ustawa o ochronie danych osobowych 21,09,2015


㎏ancelaria Sejmu s. 1/33
Dz.U. 1997 Nr 133 poz. 883
USTAWA
z dnia 29 sierpnia 1997 r.
Opracowano na
o ochronie danych osobowych1)
podstawie: t.j.
Dz. U. z 2014 r.
poz. 1182, 1662, z
Rozdzia艂 1
2015 r. poz. 1309.
Przepisy og贸lne
Art. 1. 1. Ka偶dy ma prawo do ochrony dotycz膮cych go danych osobowych.
2. Przetwarzanie danych osobowych mo偶e mie膰 miejsce ze wzgl臋du na dobro
publiczne, dobro osoby, kt贸rej dane dotycz膮, lub dobro os贸b trzecich w zakresie i
trybie okre艣lonym ustaw膮.
Art. 2. 1. Ustawa okre艣la zasady post臋powania przy przetwarzaniu danych
osobowych oraz prawa os贸b fizycznych, kt贸rych dane osobowe s膮 lub mog膮 by膰
przetwarzane w zbiorach danych.
2. Ustaw臋 stosuje si臋 do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, ksi臋gach, wykazach i w innych zbiorach
ewidencyjnych;
2) w systemach informatycznych, tak偶e w przypadku przetwarzania danych poza
zbiorem danych.
3. W odniesieniu do zbior贸w danych osobowych sporz膮dzanych doraznie,
wy艂膮cznie ze wzgl臋d贸w technicznych, szkoleniowych lub w zwi膮zku z dydaktyk膮 w
szko艂ach wy偶szych, a po ich wykorzystaniu niezw艂ocznie usuwanych albo
poddanych anonimizacji, maj膮 zastosowanie jedynie przepisy rozdzia艂u 5.
Art. 3. 1. Ustaw臋 stosuje si臋 do organ贸w pa艅stwowych, organ贸w samorz膮du
terytorialnego oraz do pa艅stwowych i komunalnych jednostek organizacyjnych.
1)
Niniejsza ustawa dokonuje w zakresie swojej regulacji wdro偶enia dyrektywy 95/46/WE
Parlamentu Europejskiego i Rady z dnia 24 pazdziernika 1995 r. w sprawie ochrony os贸b
fizycznych w zakresie przetwarzania danych osobowych i swobodnego przep艂ywu tych danych
(Dz. Urz. WE L 281 z 23.11.1995, str. 31, z p贸zn. zm.; Dz. Urz. UE Polskie wydanie specjalne,
rozdz. 13, t. 15, str. 355, z p贸zn. zm.).
2015-09-21
㎏ancelaria Sejmu s. 2/33
2. Ustaw臋 stosuje si臋 r贸wnie偶 do:
1) podmiot贸w niepublicznych realizuj膮cych zadania publiczne,
2) os贸b fizycznych i os贸b prawnych oraz jednostek organizacyjnych nieb臋d膮cych
osobami prawnymi, je偶eli przetwarzaj膮 dane osobowe w zwi膮zku z
dzia艂alno艣ci膮 zarobkow膮, zawodow膮 lub dla realizacji cel贸w statutowych
 kt贸re maj膮 siedzib臋 albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w pa艅stwie trzecim, o ile przetwarzaj膮 dane osobowe przy
wykorzystaniu 艣rodk贸w technicznych znajduj膮cych si臋 na terytorium
Rzeczypospolitej Polskiej.
Art. 3a. 1. Ustawy nie stosuje si臋 do:
1) os贸b fizycznych, kt贸re przetwarzaj膮 dane wy艂膮cznie w celach osobistych lub
domowych;
2) podmiot贸w maj膮cych siedzib臋 lub miejsce zamieszkania w pa艅stwie trzecim,
wykorzystuj膮cych 艣rodki techniczne znajduj膮ce si臋 na terytorium
Rzeczypospolitej Polskiej wy艂膮cznie do przekazywania danych.
2. Ustawy, z wyj膮tkiem przepis贸w art. 14 19 i art. 36 ust. 1, nie stosuje si臋
r贸wnie偶 do prasowej dzia艂alno艣ci dziennikarskiej w rozumieniu ustawy z dnia 26
stycznia 1984 r.  Prawo prasowe (Dz. U. Nr 5, poz. 24, z p贸zn. zm.2)) oraz do
dzia艂alno艣ci literackiej lub artystycznej, chyba 偶e wolno艣膰 wyra偶ania swoich
pogl膮d贸w i rozpowszechniania informacji istotnie narusza prawa i wolno艣ci osoby,
kt贸rej dane dotycz膮.
Art. 4. Przepis贸w ustawy nie stosuje si臋, je偶eli umowa mi臋dzynarodowa, kt贸rej
stron膮 jest Rzeczpospolita Polska, stanowi inaczej.
Art. 5. Je偶eli przepisy odr臋bnych ustaw, kt贸re odnosz膮 si臋 do przetwarzania
danych, przewiduj膮 dalej id膮c膮 ich ochron臋, ni偶 wynika to z niniejszej ustawy,
stosuje si臋 przepisy tych ustaw.
2)
Zmiany wymienionej ustawy zosta艂y og艂oszone w Dz. U. z 1988 r. Nr 41, poz. 324, z 1989 r. Nr
34, poz. 187, z 1990 r. Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114, poz. 542, z
1997 r. Nr 88, poz. 554 i Nr 121, poz. 770, z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198,
z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 111, poz. 1181, z 2005 r. Nr 39, poz. 377, z 2007 r. Nr
89, poz. 590, z 2010 r. Nr 182, poz. 1228 i Nr 235, poz. 1551, z 2011 r. Nr 85, poz. 459, Nr 156,
poz. 934, Nr 205, poz. 1204 i Nr 282, poz. 1660, z 2012 r. poz. 1136 oraz z 2013 r. poz. 771.
2015-09-21
㎏ancelaria Sejmu s. 3/33
Art. 6. 1. W rozumieniu ustawy za dane osobowe uwa偶a si臋 wszelkie
informacje dotycz膮ce zidentyfikowanej lub mo偶liwej do zidentyfikowania osoby
fizycznej.
2. Osob膮 mo偶liw膮 do zidentyfikowania jest osoba, kt贸rej to偶samo艣膰 mo偶na
okre艣li膰 bezpo艣rednio lub po艣rednio, w szczeg贸lno艣ci przez powo艂anie si臋 na numer
identyfikacyjny albo jeden lub kilka specyficznych czynnik贸w okre艣laj膮cych jej
cechy fizyczne, fizjologiczne, umys艂owe, ekonomiczne, kulturowe lub spo艂eczne.
3. Informacji nie uwa偶a si臋 za umo偶liwiaj膮c膮 okre艣lenie to偶samo艣ci osoby,
je偶eli wymaga艂oby to nadmiernych koszt贸w, czasu lub dzia艂a艅.
Art. 7. Ilekro膰 w ustawie jest mowa o:
1) zbiorze danych  rozumie si臋 przez to ka偶dy posiadaj膮cy struktur臋 zestaw
danych o charakterze osobowym, dost臋pnych wed艂ug okre艣lonych kryteri贸w,
niezale偶nie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie;
2) przetwarzaniu danych  rozumie si臋 przez to jakiekolwiek operacje
wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udost臋pnianie i usuwanie, a
zw艂aszcza te, kt贸re wykonuje si臋 w systemach informatycznych;
2a) systemie informatycznym  rozumie si臋 przez to zesp贸艂 wsp贸艂pracuj膮cych ze
sob膮 urz膮dze艅, program贸w, procedur przetwarzania informacji i narz臋dzi
programowych zastosowanych w celu przetwarzania danych;
2b) zabezpieczeniu danych w systemie informatycznym  rozumie si臋 przez to
wdro偶enie i eksploatacj臋 stosownych 艣rodk贸w technicznych i organizacyjnych
zapewniaj膮cych ochron臋 danych przed ich nieuprawnionym przetwarzaniem;
3) usuwaniu danych  rozumie si臋 przez to zniszczenie danych osobowych lub
tak膮 ich modyfikacj臋, kt贸ra nie pozwoli na ustalenie to偶samo艣ci osoby, kt贸rej
dane dotycz膮;
4) administratorze danych  rozumie si臋 przez to organ, jednostk臋 organizacyjn膮,
podmiot lub osob臋, o kt贸rych mowa w art. 3, decyduj膮ce o celach i 艣rodkach
przetwarzania danych osobowych;
5) zgodzie osoby, kt贸rej dane dotycz膮  rozumie si臋 przez to o艣wiadczenie woli,
kt贸rego tre艣ci膮 jest zgoda na przetwarzanie danych osobowych tego, kto sk艂ada
2015-09-21
㎏ancelaria Sejmu s. 4/33
o艣wiadczenie; zgoda nie mo偶e by膰 domniemana lub dorozumiana z
o艣wiadczenia woli o innej tre艣ci; zgoda mo偶e by膰 odwo艂ana w ka偶dym czasie;
6) odbiorcy danych  rozumie si臋 przez to ka偶dego, komu udost臋pnia si臋 dane
osobowe, z wy艂膮czeniem:
a) osoby, kt贸rej dane dotycz膮,
b) osoby upowa偶nionej do przetwarzania danych,
c) przedstawiciela, o kt贸rym mowa w art. 31a,
d) podmiotu, o kt贸rym mowa w art. 31,
e) organ贸w pa艅stwowych lub organ贸w samorz膮du terytorialnego, kt贸rym
dane s膮 udost臋pniane w zwi膮zku z prowadzonym post臋powaniem;
7) pa艅stwie trzecim  rozumie si臋 przez to pa艅stwo nienale偶膮ce do Europejskiego
Obszaru Gospodarczego.
Rozdzia艂 2
Organ ochrony danych osobowych
Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny
Inspektor Ochrony Danych Osobowych, zwany dalej  Generalnym Inspektorem .
2. Generalnego Inspektora powo艂uje i odwo艂uje Sejm Rzeczypospolitej Polskiej
za zgod膮 Senatu.
3. Na stanowisko Generalnego Inspektora mo偶e by膰 powo艂any ten, kto 艂膮cznie
spe艂nia nast臋puj膮ce warunki:
1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej
Polskiej;
2) wyr贸偶nia si臋 wysokim autorytetem moralnym;
3) posiada wy偶sze wykszta艂cenie prawnicze oraz odpowiednie do艣wiadczenie
zawodowe;
4) nie by艂 karany za przest臋pstwo.
4. Generalny Inspektor w zakresie wykonywania swoich zada艅 podlega tylko
ustawie.
5. Kadencja Generalnego Inspektora trwa 4 lata, licz膮c od dnia z艂o偶enia
艣lubowania. Po up艂ywie kadencji Generalny Inspektor pe艂ni swoje obowi膮zki do
czasu obj臋cia stanowiska przez nowego Generalnego Inspektora.
2015-09-21
㎏ancelaria Sejmu s. 5/33
6. Ta sama osoba nie mo偶e by膰 Generalnym Inspektorem wi臋cej ni偶 przez dwie
kadencje.
7. Kadencja Generalnego Inspektora wygasa z chwil膮 jego 艣mierci, odwo艂ania
lub utraty obywatelstwa polskiego.
8. Sejm, za zgod膮 Senatu, odwo艂uje Generalnego Inspektora, je偶eli:
1) zrzek艂 si臋 stanowiska;
2) sta艂 si臋 trwale niezdolny do pe艂nienia obowi膮zk贸w na skutek choroby;
3) sprzeniewierzy艂 si臋 z艂o偶onemu 艣lubowaniu;
4) zosta艂 skazany prawomocnym wyrokiem s膮du za pope艂nienie przest臋pstwa.
Art. 9. Przed przyst膮pieniem do wykonywania obowi膮zk贸w Generalny
Inspektor sk艂ada przed Sejmem nast臋puj膮ce 艣lubowanie:
 Obejmuj膮c stanowisko Generalnego Inspektora Ochrony Danych
Osobowych uroczy艣cie 艣lubuj臋 dochowa膰 wierno艣ci postanowieniom
Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych
osobowych, a powierzone mi obowi膮zki wype艂nia膰 sumiennie i
bezstronnie.
艢lubowanie mo偶e by膰 z艂o偶one z dodaniem s艂贸w  Tak mi dopom贸偶 B贸g .
Art. 10. 1. Generalny Inspektor nie mo偶e zajmowa膰 innego stanowiska, z
wyj膮tkiem stanowiska profesora szko艂y wy偶szej, ani wykonywa膰 innych zaj臋膰
zawodowych.
2. Generalny Inspektor nie mo偶e nale偶e膰 do partii politycznej, zwi膮zku
zawodowego ani prowadzi膰 dzia艂alno艣ci publicznej niedaj膮cej si臋 pogodzi膰 z
godno艣ci膮 jego urz臋du.
Art. 11. 1. Generalny Inspektor nie mo偶e by膰 bez uprzedniej zgody Sejmu
poci膮gni臋ty do odpowiedzialno艣ci karnej ani pozbawiony wolno艣ci, z zastrze偶eniem
ust. 2.
2. Generalny Inspektor mo偶e wyrazi膰 zgod臋 na poci膮gni臋cie go do
odpowiedzialno艣ci karnej za wykroczenia, o kt贸rych mowa w ust. 3, w trybie
okre艣lonym w tym przepisie.
3. W przypadku pope艂nienia przez Generalnego Inspektora wykroczenia, o
kt贸rym mowa w rozdziale XI ustawy z dnia 20 maja 1971 r.  Kodeks wykrocze艅
(Dz. U. z 2015 r. poz. 1094), przyj臋cie przez Generalnego Inspektora mandatu
2015-09-21
㎏ancelaria Sejmu s. 6/33
karnego albo uiszczenie grzywny, w przypadku ukarania mandatem karnym
zaocznym, o kt贸rym mowa w art. 98 偶 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. 
Kodeks post臋powania w sprawach o wykroczenia (Dz. U. z 2013 r. poz. 395, z p贸zn.
zm.3)), stanowi o艣wiadczenie o wyra偶eniu przez niego zgody na poci膮gni臋cie go do
odpowiedzialno艣ci w tej formie.
4. Generalny Inspektor nie mo偶e by膰 zatrzymany lub aresztowany, z wyj膮tkiem
uj臋cia go na gor膮cym uczynku przest臋pstwa i je偶eli jego zatrzymanie jest niezb臋dne
do zapewnienia prawid艂owego toku post臋powania. O zatrzymaniu niezw艂ocznie
powiadamia si臋 Marsza艂ka Sejmu, kt贸ry mo偶e nakaza膰 natychmiastowe zwolnienie
zatrzymanego.
Art. 12. Do zada艅 Generalnego Inspektora w szczeg贸lno艣ci nale偶y:
1) kontrola zgodno艣ci przetwarzania danych z przepisami o ochronie danych
osobowych;
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach
wykonania przepis贸w o ochronie danych osobowych;
3) zapewnienie wykonania przez zobowi膮zanych obowi膮zk贸w o charakterze
niepieni臋偶nym wynikaj膮cych z decyzji, o kt贸rych mowa w pkt 2, przez
stosowanie 艣rodk贸w egzekucyjnych przewidzianych w ustawie z dnia 17
czerwca 1966 r. o post臋powaniu egzekucyjnym w administracji (Dz. U. z 2012
r. poz. 1015, z p贸zn. zm.4));
[4) prowadzenie rejestru zbior贸w danych oraz udzielanie informacji o
Nowe brzmienie
pkt 4 w art. 12
zarejestrowanych zbiorach;]
wejdzie w 偶ycie z
dn. 1.01.2015 r.
<4) prowadzenie rejestru zbior贸w danych oraz rejestru administrator贸w
(Dz. U. z 2014 r.
poz. 1662).
bezpiecze艅stwa informacji, a tak偶e udzielanie informacji o
zarejestrowanych zbiorach danych i zarejestrowanych administratorach
bezpiecze艅stwa informacji;>
5) opiniowanie projekt贸w ustaw i rozporz膮dze艅 dotycz膮cych ochrony danych
osobowych;
6) inicjowanie i podejmowanie przedsi臋wzi臋膰 w zakresie doskonalenia ochrony
danych osobowych;
3)
Zmiany tekstu jednolitego wymienionej ustawy zosta艂y og艂oszone w Dz. U. z 2013 r. poz. 765 i
1247, z 2014 r. poz. 486, 579, 786 i 969 oraz z 2015 r. poz. 21, 396, 841, 1186 i 1269.
4)
Zmiany tekstu jednolitego wymienionej ustawy zosta艂y og艂oszone w Dz. U. z 2012 r. poz. 1166,
1342 i 1529, z 2013 r. poz. 1289 oraz z 2014 r. poz. 379, 567 i 897.
2015-09-21
㎏ancelaria Sejmu s. 7/33
7) uczestniczenie w pracach mi臋dzynarodowych organizacji i instytucji
zajmuj膮cych si臋 problematyk膮 ochrony danych osobowych.
Art. 12a. 1. Na wniosek Generalnego Inspektora Marsza艂ek Sejmu mo偶e
powo艂a膰 zast臋pc臋 Generalnego Inspektora. Odwo艂anie zast臋pcy Generalnego
Inspektora nast臋puje w tym samym trybie.
2. Generalny Inspektor okre艣la zakres zada艅 swojego zast臋pcy.
3. Zast臋pca Generalnego Inspektora powinien spe艂nia膰 wymogi okre艣lone w art.
8 ust. 3 pkt 1, 2 i 4 oraz posiada膰 wy偶sze wykszta艂cenie i odpowiednie
do艣wiadczenie zawodowe.
Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura
Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczb膮
spraw z zakresu ochrony danych osobowych na danym terenie mo偶e wykonywa膰
swoje zadania przy pomocy jednostek zamiejscowych Biura.
2. (uchylony).
3. Prezydent Rzeczypospolitej Polskiej, po zasi臋gni臋ciu opinii Generalnego
Inspektora, w drodze rozporz膮dzenia, nadaje statut Biuru, okre艣laj膮c jego
organizacj臋, zasady dzia艂ania oraz siedziby jednostek zamiejscowych i zakres ich
w艂a艣ciwo艣ci terytorialnej, maj膮c na uwadze stworzenie optymalnych warunk贸w
organizacyjnych do prawid艂owej realizacji zada艅 Biura.
Art. 14. W celu wykonania zada艅, o kt贸rych mowa w art. 12 pkt 1 i 2,
Generalny Inspektor, zast臋pca Generalnego Inspektora lub upowa偶nieni przez niego
pracownicy Biura, zwani dalej  inspektorami , maj膮 prawo:
1) wst臋pu, w godzinach od 600 do 2200, za okazaniem imiennego upowa偶nienia i
legitymacji s艂u偶bowej, do pomieszczenia, w kt贸rym zlokalizowany jest zbi贸r
danych, oraz pomieszczenia, w kt贸rym przetwarzane s膮 dane poza zbiorem
danych, i przeprowadzenia niezb臋dnych bada艅 lub innych czynno艣ci
kontrolnych w celu oceny zgodno艣ci przetwarzania danych z ustaw膮;
2) 偶膮da膰 z艂o偶enia pisemnych lub ustnych wyja艣nie艅 oraz wzywa膰 i przes艂uchiwa膰
osoby w zakresie niezb臋dnym do ustalenia stanu faktycznego;
3) wgl膮du do wszelkich dokument贸w i wszelkich danych maj膮cych bezpo艣redni
zwi膮zek z przedmiotem kontroli oraz sporz膮dzania ich kopii;
2015-09-21
㎏ancelaria Sejmu s. 8/33
4) przeprowadzania ogl臋dzin urz膮dze艅, no艣nik贸w oraz system贸w informatycznych
s艂u偶膮cych do przetwarzania danych;
5) zleca膰 sporz膮dzanie ekspertyz i opinii.
Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz
kontrolowana osoba fizyczna b臋d膮ca administratorem danych osobowych s膮
obowi膮zani umo偶liwi膰 inspektorowi przeprowadzenie kontroli, a w szczeg贸lno艣ci
umo偶liwi膰 przeprowadzenie czynno艣ci oraz spe艂ni膰 偶膮dania, o kt贸rych mowa w art.
14 pkt 1 4.
2. W toku kontroli zbior贸w, o kt贸rych mowa w art. 43 ust. 1 pkt 1a, inspektor
przeprowadzaj膮cy kontrol臋 ma prawo wgl膮du do zbioru zawieraj膮cego dane osobowe
jedynie za po艣rednictwem upowa偶nionego przedstawiciela kontrolowanej jednostki
organizacyjnej.
3. Kontrol臋 przeprowadza si臋 po okazaniu imiennego upowa偶nienia wraz z
legitymacj膮 s艂u偶bow膮.
4. Imienne upowa偶nienie powinno zawiera膰:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu kontroli;
3) imi臋 i nazwisko, stanowisko s艂u偶bowe osoby upowa偶nionej do
przeprowadzenia kontroli oraz numer jej legitymacji s艂u偶bowej;
4) okre艣lenie zakresu przedmiotowego kontroli;
5) oznaczenie podmiotu obj臋tego kontrol膮 albo zbioru danych, albo miejsca
poddawanego kontroli;
6) wskazanie daty rozpocz臋cia i przewidywanego terminu zako艅czenia kontroli;
7) podpis Generalnego Inspektora;
8) pouczenie kontrolowanego podmiotu o jego prawach i obowi膮zkach;
9) dat臋 i miejsce wystawienia imiennego upowa偶nienia.
Art. 16. 1. Z czynno艣ci kontrolnych inspektor sporz膮dza protok贸艂, kt贸rego
jeden egzemplarz dor臋cza kontrolowanemu administratorowi danych.
1a. Protok贸艂 kontroli powinien zawiera膰:
1) nazw臋 podmiotu kontrolowanego w pe艂nym brzmieniu i jego adres;
2) imi臋 i nazwisko, stanowisko s艂u偶bowe, numer legitymacji s艂u偶bowej oraz
numer upowa偶nienia inspektora;
2015-09-21
㎏ancelaria Sejmu s. 9/33
3) imi臋 i nazwisko osoby reprezentuj膮cej podmiot kontrolowany oraz nazw臋
organu reprezentuj膮cego ten podmiot;
4) dat臋 rozpocz臋cia i zako艅czenia czynno艣ci kontrolnych, z wymienieniem dni
przerw w kontroli;
5) okre艣lenie przedmiotu i zakresu kontroli;
6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje
maj膮ce istotne znaczenie dla oceny zgodno艣ci przetwarzania danych z
przepisami o ochronie danych osobowych;
7) wyszczeg贸lnienie za艂膮cznik贸w stanowi膮cych sk艂adow膮 cz臋艣膰 protoko艂u;
8) om贸wienie dokonanych w protokole poprawek, skre艣le艅 i uzupe艂nie艅;
9) parafy inspektora i osoby reprezentuj膮cej podmiot kontrolowany na ka偶dej
stronie protoko艂u;
10) wzmiank臋 o dor臋czeniu egzemplarza protoko艂u osobie reprezentuj膮cej podmiot
kontrolowany;
11) wzmiank臋 o wniesieniu lub niewniesieniu zastrze偶e艅 i uwag do protoko艂u;
12) dat臋 i miejsce podpisania protoko艂u przez inspektora oraz przez osob臋 lub organ
reprezentuj膮cy podmiot kontrolowany.
2. Protok贸艂 podpisuj膮 inspektor i kontrolowany administrator danych, kt贸ry
mo偶e wnie艣膰 do protoko艂u umotywowane zastrze偶enia i uwagi.
3. W razie odmowy podpisania protoko艂u przez kontrolowanego administratora
danych, inspektor czyni o tym wzmiank臋 w protokole, a odmawiaj膮cy podpisu mo偶e,
w terminie 7 dni, przedstawi膰 swoje stanowisko na pi艣mie Generalnemu
Inspektorowi.
Art. 17. 1. Je偶eli na podstawie wynik贸w kontroli inspektor stwierdzi naruszenie
przepis贸w o ochronie danych osobowych, wyst臋puje do Generalnego Inspektora o
zastosowanie 艣rodk贸w, o kt贸rych mowa w art. 18.
2. Na podstawie ustale艅 kontroli inspektor mo偶e 偶膮da膰 wszcz臋cia post臋powania
dyscyplinarnego lub innego przewidzianego prawem post臋powania przeciwko
osobom winnym dopuszczenia do uchybie艅 i poinformowania go, w okre艣lonym
terminie, o wynikach tego post臋powania i podj臋tych dzia艂aniach.
Art. 18. 1. W przypadku naruszenia przepis贸w o ochronie danych osobowych
Generalny Inspektor z urz臋du lub na wniosek osoby zainteresowanej, w drodze
2015-09-21
㎏ancelaria Sejmu s. 10/33
decyzji administracyjnej, nakazuje przywr贸cenie stanu zgodnego z prawem, a w
szczeg贸lno艣ci:
1) usuni臋cie uchybie艅;
2) uzupe艂nienie, uaktualnienie, sprostowanie, udost臋pnienie lub nieudost臋pnienie
danych osobowych;
3) zastosowanie dodatkowych 艣rodk贸w zabezpieczaj膮cych zgromadzone dane
osobowe;
4) wstrzymanie przekazywania danych osobowych do pa艅stwa trzeciego;
5) zabezpieczenie danych lub przekazanie ich innym podmiotom;
6) usuni臋cie danych osobowych.
2. Decyzje Generalnego Inspektora, o kt贸rych mowa w ust. 1, nie mog膮
ogranicza膰 swobody dzia艂ania podmiot贸w zg艂aszaj膮cych kandydat贸w lub listy
kandydat贸w w wyborach na urz膮d Prezydenta Rzeczypospolitej Polskiej, do Sejmu,
do Senatu i do organ贸w samorz膮du terytorialnego, a tak偶e w wyborach do
Parlamentu Europejskiego, pomi臋dzy dniem zarz膮dzenia wybor贸w a dniem
g艂osowania.
2a. Decyzje Generalnego Inspektora, o kt贸rych mowa w ust. 1, w odniesieniu
do zbior贸w okre艣lonych w art. 43 ust. 1 pkt 1a, nie mog膮 nakazywa膰 usuni臋cia
danych osobowych zebranych w toku czynno艣ci operacyjno-rozpoznawczych
prowadzonych na podstawie przepis贸w prawa.
3. W przypadku gdy przepisy innych ustaw reguluj膮 odr臋bnie wykonywanie
czynno艣ci, o kt贸rych mowa w ust. 1, stosuje si臋 przepisy tych ustaw.
Art. 19. W razie stwierdzenia, 偶e dzia艂anie lub zaniechanie kierownika
jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej b臋d膮cej
administratorem danych wyczerpuje znamiona przest臋pstwa okre艣lonego w ustawie,
Generalny Inspektor kieruje do organu powo艂anego do 艣cigania przest臋pstw
zawiadomienie o pope艂nieniu przest臋pstwa, do艂膮czaj膮c dowody dokumentuj膮ce
podejrzenie.
Art. 19a. 1. W celu realizacji zada艅, o kt贸rych mowa w art. 12 pkt 6, Generalny
Inspektor mo偶e kierowa膰 do organ贸w pa艅stwowych, organ贸w samorz膮du
terytorialnego, pa艅stwowych i komunalnych jednostek organizacyjnych, podmiot贸w
niepublicznych realizuj膮cych zadania publiczne, os贸b fizycznych i prawnych,
2015-09-21
㎏ancelaria Sejmu s. 11/33
jednostek organizacyjnych nieb臋d膮cych osobami prawnymi oraz innych podmiot贸w
wyst膮pienia zmierzaj膮ce do zapewnienia skutecznej ochrony danych osobowych.
2. Generalny Inspektor mo偶e r贸wnie偶 wyst臋powa膰 do w艂a艣ciwych organ贸w z
wnioskami o podj臋cie inicjatywy ustawodawczej albo o wydanie b膮dz zmian臋 akt贸w
prawnych w sprawach dotycz膮cych ochrony danych osobowych.
3. Podmiot, do kt贸rego zosta艂o skierowane wyst膮pienie lub wniosek, o kt贸rych
mowa w ust. 1 i 2, jest obowi膮zany ustosunkowa膰 si臋 do tego wyst膮pienia lub
wniosku na pi艣mie w terminie 30 dni od daty jego otrzymania.
Dodany art. 19b
wejdzie w 偶ycie z
bezpiecze艅stwa informacji wpisanego do rejestru, o kt贸rym mowa w art. 46c, o
dn. 1.01.2015 r.
(Dz. U. z 2014 r.
dokonanie sprawdzenia, o kt贸rym mowa w art. 36a ust. 2 pkt 1 lit. a, u
poz. 1662).
administratora danych, kt贸ry go powo艂a艂, wskazuj膮c zakres i termin
sprawdzenia.
2. Po dokonaniu sprawdzenia, o kt贸rym mowa w art. 36a ust. 2 pkt 1 lit. a,
administrator bezpiecze艅stwa informacji, za po艣rednictwem administratora
danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o kt贸rym mowa
w art. 36a ust. 2 pkt 1 lit. a.
3. Dokonanie przez administratora bezpiecze艅stwa informacji sprawdzenia
w przypadku, o kt贸rym mowa w ust. 1, nie wy艂膮cza prawa Generalnego
Inspektora do przeprowadzenia kontroli, o kt贸rej mowa w art. 12 pkt 1.>
Art. 20. Generalny Inspektor sk艂ada Sejmowi, raz w roku, sprawozdanie ze
swojej dzia艂alno艣ci wraz z wnioskami wynikaj膮cymi ze stanu przestrzegania
przepis贸w o ochronie danych osobowych.
Art. 21. 1. Strona mo偶e zwr贸ci膰 si臋 do Generalnego Inspektora z wnioskiem o
ponowne rozpatrzenie sprawy.
2. Na decyzj臋 Generalnego Inspektora w przedmiocie wniosku o ponowne
rozpatrzenie sprawy stronie przys艂uguje skarga do s膮du administracyjnego.
Art. 22. Post臋powanie w sprawach uregulowanych w niniejszej ustawie
prowadzi si臋 wed艂ug przepis贸w Kodeksu post臋powania administracyjnego, o ile
przepisy ustawy nie stanowi膮 inaczej.
2015-09-21
㎏ancelaria Sejmu s. 12/33
Art. 22a. Minister w艂a艣ciwy do spraw administracji publicznej okre艣li, w
drodze rozporz膮dzenia, wz贸r upowa偶nienia i legitymacji s艂u偶bowej, o kt贸rych mowa
w art. 14 pkt 1, uwzgl臋dniaj膮c konieczno艣膰 imiennego wskazania inspektora Biura
Generalnego Inspektora Ochrony Danych Osobowych.
Rozdzia艂 3
Zasady przetwarzania danych osobowych
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, kt贸rej dane dotycz膮, wyrazi na to zgod臋, chyba 偶e chodzi o usuni臋cie
dotycz膮cych jej danych;
2) jest to niezb臋dne dla zrealizowania uprawnienia lub spe艂nienia obowi膮zku
wynikaj膮cego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, kt贸rej dane dotycz膮, jest jej
stron膮 lub gdy jest to niezb臋dne do podj臋cia dzia艂a艅 przed zawarciem umowy
na 偶膮danie osoby, kt贸rej dane dotycz膮;
4) jest niezb臋dne do wykonania okre艣lonych prawem zada艅 realizowanych dla
dobra publicznego;
5) jest to niezb臋dne dla wype艂nienia prawnie usprawiedliwionych cel贸w
realizowanych przez administrator贸w danych albo odbiorc贸w danych, a
przetwarzanie nie narusza praw i wolno艣ci osoby, kt贸rej dane dotycz膮.
2. Zgoda, o kt贸rej mowa w ust. 1 pkt 1, mo偶e obejmowa膰 r贸wnie偶
przetwarzanie danych w przysz艂o艣ci, je偶eli nie zmienia si臋 cel przetwarzania.
3. Je偶eli przetwarzanie danych jest niezb臋dne dla ochrony 偶ywotnych interes贸w
osoby, kt贸rej dane dotycz膮, a spe艂nienie warunku okre艣lonego w ust. 1 pkt 1 jest
niemo偶liwe, mo偶na przetwarza膰 dane bez zgody tej osoby, do czasu, gdy uzyskanie
zgody b臋dzie mo偶liwe.
4. Za prawnie usprawiedliwiony cel, o kt贸rym mowa w ust. 1 pkt 5, uwa偶a si臋
w szczeg贸lno艣ci:
1) marketing bezpo艣redni w艂asnych produkt贸w lub us艂ug administratora danych;
2) dochodzenie roszcze艅 z tytu艂u prowadzonej dzia艂alno艣ci gospodarczej.
Art. 24. 1. W przypadku zbierania danych osobowych od osoby, kt贸rej one
dotycz膮, administrator danych jest obowi膮zany poinformowa膰 t臋 osob臋 o:
2015-09-21
㎏ancelaria Sejmu s. 13/33
1) adresie swojej siedziby i pe艂nej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna  o miejscu swojego zamieszkania oraz imieniu i
nazwisku;
2) celu zbierania danych, a w szczeg贸lno艣ci o znanych mu w czasie udzielania
informacji lub przewidywanych odbiorcach lub kategoriach odbiorc贸w danych;
3) prawie dost臋pu do tre艣ci swoich danych oraz ich poprawiania;
4) dobrowolno艣ci albo obowi膮zku podania danych, a je偶eli taki obowi膮zek
istnieje, o jego podstawie prawnej.
2. Przepisu ust. 1 nie stosuje si臋, je偶eli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania
faktycznego celu ich zbierania;
2) osoba, kt贸rej dane dotycz膮, posiada informacje, o kt贸rych mowa w ust. 1.
Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, kt贸rej one
dotycz膮, administrator danych jest obowi膮zany poinformowa膰 t臋 osob臋,
bezpo艣rednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pe艂nej nazwie, a w przypadku gdy administratorem
danych jest osoba fizyczna  o miejscu swojego zamieszkania oraz imieniu i
nazwisku;
2) celu i zakresie zbierania danych, a w szczeg贸lno艣ci o odbiorcach lub
kategoriach odbiorc贸w danych;
3) zr贸dle danych;
4) prawie dost臋pu do tre艣ci swoich danych oraz ich poprawiania;
5) uprawnieniach wynikaj膮cych z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu ust. 1 nie stosuje si臋, je偶eli:
1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych
bez wiedzy osoby, kt贸rej dane dotycz膮;
2) (uchylony);
3) dane te s膮 niezb臋dne do bada艅 naukowych, dydaktycznych, historycznych,
statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza
praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, a spe艂nienie wymaga艅
okre艣lonych w ust. 1 wymaga艂oby nadmiernych nak艂ad贸w lub zagra偶a艂oby
realizacji celu badania;
4) (uchylony);
2015-09-21
㎏ancelaria Sejmu s. 14/33
5) dane s膮 przetwarzane przez administratora, o kt贸rym mowa w art. 3 ust. 1 i ust.
2 pkt 1, na podstawie przepis贸w prawa;
6) osoba, kt贸rej dane dotycz膮, posiada informacje, o kt贸rych mowa w ust. 1.
Art. 26. 1. Administrator danych przetwarzaj膮cy dane powinien do艂o偶y膰
szczeg贸lnej staranno艣ci w celu ochrony interes贸w os贸b, kt贸rych dane dotycz膮, a w
szczeg贸lno艣ci jest obowi膮zany zapewni膰, aby dane te by艂y:
1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem cel贸w i niepoddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, z zastrze偶eniem ust. 2;
3) merytorycznie poprawne i adekwatne w stosunku do cel贸w, w jakich s膮
przetwarzane;
4) przechowywane w postaci umo偶liwiaj膮cej identyfikacj臋 os贸b, kt贸rych dotycz膮,
nie d艂u偶ej ni偶 jest to niezb臋dne do osi膮gni臋cia celu przetwarzania.
2. Przetwarzanie danych w celu innym ni偶 ten, dla kt贸rego zosta艂y zebrane, jest
dopuszczalne, je偶eli nie narusza praw i wolno艣ci osoby, kt贸rej dane dotycz膮, oraz
nast臋puje:
1) w celach bada艅 naukowych, dydaktycznych, historycznych lub statystycznych;
2) z zachowaniem przepis贸w art. 23 i 25.
Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygni臋cie indywidualnej
sprawy osoby, kt贸rej dane dotycz膮, je偶eli jego tre艣膰 jest wy艂膮cznie wynikiem
operacji na danych osobowych, prowadzonych w systemie informatycznym.
2. Przepisu ust. 1 nie stosuje si臋, je偶eli rozstrzygni臋cie zosta艂o podj臋te podczas
zawierania lub wykonywania umowy i uwzgl臋dnia wniosek osoby, kt贸rej dane
dotycz膮, albo je偶eli zezwalaj膮 na to przepisy prawa, kt贸re przewiduj膮 r贸wnie偶 艣rodki
ochrony uzasadnionych interes贸w osoby, kt贸rej dane dotycz膮.
Art. 27. 1. Zabrania si臋 przetwarzania danych ujawniaj膮cych pochodzenie
rasowe lub etniczne, pogl膮dy polityczne, przekonania religijne lub filozoficzne,
przynale偶no艣膰 wyznaniow膮, partyjn膮 lub zwi膮zkow膮, jak r贸wnie偶 danych o stanie
zdrowia, kodzie genetycznym, na艂ogach lub 偶yciu seksualnym oraz danych
dotycz膮cych skaza艅, orzecze艅 o ukaraniu i mandat贸w karnych, a tak偶e innych
orzecze艅 wydanych w post臋powaniu s膮dowym lub administracyjnym.
2015-09-21
㎏ancelaria Sejmu s. 15/33
2. Przetwarzanie danych, o kt贸rych mowa w ust. 1, jest jednak dopuszczalne,
je偶eli:
1) osoba, kt贸rej dane dotycz膮, wyrazi na to zgod臋 na pi艣mie, chyba 偶e chodzi o
usuni臋cie dotycz膮cych jej danych;
2) przepis szczeg贸lny innej ustawy zezwala na przetwarzanie takich danych bez
zgody osoby, kt贸rej dane dotycz膮, i stwarza pe艂ne gwarancje ich ochrony;
3) przetwarzanie takich danych jest niezb臋dne do ochrony 偶ywotnych interes贸w
osoby, kt贸rej dane dotycz膮, lub innej osoby, gdy osoba, kt贸rej dane dotycz膮, nie
jest fizycznie lub prawnie zdolna do wyra偶enia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora;
4) jest to niezb臋dne do wykonania statutowych zada艅 ko艣cio艂贸w i innych
zwi膮zk贸w wyznaniowych, stowarzysze艅, fundacji lub innych niezarobkowych
organizacji lub instytucji o celach politycznych, naukowych, religijnych,
filozoficznych lub zwi膮zkowych, pod warunkiem, 偶e przetwarzanie danych
dotyczy wy艂膮cznie cz艂onk贸w tych organizacji lub instytucji albo os贸b
utrzymuj膮cych z nimi sta艂e kontakty w zwi膮zku z ich dzia艂alno艣ci膮 i
zapewnione s膮 pe艂ne gwarancje ochrony przetwarzanych danych;
5) przetwarzanie dotyczy danych, kt贸re s膮 niezb臋dne do dochodzenia praw przed
s膮dem;
6) przetwarzanie jest niezb臋dne do wykonania zada艅 administratora danych
odnosz膮cych si臋 do zatrudnienia pracownik贸w i innych os贸b, a zakres
przetwarzanych danych jest okre艣lony w ustawie;
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, 艣wiadczenia
us艂ug medycznych lub leczenia pacjent贸w przez osoby trudni膮ce si臋 zawodowo
leczeniem lub 艣wiadczeniem innych us艂ug medycznych, zarz膮dzania
udzielaniem us艂ug medycznych i s膮 stworzone pe艂ne gwarancje ochrony danych
osobowych;
8) przetwarzanie dotyczy danych, kt贸re zosta艂y podane do wiadomo艣ci publicznej
przez osob臋, kt贸rej dane dotycz膮;
9) jest to niezb臋dne do prowadzenia bada艅 naukowych, w tym do przygotowania
rozprawy wymaganej do uzyskania dyplomu uko艅czenia szko艂y wy偶szej lub
stopnia naukowego; publikowanie wynik贸w bada艅 naukowych nie mo偶e
2015-09-21
㎏ancelaria Sejmu s. 16/33
nast臋powa膰 w spos贸b umo偶liwiaj膮cy identyfikacj臋 os贸b, kt贸rych dane zosta艂y
przetworzone;
10) przetwarzanie danych jest prowadzone przez stron臋 w celu realizacji praw i
obowi膮zk贸w wynikaj膮cych z orzeczenia wydanego w post臋powaniu s膮dowym
lub administracyjnym.
Art. 28. 1. (uchylony).
2. Numery porz膮dkowe stosowane w ewidencji ludno艣ci mog膮 zawiera膰 tylko
oznaczenie p艂ci, daty urodzenia, numer nadania oraz liczb臋 kontroln膮.
3. Zabronione jest nadawanie ukrytych znacze艅 elementom numer贸w
porz膮dkowych w systemach ewidencjonuj膮cych osoby fizyczne.
Art. 29. (uchylony).
Art. 30. (uchylony).
Art. 31. 1. Administrator danych mo偶e powierzy膰 innemu podmiotowi, w
drodze umowy zawartej na pi艣mie, przetwarzanie danych.
2. Podmiot, o kt贸rym mowa w ust. 1, mo偶e przetwarza膰 dane wy艂膮cznie w
zakresie i celu przewidzianym w umowie.
3. Podmiot, o kt贸rym mowa w ust. 1, jest obowi膮zany przed rozpocz臋ciem
przetwarzania danych podj膮膰 艣rodki zabezpieczaj膮ce zbi贸r danych, o kt贸rych mowa
w art. 36 39, oraz spe艂ni膰 wymagania okre艣lone w przepisach, o kt贸rych mowa w
art. 39a. W zakresie przestrzegania tych przepis贸w podmiot ponosi
odpowiedzialno艣膰 jak administrator danych.
4. W przypadkach, o kt贸rych mowa w ust. 1 3, odpowiedzialno艣膰 za
przestrzeganie przepis贸w niniejszej ustawy spoczywa na administratorze danych, co
nie wy艂膮cza odpowiedzialno艣ci podmiotu, kt贸ry zawar艂 umow臋, za przetwarzanie
danych niezgodnie z t膮 umow膮.
5. Do kontroli zgodno艣ci przetwarzania danych przez podmiot, o kt贸rym mowa
w ust. 1, z przepisami o ochronie danych osobowych stosuje si臋 odpowiednio
przepisy art. 14 19.
Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty
maj膮ce siedzib臋 albo miejsce zamieszkania w pa艅stwie trzecim, administrator
danych jest obowi膮zany wyznaczy膰 swojego przedstawiciela w Rzeczypospolitej
Polskiej.
2015-09-21
㎏ancelaria Sejmu s. 17/33
Rozdzia艂 4
Prawa osoby, kt贸rej dane dotycz膮
Art. 32. 1. Ka偶dej osobie przys艂uguje prawo do kontroli przetwarzania danych,
kt贸re jej dotycz膮, zawartych w zbiorach danych, a zw艂aszcza prawo do:
1) uzyskania wyczerpuj膮cej informacji, czy taki zbi贸r istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pe艂nej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna  jej miejsca zamieszkania oraz
imienia i nazwiska;
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych
zawartych w takim zbiorze;
3) uzyskania informacji, od kiedy przetwarza si臋 w zbiorze dane jej dotycz膮ce,
oraz podania w powszechnie zrozumia艂ej formie tre艣ci tych danych;
4) uzyskania informacji o zr贸dle, z kt贸rego pochodz膮 dane jej dotycz膮ce, chyba 偶e
administrator danych jest zobowi膮zany do zachowania w tym zakresie w
tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej;
5) uzyskania informacji o sposobie udost臋pniania danych, a w szczeg贸lno艣ci
informacji o odbiorcach lub kategoriach odbiorc贸w, kt贸rym dane te s膮
udost臋pniane;
5a) uzyskania informacji o przes艂ankach podj臋cia rozstrzygni臋cia, o kt贸rym mowa
w art. 26a ust. 2;
6) 偶膮dania uzupe艂nienia, uaktualnienia, sprostowania danych osobowych,
czasowego lub sta艂ego wstrzymania ich przetwarzania lub ich usuni臋cia, je偶eli
s膮 one niekompletne, nieaktualne, nieprawdziwe lub zosta艂y zebrane z
naruszeniem ustawy albo s膮 ju偶 zb臋dne do realizacji celu, dla kt贸rego zosta艂y
zebrane;
7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego,
umotywowanego 偶膮dania zaprzestania przetwarzania jej danych ze wzgl臋du na
jej szczeg贸ln膮 sytuacj臋;
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach,
wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je
przetwarza膰 w celach marketingowych lub wobec przekazywania jej danych
osobowych innemu administratorowi danych;
2015-09-21
㎏ancelaria Sejmu s. 18/33
9) wniesienia do administratora danych 偶膮dania ponownego, indywidualnego
rozpatrzenia sprawy rozstrzygni臋tej z naruszeniem art. 26a ust. 1.
2. W przypadku wniesienia 偶膮dania, o kt贸rym mowa w ust. 1 pkt 7,
administrator danych zaprzestaje przetwarzania kwestionowanych danych
osobowych albo bez zb臋dnej zw艂oki przekazuje 偶膮danie Generalnemu Inspektorowi,
kt贸ry wydaje stosown膮 decyzj臋.
3. W razie wniesienia sprzeciwu, o kt贸rym mowa w ust. 1 pkt 8, dalsze
przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych
mo偶e jednak pozostawi膰 w zbiorze imi臋 lub imiona i nazwisko osoby oraz numer
PESEL lub adres wy艂膮cznie w celu unikni臋cia ponownego wykorzystania danych tej
osoby w celach obj臋tych sprzeciwem.
3a. W razie wniesienia 偶膮dania, o kt贸rym mowa w art. 32 ust. 1 pkt 9,
administrator danych bez zb臋dnej zw艂oki rozpatruje spraw臋 albo przekazuje j膮 wraz z
uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, kt贸ry wydaje
stosown膮 decyzj臋.
4. Je偶eli dane s膮 przetwarzane dla cel贸w naukowych, dydaktycznych,
historycznych, statystycznych lub archiwalnych, administrator danych mo偶e odst膮pi膰
od informowania os贸b o przetwarzaniu ich danych w przypadkach, gdy poci膮ga艂oby
to za sob膮 nak艂ady niewsp贸艂mierne z zamierzonym celem.
5. Osoba zainteresowana mo偶e skorzysta膰 z prawa do informacji, o kt贸rych
mowa w ust. 1 pkt 1 5, nie cz臋艣ciej ni偶 raz na 6 miesi臋cy.
Art. 33. 1. Na wniosek osoby, kt贸rej dane dotycz膮, administrator danych jest
obowi膮zany, w terminie 30 dni, poinformowa膰 o przys艂uguj膮cych jej prawach oraz
udzieli膰, odno艣nie do jej danych osobowych, informacji, o kt贸rych mowa w art. 32
ust. 1 pkt 1 5a.
2. Na wniosek osoby, kt贸rej dane dotycz膮, informacji, o kt贸rych mowa w ust. 1,
udziela si臋 na pi艣mie.
Art. 34. Administrator danych odmawia osobie, kt贸rej dane dotycz膮, udzielenia
informacji, o kt贸rych mowa w art. 32 ust. 1 pkt 1 5a, je偶eli spowodowa艂oby to:
1) ujawnienie wiadomo艣ci zawieraj膮cych informacje niejawne;
2) zagro偶enie dla obronno艣ci lub bezpiecze艅stwa pa艅stwa, 偶ycia i zdrowia ludzi
lub bezpiecze艅stwa i porz膮dku publicznego;
2015-09-21
㎏ancelaria Sejmu s. 19/33
3) zagro偶enie dla podstawowego interesu gospodarczego lub finansowego
pa艅stwa;
4) istotne naruszenie d贸br osobistych os贸b, kt贸rych dane dotycz膮, lub innych
os贸b.
Art. 35. 1. W razie wykazania przez osob臋, kt贸rej dane osobowe dotycz膮, 偶e s膮
one niekompletne, nieaktualne, nieprawdziwe lub zosta艂y zebrane z naruszeniem
ustawy albo s膮 zb臋dne do realizacji celu, dla kt贸rego zosta艂y zebrane, administrator
danych jest obowi膮zany, bez zb臋dnej zw艂oki, do uzupe艂nienia, uaktualnienia,
sprostowania danych, czasowego lub sta艂ego wstrzymania przetwarzania
kwestionowanych danych lub ich usuni臋cia ze zbioru, chyba 偶e dotyczy to danych
osobowych, w odniesieniu do kt贸rych tryb ich uzupe艂nienia, uaktualnienia lub
sprostowania okre艣laj膮 odr臋bne ustawy.
2. W razie niedope艂nienia przez administratora danych obowi膮zku, o kt贸rym
mowa w ust. 1, osoba, kt贸rej dane dotycz膮, mo偶e si臋 zwr贸ci膰 do Generalnego
Inspektora z wnioskiem o nakazanie dope艂nienia tego obowi膮zku.
3. Administrator danych jest obowi膮zany poinformowa膰 bez zb臋dnej zw艂oki
innych administrator贸w, kt贸rym udost臋pni艂 zbi贸r danych, o dokonanym
uaktualnieniu lub sprostowaniu danych.
Rozdzia艂 5
Zabezpieczenie danych osobowych
Art. 36. 1. Administrator danych jest obowi膮zany zastosowa膰 艣rodki techniczne
i organizacyjne zapewniaj膮ce ochron臋 przetwarzanych danych osobowych
odpowiedni膮 do zagro偶e艅 oraz kategorii danych obj臋tych ochron膮, a w szczeg贸lno艣ci
powinien zabezpieczy膰 dane przed ich udost臋pnieniem osobom nieupowa偶nionym,
zabraniem przez osob臋 nieuprawnion膮, przetwarzaniem z naruszeniem ustawy oraz
zmian膮, utrat膮, uszkodzeniem lub zniszczeniem.
Przepis
2. Administrator danych prowadzi dokumentacj臋 opisuj膮c膮 spos贸b
uchylaj膮cy ust. 3
w art. 36 wejdzie
przetwarzania danych oraz 艣rodki, o kt贸rych mowa w ust. 1.
w 偶ycie z dn.
[3. Administrator danych wyznacza administratora bezpiecze艅stwa informacji,
1.01.2015 r. (Dz.
U. z 2014 r. poz.
nadzoruj膮cego przestrzeganie zasad ochrony, o kt贸rych mowa w ust. 1, chyba 偶e sam
1662).
wykonuje te czynno艣ci.]
2015-09-21
㎏ancelaria Sejmu s. 20/33
Dodane art. 36a
36c wejd膮 w
bezpiecze艅stwa informacji.
偶ycie z dn.
2. Do zada艅 administratora bezpiecze艅stwa informacji nale偶y:
1.01.2015 r. (Dz.
U. z 2014 r. poz.
1) zapewnianie przestrzegania przepis贸w o ochronie danych osobowych, w
1662).
szczeg贸lno艣ci przez:
a) sprawdzanie zgodno艣ci przetwarzania danych osobowych z
przepisami o ochronie danych osobowych oraz opracowanie w tym
zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o kt贸rej
mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej okre艣lonych,
c) zapewnianie zapoznania os贸b upowa偶nionych do przetwarzania
danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbior贸w danych przetwarzanych przez
administratora danych, z wyj膮tkiem zbior贸w, o kt贸rych mowa w art. 43
ust. 1, zawieraj膮cego nazw臋 zbioru oraz informacje, o kt贸rych mowa w art.
41 ust. 1 pkt 2 4a i 7.
3. Rejestr, o kt贸rym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2
stosuje si臋 odpowiednio.
4. Administrator danych mo偶e powierzy膰 administratorowi bezpiecze艅stwa
informacji wykonywanie innych obowi膮zk贸w, je偶eli nie naruszy to
prawid艂owego wykonywania zada艅, o kt贸rych mowa w ust. 2.
5. Administratorem bezpiecze艅stwa informacji mo偶e by膰 osoba, kt贸ra:
1) ma pe艂n膮 zdolno艣膰 do czynno艣ci prawnych oraz korzysta z pe艂ni praw
publicznych;
2) posiada odpowiedni膮 wiedz臋 w zakresie ochrony danych osobowych;
3) nie by艂a karana za umy艣lne przest臋pstwo.
6. Administrator danych mo偶e powo艂a膰 zast臋pc贸w administratora
bezpiecze艅stwa informacji, kt贸rzy spe艂niaj膮 warunki okre艣lone w ust. 5.
7. Administrator bezpiecze艅stwa informacji podlega bezpo艣rednio
kierownikowi jednostki organizacyjnej lub osobie fizycznej b臋d膮cej
administratorem danych.
2015-09-21
㎏ancelaria Sejmu s. 21/33
8. Administrator danych zapewnia 艣rodki i organizacyjn膮 odr臋bno艣膰
administratora bezpiecze艅stwa informacji niezb臋dne do niezale偶nego
wykonywania przez niego zada艅, o kt贸rych mowa w ust. 2.
9. Minister w艂a艣ciwy do spraw administracji publicznej okre艣li, w drodze
rozporz膮dzenia:
1) tryb i spos贸b realizacji zada艅, o kt贸rych mowa w ust. 2 pkt 1 lit. a i b,
2) spos贸b prowadzenia rejestru zbior贸w danych, o kt贸rym mowa w ust. 2 pkt 2
 uwzgl臋dniaj膮c konieczno艣膰 zapewnienia prawid艂owo艣ci realizacji zada艅
administratora bezpiecze艅stwa informacji oraz niezale偶no艣ci i organizacyjnej
odr臋bno艣ci w wykonywaniu przez niego zada艅.
Art. 36b. W przypadku niepowo艂ania administratora bezpiecze艅stwa
informacji zadania okre艣lone w art. 36a ust. 2 pkt 1, z wy艂膮czeniem obowi膮zku
sporz膮dzania sprawozdania, o kt贸rym mowa w art. 36a ust. 2 pkt 1 lit. a,
wykonuje administrator danych.
Art. 36c. Sprawozdanie, o kt贸rym mowa w art. 36a ust. 2 pkt 1 lit. a,
powinno zawiera膰:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca
zamieszkania;
2) imi臋 i nazwisko administratora bezpiecze艅stwa informacji;
3) wykaz czynno艣ci podj臋tych przez administratora bezpiecze艅stwa
informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska os贸b
bior膮cych udzia艂 w tych czynno艣ciach;
4) dat臋 rozpocz臋cia i zako艅czenia sprawdzenia;
5) okre艣lenie przedmiotu i zakresu sprawdzenia;
6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne
informacje maj膮ce istotne znaczenie dla oceny zgodno艣ci przetwarzania
danych z przepisami o ochronie danych osobowych;
7) stwierdzone przypadki naruszenia przepis贸w o ochronie danych
osobowych w zakresie obj臋tym sprawdzeniem wraz z planowanymi lub
podj臋tymi dzia艂aniami przywracaj膮cymi stan zgodny z prawem;
8) wyszczeg贸lnienie za艂膮cznik贸w stanowi膮cych sk艂adow膮 cz臋艣膰 sprawozdania;
2015-09-21
㎏ancelaria Sejmu s. 22/33
9) podpis administratora bezpiecze艅stwa informacji, a w przypadku
sprawozdania w postaci papierowej  dodatkowo parafy administratora
bezpiecze艅stwa informacji na ka偶dej stronie sprawozdania;
10) dat臋 i miejsce podpisania sprawozdania przez administratora
bezpiecze艅stwa informacji.>
Art. 37. Do przetwarzania danych mog膮 by膰 dopuszczone wy艂膮cznie osoby
posiadaj膮ce upowa偶nienie nadane przez administratora danych.
Art. 38. Administrator danych jest obowi膮zany zapewni膰 kontrol臋 nad tym,
jakie dane osobowe, kiedy i przez kogo zosta艂y do zbioru wprowadzone oraz komu
s膮 przekazywane.
Art. 39. 1. Administrator danych prowadzi ewidencj臋 os贸b upowa偶nionych do
ich przetwarzania, kt贸ra powinna zawiera膰:
1) imi臋 i nazwisko osoby upowa偶nionej;
2) dat臋 nadania i ustania oraz zakres upowa偶nienia do przetwarzania danych
osobowych;
3) identyfikator, je偶eli dane s膮 przetwarzane w systemie informatycznym.
2. Osoby, kt贸re zosta艂y upowa偶nione do przetwarzania danych, s膮 obowi膮zane
zachowa膰 w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Art. 39a. Minister w艂a艣ciwy do spraw administracji publicznej w porozumieniu
z ministrem w艂a艣ciwym do spraw informatyzacji okre艣li, w drodze rozporz膮dzenia,
spos贸b prowadzenia i zakres dokumentacji, o kt贸rej mowa w art. 36 ust. 2, oraz
podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada膰
urz膮dzenia i systemy informatyczne s艂u偶膮ce do przetwarzania danych osobowych,
uwzgl臋dniaj膮c zapewnienie ochrony przetwarzanych danych osobowych
odpowiedniej do zagro偶e艅 oraz kategorii danych obj臋tych ochron膮, a tak偶e
wymagania w zakresie odnotowywania udost臋pniania danych osobowych i
bezpiecze艅stwa przetwarzanych danych.
2015-09-21
㎏ancelaria Sejmu s. 23/33
Rozdzia艂 6
Nowe brzmienie
tytu艂u rozdzia艂u
[Rejestracja zbior贸w danych osobowych] 6 wejdzie w 偶ycie
z dn. 1.01.2015 r.
(Dz. U. z 2014 r.
poz. 1662).
informacji>
[Art. 40. Administrator danych jest obowi膮zany zg艂osi膰 zbi贸r danych do
rejestracji Generalnemu Inspektorowi, z wyj膮tkiem przypadk贸w, o kt贸rych mowa w
art. 43 ust. 1.]
Nowe brzmienie
art. 40 wejdzie w
rejestracji Generalnemu Inspektorowi, z wyj膮tkiem przypadk贸w, o kt贸rych
偶ycie z dn.
1.01.2015 r. (Dz.
mowa w art. 43 ust. 1 i 1a.>
U. z 2014 r. poz.
1662).
Art. 41. 1. Zg艂oszenie zbioru danych do rejestracji powinno zawiera膰:
1) wniosek o wpisanie zbioru do rejestru zbior贸w danych osobowych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiot贸w gospodarki
narodowej, je偶eli zosta艂 mu nadany, oraz podstaw臋 prawn膮 upowa偶niaj膮c膮 do
prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych
podmiotowi, o kt贸rym mowa w art. 31, lub wyznaczenia podmiotu, o kt贸rym
mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca
zamieszkania;
3) cel przetwarzania danych;
3a) opis kategorii os贸b, kt贸rych dane dotycz膮, oraz zakres przetwarzanych danych;
4) spos贸b zbierania oraz udost臋pniania danych;
4a) informacj臋 o odbiorcach lub kategoriach odbiorc贸w, kt贸rym dane mog膮 by膰
przekazywane;
5) opis 艣rodk贸w technicznych i organizacyjnych zastosowanych w celach
okre艣lonych w art. 36 39;
6) informacj臋 o sposobie wype艂nienia warunk贸w technicznych i organizacyjnych,
okre艣lonych w przepisach, o kt贸rych mowa w art. 39a;
7) informacj臋 dotycz膮c膮 ewentualnego przekazywania danych do pa艅stwa
trzeciego.
2015-09-21
㎏ancelaria Sejmu s. 24/33
2. Administrator danych jest obowi膮zany zg艂asza膰 Generalnemu Inspektorowi
ka偶d膮 zmian臋 informacji, o kt贸rej mowa w ust. 1, w terminie 30 dni od dnia
dokonania zmiany w zbiorze danych, z zastrze偶eniem ust. 3.
3. Je偶eli zmiana informacji, o kt贸rej mowa w ust. 1 pkt 3a, dotyczy
rozszerzenia zakresu przetwarzanych danych o dane, o kt贸rych mowa w art. 27 ust.
1, administrator danych jest obowi膮zany do jej zg艂oszenia przed dokonaniem zmiany
w zbiorze.
4. Do zg艂aszania zmian stosuje si臋 odpowiednio przepisy o rejestracji zbior贸w
danych.
Art. 42. 1. Generalny Inspektor prowadzi og贸lnokrajowy, jawny rejestr
zbior贸w danych osobowych. Rejestr powinien zawiera膰 informacje, o kt贸rych mowa
w art. 41 ust. 1 pkt 1 4a i 7.
2. Ka偶dy ma prawo przegl膮da膰 rejestr, o kt贸rym mowa w ust. 1.
3. Na 偶膮danie administratora danych mo偶e by膰 wydane za艣wiadczenie o
zarejestrowaniu zg艂oszonego przez niego zbioru danych, z zastrze偶eniem ust. 4.
4. Generalny Inspektor wydaje administratorowi danych, o kt贸rych mowa w art.
27 ust. 1, za艣wiadczenie o zarejestrowaniu zbioru danych niezw艂ocznie po dokonaniu
rejestracji.
Art. 43. 1. Z obowi膮zku rejestracji zbioru danych zwolnieni s膮 administratorzy
danych:
1) zawieraj膮cych informacje niejawne;
1a) kt贸re zosta艂y uzyskane w wyniku czynno艣ci operacyjno-rozpoznawczych przez
funkcjonariuszy organ贸w uprawnionych do tych czynno艣ci;
2) przetwarzanych przez w艂a艣ciwe organy dla potrzeb post臋powania s膮dowego
oraz na podstawie przepis贸w o Krajowym Rejestrze Karnym;
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
2b) przetwarzanych przez w艂a艣ciwe organy na potrzeby udzia艂u Rzeczypospolitej
Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie
Informacyjnym;
2c) przetwarzanych przez w艂a艣ciwe organy na podstawie przepis贸w o wymianie
informacji z organami 艣cigania pa艅stw cz艂onkowskich Unii Europejskiej;
2015-09-21
㎏ancelaria Sejmu s. 25/33
3) dotycz膮cych os贸b nale偶膮cych do ko艣cio艂a lub innego zwi膮zku wyznaniowego, o
uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego ko艣cio艂a lub
zwi膮zku wyznaniowego;
4) przetwarzanych w zwi膮zku z zatrudnieniem u nich, 艣wiadczeniem im us艂ug na
podstawie um贸w cywilnoprawnych, a tak偶e dotycz膮cych os贸b u nich
zrzeszonych lub ucz膮cych si臋;
5) dotycz膮cych os贸b korzystaj膮cych z ich us艂ug medycznych, obs艂ugi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego
lub bieg艂ego rewidenta;
6) tworzonych na podstawie przepis贸w dotycz膮cych wybor贸w do Sejmu, Senatu,
Parlamentu Europejskiego, rad gmin, rad powiat贸w i sejmik贸w wojew贸dztw,
wybor贸w na urz膮d Prezydenta Rzeczypospolitej Polskiej, na w贸jta, burmistrza,
prezydenta miasta oraz dotycz膮cych referendum og贸lnokrajowego i referendum
lokalnego;
7) dotycz膮cych os贸b pozbawionych wolno艣ci na podstawie ustawy, w zakresie
niezb臋dnym do wykonania tymczasowego aresztowania lub kary pozbawienia
wolno艣ci;
8) przetwarzanych wy艂膮cznie w celu wystawienia faktury, rachunku lub
prowadzenia sprawozdawczo艣ci finansowej;
9) powszechnie dost臋pnych;
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania
dyplomu uko艅czenia szko艂y wy偶szej lub stopnia naukowego;
11) przetwarzanych w zakresie drobnych bie偶膮cych spraw 偶ycia codziennego;
<12) przetwarzanych w zbiorach, kt贸re nie s膮 prowadzone z wykorzystaniem
Dodany pkt 12 w
ust. 1 oraz ust. 1a
system贸w informatycznych, z wyj膮tkiem zbior贸w zawieraj膮cych dane, o
w art. 43 wejdzie
w 偶ycie z dn.
kt贸rych mowa w art. 27 ust. 1.>
1.01.2015 r. (Dz.
U. z 2014 r. poz.
<1a. Obowi膮zkowi rejestracji zbior贸w danych osobowych, z wyj膮tkiem
1662).
zbior贸w zawieraj膮cych dane, o kt贸rych mowa w art. 27 ust. 1, nie podlega
administrator danych, kt贸ry powo艂a艂 administratora bezpiecze艅stwa informacji
i zg艂osi艂 go Generalnemu Inspektorowi do rejestracji, z zastrze偶eniem art. 46e
ust. 2.>
2. W odniesieniu do zbior贸w, o kt贸rych mowa w ust. 1 pkt 1 i 3, oraz zbior贸w,
o kt贸rych mowa w ust. 1 pkt 1a, przetwarzanych przez Agencj臋 Bezpiecze艅stwa
2015-09-21
㎏ancelaria Sejmu s. 26/33
Wewn臋trznego, Agencj臋 Wywiadu, S艂u偶b臋 Kontrwywiadu Wojskowego, S艂u偶b臋
Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu
Inspektorowi nie przys艂uguj膮 uprawnienia okre艣lone w art. 12 pkt 2, art. 14 pkt 1 i 3
5 oraz art. 15 18.
Art. 44. 1. Generalny Inspektor wydaje decyzj臋 o odmowie rejestracji zbioru
danych, je偶eli:
1) nie zosta艂y spe艂nione wymogi okre艣lone w art. 41 ust. 1;
2) przetwarzanie danych narusza艂oby zasady okre艣lone w art. 23 28;
3) urz膮dzenia i systemy informatyczne s艂u偶膮ce do przetwarzania zbioru danych
zg艂oszonego do rejestracji nie spe艂niaj膮 podstawowych warunk贸w technicznych
i organizacyjnych, okre艣lonych w przepisach, o kt贸rych mowa w art. 39a.
2. Odmawiaj膮c rejestracji zbioru danych, Generalny Inspektor, w drodze
decyzji administracyjnej, nakazuje:
1) ograniczenie przetwarzania wszystkich albo niekt贸rych kategorii danych
wy艂膮cznie do ich przechowywania lub
2) zastosowanie innych 艣rodk贸w, o kt贸rych mowa w art. 18 ust. 1.
3. (uchylony).
4. Administrator danych mo偶e zg艂osi膰 ponownie zbi贸r danych do rejestracji po
usuni臋ciu wad, kt贸re by艂y powodem odmowy rejestracji zbioru.
5. W razie ponownego zg艂oszenia zbioru do rejestracji administrator danych
mo偶e rozpocz膮膰 ich przetwarzanie po zarejestrowaniu zbioru.
Art. 44a. Wykre艣lenie z rejestru zbior贸w danych osobowych jest dokonywane,
w drodze decyzji administracyjnej, je偶eli:
1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;
2) rejestracji dokonano z naruszeniem prawa.
Art. 45. (uchylony).
Art. 46. 1. Administrator danych mo偶e, z zastrze偶eniem ust. 2, rozpocz膮膰 ich
przetwarzanie w zbiorze danych po zg艂oszeniu tego zbioru Generalnemu
Inspektorowi, chyba 偶e ustawa zwalnia go z tego obowi膮zku.
2. Administrator danych, o kt贸rych mowa w art. 27 ust. 1, mo偶e rozpocz膮膰 ich
przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba 偶e ustawa zwalnia
go z obowi膮zku zg艂oszenia zbioru do rejestracji.
2015-09-21
㎏ancelaria Sejmu s. 27/33
Art. 46a. Minister w艂a艣ciwy do spraw administracji publicznej okre艣li, w
drodze rozporz膮dzenia, wz贸r zg艂oszenia, o kt贸rym mowa w art. 41 ust. 1,
uwzgl臋dniaj膮c obowi膮zek zamieszczenia informacji niezb臋dnych do stwierdzenia
zgodno艣ci przetwarzania danych z wymogami ustawy.
Dodane art. 46b
46f wejd膮 w 偶ycie
Generalnemu Inspektorowi powo艂anie i odwo艂anie administratora
z dn. 1.01.2015 r.
(Dz. U. z 2014 r.
bezpiecze艅stwa informacji w terminie 30 dni od dnia jego powo艂ania lub
poz. 1662).
odwo艂ania.
2. Zg艂oszenie powo艂ania administratora bezpiecze艅stwa informacji do
rejestracji powinno zawiera膰:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiot贸w
gospodarki narodowej, je偶eli zosta艂 mu nadany;
2) dane administratora bezpiecze艅stwa informacji:
a) imi臋 i nazwisko,
b) numer PESEL lub, gdy ten numer nie zosta艂 nadany, nazw臋 i numer
dokumentu stwierdzaj膮cego to偶samo艣膰,
c) adres do korespondencji, je偶eli jest inny ni偶 adres, o kt贸rym mowa w
pkt 1;
3) dat臋 powo艂ania;
4) o艣wiadczenie administratora danych o spe艂nianiu przez administratora
bezpiecze艅stwa informacji warunk贸w okre艣lonych w art. 36a ust. 5 i 7.
3. Zg艂oszenie odwo艂ania administratora bezpiecze艅stwa informacji
powinno zawiera膰:
1) dane, o kt贸rych mowa w ust. 2 pkt 1 i pkt 2 lit. a i b;
2) dat臋 i przyczyn臋 odwo艂ania.
4. Na 偶膮danie administratora danych lub administratora bezpiecze艅stwa
informacji Generalny Inspektor wydaje za艣wiadczenie o zarejestrowaniu
administratora bezpiecze艅stwa informacji.
5. Administrator danych jest obowi膮zany zg艂osi膰 Generalnemu
Inspektorowi zmian臋 informacji obj臋tych zg艂oszeniem, o kt贸rym mowa w ust. 2,
w terminie 14 dni od dnia zmiany. Do zg艂aszania zmian stosuje si臋 odpowiednio
przepisy o zg艂oszeniu powo艂ania administratora bezpiecze艅stwa informacji.
2015-09-21
㎏ancelaria Sejmu s. 28/33
Art. 46c. Generalny Inspektor prowadzi og贸lnokrajowy, jawny rejestr
administrator贸w bezpiecze艅stwa informacji, zawieraj膮cy informacje, o kt贸rych
mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i c.
Art. 46d. 1. Wykre艣lenie administratora bezpiecze艅stwa informacji z
rejestru administrator贸w bezpiecze艅stwa informacji nast臋puje po
powiadomieniu o jego odwo艂aniu albo w przypadku jego 艣mierci.
2. Generalny Inspektor z urz臋du wydaje administratorowi danych decyzj臋
o wykre艣leniu administratora bezpiecze艅stwa informacji z rejestru
administrator贸w bezpiecze艅stwa informacji, je偶eli:
1) administrator bezpiecze艅stwa informacji nie spe艂nia warunk贸w
okre艣lonych w art. 36a ust. 5 lub 7;
2) administrator bezpiecze艅stwa informacji nie wykonuje zada艅 okre艣lonych
w art. 36a ust. 2;
3) administrator danych nie powiadomi艂 o odwo艂aniu administratora
bezpiecze艅stwa informacji.
3. Do administratora danych b臋d膮cego adresatem decyzji, o kt贸rej mowa w
ust. 2, nie stosuje si臋 zwolnienia, o kt贸rym mowa w art. 43 ust. 1a.
Art. 46e. 1. W przypadku ponownego zg艂oszenia przez administratora
danych do rejestracji Generalnemu Inspektorowi powo艂ania administratora
bezpiecze艅stwa informacji wykre艣lonego z rejestru administrator贸w
bezpiecze艅stwa informacji na podstawie art. 46d ust. 2, Generalny Inspektor, w
drodze decyzji administracyjnej:
1) wpisuje administratora bezpiecze艅stwa informacji do rejestru
administrator贸w bezpiecze艅stwa informacji po stwierdzeniu, 偶e nie
zachodz膮 przyczyny wykre艣lenia z rejestru, o kt贸rych mowa w art. 46d ust.
2 pkt 1 i 2;
2) odmawia wpisania administratora bezpiecze艅stwa informacji do rejestru
administrator贸w bezpiecze艅stwa informacji, je偶eli nie zosta艂y usuni臋te
przyczyny wykre艣lenia z rejestru, o kt贸rych mowa w art. 46d ust. 2 pkt 1 i
2.
2. Do administratora danych, kt贸ry ponownie zg艂osi艂 do rejestracji
administratora bezpiecze艅stwa informacji wykre艣lonego na podstawie art. 46d
2015-09-21
㎏ancelaria Sejmu s. 29/33
ust. 2, zwolnienie z obowi膮zku rejestracji zbioru okre艣lone w art. 43 ust. 1a
stosuje si臋 po wpisaniu zg艂oszonego administratora bezpiecze艅stwa informacji
do rejestru administrator贸w bezpiecze艅stwa informacji.
Art. 46f. Minister w艂a艣ciwy do spraw administracji publicznej okre艣li, w
drodze rozporz膮dzenia, wzory zg艂osze艅 administratora bezpiecze艅stwa
informacji, o kt贸rych mowa w art. 46b ust. 2 i 3, uwzgl臋dniaj膮c konieczno艣膰
zapewnienia Generalnemu Inspektorowi informacji niezb臋dnych do
prawid艂owego realizowania jego zada艅.>
Rozdzia艂 7
Przekazywanie danych osobowych do pa艅stwa trzeciego
Art. 47. 1. Przekazanie danych osobowych do pa艅stwa trzeciego mo偶e
nast膮pi膰, je偶eli pa艅stwo docelowe zapewnia na swoim terytorium odpowiedni
poziom ochrony danych osobowych.
1a. Odpowiedni poziom ochrony danych osobowych, o kt贸rym mowa w ust. 1,
jest oceniany z uwzgl臋dnieniem wszystkich okoliczno艣ci dotycz膮cych operacji
przekazania danych, w szczeg贸lno艣ci bior膮c pod uwag臋 charakter danych, cel i czas
trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj
ostatecznego przeznaczenia danych oraz przepisy prawa obowi膮zuj膮ce w danym
pa艅stwie trzecim oraz stosowane w tym pa艅stwie 艣rodki bezpiecze艅stwa i zasady
zawodowe.
2. Przepisu ust. 1 nie stosuje si臋, gdy przes艂anie danych osobowych wynika z
obowi膮zku na艂o偶onego na administratora danych przepisami prawa lub
postanowieniami ratyfikowanej umowy mi臋dzynarodowej, gwarantuj膮cymi
odpowiedni poziom ochrony tych danych.
3. Administrator danych mo偶e jednak przekaza膰 dane osobowe do pa艅stwa
trzeciego, je偶eli:
1) osoba, kt贸rej dane dotycz膮, udzieli艂a na to zgody na pi艣mie;
2) przekazanie jest niezb臋dne do wykonania umowy pomi臋dzy administratorem
danych a osob膮, kt贸rej dane dotycz膮, lub jest podejmowane na jej 偶yczenie;
3) przekazanie jest niezb臋dne do wykonania umowy zawartej w interesie osoby,
kt贸rej dane dotycz膮, pomi臋dzy administratorem danych a innym podmiotem;
2015-09-21
㎏ancelaria Sejmu s. 30/33
4) przekazanie jest niezb臋dne ze wzgl臋du na dobro publiczne lub do wykazania
zasadno艣ci roszcze艅 prawnych;
5) przekazanie jest niezb臋dne do ochrony 偶ywotnych interes贸w osoby, kt贸rej dane
dotycz膮;
6) dane s膮 og贸lnie dost臋pne.
[Art. 48. W przypadkach innych ni偶 wymienione w art. 47 ust. 2 i 3 przekazanie
danych osobowych do pa艅stwa trzeciego, kt贸re nie daje gwarancji ochrony danych
osobowych przynajmniej takich, jakie obowi膮zuj膮 na terytorium Rzeczypospolitej
Polskiej, mo偶e nast膮pi膰 po uzyskaniu zgody Generalnego Inspektora, pod warunkiem
偶e administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony
prywatno艣ci oraz praw i wolno艣ci osoby, kt贸rej dane dotycz膮.]
Nowe brzmienie
art. 48 wejdzie w
przekazanie danych osobowych do pa艅stwa trzeciego, kt贸re nie zapewnia na
偶ycie z dn.
1.01.2015 r. (Dz.
swoim terytorium odpowiedniego poziomu ochrony danych osobowych, mo偶e
U. z 2014 r. poz.
1662).
nast膮pi膰 po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze
decyzji administracyjnej, pod warunkiem 偶e administrator danych zapewni
odpowiednie zabezpieczenia w zakresie ochrony prywatno艣ci oraz praw i
wolno艣ci osoby, kt贸rej dane dotycz膮.
2. Zgoda Generalnego Inspektora nie jest wymagana, je偶eli administrator
danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatno艣ci
oraz praw i wolno艣ci osoby, kt贸rej dane dotycz膮, przez:
1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone
przez Komisj臋 Europejsk膮 zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE
Parlamentu Europejskiego i Rady z dnia 24 pazdziernika 1995 r. w
sprawie ochrony os贸b fizycznych w zakresie przetwarzania danych
osobowych i swobodnego przep艂ywu tych danych (Dz. Urz. WE L 281 z
23.11.1995, str. 31, z p贸zn. zm.; Dz. Urz. UE Polskie wydanie specjalne,
rozdz. 13, t. 15, str. 355, z p贸zn. zm.) lub
2) prawnie wi膮偶膮ce regu艂y lub polityki ochrony danych osobowych, zwane
dalej  wi膮偶膮cymi regu艂ami korporacyjnymi , kt贸re zosta艂y zatwierdzone
przez Generalnego Inspektora zgodnie z ust. 3 5.
2015-09-21
㎏ancelaria Sejmu s. 31/33
3. Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej,
wi膮偶膮ce regu艂y korporacyjne przyj臋te w ramach grupy przedsi臋biorc贸w do
cel贸w przekazania danych osobowych przez administratora danych lub
podmiot, o kt贸rym mowa w art. 31 ust. 1, do nale偶膮cego do tej samej grupy
innego administratora danych lub podmiotu, o kt贸rym mowa w art. 31 ust. 1, w
pa艅stwie trzecim.
4. Generalny Inspektor przed zatwierdzeniem wi膮偶膮cych regu艂
korporacyjnych mo偶e przeprowadzi膰 konsultacje z w艂a艣ciwymi organami
ochrony danych osobowych pa艅stw nale偶膮cych do Europejskiego Obszaru
Gospodarczego, na kt贸rych terytorium maj膮 siedziby przedsi臋biorcy nale偶膮cy
do grupy, o kt贸rej mowa w ust. 3, przekazuj膮c im niezb臋dne informacje w tym
celu.
5. Generalny Inspektor, wydaj膮c decyzj臋, o kt贸rej mowa w ust. 3,
uwzgl臋dnia wyniki przeprowadzonych konsultacji, o kt贸rych mowa w ust. 4, a
je偶eli wi膮偶膮ce regu艂y korporacyjne by艂y przedmiotem rozstrzygni臋cia organu
ochrony danych osobowych innego pa艅stwa nale偶膮cego do Europejskiego
Obszaru Gospodarczego  mo偶e uwzgl臋dni膰 to rozstrzygni臋cie.>
Rozdzia艂 8
Przepisy karne
Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho膰 ich przetwarzanie nie
jest dopuszczalne albo do kt贸rych przetwarzania nie jest uprawniony, podlega
grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do lat 2.
2. Je偶eli czyn okre艣lony w ust. 1 dotyczy danych ujawniaj膮cych pochodzenie
rasowe lub etniczne, pogl膮dy polityczne, przekonania religijne lub filozoficzne,
przynale偶no艣膰 wyznaniow膮, partyjn膮 lub zwi膮zkow膮, danych o stanie zdrowia,
kodzie genetycznym, na艂ogach lub 偶yciu seksualnym, sprawca podlega grzywnie,
karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do lat 3.
Art. 50. (uchylony).
Art. 51. 1. Kto administruj膮c zbiorem danych lub b臋d膮c obowi膮zany do
ochrony danych osobowych udost臋pnia je lub umo偶liwia dost臋p do nich osobom
2015-09-21
㎏ancelaria Sejmu s. 32/33
nieupowa偶nionym, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia
wolno艣ci do lat 2.
2. Je偶eli sprawca dzia艂a nieumy艣lnie, podlega grzywnie, karze ograniczenia
wolno艣ci albo pozbawienia wolno艣ci do roku.
Art. 52. Kto administruj膮c danymi narusza cho膰by nieumy艣lnie obowi膮zek
zabezpieczenia ich przed zabraniem przez osob臋 nieuprawnion膮, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia
wolno艣ci do roku.
Art. 53. Kto b臋d膮c do tego obowi膮zany nie zg艂asza do rejestracji zbioru
danych, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci
do roku.
Art. 54. Kto administruj膮c zbiorem danych nie dope艂nia obowi膮zku
poinformowania osoby, kt贸rej dane dotycz膮, o jej prawach lub przekazania tej osobie
informacji umo偶liwiaj膮cych korzystanie z praw przyznanych jej w niniejszej
ustawie, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci
do roku.
Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynno艣ci
kontrolnej, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia
wolno艣ci do lat 2.
Rozdzia艂 9
Zmiany w przepisach obowi膮zuj膮cych, przepisy przej艣ciowe i ko艅cowe
Art. 55 60. (pomini臋te).
Art. 61. (pomini臋ty).5)
Art. 62. Ustawa wchodzi w 偶ycie po up艂ywie 6 miesi臋cy od dnia og艂oszenia, z
tym 偶e:
1) art. 8 11, art. 13 i 45 wchodz膮 w 偶ycie po up艂ywie 2 miesi臋cy od dnia
og艂oszenia;
2) art. 55 59 wchodz膮 w 偶ycie po up艂ywie 14 dni od dnia og艂oszenia.
5)
Zamieszczony w obwieszczeniu Marsza艂ka Sejmu Rzeczypospolitej Polskiej z dnia 26 czerwca
2014 r. w sprawie og艂oszenia jednolitego tekstu ustawy o ochronie danych osobowych (Dz. U.
poz. 1182).
2015-09-21
㎏ancelaria Sejmu s. 33/33
2015-09-21


Wyszukiwarka

Podobne podstrony:
ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych
Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych
O ochronie danych osobowych (USTAWA z dnia 29 sierpnia 1997 r )
USTAWA z dnia 29 sierpnia 1997 r o ochronie danych osobowych
Prezentacja suplementy i ochrona danych osobowych
Gliniecki W Ochrona danych osobowych i informacji niejawnych
ustawa o ochronie danych

wi臋cej podobnych podstron