Dz.U.02.101.926 USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity) Rozdział 1 Przepisy ogólne Art. 1. 1. Kady ma prawo do ochrony dotyczcych go danych osobowych. 2. Przetwarzanie danych osobowych moe mie miejsce ze wzgldu na dobro publiczne, dobro osoby, której dane dotycz, lub dobro osób trzecich w zakresie i trybie okrelonym ustaw. Art. 2. 1. Ustawa okrela zasady postpowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe s lub mog by przetwarzane w zbiorach danych. 2. Ustaw stosuje si do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, ksigach, wykazach i w innych zbiorach ewidencyjnych. 3. W odniesieniu do zbiorów danych osobowych sporzdzanych doranie, wyłcznie ze wzgldów technicznych, szkoleniowych lub w zwizku z dydaktyk w szkołach wyszych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, maj zastosowanie jedynie przepisy rozdziału 5. Art. 3. 1. Ustaw stosuje si do organów pastwowych oraz samorzdu terytorialnego, a take do innych pastwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepastwowych realizujcych zadania publiczne. 2. Ustaw stosuje si równie do osób fizycznych i prawnych oraz jednostek organizacyjnych niemajcych osobowoci prawnej, które przetwarzaj dane w zwizku z działalnoci zarobkow, zawodow lub dla realizacji celów statutowych. 3. Ustaw stosuje si do podmiotów okrelonych w ust. 1 i 2, które maj siedzib albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, nie maj siedziby albo miejsca zamieszkania na terytorium Rzeczypospolitej Polskiej, a przetwarzaj dane przy wykorzystaniu rodków technicznych znajdujcych si na terytorium Rzeczypospolitej Polskiej. 4. Ustawy nie stosuje si do osób fizycznych, które przetwarzaj dane wyłcznie w celach osobistych lub domowych. Art. 4. Przepisów ustawy nie stosuje si, jeeli umowa midzynarodowa, której stron jest Rzeczpospolita Polska, stanowi inaczej. Art. 5. Jeeli przepisy odrbnych ustaw, które odnosz si do przetwarzania danych, przewiduj dalej idc ich ochron, ni wynika to z niniejszej ustawy, stosuje si przepisy tych ustaw. Art. 6. 1. W rozumieniu ustawy za dane osobowe uwaa si wszelkie informacje dotyczce zidentyfikowanej lub moliwej do zidentyfikowania osoby fizycznej. 2. Osob moliw do zidentyfikowania jest osoba, której tosamo mona okreli bezporednio lub porednio, w szczególnoci przez powołanie si na numer identyfikacyjny albo jeden lub kilka specyficznych czynników okrelajcych jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uwaa si za umoliwiajc okrelenie tosamoci osoby, jeeli wymagałoby to nadmiernych kosztów, czasu lub działa.
Art. 7. Ilekro w ustawie jest mowa o: 1) zbiorze danych - rozumie si przez to kady posiadajcy struktur zestaw danych o charakterze osobowym, dostpnych według okrelonych kryteriów, niezalenie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzaniu danych - rozumie si przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych, 2a) systemie informatycznym - rozumie si przez to zespół współpracujcych ze sob urzdze, programów, procedur przetwarzania informacji i narzdzi programowych zastosowanych w celu przetwarzania danych, 2b)zabezpieczeniu danych w systemie informatycznym - rozumie si przez to wdroenie i eksploatacj stosownych rodków technicznych i organizacyjnych zapewniajcych ochron danych przed ich nieuprawnionym przetwarzaniem, 3) usuwaniu danych - rozumie si przez to zniszczenie danych osobowych lub tak ich modyfikacj, która nie pozwoli na ustalenie tosamoci osoby, której dane dotycz, 4) administratorze danych - rozumie si przez to organ, instytucj, jednostk organizacyjn, podmiot lub osob, o których mowa w art. 3 ust. 1 i 2, decydujce o celach i rodkach przetwarzania danych osobowych, 5) zgodzie osoby, której dane dotycz - rozumie si przez to owiadczenie woli, którego treci jest zgoda na przetwarzanie danych osobowych tego, kto składa owiadczenie; zgoda nie moe by domniemana lub dorozumiana z owiadczenia woli o innej treci. Rozdział 2 Organ ochrony danych osobowych Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej "Generalnym Inspektorem". 2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgod Senatu. 3. Na stanowisko Generalnego Inspektora moe by powołany ten, kto łcznie spełnia nastpujce warunki: 1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej, 2) wyrónia si wysokim autorytetem moralnym, 3) posiada wysze wykształcenie prawnicze oraz odpowiednie dowiadczenie zawodowe, 4) nie był karany za przestpstwo. 4. Generalny Inspektor w zakresie wykonywania swoich zada podlega tylko ustawie. 5. Kadencja Generalnego Inspektora trwa 4 lata, liczc od dnia złoenia lubowania. Po upływie kadencji Generalny Inspektor pełni swoje obowizki do czasu objcia stanowiska przez nowego Generalnego Inspektora. 6. Ta sama osoba nie moe by Generalnym Inspektorem wicej ni przez dwie kadencje. 7. Kadencja Generalnego Inspektora wygasa z chwil jego mierci, odwołania lub utraty obywatelstwa polskiego. 8. Sejm, za zgod Senatu, odwołuje Generalnego Inspektora, jeeli: 1) zrzekł si stanowiska, 2) stał si trwale niezdolny do pełnienia obowizków na skutek choroby, 3) sprzeniewierzył si złoonemu lubowaniu, 4) został skazany prawomocnym wyrokiem sdu za popełnienie przestpstwa. Art. 9. Przed przystpieniem do wykonywania obowizków Generalny Inspektor składa przed Sejmem nastpujce lubowanie: "Obejmujc stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczycie lubuj dochowa wiernoci postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowizki wypełnia sumiennie i bezstronnie." lubowanie moe by złoone z dodaniem słów "Tak mi dopomó Bóg". Art. 10. 1. Generalny Inspektor nie moe zajmowa innego stanowiska, z wyjtkiem stanowiska profesora szkoły wyszej, ani wykonywa innych zaj zawodowych. 2. Generalny Inspektor nie moe nalee do partii politycznej, zwizku zawodowego ani prowadzi działalnoci publicznej niedajcej si pogodzi z godnoci jego urzdu.
Art. 11. Generalny Inspektor nie moe by bez uprzedniej zgody Sejmu pocignity do odpowiedzialnoci karnej ani pozbawiony wolnoci. Generalny Inspektor nie moe by zatrzymany lub aresztowany, z wyjtkiem ujcia go na gorcym uczynku przestpstwa i jeeli jego zatrzymanie jest niezbdne do zapewnienia prawidłowego toku postpowania. O zatrzymaniu niezwłocznie powiadamia si Marszałka Sejmu, który moe nakaza natychmiastowe zwolnienie zatrzymanego. Art. 12. Do zada Generalnego Inspektora w szczególnoci naley: 1) kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporzdze dotyczcych ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsiwzi w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie w pracach midzynarodowych organizacji i instytucji zajmujcych si problematyk ochrony danych osobowych. Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem. 2. Generalny Inspektor oraz pracownicy Biura, zwani dalej inspektorami, s obowizani zapewni ochron wiadomociom stanowicym tajemnic pastwow lub słubow, z którymi si zetknli w toku kontroli przetwarzania danych. 3. Organizacj oraz zasady działania Biura okrela statut nadany, w drodze rozporzdzenia, przez Prezydenta Rzeczypospolitej Polskiej. Art. 14. W celu wykonania zada, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor lub upowanieni przez niego inspektorzy maj w szczególnoci prawo: 1) wstpu, w godzinach od 6 do 22, za okazaniem imiennego upowanienia i legitymacji słubowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, i przeprowadzenia niezbdnych bada lub innych czynnoci kontrolnych w celu oceny zgodnoci przetwarzania danych z ustaw, 2) da złoenia pisemnych lub ustnych wyjanie oraz wzywa i przesłuchiwa osoby w zakresie niezbdnym do ustalenia stanu faktycznego, 3) da okazania dokumentów i wszelkich danych majcych bezporedni zwizek z problematyk kontroli, 4) da udostpnienia do kontroli urzdze, noników oraz systemów informatycznych słucych do przetwarzania danych, 5) zleca sporzdzanie ekspertyz i opinii. Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna bdca administratorem danych osobowych s obowizani umoliwi inspektorowi przeprowadzenie kontroli, a w szczególnoci umoliwi dokonanie czynnoci, o których mowa w art. 14 pkt 1-4. 2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzajcy kontrol ma prawo wgldu do zbioru zawierajcego dane osobowe jedynie za porednictwem upowanionego przedstawiciela kontrolowanej jednostki organizacyjnej. Art. 16. 1. Z czynnoci kontrolnych inspektor sporzdza protokół, którego jeden egzemplarz dorcza kontrolowanemu administratorowi danych. 2. Protokół podpisuj inspektor i kontrolowany administrator danych, który moe wnie do protokołu umotywowane zastrzeenia i uwagi. 3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiank w protokole, a odmawiajcy podpisu moe, w terminie 7 dni, przedstawi swoje stanowisko na pimie Generalnemu Inspektorowi. Art. 17. 1. Jeeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, wystpuje do Generalnego Inspektora o zastosowanie rodków, o których mowa w art. 18. 2. Na podstawie ustale kontroli inspektor moe da wszczcia postpowania dyscyplinarnego lub innego przewidzianego prawem postpowania przeciwko osobom winnym dopuszczenia do uchybie i poinformowania go, w okrelonym terminie, o wynikach tego postpowania i podjtych działaniach.
Art. 18. 1. W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzdu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególnoci: 1) usunicie uchybie, 2) uzupełnienie, uaktualnienie, sprostowanie, udostpnienie lub nieudostpnienie danych osobowych, 3) zastosowanie dodatkowych rodków zabezpieczajcych zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych za granic, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunicie danych osobowych. 2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mog ogranicza swobody działania podmiotów zgłaszajcych kandydatów lub listy kandydatów w wyborach do Sejmu, Senatu i organów samorzdu terytorialnego, pomidzy dniem zarzdzenia wyborów a dniem głosowania. 2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów okrelonych w art. 43 ust. 1 pkt 1a, nie mog nakazywa usunicia danych osobowych zebranych w toku czynnoci operacyjnorozpoznawczych prowadzonych na podstawie przepisów prawa. 3. W przypadku gdy przepisy innych ustaw reguluj odrbnie wykonywanie czynnoci, o których mowa w ust. 1, stosuje si przepisy tych ustaw. Art. 19. W razie stwierdzenia, e działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej bdcej administratorem danych wyczerpuje znamiona przestpstwa okrelonego w ustawie, Generalny Inspektor kieruje do organu powołanego do cigania przestpstw zawiadomienie o popełnieniu przestpstwa, dołczajc dowody dokumentujce podejrzenie. Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalnoci wraz z wnioskami wynikajcymi ze stanu przestrzegania przepisów o ochronie danych osobowych. Art. 21. 1. Strona moe zwróci si do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy. 2. Na decyzj Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do Naczelnego Sdu Administracyjnego. Art. 22. Postpowanie w sprawach uregulowanych w niniejszej ustawie prowadzi si według przepisów Kodeksu postpowania administracyjnego, o ile przepisy ustawy nie stanowi inaczej. Rozdział 3 Zasady przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotycz, wyrazi na to zgod, chyba e chodzi o usunicie dotyczcych jej danych, 2) zezwalaj na to przepisy prawa, 3) jest konieczne do realizacji umowy, gdy osoba, której dane dotycz, jest jej stron lub gdy jest to niezbdne do podjcia koniecznych działa przed zawarciem umowy, 4) jest niezbdne do wykonania okrelonych prawem zada realizowanych dla dobra publicznego, 5) jest niezbdne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym s przekazywane te dane - a przetwarzanie danych nie narusza praw i wolnoci osoby, której dane dotycz. 2. Zgoda, o której mowa w ust. 1 pkt 1, moe obejmowa równie przetwarzanie danych w przyszłoci, jeeli nie zmienia si cel przetwarzania. 3. Jeeli przetwarzanie danych jest niezbdne dla ochrony ywotnych interesów osoby, której dane dotycz, a spełnienie warunku okrelonego w ust. 1 pkt 1 jest niemoliwe, mona przetwarza dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody bdzie moliwe. 4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uwaa si w szczególnoci: 1) marketing bezporedni własnych produktów lub usług administratora danych, 2) dochodzenie roszcze z tytułu prowadzonej działalnoci gospodarczej.
Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotycz, administrator danych jest obowizany poinformowa t osob o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególnoci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie wgldu do swoich danych oraz ich poprawiania, 4) dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje, o jego podstawie prawnej. 2. Przepisu ust. 1 nie stosuje si, jeeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotycz, posiada informacje, o których mowa w ust. 1. Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotycz, administrator danych jest obowizany poinformowa t osob, bezporednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególnoci o odbiorcach lub kategoriach odbiorców danych, 3) ródle danych, 4) prawie wgldu do swoich danych oraz ich poprawiania, 5) o uprawnieniach wynikajcych z art. 32 ust. 1 pkt 7 i 8. 2. Przepisu ust. 1 nie stosuje si, jeeli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotycz, 2) dane przewidziane do zebrania s ogólnie dostpne, 3) dane te s niezbdne do bada naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolnoci osoby, której dane dotycz, a spełnienie wymaga okrelonych w ust. 1 wymagałoby nadmiernych nakładów lub zagraałoby realizacji celu badania, 4) administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu, 5) dane s przetwarzane przez administratora, o którym mowa w art. 3 ust. 1, na podstawie przepisów prawa, 6) osoba, której dane dotycz, posiada informacje, o których mowa w ust. 1. Art. 26. 1. Administrator danych przetwarzajcy dane powinien dołoy szczególnej starannoci w celu ochrony interesów osób, których dane dotycz, a w szczególnoci jest obowizany zapewni, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich s przetwarzane, 4) przechowywane w postaci umoliwiajcej identyfikacj osób, których dotycz, nie dłuej ni jest to niezbdne do osignicia celu przetwarzania. 2. Przetwarzanie danych w celu innym ni ten, dla którego zostały zebrane, jest dopuszczalne, jeeli nie narusza praw i wolnoci osoby, której dane dotycz, oraz nastpuje: 1) w celach bada naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygnicie indywidualnej sprawy osoby, której dane dotycz, jeeli jego tre jest wyłcznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym. 2. Przepisu ust. 1 nie stosuje si, jeeli rozstrzygnicie zostało podjte podczas zawierania lub wykonywania umowy i uwzgldnia wniosek osoby, której dane dotycz. Art. 27. 1. Zabrania si przetwarzania danych ujawniajcych pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, jak równie danych o stanie zdrowia, kodzie genetycznym, nałogach lub yciu seksualnym oraz danych dotyczcych skaza, orzecze o ukaraniu i mandatów karnych, a take innych orzecze wydanych w postpowaniu sdowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeeli:
1) osoba, której dane dotycz, wyrazi na to zgod na pimie, chyba e chodzi o usunicie dotyczcych jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotycz, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbdne do ochrony ywotnych interesów osoby, której dane dotycz, lub innej osoby, gdy osoba, której dane dotycz, nie jest fizycznie lub prawnie zdolna do wyraenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezbdne do wykonania statutowych zada kociołów i innych zwizków wyznaniowych, stowarzysze, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub zwizkowych, pod warunkiem, e przetwarzanie danych dotyczy wyłcznie członków tych organizacji lub instytucji albo osób utrzymujcych z nimi stałe kontakty w zwizku z ich działalnoci i zapewnione s pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które s niezbdne do dochodzenia praw przed sdem, 6) przetwarzanie jest niezbdne do wykonania zada administratora danych odnoszcych si do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest okrelony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, wiadczenia usług medycznych lub leczenia pacjentów przez osoby trudnice si zawodowo leczeniem lub wiadczeniem innych usług medycznych, zarzdzania udzielaniem usług medycznych i s stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomoci publicznej przez osob, której dane dotycz, 9) jest to niezbdne do prowadzenia bada naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukoczenia szkoły wyszej lub stopnia naukowego; publikowanie wyników bada naukowych nie moe nastpowa w sposób umoliwiajcy identyfikacj osób, których dane zostały przetworzone, 10)przetwarzanie danych jest prowadzone przez stron w celu realizacji praw i obowizków wynikajcych z orzeczenia wydanego w postpowaniu sdowym lub administracyjnym. Art. 28. 1. (skrelony). 2. Numery porzdkowe stosowane w ewidencji ludnoci mog zawiera tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczb kontroln. 3. Zabronione jest nadawanie ukrytych znacze elementom numerów porzdkowych w systemach ewidencjonujcych osoby fizyczne. Art. 29. 1. W przypadku udostpniania danych osobowych w celach innych ni włczenie do zbioru, administrator danych, o którym mowa w art. 3 ust. 1, udostpnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 2. Dane osobowe, z wyłczeniem danych, o których mowa w art. 27 ust. 1, mog by take udostpnione w celach innych ni włczenie do zbioru, innym osobom i podmiotom ni wymienione w ust. 1, jeeli w sposób wiarygodny uzasadni potrzeb posiadania tych danych, a ich udostpnienie nie naruszy praw i wolnoci osób, których dane dotycz. 3. Dane osobowe udostpnia si na pisemny, umotywowany wniosek, chyba e przepis innej ustawy stanowi inaczej. Wniosek powinien zawiera informacje umoliwiajce wyszukanie w zbiorze danych danych osobowych oraz wskazywa ich zakres i przeznaczenie. 4. Udostpnione dane osobowe mona wykorzysta wyłcznie zgodnie z przeznaczeniem, dla którego zostały udostpnione. Art. 30. Administrator danych odmawia udostpnienia danych osobowych ze zbioru danych podmiotom i osobom innym ni wymienione w art. 29 ust. 1, jeeli spowodowałoby to: 1) ujawnienie wiadomoci stanowicych tajemnic pastwow, 2) zagroenie dla obronnoci lub bezpieczestwa pastwa, ycia i zdrowia ludzi, mienia lub bezpieczestwa i porzdku publicznego, 3) zagroenie dla podstawowego interesu gospodarczego lub finansowego pastwa, 4) istotne naruszenie dóbr osobistych osób, których dane dotycz, lub innych osób. Art. 31. 1. Administrator danych moe powierzy innemu podmiotowi, w drodze umowy zawartej na pimie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, moe przetwarza dane wyłcznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowizany przed rozpoczciem przetwarzania danych do podjcia rodków zabezpieczajcych zbiór danych, o których mowa w art. 36-39. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialno za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłcza odpowiedzialnoci podmiotu, który zawarł umow, za przetwarzanie danych niezgodnie z t umow. Rozdział 4 Prawa osoby, której dane dotycz Art. 32. 1. Kadej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotycz, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpujcej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza si w zbiorze dane jej dotyczce, oraz podania w powszechnie zrozumiałej formie treci tych danych, 4) uzyskania informacji o ródle, z którego pochodz dane jej dotyczce, chyba e administrator danych jest zobowizany do zachowania w tym zakresie tajemnicy pastwowej, słubowej lub zawodowej, 5) uzyskania informacji o sposobie udostpniania danych, a w szczególnoci informacji o odbiorcach lub kategoriach odbiorców, którym dane te s udostpniane, 6) dania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunicia, jeeli s one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s ju zbdne do realizacji celu, dla którego zostały zebrane, 7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego dania zaprzestania przetwarzania jej danych ze wzgldu na jej szczególn sytuacj, 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarza w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, 9) wniesienia do administratora danych dania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygnitej z naruszeniem art. 26a ust. 1. 2. W przypadku wniesienia dania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbdnej zwłoki przekazuje danie Generalnemu Inspektorowi, który wydaje stosown decyzj. 3. W razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych moe jednak pozostawi w zbiorze imi lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłcznie w celu uniknicia ponownego wykorzystania danych tej osoby w celach objtych sprzeciwem. 3a. W razie wniesienia dania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zbdnej zwłoki rozpatruje spraw albo przekazuje j wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosown decyzj. 4. Jeeli dane s przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych moe odstpi od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pocigałoby to za sob nakłady niewspółmierne z zamierzonym celem. 5. Osoba zainteresowana moe skorzysta z prawa do informacji, o których mowa w ust. 1 pkt 1-5, nie czciej ni raz na 6 miesicy. Art. 33. 1. Na wniosek osoby, której dane dotycz, administrator danych jest obowizany, w terminie 30 dni, poinformowa o przysługujcych jej prawach, a zwłaszcza wskaza w formie zrozumiałej odnonie danych osobowych jej dotyczcych: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane s przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostpnione. 2. Na wniosek osoby, której dane dotycz, informacji, o których mowa w ust. 1, udziela si na pimie. 30. Art. 34. W sprawach informowania i udostpniania danych osobie, której dane dotycz, stosuje si przepisy art. Art. 35. 1. W razie wykazania przez osob, której dane osobowe dotycz, e s one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s zbdne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowizany, bez zbdnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunicia ze zbioru, chyba e dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania okrelaj odrbne ustawy. 2. W razie niedopełnienia przez administratora danych obowizku, o którym mowa w ust. 1, osoba, której dane dotycz, moe si zwróci do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowizku. 3. Administrator danych jest obowizany poinformowa bez zbdnej zwłoki innych administratorów, którym udostpnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych. Rozdział 5 Zabezpieczenie zbiorów danych osobowych Art. 36. Administrator danych jest obowizany do zastosowania rodków technicznych i organizacyjnych zapewniajcych ochron przetwarzanych danych osobowych, a w szczególnoci powinien zabezpieczy dane przed ich udostpnieniem osobom nieupowanionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy, zmian, utrat, uszkodzeniem lub zniszczeniem. Art. 37. Do obsługi systemu informatycznego oraz urzdze wchodzcych w jego skład, słucych do przetwarzania danych, mog by dopuszczone wyłcznie osoby posiadajce upowanienie wydane przez administratora danych. Art. 38. Administrator danych przetwarzanych w systemie informatycznym jest obowizany zapewni kontrol nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu s przekazywane, zwłaszcza gdy przekazuje si je za pomoc urzdze teletransmisji danych. Art. 39. 1. Administrator danych prowadzi ewidencj osób zatrudnionych przy ich przetwarzaniu. 2. Osoby, o których mowa w ust. 1, majce dostp do danych osobowych, obowizane s do zachowania ich w tajemnicy. Obowizek ten istnieje równie po ustaniu zatrudnienia. Rozdział 6 Rejestracja zbiorów danych osobowych Art. 40. Administrator danych jest obowizany zgłosi zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjtkiem przypadków, o których mowa w art. 43 ust. 1. Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawiera: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzcego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeeli został mu nadany, oraz podstaw prawn upowaniajc do prowadzenia zbioru, 3) zakres i cel przetwarzania danych, 4) sposób zbierania oraz udostpniania danych, 4a) informacj o odbiorcach lub kategoriach odbiorców, którym dane mog by przekazywane, 5) opis rodków technicznych i organizacyjnych zastosowanych w celach okrelonych w art. 36-39, 6) informacj o sposobie wypełnienia wymaga technicznych i organizacyjnych, o których mowa w art. 45 pkt 1, 7) informacj dotyczc ewentualnego przekazywania danych za granic.
2. Administrator danych jest obowizany zgłasza Generalnemu Inspektorowi kad zmian informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Art. 42. 1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych zgłoszonych do rejestracji. Rejestr powinien zawiera informacje, o których mowa w art. 41 ust. 1, 2. Kady ma prawo przeglda rejestr, o którym mowa w ust. 1. 3. Na danie osoby zainteresowanej moe by wydane zawiadczenie o zarejestrowaniu wskazanego zbioru danych. Art. 43. 1. Z obowizku rejestracji zbioru danych zwolnieni s administratorzy danych: 1) objtych tajemnic pastwow ze wzgldu na obronno lub bezpieczestwo pastwa, ochron ycia i zdrowia ludzi, mienia lub bezpieczestwa i porzdku publicznego, 1a) które zostały uzyskane w wyniku czynnoci operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynnoci, 2) przetwarzanych przez właciwe organy dla potrzeb postpowania sdowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 3) dotyczcych członków kocioła lub innego zwizku wyznaniowego, o uregulowanej sytuacji prawnej, 4) dotyczcych osób u nich zatrudnionych, zrzeszonych lub uczcych si, 5) dotyczcych osób korzystajcych z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz ustaw o referendum i ustawy o referendum gminnym (1), 7) dotyczcych osób pozbawionych wolnoci na podstawie ustawy, w zakresie niezbdnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolnoci, 8) przetwarzanych wyłcznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczoci finansowej, 9) powszechnie dostpnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukoczenia szkoły wyszej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych biecych spraw ycia codziennego. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencj Bezpieczestwa Wewntrznego, Agencj Wywiadu oraz Wojskowe Słuby Informacyjne, Generalnemu Inspektorowi nie przysługuj uprawnienia okrelone w art. 12 pkt 2, art. 14 pkt 1, 3-5 oraz w art. 15-18. Art. 44. 1. Generalny Inspektor wydaje decyzj o odmowie rejestracji zbioru danych, jeeli: 1) nie zostały spełnione wymogi okrelone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady okrelone w art. 23-30, 3) urzdzenia i systemy informatyczne słuce do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniaj podstawowych warunków technicznych i organizacyjnych, okrelonych w przepisach, o których mowa w art. 45 pkt 1. 2. Odmawiajc rejestracji zbioru danych Generalny Inspektor nakazuje wstrzymanie dalszego przetwarzania danych w tym zbiorze lub ich usunicie. 3. Nakaz wstrzymania dalszego przetwarzania danych w zbiorze danych lub ich usunicia podlega natychmiastowemu wykonaniu. 4. Administrator danych moe zgłosi ponownie zbiór danych do rejestracji po usuniciu wad, które były powodem odmowy rejestracji zbioru. 5. W razie ponownego zgłoszenia zbioru do rejestracji administrator danych moe rozpocz ich przetwarzanie po zarejestrowaniu zbioru. Art. 45. Minister właciwy do spraw administracji okreli, w drodze rozporzdzenia: 1) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada urzdzenia i systemy informatyczne słuce do przetwarzania danych osobowych, 2) wzór wniosku, o którym mowa w art. 29 ust. 3,
3) wzór zgłoszenia, o którym mowa w art. 41 ust. 1, 4) wzór upowanienia i legitymacji słubowej, o których mowa w art. 14 pkt 1. Art. 46. Administrator danych moe rozpocz ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi do rejestracji, chyba e ustawa zwalnia go z tego obowizku. Rozdział 7 Przekazywanie danych osobowych za granic Art. 47. 1. Przekazanie danych osobowych za granic moe nastpi jedynie wtedy, gdy kraj docelowy daje gwarancje ochrony danym osobowym na swoim terytorium przynajmniej takie, jak obowizujce na terytorium Rzeczypospolitej Polskiej. 2. Przepisu ust. 1 nie stosuje si, gdy przesłanie danych osobowych wynika z obowizku nałoonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy midzynarodowej. 3. Administrator danych moe jednak przekaza dane osobowe za granic, jeeli: 1) osoba, której dane dotycz, udzieliła na to zgody na pimie, 2) przekazanie jest niezbdne do wykonania umowy pomidzy administratorem danych a osob, której dane dotycz, lub jest podejmowane na jej yczenie, 3) przekazanie jest niezbdne do wykonania umowy zawartej w interesie osoby, której dane dotycz, pomidzy administratorem danych a innym podmiotem, 4) przekazanie jest niezbdne ze wzgldu na dobro publiczne lub do wykazania zasadnoci roszcze prawnych, 5) przekazanie jest niezbdne do ochrony ywotnych interesów osoby, której dane dotycz, 6) dane s ogólnie dostpne. Art. 48. W przypadkach innych ni wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych za granic do kraju, który nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowizuj na terytorium Rzeczypospolitej Polskiej, moe mie miejsce po uzyskaniu zgody Generalnego Inspektora. Rozdział 8 Przepisy karne Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do lat 2. 2. Jeeli czyn okrelony w ust. 1 dotyczy danych ujawniajcych pochodzenie rasowe lub etniczne, pogldy polityczne, przekonania religijne lub filozoficzne, przynaleno wyznaniow, partyjn lub zwizkow, danych o stanie zdrowia, kodzie genetycznym, nałogach lub yciu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do lat 3. Art. 50. Kto administrujc zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku. Art. 51. 1. Kto administrujc zbiorem danych lub bdc obowizany do ochrony danych osobowych udostpnia je lub umoliwia dostp do nich osobom nieupowanionym, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do lat 2. 2. Jeeli sprawca działa nieumylnie, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku. Art. 52. Kto administrujc danymi narusza choby nieumylnie obowizek zabezpieczenia ich przed zabraniem przez osob nieuprawnion, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku. Art. 53. Kto bdc do tego obowizany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku.
Art. 54. Kto administrujc zbiorem danych nie dopełnia obowizku poinformowania osoby, której dane dotycz, o jej prawach lub przekazania tej osobie informacji umoliwiajcych korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolnoci albo pozbawienia wolnoci do roku. Rozdział 9 Zmiany w przepisach obowizujcych, przepisy przejciowe i kocowe Art. 55. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujcych kierownicze stanowiska pastwowe (Dz. U. Nr 20, poz. 101, z 1982 r. Nr 31, poz. 214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr 21, poz. 123, z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z 1995 r. Nr 34, poz. 163 i Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr 89, poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647 oraz z 1997 r. Nr 75, poz. 469) w art. 2 w pkt 2 po wyrazach "Rzecznika Praw Obywatelskich," dodaje si wyrazy "Generalnego Inspektora Ochrony Danych Osobowych,". Art. 56. W ustawie z dnia 16 wrzenia 1982 r. o pracownikach urzdów pastwowych (Dz. U. Nr 31, poz. 214, z 1984 r. Nr 35, poz. 187, z 1988 r. Nr 19, poz. 132, z 1989 r. Nr 4, poz. 24, Nr 34, poz. 178 i 182, z 1990 r. Nr 20, poz. 121, z 1991 r. Nr 55, poz. 234, Nr 88, poz. 400 i Nr 95, poz. 425, z 1992 r. Nr 54, poz. 254 i Nr 90, poz. 451, z 1994 r. Nr 136, poz. 704, z 1995 r. Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402 i Nr 106, poz. 496 oraz z 1997 r. Nr 98, poz. 604) wprowadza si nastpujce zmiany: (zmiany pominite). Art. 57. W ustawie z dnia 5 stycznia 1991 r. - Prawo budetowe (Dz. U. z 1993 r. Nr 72, poz. 344, z 1994 r. Nr 76, poz. 344, Nr 121, poz. 591 i Nr 133, poz. 685, z 1995 r. Nr 78, poz. 390, Nr 124, poz. 601 i Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402, Nr 106, poz. 496, Nr 132, poz. 621 i Nr 139, poz. 647 oraz z 1997 r. Nr 54, poz. 348, Nr 79, poz. 484, Nr 121, poz. 770 i Nr 123, poz. 775 i 778) w art. 31 w ust. 3 w pkt 2 po wyrazach "Najwyszej Izby Kontroli" dodaje si wyrazy ", Generalnego Inspektora Ochrony Danych Osobowych". Art. 58. W ustawie z dnia 23 grudnia 1994 r. o Najwyszej Izbie Kontroli (Dz. U. z 1995 r. Nr 13, poz. 59, z 1996 r. Nr 64, poz. 315 i Nr 89, poz. 402 oraz z 1997 r. Nr 28, poz. 153, Nr 79, poz. 484, Nr 96, poz. 589 i Nr 121, poz. 770) w art. 4 wprowadza si nastpujce zmiany: 1) w ust. 1 po wyrazach "Krajowej Rady Radiofonii i Telewizji," dodaje si wyrazy "Generalnego Inspektora Ochrony Danych Osobowych,"; 2) w ust. 2 po wyrazach "Krajowej Rady Radiofonii i Telewizji" dodaje si przecinek oraz wyrazy "Generalnego Inspektora Ochrony Danych Osobowych". Art. 59. W ustawie z dnia 23 grudnia 1994 r. o kształtowaniu rodków na wynagrodzenia w pastwowej sferze budetowej oraz o zmianie niektórych ustaw (Dz. U. z 1995 r. Nr 34, poz. 163 oraz z 1996 r. Nr 106, poz. 496 i Nr 139, poz. 647) w art. 2 w ust. 2 w pkt 1 po wyrazach "Krajowym Biurze Wyborczym" dodaje si wyrazy ", Biurze Generalnego Inspektora Ochrony Danych Osobowych." Art. 60. W ustawie z dnia 26 kwietnia 1996 r. o Słubie Wiziennej (Dz. U. Nr 61, poz. 283 i Nr 106, poz. 496 oraz z 1997 r. Nr 28, poz. 153 i Nr 88, poz. 554) dodaje si art. 23a w brzmieniu: "Art. 23a. Słuba Wizienna moe gromadzi i przetwarza informacje i dane osobowe, w tym take bez zgody osób, których dotycz, niezbdne do realizacji zada, o których mowa w art. 1 ust. 3 ustawy." Art. 61. 1. Podmioty okrelone w art. 3, prowadzce w dniu wejcia w ycie ustawy zbiory danych osobowych w systemach informatycznych, maj obowizek złoenia wniosków o zarejestrowanie tych zbiorów w trybie okrelonym w art. 41, w terminie 18 miesicy od dnia jej wejcia w ycie, chyba e ustawa zwalnia ich z tego obowizku. 2. Do czasu rejestracji zbioru danych osobowych w trybie okrelonym w art. 41, podmioty, o których mowa w ust. 1, mog prowadzi te zbiory bez rejestracji. Art. 62. Ustawa wchodzi w ycie po upływie 6 miesicy od dnia ogłoszenia, z tym e: 1) art. 8-11, art. 13 i 45 wchodz w ycie po upływie 2 miesicy od dnia ogłoszenia, 2) art. 55-59 wchodz w ycie po upływie 14 dni od dnia ogłoszenia.