STUDIA PODYPLOMOWE
WY呕SZA SZKO艁A EKONOMICZNO INFORMATYCZNA
w Warszawie
STUDIA PODYPLOMOWE:
„PO艢REDNICTWO W OBROCIE NIERUCHOMO艢CIAMI”
„ZARZ膭DZANIE NIERUCHOMO艢CIAMI”
Tematyka wyk艂ad贸w:
„Podstawowe informacje z zakresu danych osobowych” - materia艂y szkoleniowe
mgr El偶bieta Baczy艅ska
Warszawa 2008/2009
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ [art.47, 51]
(art. 47.)
Ka偶dy ma prawo do ochrony 偶ycia prywatnego, rodzinnego, czci i聽 dobrego imienia oraz do decydowania o聽swoim 偶yciu osobistym.
(art. 51.)
Nikt nie mo偶e by膰 obowi膮zany inaczej ni偶 na podstawie ustawy do ujawniania informacji dotycz膮cych jego osoby.
W艂adze publiczne nie mog膮 pozyskiwa膰, gromadzi膰 i聽udost臋pnia膰 innych informacji o obywatelach ni偶 niezb臋dne w聽demokratycznym pa艅stwie prawnym.
Ka偶dy ma prawo dost臋pu do dotycz膮cych go urz臋dowych dokument贸w i聽zbior贸w danych. Ograniczenie tego prawa mo偶e okre艣li膰 ustawa.
Ka偶dy ma prawo do 偶膮dania sprostowania oraz usuni臋cia informacji nieprawdziwych, niepe艂nych lub zebranych w聽spos贸b sprzeczny z聽ustaw膮.
Zasady i聽tryb gromadzenia oraz udost臋pniania informacji okre艣la ustawa.
zmiany:
Dz. U. 2002.153.1271
Dz. U. 2004.33.285
Dz. U. 2004.25.219
USTAWA
z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
(tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
Rozdzia艂 1
Przepisy og贸lne
Art. 1
Ka偶dy ma prawo do ochrony dotycz膮cych go danych osobowych.
Przetwarzanie danych osobowych mo偶e mie膰 miejsce ze wzgl臋du na dobro publiczne, dobro osoby, kt贸rej dane dotycz膮, lub dobro os贸b trzecich w zakresie i trybie okre艣lonym ustaw膮.
Art. 2
Ustawa okre艣la zasady post臋powania przy przetwarzaniu danych osobowych oraz prawa os贸b fizycznych, kt贸rych dane osobowe s膮 lub mog膮 by膰 przetwarzane w zbiorach danych.
Ustaw臋 stosuje si臋 do przetwarzania danych osobowych:
w kartotekach, skorowidzach, ksi臋gach, wykazach i w innych zbiorach ewidencyjnych,
w systemach informatycznych, tak偶e w przypadku przetwarzania danych poza zbiorem danych.
W odniesieniu do zbior贸w danych osobowych sporz膮dzanych dora藕nie, wy艂膮cznie ze wzgl臋d贸w technicznych, szkoleniowych lub w zwi膮zku z dydaktyk膮 w szko艂ach wy偶szych, a po ich wykorzystaniu niezw艂ocznie usuwanych albo poddanych anonimizacji, maj膮 zastosowanie jedynie przepisy rozdzia艂u 5.
Art. 3
Ustaw臋 stosuje si臋 do organ贸w pa艅stwowych, organ贸w samorz膮du terytorialnego oraz do pa艅stwowych i komunalnych jednostek organizacyjnych.
Ustaw臋 stosuje si臋 r贸wnie偶 do:
podmiot贸w niepublicznych realizuj膮cych zadania publiczne,
os贸b fizycznych i os贸b prawnych oraz jednostek organizacyjnych nieb臋d膮cych osobami prawnymi, je偶eli przetwarzaj膮 dane osobowe w zwi膮zku z dzia艂alno艣ci膮 zarobkow膮, zawodow膮 lub dla realizacji cel贸w statutowych
- kt贸re maj膮 siedzib臋 albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pa艅stwie trzecim, o ile przetwarzaj膮 dane osobowe przy wykorzystaniu 艣rodk贸w technicznych znajduj膮cych si臋 na terytorium Rzeczypospolitej Polskiej.
Art. 3a
Ustawy nie stosuje si臋 do:
os贸b fizycznych, kt贸re przetwarzaj膮 dane wy艂膮cznie w celach osobistych lub domowych,
podmiot贸w maj膮cych siedzib臋 lub miejsce zamieszkania w pa艅stwie trzecim, wykorzystuj膮cych 艣rodki techniczne znajduj膮ce si臋 na terytorium Rzeczypospolitej Polskiej wy艂膮cznie do przekazywania danych.
Ustawy, z wyj膮tkiem przepis贸w art. 14 - 19 i art. 36 ust. 1, nie stosuje si臋 r贸wnie偶 do prasowej dzia艂alno艣ci dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z p贸藕n. zm.) oraz do dzia艂alno艣ci literackiej lub artystycznej, chyba 偶e wolno艣膰 wyra偶ania swoich pogl膮d贸w i rozpowszechniania informacji istotnie narusza prawa i wolno艣ci osoby, kt贸rej dane dotycz膮.
Art. 4
Przepis贸w ustawy nie stosuje si臋, je偶eli umowa mi臋dzynarodowa, kt贸rej stron膮 jest Rzeczpospolita Polska, stanowi inaczej.
Art. 5
Je偶eli przepisy odr臋bnych ustaw, kt贸re odnosz膮 si臋 do przetwarzania danych, przewiduj膮 dalej id膮c膮 ich ochron臋, ni偶 wynika to z niniejszej ustawy, stosuje si臋 przepisy tych ustaw.
Art. 6
W rozumieniu ustawy za dane osobowe uwa偶a si臋 wszelkie informacje dotycz膮ce zidentyfikowanej lub mo偶liwej do zidentyfikowania osoby fizycznej.
Osob膮 mo偶liw膮 do zidentyfikowania jest osoba, kt贸rej to偶samo艣膰 mo偶na okre艣li膰 bezpo艣rednio lub po艣rednio, w szczeg贸lno艣ci przez powo艂anie si臋 na numer identyfikacyjny albo jeden lub kilka specyficznych czynnik贸w okre艣laj膮cych jej cechy fizyczne, fizjologiczne, umys艂owe, ekonomiczne, kulturowe lub spo艂eczne.
Informacji nie uwa偶a si臋 za umo偶liwiaj膮c膮 okre艣lenie to偶samo艣ci osoby, je偶eli wymaga艂oby to nadmiernych koszt贸w, czasu lub dzia艂a艅.
Art. 7
Ilekro膰 w ustawie jest mowa o:
zbiorze danych - rozumie si臋 przez to ka偶dy posiadaj膮cy struktur臋 zestaw danych o charakterze osobowym, dost臋pnych wed艂ug okre艣lonych kryteri贸w, niezale偶nie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
przetwarzaniu danych - rozumie si臋 przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost臋pnianie i usuwanie, a zw艂aszcza te, kt贸re wykonuje si臋 w systemach informatycznych,
2a) systemie informatycznym - rozumie si臋 przez to zesp贸艂 wsp贸艂pracuj膮cych ze sob膮 urz膮dze艅, program贸w, procedur przetwarzania informacji i narz臋dzi programowych zastosowanych w celu przetwarzania danych,
2b) zabezpieczeniu danych w systemie informatycznym - rozumie si臋 przez to wdro偶enie i eksploatacj臋 stosownych 艣rodk贸w technicznych i organizacyjnych zapewniaj膮cych ochron臋 danych przed ich nieuprawnionym przetwarzaniem,
usuwaniu danych - rozumie si臋 przez to zniszczenie danych osobowych lub tak膮 ich modyfikacj臋, kt贸ra nie pozwoli na ustalenie to偶samo艣ci osoby, kt贸rej dane dotycz膮,
administratorze danych - rozumie si臋 przez to organ, jednostk臋 organizacyjn膮, podmiot lub osob臋, o kt贸rych mowa w art. 3, decyduj膮ce o celach i 艣rodkach przetwarzania danych osobowych,
zgodzie osoby, kt贸rej dane dotycz膮 - rozumie si臋 przez to o艣wiadczenie woli, kt贸rego tre艣ci膮 jest zgoda na przetwarzanie danych osobowych tego, kto sk艂ada o艣wiadczenie; zgoda nie mo偶e by膰 domniemana lub dorozumiana z o艣wiadczenia woli o innej tre艣ci,
odbiorcy danych - rozumie si臋 przez to ka偶dego, komu udost臋pnia si臋 dane osobowe, z wy艂膮czeniem:
osoby, kt贸rej dane dotycz膮,
osoby, upowa偶nionej do przetwarzania danych,
przedstawiciela, o kt贸rym mowa w art. 31a,
podmiotu, o kt贸rym mowa w art. 31,
organ贸w pa艅stwowych lub organ贸w samorz膮du terytorialnego, kt贸rym dane s膮 udost臋pniane w zwi膮zku z prowadzonym post臋powaniem,
pa艅stwie trzecim - rozumie si臋 przez to pa艅stwo nienale偶膮ce do Europejskiego Obszaru Gospodarczego.
Rozdzia艂 2
Organ ochrony danych osobowych
Art. 8
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej „Generalnym Inspektorem”.
Generalnego Inspektora powo艂uje i odwo艂uje Sejm Rzeczypospolitej Polskiej za zgod膮 Senatu.
Na stanowisko Generalnego Inspektora mo偶e by膰 powo艂any ten, kto 艂膮cznie spe艂nia nast臋puj膮ce warunki:
jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
wyr贸偶nia si臋 wysokim autorytetem moralnym,
posiada wy偶sze wykszta艂cenie prawnicze oraz odpowiednie do艣wiadczenie zawodowe,
nie by艂 karany za przest臋pstwo.
Generalny Inspektor w zakresie wykonywania swoich zada艅 podlega tylko ustawie.
Kadencja Generalnego Inspektora trwa 4 lata, licz膮c od dnia z艂o偶enia 艣lubowania. Po up艂ywie kadencji Generalny Inspektor pe艂ni swoje obowi膮zki do czasu obj臋cia stanowiska przez nowego Generalnego Inspektora.
Ta sama osoba nie mo偶e by膰 Generalnym Inspektorem wi臋cej ni偶 przez dwie kadencje.
Kadencja Generalnego Inspektora wygasa z chwil膮 jego 艣mierci, odwo艂ania lub utraty obywatelstwa polskiego.
Sejm, za zgod膮 Senatu, odwo艂uje Generalnego Inspektora, je偶eli:
zrzek艂 si臋 stanowiska,
sta艂 si臋 trwale niezdolny do pe艂nienia obowi膮zk贸w na skutek choroby,
sprzeniewierzy艂 si臋 z艂o偶onemu 艣lubowaniu,
zosta艂 skazany prawomocnym wyrokiem s膮du za pope艂nienie przest臋pstwa.
Art. 9
Przed przyst膮pieniem do wykonywania obowi膮zk贸w Generalny Inspektor sk艂ada przed Sejmem nast臋puj膮ce 艣lubowanie:
„Obejmuj膮c stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczy艣cie 艣lubuj臋 dochowa膰 wierno艣ci postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a聽powierzone mi obowi膮zki wype艂nia膰 sumiennie i bezstronnie.”
艢lubowanie mo偶e by膰 z艂o偶one z dodaniem s艂贸w „Tak mi dopom贸偶 B贸g”.
Art. 10
Generalny Inspektor nie mo偶e zajmowa膰 innego stanowiska, z wyj膮tkiem stanowiska profesora szko艂y wy偶szej, ani wykonywa膰 innych zaj臋膰 zawodowych.
Generalny Inspektor nie mo偶e nale偶e膰 do partii politycznej, zwi膮zku zawodowego ani prowadzi膰 dzia艂alno艣ci publicznej niedaj膮cej si臋 pogodzi膰 z godno艣ci膮 jego urz臋du.
Art. 11
Generalny Inspektor nie mo偶e by膰 bez uprzedniej zgody Sejmu poci膮gni臋ty do odpowiedzialno艣ci karnej ani pozbawiony wolno艣ci. Generalny Inspektor nie mo偶e by膰 zatrzymany lub aresztowany, z wyj膮tkiem uj臋cia go na gor膮cym uczynku przest臋pstwa i je偶eli jego zatrzymanie jest niezb臋dne do zapewnienia prawid艂owego toku post臋powania. O聽zatrzymaniu niezw艂ocznie powiadamia si臋 Marsza艂ka Sejmu, kt贸ry mo偶e nakaza膰 natychmiastowe zwolnienie zatrzymanego.
Art. 12
Do zada艅 Generalnego Inspektora w szczeg贸lno艣ci nale偶y:
kontrola zgodno艣ci przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepis贸w o ochronie danych osobowych,
prowadzenie rejestru zbior贸w danych oraz udzielanie informacji o zarejestrowanych zbiorach,
opiniowanie projekt贸w ustaw i rozporz膮dze艅 dotycz膮cych ochrony danych osobowych,
inicjowanie i podejmowanie przedsi臋wzi臋膰 w zakresie doskonalenia ochrony danych osobowych,
uczestniczenie w pracach mi臋dzynarodowych organizacji i instytucji zajmuj膮cych si臋 problematyk膮 ochrony danych osobowych.
Art. 12a
Na wniosek Generalnego Inspektora Marsza艂ek Sejmu mo偶e powo艂a膰 zast臋pc臋 Generalnego Inspektora. Odwo艂anie zast臋pcy Generalnego Inspektora nast臋puje w tym samym trybie.
Generalny Inspektor okre艣la zakres zada艅 swojego zast臋pcy.
Zast臋pca Generalnego Inspektora powinien spe艂nia膰 wymogi okre艣lone w art. 8 ust. 3 pkt 1, 2 i 4 oraz posiada膰 wy偶sze wykszta艂cenie i odpowiednie do艣wiadczenie zawodowe.
Art. 13
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
uchylony
Organizacj臋 oraz zasady dzia艂ania Biura okre艣la statut nadany, w drodze rozporz膮dzania, przez Prezydenta Rzeczypospolitej Polskiej.
Art. 14
W celu wykonania zada艅, o kt贸rych mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zast臋pca Generalnego Inspektora lub upowa偶nieni przez niego pracownicy Biura, zwani dalej "inspektorami", maj膮 prawo:
wst臋pu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upowa偶nienia i legitymacji s艂u偶bowej, do pomieszczenia, w kt贸rym zlokalizowany jest zbi贸r danych, oraz pomieszczenia, w kt贸rym przetwarzane s膮 dane poza zbiorem danych, i przeprowadzenia niezb臋dnych bada艅 lub innych czynno艣ci kontrolnych w celu oceny zgodno艣ci przetwarzania danych z ustaw膮,
偶膮da膰 z艂o偶enia pisemnych lub ustnych wyja艣nie艅 oraz wzywa膰 i przes艂uchiwa膰 osoby w zakresie niezb臋dnym do ustalenia stanu faktycznego,
wgl膮du do wszelkich dokument贸w i wszelkich danych maj膮cych bezpo艣redni zwi膮zek z przedmiotem kontroli oraz sporz膮dzania ich kopii,
przeprowadzania ogl臋dzin urz膮dze艅, no艣nik贸w oraz system贸w informatycznych s艂u偶膮cych do przetwarzania danych,
zleca膰 sporz膮dzanie ekspertyz i opinii.
Art. 15
Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna b臋d膮ca administratorem danych osobowych s膮 obowi膮zani umo偶liwi膰 inspektorowi przeprowadzenie kontroli, a w szczeg贸lno艣ci umo偶liwi膰 przeprowadzenie czynno艣ci oraz spe艂ni膰 偶膮dania, o kt贸rych mowa w art. 14 pkt 1-4.
W toku kontroli zbior贸w, o kt贸rych mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzaj膮cy kontrol臋 ma prawo wgl膮du do zbioru zawieraj膮cego dane osobowe jedynie za po艣rednictwem upowa偶nionego przedstawiciela kontrolowanej jednostki organizacyjnej.
Art. 16
Z czynno艣ci kontrolnych inspektor sporz膮dza protok贸艂, kt贸rego jeden egzemplarz dor臋cza kontrolowanemu administratorowi danych.
Protok贸艂 podpisuj膮 inspektor i kontrolowany administrator danych, kt贸ry mo偶e wnie艣膰 do protoko艂u umotywowane zastrze偶enia i uwagi.
W razie odmowy podpisania protoko艂u przez kontrolowanego administratora danych, inspektor czyni o tym wzmiank臋 w protokole, a odmawiaj膮cy podpisu mo偶e, w terminie 7 dni, przedstawi膰 swoje stanowisko na pi艣mie Generalnemu Inspektorowi.
Art. 17
Je偶eli na podstawie wynik贸w kontroli inspektor stwierdzi naruszenie przepis贸w o ochronie danych osobowych, wyst臋puje do Generalnego Inspektora o zastosowanie 艣rodk贸w, o kt贸rych mowa w art. 18.
Na podstawie ustale艅 kontroli inspektor mo偶e 偶膮da膰 wszcz臋cia post臋powania dyscyplinarnego lub innego przewidzianego prawem post臋powania przeciwko osobom winnym dopuszczenia do uchybie艅 i poinformowania go, w okre艣lonym terminie, o wynikach tego post臋powania i podj臋tych dzia艂aniach.
Art. 18
W przypadku naruszenia przepis贸w o ochronie danych osobowych, Generalny Inspektor z urz臋du lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywr贸cenie stanu zgodnego z prawem, a w szczeg贸lno艣ci:
usuni臋cie uchybie艅,
uzupe艂nienie, uaktualnienie, sprostowanie, udost臋pnienie lub nieudost臋pnienie danych osobowych,
zastosowanie dodatkowych 艣rodk贸w zabezpieczaj膮cych zgromadzone dane osobowe,
wstrzymanie przekazywania danych osobowych do pa艅stwa trzeciego,
zabezpieczenie danych lub przekazanie ich innym podmiotom,
usuni臋cie danych osobowych.
Decyzje Generalnego Inspektora, o kt贸rych mowa w ust. 1, nie mog膮 ogranicza膰 swobody dzia艂ania podmiot贸w zg艂aszaj膮cych kandydat贸w lub listy kandydat贸w w wyborach na urz膮d Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organ贸w samorz膮du terytorialnego, a tak偶e w wyborach do Parlamentu Europejskiego, pomi臋dzy dniem zarz膮dzenia wybor贸w a dniem g艂osowania.
2a. Decyzje Generalnego Inspektora, o kt贸rych mowa w ust. 1, w odniesieniu do zbior贸w okre艣lonych w art. 43 ust. 1 pkt 1a, nie mog膮 nakazywa膰 usuni臋cia danych osobowych zebranych w toku czynno艣ci operacyjno-rozpoznawczych prowadzonych na podstawie przepis贸w prawa.
W przypadku gdy przepisy innych ustaw reguluj膮 odr臋bnie wykonywanie czynno艣ci, o kt贸rych mowa w ust. 1, stosuje si臋 przepisy tych ustaw.
Art. 19
W razie stwierdzenia, 偶e dzia艂anie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej b臋d膮cej administratorem danych wyczerpuje znamiona przest臋pstwa okre艣lonego w ustawie, Generalny Inspektor kieruje do organu powo艂anego do 艣cigania przest臋pstw zawiadomienie o pope艂nieniu przest臋pstwa, do艂膮czaj膮c dowody dokumentuj膮ce podejrzenie.
Art. 20
Generalny Inspektor sk艂ada Sejmowi, raz w roku, sprawozdanie ze swojej dzia艂alno艣ci wraz z wnioskami wynikaj膮cymi ze stanu przestrzegania przepis贸w o ochronie danych osobowych.
Art. 21
Strona mo偶e zwr贸ci膰 si臋 do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.
Na decyzj臋 Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przys艂uguje skarga do s膮du administracyjnego.
Art. 22
Post臋powanie w sprawach uregulowanych w niniejszej ustawie prowadzi si臋 wed艂ug przepis贸w Kodeksu post臋powania administracyjnego, o ile przepisy ustawy nie stanowi膮 inaczej.
Art. 22a
Minister w艂a艣ciwy do spraw administracji publicznej okre艣li, w drodze rozporz膮dzenia, wz贸r upowa偶nienia i legitymacji s艂u偶bowej, o kt贸rych mowa w art. 14 pkt 1, uwzgl臋dniaj膮c konieczno艣膰 imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
Rozdzia艂 3
Zasady przetwarzania danych osobowych
Art. 23
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
osoba, kt贸rej dane dotycz膮, wyrazi na to zgod臋, chyba 偶e chodzi o usuni臋cie dotycz膮cych jej danych,
jest to niezb臋dne dla zrealizowania uprawnienia lub spe艂nienia obowi膮zku wynikaj膮cego z przepisu prawa,
jest to konieczne do realizacji umowy, gdy osoba, kt贸rej dane dotycz膮, jest jej stron膮 lub gdy jest to niezb臋dne do podj臋cia dzia艂a艅 przed zawarciem umowy na 偶膮danie osoby, kt贸rej dane dotycz膮,
jest niezb臋dne do wykonania okre艣lonych prawem zada艅 realizowanych dla dobra publicznego,
jest to niezb臋dne dla wype艂niania prawnie usprawiedliwionych cel贸w realizowanych przez administrator贸w danych albo odbiorc贸w danych, a przetwarzanie nie narusza praw i wolno艣ci osoby, kt贸rej dane dotycz膮.
Zgoda, o kt贸rej mowa w ust. 1 pkt 1, mo偶e obejmowa膰 r贸wnie偶 przetwarzanie danych w przysz艂o艣ci, je偶eli nie zmienia si臋 cel przetwarzania.
Je偶eli przetwarzanie danych jest niezb臋dne dla ochrony 偶ywotnych interes贸w osoby, kt贸rej dane dotycz膮, a spe艂nienie warunku okre艣lonego w ust. 1 pkt 1 jest niemo偶liwe, mo偶na przetwarza膰 dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody b臋dzie mo偶liwe.
Za prawnie usprawiedliwiony cel, o kt贸rym mowa w ust. 1 pkt 5, uwa偶a si臋 w szczeg贸lno艣ci:
marketing bezpo艣redni w艂asnych produkt贸w lub us艂ug administratora danych,
dochodzenie roszcze艅 z tytu艂u prowadzonej dzia艂alno艣ci gospodarczej.
Art. 24
W przypadku zbierania danych osobowych od osoby, kt贸rej one dotycz膮, administrator danych jest obowi膮zany poinformowa膰 t臋 osob臋 o:
adresie swojej siedziby i pe艂nej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
celu zbierania danych, a w szczeg贸lno艣ci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorc贸w danych,
prawie dost臋pu do tre艣ci swoich danych oraz ich poprawiania,
dobrowolno艣ci albo obowi膮zku podania danych, a je偶eli taki obowi膮zek istnieje, o jego podstawie prawnej.
Przepisu ust. 1 nie stosuje si臋, je偶eli:
przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
osoba, kt贸rej dane dotycz膮, posiada informacje, o kt贸rych mowa w ust. 1.
Art. 25
W przypadku zbierania danych osobowych nie od osoby, kt贸rej one dotycz膮, administrator danych jest obowi膮zany poinformowa膰 t臋 osob臋, bezpo艣rednio po utrwaleniu zebranych danych, o:
adresie swojej siedziby i pe艂nej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
celu i zakresie zbierania danych, a w szczeg贸lno艣ci o odbiorcach lub kategoriach odbiorc贸w danych,
藕r贸dle danych,
prawie dost臋pu do tre艣ci swoich danych oraz ich poprawiania,
uprawnieniach wynikaj膮cych z art. 32 ust. 1 pkt 7 i 8.
Przepisu ust. 1 nie stosuje si臋, je偶eli:
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, kt贸rej dane dotycz膮,
uchylony
dane te s膮 niezb臋dne do bada艅 naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolno艣ci osoby, kt贸rej dane dotycz膮, a spe艂nienie wymaga艅 okre艣lonych w ust. 1 wymaga艂oby nadmiernych nak艂ad贸w lub zagra偶a艂oby realizacji celu badania,
uchylony
dane s膮 przetwarzane przez administratora, o kt贸rym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepis贸w prawa,
osoba, kt贸rej dane dotycz膮, posiada informacje, o kt贸rych mowa w ust. 1.
Art. 26
Administrator danych przetwarzaj膮cy dane powinien do艂o偶y膰 szczeg贸lnej staranno艣ci w celu ochrony interes贸w os贸b, kt贸rych dane dotycz膮, a w szczeg贸lno艣ci jest obowi膮zany zapewni膰, aby dane te by艂y:
przetwarzane zgodnie z prawem,
zbierane dla oznaczonych, zgodnych z prawem cel贸w i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrze偶eniem ust. 2,
merytorycznie poprawne i adekwatne w stosunku do cel贸w, w jakich s膮 przetwarzane,
przechowywane w postaci umo偶liwiaj膮cej identyfikacj臋 os贸b, kt贸rych dotycz膮, nie d艂u偶ej ni偶 jest to niezb臋dne do osi膮gni臋cia celu przetwarzania.
Przetwarzanie danych w celu innym ni偶 ten, dla kt贸rego zosta艂y zebrane, jest dopuszczalne, je偶eli nie narusza praw i wolno艣ci osoby, kt贸rej dane dotycz膮, oraz nast臋puje:
w celach bada艅 naukowych, dydaktycznych, historycznych lub statystycznych,
z zachowaniem przepis贸w art. 23 i 25.
Art. 26a
Niedopuszczalne jest ostateczne rozstrzygni臋cie indywidualnej sprawy osoby, kt贸rej dane dotycz膮, je偶eli jego tre艣膰 jest wy艂膮cznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
Przepisu ust. 1 nie stosuje si臋, je偶eli rozstrzygni臋cie zosta艂o podj臋te podczas zawierania lub wykonywania umowy i uwzgl臋dnia wniosek osoby, kt贸rej dane dotycz膮.
Art. 27
Zabrania si臋 przetwarzania danych ujawniaj膮cych pochodzenie rasowe lub etniczne, pogl膮dy polityczne, przekonania religijne lub filozoficzne, przynale偶no艣膰 wyznaniow膮, partyjn膮 lub zwi膮zkow膮, jak r贸wnie偶 danych o stanie zdrowia, kodzie genetycznym, na艂ogach lub 偶yciu seksualnym oraz danych dotycz膮cych skaza艅, orzecze艅 o ukaraniu i mandat贸w karnych, a tak偶e innych orzecze艅 wydanych w post臋powaniu s膮dowym lub administracyjnym.
Przetwarzanie danych, o kt贸rych mowa w ust. 1, jest jednak dopuszczalne, je偶eli:
osoba, kt贸rej dane dotycz膮, wyrazi na to zgod臋 na pi艣mie, chyba 偶e chodzi o usuni臋cie dotycz膮cych jej danych,
przepis szczeg贸lny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, kt贸rej dane dotycz膮, i stwarza pe艂ne gwarancje ich ochrony,
przetwarzanie takich danych jest niezb臋dne do ochrony 偶ywotnych interes贸w osoby, kt贸rej dane dotycz膮, lub innej osoby, gdy osoba, kt贸rej dane dotycz膮, nie jest fizycznie lub prawnie zdolna do wyra偶enia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
jest to niezb臋dne do wykonania statutowych zada艅 ko艣cio艂贸w i innych zwi膮zk贸w wyznaniowych, stowarzysze艅, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub zwi膮zkowych, pod warunkiem, 偶e przetwarzanie danych dotyczy wy艂膮cznie cz艂onk贸w tych organizacji lub instytucji albo os贸b utrzymuj膮cych z nimi sta艂e kontakty w zwi膮zku z ich dzia艂alno艣ci膮 i zapewnione s膮 pe艂ne gwarancje ochrony przetwarzanych danych,
przetwarzanie dotyczy danych, kt贸re s膮 niezb臋dne do dochodzenia praw przed s膮dem,
przetwarzanie jest niezb臋dne do wykonania zada艅 administratora danych odnosz膮cych si臋 do zatrudnienia pracownik贸w i innych os贸b, a zakres przetwarzanych danych jest okre艣lony w ustawie,
przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, 艣wiadczenia us艂ug medycznych lub leczenia pacjent贸w przez osoby trudni膮ce si臋 zawodowo leczeniem lub 艣wiadczeniem innych us艂ug medycznych, zarz膮dzania udzielaniem us艂ug medycznych i s膮 stworzone pe艂ne gwarancje ochrony danych osobowych,
przetwarzanie dotyczy danych, kt贸re zosta艂y podane do wiadomo艣ci publicznej przez osob臋, kt贸rej dane dotycz膮,
jest to niezb臋dne do prowadzenia bada艅 naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu uko艅czenia szko艂y wy偶szej lub stopnia naukowego; publikowanie wynik贸w bada艅 naukowych nie mo偶e nast臋powa膰 w spos贸b umo偶liwiaj膮cy identyfikacj臋 os贸b, kt贸rych dane zosta艂y przetworzone,
przetwarzanie danych jest prowadzone przez stron臋 w celu realizacji praw i obowi膮zk贸w wynikaj膮cych z orzeczenia wydanego w post臋powaniu s膮dowym lub administracyjnym.
Art. 28
uchylony
Numery porz膮dkowe stosowane w ewidencji ludno艣ci mog膮 zawiera膰 tylko oznaczenie p艂ci, daty urodzenia, numer nadania oraz liczb臋 kontroln膮.
Zabronione jest nadawanie ukrytych znacze艅 elementom numer贸w porz膮dkowych w systemach ewidencjonuj膮cych osoby fizyczne.
Art. 29
W przypadku udost臋pniania danych osobowych w celach innych ni偶 w艂膮czenie do zbioru, administrator danych udost臋pnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepis贸w prawa.
Dane osobowe, z wy艂膮czeniem danych, o kt贸rych mowa w art. 27 ust. 1, mog膮 by膰 tak偶e udost臋pnione w celach innych ni偶 w艂膮czenie do zbioru, innym osobom i podmiotom ni偶 wymienione w ust. 1, je偶eli w spos贸b wiarygodny uzasadni膮 potrzeb臋 posiadania tych danych, a ich udost臋pnienie nie naruszy praw i wolno艣ci os贸b, kt贸rych dane dotycz膮.
Dane osobowe udost臋pnia si臋 na pisemny, umotywowany wniosek, chyba 偶e przepis innej ustawy stanowi inaczej. Wniosek powinien zawiera膰 informacje umo偶liwiaj膮ce wyszukanie w zbiorze 偶膮danych danych osobowych oraz wskazywa膰 ich zakres i przeznaczenie.
Udost臋pnione dane osobowe mo偶na wykorzysta膰 wy艂膮cznie zgodnie z przeznaczeniem, dla kt贸rego zosta艂y udost臋pnione.
Art. 30
Administrator danych odmawia udost臋pnienia danych osobowych ze zbioru danych podmiotom i osobom innym ni偶 wymienione w art. 29 ust. 1, je偶eli spowodowa艂oby to:
ujawnienie wiadomo艣ci stanowi膮cych tajemnic臋 pa艅stwow膮,
zagro偶enie dla obronno艣ci lub bezpiecze艅stwa pa艅stwa, 偶ycia i zdrowia ludzi lub bezpiecze艅stwa i porz膮dku publicznego,
zagro偶enie dla podstawowego interesu gospodarczego lub finansowego pa艅stwa,
istotne naruszenie d贸br osobistych os贸b, kt贸rych dane dotycz膮, lub innych os贸b.
Art. 31
Administrator danych mo偶e powierzy膰 innemu podmiotowi, w drodze umowy zawartej na pi艣mie, przetwarzanie danych.
Podmiot, o kt贸rym mowa w ust. 1, mo偶e przetwarza膰 dane wy艂膮cznie w zakresie i celu przewidzianym w umowie.
Podmiot, o kt贸rym mowa w ust. 1, jest obowi膮zany przed rozpocz臋ciem przetwarzania danych podj膮膰 艣rodki zabezpieczaj膮ce zbi贸r danych, o kt贸rych mowa w art. 36 - 39, oraz spe艂ni膰 wymagania okre艣lone w przepisach, o kt贸rych mowa w art. 39a. W zakresie przestrzegania tych przepis贸w podmiot ponosi odpowiedzialno艣膰 jak administrator danych.
W przypadkach, o kt贸rych mowa w ust. 1-3, odpowiedzialno艣膰 za przestrzeganie przepis贸w niniejszej ustawy spoczywa na administratorze danych, co nie wy艂膮cza odpowiedzialno艣ci podmiotu, kt贸ry zawar艂 umow臋, za przetwarzanie danych niezgodnie z t膮 umow膮.
Do kontroli zgodno艣ci przetwarzania danych przez podmiot, o kt贸rym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje si臋 odpowiednio przepisy art. 14 - 19.
Art. 31a
W przypadku przetwarzania danych osobowych przez podmioty maj膮ce siedzib臋 albo miejsce zamieszkania w pa艅stwie trzecim, administrator danych jest obowi膮zany wyznaczy膰 swojego przedstawiciela w Rzeczypospolitej Polskiej.
Rozdzia艂 4
Prawa osoby, kt贸rej dane dotycz膮
Art. 32
Ka偶dej osobie przys艂uguje prawo do kontroli przetwarzania danych, kt贸re jej dotycz膮, zawartych w zbiorach danych, a zw艂aszcza prawo do:
uzyskania wyczerpuj膮cej informacji, czy taki zbi贸r istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pe艂nej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
uzyskania informacji, od kiedy przetwarza si臋 w zbiorze dane jej dotycz膮ce, oraz podania w powszechnie zrozumia艂ej formie tre艣ci tych danych,
uzyskania informacji o 藕r贸dle, z kt贸rego pochodz膮 dane jej dotycz膮ce, chyba 偶e administrator danych jest zobowi膮zany do zachowania w tym zakresie tajemnicy pa艅stwowej, s艂u偶bowej lub zawodowej,
uzyskania informacji o sposobie udost臋pniania danych, a w szczeg贸lno艣ci informacji o odbiorcach lub kategoriach odbiorc贸w, kt贸rym dane te s膮 udost臋pniane,
5a) uzyskania informacji o przes艂ankach podj臋cia rozstrzygni臋cia, o kt贸rym mowa w art. 26a ust. 2,
偶膮dania uzupe艂nienia, uaktualnienia, sprostowania danych osobowych, czasowego lub sta艂ego wstrzymania ich przetwarzania lub ich usuni臋cia, je偶eli s膮 one niekompletne, nieaktualne, nieprawdziwe lub zosta艂y zebrane z naruszeniem ustawy albo s膮 ju偶 zb臋dne do realizacji celu, dla kt贸rego zosta艂y zebrane,
wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego 偶膮dania zaprzestania przetwarzania jej danych ze wzgl臋du na jej szczeg贸ln膮 sytuacj臋,
wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarza膰 w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,
wniesienia do administratora danych 偶膮dania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygni臋tej z naruszeniem art. 26a ust. 1.
W przypadku wniesienia 偶膮dania, o kt贸rym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zb臋dnej zw艂oki przekazuje 偶膮danie Generalnemu Inspektorowi, kt贸ry wydaje stosown膮 decyzj臋.
W razie wniesienia sprzeciwu, o kt贸rym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych mo偶e jednak pozostawi膰 w zbiorze imi臋 lub imiona i nazwisko osoby oraz numer PESEL lub adres wy艂膮cznie w celu unikni臋cia ponownego wykorzystania danych tej osoby w celach obj臋tych sprzeciwem.
3a. W razie wniesienia 偶膮dania, o kt贸rym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zb臋dnej zw艂oki rozpatruje spraw臋 albo przekazuje j膮 wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, kt贸ry wydaje stosown膮 decyzj臋.
Je偶eli dane s膮 przetwarzane dla cel贸w naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych mo偶e odst膮pi膰 od informowania os贸b o przetwarzaniu ich danych w przypadkach, gdy poci膮ga艂oby to za sob膮 nak艂ady niewsp贸艂mierne z zamierzonym celem.
Osoba zainteresowana mo偶e skorzysta膰 z prawa do informacji, o kt贸rych mowa w ust. 1 pkt 1-5, nie cz臋艣ciej ni偶 raz na 6 miesi臋cy.
Art. 33
Na wniosek osoby, kt贸rej dane dotycz膮, administrator danych jest obowi膮zany, w terminie 30 dni, poinformowa膰 o przys艂uguj膮cych jej prawach oraz udzieli膰, odno艣nie jej danych osobowych, informacji, o kt贸rych mowa w art. 32 ust. 1 pkt 1 - 5a, a w szczeg贸lno艣ci poda膰 w formie zrozumia艂ej:
jakie dane osobowe zawiera zbi贸r,
w jaki spos贸b zebrano dane,
w jakim celu i zakresie dane s膮 przetwarzane,
w jakim zakresie oraz komu dane zosta艂y udost臋pnione
Na wniosek osoby, kt贸rej dane dotycz膮, informacji, o kt贸rych mowa w ust. 1, udziela si臋 na pi艣mie.
Art. 34
W sprawach informowania i udost臋pniania danych osobie, kt贸rej dane dotycz膮, stosuje si臋 przepisy art. 30.
Art. 35
W razie wykazania przez osob臋, kt贸rej dane osobowe dotycz膮, 偶e s膮 one niekompletne, nieaktualne, nieprawdziwe lub zosta艂y zebrane z naruszeniem ustawy albo s膮 zb臋dne do realizacji celu, dla kt贸rego zosta艂y zebrane, administrator danych jest obowi膮zany, bez zb臋dnej zw艂oki, do uzupe艂nienia, uaktualnienia, sprostowania danych, czasowego lub sta艂ego wstrzymania przetwarzania kwestionowanych danych lub ich usuni臋cia ze zbioru, chyba 偶e dotyczy to danych osobowych, w odniesieniu do kt贸rych tryb ich uzupe艂nienia, uaktualnienia lub sprostowania okre艣laj膮 odr臋bne ustawy.
W razie niedope艂nienia przez administratora danych obowi膮zku, o kt贸rym mowa w ust. 1, osoba, kt贸rej dane dotycz膮, mo偶e si臋 zwr贸ci膰 do Generalnego Inspektora z wnioskiem o nakazanie dope艂nienia tego obowi膮zku.
Administrator danych jest obowi膮zany poinformowa膰 bez zb臋dnej zw艂oki innych administrator贸w, kt贸rym udost臋pni艂 zbi贸r danych, o dokonanym uaktualnieniu lub sprostowaniu danych.
Rozdzia艂 5
Zabezpieczenie danych osobowych
Art. 36
Administrator danych jest obowi膮zany zastosowa膰 艣rodki techniczne i organizacyjne zapewniaj膮ce ochron臋 przetwarzanych danych osobowych odpowiedni膮 do zagro偶e艅 oraz kategorii danych obj臋tych ochron膮, a w szczeg贸lno艣ci powinien zabezpieczy膰 dane przed ich udost臋pnieniem osobom nieupowa偶nionym, zabraniem przez osob臋 nieuprawnion膮, przetwarzaniem z naruszeniem ustawy oraz zmian膮, utrat膮, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentacj臋 opisuj膮c膮 spos贸b przetwarzania danych oraz 艣rodki, o kt贸rych mowa w ust. 1.
Administrator danych wyznacza administratora bezpiecze艅stwa informacji, nadzoruj膮cego przestrzeganie zasad ochrony, o kt贸rych mowa w ust. 1, chyba 偶e sam wykonuje te czynno艣ci.
Art. 37
Do przetwarzania danych mog膮 by膰 dopuszczone wy艂膮cznie osoby posiadaj膮ce upowa偶nienie nadane przez administratora danych.
Art. 38
Administrator danych jest obowi膮zany zapewni膰 kontrol臋 nad tym, jakie dane osobowe, kiedy i przez kogo zosta艂y do zbioru wprowadzone oraz komu s膮 przekazywane.
Art. 39
Administrator danych prowadzi ewidencj臋 os贸b upowa偶nionych do ich przetwarzania, kt贸ra powinna zawiera膰:
imi臋 i nazwisko osoby upowa偶nionej,
dat臋 nadania i ustania oraz zakres upowa偶nienia do przetwarzania danych osobowych,
identyfikator, je偶eli dane s膮 przetwarzane w systemie informatycznym.
Osoby, kt贸re zosta艂y upowa偶nione do przetwarzania danych, s膮 obowi膮zane zachowa膰 w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Art. 39a
Minister w艂a艣ciwy do spraw administracji publicznej w porozumieniu z ministrem w艂a艣ciwym do spraw informatyzacji okre艣li, w drodze rozporz膮dzenia, spos贸b prowadzenia i zakres dokumentacji, o kt贸rej mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada膰 urz膮dzenia i systemy informatyczne s艂u偶膮ce do przetwarzania danych osobowych, uwzgl臋dniaj膮c zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagro偶e艅 oraz kategorii danych obj臋tych ochron膮, a tak偶e wymagania w zakresie odnotowywania udost臋pniania danych osobowych i bezpiecze艅stwa przetwarzanych danych.
Rozdzia艂 6
Rejestracja zbior贸w danych osobowych
Art. 40
Administrator danych jest obowi膮zany zg艂osi膰 zbi贸r danych do rejestracji Generalnemu Inspektorowi, z wyj膮tkiem przypadk贸w, o kt贸rych mowa w art. 43 ust. 1.
Art. 41
Zg艂oszenie zbioru danych do rejestracji powinno zawiera膰:
wniosek o wpisanie zbioru do rejestru zbior贸w danych osobowych,
oznaczenie podmiotu prowadz膮cego zbi贸r i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiot贸w gospodarki narodowej, je偶eli zosta艂 mu nadany, oraz podstaw臋 prawn膮 upowa偶niaj膮c膮 do prowadzenia zbioru, a w przypadku podmiotu, o kt贸rym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania.
cel przetwarzania danych,
3a) opis kategorii os贸b, kt贸rych dane dotycz膮, oraz zakres przetwarzanych danych,
spos贸b zbierania oraz udost臋pniania danych,
4a)聽informacj臋 o odbiorcach lub kategoriach odbiorc贸w, kt贸rym dane mog膮 by膰 przekazywane,
opis 艣rodk贸w technicznych i organizacyjnych zastosowanych w celach okre艣lonych w art. 36-39,
informacj臋 o sposobie wype艂niania warunk贸w technicznych i organizacyjnych, okre艣lonych w przepisach, o kt贸rych mowa w art. 39a,
informacj臋 dotycz膮c膮 ewentualnego przekazywania danych do pa艅stwa trzeciego.
Administrator danych jest obowi膮zany zg艂asza膰 Generalnemu Inspektorowi ka偶d膮 zmian臋 informacji, o kt贸rej mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zg艂aszania zmian stosuje si臋 odpowiednio przepisy o rejestracji zbior贸w danych.
Art. 42
Generalny Inspektor prowadzi og贸lnokrajowy, jawny rejestr zbior贸w danych osobowych. Rejestr powinien zawiera膰 informacje, o kt贸rych mowa w art. 41 ust. 1 pkt 1-4a i 7.
Ka偶dy ma prawo przegl膮da膰 rejestr, o kt贸rym mowa w ust. 1.
Na 偶膮danie administratora danych mo偶e by膰 wydane za艣wiadczenie o zarejestrowaniu zg艂oszonego przez niego zbioru danych, z zastrze偶eniem ust. 4.
Generalny Inspektor wydaje administratorowi danych, o kt贸rych mowa w art. 27 ust. 1, za艣wiadczenie o zarejestrowaniu zbioru danych niezw艂ocznie po dokonaniu rejestracji.
Art. 43
Z obowi膮zku rejestracji zbioru danych zwolnieni s膮 administratorzy danych:
obj臋tych tajemnic膮 pa艅stwow膮 ze wzgl臋du na obronno艣膰 lub bezpiecze艅stwo pa艅stwa, ochron臋 偶ycia i zdrowia ludzi, mienia lub bezpiecze艅stwa i porz膮dku publicznego,
1a)聽kt贸re zosta艂y uzyskane w wyniku czynno艣ci operacyjno-rozpoznawczych przez funkcjonariuszy organ贸w uprawnionych do tych czynno艣ci,
przetwarzanych przez w艂a艣ciwe organy dla potrzeb post臋powania s膮dowego oraz na podstawie przepis贸w o Krajowym Rejestrze Karnym,
2a)聽przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
dotycz膮cych os贸b nale偶膮cych do ko艣cio艂a lub innego zwi膮zku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego ko艣cio艂a lub zwi膮zku wyznaniowego.
przetwarzanych w zwi膮zku z zatrudnieniem u nich, 艣wiadczeniem im us艂ug na podstawie um贸w cywilnoprawnych, a tak偶e dotycz膮cych os贸b u nich zrzeszonych lub ucz膮cych si臋,
dotycz膮cych os贸b korzystaj膮cych z ich us艂ug medycznych, obs艂ugi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub bieg艂ego rewidenta,
tworzonych na podstawie przepis贸w dotycz膮cych wybor贸w do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiat贸w i sejmik贸w wojew贸dztw, wybor贸w na urz膮d Prezydenta Rzeczypospolitej Polskiej, na w贸jta, burmistrza, prezydenta miasta oraz dotycz膮cych referendum og贸lnokrajowego i referendum lokalnego,
dotycz膮cych os贸b pozbawionych wolno艣ci na podstawie ustawy, w zakresie niezb臋dnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolno艣ci,
przetwarzanych wy艂膮cznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczo艣ci finansowej,
powszechnie dost臋pnych,
przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu uko艅czenia szko艂y wy偶szej lub stopnia naukowego,
przetwarzanych w zakresie drobnych bie偶膮cych spraw 偶ycia codziennego.
W odniesieniu do zbior贸w, o kt贸rych mowa w ust. 1 pkt 1 i 3, oraz zbior贸w, o kt贸rych mowa w ust. 1 pkt 1a, przetwarzanych przez Agencj臋 Bezpiecze艅stwa Wewn臋trznego, Agencj臋 Wywiadu oraz Wojskowe S艂u偶by Informacyjne, Generalnemu Inspektorowi nie przys艂uguj膮 uprawnienia okre艣lone w art. 12 pkt 2, art. 14 pkt 1, 3-5 oraz w art. 15-18.
Art. 44
Generalny Inspektor wydaje decyzj臋 o odmowie rejestracji zbioru danych, je偶eli:
nie zosta艂y spe艂nione wymogi okre艣lone w art. 41 ust. 1,
przetwarzanie danych narusza艂oby zasady okre艣lone w art. 23-30,
urz膮dzenia i systemy informatyczne s艂u偶膮ce do przetwarzania zbioru danych zg艂oszonego do rejestracji nie spe艂niaj膮 podstawowych warunk贸w technicznych i organizacyjnych, okre艣lonych w przepisach, o kt贸rych mowa w art. 39a.
Odmawiaj膮c rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje:
ograniczenie przetwarzania wszystkich albo niekt贸rych kategorii danych wy艂膮cznie do ich przechowywania lub
zastosowanie innych 艣rodk贸w, o kt贸rych mowa w art. 18 ust. 1.
uchylony
Administrator danych mo偶e zg艂osi膰 ponownie zbi贸r danych do rejestracji po usuni臋ciu wad, kt贸re by艂y powodem odmowy rejestracji zbioru.
W razie ponownego zg艂oszenia zbioru do rejestracji administrator danych mo偶e rozpocz膮膰 ich przetwarzanie po zarejestrowaniu zbioru.
Art. 44a
Wykre艣lenie z rejestru zbior贸w danych osobowych jest dokonywane, w drodze decyzji administracyjnej, je偶eli:
zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
rejestracji dokonano z naruszeniem prawa.
Art. 45
uchylony
Art. 46
Administrator danych mo偶e, z zastrze偶eniem ust. 2, rozpocz膮膰 ich przetwarzanie w zbiorze danych po zg艂oszeniu tego zbioru Generalnemu Inspektorowi, chyba 偶e ustawa zwalnia go z tego obowi膮zku.
Administrator danych, o kt贸rych mowa w art. 27 ust. 1, mo偶e rozpocz膮膰 ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba 偶e ustawa zwalnia go z obowi膮zku zg艂oszenia zbioru do rejestracji.
Art. 46a
Minister w艂a艣ciwy do spraw administracji publicznej okre艣li, w drodze rozporz膮dzenia, wz贸r zg艂oszenia, o kt贸rym mowa w art. 41 ust. 1, uwzgl臋dniaj膮c obowi膮zek zamieszczenia informacji niezb臋dnych do stwierdzenia zgodno艣ci przetwarzania danych z wymogami ustawy.
Rozdzia艂 7
Przekazywanie danych osobowych do pa艅stwa trzeciego
Art. 47
Przekazanie danych osobowych do pa艅stwa trzeciego mo偶e nast膮pi膰, je偶eli pa艅stwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowi膮zuj膮 na terytorium Rzeczypospolitej Polskiej.
Przepisu ust. 1 nie stosuje si臋, gdy przes艂anie danych osobowych wynika z obowi膮zku na艂o偶onego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy mi臋dzynarodowej.
Administrator danych mo偶e jednak przekaza膰 dane osobowe do pa艅stwa trzeciego, je偶eli:
osoba, kt贸rej dane dotycz膮, udzieli艂a na to zgody na pi艣mie,
przekazanie jest niezb臋dne do wykonania umowy pomi臋dzy administratorem danych a osob膮, kt贸rej dane dotycz膮, lub jest podejmowane na jej 偶yczenie,
przekazanie jest niezb臋dne do wykonania umowy zawartej w interesie osoby, kt贸rej dane dotycz膮, pomi臋dzy administratorem danych a innym podmiotem,
przekazanie jest niezb臋dne ze wzgl臋du na dobro publiczne lub do wykazania zasadno艣ci roszcze艅 prawnych,
przekazanie jest niezb臋dne do ochrony 偶ywotnych interes贸w osoby, kt贸rej dane dotycz膮,
dane s膮 og贸lnie dost臋pne.
Art. 48
W przypadkach innych ni偶 wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do pa艅stwa trzeciego, kt贸re nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowi膮zuj膮 na terytorium Rzeczypospolitej Polskiej, mo偶e nast膮pi膰 po uzyskaniu zgody Generalnego Inspektora, pod warunkiem 偶e administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatno艣ci oraz praw i wolno艣ci osoby, kt贸rej dane dotycz膮.
Rozdzia艂 8
Przepisy karne
Art. 49
Kto przetwarza w zbiorze dane osobowe, cho膰 ich przetwarzanie nie jest dopuszczalne albo do kt贸rych przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do lat 2.
Je偶eli czyn okre艣lony w ust. 1 dotyczy danych ujawniaj膮cych pochodzenie rasowe lub etniczne, pogl膮dy polityczne, przekonania religijne lub filozoficzne, przynale偶no艣膰 wyznaniow膮, partyjn膮 lub zwi膮zkow膮, danych o stanie zdrowia, kodzie genetycznym, na艂ogach lub 偶yciu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do lat 3.
Art. 50
Kto administruj膮c zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do roku.
Art. 51
Kto administruj膮c zbiorem danych lub b臋d膮c obowi膮zany do ochrony danych osobowych udost臋pnia je lub umo偶liwia dost臋p do nich osobom nieupowa偶nionym, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do lat 2.
Je偶eli sprawca dzia艂a nieumy艣lnie, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do roku.
Art. 52
Kto administruj膮c danymi narusza cho膰by nieumy艣lnie obowi膮zek zabezpieczenia ich przed zabraniem przez osob臋 nieuprawnion膮, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do roku.
Art. 53
Kto b臋d膮c do tego obowi膮zany nie zg艂asza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do roku.
Art. 54
Kto administruj膮c zbiorem danych nie dope艂nia obowi膮zku poinformowania osoby, kt贸rej dane dotycz膮, o jej prawach lub przekazania tej osobie informacji umo偶liwiaj膮cych korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolno艣ci albo pozbawienia wolno艣ci do roku.
Rozdzia艂 9
Zmiany w przepisach obowi膮zuj膮cych, przepisy przej艣ciowe i ko艅cowe
Art. 55 (pomini臋ty)
Art. 56 (pomini臋ty)
Art. 57(pomini臋ty)
Art. 58 (pomini臋ty)
Art. 59 (pomini臋ty)
Art. 60 (pomini臋ty)
Art. 61
Podmioty okre艣lone w art. 3, prowadz膮ce w dniu wej艣cia w 偶ycie ustawy zbiory danych osobowych w systemach informatycznych, maj膮 obowi膮zek z艂o偶enia wniosk贸w o zarejestrowanie tych zbior贸w w trybie okre艣lonym w art. 41, w terminie 18 miesi臋cy od dnia jej wej艣cia w 偶ycie, chyba 偶e ustawa zwalnia ich z tego obowi膮zku.
Do czasu rejestracji zbioru danych osobowych w trybie okre艣lonym w art. 41, podmioty, o kt贸rych mowa w ust. 1, mog膮 prowadzi膰 te zbiory bez rejestracji.
Art. 62
Ustawa wchodzi w 偶ycie po up艂ywie 6 miesi臋cy od dnia og艂oszenia, z tym 偶e:
art. 8-11, art. 13 i 45 wchodz膮 w 偶ycie po up艂ywie 2 miesi臋cy od dnia og艂oszenia,
art. 55-59 wchodz膮 w 偶ycie po up艂ywie 14 dni od dnia og艂oszenia.
Dz. U. z 2004 r. Nr 100, poz. 1024
ROZPORZ膭DZENIE MINISTRA SPRAW WEWN臉TRZNYCH I ADMINISTRACJI
z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunk贸w technicznych i organizacyjnych, jakim powinny odpowiada膰 urz膮dzenia i systemy informatyczne s艂u偶膮ce do przetwarzania danych osobowych
Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) zarz膮dza si臋, co nast臋puje:
搂 1.
Rozporz膮dzenie okre艣la:
spos贸b prowadzenia i zakres dokumentacji opisuj膮cej spos贸b przetwarzania danych osobowych oraz 艣rodki techniczne i organizacyjne zapewniaj膮ce ochron臋 przetwarzanych danych osobowych odpowiedni膮 do zagro偶e艅 oraz kategorii danych obj臋tych ochron膮;
podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada膰 urz膮dzenia i systemy informatyczne s艂u偶膮ce do przetwarzania danych osobowych;
wymagania w zakresie odnotowywania udost臋pniania danych osobowych i bezpiecze艅stwa przetwarzania danych osobowych.
搂 2.
Ilekro膰 w rozporz膮dzeniu jest mowa o:
ustawie — rozumie si臋 przez to ustaw臋 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwan膮 dalej „ustaw膮";
identyfikatorze u偶ytkownika — rozumie si臋 przez to ci膮g znak贸w literowych, cyfrowych lub innych jednoznacznie identyfikuj膮cy osob臋 upowa偶nion膮 do przetwarzania danych osobowych w systemie informatycznym;
ha艣le — rozumie si臋 przez to ci膮g znak贸w literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
sieci telekomunikacyjnej — rozumie si臋 przez to sie膰 telekomunikacyjn膮 w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. — Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z p贸藕n. zm.)
sieci publicznej — rozumie si臋 przez to sie膰 publiczn膮 w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. — Prawo telekomunikacyjne;
telentransmisji - rozumie si臋 przez to przesy艂anie informacji za po艣rednictwem sieci telekomunikacyjnej
rozliczalno艣ci — rozumie si臋 przez to w艂a艣ciwo艣膰 zapewniaj膮c膮, 偶e dzia艂ania podmiotu mog膮 by膰 przypisane w spos贸b jednoznaczny tylko temu podmiotowi;
integralno艣ci danych — rozumie si臋 przez to w艂a艣ciwo艣膰 zapewniaj膮c膮, 偶e dane osobowe nie zosta艂y zmienione lub zniszczone w spos贸b nieautoryzowany;
raporcie — rozumie si臋 przez to przygotowane przez system informatyczny zestawienia zakresu i tre艣ci przetwarzanych danych;
poufno艣ci danych — rozumie si臋 przez to w艂a艣ciwo艣膰 zapewniaj膮c膮, 偶e dane nie s膮 udost臋pniane nieupowa偶nionym podmiotom;
uwierzytelnianiu — rozumie si臋 przez to dzia艂anie, kt贸rego celem jest weryfikacja deklarowanej to偶samo艣ci podmiotu.
搂 3.
1. Na dokumentacj臋, o kt贸rej mowa w 搂 1 pkt 1, sk艂ada si臋 polityka bezpiecze艅stwa i instrukcja zarz膮dzania systemem informatycznym s艂u偶膮cym do przetwarzania danych osobowych, zwana dalej „instrukcj膮".
Dokumentacj臋, o kt贸rej mowa w 搂 1 pkt 1, prowadzi si臋 w formie pisemnej.
Dokumentacj臋, o kt贸rej mowa w 搂 1 pkt 1, wdra偶a administrator danych.
搂 4.
Polityka bezpiecze艅stwa, o kt贸rej mowa w 搂 3 ust. 1, zawiera w szczeg贸lno艣ci:
wykaz budynk贸w, pomieszcze艅 lub cz臋艣ci pomieszcze艅, tworz膮cych obszar, w kt贸rym przetwarzane s膮 dane osobowe;
wykaz zbior贸w danych osobowych wraz ze wskazaniem program贸w zastosowanych do przetwarzania tych danych;
opis struktury zbior贸w danych wskazuj膮cy zawarto艣膰 poszczeg贸lnych p贸l informacyjnych i powi膮zania mi臋dzy nimi;
spos贸b przep艂ywu danych pomi臋dzy poszczeg贸lnymi systemami;
okre艣lenie 艣rodk贸w technicznych i organizacyjnych niezb臋dnych dla zapewnienia poufno艣ci, integralno艣ci i rozliczalno艣ci przetwarzanych danych.
搂 5.
Instrukcja, o kt贸rej mowa w 搂 3 ust. 1, zawiera w szczeg贸lno艣ci:
procedury nadawania uprawnie艅 do przetwarzania danych i rejestrowania tych uprawnie艅 w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynno艣ci;
stosowane metody i 艣rodki uwierzytelnienia oraz procedury zwi膮zane z ich zarz膮dzaniem i u偶ytkowaniem;
procedury rozpocz臋cia, zawieszenia i zako艅czenia pracy przeznaczone dla u偶ytkownik贸w systemu;
procedury tworzenia kopii zapasowych zbior贸w danych oraz program贸w i narz臋dzi programowych s艂u偶膮cych do ich przetwarzania;
spos贸b, miejsce i okres przechowywania:
elektronicznych no艣nik贸w informacji zawieraj膮cych dane osobowe,
kopii zapasowych, o kt贸rych mowa w pkt 4,
spos贸b zabezpieczenia systemu informatycznego przed dzia艂alno艣ci膮 oprogramowania, o kt贸rym mowa w pkt III ppkt 1 za艂膮cznika do rozporz膮dzenia;
spos贸b realizacji wymog贸w, o kt贸rych mowa w 搂 7 ust. 1 pkt 4;
procedury wykonywania przegl膮d贸w i konserwacji system贸w oraz no艣nik贸w informacji s艂u偶膮cych do przetwarzania danych.
搂 6.
1. Uwzgl臋dniaj膮c kategorie przetwarzanych danych oraz zagro偶enia wprowadza si臋 poziomy bezpiecze艅stwa przetwarzania danych osobowych w systemie informatycznym:
podstawowy;
podwy偶szony;
wysoki.
2. Poziom co najmniej podstawowy stosuje si臋, gdy:
w systemie informatycznym nie s膮 przetwarzane dane, o kt贸rych mowa w art. 27 ustawy, oraz
偶adne z urz膮dze艅 systemu informatycznego, s艂u偶膮cego do przetwarzania danych osobowych nie jest po艂膮czone z sieci膮 publiczn膮.
3. Poziom co najmniej podwy偶szony stosuje si臋, gdy:
w systemie informatycznym przetwarzane s膮 dane osobowe, o kt贸rych mowa w art. 27 ustawy, oraz
偶adne z urz膮dze艅 systemu informatycznego, s艂u偶膮cego do przetwarzania danych osobowych nie jest po艂膮czone z sieci膮 publiczn膮.
Poziom wysoki stosuje si臋, gdy przynajmniej jedno urz膮dzenie systemu informatycznego, s艂u偶膮cego do przetwarzania danych osobowych, po艂膮czone jest z sieci膮 publiczn膮.
Opis 艣rodk贸w bezpiecze艅stwa stosowany na poziomach, o kt贸rych mowa w ust. 1, okre艣la za艂膮cznik do rozporz膮dzenia.
搂 7.
1. Dla ka偶dej osoby, kt贸rej dane osobowe s膮 przetwarzane w systemie informatycznym — z wyj膮tkiem system贸w s艂u偶膮cych do przetwarzania danych osobowych ograniczonych wy艂膮cznie do edycji tekstu w celu udost臋pnienia go na pi艣mie — system ten zapewnia odnotowanie:
daty pierwszego wprowadzenia danych do systemu;
identyfikatora u偶ytkownika wprowadzaj膮cego dane osobowe do systemu, chyba 偶e dost臋p do systemu informatycznego i przetwarzanych w nim danych posiada wy艂膮cznie jedna osoba;
藕r贸d艂a danych, w przypadku zbierania danych, nie od osoby, kt贸rej one dotycz膮;
informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, kt贸rym dane osobowe zosta艂y udost臋pnione, dacie i zakresie tego udost臋pnienia, chyba 偶e system informatyczny u偶ywany jest do przetwarzania danych zawartych w zbiorach jawnych;
sprzeciwu, o kt贸rym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o kt贸rych mowa w ust. 1 pkt 1 i 2, nast臋puje automatycznie po zatwierdzeniu przez u偶ytkownika operacji wprowadzenia danych.
3. Dla ka偶dej osoby, kt贸rej dane osobowe s膮 przetwarzane w systemie informatycznym, system zapewnia sporz膮dzenie i wydrukowanie raportu zawieraj膮cego w powszechnie zrozumia艂ej formie informacje, o kt贸rych mowa w ust. 1.
4. W przypadku przetwarzania danych osobowych, w co najmniej dw贸ch systemach informatycznych, wymagania, o kt贸rych mowa w ust. 1 pkt 4, mog膮 by膰 realizowane w jednym z nich lub w odr臋bnym systemie informatycznym przeznaczonym do tego celu.
搂 8.
System informatyczny s艂u偶膮cy do przetwarzania danych, kt贸ry zosta艂 dopuszczony przez w艂a艣ciw膮 s艂u偶b臋 ochrony pa艅stwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepis贸w ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z p贸藕n. zm.) spe艂nia wymogi niniejszego rozporz膮dzenia pod wzgl臋dem bezpiecze艅stwa na poziomie wysokim.
搂 9.
Administrator przetwarzanych w dniu wej艣cia w 偶ycie niniejszego rozporz膮dzenia danych osobowych jest obowi膮zany dostosowa膰 systemy informatyczne s艂u偶膮ce do przetwarzania tych danych do wymog贸w okre艣lonych w 搂 7 oraz w za艂膮czniku do rozporz膮dzenia w terminie 6 miesi臋cy od dnia wej艣cia w 偶ycie niniejszego rozporz膮dzenia.
搂 10.
Rozporz膮dzenie wchodzi w 偶ycie z dniem uzyskania przez Rzeczpospolit膮 Polsk膮 cz艂onkostwa w Unii Europejskiej.
Za艂膮cznik do rozporz膮dzenia Ministra Spraw Wewn臋trznych i Administracji z dnia 29 kwietnia 2004 r. (poz. 1024)
A. 艢rodki bezpiecze艅stwa na poziomie podstawowym
I
Obszar, o kt贸rym mowa w 搂 4 pkt 1 rozporz膮dzenia, zabezpiecza si臋 przed dost臋pem os贸b nieuprawnionych na czas nieobecno艣ci w nim os贸b upowa偶nionych do przetwarzania danych osobowych.
Przebywanie os贸b nieuprawnionych w obszarze, o kt贸rym mowa w 搂 4 pkt 1 rozporz膮dzenia, jest dopuszczalne za zgod膮 administratora danych lub w obecno艣ci osoby upowa偶nionej do przetwarzania danych osobowych.
II
W systemie informatycznym s艂u偶膮cym do przetwarzania danych osobowych stosuje si臋 mechanizmy kontroli dost臋pu do tych danych.
Je偶eli dost臋p do danych przetwarzanych w systemie informatycznym posiadaj膮 co najmniej dwie osoby, w贸wczas zapewnia si臋, aby:
w systemie tym rejestrowany by艂 dla ka偶dego u偶ytkownika odr臋bny identyfikator;
dost臋p do danych by艂 mo偶liwy wy艂膮cznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
III
System informatyczny s艂u偶膮cy do przetwarzania danych osobowych zabezpiecza si臋, w szczeg贸lno艣ci przed:
dzia艂aniem oprogramowania, kt贸rego celem jest uzyskanie nieuprawnionego dost臋pu do systemu informatycznego;
utrat膮 danych spowodowan膮 awari膮 zasilania lub zak艂贸ceniami w sieci zasilaj膮cej.
IV
Identyfikator u偶ytkownika, kt贸ry utraci艂 uprawnienia do przetwarzania danych, nie mo偶e by膰 przydzielony innej osobie.
W przypadku gdy do uwierzytelniania u偶ytkownik贸w u偶ywa si臋 has艂a, jego zmiana nast臋puje nie rzadziej ni偶 co 30 dni. Has艂o sk艂ada si臋 co najmniej z 6 znak贸w.
Dane osobowe przetwarzane w systemie informatycznym zabezpiecza si臋 przez wykonywanie kopii zapasowych zbior贸w danych oraz program贸w s艂u偶膮cych do przetwarzania danych.
Kopie zapasowe:
przechowuje si臋 w miejscach zabezpieczaj膮cych je przed nieuprawnionym przej臋ciem, modyfikacj膮, uszkodzeniem lub zniszczeniem;
usuwa si臋 niezw艂ocznie po ustaniu ich u偶yteczno艣ci.
V
Osoba u偶ytkuj膮ca komputer przeno艣ny zawieraj膮cy dane osobowe zachowuje szczeg贸ln膮 ostro偶no艣膰 podczas jego transportu, przechowywania i u偶ytkowania poza obszarem, o kt贸rym mowa w 搂 4 pkt 1 rozporz膮dzenia, w tym stosuje 艣rodki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
VI
Urz膮dzenia, dyski lub inne elektroniczne no艣niki informacji, zawieraj膮ce dane osobowe, przeznaczone do:
likwidacji — pozbawia si臋 wcze艣niej zapisu tych danych, a w przypadku gdy nie jest to mo偶liwe, uszkadza si臋 w spos贸b uniemo偶liwiaj膮cy ich odczytanie;
przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia si臋 wcze艣niej zapisu tych danych, w spos贸b uniemo偶liwiaj膮cy ich odzyskanie;
naprawy — pozbawia si臋 wcze艣niej zapisu tych danych w spos贸b uniemo偶liwiaj膮cy ich odzyskanie albo naprawia si臋 je pod nadzorem osoby upowa偶nionej przez administratora danych.
VII
Administrator danych monitoruje wdro偶one zabezpieczenia systemu informatycznego
B. 艢rodki bezpiecze艅stwa na poziomie podwy偶szonym
VIII
W przypadku gdy do uwierzytelniania u偶ytkownik贸w u偶ywa si臋 has艂a, sk艂ada si臋 ono co najmniej z 8 znak贸w, zawiera ma艂e i wielkie litery oraz cyfry lub znaki specjalne.
IX
Urz膮dzenia i no艣niki zawieraj膮ce dane osobowe, o kt贸rych mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o kt贸rym mowa w 搂 4 pkt 1 rozporz膮dzenia, zabezpiecza si臋 w spos贸b zapewniaj膮cy poufno艣膰 i integralno艣膰 tych danych.
X
Instrukcja zarz膮dzania systemem informatycznym, o kt贸rej mowa w 搂 5 rozporz膮dzenia, rozszerza si臋 o spos贸b stosowania 艣rodk贸w, o kt贸rych mowa w pkt IX za艂膮cznika.
XI
Administrator danych stosuje na poziomie podwy偶szonym 艣rodki bezpiecze艅stwa okre艣lone w cz臋艣ci A za艂膮cznika, o ile zasady zawarte w cz臋艣ci B nie stanowi膮 inaczej.
C. 艢rodki bezpiecze艅stwa na poziomie wysokim
XII
System informatyczny s艂u偶膮cy do przetwarzania danych osobowych chroni si臋 przed zagro偶eniami pochodz膮cymi z sieci publicznej poprzez wdro偶enie fizycznych lub logicznych zabezpiecze艅 chroni膮cych przed nieuprawnionym dost臋pem.
W przypadku zastosowania logicznych zabezpiecze艅, o kt贸rych mowa w ust. 1, obejmuj膮 one:
a) kontrol臋 przep艂ywu informacji pomi臋dzy systemem informatycznym administratora danych a sieci膮 publiczn膮;
b) kontrol臋 dzia艂a艅 inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
XIII
Administrator danych stosuje 艣rodki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, kt贸re s膮 przesy艂ane w sieci publicznej.
XIV
Administrator danych stosuje na poziomie wysokim 艣rodki bezpiecze艅stwa, okre艣lone w cz臋艣ci A i B za艂膮cznika, o ile zasady zawarte w cz臋艣ci C nie stanowi膮 inaczej.
ROZPORZ膭DZENIE MINISTRA SPRAW WEWN臉TRZNYCH I ADMINISTRACJI
z dnia 15 listopada 2007 r.
w sprawie szczeg贸艂owego sposobu rejestrowania przypadk贸w, w kt贸rych uzyskano dost臋p do danych lub wykorzystano dane w inny spos贸b przez Krajowy System Informatyczny
Dz. U. z 2007, Nr 223, poz. 1643
Na podstawie art. 28 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej (Dz. U. Nr 165, poz. 1170) zarz膮dza si臋, co nast臋puje:
搂 1. 1. Ka偶dy przypadek, w kt贸rym uzyskano dost臋p do danych lub wykorzystano dane w inny spos贸b poprzez Krajowy System Informatyczny, jest odnotowywany automatycznie w elektronicznym wykazie, zwanym dalej "rejestrem", prowadzonym przez centralny organ techniczny KSI.
2. Rejestr umo偶liwia uzyskiwanie informacji o wykorzystaniu danych za po艣rednictwem Krajowego Systemu Informatycznego i odnotowanych w module krajowym:
1) dotycz膮cych os贸b upowa偶nionych lub organ贸w uprawnionych do dost臋pu do Krajowego Systemu Informatycznego w celu dokonywania wpis贸w lub wgl膮du do danych, zwanych dalej "organem uprawnionym", kt贸re uzyska艂y dost臋p do danych;
2) udost臋pnionych osobom upowa偶nionym lub organom uprawnionym.
3. W rejestrze odnotowuje si臋 informacje dotycz膮ce:
1) osoby upowa偶nionej do dost臋pu do Krajowego Systemu Informatycznego, ze wskazaniem organu uprawnionego, jednostki i kom贸rki organizacyjnej, kt贸rego jest ona funkcjonariuszem, pracownikiem lub 偶o艂nierzem;
2) daty i godziny wykorzystania danych;
3) danych, ich zmiany, odczytu lub usuni臋cia;
4) niepowtarzalnego identyfikatora wpisu dokonanego za po艣rednictwem Krajowego Systemu Informatycznego;
5) wskazania rodzaju czynno艣ci wykonanej za po艣rednictwem Krajowego Systemu Informatycznego (wpis, zmiana danych z okre艣leniem jej zakresu, odczyt lub usuni臋cie danych);
6) kryteri贸w wyszukiwania;
7) organu uprawnionego, je偶eli posiada on bezpo艣redni dost臋p do danych za po艣rednictwem Krajowego Systemu Informatycznego poprzez w艂asny system teleinformatyczny, zapewniaj膮cy odnotowanie informacji, o kt贸rych mowa w pkt 1-5;
8) listy wynik贸w wyszukiwania, do kt贸rych uzyska艂a dost臋p osoba upowa偶niona lub organ uprawniony.
搂 2. Rozporz膮dzenie wchodzi w 偶ycie z dniem og艂oszenia.
Minister Spraw Wewn臋trznych i Administracji: W. Stasiak