ustawa z dn. 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób ... [ Pobierz całość w formacie PDF ]
285
USTAWA
z dnia 22 stycznia 2004 r.
o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujàcych
kierownicze stanowiska paƒstwowe
Art. 1.
W ustawie z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101,
poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25,
poz. 219) wprowadza si´ nast´pujàce zmiany:
2) w systemach informatycznych, tak˝e w przy-
padku przetwarzania danych poza zbiorem
danych.”;
2) art. 3 otrzymuje brzmienie:
„Art. 3. 1. Ustaw´ stosuje si´ do organów paƒ-
stwowych, organów samorzàdu teryto-
rialnego oraz do paƒstwowych i komu-
nalnych jednostek organizacyjnych.
2. Ustaw´ stosuje si´ równie˝ do:
1) podmiotów niepublicznych realizujà-
cych zadania publiczne,
1) w art. 2 ust. 2 otrzymuje brzmienie:
„2. Ustaw´ stosuje si´ do przetwarzania danych
osobowych:
1) w kartotekach, skorowidzach, ksi´gach,
wykazach i w innych zbiorach ewidencyj-
nych,
Dziennik Ustaw Nr 33
— 1746 —
Poz. 285
2) osób fizycznych i osób prawnych
oraz jednostek organizacyjnych nie-
b´dàcych osobami prawnymi, je˝eli
przetwarzajà dane osobowe w zwiàz-
ku z dzia∏alnoÊcià zarobkowà, zawo-
dowà lub dla realizacji celów statuto-
wych
— które majà siedzib´ albo miejsce za-
mieszkania na terytorium Rzeczypospo-
litej Polskiej, albo w paƒstwie trzecim,
o ile przetwarzajà dane osobowe przy
wykorzystaniu Êrodków technicznych
znajdujàcych si´ na terytorium Rzeczy-
pospolitej Polskiej.”;
„6) odbiorcy danych — rozumie si´ przez to ka˝-
dego, komu udost´pnia si´ dane osobowe,
z wy∏àczeniem:
a) osoby, której dane dotyczà,
b) osoby upowa˝nionej do przetwarzania
danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów paƒstwowych lub organów sa-
morzàdu terytorialnego, którym dane sà
udost´pniane w zwiàzku z prowadzonym
post´powaniem,
7) paƒstwie trzecim — rozumie si´ przez to
paƒstwo nienale˝àce do Europejskiego Ob-
szaru Gospodarczego.”;
3) dodaje si´ art. 3a w brzmieniu:
„Art. 3a. 1. Ustawy nie stosuje si´ do:
1) osób fizycznych, które przetwarzajà
dane wy∏àcznie w celach osobistych
lub domowych,
2) podmiotów majàcych siedzib´ lub
miejsce zamieszkania w paƒstwie
trzecim, wykorzystujàcych Êrodki
techniczne znajdujàce si´ na tery-
torium Rzeczypospolitej Polskiej
wy∏àcznie do przekazywania da-
nych.
2. Ustawy, z wyjàtkiem przepisów
art. 14—19 i art. 36 ust. 1, nie stosuje
si´ równie˝ do prasowej dzia∏alnoÊci
dziennikarskiej w rozumieniu ustawy
z dnia 26 stycznia 1984 r. — Prawo pra-
sowe (Dz. U. Nr 5, poz. 24, z póên.
zm.
1)
) oraz do dzia∏alnoÊci literackiej
lub artystycznej, chyba ˝e wolnoÊç wy-
ra˝ania swoich poglàdów i rozpo-
wszechniania informacji istotnie naru-
sza prawa i wolnoÊci osoby, której da-
ne dotyczà.”;
5) dodaje si´ art. 12a w brzmieniu:
„Art. 12a. 1. Na wniosek Generalnego Inspektora
Marsza∏ek Sejmu mo˝e powo∏aç za-
st´pc´ Generalnego Inspektora. Od-
wo∏anie zast´pcy Generalnego In-
spektora nast´puje w tym samym try-
bie.
2. Generalny Inspektor okreÊla zakres
zadaƒ swojego zast´pcy.
3. Zast´pca Generalnego Inspektora po-
winien spe∏niaç wymogi okreÊlone
w art. 8 ust. 3 pkt 1, 2 i 4 oraz posia-
daç wy˝sze wykszta∏cenie i odpo-
wiednie doÊwiadczenie zawodowe.”;
6) w art. 13 uchyla si´ ust. 2;
7) art. 14 otrzymuje brzmienie:
„Art. 14. W celu wykonania zadaƒ, o których mo-
wa w art. 12 pkt 1 i 2, Generalny Inspek-
tor, zast´pca Generalnego Inspektora lub
upowa˝nieni przez niego pracownicy
Biura, zwani dalej „inspektorami”, majà
prawo:
1) wst´pu, w godzinach od 6
00
do 22
00
, za
okazaniem imiennego upowa˝nienia
i legitymacji s∏u˝bowej, do pomiesz-
czenia, w którym zlokalizowany jest
zbiór danych, oraz pomieszczenia,
w którym przetwarzane sà dane poza
zbiorem danych, i przeprowadzenia
niezb´dnych badaƒ lub innych czyn-
noÊci kontrolnych w celu oceny zgod-
noÊci przetwarzania danych z ustawà,
2) ˝àdaç z∏o˝enia pisemnych lub ustnych
wyjaÊnieƒ oraz wzywaç i przes∏uchi-
waç osoby w zakresie niezb´dnym do
ustalenia stanu faktycznego,
4) w art. 7:
a) pkt 4 otrzymuje brzmienie:
„4) administratorze danych — rozumie si´ przez
to organ, jednostk´ organizacyjnà, podmiot
lub osob´, o których mowa w art. 3, decydu-
jàce o celach i Êrodkach przetwarzania da-
nych osobowych,”,
b) w pkt 5 kropk´ zast´puje si´ przecinkiem i doda-
je si´ pkt 6 i 7 w brzmieniu:
———————
1)
Zmiany wymienionej ustawy zosta∏y og∏oszone w Dz. U.
z 1988 r. Nr 41, poz. 324, z 1989 r. Nr 34, poz. 187, z 1990 r.
Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114,
poz. 542, z 1997 r. Nr 88, poz. 554 i Nr 121, poz. 770,
z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198 oraz
z 2002 r. Nr 153, poz. 1271.
Dziennik Ustaw Nr 33
— 1747 —
Poz. 285
3) wglàdu do wszelkich dokumentów
i wszelkich danych majàcych bezpo-
Êredni zwiàzek z przedmiotem kontroli
oraz sporzàdzania ich kopii,
4) przeprowadzania ogl´dzin urzàdzeƒ,
noÊników oraz systemów informatycz-
nych s∏u˝àcych do przetwarzania da-
nych,
5) zlecaç sporzàdzanie ekspertyz i opi-
nii.”;
lub gdy jest to niezb´dne do podj´cia dzia-
∏aƒ przed zawarciem umowy na ˝àdanie
osoby, której dane dotyczà,”,
b) pkt 5 otrzymuje brzmienie:
„5) jest to niezb´dne dla wype∏nienia prawnie
usprawiedliwionych celów realizowanych
przez administratorów danych albo odbior-
ców danych, a przetwarzanie nie narusza
praw i wolnoÊci osoby, której dane doty-
czà.”;
8) w art. 15 ust. 1 otrzymuje brzmienie:
12) w art. 24 w ust. 1 pkt 3 otrzymuje brzmienie:
„1. Kierownik kontrolowanej jednostki organiza-
cyjnej oraz kontrolowana osoba fizyczna b´dà-
ca administratorem danych osobowych sà
obowiàzani umo˝liwiç inspektorowi przepro-
wadzenie kontroli, a w szczególnoÊci umo˝li-
wiç przeprowadzenie czynnoÊci oraz spe∏niç
˝àdania, o których mowa w art. 14 pkt 1—4.”;
„3) prawie dost´pu do treÊci swoich danych oraz
ich poprawiania,”;
13) w art. 25:
a) w ust. 1 pkt 4 otrzymuje brzmienie:
„4) prawie dost´pu do treÊci swoich danych
oraz ich poprawiania,”,
9) w art. 18 ust. 1 otrzymuje brzmienie:
b) w ust. 2:
— uchyla si´ pkt 2 i 4,
— pkt 5 otrzymuje brzmienie:
„5) dane sà przetwarzane przez administra-
tora, o którym mowa w art. 3 ust. 1
i ust. 2 pkt 1, na podstawie przepisów
prawa,”;
„1. W przypadku naruszenia przepisów o ochronie
danych osobowych Generalny Inspektor
z urz´du lub na wniosek osoby zainteresowa-
nej, w drodze decyzji administracyjnej, nakazu-
je przywrócenie stanu zgodnego z prawem,
a w szczególnoÊci:
1) usuni´cie uchybieƒ,
2) uzupe∏nienie, uaktualnienie, sprostowanie,
udost´pnienie lub nieudost´pnienie danych
osobowych,
3) zastosowanie dodatkowych Êrodków zabez-
pieczajàcych zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobo-
wych do paƒstwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich
innym podmiotom,
6) usuni´cie danych osobowych.”;
14) w art. 29 ust. 1 otrzymuje brzmienie:
„1. W przypadku udost´pniania danych osobo-
wych w celach innych ni˝ w∏àczenie do zbioru,
administrator danych udost´pnia posiadane
w zbiorze dane osobom lub podmiotom
uprawnionym do ich otrzymania na mocy
przepisów prawa.”;
15) w art. 30 pkt 2 otrzymuje brzmienie:
„2) zagro˝enie dla obronnoÊci lub bezpieczeƒstwa
paƒstwa, ˝ycia i zdrowia ludzi lub bezpieczeƒ-
stwa i porzàdku publicznego,”;
10) dodaje si´ art. 22a w brzmieniu:
„Art. 22a. Minister w∏aÊciwy do spraw administra-
cji publicznej okreÊli, w drodze rozpo-
rzàdzenia, wzór upowa˝nienia i legity-
macji s∏u˝bowej, o których mowa
w art. 14 pkt 1, uwzgl´dniajàc koniecz-
noÊç imiennego wskazania inspektora
Biura Generalnego Inspektora Ochrony
Danych Osobowych.”;
16) w art. 31:
a) ust. 3 otrzymuje brzmienie:
„3. Podmiot, o którym mowa w ust. 1, jest obo-
wiàzany przed rozpocz´ciem przetwarzania
danych podjàç Êrodki zabezpieczajàce zbiór
danych, o których mowa w art. 36—39, oraz
spe∏niç wymagania okreÊlone w przepisach,
o których mowa w art. 39a. W zakresie prze-
strzegania tych przepisów podmiot ponosi
odpowiedzialnoÊç jak administrator da-
nych.”,
11) w art. 23 w ust. 1:
a) pkt 2 i 3 otrzymujà brzmienie:
„2) jest to niezb´dne dla zrealizowania upraw-
nienia lub spe∏nienia obowiàzku wynikajà-
cego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy
osoba, której dane dotyczà, jest jej stronà
b) dodaje si´ ust. 5 w brzmieniu:
„5. Do kontroli zgodnoÊci przetwarzania danych
przez podmiot, o którym mowa w ust. 1,
Dziennik Ustaw Nr 33
— 1748 —
Poz. 285
z przepisami o ochronie danych osobo-
wych stosuje si´ odpowiednio przepisy
art. 14—19.”;
Art. 38. Administrator danych jest obowiàzany za-
pewniç kontrol´ nad tym, jakie dane oso-
bowe, kiedy i przez kogo zosta∏y do zbioru
wprowadzone oraz komu sà przekazywa-
ne.
Art. 39. 1. Administrator danych prowadzi ewi-
dencj´ osób upowa˝nionych do ich
przetwarzania, która powinna zawieraç:
1) imi´ i nazwisko osoby upowa˝nionej,
2) dat´ nadania i ustania oraz zakres
upowa˝nienia do przetwarzania da-
nych osobowych,
3) identyfikator, je˝eli dane sà przetwa-
rzane w systemie informatycznym.
2. Osoby, które zosta∏y upowa˝nione do
przetwarzania danych, sà obowiàzane
zachowaç w tajemnicy te dane osobowe
oraz sposoby ich zabezpieczenia.
Art. 39a. Minister w∏aÊciwy do spraw administra-
cji publicznej w porozumieniu z mini-
strem w∏aÊciwym do spraw informatyza-
cji okreÊli, w drodze rozporzàdzenia, spo-
sób prowadzenia i zakres dokumentacji,
o której mowa w art. 36 ust. 2, oraz pod-
stawowe warunki techniczne i organiza-
cyjne, jakim powinny odpowiadaç urzà-
dzenia i systemy informatyczne s∏u˝àce
do przetwarzania danych osobowych,
uwzgl´dniajàc zapewnienie ochrony
przetwarzanych danych osobowych od-
powiedniej do zagro˝eƒ oraz kategorii
danych obj´tych ochronà, a tak˝e wyma-
gania w zakresie odnotowywania udo-
st´pniania danych osobowych i bezpie-
czeƒstwa przetwarzanych danych.”;
17) w rozdziale 3 dodaje si´ art. 31a w brzmieniu:
„Art.31a.W przypadku przetwarzania danych
osobowych przez podmioty majàce sie-
dzib´ albo miejsce zamieszkania w paƒ-
stwie trzecim, administrator danych jest
obowiàzany wyznaczyç swojego przed-
stawiciela w Rzeczypospolitej Polskiej.”;
18) w art. 32 w ust. 1 dodaje si´ pkt 5a w brzmieniu:
„5a) uzyskania informacji o przes∏ankach podj´cia
rozstrzygni´cia, o którym mowa w art. 26a
ust. 2,”;
19) w art. 33 w ust. 1 zdanie wst´pne otrzymuje
brzmienie:
„Na wniosek osoby, której dane dotyczà, admini-
strator danych jest obowiàzany, w terminie 30 dni,
poinformowaç o przys∏ugujàcych jej prawach oraz
udzieliç, odnoÊnie jej danych osobowych, in-
formacji, o których mowa w art. 32 ust. 1
pkt 1—5a, a w szczególnoÊci podaç w formie zro-
zumia∏ej:”;
20) rozdzia∏ 5 otrzymuje brzmienie:
„Rozdzia∏ 5
Zabezpieczenie danych osobowych
Art. 36. 1. Administrator danych jest obowiàzany
zastosowaç Êrodki techniczne i organi-
zacyjne zapewniajàce ochron´ przetwa-
rzanych danych osobowych odpowied-
nià do zagro˝eƒ oraz kategorii danych
obj´tych ochronà, a w szczególnoÊci
powinien zabezpieczyç dane przed ich
udost´pnieniem osobom nieupowa˝-
nionym, zabraniem przez osob´ nie-
uprawnionà, przetwarzaniem z narusze-
niem ustawy oraz zmianà, utratà, uszko-
dzeniem lub zniszczeniem.
2. Administrator danych prowadzi doku-
mentacj´ opisujàcà sposób przetwarza-
nia danych oraz Êrodki, o których mowa
w ust. 1.
3. Administrator danych wyznacza admini-
stratora bezpieczeƒstwa informacji,
nadzorujàcego przestrzeganie zasad
ochrony, o których mowa w ust. 1, chy-
ba ˝e sam wykonuje te czynnoÊci.
21) w art. 41:
a) w ust. 1:
— pkt 2 otrzymuje brzmienie:
„2)oznaczenie podmiotu prowadzàcego
zbiór i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfika-
cyjny rejestru podmiotów gospodarki
narodowej, je˝eli zosta∏ mu nadany, oraz
podstaw´ prawnà upowa˝niajàcà do
prowadzenia zbioru, a w przypadku pod-
miotu, o którym mowa w art. 31a, ozna-
czenie tego podmiotu i adres jego siedzi-
by lub miejsce zamieszkania,”,
— pkt 3 otrzymuje brzmienie:
„3) cel przetwarzania danych,”,
— dodaje si´ pkt 3a w brzmieniu:
„3a) opis kategorii osób, których dane doty-
czà, oraz zakres przetwarzanych da-
nych,”,
Art. 37. Do przetwarzania danych mogà byç do-
puszczone wy∏àcznie osoby posiadajàce
upowa˝nienie nadane przez administrato-
ra danych.
Dziennik Ustaw Nr 33
— 1749 —
Poz. 285
— pkt 6 otrzymuje brzmienie:
„6) informacj´ o sposobie wype∏nienia wa-
runków technicznych i organizacyjnych,
okreÊlonych w przepisach, o których mo-
wa w art. 39a,”,
— pkt 7 otrzymuje brzmienie:
„7)informacj´ dotyczàcà ewentualnego
przekazywania danych do paƒstwa trze-
ciego.”,
wych warunków technicznych i organizacyj-
nych, okreÊlonych w przepisach, o których
mowa w art. 39a.”,
b) ust. 2 otrzymuje brzmienie:
„2. Odmawiajàc rejestracji zbioru danych, Ge-
neralny Inspektor, w drodze decyzji admini-
stracyjnej, nakazuje:
1) ograniczenie przetwarzania wszystkich
albo niektórych kategorii danych wy∏àcz-
nie do ich przechowywania lub
2) zastosowanie innych Êrodków, o których
mowa w art. 18 ust. 1.”,
b) ust. 2 otrzymuje brzmienie:
„2. Administrator danych jest obowiàzany zg∏a-
szaç Generalnemu Inspektorowi ka˝dà zmia-
n´ informacji, o której mowa w ust. 1, w ter-
minie 30 dni od dnia dokonania zmiany
w zbiorze danych. Do zg∏aszania zmian sto-
suje si´ odpowiednio przepisy o rejestracji
zbiorów danych.”;
c) uchyla si´ ust. 3;
25) dodaje si´ art. 44a w brzmieniu:
„Art. 44a. WykreÊlenie z rejestru zbiorów danych
osobowych jest dokonywane, w drodze
decyzji administracyjnej, je˝eli:
1)zaprzestano przetwarzania danych
w zarejestrowanym zbiorze,
2) rejestracji dokonano z naruszeniem
prawa.”;
22) w art. 42:
a) ust. 1 otrzymuje brzmienie:
„1. Generalny Inspektor prowadzi ogólnokrajo-
wy, jawny rejestr zbiorów danych oso-
bowych. Rejestr powinien zawieraç infor-
macje, o których mowa w art. 41 ust. 1
pkt 1—4a i 7.”,
26) uchyla si´ art. 45;
27) art. 46 otrzymuje brzmienie:
b) ust. 3 otrzymuje brzmienie:
„3. Na ˝àdanie administratora danych mo˝e
byç wydane zaÊwiadczenie o zarejestrowa-
niu zg∏oszonego przez niego zbioru danych,
z zastrze˝eniem ust. 4.”,
„Art. 46. 1. Administrator danych mo˝e, z zastrze-
˝eniem ust. 2, rozpoczàç ich przetwa-
rzanie w zbiorze danych po zg∏oszeniu
tego zbioru Generalnemu Inspektoro-
wi, chyba ˝e ustawa zwalnia go z tego
obowiàzku.
c) dodaje si´ ust. 4 w brzmieniu:
„4. Generalny Inspektor wydaje administratoro-
wi danych, o których mowa w art. 27 ust. 1,
zaÊwiadczenie o zarejestrowaniu zbioru da-
nych niezw∏ocznie po dokonaniu rejestra-
cji.”;
2. Administrator danych, o których mo-
wa w art. 27 ust. 1, mo˝e rozpoczàç ich
przetwarzanie w zbiorze danych po za-
rejestrowaniu zbioru, chyba ˝e ustawa
zwalnia go z obowiàzku zg∏oszenia
zbioru do rejestracji.”;
23) w art. 43 w ust. 1 pkt 3 i 4 otrzymujà brzmienie:
28) w rozdziale 6 dodaje si´ art. 46a w brzmieniu:
„3) dotyczàcych osób nale˝àcych do koÊcio∏a lub
innego zwiàzku wyznaniowego, o uregulowa-
nej sytuacji prawnej, przetwarzanych na po-
trzeby tego koÊcio∏a lub zwiàzku wyznaniowe-
go,
„Art. 46a. Minister w∏aÊciwy do spraw administra-
cji publicznej okreÊli, w drodze rozpo-
rzàdzenia, wzór zg∏oszenia, o którym
mowa w art. 41 ust. 1, uwzgl´dniajàc
obowiàzek zamieszczenia informacji
niezb´dnych do stwierdzenia zgodnoÊci
przetwarzania danych z wymogami
ustawy.”;
4) przetwarzanych w zwiàzku z zatrudnieniem
u nich, Êwiadczeniem im us∏ug na podstawie
umów cywilnoprawnych, a tak˝e dotyczàcych
osób u nich zrzeszonych lub uczàcych si´,”;
29) tytu∏ rozdzia∏u 7 otrzymuje brzmienie:
24) w art. 44:
„Przekazywanie danych osobowych do paƒstwa
trzeciego”;
a) w ust. 1 pkt 3 otrzymuje brzmienie:
„3) urzàdzenia i systemy informatyczne s∏u˝àce
do przetwarzania zbioru danych zg∏oszone-
go do rejestracji nie spe∏niajà podstawo-
30) w art. 47:
a) ust. 1 otrzymuje brzmienie:
[ Pobierz całość w formacie PDF ]