ą
cych osób pozbawionych wolno
ś
ci na podstawie ustawy, w zakresie
niezb
ę
dnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolno
ś
ci,
8)
przetwarzanych wył
ą
cznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczo
ś
ci finansowej,
9)
powszechnie dost
ę
pnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu
uko
ń
czenia szkoły wy
ż
szej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bie
żą
cych spraw
ż
ycia codziennego.
2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa
w ust. 1 pkt 1a, przetwarzanych przez Agencj
ę
Bezpiecze
ń
stwa Wewn
ę
trznego, Agencj
ę
Wywiadu,
Słu
ż
b
ę
Kontrwywiadu Wojskowego, Słu
ż
b
ę
Wywiadu Wojskowego oraz Centralne Biuro
Antykorupcyjne, Generalnemu Inspektorowi nie przysługuj
ą
uprawnienia okre
ś
lone w art. 12 pkt 2,
art. 14 pkt 1 i 3-5 oraz art. 15-18.
Art. 44. 1. Generalny Inspektor wydaje decyzj
ę
o odmowie rejestracji zbioru danych, je
ż
eli:
1)
nie zostały spełnione wymogi okre
ś
lone w art. 41 ust. 1,
2) przetwarzanie danych naruszałoby zasady okre
ś
lone w art. 23-28,
2)
urz
ą
dzenia i systemy informatyczne słu
żą
ce do przetwarzania zbioru danych
zgłoszonego do rejestracji nie spełniaj
ą
podstawowych warunków technicznych i
organizacyjnych, okre
ś
lonych w przepisach, o których mowa w art. 39a.
2. Odmawiaj
ą
c rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji
administracyjnej, nakazuje:
1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wył
ą
cznie
do ich przechowywania lub
2) zastosowanie innych
ś
rodków, o których mowa w art. 18 ust. 1.
3. (skre
ś
lony)
4.
Administrator danych mo
ż
e zgłosi
ć
ponownie zbiór danych do rejestracji po usuni
ę
ciu wad,
które były powodem odmowy rejestracji zbioru.
5.
W razie ponownego zgłoszenia zbioru do rejestracji administrator danych mo
ż
e rozpocz
ąć
ich
przetwarzanie po zarejestrowaniu zbioru.
Art. 44a. Wykre
ś
lenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze
decyzji administracyjnej, je
ż
eli:
1)
zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
2)
rejestracji dokonano z naruszeniem prawa.
Art. 45. (skre
ś
lony)
Art. 46. 1. Administrator danych mo
ż
e, z zastrze
ż
eniem ust. 2, rozpocz
ąć
ich przetwarzanie w
zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba
ż
e ustawa zwalnia go z
tego obowi
ą
zku.
14
2. Administrator danych, o których mowa w art. 27 ust. 1, mo
ż
e rozpocz
ąć
ich przetwarzanie w
zbiorze danych po zarejestrowaniu zbioru, chyba
ż
e ustawa zwalnia go z obowi
ą
zku zgłoszenia zbioru
do rejestracji.
Art. 46a. Minister wła
ś
ciwy do spraw administracji publicznej okre
ś
li, w drodze rozporz
ą
dzenia,
wzór zgłoszenia, o którym mowa w art. 41 ust. 1, uwzgl
ę
dniaj
ą
c obowi
ą
zek zamieszczenia informacji
niezb
ę
dnych do stwierdzenia zgodno
ś
ci przetwarzania danych z wymogami ustawy.
Rozdział 7
Przekazywanie danych osobowych do pa
ń
stwa trzeciego
Art. 47. 1. Przekazanie danych osobowych do pa
ń
stwa trzeciego mo
ż
e nast
ą
pi
ć
, je
ż
eli pa
ń
stwo
docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie
obowi
ą
zuj
ą
na terytorium Rzeczypospolitej Polskiej.
2. Przepisu ust. 1 nie stosuje si
ę
, gdy przesłanie danych osobowych wynika z obowi
ą
zku
nało
ż
onego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy
mi
ę
dzynarodowej.
3. Administrator danych mo
ż
e jednak przekaza
ć
dane osobowe do pa
ń
stwa trzeciego, je
ż
eli:
1)
osoba, której dane dotycz
ą
, udzieliła na to zgody na pi
ś
mie,
2)
przekazanie jest niezb
ę
dne do wykonania umowy pomi
ę
dzy administratorem danych
a osob
ą
, której dane dotycz
ą
, lub jest podejmowane na jej
ż
yczenie,
3)
przekazanie jest niezb
ę
dne do wykonania umowy zawartej w interesie osoby, której
dane dotycz
ą
, pomi
ę
dzy administratorem danych a innym podmiotem,
4)
przekazanie jest niezb
ę
dne ze wzgl
ę
du na dobro publiczne lub do wykazania
zasadno
ś
ci roszcze
ń
prawnych,
5)
przekazanie jest niezb
ę
dne do ochrony
ż
ywotnych interesów osoby, której dane
dotycz
ą
,
6)
dane s
ą
ogólnie dost
ę
pne.
Art. 48. W przypadkach innych ni
ż
wymienione w art. 47 ust. 2 i 3 przekazanie danych
osobowych do pa
ń
stwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej
takich, jakie obowi
ą
zuj
ą
na terytorium Rzeczypospolitej Polskiej, mo
ż
e nast
ą
pi
ć
po uzyskaniu zgody
Generalnego Inspektora, pod warunkiem
ż
e administrator danych zapewni odpowiednie
zabezpieczenia w zakresie ochrony prywatno
ś
ci oraz praw i wolno
ś
ci osoby, której dane dotycz
ą
.
Rozdział 8
Przepisy karne
Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho
ć
ich przetwarzanie nie jest
dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze
ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do lat 2.
2. Je
ż
eli czyn okre
ś
lony w ust. 1 dotyczy danych ujawniaj
ą
cych pochodzenie rasowe lub
etniczne, pogl
ą
dy polityczne, przekonania religijne lub filozoficzne, przynale
ż
no
ść
wyznaniow
ą
,
partyjn
ą
lub zwi
ą
zkow
ą
, danych o stanie zdrowia, kodzie genetycznym, nałogach lub
ż
yciu
seksualnym, sprawca podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do lat
3.
Art. 50. Kto administruj
ą
c zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z
celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci
do roku.
Art. 50 – uchylony z dniem 07 marca 2011 r.
15
Art. 51. 1. Kto administruj
ą
c zbiorem danych lub b
ę
d
ą
c obowi
ą
zany do ochrony danych
osobowych udost
ę
pnia je lub umo
ż
liwia dost
ę
p do nich osobom nieupowa
ż
nionym, podlega
grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do lat 2.
2. Je
ż
eli sprawca działa nieumy
ś
lnie, podlega grzywnie, karze ograniczenia wolno
ś
ci albo
pozbawienia wolno
ś
ci do roku.
Art. 52. Kto administruj
ą
c danymi narusza cho
ć
by nieumy
ś
lnie obowi
ą
zek zabezpieczenia ich
przed zabraniem przez osob
ę
nieuprawnion
ą
, uszkodzeniem lub zniszczeniem, podlega grzywnie,
karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do roku.
Art. 53. Kto b
ę
d
ą
c do tego obowi
ą
zany nie zgłasza do rejestracji zbioru danych, podlega
grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do roku.
Art. 54. Kto administruj
ą
c zbiorem danych nie dopełnia obowi
ą
zku poinformowania osoby,
której dane dotycz
ą
, o jej prawach lub przekazania tej osobie informacji umo
ż
liwiaj
ą
cych korzystanie
z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolno
ś
ci albo
pozbawienia wolno
ś
ci do roku.
Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynno
ś
ci kontrolnej,
podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do lat 2.
Rozdział 9
Zmiany w przepisach obowi
ą
zuj
ą
cych, przepisy przej
ś
ciowe
i ko
ń
cowe
Art. 55 - 60. (pomini
ę
te)
Art. 61. 1. Podmioty okre
ś
lone w art. 3, prowadz
ą
ce w dniu wej
ś
cia w
ż
ycie ustawy zbiory
danych osobowych w systemach informatycznych, maj
ą
obowi
ą
zek zło
ż
enia wniosków o
zarejestrowanie tych zbiorów w trybie okre
ś
lonym w art. 41, w terminie 18 miesi
ę
cy od dnia jej
wej
ś
cia w
ż
ycie, chyba
ż
e ustawa zwalnia ich z tego obowi
ą
zku.
2. Do czasu rejestracji zbioru danych osobowych w trybie okre
ś
lonym w art. 41, podmioty,
o których mowa w ust. 1, mog
ą
prowadzi
ć
te zbiory bez rejestracji.
Art. 62. Ustawa wchodzi w
ż
ycie po upływie 6 miesi
ę
cy od dnia ogłoszenia, z tym
ż
e:
1) art. 8-11, art. 13 i 45 wchodz
ą
w
ż
ycie po upływie 2 miesi
ę
cy od dnia ogłoszenia,
2) art. 55-59 wchodz
ą
w
ż
ycie po upływie 14 dni od dnia ogłoszenia.