Dz.U. 2002 Nr 101 poz. 926
OBWIESZCZENIE
MARSZAŁKA SEJMU RZECZYPOSPOLITEJ POLSKIEJ
z dnia 17 czerwca 2002 r.
w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych.
1.
Na podstawie art. 16 ust. 1 zdanie pierwsze ustawy z dnia 20 lipca 2000 r. o ogłaszaniu
aktów
normatywnych i niektórych innych aktów prawnych (Dz.U. Nr 62, poz.
718,
z 2001 r. Nr 46, poz. 499 i z 2002 r. Nr 74, poz. 676) ogłasza się w załączniku
do
niniejszego
obwieszczenia jednolity tekst ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych
osobowych (Dz.U. Nr 133, poz. 883), z uwzględnieniem zmian wprowadzonych:
1)
ustawą z dnia 21 stycznia 2000 r. o zmianie niektórych ustaw związanych z
funkcjonowaniem
administracji
publicznej (Dz.U. Nr 12, poz. 136 i Nr 122, poz. 1323
oraz
z 2001 r. Nr 154, poz. 1802),
2)
ustawą z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz.U. Nr 50, poz.
3)
ustawą z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu
finansowego
wartości
majątkowych pochodzących z nielegalnych lub nieujawnionych
źródeł
(Dz.U. Nr 116, poz. 1216, z 2001 r. Nr 63, poz. 641 i z 2002 r. Nr 32,
poz.
299),
4)
ustawą z dnia 11 kwietnia 2001 r. o zmianie ustawy o doradztwie podatkowym
oraz
niektórych innych ustaw (Dz.U. Nr 42, poz. 474),
5)
ustawą z dnia 11 kwietnia 2001 r. o rzecznikach patentowych (Dz.U. Nr 49, poz.
509),
6)
ustawą z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych osobowych
(Dz.U.
Nr 100, poz. 1087),
7)
ustawą z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz
Agencji
Wywiadu (Dz.U. Nr 74, poz. 676)
i
zmian wynikających z przepisów ogłoszonych przed dniem wydania jednolitego
tekstu.
2.
Podany w załączniku do niniejszego obwieszczenia jednolity tekst ustawy nie
obejmuje:
1)
art. 55-60 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.
Nr
133, poz. 883), które stanowią:
„Art.
55. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących
kierownicze
stanowiska
państwowe (Dz.U. Nr 20, poz. 101, z 1982 r. Nr 31,
poz.
214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr 21, poz.
123,
z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1,
poz.
1, z 1995 r. Nr 34, poz. 163 i Nr 142, poz. 701, z 1996 r. Nr 73, poz.
350,
Nr 89, poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647 oraz z 1997 r.
Nr
75, poz. 469) w art. 2 w pkt 2 po wyrazach «Rzecznika Praw Obywatelskich,
»
dodaje się wyrazy «Generalnego Inspektora Ochrony Danych
Osobowych,».
Art.
56. W ustawie z dnia 16 września 1982 r. o pracownikach urzędów państwowych
(Dz.U.
Nr 31, poz. 214, z 1984 r. Nr 35, poz. 187, z 1988 r. Nr 19,
poz.
132, z 1989 r. Nr 4, poz. 24, Nr 34, poz. 178 i 182, z 1990 r. Nr 20,
poz.
121, z 1991 r. Nr 55, poz. 234, Nr 88, poz. 400 i Nr 95, poz. 425, z
1992
r. Nr 54, poz. 254 i Nr 90, poz. 451, z 1994 r. Nr 136, poz. 704, z
1995
r. Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402 i Nr 106, poz. 496 oraz
z
1997 r. Nr 98, poz. 604) wprowadza się następujące zmiany:
1)
w art. 1 dodaje się pkt 13 w brzmieniu:
«13)
Biurze Generalnego Inspektora Ochrony Danych Osobowych.»;
2)
w art. 36 w ust. 5 w pkt 1 wyraz «oraz» zastępuje się przecinkiem, a po
wyrazach
«Krajowego Biura Wyborczego» dodaje się wyrazy «oraz
Biura
Generalnego Inspektora Ochrony Danych Osobowych,»;
3)
w art. 48 w ust. 1 w pkt 1 po wyrazach «Biura Rzecznika Praw Obywatelskich,
»
dodaje się wyrazy «Biura Generalnego Inspektora Ochrony
Danych
Osobowych,».
Art.
57. W ustawie z dnia 5 stycznia 1991 r. –
Prawo budżetowe (Dz.U. z 1993 r.
Nr
72, poz. 344, z 1994 r. Nr 76, poz. 344, Nr 121, poz. 591 i Nr 133, poz.
685,
z 1995 r. Nr 78, poz. 390, Nr 124, poz. 601 i Nr 132, poz. 640, z
1996
r. Nr 89, poz. 402, Nr 106, poz. 496, Nr 132, poz. 621 i Nr 139, poz.
647
oraz z 1997 r. Nr 54, poz. 348, Nr 79, poz. 484, Nr 121, poz. 770 i Nr
123,
poz. 775 i 778) w art. 31 w ust. 3 w pkt 2 po wyrazach «Najwyższej
Izby
Kontroli» dodaje się wyrazy «,Generalnego Inspektora Ochrony Danych
Osobowych».
Art.
58. W ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz.U. z
1995
r. Nr 13, poz. 59, z 1996 r. Nr 64, poz. 315 i Nr 89, poz. 402 oraz z
1997
r. Nr 28, poz. 153, Nr 79, poz. 484, Nr 96, poz. 589 i Nr 121, poz.
770)
w art. 4 wprowadza się następujące zmiany:
1)
w ust. 1 po wyrazach «Krajowej Rady Radiofonii i Telewizji,» dodaje
się
wyrazy «Generalnego Inspektora Ochrony Danych Osobowych,»;
2)
w ust. 2 po wyrazach «Krajowej Rady Radiofonii i Telewizji» dodaje
się
przecinek oraz wyrazy «Generalnego Inspektora Ochrony Danych
Osobowych».
Art.
59. W ustawie z dnia 23 grudnia 1994 r. o kształtowaniu środków na
wynagrodzenia
w
państwowej sferze budżetowej oraz o zmianie niektórych
ustaw
(Dz.U. z 1995 r. Nr 34, poz. 163 oraz z 1996 r. Nr 106, poz. 496 i
Nr
139, poz. 647) w art. 2 w ust. 2 w pkt 1 po wyrazach «Krajowym Biurze
Wyborczym»
dodaje się wyrazy «,Biurze Generalnego Inspektora
Ochrony
Danych Osobowych.»
Art.
60. W ustawie z dnia 26 kwietnia 1996 r. o Służbie Więziennej (Dz.U. Nr 61,
poz.
283 i Nr 106, poz. 496 oraz z 1997 r. Nr 28, poz. 153 i Nr 88, poz.
554)
dodaje się art. 23a w brzmieniu:
«Art.
23a. Służba Więzienna może gromadzić i przetwarzać informacje i
dane
osobowe, w tym także bez zgody osób, których dotyczą,
niezbędne
do realizacji zadań, o których mowa w art. 1 ust. 3
ustawy.»”;
2)
art. 75 ustawy z dnia 21 stycznia 2000 r. o zmianie niektórych ustaw związanych
z
funkcjonowaniem
administracji publicznej (Dz.U. Nr 12, poz. 136 i Nr 122, poz.
1323
oraz z 2001 r. Nr 154, poz. 1802), który stanowi:
„Art.
75. Ustawa wchodzi w życie z dniem ogłoszenia, z wyjątkiem:
1)
art. 71, który wchodzi w życie z dniem ogłoszenia z mocą od dnia
1
stycznia 1999 r.,
2)
art. 5 pkt 6 i 8, art. 8 pkt 3, art. 25 pkt 26 i art. 29 pkt 2, które wchodzą
w
życie z dniem ogłoszenia z mocą od dnia 1 stycznia 2000 r.,
3)
art. 24 pkt 6-10 i art. 41 pkt 2, które wchodzą w życie z dniem 1
kwietnia
2000 r.,
4)
art. 63 ust. 2, który wchodzi w życie z dniem 1 września 2000 r.,
5) art. 2, art. 14 pkt 2 lit. a),
c)-e), pkt 3, 4 i 5 lit. a), art. 15 pkt 10 lit.
d), art. 26 pkt 1, art. 30 pkt 1,
art. 39 pkt 1 lit. a), art. 40 pkt 2 lit. b),
art.
46 pkt 1 i 3 i art. 62, które wchodzą w życie z dniem 1 stycznia
2001
r.,
6)
art. 25 pkt 20, który wchodzi w życie z dniem 1 września 2001 r.,
7)
art. 46 pkt 2, który wchodzi w życie z dniem 1 stycznia 2003 r.”;
3)
art. 32 ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz.U. Nr
50,
poz. 580), który stanowi:
„Art.
32. Ustawa wchodzi w życie po upływie 12 miesięcy od dnia ogłoszenia.”;
4)
art. 49 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do
obrotu
finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych
źródeł
(Dz.U. Nr 116, poz. 1216, z 2001 r. Nr 63, poz. 641 i z
2002
r. Nr 32, poz. 299), który stanowi:
„Art.
49. Ustawa wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia, z wyjątkiem:
1)
art. 3-6, art. 13 oraz art. 15, które wchodzą w życie po upływie 14
dni
od dnia ogłoszenia,
2)
art. 8 ust. 1, który wchodzi w życie z dniem 1 lipca 2004 r.,
3)
art. 45 pkt 3 lit. b) w zakresie dotyczącym art. 106 ust. 4 i 5, który
wchodzi
w życie z dniem 30 czerwca 2004 r.”;
5)
art. 12 ustawy z dnia 11 kwietnia 2001 r. o zmianie ustawy o doradztwie
podatkowym
oraz
niektórych innych ustaw (Dz.U. Nr 42, poz. 474), który stanowi:
„Art.
12. Ustawa wchodzi w życie po upływie 30 dni od dnia ogłoszenia.”;
6)
art. 80 ustawy z dnia 11 kwietnia 2001 r. o rzecznikach patentowych (Dz.U. Nr
49,
poz. 509), który stanowi:
„Art.
80. Ustawa wchodzi w życie po upływie 3 miesięcy od dnia ogłoszenia.”;
7)
art. 2 i 3 ustawy z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych
osobowych
(Dz.U. Nr 100, poz. 1087), które stanowią:
„Art.
2. Obowiązek wynikający z art. 41 ust. 2 ustawy, o której mowa w art. 1, w
odniesieniu
do informacji wymienionych w art. 41 ust. 1 tej ustawy, zawartych
w
zbiorach zgłoszonych do rejestracji przed dniem wejścia w życie
ustawy, należy wykonać w ciągu 6 miesięcy od dnia wejścia ustawy w
życie.
Art.
3. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.”;
8)
art. 235 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego
oraz
Agencji Wywiadu (Dz.U. Nr 74, poz. 676), który stanowi:
„Art.
235. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z wyjątkiem
art.
227 i art. 233, które wchodzą w życie z dniem ogłoszenia.”
MARSZAŁEK
SEJMU
/-/
Marek Borowski
Załącznik
do obwieszczenia Marszałka
Sejmu
Rzeczypospolitej Polskiej
z
dnia 17 czerwca 2002 r. (poz. 926)
USTAWA
z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
Rozdział 1
Przepisy ogólne
Art. 1.
1.
Każdy ma prawo do ochrony dotyczących go danych osobowych.
2.
Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne,
dobro
osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym
ustawą.
Art. 2.
1.
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz
prawa
osób
fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach
danych.
2.
Ustawę stosuje się do przetwarzania danych osobowych w systemach
informatycznych
oraz
w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych.
3.
W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze
względów
technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych,
a
po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji,
mają
zastosowanie jedynie przepisy rozdziału 5.
2/22
Art. 3.
1.
Ustawę stosuje się do organów państwowych oraz samorządu terytorialnego, a także
do
innych państwowych i komunalnych jednostek organizacyjnych oraz podmiotów
niepaństwowych
realizujących zadania publiczne.
2.
Ustawę stosuje się również do osób fizycznych i prawnych oraz jednostek
organizacyjnych
niemających
osobowości prawnej, które przetwarzają dane w związku
z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
3.
Ustawę stosuje się do podmiotów określonych w ust. 1 i 2, które mają siedzibę
albo
miejsce
zamieszkania na terytorium Rzeczypospolitej Polskiej, nie mają siedziby albo
miejsca
zamieszkania na terytorium Rzeczypospolitej Polskiej, a przetwarzają dane
przy
wykorzystaniu środków technicznych znajdujących się na terytorium
Rzeczypospolitej
Polskiej.
4.
Ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w
celach
osobistych
lub domowych.
Art. 4.
Przepisów
ustawy nie stosuje się, jeżeli umowa międzynarodowa, której stroną jest
Rzeczpospolita
Polska, stanowi inaczej.
Art. 5.
Jeżeli
przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują
dalej
idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych
ustaw.
Art. 6.1)
1.
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej
lub
możliwej do zidentyfikowania osoby fizycznej.
2.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio
lub
pośrednio, w szczególności przez powołanie się na numer identyfikacyjny
albo
jeden lub kilka specyficznych czynników określających jej cechy fizyczne,
fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub społeczne.
3.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby
to nadmiernych kosztów, czasu lub działań.
Art. 7.
Ilekroć
w ustawie jest mowa o:
1)
zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych
o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie
od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
2)
przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane
na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie,
zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje
się
w systemach informatycznych,
1)
W brzmieniu ustalonym przez art. 1 pkt
1 ustawy z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie
danych
osobowych (Dz.U. Nr 100, poz. 1087), która weszła w życie z dniem 3 października
2001 r.
3/22
2a)2) systemie informatycznym – rozumie się
przez to zespół współpracujących ze sobą
urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych
w celu przetwarzania danych,
2b)2) zabezpieczeniu danych w systemie
informatycznym – rozumie się przez to wdrożenie
i
eksploatację stosownych środków technicznych i organizacyjnych
zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem,
3)
usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką
ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane
dotyczą,
4)
administratorze danych – rozumie się przez to organ, instytucję, jednostkę
organizacyjną,
podmiot
lub osobę, o których mowa w art. 3 ust. 1 i 2, decydujące o celach
i
środkach przetwarzania danych osobowych,
5)
zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli,
którego
treścią
jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie;
zgoda nie może być domniemana lub dorozumiana z oświadczenia
woli
o innej treści.
Rozdział 2
Organ ochrony danych osobowych
Art. 8.
1.
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony
Danych
Osobowych,
zwany dalej „Generalnym Inspektorem”.
2.
Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za
zgodą
Senatu.
3.
Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia
następujące
warunki:
1)
jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej
Polskiej,
2)
wyróżnia się wysokim autorytetem moralnym,
3)
posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,
4)
nie był karany za przestępstwo.
4.
Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie.
5.
Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania.
Po
upływie
kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska
przez
nowego Generalnego Inspektora.
6.
Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie
kadencje.
7.
Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub
utraty
obywatelstwa
polskiego.
8.
Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli:
1)
zrzekł się stanowiska,
2)
stał się trwale niezdolny do pełnienia obowiązków na skutek choroby,
2)
Dodany przez art. 1 pkt 2 ustawy, o
której mowa w przypisie 1.
4/22
3)
sprzeniewierzył się złożonemu ślubowaniu,
4)
został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.
Art. 9.
Przed
przystąpieniem do wykonywania obowiązków Generalny Inspektor składa przed
Sejmem
następujące ślubowanie:
„Obejmując
stanowisko Generalnego Inspektora Ochrony Danych Osobowych
uroczyście
ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej
Polskiej,
strzec prawa do ochrony danych osobowych, a powierzone mi
obowiązki
wypełniać sumiennie i bezstronnie.”
Ślubowanie
może być złożone z dodaniem słów „Tak mi dopomóż Bóg”.
Art. 10.
1.
Generalny Inspektor nie może zajmować innego stanowiska, z wyjątkiem stanowiska
profesora
szkoły wyższej, ani wykonywać innych zajęć zawodowych.
2.
Generalny Inspektor nie może należeć do partii politycznej, związku zawodowego
ani
prowadzić
działalności publicznej niedającej się pogodzić z godnością jego urzędu.
Art. 11.
Generalny
Inspektor nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności
karnej
ani pozbawiony wolności. Generalny Inspektor nie może być zatrzymany
lub
aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli
jego
zatrzymanie
jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu
niezwłocznie
powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe
zwolnienie
zatrzymanego.
Art. 12.
Do
zadań Generalnego Inspektora w szczególności należy:
1)
kontrola zgodności przetwarzania danych z przepisami o ochronie danych
osobowych,
2)
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów
o ochronie danych osobowych,
3)
prowadzenie rejestru zbiorów danych oraz udzielanie informacji o
zarejestrowanych
zbiorach,
4)
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych
osobowych,
5)
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych,
6)
uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących
się
problematyką ochrony danych osobowych.
Art. 13.
1.
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego
Inspektora
Ochrony
Danych Osobowych, zwanego dalej Biurem.
5/22
2.
Generalny Inspektor oraz pracownicy Biura, zwani dalej inspektorami, są obowiązani
zapewnić
ochronę wiadomościom stanowiącym tajemnicę państwową lub służbową, z
którymi
się zetknęli w toku kontroli przetwarzania danych.
3.
Organizację oraz zasady działania Biura określa statut nadany, w drodze rozporządzenia,
przez
Prezydenta Rzeczypospolitej Polskiej.
Art. 14.
W
celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor
lub
upoważnieni
przez niego inspektorzy mają w szczególności prawo:
1)3) wstępu, w godzinach od 6 do 22, za
okazaniem imiennego upoważnienia i legitymacji
służbowej,
do pomieszczenia, w którym zlokalizowany jest zbiór danych,
i
przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu
oceny
zgodności przetwarzania danych z ustawą,
2)
żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać
osoby
w zakresie niezbędnym do ustalenia stanu faktycznego,
3)
żądać okazania dokumentów i wszelkich danych mających bezpośredni związek z
problematyką
kontroli,
4)
żądać udostępnienia do kontroli urządzeń, nośników oraz systemów
informatycznych
służących
do przetwarzania danych,
5)
zlecać sporządzanie ekspertyz i opinii.
Art. 15.
1.4) Kierownik kontrolowanej jednostki
organizacyjnej oraz kontrolowana osoba fizyczna
będąca
administratorem danych osobowych są obowiązani umożliwić inspektorowi
przeprowadzenie
kontroli, a w szczególności umożliwić dokonanie czynności, o których
mowa
w art. 14 pkt 1-4.
2.5) W toku kontroli zbiorów, o których mowa
w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający
kontrolę
ma prawo wglądu do zbioru zawierającego dane osobowe jedynie
za
pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
Art. 16.
1.
Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz
doręcza
kontrolowanemu
administratorowi danych.
2.
Protokół podpisują inspektor i kontrolowany administrator danych, który może
wnieść
do
protokołu umotywowane zastrzeżenia i uwagi.
3.
W razie odmowy podpisania protokołu przez kontrolowanego administratora danych,
inspektor
czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie
7
dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
3)
Ze zmianą wprowadzoną przez art. 1 pkt
3 ustawy, o której mowa w przypisie 1.
4)
Oznaczenie ust. 1 nadane przez art. 1
pkt 4 ustawy, o której mowa w przypisie 1.
5)
Dodany przez art. 1 pkt 4 ustawy, o
której mowa w przypisie 1.
6/22
Art. 17.
1.
Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o
ochronie
danych osobowych, występuje do Generalnego Inspektora o zastosowanie
środków,
o których mowa w art. 18.
2.
Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania
dyscyplinarnego
lub
innego przewidzianego prawem postępowania przeciwko osobom winnym
dopuszczenia
do uchybień i poinformowania go, w określonym terminie, o wynikach
tego
postępowania i podjętych działaniach.
Art. 18.
1.
W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych,
Generalny
Inspektor
z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi
danych,
w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a
w
szczególności:
1)
usunięcie uchybień,
2)
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie
danych
osobowych,
3)
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4)
wstrzymanie przekazywania danych osobowych za granicę,
5)
zabezpieczenie danych lub przekazanie ich innym podmiotom,
6)
usunięcie danych osobowych.
2.
Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać
swobody
działania
podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach
do
Sejmu, Senatu i organów samorządu terytorialnego, pomiędzy dniem zarządzenia
wyborów
a dniem głosowania.
2a.6) Decyzje Generalnego Inspektora, o
których mowa w ust. 1, w odniesieniu do zbiorów
określonych
w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych
zebranych
w toku czynności operacyjno-rozpoznawczych prowadzonych na
podstawie
przepisów prawa.
3.
W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności,
o
których
mowa w ust. 1, stosuje się przepisy tych ustaw.
Art. 19.
W
razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki
organizacyjnej, jej
pracownika
lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona
przestępstwa
określonego w ustawie, Generalny Inspektor kieruje do organu powołanego
do
ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając
dowody
dokumentujące podejrzenie.
6)
Dodany przez art. 1 pkt 5 ustawy, o
której mowa w przypisie 1.
7/22
Art. 20.
Generalny
Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności
wraz
z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych
osobowych.
Art. 21.
1.
Strona może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne
rozpatrzenie
sprawy.
2.
Na decyzję Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie
sprawy
stronie przysługuje skarga do Naczelnego Sądu Administracyjnego.
Art. 22.
Postępowanie
w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów
Kodeksu
postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej.
Rozdział 3
Zasady przetwarzania danych osobowych
Art. 23.
1.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1)
osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących
jej
danych,
2)
zezwalają na to przepisy prawa,
3)7) jest konieczne do realizacji umowy, gdy
osoba, której dane dotyczą, jest jej stroną
lub
gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem
umowy,
4)
jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego,
5)8) jest niezbędne do wypełnienia prawnie
usprawiedliwionych celów administratorów
danych,
o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane
te
dane – a przetwarzanie danych nie narusza praw i wolności osoby, której
dane
dotyczą.
2.
Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie
danych
w
przyszłości, jeżeli nie zmienia się cel przetwarzania.
3.
Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów
osoby,
której
dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe,
można
przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie
możliwe.
4.9) Za prawnie usprawiedliwiony cel, o
którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1)
marketing bezpośredni własnych produktów lub usług administratora danych,
7)
W brzmieniu ustalonym przez art. 1 pkt
6 lit. a) tiret pierwsze ustawy, o której mowa w przypisie 1.
8)
W brzmieniu ustalonym przez art. 1 pkt
6 lit. a) tiret drugie ustawy, o której mowa w przypisie 1.
9)
Dodany przez art. 1 pkt 6 lit. b)
ustawy, o której mowa w przypisie 1.
2)
dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Art. 24.
1.
W przypadku zbierania danych osobowych od osoby, której one dotyczą,
administrator
danych
jest obowiązany poinformować tę osobę o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem
danych
jest
osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania
informacji
lub
przewidywanych odbiorcach lub kategoriach odbiorców danych,
3)
prawie wglądu do swoich danych oraz ich poprawiania,
4)
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje,
o
jego
podstawie prawnej.
2.10) Przepisu ust. 1 nie stosuje się, jeżeli:
1)
przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego
celu
ich zbierania,
2)
osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art. 25.
1.
W przypadku zbierania danych osobowych nie od osoby, której one dotyczą,
administrator
danych
jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu
zebranych
danych, o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem
danych
jest
osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu i zakresie zbierania danych, a w szczególności o odbiorcach lub
kategoriach
odbiorców
danych,
3)
źródle danych,
4)
prawie wglądu do swoich danych oraz ich poprawiania,
5)
uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
2.
Przepisu ust. 1 nie stosuje się, jeżeli:
1)
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez
wiedzy
osoby, której dane dotyczą,
2)
dane przewidziane do zebrania są ogólnie dostępne,
3)
dane te są niezbędne do badań naukowych, dydaktycznych, historycznych,
statystycznych
lub
badania opinii publicznej, ich przetwarzanie nie narusza praw lub
wolności
osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1
wymagałoby
nadmiernych nakładów lub zagrażałoby realizacji celu badania,
4)
administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym
wykorzystaniu,
5)11) dane są przetwarzane przez
administratora, o którym mowa w art. 3 ust. 1, na
podstawie
przepisów prawa,
10)
W brzmieniu ustalonym przez art. 1 pkt
7 ustawy, o której mowa w przypisie 1.
11)
Dodany przez art. 1 pkt 8 ustawy, o
której mowa w przypisie 1.
6)11) osoba, której dane dotyczą, posiada
informacje, o których mowa w ust. 1.
Art. 26.
1.
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności
w
celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany
zapewnić,
aby dane te były:
1)
przetwarzane zgodnie z prawem,
2)
zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu
przetwarzaniu
niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3)
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są
przetwarzane,
4)
przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie
dłużej
niż jest to niezbędne do osiągnięcia celu przetwarzania.
2.
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest
dopuszczalne,
jeżeli
nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1)
w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2)
z zachowaniem przepisów art. 23 i 25.
Art. 26a.12)
1.
Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby,
której
dane
dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych
osobowych,
prowadzonych
w systemie informatycznym.
2.
Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas
zawierania
lub
wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą.
Art. 27.
1.13) Zabrania się przetwarzania danych
ujawniających pochodzenie rasowe lub etniczne,
poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną
lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym,
nałogach
lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o
ukaraniu
i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym
lub
administracyjnym.
2.
Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
1)
osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o
usunięcie
dotyczących jej danych,
2)
przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez
zgody
osoby,
której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3)
przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów
osoby,
której
dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest
fizycznie
lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna
prawnego
lub kuratora,
12)
Dodany przez art. 1 pkt 9 ustawy, o
której mowa w przypisie 1.
13)
Ze zmianą wprowadzoną przez art. 1 pkt
10 lit. a) ustawy, o której mowa w przypisie 1.
4)
jest to niezbędne do wykonania statutowych zadań kościołów i innych związków
wyznaniowych,
stowarzyszeń, fundacji lub innych niezarobkowych organizacji
lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
związkowych,
pod warunkiem, że przetwarzanie danych dotyczy wyłącznie
członków
tych organizacji lub instytucji albo osób utrzymujących z nimi stałe
kontakty
w związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych
danych,
5)
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6)
przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących
się
do zatrudnienia pracowników i innych osób, a zakres przetwarzanych
danych
jest określony w ustawie,
7)
przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług
medycznych
lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem
lub
świadczeniem innych usług medycznych, zarządzania udzielaniem usług
medycznych
i są stworzone pełne gwarancje ochrony danych osobowych,
8)
przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej
przez
osobę, której dane dotyczą,
9)14) jest to niezbędne do prowadzenia badań
naukowych, w tym do przygotowania
rozprawy
wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia
naukowego;
publikowanie wyników badań naukowych nie może następować
w
sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10)14) przetwarzanie danych jest prowadzone
przez stronę w celu realizacji praw i
obowiązków
wynikających z orzeczenia wydanego w postępowaniu sądowym lub
administracyjnym.
Art. 28.
1.
(skreślony).15)
2.
Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie
płci,
daty urodzenia, numer nadania oraz liczbę kontrolną.
3.
Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w
systemach
ewidencjonujących osoby fizyczne.
Art. 29.
1.
W przypadku udostępniania danych osobowych w celach innych niż włączenie do
zbioru,
administrator danych, o którym mowa w art. 3 ust. 1, udostępnia posiadane w
zbiorze
dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów
prawa.
2.
Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być
także
udostępnione w celach innych niż włączenie do zbioru, innym osobom i
podmiotom
niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę
posiadania
tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których
dane
dotyczą.
14)
Dodany przez art. 1 pkt 10 lit. b)
ustawy, o której mowa w przypisie 1.
15)
Przez art. 1 pkt 11 ustawy, o której
mowa w przypisie 1.
11/22
3.
Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis
innej
ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające
wyszukanie
w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
4.
Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem,
dla
którego zostały udostępnione.
Art. 30.
Administrator
danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom
i
osobom innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to:
1)
ujawnienie wiadomości stanowiących tajemnicę państwową,
2)
zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi,
mienia
lub bezpieczeństwa i porządku publicznego,
3)
zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4)
istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Art. 31.
1.
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej
na
piśmie, przetwarzanie danych.
2.
Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i
celu
przewidzianym
w umowie.
3.
Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem
przetwarzania
danych
do podjęcia środków zabezpieczających zbiór danych, o których mowa w art.
36-39.
4.
W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie
przepisów
niniejszej
ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności
podmiotu,
który zawarł umowę, za przetwarzanie danych niezgodnie z
tą
umową.
Rozdział 4
Prawa osoby, której dane dotyczą
Art. 32.
1.
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej
dotyczą,
zawartych
w zbiorach danych, a zwłaszcza prawo do:
1)
uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora
danych,
adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem
danych
jest osoba fizyczna – jej miejsca zamieszkania oraz imienia
i
nazwiska,
2)
uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych
w
takim zbiorze,
3)
uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące,
oraz
podania
w powszechnie zrozumiałej formie treści tych danych,
4)
uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że
administrator
danych jest zobowiązany do zachowania w tym zakresie tajemnicy
państwowej,
służbowej lub zawodowej,
5)
uzyskania informacji o sposobie udostępniania danych, a w szczególności
informacji
o
odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
6)
żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego
lub
stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one
niekompletne,
nieaktualne,
nieprawdziwe lub zostały zebrane z naruszeniem ustawy
albo
są już zbędne do realizacji celu, dla którego zostały zebrane,
7)
wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego,
umotywowanego
żądania zaprzestania przetwarzania jej danych ze względu na jej
szczególną
sytuację,
8)
wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych
w
art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać
w
celach marketingowych lub wobec przekazywania jej danych osobowych innemu
administratorowi
danych,
9)16) wniesienia do administratora danych żądania
ponownego, indywidualnego
rozpatrzenia
sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.
2.17) W przypadku wniesienia żądania, o
którym mowa w ust. 1 pkt 7, administrator danych
zaprzestaje
przetwarzania kwestionowanych danych osobowych albo bez zbędnej
zwłoki
przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję.
3.
W razie wniesienia sprzeciwu, o którym mowa w ust. 1 pkt 8, dalsze
przetwarzanie
kwestionowanych
danych jest niedopuszczalne. Administrator danych może jednak
pozostawić
w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres
wyłącznie
w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych
sprzeciwem.18)
3a.19) W razie wniesienia żądania, o którym
mowa w art. 32 ust. 1 pkt 9, administrator danych
bez
zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z uzasadnieniem
swojego
stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję.
4.
Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych,
statystycznych
lub
archiwalnych, administrator danych może odstąpić od informowania
osób
o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady
niewspółmierne
z zamierzonym celem.
5.
Osoba zainteresowana może skorzystać z prawa do informacji, o których mowa w
ust.
1
pkt 1-5, nie częściej niż raz na 6 miesięcy.
Art. 33.
1.
Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w
terminie
30
dni, poinformować o przysługujących jej prawach, a zwłaszcza wskazać w
formie
zrozumiałej odnośnie danych osobowych jej dotyczących:
1)
jakie dane osobowe zawiera zbiór,
16)
Dodany przez art. 1 pkt 12 lit. a)
ustawy, o której mowa w przypisie 1.
17)
Ze zmianą wprowadzoną przez art. 1 pkt
12 lit. b) ustawy, o której mowa w przypisie 1.
18)
Zdanie drugie dodane przez art. 1 pkt
12 lit. c) ustawy, o której mowa w przypisie 1.
19)
Dodany przez art. 1 pkt 12 lit. d)
ustawy, o której mowa w przypisie 1.
13/22
2)
w jaki sposób zebrano dane,
3)
w jakim celu i zakresie dane są przetwarzane,
4)
w jakim zakresie oraz komu dane zostały udostępnione.
2.
Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela
się
na piśmie.
Art. 34.
W
sprawach informowania i udostępniania danych osobie, której dane dotyczą,
stosuje się
przepisy
art. 30.
Art. 35.
1.
W razie wykazania przez osobę, której dane osobowe dotyczą, że są one
niekompletne,
nieaktualne,
nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne
do
realizacji celu, dla którego zostały zebrane, administrator danych jest obowiązany,
bez
zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego
lub
stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze
zbioru,
chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich
uzupełnienia,
uaktualnienia lub sprostowania określają odrębne ustawy.
2.
W razie niedopełnienia przez administratora danych obowiązku, o którym mowa w
ust.
1,
osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora z
wnioskiem
o
nakazanie dopełnienia tego obowiązku.
3.20) Administrator danych jest obowiązany
poinformować bez zbędnej zwłoki innych
administratorów,
którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub
sprostowaniu
danych.
Rozdział 5
Zabezpieczenie zbiorów danych osobowych
Art. 36.21)
Administrator
danych jest obowiązany do zastosowania środków technicznych i organizacyjnych
zapewniających
ochronę przetwarzanych danych osobowych, a w szczególności
powinien
zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem
przez
osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą,
uszkodzeniem
lub zniszczeniem.
Art. 37.
Do
obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład, służących
do
przetwarzania danych, mogą być dopuszczone wyłącznie osoby posiadające upoważnienie
wydane
przez administratora danych.
20)
Dodany przez art. 1 pkt 13 ustawy, o
której mowa w przypisie 1.
21)
Ze zmianą wprowadzoną przez art. 1 pkt
14 ustawy, o której mowa w przypisie 1.
Art. 38.
Administrator
danych przetwarzanych w systemie informatycznym jest obowiązany zapewnić
kontrolę
nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone
oraz
komu są przekazywane, zwłaszcza gdy przekazuje się je za pomocą urządzeń
teletransmisji
danych.
Art. 39.
1.
Administrator danych prowadzi ewidencję osób zatrudnionych przy ich
przetwarzaniu.
2.
Osoby, o których mowa w ust. 1, mające dostęp do danych osobowych, obowiązane są
do
zachowania ich w tajemnicy. Obowiązek ten istnieje również po ustaniu
zatrudnienia.
Rozdział 6
Rejestracja zbiorów danych
osobowych
Art. 40.
Administrator
danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu
Inspektorowi,
z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.
Art. 41.
1.
Zgłoszenie zbioru danych do rejestracji powinno zawierać:
1)
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2)
oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca
zamieszkania,
w
tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej,
jeżeli
został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia
zbioru,
3)
zakres i cel przetwarzania danych,
4)
sposób zbierania oraz udostępniania danych,
4a)22) informację o odbiorcach lub kategoriach
odbiorców, którym dane mogą być
przekazywane,
5)
opis środków technicznych i organizacyjnych zastosowanych w celach określonych
w
art. 36-39,
6)
informację o sposobie wypełnienia wymagań technicznych i organizacyjnych, o
których
mowa w art. 45 pkt 1,
7)23) informację dotyczącą ewentualnego
przekazywania danych za granicę.
2.
Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą
zmianę
informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania
zmiany
w zbiorze danych.
22)
Dodany przez art. 1 pkt 15 lit. a)
ustawy, o której mowa w przypisie 1.
23)
Dodany przez art. 1 pkt 15 lit. b)
ustawy, o której mowa w przypisie 1.
Art. 42.
1.
Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych
osobowych
zgłoszonych
do rejestracji. Rejestr powinien zawierać informacje, o których
mowa
w art. 41 ust. 1.
2.
Każdy ma prawo przeglądać rejestr, o którym mowa w ust. 1.
3.
Na żądanie osoby zainteresowanej może być wydane zaświadczenie o
zarejestrowaniu
wskazanego
zbioru danych.
Art. 43.
1.
Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1)
objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa,
ochronę
życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a)24) które zostały uzyskane w wyniku czynności
operacyjno-rozpoznawczych przez
funkcjonariuszy
organów uprawnionych do tych czynności,
2)25) przetwarzanych przez właściwe organy
dla potrzeb postępowania sądowego
oraz
na podstawie przepisów o Krajowym Rejestrze Karnym,
2a)26) przetwarzanych przez Generalnego
Inspektora Informacji Finansowej,
3)
dotyczących członków kościoła lub innego związku wyznaniowego, o uregulowanej
sytuacji
prawnej,
4)
dotyczących osób u nich zatrudnionych, zrzeszonych lub uczących się,
5)27) dotyczących osób korzystających z ich
usług medycznych, obsługi notarialnej,
adwokackiej,
radcy prawnego, rzecznika patentowego, doradcy podatkowego lub
biegłego
rewidenta,
6)28) tworzonych na podstawie ordynacji
wyborczych do Sejmu, Senatu, rad gmin,
rad
powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej
Polskiej
oraz ustaw o referendum i ustawy o referendum gminnym,
7)
dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym
do
wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8)
przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości
finansowej,
9)
powszechnie dostępnych,
24)
Dodany przez art. 1 pkt 16 lit. a)
ustawy, o której mowa w przypisie 1.
25)
W brzmieniu ustalonym przez art. 29
ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym
(Dz.U.
Nr 50, poz. 580), która weszła w życie z dniem 22 czerwca 2001 r.
26)
Dodany przez art. 47 ustawy z dnia 16
listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu
finansowego
wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł
(Dz.U. Nr
116,
poz. 1216), która weszła w życie z dniem 23 czerwca 2001 r.
27)
W brzmieniu ustalonym przez art. 11
ustawy z dnia 11 kwietnia 2001 r. o zmianie ustawy o doradztwie
podatkowym
oraz niektórych innych ustaw (Dz.U. Nr 42, poz. 474), która weszła w życie z
dniem 11
czerwca
2001 r., i ze zmianą wprowadzoną przez art. 71 ustawy z dnia 11 kwietnia 2001
r. o rzecznikach
patentowych
(Dz.U. Nr 49, poz. 509), która weszła w życie z dniem 22 sierpnia 2001 r.
28)
Ze zmianą wprowadzoną przez art. 47
ustawy z dnia 21 stycznia 2000 r. o zmianie niektórych ustaw związanych
z
funkcjonowaniem administracji publicznej (Dz.U. Nr 12, poz. 136), która weszła
w życie z
dniem
23 lutego 2000 r.
10)
przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia
szkoły wyższej lub stopnia naukowego,
11)
przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
2.29) W odniesieniu do zbiorów, o których
mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których
mowa
w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego,
Agencję
Wywiadu oraz Wojskowe Służby Informacyjne, Generalnemu
Inspektorowi
nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1, 3-5
oraz
w art. 15-18.
Art. 44.
1.
Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1)
nie zostały spełnione wymogi określone w art. 41 ust. 1,
2)
przetwarzanie danych naruszałoby zasady określone w art. 23-30,
3)
urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego
do
rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych,
określonych
w przepisach, o których mowa w art. 45 pkt 1.
2.
Odmawiając rejestracji zbioru danych Generalny Inspektor nakazuje wstrzymanie
dalszego
przetwarzania
danych w tym zbiorze lub ich usunięcie.
3.
Nakaz wstrzymania dalszego przetwarzania danych w zbiorze danych lub ich usunięcia
podlega
natychmiastowemu wykonaniu.
4.
Administrator danych może zgłosić ponownie zbiór danych do rejestracji po usunięciu
wad,
które były powodem odmowy rejestracji zbioru.
5.
W razie ponownego zgłoszenia zbioru do rejestracji administrator danych może
rozpocząć
ich
przetwarzanie po zarejestrowaniu zbioru.
Art. 45.
Minister
właściwy do spraw administracji określi, w drodze rozporządzenia:
1)
podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać
urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych,
2)
wzór wniosku, o którym mowa w art. 29 ust. 3,
3)
wzór zgłoszenia, o którym mowa w art. 41 ust. 1,
4)
wzór upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1.
Art. 46.
Administrator
danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu
tego
zbioru Generalnemu Inspektorowi do rejestracji, chyba że ustawa zwalnia go z
tego
obowiązku.
29)
W brzmieniu ustalonym przez art. 192
ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego
oraz
Agencji Wywiadu (Dz.U. Nr 74, poz. 676), która weszła w życie z dniem 29
czerwca
2002
r.
Rozdział 7
Przekazywanie danych osobowych za granicę
Art. 47.
1.
Przekazanie danych osobowych za granicę może nastąpić jedynie wtedy, gdy kraj
docelowy
daje
gwarancje ochrony danym osobowym na swoim terytorium przynajmniej
takie,
jak obowiązujące na terytorium Rzeczypospolitej Polskiej.
2.
Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku
nałożonego
na administratora danych przepisami prawa lub postanowieniami ratyfikowanej
umowy
międzynarodowej.
3.
Administrator danych może jednak przekazać dane osobowe za granicę, jeżeli:
1)
osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
2)
przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych
a
osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3)
przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby,
której
dane
dotyczą, pomiędzy administratorem danych a innym podmiotem,
4)
przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania
zasadności
roszczeń
prawnych,
5)
przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą,
6)
dane są ogólnie dostępne.
Art. 48.
W
przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych
osobowych
za
granicę do kraju, który nie daje gwarancji ochrony danych osobowych
przynajmniej
takich,
jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może mieć miejsce po
uzyskaniu
zgody Generalnego Inspektora.
Rozdział 8
Przepisy karne
Art. 49.
1.
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest
dopuszczalne
albo
do których przetwarzania nie jest uprawniony, podlega grzywnie, karze
ograniczenia
wolności
albo pozbawienia wolności do lat 2.
2.
Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe
lub
etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne, przynależność
wyznaniową,
partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym,
nałogach
lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności
albo
pozbawienia wolności do lat 3.
Art. 50.
Kto
administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie
z
celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia
wolności
do roku.
Art. 51.
1.
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych
osobowych
udostępnia
je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega
grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2.
Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności
albo
pozbawienia
wolności do roku.
Art. 52.
Kto
administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich
przed
zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega
grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53.
Kto
będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega
grzywnie,
karze
ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54.
Kto
administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby,
której
dane
dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających
korzystanie
z
praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia
wolności
albo pozbawienia wolności do roku.
Rozdział 9
Zmiany w przepisach obowiązujących, przepisy przejściowe i końcowe
Art. 55-60. (pominięte).30)
Art. 61.
1.
Podmioty określone w art. 3, prowadzące w dniu wejścia w życie ustawy zbiory
danych
osobowych
w systemach informatycznych, mają obowiązek złożenia wniosków
o
zarejestrowanie tych zbiorów w trybie określonym w art. 41, w terminie 18 miesięcy
od
dnia jej wejścia w życie, chyba że ustawa zwalnia ich z tego obowiązku.
2.
Do czasu rejestracji zbioru danych osobowych w trybie określonym w art. 41,
podmioty,
o
których mowa w ust. 1, mogą prowadzić te zbiory bez rejestracji.
30)
Zamieszczone w obwieszczeniu.
19/22
Art. 62.
Ustawa
wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia,31) z tym że:
1)
art. 8-11, art. 13 i 45 wchodzą w życie po upływie 2 miesięcy od dnia ogłoszenia,
2)
art. 55-59 wchodzą w życie po upływie 14 dni od dnia ogłoszenia.
31) Ustawa została ogłoszona dnia 29 października
1997 r.
Brak komentarzy:
Prześlij komentarz