1

2004-01-01

Dz.U. 2002.153.1271

art. 52

2004-03-01

Dz.U. 2004.25.219

art. 181

2004-05-01

Dz.U. 2004.33.285

art. 1

2006-07-24

Dz.U. 2006.104.708

art. 178

2006-10-01

Dz.U. 2006.104.711

art. 31

2007-09-14

Dz.U. 2007.165.1170

art. 39

2007-10-10

Dz.U. 2007.176.1238

art. 13

2010-04-01

Dz.U. 2010.41.233

art. 2

2011-01-02

Dz.U. 2010.182.1228

art. 121

2011-03-07 Dz. U. 2010.229.1497

art.1

USTAWA

z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych.

(tekst pierwotny: Dz. U. 1997 r. Nr 133 poz. 883)

(tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926)

Rozdział 1

Przepisy ogólne

Art. 1. 1. Ka

ż

dy ma prawo do ochrony dotycz

ą

cych go danych osobowych.

2. Przetwarzanie danych osobowych mo

ż

e mie

ć

miejsce ze wzgl

ę

du na dobro publiczne, dobro

osoby, której dane dotycz

ą

, lub dobro osób trzecich w zakresie i trybie okre

ś

lonym ustaw

ą

.

Art. 2. 1. Ustawa okre

ś

la zasady post

ę

powania przy przetwarzaniu danych osobowych oraz

prawa osób fizycznych, których dane osobowe s

ą

lub mog

ą

by

ć

przetwarzane w zbiorach danych.

2. Ustaw

ę

stosuje si

ę

do przetwarzania danych osobowych:

1) w kartotekach, skorowidzach, ksi

ę

gach, wykazach i w innych zbiorach

ewidencyjnych,

2) w systemach informatycznych, tak

ż

e w przypadku przetwarzania danych poza

zbiorem danych.

3. W odniesieniu do zbiorów danych osobowych sporz

ą

dzanych dora

ź

nie, wył

ą

cznie ze

wzgl

ę

dów technicznych, szkoleniowych lub w zwi

ą

zku z dydaktyk

ą

w szkołach wy

ż

szych, a po ich

wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, maj

ą

zastosowanie jedynie

przepisy rozdziału 5.

Art. 3. 1. Ustaw

ę

stosuje si

ę

do organów pa

ń

stwowych, organów samorz

ą

du terytorialnego oraz do

pa

ń

stwowych i komunalnych jednostek organizacyjnych.

2. Ustaw

ę

stosuje si

ę

równie

ż

do:

1)

podmiotów niepublicznych realizuj

ą

cych zadania publiczne,

2)

osób fizycznych i osób prawnych oraz jednostek organizacyjnych nieb

ę

d

ą

cych

osobami prawnymi, je

ż

eli przetwarzaj

ą

dane osobowe w zwi

ą

zku z działalno

ś

ci

ą

zarobkow

ą

,

zawodow

ą

lub dla realizacji celów statutowych

- które maj

ą

siedzib

ę

albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w

pa

ń

stwie trzecim, o ile przetwarzaj

ą

dane osobowe przy wykorzystaniu

ś

rodków technicznych

znajduj

ą

cych si

ę

na terytorium Rzeczypospolitej Polskiej.

2

Art. 3a. 1. Ustawy nie stosuje si

ę

do:

1)

osób fizycznych, które przetwarzaj

ą

dane wył

ą

cznie w celach osobistych lub

domowych,

2)

podmiotów maj

ą

cych siedzib

ę

lub miejsce zamieszkania w pa

ń

stwie trzecim,

wykorzystuj

ą

cych

ś

rodki techniczne znajduj

ą

ce si

ę

na terytorium Rzeczypospolitej Polskiej

wył

ą

cznie do przekazywania danych.

2. Ustawy, z wyj

ą

tkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje si

ę

równie

ż

do prasowej

działalno

ś

ci dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U.

Nr 5, poz. 24, z pó

ź

n. zm.) oraz do działalno

ś

ci literackiej lub artystycznej, chyba

ż

e wolno

ść

wyra

ż

ania swoich pogl

ą

dów i rozpowszechniania informacji istotnie narusza prawa i wolno

ś

ci osoby,

której dane dotycz

ą

.

Art. 4. Przepisów ustawy nie stosuje si

ę

, je

ż

eli umowa mi

ę

dzynarodowa, której stron

ą

jest

Rzeczpospolita Polska, stanowi inaczej.

Art. 5. Je

ż

eli przepisy odr

ę

bnych ustaw, które odnosz

ą

si

ę

do przetwarzania danych, przewiduj

ą

dalej id

ą

c

ą

ich ochron

ę

, ni

ż

wynika to z niniejszej ustawy, stosuje si

ę

przepisy tych ustaw.

Art. 6. 1. W rozumieniu ustawy za dane osobowe uwa

ż

a si

ę

wszelkie informacje dotycz

ą

ce

zidentyfikowanej lub mo

ż

liwej do zidentyfikowania osoby fizycznej.

2. Osob

ą

mo

ż

liw

ą

do zidentyfikowania jest osoba, której to

ż

samo

ść

mo

ż

na okre

ś

li

ć

bezpo

ś

rednio

lub po

ś

rednio, w szczególno

ś

ci przez powołanie si

ę

na numer identyfikacyjny albo jeden lub kilka

specyficznych czynników okre

ś

laj

ą

cych jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,

kulturowe lub społeczne.

3. Informacji nie uwa

ż

a si

ę

za umo

ż

liwiaj

ą

c

ą

okre

ś

lenie to

ż

samo

ś

ci osoby, je

ż

eli wymagałoby to

nadmiernych kosztów, czasu lub działa

ń

.

Art. 7. Ilekro

ć

w ustawie jest mowa o:

1)

zbiorze danych - rozumie si

ę

przez to ka

ż

dy posiadaj

ą

cy struktur

ę

zestaw danych o

charakterze osobowym, dost

ę

pnych według okre

ś

lonych kryteriów, niezale

ż

nie od tego, czy

zestaw ten jest rozproszony lub podzielony funkcjonalnie,

2)

przetwarzaniu danych - rozumie si

ę

przez to jakiekolwiek operacje wykonywane na

danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udost

ę

pnianie i usuwanie, a zwłaszcza te, które wykonuje si

ę

w systemach

informatycznych,

2a) systemie informatycznym - rozumie si

ę

przez to zespół współpracuj

ą

cych ze sob

ą

urz

ą

dze

ń

, programów, procedur przetwarzania informacji i narz

ę

dzi programowych

zastosowanych w celu przetwarzania danych,

2b) zabezpieczeniu danych w systemie informatycznym - rozumie si

ę

przez to

wdro

ż

enie i eksploatacj

ę

stosownych

ś

rodków technicznych i organizacyjnych

zapewniaj

ą

cych ochron

ę

danych przed ich nieuprawnionym przetwarzaniem,

3)

usuwaniu danych - rozumie si

ę

przez to zniszczenie danych osobowych lub tak

ą

ich

modyfikacj

ę

, która nie pozwoli na ustalenie to

ż

samo

ś

ci osoby, której dane dotycz

ą

,

4)

administratorze danych - rozumie si

ę

przez to organ, jednostk

ę

organizacyjn

ą

,

podmiot lub osob

ę

, o których mowa w art. 3, decyduj

ą

ce o celach i

ś

rodkach przetwarzania

danych osobowych,

5) zgodzie osoby, której dane dotycz

ą

- rozumie si

ę

przez to o

ś

wiadczenie woli,

którego tre

ś

ci

ą

jest zgoda na przetwarzanie danych osobowych tego, kto składa

o

ś

wiadczenie; zgoda nie mo

ż

e by

ć

domniemana lub dorozumiana z o

ś

wiadczenia woli

o innej tre

ś

ci; zgoda mo

ż

e by

ć

odwołana w ka

ż

dym czasie,

5)

odbiorcy danych - rozumie si

ę

przez to ka

ż

dego, komu udost

ę

pnia si

ę

dane

osobowe, z wył

ą

czeniem:

a)

osoby, której dane dotycz

ą

,

b)

osoby upowa

ż

nionej do przetwarzania danych,

c)

przedstawiciela, o którym mowa w art. 31a,

d)

podmiotu, o którym mowa w art. 31,

3

e) organów pa

ń

stwowych lub organów samorz

ą

du terytorialnego, którym dane s

ą

udost

ę

pniane w zwi

ą

zku z prowadzonym post

ę

powaniem,

7) pa

ń

stwie trzecim - rozumie si

ę

przez to pa

ń

stwo nienale

żą

ce do Europejskiego

Obszaru Gospodarczego.

Rozdział 2

Organ ochrony danych osobowych

Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony

Danych Osobowych, zwany dalej „Generalnym Inspektorem”.

2.

Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgod

ą

Senatu.

3.

Na stanowisko Generalnego Inspektora mo

ż

e by

ć

powołany ten, kto ł

ą

cznie spełnia

nast

ę

puj

ą

ce warunki:

1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej

Polskiej,

2) wyró

ż

nia si

ę

wysokim autorytetem moralnym,

3) posiada wy

ż

sze wykształcenie prawnicze oraz odpowiednie do

ś

wiadczenie

zawodowe,

4) nie był karany za przest

ę

pstwo.

4.

Generalny Inspektor w zakresie wykonywania swoich zada

ń

podlega tylko ustawie.

5.

Kadencja Generalnego Inspektora trwa 4 lata, licz

ą

c od dnia zło

ż

enia

ś

lubowania. Po upływie

kadencji Generalny Inspektor pełni swoje obowi

ą

zki do czasu obj

ę

cia stanowiska przez nowego

Generalnego Inspektora.

6.

Ta sama osoba nie mo

ż

e by

ć

Generalnym Inspektorem wi

ę

cej ni

ż

przez dwie kadencje.

7.

Kadencja Generalnego Inspektora wygasa z chwil

ą

jego

ś

mierci, odwołania lub utraty

obywatelstwa polskiego.

8.

Sejm, za zgod

ą

Senatu, odwołuje Generalnego Inspektora, je

ż

eli:

1)

zrzekł si

ę

stanowiska,

2)

stał si

ę

trwale niezdolny do pełnienia obowi

ą

zków na skutek choroby,

3)

sprzeniewierzył si

ę

zło

ż

onemu

ś

lubowaniu,

4)

został skazany prawomocnym wyrokiem s

ą

du za popełnienie przest

ę

pstwa.

Art. 9. Przed przyst

ą

pieniem do wykonywania obowi

ą

zków Generalny Inspektor składa przed

Sejmem nast

ę

puj

ą

ce

ś

lubowanie: „Obejmuj

ą

c stanowisko Generalnego Inspektora Ochrony Danych

Osobowych uroczy

ś

cie

ś

lubuj

ę

dochowa

ć

wierno

ś

ci postanowieniom Konstytucji Rzeczypospolitej

Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowi

ą

zki wypełnia

ć

sumiennie i bezstronnie.”

Ś

lubowanie mo

ż

e by

ć

zło

ż

one z dodaniem słów „Tak mi dopomó

ż

Bóg”.

Art. 10. 1. Generalny Inspektor nie mo

ż

e zajmowa

ć

innego stanowiska, z wyj

ą

tkiem

stanowiska profesora szkoły wy

ż

szej, ani wykonywa

ć

innych zaj

ęć

zawodowych.

2. Generalny Inspektor nie mo

ż

e nale

ż

e

ć

do partii politycznej, zwi

ą

zku zawodowego ani

prowadzi

ć

działalno

ś

ci publicznej niedaj

ą

cej si

ę

pogodzi

ć

z godno

ś

ci

ą

jego urz

ę

du.

Art. 11. Generalny Inspektor nie mo

ż

e by

ć

bez uprzedniej zgody Sejmu poci

ą

gni

ę

ty do

odpowiedzialno

ś

ci karnej ani pozbawiony wolno

ś

ci. Generalny Inspektor nie mo

ż

e by

ć

zatrzymany lub

aresztowany, z wyj

ą

tkiem uj

ę

cia go na gor

ą

cym uczynku przest

ę

pstwa i je

ż

eli jego zatrzymanie jest

niezb

ę

dne do zapewnienia prawidłowego toku post

ę

powania. O zatrzymaniu niezwłocznie

powiadamia si

ę

Marszałka Sejmu, który mo

ż

e nakaza

ć

natychmiastowe zwolnienie zatrzymanego.

Art. 12. Do zada

ń

Generalnego Inspektora w szczególno

ś

ci nale

ż

y:

1) kontrola zgodno

ś

ci przetwarzania danych z przepisami o ochronie danych

osobowych,

2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania

przepisów o ochronie danych osobowych,

4

3) zapewnienie

wykonania

przez

zobowi

ą

zanych

obowi

ą

zków

o

charakterze

niepieni

ęż

nym wynikaj

ą

cych z decyzji, o których mowa w pkt 2, przez stosowanie

ś

rodków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r.

o post

ę

powaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z

pó

ź

n. zm.),

4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych

zbiorach,

5) opiniowanie projektów ustaw i rozporz

ą

dze

ń

dotycz

ą

cych ochrony danych

osobowych,

6) inicjowanie i podejmowanie przedsi

ę

wzi

ęć

w zakresie doskonalenia ochrony danych

osobowych,

7) uczestniczenie w pracach mi

ę

dzynarodowych organizacji i instytucji zajmuj

ą

cych si

ę

problematyk

ą

ochrony danych osobowych.

Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu mo

ż

e powoła

ć

zast

ę

pc

ę

Generalnego Inspektora. Odwołanie zast

ę

pcy Generalnego Inspektora nast

ę

puje w tym samym

trybie.

2. Generalny Inspektor okre

ś

la zakres zada

ń

swojego zast

ę

pcy.

3. Zast

ę

pca Generalnego Inspektora powinien spełnia

ć

wymogi okre

ś

lone w art. 8 ust. 3 pkt 1,

2 i 4 oraz posiada

ć

wy

ż

sze wykształcenie i odpowiednie do

ś

wiadczenie zawodowe.

Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego

Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.

1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczb

ą

spraw z

zakresu ochrony danych osobowych na danym terenie mo

ż

e wykonywa

ć

swoje zadania

przy pomocy jednostek zamiejscowych Biura.

2. (uchylony)

3. Prezydent Rzeczypospolitej Polskiej, po zasi

ę

gni

ę

ciu opinii Generalnego Inspektora,

w drodze rozporz

ą

dzenia, nadaje statut Biuru, okre

ś

laj

ą

c jego organizacj

ę

, zasady

działania oraz siedziby jednostek zamiejscowych i zakres ich wła

ś

ciwo

ś

ci terytorialnej,

maj

ą

c na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej

realizacji zada

ń

Biura.

Art. 14. W celu wykonania zada

ń

, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor,

zast

ę

pca Generalnego Inspektora lub upowa

ż

nieni przez niego pracownicy Biura, zwani dalej

„inspektorami”, maj

ą

prawo:

1)

wst

ę

pu, w godzinach od 6°° do 22°°, za okazaniem imienn ego upowa

ż

nienia i

legitymacji słu

ż

bowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz

pomieszczenia, w którym przetwarzane s

ą

dane poza zbiorem danych, i przeprowadzenia

niezb

ę

dnych bada

ń

lub innych czynno

ś

ci kontrolnych w celu oceny zgodno

ś

ci przetwarzania

danych z ustaw

ą

,

2)

żą

da

ć

zło

ż

enia pisemnych lub ustnych wyja

ś

nie

ń

oraz wzywa

ć

i przesłuchiwa

ć

osoby

w zakresie niezb

ę

dnym do ustalenia stanu faktycznego,

3)

wgl

ą

du do wszelkich dokumentów i wszelkich danych maj

ą

cych bezpo

ś

redni zwi

ą

zek

z przedmiotem kontroli oraz sporz

ą

dzania ich kopii,

4)

przeprowadzania ogl

ę

dzin urz

ą

dze

ń

, no

ś

ników oraz systemów informatycznych

słu

żą

cych do przetwarzania danych,

5)

zleca

ć

sporz

ą

dzanie ekspertyz i opinii.

Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna

b

ę

d

ą

ca administratorem danych osobowych s

ą

obowi

ą

zani umo

ż

liwi

ć

inspektorowi przeprowadzenie

kontroli, a w szczególno

ś

ci umo

ż

liwi

ć

przeprowadzenie czynno

ś

ci oraz spełni

ć

żą

dania, o których

mowa w art. 14 pkt 1-4.

2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor

przeprowadzaj

ą

cy kontrol

ę

ma prawo wgl

ą

du do zbioru zawieraj

ą

cego dane osobowe jedynie za

po

ś

rednictwem upowa

ż

nionego przedstawiciela kontrolowanej jednostki organizacyjnej.

3. Kontrol

ę

przeprowadza si

ę

po okazaniu imiennego upowa

ż

nienia wraz z

5

legitymacj

ą

słu

ż

bow

ą

.

4. Imienne upowa

ż

nienie powinno zawiera

ć

:

1) wskazanie podstawy prawnej przeprowadzenia kontroli,
2) oznaczenie organu kontroli,
3) imi

ę

i nazwisko, stanowisko słu

ż

bowe osoby upowa

ż

nionej do przeprowadzenia

kontroli oraz numer jej legitymacji słu

ż

bowej,

4) okre

ś

lenie zakresu przedmiotowego kontroli,

5) oznaczenie podmiotu obj

ę

tego kontrol

ą

albo zbioru danych, albo miejsca

poddawanego kontroli,

6) wskazanie daty rozpocz

ę

cia i przewidywanego terminu zako

ń

czenia kontroli,

7) podpis Generalnego Inspektora,
8) pouczenie kontrolowanego podmiotu o jego prawach i obowi

ą

zkach,

9) dat

ę

i miejsce wystawienia imiennego upowa

ż

nienia.

Art. 16. 1. Z czynno

ś

ci kontrolnych inspektor sporz

ą

dza protokół, którego jeden egzemplarz

dor

ę

cza kontrolowanemu administratorowi danych.

1a. Protokół kontroli powinien zawiera

ć

:

1) nazw

ę

podmiotu kontrolowanego w pełnym brzmieniu i jego adres,

2) imi

ę

i nazwisko, stanowisko słu

ż

bowe, numer legitymacji słu

ż

bowej oraz numer

upowa

ż

nienia inspektora,

3) imi

ę

i nazwisko osoby reprezentuj

ą

cej podmiot kontrolowany oraz nazw

ę

organu

reprezentuj

ą

cego ten podmiot,

4) dat

ę

rozpocz

ę

cia i zako

ń

czenia czynno

ś

ci kontrolnych z wymienieniem dni przerw

w kontroli,

5) okre

ś

lenie przedmiotu i zakresu kontroli,

6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje maj

ą

ce

istotne znaczenie dla oceny zgodno

ś

ci przetwarzania danych z przepisami o ochronie

danych osobowych,

7) wyszczególnienie zał

ą

czników stanowi

ą

cych składow

ą

cz

ęść

protokołu,

8) omówienie dokonanych w protokole poprawek, skre

ś

le

ń

i uzupełnie

ń

,

9) parafy inspektora i osoby reprezentuj

ą

cej podmiot kontrolowany na ka

ż

dej stronie

protokołu,

10) wzmiank

ę

o dor

ę

czeniu egzemplarza protokołu osobie reprezentuj

ą

cej podmiot

kontrolowany,

11) wzmiank

ę

o wniesieniu lub niewniesieniu zastrze

ż

e

ń

i uwag do protokołu,

12) dat

ę

i miejsce podpisania protokołu przez inspektora oraz przez osob

ę

lub organ

reprezentuj

ą

cy podmiot kontrolowany.

2.

Protokół podpisuj

ą

inspektor i kontrolowany administrator danych, który mo

ż

e wnie

ść

do

protokołu umotywowane zastrze

ż

enia i uwagi.

3.

W razie odmowy podpisania protokołu przez kontrolowanego administratora danych,

inspektor czyni o tym wzmiank

ę

w protokole, a odmawiaj

ą

cy podpisu mo

ż

e, w terminie 7 dni,

przedstawi

ć

swoje stanowisko na pi

ś

mie Generalnemu Inspektorowi.

6

Art. 17. 1. Je

ż

eli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów

o ochronie danych osobowych, wyst

ę

puje do Generalnego Inspektora o zastosowanie

ś

rodków,

o których mowa w art. 18.

2. Na podstawie ustale

ń

kontroli inspektor mo

ż

e

Żą

da

ć

wszcz

ę

cia post

ę

powania

dyscyplinarnego lub innego przewidzianego prawem post

ę

powania przeciwko osobom winnym

dopuszczenia do uchybie

ń

i poinformowania go, w okre

ś

lonym terminie, o wynikach tego

post

ę

powania i podj

ę

tych działaniach.

Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny

Inspektor z urz

ę

du lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej,

nakazuje przywrócenie stanu zgodnego z prawem, a w szczególno

ś

ci:

1)

usuni

ę

cie uchybie

ń

,

2)

uzupełnienie, uaktualnienie, sprostowanie, udost

ę

pnienie lub nieudost

ę

pnienie

danych osobowych,

3)

zastosowanie dodatkowych

ś

rodków zabezpieczaj

ą

cych zgromadzone dane

osobowe,

4)

wstrzymanie przekazywania danych osobowych do pa

ń

stwa trzeciego,

5)

zabezpieczenie danych lub przekazanie ich innym podmiotom,

6)

usuni

ę

cie danych osobowych.

2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mog

ą

ogranicza

ć

swobody

działania podmiotów zgłaszaj

ą

cych kandydatów lub listy kandydatów w wyborach na urz

ą

d

Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorz

ą

du terytorialnego, a

tak

ż

e w wyborach do Parlamentu Europejskiego, pomi

ę

dzy dniem zarz

ą

dzenia wyborów a dniem

głosowania.

2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów

okre

ś

lonych w art. 43 ust. 1 pkt 1a, nie mog

ą

nakazywa

ć

usuni

ę

cia danych osobowych zebranych w

toku czynno

ś

ci operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

3. W przypadku gdy przepisy innych ustaw reguluj

ą

odr

ę

bnie wykonywanie czynno

ś

ci, o

których mowa w ust. 1, stosuje si

ę

przepisy tych ustaw.

Art. 19. W razie stwierdzenia,

ż

e działanie lub zaniechanie kierownika jednostki organizacyjnej,

jej pracownika lub innej osoby fizycznej b

ę

d

ą

cej administratorem danych wyczerpuje znamiona

przest

ę

pstwa okre

ś

lonego w ustawie, Generalny Inspektor kieruje do organu powołanego do

ś

cigania

przest

ę

pstw zawiadomienie o popełnieniu przest

ę

pstwa, doł

ą

czaj

ą

c dowody dokumentuj

ą

ce

podejrzenie.

Art. 19a. 1. W celu realizacji zada

ń

, o których mowa w art. 12 pkt 6, Generalny Inspektor

mo

ż

e kierowa

ć

do organów pa

ń

stwowych, organów samorz

ą

du terytorialnego,

pa

ń

stwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych

realizuj

ą

cych zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych

nieb

ę

d

ą

cych osobami prawnymi oraz innych podmiotów wyst

ą

pienia zmierzaj

ą

ce do

zapewnienia skutecznej ochrony danych osobowych.

2. Generalny Inspektor mo

ż

e równie

ż

wyst

ę

powa

ć

do wła

ś

ciwych organów z wnioskami o

podj

ę

cie inicjatywy ustawodawczej albo o wydanie b

ą

d

ź

zmian

ę

aktów prawnych w

sprawach dotycz

ą

cych ochrony danych osobowych.

3. Podmiot, do którego zostało skierowane wyst

ą

pienie lub wniosek, o których mowa w

ust. 1 i 2, jest obowi

ą

zany ustosunkowa

ć

si

ę

do tego wyst

ą

pienia lub wniosku na pi

ś

mie w

terminie 30 dni od daty jego otrzymania

.

Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalno

ś

ci

wraz z wnioskami wynikaj

ą

cymi ze stanu przestrzegania przepisów o ochronie danych osobowych.

Art. 21. 1. Strona mo

ż

e zwróci

ć

si

ę

do Generalnego Inspektora z wnioskiem o ponowne

rozpatrzenie sprawy.

2. Na decyzj

ę

Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy

stronie przysługuje skarga do s

ą

du administracyjnego.

Art. 22. Post

ę

powanie w sprawach uregulowanych w niniejszej ustawie prowadzi si

ę

według

przepisów Kodeksu post

ę

powania administracyjnego, o ile przepisy ustawy nie stanowi

ą

inaczej.

7

Art. 22a. Minister wła

ś

ciwy do spraw administracji publicznej okre

ś

li, w drodze rozporz

ą

dzenia,

wzór upowa

ż

nienia i legitymacji słu

ż

bowej, o których mowa w art. 14 pkt 1, uwzgl

ę

dniaj

ą

c

konieczno

ść

imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych

Osobowych.

Rozdział 3

Zasady przetwarzania danych osobowych

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1)

osoba, której dane dotycz

ą

, wyrazi na to zgod

ę

, chyba

ż

e chodzi o usuni

ę

cie

dotycz

ą

cych jej danych,

2)

jest to niezb

ę

dne dla zrealizowania uprawnienia lub spełnienia obowi

ą

zku

wynikaj

ą

cego z przepisu prawa,

3)

jest to konieczne do realizacji umowy, gdy osoba, której dane dotycz

ą

, jest jej stron

ą

lub gdy jest to niezb

ę

dne do podj

ę

cia działa

ń

przed zawarciem umowy na

żą

danie osoby,

której dane dotycz

ą

,

4)

jest niezb

ę

dne do wykonania okre

ś

lonych prawem zada

ń

realizowanych dla dobra

publicznego,

5)

jest to niezb

ę

dne dla wypełnienia prawnie usprawiedliwionych celów realizowanych

przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i
wolno

ś

ci osoby, której dane dotycz

ą

.

2.

Zgoda, o której mowa w ust. 1 pkt 1, mo

ż

e obejmowa

ć

równie

ż

przetwarzanie danych w

przyszło

ś

ci, je

ż

eli nie zmienia si

ę

cel przetwarzania.

3.

Je

ż

eli przetwarzanie danych jest niezb

ę

dne dla ochrony

ż

ywotnych interesów osoby, której

dane dotycz

ą

, a spełnienie warunku okre

ś

lonego w ust. 1 pkt 1 jest niemo

ż

liwe, mo

ż

na przetwarza

ć

dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody b

ę

dzie mo

ż

liwe.

4.

Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uwa

ż

a si

ę

w szczególno

ś

ci:

1)

marketing bezpo

ś

redni własnych produktów lub usług administratora danych,

2)

dochodzenie roszcze

ń

z tytułu prowadzonej działalno

ś

ci gospodarczej.

Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotycz

ą

,

administrator danych jest obowi

ą

zany poinformowa

ć

t

ę

osob

ę

o:

1)

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych

jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2)

celu zbierania danych, a w szczególno

ś

ci o znanych mu w czasie udzielania

informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3)

prawie dost

ę

pu do tre

ś

ci swoich danych oraz ich poprawiania,

4)

dobrowolno

ś

ci albo obowi

ą

zku podania danych, a je

ż

eli taki obowi

ą

zek istnieje, o jego

podstawie prawnej.

2. Przepisu ust. 1 nie stosuje si

ę

, je

ż

eli:

1)

przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego

celu ich zbierania,

2)

osoba, której dane dotycz

ą

, posiada informacje, o których mowa w ust. 1.

Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotycz

ą

,

administrator danych jest obowi

ą

zany poinformowa

ć

t

ę

osob

ę

, bezpo

ś

rednio po utrwaleniu

zebranych danych, o:

1)

adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych

jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2)

celu i zakresie zbierania danych, a w szczególno

ś

ci o odbiorcach lub kategoriach

odbiorców danych,

3)

ź

ródle danych,

4)

prawie dost

ę

pu do tre

ś

ci swoich danych oraz ich poprawiania,

5) uprawnieniach wynikaj

ą

cych z art. 32 ust. 1 pkt 7 i 8.

2. Przepisu ust. 1 nie stosuje si

ę

, je

ż

eli:

8

1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez

wiedzy osoby, której dane dotycz

ą

,

2) (skre

ś

lony)

3) dane te s

ą

niezb

ę

dne do bada

ń

naukowych, dydaktycznych, historycznych,

statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolno

ś

ci

osoby, której dane dotycz

ą

, a spełnienie wymaga

ń

okre

ś

lonych w ust. 1 wymagałoby

nadmiernych nakładów lub zagra

ż

ałoby realizacji celów badania,

4) (uchylony)

5) dane te s

ą

przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2

pkt 1, na podstawie przepisów prawa,

6) osoba, której dane dotycz

ą

, posiada informacje, o których mowa w ust. 1.

Art. 26. 1. Administrator danych przetwarzaj

ą

cy dane powinien doło

ż

y

ć

szczególnej

staranno

ś

ci w celu ochrony interesów osób, których dane dotycz

ą

, a w szczególno

ś

ci jest obowi

ą

zany

zapewni

ć

, aby dane te były:

1)

przetwarzane zgodnie z prawem,

2)

zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu

przetwarzaniu niezgodnemu z tymi celami, z zastrze

ż

eniem ust. 2,

3)

merytorycznie poprawne i adekwatne w stosunku do celów, w jakich s

ą

przetwarzane,

4)

przechowywane w postaci umo

ż

liwiaj

ą

cej identyfikacj

ę

osób, których dotycz

ą

, nie

dłu

ż

ej ni

ż

jest to niezb

ę

dne do osi

ą

gni

ę

cia celu przetwarzania.

2. Przetwarzanie danych w celu innym ni

ż

ten, dla którego zostały zebrane, jest dopuszczalne,

je

ż

eli nie narusza praw i wolno

ś

ci osoby, której dane dotycz

ą

, oraz nast

ę

puje:

1)

w celach bada

ń

naukowych, dydaktycznych, historycznych lub statystycznych,

z zachowaniem przepisów art. 23 i 25.

Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygni

ę

cie indywidualnej sprawy osoby,

której dane dotycz

ą

, je

ż

eli jego tre

ść

jest wył

ą

cznie wynikiem operacji na danych

osobowych, prowadzonych w systemie informatycznym.

2. Przepisu ust. 1 nie stosuje si

ę

, je

ż

eli rozstrzygni

ę

cie zostało podj

ę

te podczas

zawierania lub wykonywania umowy i uwzgl

ę

dnia wniosek osoby, której dane dotycz

ą

.

Art. 27. 1. Zabrania si

ę

przetwarzania danych ujawniaj

ą

cych pochodzenie rasowe lub

etniczne, pogl

ą

dy polityczne, przekonania religijne lub filozoficzne, przynale

ż

no

ść

wyznaniow

ą

, partyjn

ą

lub zwi

ą

zkow

ą

, jak równie

ż

danych o stanie zdrowia, kodzie

genetycznym, nałogach lub

ż

yciu seksualnym oraz danych dotycz

ą

cych skaza

ń

, orzecze

ń

o

ukaraniu i mandatów karnych, a tak

ż

e innych orzecze

ń

wydanych w post

ę

powaniu s

ą

dowym

lub administracyjnym.

2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, je

ż

eli:

1)

osoba, której dane dotycz

ą

, wyrazi na to zgod

ę

na pi

ś

mie, chyba

Ż

e chodzi o

usuni

ę

cie dotycz

ą

cych jej danych,

2)

przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody

osoby, której dane dotycz

ą

, i stwarza pełne gwarancje ich ochrony,

3)

przetwarzanie takich danych jest niezb

ę

dne do ochrony

ż

ywotnych interesów osoby,

której dane dotycz

ą

, lub innej osoby, gdy osoba, której dane dotycz

ą

, nie jest fizycznie lub

prawnie zdolna do wyra

ż

enia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

9

4) jest to niezb

ę

dne do wykonania statutowych zada

ń

ko

ś

ciołów i innych zwi

ą

zków wyznaniowych,

stowarzysze

ń

, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych,

naukowych, religijnych, filozoficznych lub zwi

ą

zkowych, pod warunkiem,

Ż

e przetwarzanie danych

dotyczy wył

ą

cznie członków tych organizacji lub instytucji albo osób utrzymuj

ą

cych z nimi stałe

kontakty w zwi

ą

zku z ich działalno

ś

ci

ą

i zapewnione s

ą

pełne gwarancje ochrony przetwarzanych

danych,
5) przetwarzanie dotyczy danych, które s

ą

niezb

ę

dne do dochodzenia praw przed s

ą

dem,

6) przetwarzanie jest niezb

ę

dne do wykonania zada

ń

administratora danych odnosz

ą

cych si

ę

do

zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest okre

ś

lony w

ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,

ś

wiadczenia usług

medycznych lub leczenia pacjentów przez osoby trudni

ą

ce si

ę

zawodowo leczeniem lub

ś

wiadczeniem innych usług medycznych, zarz

ą

dzania udzielaniem usług medycznych i s

ą

stworzone

pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomo

ś

ci publicznej przez osob

ę

, której

dane dotycz

ą

,

9) jest to niezb

ę

dne do prowadzenia bada

ń

naukowych, w tym do przygotowania rozprawy

wymaganej do uzyskania dyplomu uko

ń

czenia szkoły wy

ż

szej lub stopnia naukowego;

publikowanie wyników bada

ń

naukowych nie mo

ż

e nast

ę

powa

ć

w sposób umo

ż

liwiaj

ą

cy

identyfikacj

ę

osób, których dane zostały przetworzone,

10) przetwarzanie danych jest prowadzone przez stron

ę

w celu realizacji praw i

obowi

ą

zków wynikaj

ą

cych z orzeczenia wydanego w post

ę

powaniu s

ą

dowym lub

administracyjnym.

Art. 28. 1. (skre

ś

lony)

2.

Numery porz

ą

dkowe stosowane w ewidencji ludno

ś

ci mog

ą

zawiera

ć

tylko oznaczenie płci,

daty urodzenia, numer nadania oraz liczb

ę

kontroln

ą

.

3.

Zabronione jest nadawanie ukrytych znacze

ń

elementom numerów porz

ą

dkowych w

systemach ewidencjonuj

ą

cych osoby fizyczne.

Art. 29 - z dniem 07 marca 2011 r. art. 29 niniejszej ustawy zostaje uchylony.
Art. 30 – z dniem 07 marca 2011 r. art. 30 niniejszej ustawy zostaje uchylony.

Art. 31. 1. Administrator danych mo

ż

e powierzy

ć

innemu podmiotowi, w drodze umowy zawartej

na pi

ś

mie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, mo

ż

e przetwarza

ć

dane wył

ą

cznie w zakresie i celu

przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowi

ą

zany przed rozpocz

ę

ciem przetwarzania danych

podj

ąć

ś

rodki zabezpieczaj

ą

ce zbiór danych, o których mowa w art. 36-39, oraz spełni

ć

wymagania okre

ś

lone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych

przepisów podmiot ponosi odpowiedzialno

ść

jak administrator danych.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialno

ść

za przestrzeganie przepisów

niniejszej ustawy spoczywa na administratorze danych, co nie wył

ą

cza odpowiedzialno

ś

ci podmiotu,

który zawarł umow

ę

, za przetwarzanie danych niezgodnie z t

ą

umow

ą

.

5. Do kontroli zgodno

ś

ci przetwarzania danych przez podmiot, o którym mowa w ust. 1,

z przepisami o ochronie danych osobowych stosuje si

ę

odpowiednio przepisy art. 14-19.

Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty maj

ą

ce siedzib

ę

albo

miejsce zamieszkania w pa

ń

stwie trzecim, administrator danych jest obowi

ą

zany wyznaczy

ć

swojego przedstawiciela w Rzeczypospolitej Polskiej.

Rozdział 4

Prawa osoby, której dane dotycz

ą

Art. 32. 1. Ka

ż

dej osobie przysługuje prawo do kontroli przetwarzania danych, które jej

10

dotycz

ą

, zawartych w zbiorach danych, a zwłaszcza prawo do:

1)

uzyskania wyczerpuj

ą

cej informacji, czy taki zbiór istnieje, oraz do ustalenia

administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i
nazwiska,

2)

uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w

takim zbiorze,

3)

uzyskania informacji, od kiedy przetwarza si

ę

w zbiorze dane jej dotycz

ą

ce, oraz

podania w powszechnie zrozumiałej formie tre

ś

ci tych danych,

4)

uzyskania informacji o

ź

ródle, z którego pochodz

ą

dane jej dotycz

ą

ce, chyba

ż

e

administrator danych jest zobowi

ą

zany do zachowania w tym zakresie w tajemnicy informacji

niejawnych lub zachowania tajemnicy zawodowej,

5)

uzyskania informacji o sposobie udost

ę

pniania danych, a w szczególno

ś

ci informacji o

odbiorcach lub kategoriach odbiorców, którym dane te s

ą

udost

ę

pniane,

5a) uzyskania informacji o przesłankach podj

ę

cia rozstrzygni

ę

cia, o którym mowa w

art. 26a ust. 2,

6)

żą

dania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego

lub stałego wstrzymania ich przetwarzania lub ich usuni

ę

cia, je

ż

eli s

ą

one niekompletne,

nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s

ą

ju

ż

zb

ę

dne do

realizacji celu, dla którego zostały zebrane,

7)

wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego,

umotywowanego

żą

dania zaprzestania przetwarzania jej danych ze wzgl

ę

du na jej

szczególn

ą

sytuacj

ę

,

8)

wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych

w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarza

ć

w celach

marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi
danych,

9)

wniesienia do administratora danych

żą

dania ponownego, indywidualnego

rozpatrzenia sprawy rozstrzygni

ę

tej z naruszeniem art. 26a ust. 1.

2.

W przypadku wniesienia

żą

dania, o którym mowa w ust. 1 pkt 7, administrator danych

zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zb

ę

dnej zwłoki przekazuje

żą

danie Generalnemu Inspektorowi, który wydaje stosown

ą

decyzj

ę

.

3.

W razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie

kwestionowanych danych jest niedopuszczalne. Administrator danych mo

ż

e jednak pozostawi

ć

w

zbiorze imi

ę

lub imiona i nazwisko osoby oraz numer PESEL lub adres wył

ą

cznie w celu unikni

ę

cia

ponownego wykorzystania danych tej osoby w celach obj

ę

tych sprzeciwem.

3a. W razie wniesienia

żą

dania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez

zb

ę

dnej zwłoki rozpatruje spraw

ę

albo przekazuje j

ą

wraz z uzasadnieniem swojego stanowiska

Generalnemu Inspektorowi, który wydaje stosown

ą

decyzj

ę

.

4.

Je

ż

eli dane s

ą

przetwarzane dla celów naukowych, dydaktycznych, historycznych,

statystycznych lub archiwalnych, administrator danych mo

ż

e odst

ą

pi

ć

od informowania osób o

przetwarzaniu ich danych w przypadkach, gdy poci

ą

gałoby to za sob

ą

nakłady niewspółmierne z

zamierzonym celem.

5.

Osoba zainteresowana mo

ż

e skorzysta

ć

z prawa do informacji, o których mowa w ust. 1 pkt

1-5, nie cz

ęś

ciej ni

ż

raz na 6 miesi

ę

cy.

Art. 33. 1. Na wniosek osoby, której dane dotycz

ą

, administrator danych jest obowi

ą

zany,

w terminie 30 dni, poinformowa

ć

o przysługuj

ą

cych jej prawach oraz udzieli

ć

, odno

ś

nie do jej

danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a.

2. Na wniosek osoby, której dane dotycz

ą

, informacji, o których mowa w ust. 1, udziela si

ę

na pi

ś

mie.

Art. 34. Administrator danych odmawia osobie, której dane dotycz

ą

, udzielenia informacji,

o których mowa w art. 32 ust. 1 pkt 1-5a, je

ż

eli spowodowałoby to:

1) ujawnienie wiadomo

ś

ci zawieraj

ą

cych informacje niejawne,

2) zagro

ż

enie dla obronno

ś

ci lub bezpiecze

ń

stwa pa

ń

stwa,

ż

ycia i zdrowia ludzi lub

bezpiecze

ń

stwa i porz

ą

dku publicznego,

3) zagro

ż

enie dla podstawowego interesu gospodarczego lub finansowego pa

ń

stwa,

11

4) istotne naruszenie dóbr osobistych osób, których dane dotycz

ą

, lub innych osób.

Art. 35. 1. W razie wykazania przez osob

ę

, której dane osobowe dotycz

ą

,

ż

e s

ą

one

niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s

ą

zb

ę

dne

do realizacji celu, dla którego zostały zebrane, administrator danych jest obowi

ą

zany, bez zb

ę

dnej

zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania
przetwarzania kwestionowanych danych lub ich usuni

ę

cia ze zbioru, chyba

ż

e dotyczy to danych

osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania okre

ś

laj

ą

odr

ę

bne ustawy.

2.

W razie niedopełnienia przez administratora danych obowi

ą

zku, o którym mowa w ust. 1,

osoba, której dane dotycz

ą

, mo

ż

e si

ę

zwróci

ć

do Generalnego Inspektora z wnioskiem o nakazanie

dopełnienia tego obowi

ą

zku.

3.

Administrator danych jest obowi

ą

zany poinformowa

ć

bez zb

ę

dnej zwłoki innych

administratorów, którym udost

ę

pnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu

danych.

Rozdział 5

Zabezpieczenie danych osobowych

Art. 36. 1. Administrator danych jest obowi

ą

zany zastosowa

ć

ś

rodki techniczne i organizacyjne

zapewniaj

ą

ce ochron

ę

przetwarzanych danych osobowych odpowiedni

ą

do zagro

ż

e

ń

oraz kategorii

danych obj

ę

tych ochron

ą

, a w szczególno

ś

ci powinien zabezpieczy

ć

dane przed ich udost

ę

pnieniem

osobom nieupowa

ż

nionym, zabraniem przez osob

ę

nieuprawnion

ą

, przetwarzaniem z naruszeniem

ustawy oraz zmian

ą

, utrat

ą

, uszkodzeniem lub zniszczeniem.

2.

Administrator danych prowadzi dokumentacj

ę

opisuj

ą

c

ą

sposób przetwarzania danych

oraz

ś

rodki, o których mowa w ust. 1.

3.

Administrator danych wyznacza administratora bezpiecze

ń

stwa informacji, nadzoruj

ą

cego

przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba

ż

e sam wykonuje te czynno

ś

ci.

Art. 37. Do przetwarzania danych mog

ą

by

ć

dopuszczone wył

ą

cznie osoby posiadaj

ą

ce

upowa

ż

nienie nadane przez administratora danych.

Art. 38. Administrator danych jest obowi

ą

zany zapewni

ć

kontrol

ę

nad tym, jakie dane

osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu s

ą

przekazywane.

Art. 39. 1. Administrator danych prowadzi ewidencj

ę

osób upowa

ż

nionych do ich

przetwarzania, która powinna zawiera

ć

:

1)

imi

ę

i nazwisko osoby upowa

ż

nionej,

2)

dat

ę

nadania i ustania oraz zakres upowa

ż

nienia do przetwarzania danych

osobowych,

3)

identyfikator, je

ż

eli dane s

ą

przetwarzane w systemie informatycznym.

2. Osoby, które zostały upowa

ż

nione do przetwarzania danych, s

ą

obowi

ą

zane zachowa

ć

w

tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 39a. Minister wła

ś

ciwy do spraw administracji publicznej w porozumieniu z ministrem

wła

ś

ciwym do spraw informatyzacji okre

ś

li, w drodze rozporz

ą

dzenia, sposób prowadzenia i zakres

dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne,
jakim powinny odpowiada

ć

urz

ą

dzenia i systemy informatyczne słu

żą

ce do przetwarzania danych

osobowych, uwzgl

ę

dniaj

ą

c zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do

zagro

ż

e

ń

oraz kategorii danych obj

ę

tych ochron

ą

, a tak

ż

e wymagania w zakresie odnotowywania

udost

ę

pniania danych osobowych i bezpiecze

ń

stwa przetwarzanych danych.

12

Rozdział 6

Rejestracja zbiorów danych osobowych

Art. 40. Administrator danych jest obowi

ą

zany zgłosi

ć

zbiór danych do rejestracji Generalnemu

Inspektorowi, z wyj

ą

tkiem przypadków, o których mowa w art. 43 ust. 1.

Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawiera

ć

:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

2) oznaczenie administratora danych i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki
narodowej, je

ż

eli został mu nadany, oraz podstaw

ę

prawn

ą

upowa

ż

niaj

ą

c

ą

do

prowadzenia

zbioru,

a w

przypadku

powierzenia

przetwarzania

danych

podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa
w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca
zamieszkania,

1)

cel przetwarzania danych,

3a) opis kategorii osób, których dane dotycz

ą

, oraz zakres przetwarzanych danych,

4) sposób zbierania oraz udost

ę

pniania danych,

4a) informacj

ę

o odbiorcach lub kategoriach odbiorców, którym dane mog

ą

by

ć

przekazywane,

5) opis

ś

rodków technicznych i organizacyjnych zastosowanych w celach okre

ś

lonych w

art. 36-39,

6) informacj

ę

o sposobie wypełnienia warunków technicznych i organizacyjnych,

okre

ś

lonych w przepisach, o których mowa w art. 39a,

7) informacj

ę

dotycz

ą

c

ą

ewentualnego przekazywania danych do pa

ń

stwa trzeciego.

.

2. Administrator danych jest obowi

ą

zany zgłasza

ć

Generalnemu Inspektorowi ka

ż

d

ą

zmian

ę

informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w

zbiorze danych, z zastrze

ż

eniem ust. 3.

3. Je

ż

eli zmiana informacji, o której mowa w ust. 1 pkt 3a, dotyczy rozszerzenia

zakresu przetwarzanych danych o dane, o których mowa w art. 27 ust. 1, administrator
danych jest obowi

ą

zany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.

4. Do zgłaszania zmian stosuje si

ę

odpowiednio przepisy o rejestracji zbiorów danych.

Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych

osobowych. Rejestr powinien zawiera

ć

informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7.

2. Ka

ż

dy ma prawo przegl

ą

da

ć

rejestr, o którym mowa w ust. 1.

3. Na

żą

danie administratora danych mo

ż

e by

ć

wydane za

ś

wiadczenie o zarejestrowaniu

zgłoszonego przez niego zbioru danych, z zastrze

ż

eniem ust. 4.

4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1,

za

ś

wiadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.

Art. 43. 1. Z obowi

ą

zku rejestracji zbioru danych zwolnieni s

ą

administratorzy danych:

1) zawieraj

ą

cych informacje niejawne,

1a) które zostały uzyskane w wyniku czynno

ś

ci operacyjno-rozpoznawczych przez

funkcjonariuszy organów uprawnionych do tych czynno

ś

ci,

2) przetwarzanych przez wła

ś

ciwe organy dla potrzeb post

ę

powania s

ą

dowego oraz na

podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez wła

ś

ciwe organy na potrzeby udziału Rzeczypospolitej

Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,

3)

dotycz

ą

cych osób nale

żą

cych do ko

ś

cioła lub innego zwi

ą

zku wyznaniowego, o

uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego ko

ś

cioła lub zwi

ą

zku

wyznaniowego,

13

4)

przetwarzanych w zwi

ą

zku z zatrudnieniem u nich,

ś

wiadczeniem im usług na

podstawie umów cywilnoprawnych, a tak

ż

e dotycz

ą

cych osób u nich zrzeszonych lub

ucz

ą

cych si

ę

,

5)

dotycz

ą

cych osób korzystaj

ą

cych z ich usług medycznych, obsługi notarialnej,

adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego
rewidenta,

6)

tworzonych na podstawie przepisów dotycz

ą

cych wyborów do Sejmu, Senatu,

Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na
urz

ą

d Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz

dotycz

ą

cych referendum ogólnokrajowego i referendum lokalnego,

7)

dotycz

ą

cych osób pozbawionych wolno

ś

ci na podstawie ustawy, w zakresie

niezb

ę

dnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolno

ś

ci,

8)

przetwarzanych wył

ą

cznie w celu wystawienia faktury, rachunku lub prowadzenia

sprawozdawczo

ś

ci finansowej,

9)

powszechnie dost

ę

pnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu

uko

ń

czenia szkoły wy

ż

szej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bie

żą

cych spraw

ż

ycia codziennego.

2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa

w ust. 1 pkt 1a, przetwarzanych przez Agencj

ę

Bezpiecze

ń

stwa Wewn

ę

trznego, Agencj

ę

Wywiadu,

Słu

ż

b

ę

Kontrwywiadu Wojskowego, Słu

ż

b

ę

Wywiadu Wojskowego oraz Centralne Biuro

Antykorupcyjne, Generalnemu Inspektorowi nie przysługuj

ą

uprawnienia okre

ś

lone w art. 12 pkt 2,

art. 14 pkt 1 i 3-5 oraz art. 15-18.

Art. 44. 1. Generalny Inspektor wydaje decyzj

ę

o odmowie rejestracji zbioru danych, je

ż

eli:

1)

nie zostały spełnione wymogi okre

ś

lone w art. 41 ust. 1,

2) przetwarzanie danych naruszałoby zasady okre

ś

lone w art. 23-28,

2)

urz

ą

dzenia i systemy informatyczne słu

żą

ce do przetwarzania zbioru danych

zgłoszonego do rejestracji nie spełniaj

ą

podstawowych warunków technicznych i

organizacyjnych, okre

ś

lonych w przepisach, o których mowa w art. 39a.

2. Odmawiaj

ą

c rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji

administracyjnej, nakazuje:

1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wył

ą

cznie

do ich przechowywania lub

2) zastosowanie innych

ś

rodków, o których mowa w art. 18 ust. 1.

3. (skre

ś

lony)

4.

Administrator danych mo

ż

e zgłosi

ć

ponownie zbiór danych do rejestracji po usuni

ę

ciu wad,

które były powodem odmowy rejestracji zbioru.

5.

W razie ponownego zgłoszenia zbioru do rejestracji administrator danych mo

ż

e rozpocz

ąć

ich

przetwarzanie po zarejestrowaniu zbioru.

Art. 44a. Wykre

ś

lenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze

decyzji administracyjnej, je

ż

eli:

1)

zaprzestano przetwarzania danych w zarejestrowanym zbiorze,

2)

rejestracji dokonano z naruszeniem prawa.

Art. 45. (skre

ś

lony)

Art. 46. 1. Administrator danych mo

ż

e, z zastrze

ż

eniem ust. 2, rozpocz

ąć

ich przetwarzanie w

zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba

ż

e ustawa zwalnia go z

tego obowi

ą

zku.

14

2. Administrator danych, o których mowa w art. 27 ust. 1, mo

ż

e rozpocz

ąć

ich przetwarzanie w

zbiorze danych po zarejestrowaniu zbioru, chyba

ż

e ustawa zwalnia go z obowi

ą

zku zgłoszenia zbioru

do rejestracji.

Art. 46a. Minister wła

ś

ciwy do spraw administracji publicznej okre

ś

li, w drodze rozporz

ą

dzenia,

wzór zgłoszenia, o którym mowa w art. 41 ust. 1, uwzgl

ę

dniaj

ą

c obowi

ą

zek zamieszczenia informacji

niezb

ę

dnych do stwierdzenia zgodno

ś

ci przetwarzania danych z wymogami ustawy.

Rozdział 7

Przekazywanie danych osobowych do pa

ń

stwa trzeciego

Art. 47. 1. Przekazanie danych osobowych do pa

ń

stwa trzeciego mo

ż

e nast

ą

pi

ć

, je

ż

eli pa

ń

stwo

docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie
obowi

ą

zuj

ą

na terytorium Rzeczypospolitej Polskiej.

2. Przepisu ust. 1 nie stosuje si

ę

, gdy przesłanie danych osobowych wynika z obowi

ą

zku

nało

ż

onego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy

mi

ę

dzynarodowej.

3. Administrator danych mo

ż

e jednak przekaza

ć

dane osobowe do pa

ń

stwa trzeciego, je

ż

eli:

1)

osoba, której dane dotycz

ą

, udzieliła na to zgody na pi

ś

mie,

2)

przekazanie jest niezb

ę

dne do wykonania umowy pomi

ę

dzy administratorem danych

a osob

ą

, której dane dotycz

ą

, lub jest podejmowane na jej

ż

yczenie,

3)

przekazanie jest niezb

ę

dne do wykonania umowy zawartej w interesie osoby, której

dane dotycz

ą

, pomi

ę

dzy administratorem danych a innym podmiotem,

4)

przekazanie jest niezb

ę

dne ze wzgl

ę

du na dobro publiczne lub do wykazania

zasadno

ś

ci roszcze

ń

prawnych,

5)

przekazanie jest niezb

ę

dne do ochrony

ż

ywotnych interesów osoby, której dane

dotycz

ą

,

6)

dane s

ą

ogólnie dost

ę

pne.

Art. 48. W przypadkach innych ni

ż

wymienione w art. 47 ust. 2 i 3 przekazanie danych

osobowych do pa

ń

stwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej

takich, jakie obowi

ą

zuj

ą

na terytorium Rzeczypospolitej Polskiej, mo

ż

e nast

ą

pi

ć

po uzyskaniu zgody

Generalnego Inspektora, pod warunkiem

ż

e administrator danych zapewni odpowiednie

zabezpieczenia w zakresie ochrony prywatno

ś

ci oraz praw i wolno

ś

ci osoby, której dane dotycz

ą

.

Rozdział 8

Przepisy karne

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho

ć

ich przetwarzanie nie jest

dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze
ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do lat 2.

2. Je

ż

eli czyn okre

ś

lony w ust. 1 dotyczy danych ujawniaj

ą

cych pochodzenie rasowe lub

etniczne, pogl

ą

dy polityczne, przekonania religijne lub filozoficzne, przynale

ż

no

ść

wyznaniow

ą

,

partyjn

ą

lub zwi

ą

zkow

ą

, danych o stanie zdrowia, kodzie genetycznym, nałogach lub

ż

yciu

seksualnym, sprawca podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do lat

3.

Art. 50. Kto administruj

ą

c zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z

celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci

do roku.

Art. 50 – uchylony z dniem 07 marca 2011 r.

15

Art. 51. 1. Kto administruj

ą

c zbiorem danych lub b

ę

d

ą

c obowi

ą

zany do ochrony danych

osobowych udost

ę

pnia je lub umo

ż

liwia dost

ę

p do nich osobom nieupowa

ż

nionym, podlega

grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do lat 2.

2. Je

ż

eli sprawca działa nieumy

ś

lnie, podlega grzywnie, karze ograniczenia wolno

ś

ci albo

pozbawienia wolno

ś

ci do roku.

Art. 52. Kto administruj

ą

c danymi narusza cho

ć

by nieumy

ś

lnie obowi

ą

zek zabezpieczenia ich

przed zabraniem przez osob

ę

nieuprawnion

ą

, uszkodzeniem lub zniszczeniem, podlega grzywnie,

karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do roku.

Art. 53. Kto b

ę

d

ą

c do tego obowi

ą

zany nie zgłasza do rejestracji zbioru danych, podlega

grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do roku.

Art. 54. Kto administruj

ą

c zbiorem danych nie dopełnia obowi

ą

zku poinformowania osoby,

której dane dotycz

ą

, o jej prawach lub przekazania tej osobie informacji umo

ż

liwiaj

ą

cych korzystanie

z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolno

ś

ci albo

pozbawienia wolno

ś

ci do roku.

Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynno

ś

ci kontrolnej,

podlega grzywnie, karze ograniczenia wolno

ś

ci albo pozbawienia wolno

ś

ci do lat 2.

Rozdział 9

Zmiany w przepisach obowi

ą

zuj

ą

cych, przepisy przej

ś

ciowe

i ko

ń

cowe

Art. 55 - 60. (pomini

ę

te)

Art. 61. 1. Podmioty okre

ś

lone w art. 3, prowadz

ą

ce w dniu wej

ś

cia w

ż

ycie ustawy zbiory

danych osobowych w systemach informatycznych, maj

ą

obowi

ą

zek zło

ż

enia wniosków o

zarejestrowanie tych zbiorów w trybie okre

ś

lonym w art. 41, w terminie 18 miesi

ę

cy od dnia jej

wej

ś

cia w

ż

ycie, chyba

ż

e ustawa zwalnia ich z tego obowi

ą

zku.

2. Do czasu rejestracji zbioru danych osobowych w trybie okre

ś

lonym w art. 41, podmioty,

o których mowa w ust. 1, mog

ą

prowadzi

ć

te zbiory bez rejestracji.

Art. 62. Ustawa wchodzi w

ż

ycie po upływie 6 miesi

ę

cy od dnia ogłoszenia, z tym

ż

e:

1) art. 8-11, art. 13 i 45 wchodz

ą

w

ż

ycie po upływie 2 miesi

ę

cy od dnia ogłoszenia,

2) art. 55-59 wchodz

ą

w

ż

ycie po upływie 14 dni od dnia ogłoszenia.