ustawa o ochronie danych osobowych, bezpieczenstwo, bezpieczenstwo ekonomiczne [ Pobierz całość w formacie PDF ]
Stan prawny: 2007-06-25
Page 1 of 12
zmiany:
2004-01-01 Dz.U.2002.153.1271
art. 52
2004-03-01 Dz.U.2004.25.219
art. 181
2004-05-01 Dz.U.2004.33.285
art. 1
2006-07-24 Dz.U.2006.104.708
art. 178
2006-10-01 Dz.U.2006.104.711
art. 31
USTAWA
z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
(tekst pierwotny: Dz. U. 1997 r. Nr 133 poz. 883)
(tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926)
Rozdział 1
Przepisy ogólne
Art. 1. 1.
KaŜdy ma prawo do ochrony dotyczących go danych osobowych.
2.
Przetwarzanie danych osobowych moŜe mieć miejsce ze względu na dobro publiczne, dobro osoby,
której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.
Art. 2. 1.
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa
osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
2.
(1)
Ustawę stosuje się do przetwarzania danych osobowych:
1)
w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych,
2)
w systemach informatycznych, takŜe w przypadku przetwarzania danych poza zbiorem danych.
3.
W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów
technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyŜszych, a po ich wykorzystaniu
niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
(2)
1.
Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do
państwowych i komunalnych jednostek organizacyjnych.
2.
Ustawę stosuje się równieŜ do:
1)
podmiotów niepublicznych realizujących zadania publiczne,
2)
osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi,
jeŜeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji
celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie
trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na
terytorium Rzeczypospolitej Polskiej.
Art. 3a.
(3)
1.
Ustawy nie stosuje się do:
1)
osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
2)
podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących
środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania
danych.
2.
Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się równieŜ do prasowej
działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. Nr 5,
poz. 24, z późn. zm.) oraz do działalności literackiej lub artystycznej, chyba Ŝe wolność wyraŜania swoich
poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Art. 4.
Przepisów ustawy nie stosuje się, jeŜeli umowa międzynarodowa, której stroną jest
Rzeczpospolita Polska, stanowi inaczej.
Art. 5.
JeŜeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej
2007-07-06
Stan prawny: 2007-06-25
Page 2 of 12
idącą ich ochronę, niŜ wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.
Art. 6.
(4)
1.
W rozumieniu ustawy za dane osobowe uwaŜa się wszelkie informacje dotyczące
zidentyfikowanej lub moŜliwej do zidentyfikowania osoby fizycznej.
2.
Osobą moŜliwą do zidentyfikowania jest osoba, której toŜsamość moŜna określić bezpośrednio lub
pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych
czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub
społeczne.
3.
Informacji nie uwaŜa się za umoŜliwiającą określenie toŜsamości osoby, jeŜeli wymagałoby to
nadmiernych kosztów, czasu lub działań.
Art. 7.
Ilekroć w ustawie jest mowa o:
1)
zbiorze danych - rozumie się przez to kaŜdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezaleŜnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie,
2)
przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
2a)
(5)
systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych,
2b)
(6)
zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdroŜenie i
eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych
przed ich nieuprawnionym przetwarzaniem,
3)
usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację,
która nie pozwoli na ustalenie toŜsamości osoby, której dane dotyczą,
4)
(7)
administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę,
o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,
5)
zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest
zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie moŜe być
domniemana lub dorozumiana z oświadczenia woli o innej treści,
6)
(8)
odbiorcy danych - rozumie się przez to kaŜdego, komu udostępnia się dane osobowe, z
wyłączeniem:
a)
osoby, której dane dotyczą,
b)
osoby upowaŜnionej do przetwarzania danych,
c)
przedstawiciela, o którym mowa w art. 31a,
d)
podmiotu, o którym mowa w art. 31,
e)
organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w
związku z prowadzonym postępowaniem,
7)
(9)
państwie trzecim - rozumie się przez to państwo nienaleŜące do Europejskiego Obszaru
Gospodarczego.
Rozdział 2
Organ ochrony danych osobowych
Art. 8.
(10)
1.
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych
Osobowych, zwany dalej
„Generalnym Inspektorem”
.
2.
Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
3.
Na stanowisko Generalnego Inspektora moŜe być powołany ten, kto łącznie spełnia następujące
warunki:
1)
jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
2)
wyróŜnia się wysokim autorytetem moralnym,
3)
posiada wyŜsze wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,
4)
nie był karany za przestępstwo.
4.
Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie.
5.
Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złoŜenia ślubowania. Po upływie
kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska przez nowego
Generalnego Inspektora.
6.
Ta sama osoba nie moŜe być Generalnym Inspektorem więcej niŜ przez dwie kadencje.
7.
Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa
polskiego.
2007-07-06
Stan prawny: 2007-06-25
Page 3 of 12
8.
Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeŜeli:
1)
zrzekł się stanowiska,
2)
stał się trwale niezdolny do pełnienia obowiązków na skutek choroby,
3)
sprzeniewierzył się złoŜonemu ślubowaniu,
4)
został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.
Art. 9.
(11)
Przed przystąpieniem do wykonywania obowiązków Generalny Inspektor składa przed
Sejmem następujące ślubowanie:
„Obejmuj
ą
c stanowisko Generalnego Inspektora Ochrony Danych
Osobowych uroczy
ś
cie
ś
lubuj
ę
dochowa
ć
wierno
ś
ci postanowieniom Konstytucji Rzeczypospolitej Polskiej,
strzec prawa do ochrony danych osobowych, a powierzone mi obowi
ą
zki wypełnia
ć
sumiennie i
bezstronnie.”
Ślubowanie moŜe być złoŜone z dodaniem słów
„Tak mi dopomó
Ŝ
Bóg”
.
Art. 10.
(12)
1.
Generalny Inspektor nie moŜe zajmować innego stanowiska, z wyjątkiem stanowiska
profesora szkoły wyŜszej, ani wykonywać innych zajęć zawodowych.
2.
Generalny Inspektor nie moŜe naleŜeć do partii politycznej, związku zawodowego ani prowadzić
działalności publicznej niedającej się pogodzić z godnością jego urzędu.
Art. 11.
(13)
Generalny Inspektor nie moŜe być bez uprzedniej zgody Sejmu pociągnięty do
odpowiedzialności karnej ani pozbawiony wolności. Generalny Inspektor nie moŜe być zatrzymany lub
aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeŜeli jego zatrzymanie jest
niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się
Marszałka Sejmu, który moŜe nakazać natychmiastowe zwolnienie zatrzymanego.
Art. 12.
Do zadań Generalnego Inspektora w szczególności naleŜy:
1)
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2)
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o
ochronie danych osobowych,
3)
prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
4)
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5)
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
6)
uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką
ochrony danych osobowych.
Art. 12a.
(14)
1.
Na wniosek Generalnego Inspektora Marszałek Sejmu moŜe powołać zastępcę
Generalnego Inspektora. Odwołanie zastępcy Generalnego Inspektora następuje w tym samym trybie.
2.
Generalny Inspektor określa zakres zadań swojego zastępcy.
3.
Zastępca Generalnego Inspektora powinien spełniać wymogi określone w art. 8 ust. 3 pkt 1, 2 i 4
oraz posiadać wyŜsze wykształcenie i odpowiednie doświadczenie zawodowe.
Art. 13.
(15)
1.
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego
Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
2.
(16)
3.
Organizację oraz zasady działania Biura określa statut nadany, w drodze rozporządzania, przez
Prezydenta Rzeczypospolitej Polskiej.
Art. 14.
(17)
W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor,
zastępca Generalnego Inspektora lub upowaŜnieni przez niego pracownicy Biura, zwani dalej
„inspektorami”
, mają prawo:
1)
wstępu, w godzinach od 6°° do 22°°, za okazaniem imienn ego upowaŜnienia i legitymacji słuŜbowej,
do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym
przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych
czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
2)
Ŝądać złoŜenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie
niezbędnym do ustalenia stanu faktycznego,
3)
wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem
kontroli oraz sporządzania ich kopii,
4)
przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych słuŜących do
przetwarzania danych,
5)
zlecać sporządzanie ekspertyz i opinii.
2007-07-06
Stan prawny: 2007-06-25
Page 4 of 12
Art. 15. 1.
(18)
Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna
będąca administratorem danych osobowych są obowiązani umoŜliwić inspektorowi przeprowadzenie
kontroli, a w szczególności umoŜliwić przeprowadzenie czynności oraz spełnić Ŝądania, o których mowa w
art. 14 pkt 1-4.
2.
(19)
W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający
kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem
upowaŜnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
Art. 16. 1.
Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza
kontrolowanemu administratorowi danych.
2.
Protokół podpisują inspektor i kontrolowany administrator danych, który moŜe wnieść do protokołu
umotywowane zastrzeŜenia i uwagi.
3.
W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni
o tym wzmiankę w protokole, a odmawiający podpisu moŜe, w terminie 7 dni, przedstawić swoje stanowisko
na piśmie Generalnemu Inspektorowi.
Art. 17. 1.
JeŜeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie
danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o których mowa w art.
18.
2.
Na podstawie ustaleń kontroli inspektor moŜe Ŝądać wszczęcia postępowania dyscyplinarnego lub
innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i
poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Art. 18. 1.
(20)
W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor
z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie
stanu zgodnego z prawem, a w szczególności:
1)
usunięcie uchybień,
2)
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3)
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4)
wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5)
zabezpieczenie danych lub przekazanie ich innym podmiotom,
6)
usunięcie danych osobowych.
2.
(21)
Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody
działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta
Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a takŜe w
wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.
2a.
(22)
Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów
określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku
czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
3.
W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa
w ust. 1, stosuje się przepisy tych ustaw.
Art. 19.
W razie stwierdzenia, Ŝe działanie lub zaniechanie kierownika jednostki organizacyjnej, jej
pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa
określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw
zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Art. 20.
Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności wraz z
wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych.
Art. 21. 1.
Strona moŜe zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie
sprawy.
2.
(23)
Na decyzję Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy
stronie przysługuje skarga do sądu administracyjnego.
Art. 22.
Postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów
Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej.
Art. 22a.
(24)
Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia,
wzór upowaŜnienia i legitymacji słuŜbowej, o których mowa w art. 14 pkt 1, uwzględniając konieczność
imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
2007-07-06
Stan prawny: 2007-06-25
Page 5 of 12
Rozdział 3
Zasady przetwarzania danych osobowych
Art. 23. 1.
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1)
osoba, której dane dotyczą, wyrazi na to zgodę, chyba Ŝe chodzi o usunięcie dotyczących jej
danych,
2)
(25)
jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z
przepisu prawa,
3)
(26)
jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest
to niezbędne do podjęcia działań przed zawarciem umowy na Ŝądanie osoby, której dane dotyczą,
4)
jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5)
(27)
jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez
administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby,
której dane dotyczą.
2.
Zgoda, o której mowa w ust. 1 pkt 1, moŜe obejmować równieŜ przetwarzanie danych w przyszłości,
jeŜeli nie zmienia się cel przetwarzania.
3.
JeŜeli przetwarzanie danych jest niezbędne dla ochrony Ŝywotnych interesów osoby, której dane
dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemoŜliwe, moŜna przetwarzać dane bez
zgody tej osoby, do czasu, gdy uzyskanie zgody będzie moŜliwe.
4.
(28)
Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uwaŜa się w szczególności:
1)
marketing bezpośredni własnych produktów lub usług administratora danych,
2)
dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Art. 24. 1.
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator
danych jest obowiązany poinformować tę osobę o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba
fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub
przewidywanych odbiorcach lub kategoriach odbiorców danych,
3)
(29)
prawie dostępu do treści swoich danych oraz ich poprawiania,
4)
dobrowolności albo obowiązku podania danych, a jeŜeli taki obowiązek istnieje, o jego podstawie
prawnej.
2.
(30)
Przepisu ust. 1 nie stosuje się, jeŜeli:
1)
przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich
zbierania,
2)
osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art. 25. 1.
W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator
danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1)
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba
fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2)
celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3)
źródle danych,
4)
(31)
prawie dostępu do treści swoich danych oraz ich poprawiania,
5)
uprawnieniach wynikających z art. 32 ust. 1 pkt 7 8.
2.
Przepisu ust. 1 nie stosuje się, jeŜeli:
1)
przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby,
której dane dotyczą,
2)
(32)
3)
dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub
badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane
dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub
zagraŜałoby realizacji celu badania,
4)
(33)
5)
(34)
dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 ust. 2 pkt 1, na
podstawie przepisów prawa,
6)
(35)
osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art. 26. 1.
Administrator danych przetwarzający dane powinien dołoŜyć szczególnej staranności w celu
2007-07-06
[ Pobierz całość w formacie PDF ]