Dz.U.02.101.926

2004-01-01

zm. Dz.U.02.153.1271

art.52

2004-03-01

zm. Dz.U.04.25.219

art.181

2004-05-01

zm. Dz.U.04.33.285

art.1

USTAWA

z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych.

(tekst jednolity)

Rozdział 1

Przepisy ogólne

Art. 1. 1. Ka

ż

dy ma prawo do ochrony dotycz

ą

cych go danych osobowych.

2. Przetwarzanie danych osobowych mo

ż

e mie

ć

miejsce ze wzgl

ę

du na dobro publiczne, dobro osoby, której

dane dotycz

ą

, lub dobro osób trzecich w zakresie i trybie okre

ś

lonym ustaw

ą

.

Art. 2. 1. Ustawa okre

ś

la zasady post

ę

powania przy przetwarzaniu danych osobowych oraz prawa osób

fizycznych, których dane osobowe s

ą

lub mog

ą

by

ć

przetwarzane w zbiorach danych.

2. Ustaw

ę

stosuje si

ę

do przetwarzania danych osobowych:

1) w kartotekach, skorowidzach, ksi

ę

gach, wykazach i w innych zbiorach ewidencyjnych,

2) w systemach informatycznych, tak

ż

e w przypadku przetwarzania danych poza zbiorem danych.

3. W odniesieniu do zbiorów danych osobowych sporz

ą

dzanych dora

ź

nie, wył

ą

cznie ze wzgl

ę

dów technicznych,

szkoleniowych lub w zwi

ą

zku z dydaktyk

ą

w szkołach wy

ż

szych, a po ich wykorzystaniu niezwłocznie usuwanych albo

poddanych anonimizacji, maj

ą

zastosowanie jedynie przepisy rozdziału 5.

Art. 3. 1. Ustaw

ę

stosuje si

ę

do organów pa

ń

stwowych, organów samorz

ą

du terytorialnego oraz do

pa

ń

stwowych i komunalnych jednostek organizacyjnych.

2. Ustaw

ę

stosuje si

ę

równie

ż

do:

1) podmiotów niepublicznych realizuj

ą

cych zadania publiczne,

2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych nieb

ę

d

ą

cych osobami prawnymi, je

ż

eli

przetwarzaj

ą

dane osobowe w zwi

ą

zku z działalno

ś

ci

ą

zarobkow

ą

, zawodow

ą

lub dla realizacji celów

statutowych

- które maj

ą

siedzib

ę

albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pa

ń

stwie trzecim, o

ile przetwarzaj

ą

dane osobowe przy wykorzystaniu

ś

rodków technicznych znajduj

ą

cych si

ę

na terytorium

Rzeczypospolitej Polskiej.

Art. 3a. 1. Ustawy nie stosuje si

ę

do:

1) osób fizycznych, które przetwarzaj

ą

dane wył

ą

cznie w celach osobistych lub domowych,

2) podmiotów maj

ą

cych siedzib

ę

lub miejsce zamieszkania w pa

ń

stwie trzecim, wykorzystuj

ą

cych

ś

rodki techniczne

znajduj

ą

ce si

ę

na terytorium Rzeczypospolitej Polskiej wył

ą

cznie do przekazywania danych.

2. Ustawy, z wyj

ą

tkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje si

ę

równie

ż

do prasowej działalno

ś

ci

dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z pó

ź

n. zm.)

oraz do działalno

ś

ci literackiej lub artystycznej, chyba

ż

e wolno

ść

wyra

ż

ania swoich pogl

ą

dów i rozpowszechniania

informacji istotnie narusza prawa i wolno

ś

ci osoby, której dane dotycz

ą

.

Art. 4. Przepisów ustawy nie stosuje si

ę

, je

ż

eli umowa mi

ę

dzynarodowa, której stron

ą

jest Rzeczpospolita

Polska, stanowi inaczej.

Art. 5. Je

ż

eli przepisy odr

ę

bnych ustaw, które odnosz

ą

si

ę

do przetwarzania danych, przewiduj

ą

dalej id

ą

c

ą

ich

ochron

ę

, ni

ż

wynika to z niniejszej ustawy, stosuje si

ę

przepisy tych ustaw.

Art. 6. 1. W rozumieniu ustawy za dane osobowe uwa

ż

a si

ę

wszelkie informacje dotycz

ą

ce zidentyfikowanej lub

mo

ż

liwej do zidentyfikowania osoby fizycznej.

2. Osob

ą

mo

ż

liw

ą

do zidentyfikowania jest osoba, której to

ż

samo

ść

mo

ż

na okre

ś

li

ć

bezpo

ś

rednio lub po

ś

rednio,

w szczególno

ś

ci przez powołanie si

ę

na numer identyfikacyjny albo jeden lub kilka specyficznych czynników

okre

ś

laj

ą

cych jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uwa

ż

a si

ę

za umo

ż

liwiaj

ą

c

ą

okre

ś

lenie to

ż

samo

ś

ci osoby, je

ż

eli wymagałoby to nadmiernych

kosztów, czasu lub działa

ń

.

Art. 7. Ilekro

ć

w ustawie jest mowa o:

1) zbiorze danych - rozumie si

ę

przez to ka

ż

dy posiadaj

ą

cy struktur

ę

zestaw danych o charakterze osobowym,

dost

ę

pnych według okre

ś

lonych kryteriów, niezale

ż

nie od tego, czy zestaw ten jest rozproszony lub podzielony

funkcjonalnie,

2) przetwarzaniu danych - rozumie si

ę

przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak

zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost

ę

pnianie i usuwanie, a zwłaszcza te,

które wykonuje si

ę

w systemach informatycznych,

2a) systemie informatycznym - rozumie si

ę

przez to zespół współpracuj

ą

cych ze sob

ą

urz

ą

dze

ń

, programów,

procedur przetwarzania informacji i narz

ę

dzi programowych zastosowanych w celu przetwarzania danych,

2b)zabezpieczeniu danych w systemie informatycznym - rozumie si

ę

przez to wdro

ż

enie i eksploatacj

ę

stosownych

ś

rodków technicznych i organizacyjnych zapewniaj

ą

cych ochron

ę

danych przed ich nieuprawnionym

przetwarzaniem,

3) usuwaniu danych - rozumie si

ę

przez to zniszczenie danych osobowych lub tak

ą

ich modyfikacj

ę

, która nie

pozwoli na ustalenie to

ż

samo

ś

ci osoby, której dane dotycz

ą

,

4) administratorze danych - rozumie si

ę

przez to organ, jednostk

ę

organizacyjn

ą

, podmiot lub osob

ę

, o których

mowa w art. 3, decyduj

ą

ce o celach i

ś

rodkach przetwarzania danych osobowych,

5) zgodzie osoby, której dane dotycz

ą

- rozumie si

ę

przez to o

ś

wiadczenie woli, którego tre

ś

ci

ą

jest zgoda na

przetwarzanie danych osobowych tego, kto składa o

ś

wiadczenie; zgoda nie mo

ż

e by

ć

domniemana lub

dorozumiana z o

ś

wiadczenia woli o innej tre

ś

ci,

6) odbiorcy danych - rozumie si

ę

przez to ka

ż

dego, komu udost

ę

pnia si

ę

dane osobowe, z wył

ą

czeniem:

a) osoby, której dane dotycz

ą

,

b) osoby upowa

ż

nionej do przetwarzania danych,

c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów pa

ń

stwowych lub organów samorz

ą

du terytorialnego, którym dane s

ą

udost

ę

pniane w zwi

ą

zku z

prowadzonym post

ę

powaniem,

7) pa

ń

stwie trzecim - rozumie si

ę

przez to pa

ń

stwo nienale

żą

ce do Europejskiego Obszaru Gospodarczego.

Rozdział 2

Organ ochrony danych osobowych

Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych

Osobowych, zwany dalej "Generalnym Inspektorem".

2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgod

ą

Senatu.

3. Na stanowisko Generalnego Inspektora mo

ż

e by

ć

powołany ten, kto ł

ą

cznie spełnia nast

ę

puj

ą

ce warunki:

1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
2) wyró

ż

nia si

ę

wysokim autorytetem moralnym,

3) posiada wy

ż

sze wykształcenie prawnicze oraz odpowiednie do

ś

wiadczenie zawodowe,

4) nie był karany za przest

ę

pstwo.

4. Generalny Inspektor w zakresie wykonywania swoich zada

ń

podlega tylko ustawie.

5. Kadencja Generalnego Inspektora trwa 4 lata, licz

ą

c od dnia zło

ż

enia

ś

lubowania. Po upływie kadencji

Generalny Inspektor pełni swoje obowi

ą

zki do czasu obj

ę

cia stanowiska przez nowego Generalnego Inspektora.

6. Ta sama osoba nie mo

ż

e by

ć

Generalnym Inspektorem wi

ę

cej ni

ż

przez dwie kadencje.

7. Kadencja Generalnego Inspektora wygasa z chwil

ą

jego

ś

mierci, odwołania lub utraty obywatelstwa

polskiego.

8. Sejm, za zgod

ą

Senatu, odwołuje Generalnego Inspektora, je

ż

eli:

1) zrzekł si

ę

stanowiska,

2) stał si

ę

trwale niezdolny do pełnienia obowi

ą

zków na skutek choroby,

3) sprzeniewierzył si

ę

zło

ż

onemu

ś

lubowaniu,

4) został skazany prawomocnym wyrokiem s

ą

du za popełnienie przest

ę

pstwa.

Art. 9. Przed przyst

ą

pieniem do wykonywania obowi

ą

zków Generalny Inspektor składa przed Sejmem

nast

ę

puj

ą

ce

ś

lubowanie:

"Obejmuj

ą

c stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczy

ś

cie

ś

lubuj

ę

dochowa

ć

wierno

ś

ci postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a

powierzone mi obowi

ą

zki wypełnia

ć

sumiennie i bezstronnie."

Ś

lubowanie mo

ż

e by

ć

zło

ż

one z dodaniem słów "Tak mi dopomó

ż

Bóg".

Art. 10. 1. Generalny Inspektor nie mo

ż

e zajmowa

ć

innego stanowiska, z wyj

ą

tkiem stanowiska profesora szkoły

wy

ż

szej, ani wykonywa

ć

innych zaj

ęć

zawodowych.

2. Generalny Inspektor nie mo

ż

e nale

ż

e

ć

do partii politycznej, zwi

ą

zku zawodowego ani prowadzi

ć

działalno

ś

ci

publicznej niedaj

ą

cej si

ę

pogodzi

ć

z godno

ś

ci

ą

jego urz

ę

du.

Art. 11. Generalny Inspektor nie mo

ż

e by

ć

bez uprzedniej zgody Sejmu poci

ą

gni

ę

ty do odpowiedzialno

ś

ci karnej

ani pozbawiony wolno

ś

ci. Generalny Inspektor nie mo

ż

e by

ć

zatrzymany lub aresztowany, z wyj

ą

tkiem uj

ę

cia go na

gor

ą

cym uczynku przest

ę

pstwa i je

ż

eli jego zatrzymanie jest niezb

ę

dne do zapewnienia prawidłowego toku

post

ę

powania. O zatrzymaniu niezwłocznie powiadamia si

ę

Marszałka Sejmu, który mo

ż

e nakaza

ć

natychmiastowe

zwolnienie zatrzymanego.

Art. 12. Do zada

ń

Generalnego Inspektora w szczególno

ś

ci nale

ż

y:

1) kontrola zgodno

ś

ci przetwarzania danych z przepisami o ochronie danych osobowych,

2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie

danych osobowych,

3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
4) opiniowanie projektów ustaw i rozporz

ą

dze

ń

dotycz

ą

cych ochrony danych osobowych,

5) inicjowanie i podejmowanie przedsi

ę

wzi

ęć

w zakresie doskonalenia ochrony danych osobowych,

6) uczestniczenie w pracach mi

ę

dzynarodowych organizacji i instytucji zajmuj

ą

cych si

ę

problematyk

ą

ochrony

danych osobowych.

Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu mo

ż

e powoła

ć

zast

ę

pc

ę

Generalnego

Inspektora. Odwołanie zast

ę

pcy Generalnego Inspektora nast

ę

puje w tym samym trybie.

2. Generalny Inspektor okre

ś

la zakres zada

ń

swojego zast

ę

pcy.

3. Zast

ę

pca Generalnego Inspektora powinien spełnia

ć

wymogi okre

ś

lone w art. 8 ust. 3 pkt 1, 2 i 4 oraz

posiada

ć

wy

ż

sze wykształcenie i odpowiednie do

ś

wiadczenie zawodowe.

Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony

Danych Osobowych, zwanego dalej Biurem.

2. (uchylony).
3. Organizacj

ę

oraz zasady działania Biura okre

ś

la statut nadany, w drodze rozporz

ą

dzenia, przez Prezydenta

Rzeczypospolitej Polskiej.

Art. 14. W celu wykonania zada

ń

, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zast

ę

pca

Generalnego Inspektora lub upowa

ż

nieni przez niego pracownicy Biura, zwani dalej "inspektorami", maj

ą

prawo:

1) wst

ę

pu, w godzinach od 6

00

do 22

00

, za okazaniem imiennego upowa

ż

nienia i legitymacji słu

ż

bowej, do

pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane s

ą

dane

poza zbiorem danych, i przeprowadzenia niezb

ę

dnych bada

ń

lub innych czynno

ś

ci kontrolnych w celu oceny

zgodno

ś

ci przetwarzania danych z ustaw

ą

,

2)

żą

da

ć

zło

ż

enia pisemnych lub ustnych wyja

ś

nie

ń

oraz wzywa

ć

i przesłuchiwa

ć

osoby w zakresie niezb

ę

dnym do

ustalenia stanu faktycznego,

3) wgl

ą

du do wszelkich dokumentów i wszelkich danych maj

ą

cych bezpo

ś

redni zwi

ą

zek z przedmiotem kontroli

oraz sporz

ą

dzania ich kopii,

4) przeprowadzania ogl

ę

dzin urz

ą

dze

ń

, no

ś

ników oraz systemów informatycznych słu

żą

cych do przetwarzania

danych,

5) zleca

ć

sporz

ą

dzanie ekspertyz i opinii.

Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna b

ę

d

ą

ca

administratorem danych osobowych s

ą

obowi

ą

zani umo

ż

liwi

ć

inspektorowi przeprowadzenie kontroli, a w

szczególno

ś

ci umo

ż

liwi

ć

przeprowadzenie czynno

ś

ci oraz spełni

ć

żą

dania, o których mowa w art. 14 pkt 1-4.

2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzaj

ą

cy kontrol

ę

ma

prawo wgl

ą

du do zbioru zawieraj

ą

cego dane osobowe jedynie za po

ś

rednictwem upowa

ż

nionego przedstawiciela

kontrolowanej jednostki organizacyjnej.

Art. 16. 1. Z czynno

ś

ci kontrolnych inspektor sporz

ą

dza protokół, którego jeden egzemplarz dor

ę

cza

kontrolowanemu administratorowi danych.

2. Protokół podpisuj

ą

inspektor i kontrolowany administrator danych, który mo

ż

e wnie

ść

do protokołu

umotywowane zastrze

ż

enia i uwagi.

3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym

wzmiank

ę

w protokole, a odmawiaj

ą

cy podpisu mo

ż

e, w terminie 7 dni, przedstawi

ć

swoje stanowisko na pi

ś

mie

Generalnemu Inspektorowi.

Art. 17. 1. Je

ż

eli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych

osobowych, wyst

ę

puje do Generalnego Inspektora o zastosowanie

ś

rodków, o których mowa w art. 18.

2. Na podstawie ustale

ń

kontroli inspektor mo

ż

e

żą

da

ć

wszcz

ę

cia post

ę

powania dyscyplinarnego lub innego

przewidzianego prawem post

ę

powania przeciwko osobom winnym dopuszczenia do uchybie

ń

i poinformowania go, w

okre

ś

lonym terminie, o wynikach tego post

ę

powania i podj

ę

tych działaniach.

Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urz

ę

du lub

na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z
prawem, a w szczególno

ś

ci:

1) usuni

ę

cie uchybie

ń

,

2) uzupełnienie, uaktualnienie, sprostowanie, udost

ę

pnienie lub nieudost

ę

pnienie danych osobowych,

3) zastosowanie dodatkowych

ś

rodków zabezpieczaj

ą

cych zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do pa

ń

stwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usuni

ę

cie danych osobowych.

2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mog

ą

ogranicza

ć

swobody działania

podmiotów zgłaszaj

ą

cych kandydatów lub listy kandydatów w wyborach na urz

ą

d Prezydenta Rzeczypospolitej

Polskiej, do Sejmu, do Senatu i do organów samorz

ą

du terytorialnego, a tak

ż

e w wyborach do Parlamentu

Europejskiego, pomi

ę

dzy dniem zarz

ą

dzenia wyborów a dniem głosowania.

2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów okre

ś

lonych w art. 43

ust. 1 pkt 1a, nie mog

ą

nakazywa

ć

usuni

ę

cia danych osobowych zebranych w toku czynno

ś

ci operacyjno-

rozpoznawczych prowadzonych na podstawie przepisów prawa.

3. W przypadku gdy przepisy innych ustaw reguluj

ą

odr

ę

bnie wykonywanie czynno

ś

ci, o których mowa w ust. 1,

stosuje si

ę

przepisy tych ustaw.

Art. 19. W razie stwierdzenia,

ż

e działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika

lub innej osoby fizycznej b

ę

d

ą

cej administratorem danych wyczerpuje znamiona przest

ę

pstwa okre

ś

lonego w ustawie,

Generalny Inspektor kieruje do organu powołanego do

ś

cigania przest

ę

pstw zawiadomienie o popełnieniu

przest

ę

pstwa, doł

ą

czaj

ą

c dowody dokumentuj

ą

ce podejrzenie.

Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalno

ś

ci wraz z wnioskami

wynikaj

ą

cymi ze stanu przestrzegania przepisów o ochronie danych osobowych.

Art. 21. 1. Strona mo

ż

e zwróci

ć

si

ę

do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.

2. Na decyzj

ę

Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie

przysługuje skarga do s

ą

du administracyjnego.

Art. 22. Post

ę

powanie w sprawach uregulowanych w niniejszej ustawie prowadzi si

ę

według przepisów Kodeksu

post

ę

powania administracyjnego, o ile przepisy ustawy nie stanowi

ą

inaczej.

Art. 22a. Minister wła

ś

ciwy do spraw administracji publicznej okre

ś

li, w drodze rozporz

ą

dzenia, wzór

upowa

ż

nienia i legitymacji słu

ż

bowej, o których mowa w art. 14 pkt 1, uwzgl

ę

dniaj

ą

c konieczno

ść

imiennego

wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.

Rozdział 3

Zasady przetwarzania danych osobowych

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotycz

ą

, wyrazi na to zgod

ę

, chyba

ż

e chodzi o usuni

ę

cie dotycz

ą

cych jej danych,

komentarze

2) jest to niezb

ę

dne dla zrealizowania uprawnienia lub spełnienia obowi

ą

zku wynikaj

ą

cego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotycz

ą

, jest jej stron

ą

lub gdy jest to niezb

ę

dne

do podj

ę

cia działa

ń

przed zawarciem umowy na

żą

danie osoby, której dane dotycz

ą

,

4) jest niezb

ę

dne do wykonania okre

ś

lonych prawem zada

ń

realizowanych dla dobra publicznego,

komentarze

5) jest to niezb

ę

dne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów

danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolno

ś

ci osoby, której dane dotycz

ą

.

2. Zgoda, o której mowa w ust. 1 pkt 1, mo

ż

e obejmowa

ć

równie

ż

przetwarzanie danych w przyszło

ś

ci, je

ż

eli nie

zmienia si

ę

cel przetwarzania.

3. Je

ż

eli przetwarzanie danych jest niezb

ę

dne dla ochrony

ż

ywotnych interesów osoby, której dane dotycz

ą

, a

spełnienie warunku okre

ś

lonego w ust. 1 pkt 1 jest niemo

ż

liwe, mo

ż

na przetwarza

ć

dane bez zgody tej osoby, do

czasu, gdy uzyskanie zgody b

ę

dzie mo

ż

liwe.

4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uwa

ż

a si

ę

w szczególno

ś

ci:

1) marketing bezpo

ś

redni własnych produktów lub usług administratora danych,

2) dochodzenie roszcze

ń

z tytułu prowadzonej działalno

ś

ci gospodarczej.

Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotycz

ą

, administrator danych jest

obowi

ą

zany poinformowa

ć

t

ę

osob

ę

o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o

miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególno

ś

ci o znanych mu w czasie udzielania informacji lub przewidywanych

odbiorcach lub kategoriach odbiorców danych,

3) prawie dost

ę

pu do tre

ś

ci swoich danych oraz ich poprawiania,

4) dobrowolno

ś

ci albo obowi

ą

zku podania danych, a je

ż

eli taki obowi

ą

zek istnieje, o jego podstawie prawnej.

2. Przepisu ust. 1 nie stosuje si

ę

, je

ż

eli:

1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
2) osoba, której dane dotycz

ą

, posiada informacje, o których mowa w ust. 1.

Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotycz

ą

, administrator danych

jest obowi

ą

zany poinformowa

ć

t

ę

osob

ę

, bezpo

ś

rednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o

miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu i zakresie zbierania danych, a w szczególno

ś

ci o odbiorcach lub kategoriach odbiorców danych,

3)

ź

ródle danych,

4) prawie dost

ę

pu do tre

ś

ci swoich danych oraz ich poprawiania,

5) o uprawnieniach wynikaj

ą

cych z art. 32 ust. 1 pkt 7 i 8.

2. Przepisu ust. 1 nie stosuje si

ę

, je

ż

eli:

1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane

dotycz

ą

,

2) (uchylony),
3) dane te s

ą

niezb

ę

dne do bada

ń

naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii

publicznej, ich przetwarzanie nie narusza praw lub wolno

ś

ci osoby, której dane dotycz

ą

, a spełnienie wymaga

ń

okre

ś

lonych w ust. 1 wymagałoby nadmiernych nakładów lub zagra

ż

ałoby realizacji celu badania,

4) (uchylony),
5) dane s

ą

przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów

prawa,

6) osoba, której dane dotycz

ą

, posiada informacje, o których mowa w ust. 1.

Art. 26. 1. Administrator danych przetwarzaj

ą

cy dane powinien doło

ż

y

ć

szczególnej staranno

ś

ci w celu ochrony

interesów osób, których dane dotycz

ą

, a w szczególno

ś

ci jest obowi

ą

zany zapewni

ć

, aby dane te były:

1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z

tymi celami, z zastrze

ż

eniem ust. 2,

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich s

ą

przetwarzane,

4) przechowywane w postaci umo

ż

liwiaj

ą

cej identyfikacj

ę

osób, których dotycz

ą

, nie dłu

ż

ej ni

ż

jest to niezb

ę

dne do

osi

ą

gni

ę

cia celu przetwarzania.

2. Przetwarzanie danych w celu innym ni

ż

ten, dla którego zostały zebrane, jest dopuszczalne, je

ż

eli nie narusza

praw i wolno

ś

ci osoby, której dane dotycz

ą

, oraz nast

ę

puje:

1) w celach bada

ń

naukowych, dydaktycznych, historycznych lub statystycznych,

2) z zachowaniem przepisów art. 23 i 25.

Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygni

ę

cie indywidualnej sprawy osoby, której dane dotycz

ą

,

je

ż

eli jego tre

ść

jest wył

ą

cznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.

2. Przepisu ust. 1 nie stosuje si

ę

, je

ż

eli rozstrzygni

ę

cie zostało podj

ę

te podczas zawierania lub wykonywania

umowy i uwzgl

ę

dnia wniosek osoby, której dane dotycz

ą

.

Art. 27. 1. Zabrania si

ę

przetwarzania danych ujawniaj

ą

cych pochodzenie rasowe lub etniczne, pogl

ą

dy

polityczne, przekonania religijne lub filozoficzne, przynale

ż

no

ść

wyznaniow

ą

, partyjn

ą

lub zwi

ą

zkow

ą

, jak równie

ż

danych o stanie zdrowia, kodzie genetycznym, nałogach lub

ż

yciu seksualnym oraz danych dotycz

ą

cych skaza

ń

,

orzecze

ń

o ukaraniu i mandatów karnych, a tak

ż

e innych orzecze

ń

wydanych w post

ę

powaniu s

ą

dowym lub

administracyjnym.

2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, je

ż

eli:

1) osoba, której dane dotycz

ą

, wyrazi na to zgod

ę

na pi

ś

mie, chyba

ż

e chodzi o usuni

ę

cie dotycz

ą

cych jej danych,

2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotycz

ą

,

i stwarza pełne gwarancje ich ochrony,

3) przetwarzanie takich danych jest niezb

ę

dne do ochrony

ż

ywotnych interesów osoby, której dane dotycz

ą

, lub

innej osoby, gdy osoba, której dane dotycz

ą

, nie jest fizycznie lub prawnie zdolna do wyra

ż

enia zgody, do czasu

ustanowienia opiekuna prawnego lub kuratora,

4) jest to niezb

ę

dne do wykonania statutowych zada

ń

ko

ś

ciołów i innych zwi

ą

zków wyznaniowych, stowarzysze

ń

,

fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych,
filozoficznych lub zwi

ą

zkowych, pod warunkiem,

ż

e przetwarzanie danych dotyczy wył

ą

cznie członków tych

organizacji lub instytucji albo osób utrzymuj

ą

cych z nimi stałe kontakty w zwi

ą

zku z ich działalno

ś

ci

ą

i

zapewnione s

ą

pełne gwarancje ochrony przetwarzanych danych,

5) przetwarzanie dotyczy danych, które s

ą

niezb

ę

dne do dochodzenia praw przed s

ą

dem,

6) przetwarzanie jest niezb

ę

dne do wykonania zada

ń

administratora danych odnosz

ą

cych si

ę

do zatrudnienia

pracowników i innych osób, a zakres przetwarzanych danych jest okre

ś

lony w ustawie,

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,

ś

wiadczenia usług medycznych lub leczenia

pacjentów przez osoby trudni

ą

ce si

ę

zawodowo leczeniem lub

ś

wiadczeniem innych usług medycznych,

zarz

ą

dzania udzielaniem usług medycznych i s

ą

stworzone pełne gwarancje ochrony danych osobowych,

8) przetwarzanie dotyczy danych, które zostały podane do wiadomo

ś

ci publicznej przez osob

ę

, której dane

dotycz

ą

,

9) jest to niezb

ę

dne do prowadzenia bada

ń

naukowych, w tym do przygotowania rozprawy wymaganej do

uzyskania dyplomu uko

ń

czenia szkoły wy

ż

szej lub stopnia naukowego; publikowanie wyników bada

ń

naukowych

nie mo

ż

e nast

ę

powa

ć

w sposób umo

ż

liwiaj

ą

cy identyfikacj

ę

osób, których dane zostały przetworzone,

10)przetwarzanie danych jest prowadzone przez stron

ę

w celu realizacji praw i obowi

ą

zków wynikaj

ą

cych z

orzeczenia wydanego w post

ę

powaniu s

ą

dowym lub administracyjnym.

Art. 28. 1. (skre

ś

lony).

2. Numery porz

ą

dkowe stosowane w ewidencji ludno

ś

ci mog

ą

zawiera

ć

tylko oznaczenie płci, daty urodzenia,

numer nadania oraz liczb

ę

kontroln

ą

.

3. Zabronione jest nadawanie ukrytych znacze

ń

elementom numerów porz

ą

dkowych w systemach

ewidencjonuj

ą

cych osoby fizyczne.

Art. 29. 1. W przypadku udost

ę

pniania danych osobowych w celach innych ni

ż

wł

ą

czenie do zbioru,

administrator danych udost

ę

pnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania

na mocy przepisów prawa.

2. Dane osobowe, z wył

ą

czeniem danych, o których mowa w art. 27 ust. 1, mog

ą

by

ć

tak

ż

e udost

ę

pnione w

celach innych ni

ż

wł

ą

czenie do zbioru, innym osobom i podmiotom ni

ż

wymienione w ust. 1, je

ż

eli w sposób

wiarygodny uzasadni

ą

potrzeb

ę

posiadania tych danych, a ich udost

ę

pnienie nie naruszy praw i wolno

ś

ci osób,

których dane dotycz

ą

.

3. Dane osobowe udost

ę

pnia si

ę

na pisemny, umotywowany wniosek, chyba

ż

e przepis innej ustawy stanowi

inaczej. Wniosek powinien zawiera

ć

informacje umo

ż

liwiaj

ą

ce wyszukanie w zbiorze

żą

danych danych osobowych

oraz wskazywa

ć

ich zakres i przeznaczenie.

4. Udost

ę

pnione dane osobowe mo

ż

na wykorzysta

ć

wył

ą

cznie zgodnie z przeznaczeniem, dla którego zostały

udost

ę

pnione.

Art. 30. Administrator danych odmawia udost

ę

pnienia danych osobowych ze zbioru danych podmiotom i

osobom innym ni

ż

wymienione w art. 29 ust. 1, je

ż

eli spowodowałoby to:

1) ujawnienie wiadomo

ś

ci stanowi

ą

cych tajemnic

ę

pa

ń

stwow

ą

,

2) zagro

ż

enie dla obronno

ś

ci lub bezpiecze

ń

stwa pa

ń

stwa,

ż

ycia i zdrowia ludzi lub bezpiecze

ń

stwa i porz

ą

dku

publicznego,

3) zagro

ż

enie dla podstawowego interesu gospodarczego lub finansowego pa

ń

stwa,

4) istotne naruszenie dóbr osobistych osób, których dane dotycz

ą

, lub innych osób.

Art. 31. 1. Administrator danych mo

ż

e powierzy

ć

innemu podmiotowi, w drodze umowy zawartej na pi

ś

mie,

przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, mo

ż

e przetwarza

ć

dane wył

ą

cznie w zakresie i celu przewidzianym w

umowie.

3. Podmiot, o którym mowa w ust. 1, jest obowi

ą

zany przed rozpocz

ę

ciem przetwarzania danych podj

ąć

ś

rodki

zabezpieczaj

ą

ce zbiór danych, o których mowa w art. 36-39, oraz spełni

ć

wymagania okre

ś

lone w przepisach, o

których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialno

ść

jak

administrator danych.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialno

ść

za przestrzeganie przepisów niniejszej ustawy

spoczywa na administratorze danych, co nie wył

ą

cza odpowiedzialno

ś

ci podmiotu, który zawarł umow

ę

, za

przetwarzanie danych niezgodnie z t

ą

umow

ą

.

5. Do kontroli zgodno

ś

ci przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie

danych osobowych stosuje si

ę

odpowiednio przepisy art. 14-19.

Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty maj

ą

ce siedzib

ę

albo miejsce

zamieszkania w pa

ń

stwie trzecim, administrator danych jest obowi

ą

zany wyznaczy

ć

swojego przedstawiciela w

Rzeczypospolitej Polskiej.

Rozdział 4

Prawa osoby, której dane dotycz

ą

Art. 32. 1. Ka

ż

dej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotycz

ą

, zawartych w

zbiorach danych, a zwłaszcza prawo do:
1) uzyskania wyczerpuj

ą

cej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego

siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca
zamieszkania oraz imienia i nazwiska,

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
3) uzyskania informacji, od kiedy przetwarza si

ę

w zbiorze dane jej dotycz

ą

ce, oraz podania w powszechnie

zrozumiałej formie tre

ś

ci tych danych,

4) uzyskania informacji o

ź

ródle, z którego pochodz

ą

dane jej dotycz

ą

ce, chyba

ż

e administrator danych jest

zobowi

ą

zany do zachowania w tym zakresie tajemnicy pa

ń

stwowej, słu

ż

bowej lub zawodowej,

5) uzyskania informacji o sposobie udost

ę

pniania danych, a w szczególno

ś

ci informacji o odbiorcach lub

kategoriach odbiorców, którym dane te s

ą

udost

ę

pniane,

5a)

uzyskania informacji o przesłankach podj

ę

cia rozstrzygni

ę

cia, o którym mowa w art. 26a ust. 2,

6)

żą

dania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich

przetwarzania lub ich usuni

ę

cia, je

ż

eli s

ą

one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z

naruszeniem ustawy albo s

ą

ju

ż

zb

ę

dne do realizacji celu, dla którego zostały zebrane,

7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego

żą

dania

zaprzestania przetwarzania jej danych ze wzgl

ę

du na jej szczególn

ą

sytuacj

ę

,

8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5,

gdy administrator danych zamierza je przetwarza

ć

w celach marketingowych lub wobec przekazywania jej

danych osobowych innemu administratorowi danych,

9) wniesienia do administratora danych

żą

dania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygni

ę

tej z

naruszeniem art. 26a ust. 1.

2. W przypadku wniesienia

żą

dania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje

przetwarzania kwestionowanych danych osobowych albo bez zb

ę

dnej zwłoki przekazuje

żą

danie Generalnemu

Inspektorowi, który wydaje stosown

ą

decyzj

ę

.

3. W razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych

jest niedopuszczalne. Administrator danych mo

ż

e jednak pozostawi

ć

w zbiorze imi

ę

lub imiona i nazwisko osoby oraz

numer PESEL lub adres wył

ą

cznie w celu unikni

ę

cia ponownego wykorzystania danych tej osoby w celach obj

ę

tych

sprzeciwem.

3a. W razie wniesienia

żą

dania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zb

ę

dnej zwłoki

rozpatruje spraw

ę

albo przekazuje j

ą

wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który

wydaje stosown

ą

decyzj

ę

.

4. Je

ż

eli dane s

ą

przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub

archiwalnych, administrator danych mo

ż

e odst

ą

pi

ć

od informowania osób o przetwarzaniu ich danych w przypadkach,

gdy poci

ą

gałoby to za sob

ą

nakłady niewspółmierne z zamierzonym celem.

5. Osoba zainteresowana mo

ż

e skorzysta

ć

z prawa do informacji, o których mowa w ust. 1 pkt 1-5, nie cz

ęś

ciej

ni

ż

raz na 6 miesi

ę

cy.

Art. 33. 1. Na wniosek osoby, której dane dotycz

ą

, administrator danych jest obowi

ą

zany, w terminie 30 dni,

poinformowa

ć

o przysługuj

ą

cych jej prawach oraz udzieli

ć

, odno

ś

nie jej danych osobowych, informacji, o których

mowa w art. 32 ust. 1 pkt 1-5a, a w szczególno

ś

ci poda

ć

w formie zrozumiałej:

1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,

3) w jakim celu i zakresie dane s

ą

przetwarzane,

4) w jakim zakresie oraz komu dane zostały udost

ę

pnione.

2. Na wniosek osoby, której dane dotycz

ą

, informacji, o których mowa w ust. 1, udziela si

ę

na pi

ś

mie.

Art. 34. W sprawach informowania i udost

ę

pniania danych osobie, której dane dotycz

ą

, stosuje si

ę

przepisy art.

30.

Art. 35. 1. W razie wykazania przez osob

ę

, której dane osobowe dotycz

ą

,

ż

e s

ą

one niekompletne, nieaktualne,

nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s

ą

zb

ę

dne do realizacji celu, dla którego zostały

zebrane, administrator danych jest obowi

ą

zany, bez zb

ę

dnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania

danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usuni

ę

cia ze zbioru,

chyba

ż

e dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub

sprostowania okre

ś

laj

ą

odr

ę

bne ustawy.

2. W razie niedopełnienia przez administratora danych obowi

ą

zku, o którym mowa w ust. 1, osoba, której dane

dotycz

ą

, mo

ż

e si

ę

zwróci

ć

do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowi

ą

zku.

3. Administrator danych jest obowi

ą

zany poinformowa

ć

bez zb

ę

dnej zwłoki innych administratorów, którym

udost

ę

pnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

Rozdział 5

(30)

Zabezpieczenie danych osobowych

Art. 36. 1. Administrator danych jest obowi

ą

zany zastosowa

ć

ś

rodki techniczne i organizacyjne zapewniaj

ą

ce

ochron

ę

przetwarzanych danych osobowych odpowiedni

ą

do zagro

ż

e

ń

oraz kategorii danych obj

ę

tych ochron

ą

, a w

szczególno

ś

ci powinien zabezpieczy

ć

dane przed ich udost

ę

pnieniem osobom nieupowa

ż

nionym, zabraniem przez

osob

ę

nieuprawnion

ą

, przetwarzaniem z naruszeniem ustawy oraz zmian

ą

, utrat

ą

, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentacj

ę

opisuj

ą

c

ą

sposób przetwarzania danych oraz

ś

rodki, o których

mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpiecze

ń

stwa informacji, nadzoruj

ą

cego przestrzeganie

zasad ochrony, o których mowa w ust. 1, chyba

ż

e sam wykonuje te czynno

ś

ci.

Art. 37. Do przetwarzania danych mog

ą

by

ć

dopuszczone wył

ą

cznie osoby posiadaj

ą

ce upowa

ż

nienie nadane

przez administratora danych.

Art. 38. Administrator danych jest obowi

ą

zany zapewni

ć

kontrol

ę

nad tym, jakie dane osobowe, kiedy i przez

kogo zostały do zbioru wprowadzone oraz komu s

ą

przekazywane.

Art. 39. 1. Administrator danych prowadzi ewidencj

ę

osób upowa

ż

nionych do ich przetwarzania, która powinna

zawiera

ć

:

1) imi

ę

i nazwisko osoby upowa

ż

nionej,

2) dat

ę

nadania i ustania oraz zakres upowa

ż

nienia do przetwarzania danych osobowych,

3) identyfikator, je

ż

eli dane s

ą

przetwarzane w systemie informatycznym.

2. Osoby, które zostały upowa

ż

nione do przetwarzania danych, s

ą

obowi

ą

zane zachowa

ć

w tajemnicy te dane

osobowe oraz sposoby ich zabezpieczenia.

Art. 39a. Minister wła

ś

ciwy do spraw administracji publicznej w porozumieniu z ministrem wła

ś

ciwym do spraw

informatyzacji okre

ś

li, w drodze rozporz

ą

dzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36

ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada

ć

urz

ą

dzenia i systemy

informatyczne słu

żą

ce do przetwarzania danych osobowych, uwzgl

ę

dniaj

ą

c zapewnienie ochrony przetwarzanych

danych osobowych odpowiedniej do zagro

ż

e

ń

oraz kategorii danych obj

ę

tych ochron

ą

, a tak

ż

e wymagania w zakresie

odnotowywania udost

ę

pniania danych osobowych i bezpiecze

ń

stwa przetwarzanych danych.

Rozdział 6

Rejestracja zbiorów danych osobowych

Art. 40. Administrator danych jest obowi

ą

zany zgłosi

ć

zbiór danych do rejestracji Generalnemu Inspektorowi, z

wyj

ą

tkiem przypadków, o których mowa w art. 43 ust. 1.

Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawiera

ć

:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie podmiotu prowadz

ą

cego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer

identyfikacyjny rejestru podmiotów gospodarki narodowej, je

ż

eli został mu nadany, oraz podstaw

ę

prawn

ą

upowa

ż

niaj

ą

c

ą

do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego

podmiotu i adres jego siedziby lub miejsce zamieszkania,

3) cel przetwarzania danych,
3a)

opis kategorii osób, których dane dotycz

ą

, oraz zakres przetwarzanych danych,

4) sposób zbierania oraz udost

ę

pniania danych,

4a) informacj

ę

o odbiorcach lub kategoriach odbiorców, którym dane mog

ą

by

ć

przekazywane,

5) opis

ś

rodków technicznych i organizacyjnych zastosowanych w celach okre

ś

lonych w art. 36-39,

6) informacj

ę

o sposobie wypełnienia warunków technicznych i organizacyjnych, okre

ś

lonych w przepisach, o

których mowa w art. 39a,

7) informacj

ę

dotycz

ą

c

ą

ewentualnego przekazywania danych do pa

ń

stwa trzeciego.

2. Administrator danych jest obowi

ą

zany zgłasza

ć

Generalnemu Inspektorowi ka

ż

d

ą

zmian

ę

informacji, o której

mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje si

ę

odpowiednio przepisy o rejestracji zbiorów danych.

Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr

powinien zawiera

ć

informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7.

2. Ka

ż

dy ma prawo przegl

ą

da

ć

rejestr, o którym mowa w ust. 1.

3. Na

żą

danie administratora danych mo

ż

e by

ć

wydane za

ś

wiadczenie o zarejestrowaniu zgłoszonego przez

niego zbioru danych, z zastrze

ż

eniem ust. 4.

4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1, za

ś

wiadczenie o

zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.

Art. 43. 1. Z obowi

ą

zku rejestracji zbioru danych zwolnieni s

ą

administratorzy danych:

1) obj

ę

tych tajemnic

ą

pa

ń

stwow

ą

ze wzgl

ę

du na obronno

ść

lub bezpiecze

ń

stwo pa

ń

stwa, ochron

ę

ż

ycia i zdrowia

ludzi, mienia lub bezpiecze

ń

stwa i porz

ą

dku publicznego,

1a) które zostały uzyskane w wyniku czynno

ś

ci operacyjno-rozpoznawczych przez funkcjonariuszy organów

uprawnionych do tych czynno

ś

ci,

2) przetwarzanych przez wła

ś

ciwe organy dla potrzeb post

ę

powania s

ą

dowego oraz na podstawie przepisów o

Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
3) dotycz

ą

cych osób nale

żą

cych do ko

ś

cioła lub innego zwi

ą

zku wyznaniowego, o uregulowanej sytuacji prawnej,

przetwarzanych na potrzeby tego ko

ś

cioła lub zwi

ą

zku wyznaniowego,

4) przetwarzanych w zwi

ą

zku z zatrudnieniem u nich,

ś

wiadczeniem im usług na podstawie umów

cywilnoprawnych, a tak

ż

e dotycz

ą

cych osób u nich zrzeszonych lub ucz

ą

cych si

ę

,

5) dotycz

ą

cych osób korzystaj

ą

cych z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego,

rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotycz

ą

cych wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad

gmin, rad powiatów i sejmików województw, wyborów na urz

ą

d Prezydenta Rzeczypospolitej Polskiej, na wójta,

burmistrza, prezydenta miasta oraz dotycz

ą

cych referendum ogólnokrajowego i referendum lokalnego,

7) dotycz

ą

cych osób pozbawionych wolno

ś

ci na podstawie ustawy, w zakresie niezb

ę

dnym do wykonania

tymczasowego aresztowania lub kary pozbawienia wolno

ś

ci,

8) przetwarzanych wył

ą

cznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczo

ś

ci finansowej,

9) powszechnie dost

ę

pnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu uko

ń

czenia szkoły wy

ż

szej

lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bie

żą

cych spraw

ż

ycia codziennego.

2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a,

przetwarzanych przez Agencj

ę

Bezpiecze

ń

stwa Wewn

ę

trznego, Agencj

ę

Wywiadu oraz Wojskowe Słu

ż

by

Informacyjne, Generalnemu Inspektorowi nie przysługuj

ą

uprawnienia okre

ś

lone w art. 12 pkt 2, art. 14 pkt 1, 3-5 oraz

w art. 15-18.

Art. 44. 1. Generalny Inspektor wydaje decyzj

ę

o odmowie rejestracji zbioru danych, je

ż

eli:

1) nie zostały spełnione wymogi okre

ś

lone w art. 41 ust. 1,

2) przetwarzanie danych naruszałoby zasady okre

ś

lone w art. 23-30,

3) urz

ą

dzenia i systemy informatyczne słu

żą

ce do przetwarzania zbioru danych zgłoszonego do rejestracji nie

spełniaj

ą

podstawowych warunków technicznych i organizacyjnych, okre

ś

lonych w przepisach, o których mowa

w art. 39a.

2. Odmawiaj

ą

c rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje:

1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wył

ą

cznie do ich przechowywania lub

2) zastosowanie innych

ś

rodków, o których mowa w art. 18 ust. 1.

komentarze

3. (uchylony).
4. Administrator danych mo

ż

e zgłosi

ć

ponownie zbiór danych do rejestracji po usuni

ę

ciu wad, które były

powodem odmowy rejestracji zbioru.

5. W razie ponownego zgłoszenia zbioru do rejestracji administrator danych mo

ż

e rozpocz

ąć

ich przetwarzanie

po zarejestrowaniu zbioru.

Art. 44a. Wykre

ś

lenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji

administracyjnej, je

ż

eli:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
2) rejestracji dokonano z naruszeniem prawa.

Art. 45. (uchylony).

Art. 46. 1. Administrator danych mo

ż

e, z zastrze

ż

eniem ust. 2, rozpocz

ąć

ich przetwarzanie w zbiorze danych

po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba

ż

e ustawa zwalnia go z tego obowi

ą

zku.

2. Administrator danych, o których mowa w art. 27 ust. 1, mo

ż

e rozpocz

ąć

ich przetwarzanie w zbiorze danych

po zarejestrowaniu zbioru, chyba

ż

e ustawa zwalnia go z obowi

ą

zku zgłoszenia zbioru do rejestracji.

Art. 46a. Minister wła

ś

ciwy do spraw administracji publicznej okre

ś

li, w drodze rozporz

ą

dzenia, wzór zgłoszenia,

o którym mowa w art. 41 ust. 1, uwzgl

ę

dniaj

ą

c obowi

ą

zek zamieszczenia informacji niezb

ę

dnych do stwierdzenia

zgodno

ś

ci przetwarzania danych z wymogami ustawy.

Rozdział 7

Przekazywanie danych osobowych do pa

ń

stwa trzeciego

(50)

Art. 47. 1. Przekazanie danych osobowych do pa

ń

stwa trzeciego mo

ż

e nast

ą

pi

ć

, je

ż

eli pa

ń

stwo docelowe daje

gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowi

ą

zuj

ą

na terytorium

Rzeczypospolitej Polskiej.

2. Przepisu ust. 1 nie stosuje si

ę

, gdy przesłanie danych osobowych wynika z obowi

ą

zku nało

ż

onego na

administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy mi

ę

dzynarodowej.

3. Administrator danych mo

ż

e jednak przekaza

ć

dane osobowe do pa

ń

stwa trzeciego, je

ż

eli:

1) osoba, której dane dotycz

ą

, udzieliła na to zgody na pi

ś

mie,

2) przekazanie jest niezb

ę

dne do wykonania umowy pomi

ę

dzy administratorem danych a osob

ą

, której dane

dotycz

ą

, lub jest podejmowane na jej

ż

yczenie,

3) przekazanie jest niezb

ę

dne do wykonania umowy zawartej w interesie osoby, której dane dotycz

ą

, pomi

ę

dzy

administratorem danych a innym podmiotem,

4) przekazanie jest niezb

ę

dne ze wzgl

ę

du na dobro publiczne lub do wykazania zasadno

ś

ci roszcze

ń

prawnych,

5) przekazanie jest niezb

ę

dne do ochrony

ż

ywotnych interesów osoby, której dane dotycz

ą

,

6) dane s

ą

ogólnie dost

ę

pne.

Art. 48. W przypadkach innych ni

ż

wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do pa

ń

stwa

trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowi

ą

zuj

ą

na terytorium

Rzeczypospolitej Polskiej, mo

ż

e nast

ą

pi

ć

po uzyskaniu zgody Generalnego Inspektora, pod warunkiem

ż

e

administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatno

ś

ci oraz praw i wolno

ś

ci

osoby, której dane dotycz

ą

.

Rozdział 8

Przepisy karne

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho

ć

ich przetwarzanie nie jest dopuszczalne albo do

których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci

do lat 2.

2. Je

ż

eli czyn okre

ś

lony w ust. 1 dotyczy danych ujawniaj

ą

cych pochodzenie rasowe lub etniczne, pogl

ą

dy

polityczne, przekonania religijne lub filozoficzne, przynale

ż

no

ść

wyznaniow

ą

, partyjn

ą

lub zwi

ą

zkow

ą

, danych o stanie

zdrowia, kodzie genetycznym, nałogach lub

ż

yciu seksualnym, sprawca podlega grzywnie, karze ograniczenia

wolno

ś

ci albo pozbawienia wolno

ś

ci do lat 3.

Art. 50. Kto administruj

ą

c zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia

zbioru, podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do roku.

Art. 51. 1. Kto administruj

ą

c zbiorem danych lub b

ę

d

ą

c obowi

ą

zany do ochrony danych osobowych udost

ę

pnia

je lub umo

ż

liwia dost

ę

p do nich osobom nieupowa

ż

nionym, podlega grzywnie, karze ograniczenia wolno

ś

ci albo

pozbawienia wolno

ś

ci do lat 2.

2. Je

ż

eli sprawca działa nieumy

ś

lnie, podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci

do roku.

Art. 52. Kto administruj

ą

c danymi narusza cho

ć

by nieumy

ś

lnie obowi

ą

zek zabezpieczenia ich przed zabraniem

przez osob

ę

nieuprawnion

ą

, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolno

ś

ci albo

pozbawienia wolno

ś

ci do roku.

Art. 53. Kto b

ę

d

ą

c do tego obowi

ą

zany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze

ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do roku.

Art. 54. Kto administruj

ą

c zbiorem danych nie dopełnia obowi

ą

zku poinformowania osoby, której dane dotycz

ą

,

o jej prawach lub przekazania tej osobie informacji umo

ż

liwiaj

ą

cych korzystanie z praw przyznanych jej w niniejszej

ustawie, podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do roku.

Rozdział 9

Zmiany w przepisach obowi

ą

zuj

ą

cych, przepisy przej

ś

ciowe i ko

ń

cowe

Art. 55. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmuj

ą

cych kierownicze stanowiska

pa

ń

stwowe (Dz. U. Nr 20, poz. 101, z 1982 r. Nr 31, poz. 214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr

21, poz. 123, z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z 1995 r. Nr 34, poz. 163 i
Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr 89, poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647 oraz z 1997 r. Nr 75,
poz. 469) w art. 2 w pkt 2 po wyrazach "Rzecznika Praw Obywatelskich," dodaje si

ę

wyrazy "Generalnego Inspektora

Ochrony Danych Osobowych,".

Art. 56. W ustawie z dnia 16 wrze

ś

nia 1982 r. o pracownikach urz

ę

dów pa

ń

stwowych (Dz. U. Nr 31, poz. 214, z

1984 r. Nr 35, poz. 187, z 1988 r. Nr 19, poz. 132, z 1989 r. Nr 4, poz. 24, Nr 34, poz. 178 i 182, z 1990 r. Nr 20, poz.
121, z 1991 r. Nr 55, poz. 234, Nr 88, poz. 400 i Nr 95, poz. 425, z 1992 r. Nr 54, poz. 254 i Nr 90, poz. 451, z 1994 r.
Nr 136, poz. 704, z 1995 r. Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402 i Nr 106, poz. 496 oraz z 1997 r. Nr 98, poz.
604) wprowadza si

ę

nast

ę

puj

ą

ce zmiany: (zmiany pomini

ę

te).

Art. 57. W ustawie z dnia 5 stycznia 1991 r. - Prawo bud

ż

etowe (Dz. U. z 1993 r. Nr 72, poz. 344, z 1994 r. Nr

76, poz. 344, Nr 121, poz. 591 i Nr 133, poz. 685, z 1995 r. Nr 78, poz. 390, Nr 124, poz. 601 i Nr 132, poz. 640, z
1996 r. Nr 89, poz. 402, Nr 106, poz. 496, Nr 132, poz. 621 i Nr 139, poz. 647 oraz z 1997 r. Nr 54, poz. 348, Nr 79,
poz. 484, Nr 121, poz. 770 i Nr 123, poz. 775 i 778) w art. 31 w ust. 3 w pkt 2 po wyrazach "Najwy

ż

szej Izby Kontroli"

dodaje si

ę

wyrazy ", Generalnego Inspektora Ochrony Danych Osobowych".

Art. 58. W ustawie z dnia 23 grudnia 1994 r. o Najwy

ż

szej Izbie Kontroli (Dz. U. z 1995 r. Nr 13, poz. 59, z 1996

r. Nr 64, poz. 315 i Nr 89, poz. 402 oraz z 1997 r. Nr 28, poz. 153, Nr 79, poz. 484, Nr 96, poz. 589 i Nr 121, poz. 770)
w art. 4 wprowadza si

ę

nast

ę

puj

ą

ce zmiany:

1) w ust. 1 po wyrazach "Krajowej Rady Radiofonii i Telewizji," dodaje si

ę

wyrazy "Generalnego Inspektora

Ochrony Danych Osobowych,";

2) w ust. 2 po wyrazach "Krajowej Rady Radiofonii i Telewizji" dodaje si

ę

przecinek oraz wyrazy "Generalnego

Inspektora Ochrony Danych Osobowych".

Art. 59. W ustawie z dnia 23 grudnia 1994 r. o kształtowaniu

ś

rodków na wynagrodzenia w pa

ń

stwowej sferze

bud

ż

etowej oraz o zmianie niektórych ustaw (Dz. U. z 1995 r. Nr 34, poz. 163 oraz z 1996 r. Nr 106, poz. 496 i Nr

139, poz. 647) w art. 2 w ust. 2 w pkt 1 po wyrazach "Krajowym Biurze Wyborczym" dodaje si

ę

wyrazy ", Biurze

Generalnego Inspektora Ochrony Danych Osobowych."

Art. 60. W ustawie z dnia 26 kwietnia 1996 r. o Słu

ż

bie Wi

ę

ziennej (Dz. U. Nr 61, poz. 283 i Nr 106, poz. 496

oraz z 1997 r. Nr 28, poz. 153 i Nr 88, poz. 554) dodaje si

ę

art. 23a w brzmieniu:

"Art. 23a.

Słu

ż

ba Wi

ę

zienna mo

ż

e gromadzi

ć

i przetwarza

ć

informacje i dane osobowe, w tym tak

ż

e bez

zgody osób, których dotycz

ą

, niezb

ę

dne do realizacji zada

ń

, o których mowa w art. 1 ust. 3

ustawy."

Art. 61. 1. Podmioty okre

ś

lone w art. 3, prowadz

ą

ce w dniu wej

ś

cia w

ż

ycie ustawy zbiory danych osobowych w

systemach informatycznych, maj

ą

obowi

ą

zek zło

ż

enia wniosków o zarejestrowanie tych zbiorów w trybie okre

ś

lonym

w art. 41, w terminie 18 miesi

ę

cy od dnia jej wej

ś

cia w

ż

ycie, chyba

ż

e ustawa zwalnia ich z tego obowi

ą

zku.

2. Do czasu rejestracji zbioru danych osobowych w trybie okre

ś

lonym w art. 41, podmioty, o których mowa w

ust. 1, mog

ą

prowadzi

ć

te zbiory bez rejestracji.

Art. 62. Ustawa wchodzi w

ż

ycie po upływie 6 miesi

ę

cy od dnia ogłoszenia, z tym

ż

e:

1) art. 8-11, art. 13 i 45 wchodz

ą

w

ż

ycie po upływie 2 miesi

ę

cy od dnia ogłoszenia,

2) art. 55-59 wchodz

ą

w

ż

ycie po upływie 14 dni od dnia ogłoszenia.

________

1)

Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 1988 r. Nr 41, poz. 324, z 1989 r. Nr 34, poz. 187, z
1990 r. Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114, poz. 542, z 1997 r. Nr 88, poz. 554 i Nr
121, poz. 770, z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198 oraz z 2002 r. Nr 153, poz. 1271.