D20020926Lj o Ochronie Danych Osobowych

Kancelaria Sejmu s. 1/22

2012-01-19

USTAWA z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych1)

Rozdzia 1 Przepisy oglne

Art. 1.

1. Kady ma prawo do ochrony dotyczcych go danych osobowych. 2. Przetwarzanie danych osobowych moe mie miejsce ze wzgldu na dobro pu-

bliczne, dobro osoby, ktrej dane dotycz, lub dobro osb trzecich w zakresie i trybie okrelonym ustaw.

Art. 2.

1. Ustawa okrela zasady postpowania przy przetwarzaniu danych osobowych oraz prawa osb fizycznych, ktrych dane osobowe s lub mog by przetwa-rzane w zbiorach danych.

2. Ustaw stosuje si do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, ksigach, wykazach i w innych zbiorach

ewidencyjnych, 2) w systemach informatycznych, take w przypadku przetwarzania danych

poza zbiorem danych. 3. W odniesieniu do zbiorw danych osobowych sporzdzanych doranie, wycz-

nie ze wzgldw technicznych, szkoleniowych lub w zwizku z dydaktyk w szkoach wyszych, a po ich wykorzystaniu niezwocznie usuwanych albo pod-danych anonimizacji, maj zastosowanie jedynie przepisy rozdziau 5.

Art. 3.

1. Ustaw stosuje si do organw pastwowych, organw samorzdu terytorialne-go oraz do pastwowych i komunalnych jednostek organizacyjnych.

2. Ustaw stosuje si rwnie do: 1) Niniejsza ustawa dokonuje w zakresie swojej regulacji wdroenia dyrektywy 95/46/WE Parlamentu

Europejskiego i Rady z dnia 24 padziernika 1995 r. w sprawie ochrony osb fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepywu tych danych (Dz.Urz. WE L 281 z 23.11.1995, str. 31, z pn. zm.; Dz.Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z pn. zm.).

Opracowano na pod-stawie: tj. Dz. U. z 2002 r. Nr 101, poz. 926, Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219, Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170, Nr 176, poz. 1238, z 2010 r. Nr 41, poz. 233, Nr 182, poz. 1228, Nr 229, poz. 1497, z 2011 r. Nr 230, poz. 1371.


2012-01-19

1) podmiotw niepublicznych realizujcych zadania publiczne, 2) osb fizycznych i osb prawnych oraz jednostek organizacyjnych niebd-

cych osobami prawnymi, jeeli przetwarzaj dane osobowe w zwizku z dziaalnoci zarobkow, zawodow lub dla realizacji celw statutowych

- ktre maj siedzib albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pastwie trzecim, o ile przetwarzaj dane osobowe przy wyko-rzystaniu rodkw technicznych znajdujcych si na terytorium Rzeczypospoli-tej Polskiej.

Art. 3a.

1. Ustawy nie stosuje si do: 1) osb fizycznych, ktre przetwarzaj dane wycznie w celach osobistych

lub domowych, 2) podmiotw majcych siedzib lub miejsce zamieszkania w pastwie trze-

cim, wykorzystujcych rodki techniczne znajdujce si na terytorium Rze-czypospolitej Polskiej wycznie do przekazywania danych.

2. Ustawy, z wyjtkiem przepisw art. 14-19 i art. 36 ust. 1, nie stosuje si rwnie do prasowej dziaalnoci dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z pn. zm.2)) oraz do dziaalnoci literackiej lub artystycznej, chyba e wolno wyraania swoich po-gldw i rozpowszechniania informacji istotnie narusza prawa i wolnoci osoby, ktrej dane dotycz.

Art. 4.

Przepisw ustawy nie stosuje si, jeeli umowa midzynarodowa, ktrej stron jest Rzeczpospolita Polska, stanowi inaczej.

Art. 5.

Jeeli przepisy odrbnych ustaw, ktre odnosz si do przetwarzania danych, prze-widuj dalej idc ich ochron, ni wynika to z niniejszej ustawy, stosuje si przepi-sy tych ustaw.

Art. 6.

1. W rozumieniu ustawy za dane osobowe uwaa si wszelkie informacje dotycz-ce zidentyfikowanej lub moliwej do zidentyfikowania osoby fizycznej.

2. Osob moliw do zidentyfikowania jest osoba, ktrej tosamo mona okreli bezporednio lub porednio, w szczeglnoci przez powoanie si na numer identyfikacyjny albo jeden lub kilka specyficznych czynnikw okrelajcych jej cechy fizyczne, fizjologiczne, umysowe, ekonomiczne, kulturowe lub spoecz-ne.

2) Zmiany ustawy zostay ogoszone w Dz.U z 1988 r. Nr 41, poz. 324, z 1989 r. Nr 34, poz. 187,

z 1990 r. Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114, poz. 542, z 1997 r., Nr 88, poz. 554 i Nr 121, poz. 770, z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198 oraz z 2002 r. Nr 153, poz. 1271.


2012-01-19

3. Informacji nie uwaa si za umoliwiajc okrelenie tosamoci osoby, jeeli wymagaoby to nadmiernych kosztw, czasu lub dziaa.

Art. 7.

Ilekro w ustawie jest mowa o: 1) zbiorze danych rozumie si przez to kady posiadajcy struktur zestaw

danych o charakterze osobowym, dostpnych wedug okrelonych kryte-riw, niezalenie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

2) przetwarzaniu danych rozumie si przez to jakiekolwiek operacje wyko-nywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowy-wanie, opracowywanie, zmienianie, udostpnianie i usuwanie, a zwaszcza te, ktre wykonuje si w systemach informatycznych,

2a) systemie informatycznym rozumie si przez to zesp wsppracujcych ze sob urzdze, programw, procedur przetwarzania informacji i narzdzi programowych zastosowanych w celu przetwarzania danych,

2b) zabezpieczeniu danych w systemie informatycznym rozumie si przez to wdroenie i eksploatacj stosownych rodkw technicznych i organizacyj-nych zapewniajcych ochron danych przed ich nieuprawnionym przetwa-rzaniem,

3) usuwaniu danych rozumie si przez to zniszczenie danych osobowych lub tak ich modyfikacj, ktra nie pozwoli na ustalenie tosamoci osoby, kt-rej dane dotycz,

4) administratorze danych - rozumie si przez to organ, jednostk organizacyj-n, podmiot lub osob, o ktrych mowa w art. 3, decydujce o celach i rodkach przetwarzania danych osobowych,

5) zgodzie osoby, ktrej dane dotycz rozumie si przez to owiadczenie wo-li, ktrego treci jest zgoda na przetwarzanie danych osobowych tego, kto skada owiadczenie; zgoda nie moe by domniemana lub dorozumiana z owiadczenia woli o innej treci; zgoda moe by odwoana w kadym cza-sie,

6) odbiorcy danych - rozumie si przez to kadego, komu udostpnia si dane osobowe, z wyczeniem:

a) osoby, ktrej dane dotycz, b) osoby upowanionej do przetwarzania danych, c) przedstawiciela, o ktrym mowa w art. 31a, d) podmiotu, o ktrym mowa w art. 31, e) organw pastwowych lub organw samorzdu terytorialnego, ktrym

dane s udostpniane w zwizku z prowadzonym postpowaniem, 7) pastwie trzecim - rozumie si przez to pastwo nienalece do Europej-

skiego Obszaru Gospodarczego.


2012-01-19

Rozdzia 2 Organ ochrony danych osobowych

Art. 8.

1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochro-ny Danych Osobowych, zwany dalej Generalnym Inspektorem.

2. Generalnego Inspektora powouje i odwouje Sejm Rzeczypospolitej Polskiej za zgod Senatu.

3. Na stanowisko Generalnego Inspektora moe by powoany ten, kto cznie spenia nastpujce warunki:

1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,

2) wyrnia si wysokim autorytetem moralnym, 3) posiada wysze wyksztacenie prawnicze oraz odpowiednie dowiadczenie

zawodowe, 4) nie by karany za przestpstwo.

4. Generalny Inspektor w zakresie wykonywania swoich zada podlega tylko usta-wie.

5. Kadencja Generalnego Inspektora trwa 4 lata, liczc od dnia zoenia lubowa-nia. Po upywie kadencji Generalny Inspektor peni swoje obowizki do czasu objcia stanowiska przez nowego Generalnego Inspektora.

6. Ta sama osoba nie moe by Generalnym Inspektorem wicej ni przez dwie ka-dencje.

7. Kadencja Generalnego Inspektora wygasa z chwil jego mierci, odwoania lub utraty obywatelstwa polskiego.

8. Sejm, za zgod Senatu, odwouje Generalnego Inspektora, jeeli: 1) zrzek si stanowiska, 2) sta si trwale niezdolny do penienia obowizkw na skutek choroby, 3) sprzeniewierzy si zoonemu lubowaniu, 4) zosta skazany prawomocnym wyrokiem sdu za popenienie przestpstwa.

Art. 9.

Przed przystpieniem do wykonywania obowizkw Generalny Inspektor skada przed Sejmem nastpujce lubowanie:

Obejmujc stanowisko Generalnego Inspektora Ochrony Danych Osobo-wych uroczycie lubuj dochowa wiernoci postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowizki wypenia sumiennie i bezstronnie.

lubowanie moe by zoone z dodaniem sw Tak mi dopom Bg.

Art. 10. 1. Generalny Inspektor nie moe zajmowa innego stanowiska, z wyjtkiem stano-

wiska profesora szkoy wyszej, ani wykonywa innych zaj zawodowych.


2012-01-19

2. Generalny Inspektor nie moe nalee do partii politycznej, zwizku zawodowe-go ani prowadzi dziaalnoci publicznej niedajcej si pogodzi z godnoci je-go urzdu.

Art. 11.

Generalny Inspektor nie moe by bez uprzedniej zgody Sejmu pocignity do od-powiedzialnoci karnej ani pozbawiony wolnoci. Generalny Inspektor nie moe by zatrzymany lub aresztowany, z wyjtkiem ujcia go na gorcym uczynku przestp-stwa i jeeli jego zatrzymanie jest niezbdne do zapewnienia prawidowego toku postpowania. O zatrzymaniu niezwocznie powiadamia si Marszaka Sejmu, ktry moe nakaza natychmiastowe zwolnienie zatrzymanego.

Art. 12.

Do zada Generalnego Inspektora w szczeglnoci naley: 1) kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych

osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach

wykonania przepisw o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowizanych obowizkw o charakterze

niepieninym wynikajcych z decyzji, o ktrych mowa w pkt 2, przez sto-sowanie rodkw egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postpowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z pn. zm.3)),

4) prowadzenie rejestru zbiorw danych oraz udzielanie informacji o zareje-strowanych zbiorach,

5) opiniowanie projektw ustaw i rozporzdze dotyczcych ochrony danych osobowych,

6) inicjowanie i podejmowanie przedsiwzi w zakresie doskonalenia ochrony danych osobowych,

7) uczestniczenie w pracach midzynarodowych organizacji i instytucji zajmu-jcych si problematyk ochrony danych osobowych.

Art. 12a.

1. Na wniosek Generalnego Inspektora Marszaek Sejmu moe powoa zastpc Generalnego Inspektora. Odwoanie zastpcy Generalnego Inspektora nastpuje w tym samym trybie.

2. Generalny Inspektor okrela zakres zada swojego zastpcy. 3. Zastpca Generalnego Inspektora powinien spenia wymogi okrelone w art. 8

ust. 3 pkt 1, 2 i 4 oraz posiada wysze wyksztacenie i odpowiednie dowiad-czenie zawodowe.

3) Zmiany tekstu jednolitego wymienionej ustawy zostay ogoszone w Dz. U. z 2006 r. Nr 104, poz.

708 i 711, Nr 133, poz. 935, Nr 157, poz. 1119 i Nr 187, poz. 1381, z 2007 r. Nr 89, poz. 589, Nr 115, poz. 794, Nr 176, poz. 1243 i Nr 192, poz. 1378, z 2008 r. Nr 209, poz. 1318, z 2009 r. Nr 3, poz. 11, Nr 39, poz. 308, Nr 131, poz. 1075, Nr 157, poz. 1241 i Nr 201, poz. 1540 oraz z 2010 r. Nr 28, poz. 143, Nr 40, poz. 229, Nr 75, poz. 474, Nr 122, poz. 826 i Nr 152, poz. 1018.


2012-01-19

Art. 13.

1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.

1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczb spraw z zakresu ochrony danych osobowych na danym terenie moe wykonywa swoje zadania przy pomocy jednostek zamiejscowych Biura.

2. (uchylony). 3. Prezydent Rzeczypospolitej Polskiej, po zasigniciu opinii Generalnego Inspek-

tora, w drodze rozporzdzenia, nadaje statut Biuru, okrelajc jego organizacj, zasady dziaania oraz siedziby jednostek zamiejscowych i zakres ich waciwo-ci terytorialnej, majc na uwadze stworzenie optymalnych warunkw organiza-cyjnych do prawidowej realizacji zada Biura.

Art. 14.

W celu wykonania zada, o ktrych mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastpca Generalnego Inspektora lub upowanieni przez niego pracownicy Biura, zwani dalej inspektorami, maj prawo:

1) wstpu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upowa-nienia i legitymacji subowej, do pomieszczenia, w ktrym zlokalizowany jest zbir danych, oraz pomieszczenia, w ktrym przetwarzane s dane poza zbiorem danych, i przeprowadzenia niezbdnych bada lub innych czynno-ci kontrolnych w celu oceny zgodnoci przetwarzania danych z ustaw,

2) da zoenia pisemnych lub ustnych wyjanie oraz wzywa i przesuchi-wa osoby w zakresie niezbdnym do ustalenia stanu faktycznego,

3) wgldu do wszelkich dokumentw i wszelkich danych majcych bezpored-ni zwizek z przedmiotem kontroli oraz sporzdzania ich kopii,

4) przeprowadzania ogldzin urzdze, nonikw oraz systemw informatycz-nych sucych do przetwarzania danych,

5) zleca sporzdzanie ekspertyz i opinii.

Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fi-

zyczna bdca administratorem danych osobowych s obowizani umoliwi in-spektorowi przeprowadzenie kontroli, a w szczeglnoci umoliwi przeprowa-dzenie czynnoci oraz speni dania, o ktrych mowa w art. 14 pkt 1-4.

2. W toku kontroli zbiorw, o ktrych mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzajcy kontrol ma prawo wgldu do zbioru zawierajcego dane osobowe jedynie za porednictwem upowanionego przedstawiciela kontrolo-wanej jednostki organizacyjnej.

3. Kontrol przeprowadza si po okazaniu imiennego upowanienia wraz z legity-macj subow.

4. Imienne upowanienie powinno zawiera: 1) wskazanie podstawy prawnej przeprowadzenia kontroli, 2) oznaczenie organu kontroli,


2012-01-19

3) imi i nazwisko, stanowisko subowe osoby upowanionej do przeprowa-dzenia kontroli oraz numer jej legitymacji subowej,

4) okrelenie zakresu przedmiotowego kontroli, 5) oznaczenie podmiotu objtego kontrol albo zbioru danych, albo miejsca

poddawanego kontroli, 6) wskazanie daty rozpoczcia i przewidywanego terminu zakoczenia kontro-

li, 7) podpis Generalnego Inspektora, 8) pouczenie kontrolowanego podmiotu o jego prawach i obowizkach, 9) dat i miejsce wystawienia imiennego upowanienia.

Art. 16.

1. Z czynnoci kontrolnych inspektor sporzdza protok, ktrego jeden egzemplarz dorcza kontrolowanemu administratorowi danych.

1a. Protok kontroli powinien zawiera: 1) nazw podmiotu kontrolowanego w penym brzmieniu i jego adres, 2) imi i nazwisko, stanowisko subowe, numer legitymacji subowej oraz

numer upowanienia inspektora, 3) imi i nazwisko osoby reprezentujcej podmiot kontrolowany oraz nazw

organu reprezentujcego ten podmiot, 4) dat rozpoczcia i zakoczenia czynnoci kontrolnych, z wymienieniem dni

przerw w kontroli, 5) okrelenie przedmiotu i zakresu kontroli, 6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje

majce istotne znaczenie dla oceny zgodnoci przetwarzania danych z prze-pisami o ochronie danych osobowych,

7) wyszczeglnienie zacznikw stanowicych skadow cz protokou, 8) omwienie dokonanych w protokole poprawek, skrele i uzupenie, 9) parafy inspektora i osoby reprezentujcej podmiot kontrolowany na kadej

stronie protokou, 10) wzmiank o dorczeniu egzemplarza protokou osobie reprezentujcej pod-

miot kontrolowany, 11) wzmiank o wniesieniu lub niewniesieniu zastrzee i uwag do protokou, 12) dat i miejsce podpisania protokou przez inspektora oraz przez osob lub

organ reprezentujcy podmiot kontrolowany. 2. Protok podpisuj inspektor i kontrolowany administrator danych, ktry moe

wnie do protokou umotywowane zastrzeenia i uwagi. 3. W razie odmowy podpisania protokou przez kontrolowanego administratora da-

nych, inspektor czyni o tym wzmiank w protokole, a odmawiajcy podpisu mo-e, w terminie 7 dni, przedstawi swoje stanowisko na pimie Generalnemu In-spektorowi.


2012-01-19

Art. 17. 1. Jeeli na podstawie wynikw kontroli inspektor stwierdzi naruszenie przepisw

o ochronie danych osobowych, wystpuje do Generalnego Inspektora o zastoso-wanie rodkw, o ktrych mowa w art. 18.

2. Na podstawie ustale kontroli inspektor moe da wszczcia postpowania dyscyplinarnego lub innego przewidzianego prawem postpowania przeciwko osobom winnym dopuszczenia do uchybie i poinformowania go, w okrelonym terminie, o wynikach tego postpowania i podjtych dziaaniach.

Art. 18.

1. W przypadku naruszenia przepisw o ochronie danych osobowych Generalny Inspektor z urzdu lub na wniosek osoby zainteresowanej, w drodze decyzji ad-ministracyjnej, nakazuje przywrcenie stanu zgodnego z prawem, a w szczegl-noci:

1) usunicie uchybie, 2) uzupenienie, uaktualnienie, sprostowanie, udostpnienie lub nieudostpnie-

nie danych osobowych, 3) zastosowanie dodatkowych rodkw zabezpieczajcych zgromadzone dane

osobowe, 4) wstrzymanie przekazywania danych osobowych do pastwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunicie danych osobowych.

2. Decyzje Generalnego Inspektora, o ktrych mowa w ust. 1, nie mog ogranicza swobody dziaania podmiotw zgaszajcych kandydatw lub listy kandydatw w wyborach na urzd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Sena-tu i do organw samorzdu terytorialnego, a take w wyborach do Parlamentu Europejskiego, pomidzy dniem zarzdzenia wyborw a dniem gosowania.

2a. Decyzje Generalnego Inspektora, o ktrych mowa w ust. 1, w odniesieniu do zbiorw okrelonych w art. 43 ust. 1 pkt 1a, nie mog nakazywa usunicia da-nych osobowych zebranych w toku czynnoci operacyjno-rozpoznawczych pro-wadzonych na podstawie przepisw prawa.

3. W przypadku gdy przepisy innych ustaw reguluj odrbnie wykonywanie czyn-noci, o ktrych mowa w ust. 1, stosuje si przepisy tych ustaw.

Art. 19.

W razie stwierdzenia, e dziaanie lub zaniechanie kierownika jednostki organiza-cyjnej, jej pracownika lub innej osoby fizycznej bdcej administratorem danych wyczerpuje znamiona przestpstwa okrelonego w ustawie, Generalny Inspektor kieruje do organu powoanego do cigania przestpstw zawiadomienie o popenieniu przestpstwa, doczajc dowody dokumentujce podejrzenie.

Art. 19a. 1. W celu realizacji zada, o ktrych mowa w art. 12 pkt 6, Generalny Inspektor

moe kierowa do organw pastwowych, organw samorzdu terytorialnego, pastwowych i komunalnych jednostek organizacyjnych, podmiotw niepu-


2012-01-19

blicznych realizujcych zadania publiczne, osb fizycznych i prawnych, jedno-stek organizacyjnych niebdcych osobami prawnymi oraz innych podmiotw wystpienia zmierzajce do zapewnienia skutecznej ochrony danych osobo-wych.

2. Generalny Inspektor moe rwnie wystpowa do waciwych organw z wnio-skami o podjcie inicjatywy ustawodawczej albo o wydanie bd zmian aktw prawnych w sprawach dotyczcych ochrony danych osobowych.

3. Podmiot, do ktrego zostao skierowane wystpienie lub wniosek, o ktrych mowa w ust. 1 i 2, jest obowizany ustosunkowa si do tego wystpienia lub wniosku na pimie w terminie 30 dni od daty jego otrzymania.

Art. 20.

Generalny Inspektor skada Sejmowi, raz w roku, sprawozdanie ze swojej dziaalno-ci wraz z wnioskami wynikajcymi ze stanu przestrzegania przepisw o ochronie danych osobowych.

Art. 21.

1. Strona moe zwrci si do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.

2. Na decyzj Generalnego Inspektora w przedmiocie wniosku o ponowne rozpa-trzenie sprawy stronie przysuguje skarga do sdu administracyjnego.

Art. 22.

Postpowanie w sprawach uregulowanych w niniejszej ustawie prowadzi si wedug przepisw Kodeksu postpowania administracyjnego, o ile przepisy ustawy nie sta-nowi inaczej.

Art. 22a.

Minister waciwy do spraw administracji publicznej okreli, w drodze rozporzdze-nia, wzr upowanienia i legitymacji subowej, o ktrych mowa w art. 14 pkt 1, uwzgldniajc konieczno imiennego wskazania inspektora Biura Generalnego In-spektora Ochrony Danych Osobowych.

Rozdzia 3

Zasady przetwarzania danych osobowych

Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, ktrej dane dotycz, wyrazi na to zgod, chyba e chodzi o usunicie dotyczcych jej danych,

2) jest to niezbdne dla zrealizowania uprawnienia lub spenienia obowizku wynikajcego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, ktrej dane dotycz, jest jej stron lub gdy jest to niezbdne do podjcia dziaa przed zawarciem umowy na danie osoby, ktrej dane dotycz,


2012-01-19

4) jest niezbdne do wykonania okrelonych prawem zada realizowanych dla dobra publicznego,

5) jest to niezbdne dla wypenienia prawnie usprawiedliwionych celw reali-zowanych przez administratorw danych albo odbiorcw danych, a prze-twarzanie nie narusza praw i wolnoci osoby, ktrej dane dotycz.

2. Zgoda, o ktrej mowa w ust. 1 pkt 1, moe obejmowa rwnie przetwarzanie danych w przyszoci, jeeli nie zmienia si cel przetwarzania.

3. Jeeli przetwarzanie danych jest niezbdne dla ochrony ywotnych interesw osoby, ktrej dane dotycz, a spenienie warunku okrelonego w ust. 1 pkt 1 jest niemoliwe, mona przetwarza dane bez zgody tej osoby, do czasu, gdy uzy-skanie zgody bdzie moliwe.

4. Za prawnie usprawiedliwiony cel, o ktrym mowa w ust. 1 pkt 5, uwaa si w szczeglnoci:

1) marketing bezporedni wasnych produktw lub usug administratora da-nych,

2) dochodzenie roszcze z tytuu prowadzonej dziaalnoci gospodarczej.

Art. 24. 1. W przypadku zbierania danych osobowych od osoby, ktrej one dotycz, admi-

nistrator danych jest obowizany poinformowa t osob o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem

danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczeglnoci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorcw da-nych,

3) prawie dostpu do treci swoich danych oraz ich poprawiania, 4) dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek ist-

nieje, o jego podstawie prawnej. 2. Przepisu ust. 1 nie stosuje si, jeeli:

1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania fak-tycznego celu ich zbierania,

2) osoba, ktrej dane dotycz, posiada informacje, o ktrych mowa w ust. 1.

Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, ktrej one dotycz,

administrator danych jest obowizany poinformowa t osob, bezporednio po utrwaleniu zebranych danych, o:

1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu i zakresie zbierania danych, a w szczeglnoci o odbiorcach lub katego-riach odbiorcw danych,

3) rdle danych,


2012-01-19

4) prawie dostpu do treci swoich danych oraz ich poprawiania, 5) uprawnieniach wynikajcych z art. 32 ust. 1 pkt 7 i 8.

2. Przepisu ust. 1 nie stosuje si, jeeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych

bez wiedzy osoby, ktrej dane dotycz, 2) (uchylony), 3) dane te s niezbdne do bada naukowych, dydaktycznych, historycznych,

statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolnoci osoby, ktrej dane dotycz, a spenienie wymaga okre-lonych w ust. 1 wymagaoby nadmiernych nakadw lub zagraaoby reali-zacji celu badania,

4) (uchylony), 5) dane s przetwarzane przez administratora, o ktrym mowa w art. 3 ust. 1 i

ust. 2 pkt 1, na podstawie przepisw prawa, 6) osoba, ktrej dane dotycz, posiada informacje, o ktrych mowa w ust. 1.

Art. 26.

1. Administrator danych przetwarzajcy dane powinien dooy szczeglnej staran-noci w celu ochrony interesw osb, ktrych dane dotycz, a w szczeglnoci jest obowizany zapewni, aby dane te byy:

1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celw i niepoddawane dal-

szemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celw, w jakich s

przetwarzane, 4) przechowywane w postaci umoliwiajcej identyfikacj osb, ktrych doty-

cz, nie duej ni jest to niezbdne do osignicia celu przetwarzania. 2. Przetwarzanie danych w celu innym ni ten, dla ktrego zostay zebrane, jest do-

puszczalne, jeeli nie narusza praw i wolnoci osoby, ktrej dane dotycz, oraz nastpuje:

1) w celach bada naukowych, dydaktycznych, historycznych lub statystycz-nych,

2) z zachowaniem przepisw art. 23 i 25.

Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygnicie indywidualnej sprawy osoby,

ktrej dane dotycz, jeeli jego tre jest wycznie wynikiem operacji na da-nych osobowych, prowadzonych w systemie informatycznym.

2. Przepisu ust. 1 nie stosuje si, jeeli rozstrzygnicie zostao podjte podczas za-wierania lub wykonywania umowy i uwzgldnia wniosek osoby, ktrej dane do-tycz, albo jeeli zezwalaj na to przepisy prawa, ktre przewiduj rwnie rodki ochrony uzasadnionych interesw osoby, ktrej dane dotycz.


2012-01-19

Art. 27. 1. Zabrania si przetwarzania danych ujawniajcych pochodzenie rasowe lub et-

niczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, jak rwnie danych o stanie zdrowia, ko-dzie genetycznym, naogach lub yciu seksualnym oraz danych dotyczcych skaza, orzecze o ukaraniu i mandatw karnych, a take innych orzecze wy-danych w postpowaniu sdowym lub administracyjnym.

2. Przetwarzanie danych, o ktrych mowa w ust. 1, jest jednak dopuszczalne, jeeli: 1) osoba, ktrej dane dotycz, wyrazi na to zgod na pimie, chyba e chodzi o

usunicie dotyczcych jej danych, 2) przepis szczeglny innej ustawy zezwala na przetwarzanie takich danych

bez zgody osoby, ktrej dane dotycz, i stwarza pene gwarancje ich ochro-ny,

3) przetwarzanie takich danych jest niezbdne do ochrony ywotnych intere-sw osoby, ktrej dane dotycz, lub innej osoby, gdy osoba, ktrej dane do-tycz, nie jest fizycznie lub prawnie zdolna do wyraenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,

4) jest to niezbdne do wykonania statutowych zada kociow i innych zwizkw wyznaniowych, stowarzysze, fundacji lub innych niezarobko-wych organizacji lub instytucji o celach politycznych, naukowych, religij-nych, filozoficznych lub zwizkowych, pod warunkiem, e przetwarzanie danych dotyczy wycznie czonkw tych organizacji lub instytucji albo osb utrzymujcych z nimi stae kontakty w zwizku z ich dziaalnoci i zapewnione s pene gwarancje ochrony przetwarzanych danych,

5) przetwarzanie dotyczy danych, ktre s niezbdne do dochodzenia praw przed sdem,

6) przetwarzanie jest niezbdne do wykonania zada administratora danych odnoszcych si do zatrudnienia pracownikw i innych osb, a zakres prze-twarzanych danych jest okrelony w ustawie,

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, wiadczenia usug medycznych lub leczenia pacjentw przez osoby trudnice si zawo-dowo leczeniem lub wiadczeniem innych usug medycznych, zarzdzania udzielaniem usug medycznych i s stworzone pene gwarancje ochrony da-nych osobowych,

8) przetwarzanie dotyczy danych, ktre zostay podane do wiadomoci pu-blicznej przez osob, ktrej dane dotycz,

9) jest to niezbdne do prowadzenia bada naukowych, w tym do przygotowa-nia rozprawy wymaganej do uzyskania dyplomu ukoczenia szkoy wyszej lub stopnia naukowego; publikowanie wynikw bada naukowych nie moe nastpowa w sposb umoliwiajcy identyfikacj osb, ktrych dane zo-stay przetworzone,

10) przetwarzanie danych jest prowadzone przez stron w celu realizacji praw i obowizkw wynikajcych z orzeczenia wydanego w postpowaniu sdo-wym lub administracyjnym.


2012-01-19

Art. 28. 1. (skrelony). 2. Numery porzdkowe stosowane w ewidencji ludnoci mog zawiera tylko

oznaczenie pci, daty urodzenia, numer nadania oraz liczb kontroln. 3. Zabronione jest nadawanie ukrytych znacze elementom numerw porzdko-

wych w systemach ewidencjonujcych osoby fizyczne.

Art. 29. (uchylony).


Art. 31. 1. Administrator danych moe powierzy innemu podmiotowi, w drodze umowy

zawartej na pimie, przetwarzanie danych. 2. Podmiot, o ktrym mowa w ust. 1, moe przetwarza dane wycznie w zakresie

i celu przewidzianym w umowie. 3. Podmiot, o ktrym mowa w ust. 1, jest obowizany przed rozpoczciem prze-

twarzania danych podj rodki zabezpieczajce zbir danych, o ktrych mowa w art. 36-39, oraz speni wymagania okrelone w przepisach, o ktrych mowa w art. 39a. W zakresie przestrzegania tych przepisw podmiot ponosi odpowie-dzialno jak administrator danych.

4. W przypadkach, o ktrych mowa w ust. 1-3, odpowiedzialno za przestrzeganie przepisw niniejszej ustawy spoczywa na administratorze danych, co nie wy-cza odpowiedzialnoci podmiotu, ktry zawar umow, za przetwarzanie danych niezgodnie z t umow.

5. Do kontroli zgodnoci przetwarzania danych przez podmiot, o ktrym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje si odpowiednio przepisy art. 14-19.

Art. 31a.

W przypadku przetwarzania danych osobowych przez podmioty majce siedzib albo miejsce zamieszkania w pastwie trzecim, administrator danych jest obowiza-ny wyznaczy swojego przedstawiciela w Rzeczypospolitej Polskiej.

Rozdzia 4

Prawa osoby, ktrej dane dotycz

Art. 32. 1. Kadej osobie przysuguje prawo do kontroli przetwarzania danych, ktre jej do-

tycz, zawartych w zbiorach danych, a zwaszcza prawo do: 1) uzyskania wyczerpujcej informacji, czy taki zbir istnieje, oraz do ustalenia

administratora danych, adresu jego siedziby i penej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna jej miejsca zamieszkania oraz imienia i nazwiska,


2012-01-19

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych za-wartych w takim zbiorze,

3) uzyskania informacji, od kiedy przetwarza si w zbiorze dane jej dotyczce, oraz podania w powszechnie zrozumiaej formie treci tych danych,

4) uzyskania informacji o rdle, z ktrego pochodz dane jej dotyczce, chyba e administrator danych jest zobowizany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

5) uzyskania informacji o sposobie udostpniania danych, a w szczeglnoci informacji o odbiorcach lub kategoriach odbiorcw, ktrym dane te s udo-stpniane,

5a) uzyskania informacji o przesankach podjcia rozstrzygnicia, o ktrym mowa w art. 26a ust. 2,

6) dania uzupenienia, uaktualnienia, sprostowania danych osobowych, cza-sowego lub staego wstrzymania ich przetwarzania lub ich usunicia, jeeli s one niekompletne, nieaktualne, nieprawdziwe lub zostay zebrane z naru-szeniem ustawy albo s ju zbdne do realizacji celu, dla ktrego zostay zebrane,

7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisem-nego, umotywowanego dania zaprzestania przetwarzania jej danych ze wzgldu na jej szczegln sytuacj,

8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wy-mienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarza w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,

9) wniesienia do administratora danych dania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygnitej z naruszeniem art. 26a ust. 1.

2. W przypadku wniesienia dania, o ktrym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbdnej zwoki przekazuje danie Generalnemu Inspektorowi, ktry wyda-je stosown decyzj.

3. W razie wniesienia sprzeciwu, o ktrym mowa w ust. 1 pkt 8, dalsze przetwarza-nie kwestionowanych danych jest niedopuszczalne. Administrator danych moe jednak pozostawi w zbiorze imi lub imiona i nazwisko osoby oraz numer PE-SEL lub adres wycznie w celu uniknicia ponownego wykorzystania danych tej osoby w celach objtych sprzeciwem.3a. W razie wniesienia dania, o kt-rym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zbdnej zwoki roz-patruje spraw albo przekazuje j wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, ktry wydaje stosown decyzj.

4. Jeeli dane s przetwarzane dla celw naukowych, dydaktycznych, historycz-nych, statystycznych lub archiwalnych, administrator danych moe odstpi od informowania osb o przetwarzaniu ich danych w przypadkach, gdy pocigaoby to za sob nakady niewspmierne z zamierzonym celem.

5. Osoba zainteresowana moe skorzysta z prawa do informacji, o ktrych mowa w ust. 1 pkt 1-5, nie czciej ni raz na 6 miesicy.


2012-01-19

Art. 33.

1. Na wniosek osoby, ktrej dane dotycz, administrator danych jest obowizany, w terminie 30 dni, poinformowa o przysugujcych jej prawach oraz udzieli, od-nonie do jej danych osobowych, informacji, o ktrych mowa w art. 32 ust. 1 pkt 15a.

2. Na wniosek osoby, ktrej dane dotycz, informacji, o ktrych mowa w ust. 1, udziela si na pimie.

Art. 34.

Administrator danych odmawia osobie, ktrej dane dotycz, udzielenia informacji, o ktrych mowa w art. 32 ust. 1 pkt 15a, jeeli spowodowaoby to:

1) ujawnienie wiadomoci zawierajcych informacje niejawne, 2) zagroenie dla obronnoci lub bezpieczestwa pastwa, ycia i zdrowia lu-

dzi lub bezpieczestwa i porzdku publicznego, 3) zagroenie dla podstawowego interesu gospodarczego lub finansowego pa-

stwa, 4) istotne naruszenie dbr osobistych osb, ktrych dane dotycz, lub innych

osb.

Art. 35. 1. W razie wykazania przez osob, ktrej dane osobowe dotycz, e s one nie-

kompletne, nieaktualne, nieprawdziwe lub zostay zebrane z naruszeniem ustawy albo s zbdne do realizacji celu, dla ktrego zostay zebrane, administrator da-nych jest obowizany, bez zbdnej zwoki, do uzupenienia, uaktualnienia, spro-stowania danych, czasowego lub staego wstrzymania przetwarzania kwestiono-wanych danych lub ich usunicia ze zbioru, chyba e dotyczy to danych osobo-wych, w odniesieniu do ktrych tryb ich uzupenienia, uaktualnienia lub spro-stowania okrelaj odrbne ustawy.

2. W razie niedopenienia przez administratora danych obowizku, o ktrym mowa w ust. 1, osoba, ktrej dane dotycz, moe si zwrci do Generalnego Inspekto-ra z wnioskiem o nakazanie dopenienia tego obowizku.

3. Administrator danych jest obowizany poinformowa bez zbdnej zwoki innych administratorw, ktrym udostpni zbir danych, o dokonanym uaktualnieniu lub sprostowaniu danych.

Rozdzia 5

Zabezpieczenie danych osobowych

Art. 36. 1. Administrator danych jest obowizany zastosowa rodki techniczne i organiza-

cyjne zapewniajce ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych objtych ochron, a w szczeglnoci powi-nien zabezpieczy dane przed ich udostpnieniem osobom nieupowanionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy oraz zmian, utrat, uszkodzeniem lub zniszczeniem.


2012-01-19

2. Administrator danych prowadzi dokumentacj opisujc sposb przetwarzania danych oraz rodki, o ktrych mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczestwa informacji, nad-zorujcego przestrzeganie zasad ochrony, o ktrych mowa w ust. 1, chyba e sam wykonuje te czynnoci.

Art. 37.

Do przetwarzania danych mog by dopuszczone wycznie osoby posiadajce upo-wanienie nadane przez administratora danych.

Art. 38.

Administrator danych jest obowizany zapewni kontrol nad tym, jakie dane oso-bowe, kiedy i przez kogo zostay do zbioru wprowadzone oraz komu s przekazywa-ne.

Art. 39.

1. Administrator danych prowadzi ewidencj osb upowanionych do ich przetwa-rzania, ktra powinna zawiera:

1) imi i nazwisko osoby upowanionej, 2) dat nadania i ustania oraz zakres upowanienia do przetwarzania danych

osobowych, 3) identyfikator, jeeli dane s przetwarzane w systemie informatycznym.

2. Osoby, ktre zostay upowanione do przetwarzania danych, s obowizane za-chowa w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 39a.

Minister waciwy do spraw administracji publicznej w porozumieniu z ministrem waciwym do spraw informatyzacji okreli, w drodze rozporzdzenia, sposb pro-wadzenia i zakres dokumentacji, o ktrej mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada urzdzenia i syste-my informatyczne suce do przetwarzania danych osobowych, uwzgldniajc za-pewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagroe oraz kategorii danych objtych ochron, a take wymagania w zakresie odnotowy-wania udostpniania danych osobowych i bezpieczestwa przetwarzanych danych.

Rozdzia 6

Rejestracja zbiorw danych osobowych

Art. 40. Administrator danych jest obowizany zgosi zbir danych do rejestracji General-nemu Inspektorowi, z wyjtkiem przypadkw, o ktrych mowa w art. 43 ust. 1.

Art. 41.

1. Zgoszenie zbioru danych do rejestracji powinno zawiera:


2012-01-19

1) wniosek o wpisanie zbioru do rejestru zbiorw danych osobowych, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca za-

mieszkania, w tym numer identyfikacyjny rejestru podmiotw gospodarki narodowej, jeeli zosta mu nadany, oraz podstaw prawn upowaniajc do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o ktrym mowa w art. 31, lub wyznaczenia podmiotu, o kt-rym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,

3) cel przetwarzania danych, 3a) opis kategorii osb, ktrych dane dotycz, oraz zakres przetwarzanych da-

nych, 4) sposb zbierania oraz udostpniania danych,

4a) informacj o odbiorcach lub kategoriach odbiorcw, ktrym dane mog by przekazywane,

5) opis rodkw technicznych i organizacyjnych zastosowanych w celach okre-lonych w art. 36-39,

6) informacj o sposobie wypenienia warunkw technicznych i organizacyj-nych, okrelonych w przepisach, o ktrych mowa w art. 39a,

7) informacj dotyczc ewentualnego przekazywania danych do pastwa trze-ciego.

2. Administrator danych jest obowizany zgasza Generalnemu Inspektorowi ka-d zmian informacji, o ktrej mowa w ust. 1, w terminie 30 dni od dnia doko-nania zmiany w zbiorze danych, z zastrzeeniem ust. 3.

3. Jeeli zmiana informacji, o ktrej mowa w ust. 1 pkt 3a, dotyczy rozszerzenia zakresu przetwarzanych danych o dane, o ktrych mowa w art. 27 ust. 1, admi-nistrator danych jest obowizany do jej zgoszenia przed dokonaniem zmiany w zbiorze.

4. Do zgaszania zmian stosuje si odpowiednio przepisy o rejestracji zbiorw da-nych.

Art. 42.

1. Generalny Inspektor prowadzi oglnokrajowy, jawny rejestr zbiorw danych osobowych. Rejestr powinien zawiera informacje, o ktrych mowa w art. 41 ust. 1 pkt 1-4a i 7.

2. Kady ma prawo przeglda rejestr, o ktrym mowa w ust. 1. 3. Na danie administratora danych moe by wydane zawiadczenie o zareje-

strowaniu zgoszonego przez niego zbioru danych, z zastrzeeniem ust. 4. 4. Generalny Inspektor wydaje administratorowi danych, o ktrych mowa w art. 27

ust. 1, zawiadczenie o zarejestrowaniu zbioru danych niezwocznie po dokona-niu rejestracji.

Art. 43.

1. Z obowizku rejestracji zbioru danych zwolnieni s administratorzy danych: 1) zawierajcych informacje niejawne,

1a) ktre zostay uzyskane w wyniku czynnoci operacyjno-rozpoznawczych przez funkcjonariuszy organw uprawnionych do tych czynnoci,


2012-01-19

2) przetwarzanych przez waciwe organy dla potrzeb postpowania sdowego oraz na podstawie przepisw o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez waciwe organy na potrzeby udziau Rzeczypospoli-

tej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

2c) przetwarzanych przez waciwie organy na podstawie przepisw o wymianie informacji z organami cigania pastw czonkowskich Unii Europejskiej,

3) dotyczcych osb nalecych do kocioa lub innego zwizku wyznaniowe-go, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego ko-cioa lub zwizku wyznaniowego,

4) przetwarzanych w zwizku z zatrudnieniem u nich, wiadczeniem im usug na podstawie umw cywilnoprawnych, a take dotyczcych osb u nich zrzeszonych lub uczcych si,

5) dotyczcych osb korzystajcych z ich usug medycznych, obsugi notarial-nej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podat-kowego lub biegego rewidenta,

6) tworzonych na podstawie przepisw dotyczcych wyborw do Sejmu, Sena-tu, Parlamentu Europejskiego, rad gmin, rad powiatw i sejmikw woje-wdztw, wyborw na urzd Prezydenta Rzeczypospolitej Polskiej, na wjta, burmistrza, prezydenta miasta oraz dotyczcych referendum oglnokrajo-wego i referendum lokalnego,

7) dotyczcych osb pozbawionych wolnoci na podstawie ustawy, w zakresie niezbdnym do wykonania tymczasowego aresztowania lub kary pozbawie-nia wolnoci,

8) przetwarzanych wycznie w celu wystawienia faktury, rachunku lub pro-wadzenia sprawozdawczoci finansowej,

9) powszechnie dostpnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania

dyplomu ukoczenia szkoy wyszej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych biecych spraw ycia codziennego.

2. W odniesieniu do zbiorw, o ktrych mowa w ust. 1 pkt 1 i 3, oraz zbiorw, o ktrych mowa w ust. 1 pkt 1a, przetwarzanych przez Agencj Bezpieczestwa Wewntrznego, Agencj Wywiadu, Sub Kontrwywiadu Wojskowego, Sub Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu In-spektorowi nie przysuguj uprawnienia okrelone w art. 12 pkt 2, art. 14 pkt 1 i 3-5 oraz art. 15-18.

Art. 44.

1. Generalny Inspektor wydaje decyzj o odmowie rejestracji zbioru danych, jeeli: 1) nie zostay spenione wymogi okrelone w art. 41 ust. 1, 2) przetwarzanie danych naruszaoby zasady okrelone w art. 2328, 3) urzdzenia i systemy informatyczne suce do przetwarzania zbioru danych

zgoszonego do rejestracji nie speniaj podstawowych warunkw technicz-nych i organizacyjnych, okrelonych w przepisach, o ktrych mowa w art. 39a.


2012-01-19

2. Odmawiajc rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje:

1) ograniczenie przetwarzania wszystkich albo niektrych kategorii danych wycznie do ich przechowywania lub

2) zastosowanie innych rodkw, o ktrych mowa w art. 18 ust. 1. 3. (uchylony). 4. Administrator danych moe zgosi ponownie zbir danych do rejestracji po usu-

niciu wad, ktre byy powodem odmowy rejestracji zbioru. 5. W razie ponownego zgoszenia zbioru do rejestracji administrator danych moe

rozpocz ich przetwarzanie po zarejestrowaniu zbioru.

Art. 44a. Wykrelenie z rejestru zbiorw danych osobowych jest dokonywane, w drodze decy-zji administracyjnej, jeeli:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze, 2) rejestracji dokonano z naruszeniem prawa.


Art. 46.

1. Administrator danych moe, z zastrzeeniem ust. 2, rozpocz ich przetwarzanie w zbiorze danych po zgoszeniu tego zbioru Generalnemu Inspektorowi, chyba e ustawa zwalnia go z tego obowizku.

2. Administrator danych, o ktrych mowa w art. 27 ust. 1, moe rozpocz ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba e ustawa zwalnia go z obowizku zgoszenia zbioru do rejestracji.

Art. 46a.

Minister waciwy do spraw administracji publicznej okreli, w drodze rozporzdze-nia, wzr zgoszenia, o ktrym mowa w art. 41 ust. 1, uwzgldniajc obowizek za-mieszczenia informacji niezbdnych do stwierdzenia zgodnoci przetwarzania da-nych z wymogami ustawy.

Rozdzia 7

Przekazywanie danych osobowych do pastwa trzeciego

Art. 47. 1. Przekazanie danych osobowych do pastwa trzeciego moe nastpi, jeeli pa-

stwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony da-nych osobowych.

1a. Odpowiedni poziom ochrony danych osobowych, o ktrym mowa w ust. 1, jest oceniany z uwzgldnieniem wszystkich okolicznoci dotyczcych operacji prze-kazania danych, w szczeglnoci biorc pod uwag charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowizujce w danym


2012-01-19

pastwie trzecim oraz stosowane w tym pastwie rodki bezpieczestwa i zasa-dy zawodowe.

2. Przepisu ust. 1 nie stosuje si, gdy przesanie danych osobowych wynika z obo-wizku naoonego na administratora danych przepisami prawa lub postanowie-niami ratyfikowanej umowy midzynarodowej, gwarantujcymi odpowiedni po-ziom ochrony tych danych.

3. Administrator danych moe jednak przekaza dane osobowe do pastwa trzecie-go, jeeli:

1) osoba, ktrej dane dotycz, udzielia na to zgody na pimie, 2) przekazanie jest niezbdne do wykonania umowy pomidzy administrato-

rem danych a osob, ktrej dane dotycz, lub jest podejmowane na jej y-czenie,

3) przekazanie jest niezbdne do wykonania umowy zawartej w interesie oso-by, ktrej dane dotycz, pomidzy administratorem danych a innym pod-miotem,

4) przekazanie jest niezbdne ze wzgldu na dobro publiczne lub do wykazania zasadnoci roszcze prawnych,

5) przekazanie jest niezbdne do ochrony ywotnych interesw osoby, ktrej dane dotycz,

6) dane s oglnie dostpne.

Art. 48. W przypadkach innych ni wymienione w art. 47 ust. 2 i 3 przekazanie danych oso-bowych do pastwa trzeciego, ktre nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowizuj na terytorium Rzeczypospolitej Polskiej, moe nastpi po uzyskaniu zgody Generalnego Inspektora, pod warunkiem e administra-tor danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatnoci oraz praw i wolnoci osoby, ktrej dane dotycz.

Rozdzia 8

Przepisy karne

Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho ich przetwarzanie nie jest dopusz-

czalne albo do ktrych przetwarzania nie jest uprawniony, podlega grzywnie, ka-rze ograniczenia wolnoci albo pozbawienia wolnoci do lat 2.

2. Jeeli czyn okrelony w ust. 1 dotyczy danych ujawniajcych pochodzenie raso-we lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, danych o stanie zdrowia, kodzie genetycznym, naogach lub yciu seksualnym, sprawca podlega grzyw-nie, karze ograniczenia wolnoci albo pozbawienia wolnoci do lat 3.


2012-01-19


Art. 51.

1. Kto administrujc zbiorem danych lub bdc obowizany do ochrony danych osobowych udostpnia je lub umoliwia dostp do nich osobom nieupowanio-nym, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do lat 2.

2. Jeeli sprawca dziaa nieumylnie, podlega grzywnie, karze ograniczenia wolno-ci albo pozbawienia wolnoci do roku.

Art. 52.

Kto administrujc danymi narusza choby nieumylnie obowizek zabezpieczenia ich przed zabraniem przez osob nieuprawnion, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku.

Art. 53.

Kto bdc do tego obowizany nie zgasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku.

Art. 54. Kto administrujc zbiorem danych nie dopenia obowizku poinformowania osoby, ktrej dane dotycz, o jej prawach lub przekazania tej osobie informacji umoliwia-jcych korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku.

Art. 54a.

Kto inspektorowi udaremnia lub utrudnia wykonanie czynnoci kontrolnej, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do lat 2.

Rozdzia 9

Zmiany w przepisach obowizujcych, przepisy przejciowe i kocowe

Art. 55-60. (pominite).

Art. 61. 1. Podmioty okrelone w art. 3, prowadzce w dniu wejcia w ycie ustawy zbio-

ry danych osobowych w systemach informatycznych, maj obowizek zoenia wnioskw o zarejestrowanie tych zbiorw w trybie okrelonym w art. 41, w terminie 18 miesicy od dnia jej wejcia w ycie, chyba e ustawa zwalnia ich z tego obowizku.

2. Do czasu rejestracji zbioru danych osobowych w trybie okrelonym w art. 41, podmioty, o ktrych mowa w ust. 1, mog prowadzi te zbiory bez rejestracji.


2012-01-19

Art. 62.

Ustawa wchodzi w ycie po upywie 6 miesicy od dnia ogoszenia, z tym e: 1) art. 8-11, art. 13 i 45 wchodz w ycie po upywie 2 miesicy od dnia ogo-

szenia, 2) art. 55-59 wchodz w ycie po upywie 14 dni od dnia ogoszenia.

Documents

D20020926Lj o Ochronie Danych Osobowych