Dz.U.02.101.926
2004-01-01
zm. Dz.U.02.153.1271
art.52
2004-03-01
zm. Dz.U.04.25.219
art.181
2004-05-01
zm. Dz.U.04.33.285
art.1
USTAWA
z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
(tekst jednolity)
Rozdział 1
Przepisy ogólne
Art. 1. 1. Ka
ż
dy ma prawo do ochrony dotycz
ą
cych go danych osobowych.
2. Przetwarzanie danych osobowych mo
ż
e mie
ć
miejsce ze wzgl
ę
du na dobro publiczne, dobro osoby, której
dane dotycz
ą
, lub dobro osób trzecich w zakresie i trybie okre
ś
lonym ustaw
ą
.
Art. 2. 1. Ustawa okre
ś
la zasady post
ę
powania przy przetwarzaniu danych osobowych oraz prawa osób
fizycznych, których dane osobowe s
ą
lub mog
ą
by
ć
przetwarzane w zbiorach danych.
2. Ustaw
ę
stosuje si
ę
do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, ksi
ę
gach, wykazach i w innych zbiorach ewidencyjnych,
2) w systemach informatycznych, tak
ż
e w przypadku przetwarzania danych poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporz
ą
dzanych dora
ź
nie, wył
ą
cznie ze wzgl
ę
dów technicznych,
szkoleniowych lub w zwi
ą
zku z dydaktyk
ą
w szkołach wy
ż
szych, a po ich wykorzystaniu niezwłocznie usuwanych albo
poddanych anonimizacji, maj
ą
zastosowanie jedynie przepisy rozdziału 5.
Art. 3. 1. Ustaw
ę
stosuje si
ę
do organów pa
ń
stwowych, organów samorz
ą
du terytorialnego oraz do
pa
ń
stwowych i komunalnych jednostek organizacyjnych.
2. Ustaw
ę
stosuje si
ę
równie
ż
do:
1) podmiotów niepublicznych realizuj
ą
cych zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych nieb
ę
d
ą
cych osobami prawnymi, je
ż
eli
przetwarzaj
ą
dane osobowe w zwi
ą
zku z działalno
ś
ci
ą
zarobkow
ą
, zawodow
ą
lub dla realizacji celów
statutowych
- które maj
ą
siedzib
ę
albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pa
ń
stwie trzecim, o
ile przetwarzaj
ą
dane osobowe przy wykorzystaniu
ś
rodków technicznych znajduj
ą
cych si
ę
na terytorium
Rzeczypospolitej Polskiej.
Art. 3a. 1. Ustawy nie stosuje si
ę
do:
1) osób fizycznych, które przetwarzaj
ą
dane wył
ą
cznie w celach osobistych lub domowych,
2) podmiotów maj
ą
cych siedzib
ę
lub miejsce zamieszkania w pa
ń
stwie trzecim, wykorzystuj
ą
cych
ś
rodki techniczne
znajduj
ą
ce si
ę
na terytorium Rzeczypospolitej Polskiej wył
ą
cznie do przekazywania danych.
2. Ustawy, z wyj
ą
tkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje si
ę
równie
ż
do prasowej działalno
ś
ci
dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5, poz. 24, z pó
ź
n. zm.)
oraz do działalno
ś
ci literackiej lub artystycznej, chyba
ż
e wolno
ść
wyra
ż
ania swoich pogl
ą
dów i rozpowszechniania
informacji istotnie narusza prawa i wolno
ś
ci osoby, której dane dotycz
ą
.
Art. 4. Przepisów ustawy nie stosuje si
ę
, je
ż
eli umowa mi
ę
dzynarodowa, której stron
ą
jest Rzeczpospolita
Polska, stanowi inaczej.
Art. 5. Je
ż
eli przepisy odr
ę
bnych ustaw, które odnosz
ą
si
ę
do przetwarzania danych, przewiduj
ą
dalej id
ą
c
ą
ich
ochron
ę
, ni
ż
wynika to z niniejszej ustawy, stosuje si
ę
przepisy tych ustaw.
Art. 6. 1. W rozumieniu ustawy za dane osobowe uwa
ż
a si
ę
wszelkie informacje dotycz
ą
ce zidentyfikowanej lub
mo
ż
liwej do zidentyfikowania osoby fizycznej.
2. Osob
ą
mo
ż
liw
ą
do zidentyfikowania jest osoba, której to
ż
samo
ść
mo
ż
na okre
ś
li
ć
bezpo
ś
rednio lub po
ś
rednio,
w szczególno
ś
ci przez powołanie si
ę
na numer identyfikacyjny albo jeden lub kilka specyficznych czynników
okre
ś
laj
ą
cych jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uwa
ż
a si
ę
za umo
ż
liwiaj
ą
c
ą
okre
ś
lenie to
ż
samo
ś
ci osoby, je
ż
eli wymagałoby to nadmiernych
kosztów, czasu lub działa
ń
.
Art. 7. Ilekro
ć
w ustawie jest mowa o:
1) zbiorze danych - rozumie si
ę
przez to ka
ż
dy posiadaj
ą
cy struktur
ę
zestaw danych o charakterze osobowym,
dost
ę
pnych według okre
ś
lonych kryteriów, niezale
ż
nie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie,
2) przetwarzaniu danych - rozumie si
ę
przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost
ę
pnianie i usuwanie, a zwłaszcza te,
które wykonuje si
ę
w systemach informatycznych,
2a) systemie informatycznym - rozumie si
ę
przez to zespół współpracuj
ą
cych ze sob
ą
urz
ą
dze
ń
, programów,
procedur przetwarzania informacji i narz
ę
dzi programowych zastosowanych w celu przetwarzania danych,
2b)zabezpieczeniu danych w systemie informatycznym - rozumie si
ę
przez to wdro
ż
enie i eksploatacj
ę
stosownych
ś
rodków technicznych i organizacyjnych zapewniaj
ą
cych ochron
ę
danych przed ich nieuprawnionym
przetwarzaniem,
3) usuwaniu danych - rozumie si
ę
przez to zniszczenie danych osobowych lub tak
ą
ich modyfikacj
ę
, która nie
pozwoli na ustalenie to
ż
samo
ś
ci osoby, której dane dotycz
ą
,
4) administratorze danych - rozumie si
ę
przez to organ, jednostk
ę
organizacyjn
ą
, podmiot lub osob
ę
, o których
mowa w art. 3, decyduj
ą
ce o celach i
ś
rodkach przetwarzania danych osobowych,
5) zgodzie osoby, której dane dotycz
ą
- rozumie si
ę
przez to o
ś
wiadczenie woli, którego tre
ś
ci
ą
jest zgoda na
przetwarzanie danych osobowych tego, kto składa o
ś
wiadczenie; zgoda nie mo
ż
e by
ć
domniemana lub
dorozumiana z o
ś
wiadczenia woli o innej tre
ś
ci,
6) odbiorcy danych - rozumie si
ę
przez to ka
ż
dego, komu udost
ę
pnia si
ę
dane osobowe, z wył
ą
czeniem:
a) osoby, której dane dotycz
ą
,
b) osoby upowa
ż
nionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów pa
ń
stwowych lub organów samorz
ą
du terytorialnego, którym dane s
ą
udost
ę
pniane w zwi
ą
zku z
prowadzonym post
ę
powaniem,
7) pa
ń
stwie trzecim - rozumie si
ę
przez to pa
ń
stwo nienale
żą
ce do Europejskiego Obszaru Gospodarczego.
Rozdział 2
Organ ochrony danych osobowych
Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych
Osobowych, zwany dalej "Generalnym Inspektorem".
2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgod
ą
Senatu.
3. Na stanowisko Generalnego Inspektora mo
ż
e by
ć
powołany ten, kto ł
ą
cznie spełnia nast
ę
puj
ą
ce warunki:
1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
2) wyró
ż
nia si
ę
wysokim autorytetem moralnym,
3) posiada wy
ż
sze wykształcenie prawnicze oraz odpowiednie do
ś
wiadczenie zawodowe,
4) nie był karany za przest
ę
pstwo.
4. Generalny Inspektor w zakresie wykonywania swoich zada
ń
podlega tylko ustawie.
5. Kadencja Generalnego Inspektora trwa 4 lata, licz
ą
c od dnia zło
ż
enia
ś
lubowania. Po upływie kadencji
Generalny Inspektor pełni swoje obowi
ą
zki do czasu obj
ę
cia stanowiska przez nowego Generalnego Inspektora.
6. Ta sama osoba nie mo
ż
e by
ć
Generalnym Inspektorem wi
ę
cej ni
ż
przez dwie kadencje.
7. Kadencja Generalnego Inspektora wygasa z chwil
ą
jego
ś
mierci, odwołania lub utraty obywatelstwa
polskiego.
8. Sejm, za zgod
ą
Senatu, odwołuje Generalnego Inspektora, je
ż
eli:
1) zrzekł si
ę
stanowiska,
2) stał si
ę
trwale niezdolny do pełnienia obowi
ą
zków na skutek choroby,
3) sprzeniewierzył si
ę
zło
ż
onemu
ś
lubowaniu,
4) został skazany prawomocnym wyrokiem s
ą
du za popełnienie przest
ę
pstwa.
Art. 9. Przed przyst
ą
pieniem do wykonywania obowi
ą
zków Generalny Inspektor składa przed Sejmem
nast
ę
puj
ą
ce
ś
lubowanie:
"Obejmuj
ą
c stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczy
ś
cie
ś
lubuj
ę
dochowa
ć
wierno
ś
ci postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a
powierzone mi obowi
ą
zki wypełnia
ć
sumiennie i bezstronnie."
Ś
lubowanie mo
ż
e by
ć
zło
ż
one z dodaniem słów "Tak mi dopomó
ż
Bóg".
Art. 10. 1. Generalny Inspektor nie mo
ż
e zajmowa
ć
innego stanowiska, z wyj
ą
tkiem stanowiska profesora szkoły
wy
ż
szej, ani wykonywa
ć
innych zaj
ęć
zawodowych.
2. Generalny Inspektor nie mo
ż
e nale
ż
e
ć
do partii politycznej, zwi
ą
zku zawodowego ani prowadzi
ć
działalno
ś
ci
publicznej niedaj
ą
cej si
ę
pogodzi
ć
z godno
ś
ci
ą
jego urz
ę
du.
Art. 11. Generalny Inspektor nie mo
ż
e by
ć
bez uprzedniej zgody Sejmu poci
ą
gni
ę
ty do odpowiedzialno
ś
ci karnej
ani pozbawiony wolno
ś
ci. Generalny Inspektor nie mo
ż
e by
ć
zatrzymany lub aresztowany, z wyj
ą
tkiem uj
ę
cia go na
gor
ą
cym uczynku przest
ę
pstwa i je
ż
eli jego zatrzymanie jest niezb
ę
dne do zapewnienia prawidłowego toku
post
ę
powania. O zatrzymaniu niezwłocznie powiadamia si
ę
Marszałka Sejmu, który mo
ż
e nakaza
ć
natychmiastowe
zwolnienie zatrzymanego.
Art. 12. Do zada
ń
Generalnego Inspektora w szczególno
ś
ci nale
ż
y:
1) kontrola zgodno
ś
ci przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie
danych osobowych,
3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
4) opiniowanie projektów ustaw i rozporz
ą
dze
ń
dotycz
ą
cych ochrony danych osobowych,
5) inicjowanie i podejmowanie przedsi
ę
wzi
ęć
w zakresie doskonalenia ochrony danych osobowych,
6) uczestniczenie w pracach mi
ę
dzynarodowych organizacji i instytucji zajmuj
ą
cych si
ę
problematyk
ą
ochrony
danych osobowych.
Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu mo
ż
e powoła
ć
zast
ę
pc
ę
Generalnego
Inspektora. Odwołanie zast
ę
pcy Generalnego Inspektora nast
ę
puje w tym samym trybie.
2. Generalny Inspektor okre
ś
la zakres zada
ń
swojego zast
ę
pcy.
3. Zast
ę
pca Generalnego Inspektora powinien spełnia
ć
wymogi okre
ś
lone w art. 8 ust. 3 pkt 1, 2 i 4 oraz
posiada
ć
wy
ż
sze wykształcenie i odpowiednie do
ś
wiadczenie zawodowe.
Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony
Danych Osobowych, zwanego dalej Biurem.
2. (uchylony).
3. Organizacj
ę
oraz zasady działania Biura okre
ś
la statut nadany, w drodze rozporz
ą
dzenia, przez Prezydenta
Rzeczypospolitej Polskiej.
Art. 14. W celu wykonania zada
ń
, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zast
ę
pca
Generalnego Inspektora lub upowa
ż
nieni przez niego pracownicy Biura, zwani dalej "inspektorami", maj
ą
prawo:
1) wst
ę
pu, w godzinach od 6
00
do 22
00
, za okazaniem imiennego upowa
ż
nienia i legitymacji słu
ż
bowej, do
pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane s
ą
dane
poza zbiorem danych, i przeprowadzenia niezb
ę
dnych bada
ń
lub innych czynno
ś
ci kontrolnych w celu oceny
zgodno
ś
ci przetwarzania danych z ustaw
ą
,
2)
żą
da
ć
zło
ż
enia pisemnych lub ustnych wyja
ś
nie
ń
oraz wzywa
ć
i przesłuchiwa
ć
osoby w zakresie niezb
ę
dnym do
ustalenia stanu faktycznego,
3) wgl
ą
du do wszelkich dokumentów i wszelkich danych maj
ą
cych bezpo
ś
redni zwi
ą
zek z przedmiotem kontroli
oraz sporz
ą
dzania ich kopii,
4) przeprowadzania ogl
ę
dzin urz
ą
dze
ń
, no
ś
ników oraz systemów informatycznych słu
żą
cych do przetwarzania
danych,
5) zleca
ć
sporz
ą
dzanie ekspertyz i opinii.
Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna b
ę
d
ą
ca
administratorem danych osobowych s
ą
obowi
ą
zani umo
ż
liwi
ć
inspektorowi przeprowadzenie kontroli, a w
szczególno
ś
ci umo
ż
liwi
ć
przeprowadzenie czynno
ś
ci oraz spełni
ć
żą
dania, o których mowa w art. 14 pkt 1-4.
2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzaj
ą
cy kontrol
ę
ma
prawo wgl
ą
du do zbioru zawieraj
ą
cego dane osobowe jedynie za po
ś
rednictwem upowa
ż
nionego przedstawiciela
kontrolowanej jednostki organizacyjnej.
Art. 16. 1. Z czynno
ś
ci kontrolnych inspektor sporz
ą
dza protokół, którego jeden egzemplarz dor
ę
cza
kontrolowanemu administratorowi danych.
2. Protokół podpisuj
ą
inspektor i kontrolowany administrator danych, który mo
ż
e wnie
ść
do protokołu
umotywowane zastrze
ż
enia i uwagi.
3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym
wzmiank
ę
w protokole, a odmawiaj
ą
cy podpisu mo
ż
e, w terminie 7 dni, przedstawi
ć
swoje stanowisko na pi
ś
mie
Generalnemu Inspektorowi.
Art. 17. 1. Je
ż
eli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych
osobowych, wyst
ę
puje do Generalnego Inspektora o zastosowanie
ś
rodków, o których mowa w art. 18.
2. Na podstawie ustale
ń
kontroli inspektor mo
ż
e
żą
da
ć
wszcz
ę
cia post
ę
powania dyscyplinarnego lub innego
przewidzianego prawem post
ę
powania przeciwko osobom winnym dopuszczenia do uchybie
ń
i poinformowania go, w
okre
ś
lonym terminie, o wynikach tego post
ę
powania i podj
ę
tych działaniach.
Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urz
ę
du lub
na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z
prawem, a w szczególno
ś
ci:
1) usuni
ę
cie uchybie
ń
,
2) uzupełnienie, uaktualnienie, sprostowanie, udost
ę
pnienie lub nieudost
ę
pnienie danych osobowych,
3) zastosowanie dodatkowych
ś
rodków zabezpieczaj
ą
cych zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do pa
ń
stwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usuni
ę
cie danych osobowych.
2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mog
ą
ogranicza
ć
swobody działania
podmiotów zgłaszaj
ą
cych kandydatów lub listy kandydatów w wyborach na urz
ą
d Prezydenta Rzeczypospolitej
Polskiej, do Sejmu, do Senatu i do organów samorz
ą
du terytorialnego, a tak
ż
e w wyborach do Parlamentu
Europejskiego, pomi
ę
dzy dniem zarz
ą
dzenia wyborów a dniem głosowania.
2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów okre
ś
lonych w art. 43
ust. 1 pkt 1a, nie mog
ą
nakazywa
ć
usuni
ę
cia danych osobowych zebranych w toku czynno
ś
ci operacyjno-
rozpoznawczych prowadzonych na podstawie przepisów prawa.
3. W przypadku gdy przepisy innych ustaw reguluj
ą
odr
ę
bnie wykonywanie czynno
ś
ci, o których mowa w ust. 1,
stosuje si
ę
przepisy tych ustaw.
Art. 19. W razie stwierdzenia,
ż
e działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika
lub innej osoby fizycznej b
ę
d
ą
cej administratorem danych wyczerpuje znamiona przest
ę
pstwa okre
ś
lonego w ustawie,
Generalny Inspektor kieruje do organu powołanego do
ś
cigania przest
ę
pstw zawiadomienie o popełnieniu
przest
ę
pstwa, doł
ą
czaj
ą
c dowody dokumentuj
ą
ce podejrzenie.
Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalno
ś
ci wraz z wnioskami
wynikaj
ą
cymi ze stanu przestrzegania przepisów o ochronie danych osobowych.
Art. 21. 1. Strona mo
ż
e zwróci
ć
si
ę
do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.
2. Na decyzj
ę
Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie
przysługuje skarga do s
ą
du administracyjnego.
Art. 22. Post
ę
powanie w sprawach uregulowanych w niniejszej ustawie prowadzi si
ę
według przepisów Kodeksu
post
ę
powania administracyjnego, o ile przepisy ustawy nie stanowi
ą
inaczej.
Art. 22a. Minister wła
ś
ciwy do spraw administracji publicznej okre
ś
li, w drodze rozporz
ą
dzenia, wzór
upowa
ż
nienia i legitymacji słu
ż
bowej, o których mowa w art. 14 pkt 1, uwzgl
ę
dniaj
ą
c konieczno
ść
imiennego
wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
Rozdział 3
Zasady przetwarzania danych osobowych
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotycz
ą
, wyrazi na to zgod
ę
, chyba
ż
e chodzi o usuni
ę
cie dotycz
ą
cych jej danych,
komentarze
2) jest to niezb
ę
dne dla zrealizowania uprawnienia lub spełnienia obowi
ą
zku wynikaj
ą
cego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotycz
ą
, jest jej stron
ą
lub gdy jest to niezb
ę
dne
do podj
ę
cia działa
ń
przed zawarciem umowy na
żą
danie osoby, której dane dotycz
ą
,
4) jest niezb
ę
dne do wykonania okre
ś
lonych prawem zada
ń
realizowanych dla dobra publicznego,
komentarze
5) jest to niezb
ę
dne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolno
ś
ci osoby, której dane dotycz
ą
.
2. Zgoda, o której mowa w ust. 1 pkt 1, mo
ż
e obejmowa
ć
równie
ż
przetwarzanie danych w przyszło
ś
ci, je
ż
eli nie
zmienia si
ę
cel przetwarzania.
3. Je
ż
eli przetwarzanie danych jest niezb
ę
dne dla ochrony
ż
ywotnych interesów osoby, której dane dotycz
ą
, a
spełnienie warunku okre
ś
lonego w ust. 1 pkt 1 jest niemo
ż
liwe, mo
ż
na przetwarza
ć
dane bez zgody tej osoby, do
czasu, gdy uzyskanie zgody b
ę
dzie mo
ż
liwe.
4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uwa
ż
a si
ę
w szczególno
ś
ci:
1) marketing bezpo
ś
redni własnych produktów lub usług administratora danych,
2) dochodzenie roszcze
ń
z tytułu prowadzonej działalno
ś
ci gospodarczej.
Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotycz
ą
, administrator danych jest
obowi
ą
zany poinformowa
ć
t
ę
osob
ę
o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o
miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególno
ś
ci o znanych mu w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych,
3) prawie dost
ę
pu do tre
ś
ci swoich danych oraz ich poprawiania,
4) dobrowolno
ś
ci albo obowi
ą
zku podania danych, a je
ż
eli taki obowi
ą
zek istnieje, o jego podstawie prawnej.
2. Przepisu ust. 1 nie stosuje si
ę
, je
ż
eli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
2) osoba, której dane dotycz
ą
, posiada informacje, o których mowa w ust. 1.
Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotycz
ą
, administrator danych
jest obowi
ą
zany poinformowa
ć
t
ę
osob
ę
, bezpo
ś
rednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o
miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu i zakresie zbierania danych, a w szczególno
ś
ci o odbiorcach lub kategoriach odbiorców danych,
3)
ź
ródle danych,
4) prawie dost
ę
pu do tre
ś
ci swoich danych oraz ich poprawiania,
5) o uprawnieniach wynikaj
ą
cych z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu ust. 1 nie stosuje si
ę
, je
ż
eli:
1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane
dotycz
ą
,
2) (uchylony),
3) dane te s
ą
niezb
ę
dne do bada
ń
naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii
publicznej, ich przetwarzanie nie narusza praw lub wolno
ś
ci osoby, której dane dotycz
ą
, a spełnienie wymaga
ń
okre
ś
lonych w ust. 1 wymagałoby nadmiernych nakładów lub zagra
ż
ałoby realizacji celu badania,
4) (uchylony),
5) dane s
ą
przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów
prawa,
6) osoba, której dane dotycz
ą
, posiada informacje, o których mowa w ust. 1.
Art. 26. 1. Administrator danych przetwarzaj
ą
cy dane powinien doło
ż
y
ć
szczególnej staranno
ś
ci w celu ochrony
interesów osób, których dane dotycz
ą
, a w szczególno
ś
ci jest obowi
ą
zany zapewni
ć
, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z
tymi celami, z zastrze
ż
eniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich s
ą
przetwarzane,
4) przechowywane w postaci umo
ż
liwiaj
ą
cej identyfikacj
ę
osób, których dotycz
ą
, nie dłu
ż
ej ni
ż
jest to niezb
ę
dne do
osi
ą
gni
ę
cia celu przetwarzania.
2. Przetwarzanie danych w celu innym ni
ż
ten, dla którego zostały zebrane, jest dopuszczalne, je
ż
eli nie narusza
praw i wolno
ś
ci osoby, której dane dotycz
ą
, oraz nast
ę
puje:
1) w celach bada
ń
naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25.
Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygni
ę
cie indywidualnej sprawy osoby, której dane dotycz
ą
,
je
ż
eli jego tre
ść
jest wył
ą
cznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
2. Przepisu ust. 1 nie stosuje si
ę
, je
ż
eli rozstrzygni
ę
cie zostało podj
ę
te podczas zawierania lub wykonywania
umowy i uwzgl
ę
dnia wniosek osoby, której dane dotycz
ą
.
Art. 27. 1. Zabrania si
ę
przetwarzania danych ujawniaj
ą
cych pochodzenie rasowe lub etniczne, pogl
ą
dy
polityczne, przekonania religijne lub filozoficzne, przynale
ż
no
ść
wyznaniow
ą
, partyjn
ą
lub zwi
ą
zkow
ą
, jak równie
ż
danych o stanie zdrowia, kodzie genetycznym, nałogach lub
ż
yciu seksualnym oraz danych dotycz
ą
cych skaza
ń
,
orzecze
ń
o ukaraniu i mandatów karnych, a tak
ż
e innych orzecze
ń
wydanych w post
ę
powaniu s
ą
dowym lub
administracyjnym.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, je
ż
eli:
1) osoba, której dane dotycz
ą
, wyrazi na to zgod
ę
na pi
ś
mie, chyba
ż
e chodzi o usuni
ę
cie dotycz
ą
cych jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotycz
ą
,
i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezb
ę
dne do ochrony
ż
ywotnych interesów osoby, której dane dotycz
ą
, lub
innej osoby, gdy osoba, której dane dotycz
ą
, nie jest fizycznie lub prawnie zdolna do wyra
ż
enia zgody, do czasu
ustanowienia opiekuna prawnego lub kuratora,
4) jest to niezb
ę
dne do wykonania statutowych zada
ń
ko
ś
ciołów i innych zwi
ą
zków wyznaniowych, stowarzysze
ń
,
fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych,
filozoficznych lub zwi
ą
zkowych, pod warunkiem,
ż
e przetwarzanie danych dotyczy wył
ą
cznie członków tych
organizacji lub instytucji albo osób utrzymuj
ą
cych z nimi stałe kontakty w zwi
ą
zku z ich działalno
ś
ci
ą
i
zapewnione s
ą
pełne gwarancje ochrony przetwarzanych danych,
5) przetwarzanie dotyczy danych, które s
ą
niezb
ę
dne do dochodzenia praw przed s
ą
dem,
6) przetwarzanie jest niezb
ę
dne do wykonania zada
ń
administratora danych odnosz
ą
cych si
ę
do zatrudnienia
pracowników i innych osób, a zakres przetwarzanych danych jest okre
ś
lony w ustawie,
7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,
ś
wiadczenia usług medycznych lub leczenia
pacjentów przez osoby trudni
ą
ce si
ę
zawodowo leczeniem lub
ś
wiadczeniem innych usług medycznych,
zarz
ą
dzania udzielaniem usług medycznych i s
ą
stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie dotyczy danych, które zostały podane do wiadomo
ś
ci publicznej przez osob
ę
, której dane
dotycz
ą
,
9) jest to niezb
ę
dne do prowadzenia bada
ń
naukowych, w tym do przygotowania rozprawy wymaganej do
uzyskania dyplomu uko
ń
czenia szkoły wy
ż
szej lub stopnia naukowego; publikowanie wyników bada
ń
naukowych
nie mo
ż
e nast
ę
powa
ć
w sposób umo
ż
liwiaj
ą
cy identyfikacj
ę
osób, których dane zostały przetworzone,
10)przetwarzanie danych jest prowadzone przez stron
ę
w celu realizacji praw i obowi
ą
zków wynikaj
ą
cych z
orzeczenia wydanego w post
ę
powaniu s
ą
dowym lub administracyjnym.
Art. 28. 1. (skre
ś
lony).
2. Numery porz
ą
dkowe stosowane w ewidencji ludno
ś
ci mog
ą
zawiera
ć
tylko oznaczenie płci, daty urodzenia,
numer nadania oraz liczb
ę
kontroln
ą
.
3. Zabronione jest nadawanie ukrytych znacze
ń
elementom numerów porz
ą
dkowych w systemach
ewidencjonuj
ą
cych osoby fizyczne.
Art. 29. 1. W przypadku udost
ę
pniania danych osobowych w celach innych ni
ż
wł
ą
czenie do zbioru,
administrator danych udost
ę
pnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania
na mocy przepisów prawa.
2. Dane osobowe, z wył
ą
czeniem danych, o których mowa w art. 27 ust. 1, mog
ą
by
ć
tak
ż
e udost
ę
pnione w
celach innych ni
ż
wł
ą
czenie do zbioru, innym osobom i podmiotom ni
ż
wymienione w ust. 1, je
ż
eli w sposób
wiarygodny uzasadni
ą
potrzeb
ę
posiadania tych danych, a ich udost
ę
pnienie nie naruszy praw i wolno
ś
ci osób,
których dane dotycz
ą
.
3. Dane osobowe udost
ę
pnia si
ę
na pisemny, umotywowany wniosek, chyba
ż
e przepis innej ustawy stanowi
inaczej. Wniosek powinien zawiera
ć
informacje umo
ż
liwiaj
ą
ce wyszukanie w zbiorze
żą
danych danych osobowych
oraz wskazywa
ć
ich zakres i przeznaczenie.
4. Udost
ę
pnione dane osobowe mo
ż
na wykorzysta
ć
wył
ą
cznie zgodnie z przeznaczeniem, dla którego zostały
udost
ę
pnione.
Art. 30. Administrator danych odmawia udost
ę
pnienia danych osobowych ze zbioru danych podmiotom i
osobom innym ni
ż
wymienione w art. 29 ust. 1, je
ż
eli spowodowałoby to:
1) ujawnienie wiadomo
ś
ci stanowi
ą
cych tajemnic
ę
pa
ń
stwow
ą
,
2) zagro
ż
enie dla obronno
ś
ci lub bezpiecze
ń
stwa pa
ń
stwa,
ż
ycia i zdrowia ludzi lub bezpiecze
ń
stwa i porz
ą
dku
publicznego,
3) zagro
ż
enie dla podstawowego interesu gospodarczego lub finansowego pa
ń
stwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotycz
ą
, lub innych osób.
Art. 31. 1. Administrator danych mo
ż
e powierzy
ć
innemu podmiotowi, w drodze umowy zawartej na pi
ś
mie,
przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, mo
ż
e przetwarza
ć
dane wył
ą
cznie w zakresie i celu przewidzianym w
umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowi
ą
zany przed rozpocz
ę
ciem przetwarzania danych podj
ąć
ś
rodki
zabezpieczaj
ą
ce zbiór danych, o których mowa w art. 36-39, oraz spełni
ć
wymagania okre
ś
lone w przepisach, o
których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialno
ść
jak
administrator danych.
4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialno
ść
za przestrzeganie przepisów niniejszej ustawy
spoczywa na administratorze danych, co nie wył
ą
cza odpowiedzialno
ś
ci podmiotu, który zawarł umow
ę
, za
przetwarzanie danych niezgodnie z t
ą
umow
ą
.
5. Do kontroli zgodno
ś
ci przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie
danych osobowych stosuje si
ę
odpowiednio przepisy art. 14-19.
Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty maj
ą
ce siedzib
ę
albo miejsce
zamieszkania w pa
ń
stwie trzecim, administrator danych jest obowi
ą
zany wyznaczy
ć
swojego przedstawiciela w
Rzeczypospolitej Polskiej.
Rozdział 4
Prawa osoby, której dane dotycz
ą
Art. 32. 1. Ka
ż
dej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotycz
ą
, zawartych w
zbiorach danych, a zwłaszcza prawo do:
1) uzyskania wyczerpuj
ą
cej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego
siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca
zamieszkania oraz imienia i nazwiska,
2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
3) uzyskania informacji, od kiedy przetwarza si
ę
w zbiorze dane jej dotycz
ą
ce, oraz podania w powszechnie
zrozumiałej formie tre
ś
ci tych danych,
4) uzyskania informacji o
ź
ródle, z którego pochodz
ą
dane jej dotycz
ą
ce, chyba
ż
e administrator danych jest
zobowi
ą
zany do zachowania w tym zakresie tajemnicy pa
ń
stwowej, słu
ż
bowej lub zawodowej,
5) uzyskania informacji o sposobie udost
ę
pniania danych, a w szczególno
ś
ci informacji o odbiorcach lub
kategoriach odbiorców, którym dane te s
ą
udost
ę
pniane,
5a)
uzyskania informacji o przesłankach podj
ę
cia rozstrzygni
ę
cia, o którym mowa w art. 26a ust. 2,
6)
żą
dania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich
przetwarzania lub ich usuni
ę
cia, je
ż
eli s
ą
one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z
naruszeniem ustawy albo s
ą
ju
ż
zb
ę
dne do realizacji celu, dla którego zostały zebrane,
7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego
żą
dania
zaprzestania przetwarzania jej danych ze wzgl
ę
du na jej szczególn
ą
sytuacj
ę
,
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5,
gdy administrator danych zamierza je przetwarza
ć
w celach marketingowych lub wobec przekazywania jej
danych osobowych innemu administratorowi danych,
9) wniesienia do administratora danych
żą
dania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygni
ę
tej z
naruszeniem art. 26a ust. 1.
2. W przypadku wniesienia
żą
dania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje
przetwarzania kwestionowanych danych osobowych albo bez zb
ę
dnej zwłoki przekazuje
żą
danie Generalnemu
Inspektorowi, który wydaje stosown
ą
decyzj
ę
.
3. W razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych
jest niedopuszczalne. Administrator danych mo
ż
e jednak pozostawi
ć
w zbiorze imi
ę
lub imiona i nazwisko osoby oraz
numer PESEL lub adres wył
ą
cznie w celu unikni
ę
cia ponownego wykorzystania danych tej osoby w celach obj
ę
tych
sprzeciwem.
3a. W razie wniesienia
żą
dania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zb
ę
dnej zwłoki
rozpatruje spraw
ę
albo przekazuje j
ą
wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który
wydaje stosown
ą
decyzj
ę
.
4. Je
ż
eli dane s
ą
przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub
archiwalnych, administrator danych mo
ż
e odst
ą
pi
ć
od informowania osób o przetwarzaniu ich danych w przypadkach,
gdy poci
ą
gałoby to za sob
ą
nakłady niewspółmierne z zamierzonym celem.
5. Osoba zainteresowana mo
ż
e skorzysta
ć
z prawa do informacji, o których mowa w ust. 1 pkt 1-5, nie cz
ęś
ciej
ni
ż
raz na 6 miesi
ę
cy.
Art. 33. 1. Na wniosek osoby, której dane dotycz
ą
, administrator danych jest obowi
ą
zany, w terminie 30 dni,
poinformowa
ć
o przysługuj
ą
cych jej prawach oraz udzieli
ć
, odno
ś
nie jej danych osobowych, informacji, o których
mowa w art. 32 ust. 1 pkt 1-5a, a w szczególno
ś
ci poda
ć
w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane s
ą
przetwarzane,
4) w jakim zakresie oraz komu dane zostały udost
ę
pnione.
2. Na wniosek osoby, której dane dotycz
ą
, informacji, o których mowa w ust. 1, udziela si
ę
na pi
ś
mie.
Art. 34. W sprawach informowania i udost
ę
pniania danych osobie, której dane dotycz
ą
, stosuje si
ę
przepisy art.
30.
Art. 35. 1. W razie wykazania przez osob
ę
, której dane osobowe dotycz
ą
,
ż
e s
ą
one niekompletne, nieaktualne,
nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s
ą
zb
ę
dne do realizacji celu, dla którego zostały
zebrane, administrator danych jest obowi
ą
zany, bez zb
ę
dnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania
danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usuni
ę
cia ze zbioru,
chyba
ż
e dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub
sprostowania okre
ś
laj
ą
odr
ę
bne ustawy.
2. W razie niedopełnienia przez administratora danych obowi
ą
zku, o którym mowa w ust. 1, osoba, której dane
dotycz
ą
, mo
ż
e si
ę
zwróci
ć
do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowi
ą
zku.
3. Administrator danych jest obowi
ą
zany poinformowa
ć
bez zb
ę
dnej zwłoki innych administratorów, którym
udost
ę
pnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.
Rozdział 5
(30)
Zabezpieczenie danych osobowych
Art. 36. 1. Administrator danych jest obowi
ą
zany zastosowa
ć
ś
rodki techniczne i organizacyjne zapewniaj
ą
ce
ochron
ę
przetwarzanych danych osobowych odpowiedni
ą
do zagro
ż
e
ń
oraz kategorii danych obj
ę
tych ochron
ą
, a w
szczególno
ś
ci powinien zabezpieczy
ć
dane przed ich udost
ę
pnieniem osobom nieupowa
ż
nionym, zabraniem przez
osob
ę
nieuprawnion
ą
, przetwarzaniem z naruszeniem ustawy oraz zmian
ą
, utrat
ą
, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentacj
ę
opisuj
ą
c
ą
sposób przetwarzania danych oraz
ś
rodki, o których
mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpiecze
ń
stwa informacji, nadzoruj
ą
cego przestrzeganie
zasad ochrony, o których mowa w ust. 1, chyba
ż
e sam wykonuje te czynno
ś
ci.
Art. 37. Do przetwarzania danych mog
ą
by
ć
dopuszczone wył
ą
cznie osoby posiadaj
ą
ce upowa
ż
nienie nadane
przez administratora danych.
Art. 38. Administrator danych jest obowi
ą
zany zapewni
ć
kontrol
ę
nad tym, jakie dane osobowe, kiedy i przez
kogo zostały do zbioru wprowadzone oraz komu s
ą
przekazywane.
Art. 39. 1. Administrator danych prowadzi ewidencj
ę
osób upowa
ż
nionych do ich przetwarzania, która powinna
zawiera
ć
:
1) imi
ę
i nazwisko osoby upowa
ż
nionej,
2) dat
ę
nadania i ustania oraz zakres upowa
ż
nienia do przetwarzania danych osobowych,
3) identyfikator, je
ż
eli dane s
ą
przetwarzane w systemie informatycznym.
2. Osoby, które zostały upowa
ż
nione do przetwarzania danych, s
ą
obowi
ą
zane zachowa
ć
w tajemnicy te dane
osobowe oraz sposoby ich zabezpieczenia.
Art. 39a. Minister wła
ś
ciwy do spraw administracji publicznej w porozumieniu z ministrem wła
ś
ciwym do spraw
informatyzacji okre
ś
li, w drodze rozporz
ą
dzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36
ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada
ć
urz
ą
dzenia i systemy
informatyczne słu
żą
ce do przetwarzania danych osobowych, uwzgl
ę
dniaj
ą
c zapewnienie ochrony przetwarzanych
danych osobowych odpowiedniej do zagro
ż
e
ń
oraz kategorii danych obj
ę
tych ochron
ą
, a tak
ż
e wymagania w zakresie
odnotowywania udost
ę
pniania danych osobowych i bezpiecze
ń
stwa przetwarzanych danych.
Rozdział 6
Rejestracja zbiorów danych osobowych
Art. 40. Administrator danych jest obowi
ą
zany zgłosi
ć
zbiór danych do rejestracji Generalnemu Inspektorowi, z
wyj
ą
tkiem przypadków, o których mowa w art. 43 ust. 1.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawiera
ć
:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie podmiotu prowadz
ą
cego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer
identyfikacyjny rejestru podmiotów gospodarki narodowej, je
ż
eli został mu nadany, oraz podstaw
ę
prawn
ą
upowa
ż
niaj
ą
c
ą
do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego
podmiotu i adres jego siedziby lub miejsce zamieszkania,
3) cel przetwarzania danych,
3a)
opis kategorii osób, których dane dotycz
ą
, oraz zakres przetwarzanych danych,
4) sposób zbierania oraz udost
ę
pniania danych,
4a) informacj
ę
o odbiorcach lub kategoriach odbiorców, którym dane mog
ą
by
ć
przekazywane,
5) opis
ś
rodków technicznych i organizacyjnych zastosowanych w celach okre
ś
lonych w art. 36-39,
6) informacj
ę
o sposobie wypełnienia warunków technicznych i organizacyjnych, okre
ś
lonych w przepisach, o
których mowa w art. 39a,
7) informacj
ę
dotycz
ą
c
ą
ewentualnego przekazywania danych do pa
ń
stwa trzeciego.
2. Administrator danych jest obowi
ą
zany zgłasza
ć
Generalnemu Inspektorowi ka
ż
d
ą
zmian
ę
informacji, o której
mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje si
ę
odpowiednio przepisy o rejestracji zbiorów danych.
Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr
powinien zawiera
ć
informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7.
2. Ka
ż
dy ma prawo przegl
ą
da
ć
rejestr, o którym mowa w ust. 1.
3. Na
żą
danie administratora danych mo
ż
e by
ć
wydane za
ś
wiadczenie o zarejestrowaniu zgłoszonego przez
niego zbioru danych, z zastrze
ż
eniem ust. 4.
4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1, za
ś
wiadczenie o
zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.
Art. 43. 1. Z obowi
ą
zku rejestracji zbioru danych zwolnieni s
ą
administratorzy danych:
1) obj
ę
tych tajemnic
ą
pa
ń
stwow
ą
ze wzgl
ę
du na obronno
ść
lub bezpiecze
ń
stwo pa
ń
stwa, ochron
ę
ż
ycia i zdrowia
ludzi, mienia lub bezpiecze
ń
stwa i porz
ą
dku publicznego,
1a) które zostały uzyskane w wyniku czynno
ś
ci operacyjno-rozpoznawczych przez funkcjonariuszy organów
uprawnionych do tych czynno
ś
ci,
2) przetwarzanych przez wła
ś
ciwe organy dla potrzeb post
ę
powania s
ą
dowego oraz na podstawie przepisów o
Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
3) dotycz
ą
cych osób nale
żą
cych do ko
ś
cioła lub innego zwi
ą
zku wyznaniowego, o uregulowanej sytuacji prawnej,
przetwarzanych na potrzeby tego ko
ś
cioła lub zwi
ą
zku wyznaniowego,
4) przetwarzanych w zwi
ą
zku z zatrudnieniem u nich,
ś
wiadczeniem im usług na podstawie umów
cywilnoprawnych, a tak
ż
e dotycz
ą
cych osób u nich zrzeszonych lub ucz
ą
cych si
ę
,
5) dotycz
ą
cych osób korzystaj
ą
cych z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego,
rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotycz
ą
cych wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad
gmin, rad powiatów i sejmików województw, wyborów na urz
ą
d Prezydenta Rzeczypospolitej Polskiej, na wójta,
burmistrza, prezydenta miasta oraz dotycz
ą
cych referendum ogólnokrajowego i referendum lokalnego,
7) dotycz
ą
cych osób pozbawionych wolno
ś
ci na podstawie ustawy, w zakresie niezb
ę
dnym do wykonania
tymczasowego aresztowania lub kary pozbawienia wolno
ś
ci,
8) przetwarzanych wył
ą
cznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczo
ś
ci finansowej,
9) powszechnie dost
ę
pnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu uko
ń
czenia szkoły wy
ż
szej
lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bie
żą
cych spraw
ż
ycia codziennego.
2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a,
przetwarzanych przez Agencj
ę
Bezpiecze
ń
stwa Wewn
ę
trznego, Agencj
ę
Wywiadu oraz Wojskowe Słu
ż
by
Informacyjne, Generalnemu Inspektorowi nie przysługuj
ą
uprawnienia okre
ś
lone w art. 12 pkt 2, art. 14 pkt 1, 3-5 oraz
w art. 15-18.
Art. 44. 1. Generalny Inspektor wydaje decyzj
ę
o odmowie rejestracji zbioru danych, je
ż
eli:
1) nie zostały spełnione wymogi okre
ś
lone w art. 41 ust. 1,
2) przetwarzanie danych naruszałoby zasady okre
ś
lone w art. 23-30,
3) urz
ą
dzenia i systemy informatyczne słu
żą
ce do przetwarzania zbioru danych zgłoszonego do rejestracji nie
spełniaj
ą
podstawowych warunków technicznych i organizacyjnych, okre
ś
lonych w przepisach, o których mowa
w art. 39a.
2. Odmawiaj
ą
c rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje:
1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wył
ą
cznie do ich przechowywania lub
2) zastosowanie innych
ś
rodków, o których mowa w art. 18 ust. 1.
komentarze
3. (uchylony).
4. Administrator danych mo
ż
e zgłosi
ć
ponownie zbiór danych do rejestracji po usuni
ę
ciu wad, które były
powodem odmowy rejestracji zbioru.
5. W razie ponownego zgłoszenia zbioru do rejestracji administrator danych mo
ż
e rozpocz
ąć
ich przetwarzanie
po zarejestrowaniu zbioru.
Art. 44a. Wykre
ś
lenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji
administracyjnej, je
ż
eli:
1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
2) rejestracji dokonano z naruszeniem prawa.
Art. 45. (uchylony).
Art. 46. 1. Administrator danych mo
ż
e, z zastrze
ż
eniem ust. 2, rozpocz
ąć
ich przetwarzanie w zbiorze danych
po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba
ż
e ustawa zwalnia go z tego obowi
ą
zku.
2. Administrator danych, o których mowa w art. 27 ust. 1, mo
ż
e rozpocz
ąć
ich przetwarzanie w zbiorze danych
po zarejestrowaniu zbioru, chyba
ż
e ustawa zwalnia go z obowi
ą
zku zgłoszenia zbioru do rejestracji.
Art. 46a. Minister wła
ś
ciwy do spraw administracji publicznej okre
ś
li, w drodze rozporz
ą
dzenia, wzór zgłoszenia,
o którym mowa w art. 41 ust. 1, uwzgl
ę
dniaj
ą
c obowi
ą
zek zamieszczenia informacji niezb
ę
dnych do stwierdzenia
zgodno
ś
ci przetwarzania danych z wymogami ustawy.
Rozdział 7
Przekazywanie danych osobowych do pa
ń
stwa trzeciego
(50)
Art. 47. 1. Przekazanie danych osobowych do pa
ń
stwa trzeciego mo
ż
e nast
ą
pi
ć
, je
ż
eli pa
ń
stwo docelowe daje
gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowi
ą
zuj
ą
na terytorium
Rzeczypospolitej Polskiej.
2. Przepisu ust. 1 nie stosuje si
ę
, gdy przesłanie danych osobowych wynika z obowi
ą
zku nało
ż
onego na
administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy mi
ę
dzynarodowej.
3. Administrator danych mo
ż
e jednak przekaza
ć
dane osobowe do pa
ń
stwa trzeciego, je
ż
eli:
1) osoba, której dane dotycz
ą
, udzieliła na to zgody na pi
ś
mie,
2) przekazanie jest niezb
ę
dne do wykonania umowy pomi
ę
dzy administratorem danych a osob
ą
, której dane
dotycz
ą
, lub jest podejmowane na jej
ż
yczenie,
3) przekazanie jest niezb
ę
dne do wykonania umowy zawartej w interesie osoby, której dane dotycz
ą
, pomi
ę
dzy
administratorem danych a innym podmiotem,
4) przekazanie jest niezb
ę
dne ze wzgl
ę
du na dobro publiczne lub do wykazania zasadno
ś
ci roszcze
ń
prawnych,
5) przekazanie jest niezb
ę
dne do ochrony
ż
ywotnych interesów osoby, której dane dotycz
ą
,
6) dane s
ą
ogólnie dost
ę
pne.
Art. 48. W przypadkach innych ni
ż
wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do pa
ń
stwa
trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowi
ą
zuj
ą
na terytorium
Rzeczypospolitej Polskiej, mo
ż
e nast
ą
pi
ć
po uzyskaniu zgody Generalnego Inspektora, pod warunkiem
ż
e
administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatno
ś
ci oraz praw i wolno
ś
ci
osoby, której dane dotycz
ą
.
Rozdział 8
Przepisy karne
Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho
ć
ich przetwarzanie nie jest dopuszczalne albo do
których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci
do lat 2.
2. Je
ż
eli czyn okre
ś
lony w ust. 1 dotyczy danych ujawniaj
ą
cych pochodzenie rasowe lub etniczne, pogl
ą
dy
polityczne, przekonania religijne lub filozoficzne, przynale
ż
no
ść
wyznaniow
ą
, partyjn
ą
lub zwi
ą
zkow
ą
, danych o stanie
zdrowia, kodzie genetycznym, nałogach lub
ż
yciu seksualnym, sprawca podlega grzywnie, karze ograniczenia
wolno
ś
ci albo pozbawienia wolno
ś
ci do lat 3.
Art. 50. Kto administruj
ą
c zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia
zbioru, podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do roku.
Art. 51. 1. Kto administruj
ą
c zbiorem danych lub b
ę
d
ą
c obowi
ą
zany do ochrony danych osobowych udost
ę
pnia
je lub umo
ż
liwia dost
ę
p do nich osobom nieupowa
ż
nionym, podlega grzywnie, karze ograniczenia wolno
ś
ci albo
pozbawienia wolno
ś
ci do lat 2.
2. Je
ż
eli sprawca działa nieumy
ś
lnie, podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci
do roku.
Art. 52. Kto administruj
ą
c danymi narusza cho
ć
by nieumy
ś
lnie obowi
ą
zek zabezpieczenia ich przed zabraniem
przez osob
ę
nieuprawnion
ą
, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolno
ś
ci albo
pozbawienia wolno
ś
ci do roku.
Art. 53. Kto b
ę
d
ą
c do tego obowi
ą
zany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze
ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do roku.
Art. 54. Kto administruj
ą
c zbiorem danych nie dopełnia obowi
ą
zku poinformowania osoby, której dane dotycz
ą
,
o jej prawach lub przekazania tej osobie informacji umo
ż
liwiaj
ą
cych korzystanie z praw przyznanych jej w niniejszej
ustawie, podlega grzywnie, karze ograniczenia wolno
ś
ci albo pozbawienia wolno
ś
ci do roku.
Rozdział 9
Zmiany w przepisach obowi
ą
zuj
ą
cych, przepisy przej
ś
ciowe i ko
ń
cowe
Art. 55. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmuj
ą
cych kierownicze stanowiska
pa
ń
stwowe (Dz. U. Nr 20, poz. 101, z 1982 r. Nr 31, poz. 214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr
21, poz. 123, z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z 1995 r. Nr 34, poz. 163 i
Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr 89, poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647 oraz z 1997 r. Nr 75,
poz. 469) w art. 2 w pkt 2 po wyrazach "Rzecznika Praw Obywatelskich," dodaje si
ę
wyrazy "Generalnego Inspektora
Ochrony Danych Osobowych,".
Art. 56. W ustawie z dnia 16 wrze
ś
nia 1982 r. o pracownikach urz
ę
dów pa
ń
stwowych (Dz. U. Nr 31, poz. 214, z
1984 r. Nr 35, poz. 187, z 1988 r. Nr 19, poz. 132, z 1989 r. Nr 4, poz. 24, Nr 34, poz. 178 i 182, z 1990 r. Nr 20, poz.
121, z 1991 r. Nr 55, poz. 234, Nr 88, poz. 400 i Nr 95, poz. 425, z 1992 r. Nr 54, poz. 254 i Nr 90, poz. 451, z 1994 r.
Nr 136, poz. 704, z 1995 r. Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402 i Nr 106, poz. 496 oraz z 1997 r. Nr 98, poz.
604) wprowadza si
ę
nast
ę
puj
ą
ce zmiany: (zmiany pomini
ę
te).
Art. 57. W ustawie z dnia 5 stycznia 1991 r. - Prawo bud
ż
etowe (Dz. U. z 1993 r. Nr 72, poz. 344, z 1994 r. Nr
76, poz. 344, Nr 121, poz. 591 i Nr 133, poz. 685, z 1995 r. Nr 78, poz. 390, Nr 124, poz. 601 i Nr 132, poz. 640, z
1996 r. Nr 89, poz. 402, Nr 106, poz. 496, Nr 132, poz. 621 i Nr 139, poz. 647 oraz z 1997 r. Nr 54, poz. 348, Nr 79,
poz. 484, Nr 121, poz. 770 i Nr 123, poz. 775 i 778) w art. 31 w ust. 3 w pkt 2 po wyrazach "Najwy
ż
szej Izby Kontroli"
dodaje si
ę
wyrazy ", Generalnego Inspektora Ochrony Danych Osobowych".
Art. 58. W ustawie z dnia 23 grudnia 1994 r. o Najwy
ż
szej Izbie Kontroli (Dz. U. z 1995 r. Nr 13, poz. 59, z 1996
r. Nr 64, poz. 315 i Nr 89, poz. 402 oraz z 1997 r. Nr 28, poz. 153, Nr 79, poz. 484, Nr 96, poz. 589 i Nr 121, poz. 770)
w art. 4 wprowadza si
ę
nast
ę
puj
ą
ce zmiany:
1) w ust. 1 po wyrazach "Krajowej Rady Radiofonii i Telewizji," dodaje si
ę
wyrazy "Generalnego Inspektora
Ochrony Danych Osobowych,";
2) w ust. 2 po wyrazach "Krajowej Rady Radiofonii i Telewizji" dodaje si
ę
przecinek oraz wyrazy "Generalnego
Inspektora Ochrony Danych Osobowych".
Art. 59. W ustawie z dnia 23 grudnia 1994 r. o kształtowaniu
ś
rodków na wynagrodzenia w pa
ń
stwowej sferze
bud
ż
etowej oraz o zmianie niektórych ustaw (Dz. U. z 1995 r. Nr 34, poz. 163 oraz z 1996 r. Nr 106, poz. 496 i Nr
139, poz. 647) w art. 2 w ust. 2 w pkt 1 po wyrazach "Krajowym Biurze Wyborczym" dodaje si
ę
wyrazy ", Biurze
Generalnego Inspektora Ochrony Danych Osobowych."
Art. 60. W ustawie z dnia 26 kwietnia 1996 r. o Słu
ż
bie Wi
ę
ziennej (Dz. U. Nr 61, poz. 283 i Nr 106, poz. 496
oraz z 1997 r. Nr 28, poz. 153 i Nr 88, poz. 554) dodaje si
ę
art. 23a w brzmieniu:
"Art. 23a.
Słu
ż
ba Wi
ę
zienna mo
ż
e gromadzi
ć
i przetwarza
ć
informacje i dane osobowe, w tym tak
ż
e bez
zgody osób, których dotycz
ą
, niezb
ę
dne do realizacji zada
ń
, o których mowa w art. 1 ust. 3
ustawy."
Art. 61. 1. Podmioty okre
ś
lone w art. 3, prowadz
ą
ce w dniu wej
ś
cia w
ż
ycie ustawy zbiory danych osobowych w
systemach informatycznych, maj
ą
obowi
ą
zek zło
ż
enia wniosków o zarejestrowanie tych zbiorów w trybie okre
ś
lonym
w art. 41, w terminie 18 miesi
ę
cy od dnia jej wej
ś
cia w
ż
ycie, chyba
ż
e ustawa zwalnia ich z tego obowi
ą
zku.
2. Do czasu rejestracji zbioru danych osobowych w trybie okre
ś
lonym w art. 41, podmioty, o których mowa w
ust. 1, mog
ą
prowadzi
ć
te zbiory bez rejestracji.
Art. 62. Ustawa wchodzi w
ż
ycie po upływie 6 miesi
ę
cy od dnia ogłoszenia, z tym
ż
e:
1) art. 8-11, art. 13 i 45 wchodz
ą
w
ż
ycie po upływie 2 miesi
ę
cy od dnia ogłoszenia,
2) art. 55-59 wchodz
ą
w
ż
ycie po upływie 14 dni od dnia ogłoszenia.
________
1)
Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 1988 r. Nr 41, poz. 324, z 1989 r. Nr 34, poz. 187, z
1990 r. Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114, poz. 542, z 1997 r. Nr 88, poz. 554 i Nr
121, poz. 770, z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198 oraz z 2002 r. Nr 153, poz. 1271.