USTAWA O OCHRONIE DANYCH OSOBOWYCH Dz.U.97.133.883. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z dnia 29 pa dziernika 1997 r. z pó n. zm.)

Rozdział 1 Przepisy ogólne Art. 1. 1. Ka dy ma prawo do ochrony dotycz cych go danych osobowych. 2. Przetwarzanie danych osobowych mo e mie miejsce ze wzgl du na dobro publiczne, dobro osoby, której dane dotycz , lub dobro osób trzecich w zakresie i trybie okre lonym ustaw . Art. 2. 1. Ustawa okre la zasady post powania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe s lub mog by przetwarzane w zbiorach danych. 2. Ustaw stosuje si do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, ksi gach, wykazach i w innych zbiorach ewidencyjnych. 3. W odniesieniu do zbiorów danych osobowych sporz dzanych dora nie, wył cznie ze wzgl dów technicznych, szkoleniowych lub w zwi zku z dydaktyk w szkołach wy szych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, maj zastosowanie jedynie przepisy rozdziału 5. Art. 3. 1. Ustaw stosuje si do organów pa stwowych oraz samorz du terytorialnego, a tak e do innych pa stwowych i komunalnych jednostek organizacyjnych oraz podmiotów niepa stwowych realizuj cych zadania publiczne. 2. Ustaw stosuje si równie do osób fizycznych i prawnych oraz jednostek organizacyjnych nie maj cych osobowo ci prawnej, które przetwarzaj dane w zwi zku z działalno ci zarobkow , zawodow lub dla realizacji celów statutowych. 3. Ustaw stosuje si do podmiotów okre lonych w ust. 1 i 2, które maj siedzib albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, nie maj siedziby albo miejsca zamieszkania na terytorium Rzeczypospolitej Polskiej, a przetwarzaj dane przy wykorzystaniu rodków technicznych znajduj cych si na terytorium Rzeczypospolitej Polskiej. 4. Ustawy nie stosuje si do osób fizycznych, które przetwarzaj dane wył cznie w celach osobistych lub domowych. Art. 4. Przepisów ustawy nie stosuje si , je eli umowa mi dzynarodowa, której stron jest Rzeczpospolita Polska, stanowi inaczej. Art. 5. Je eli przepisy odr bnych ustaw, które odnosz si do przetwarzania danych, przewiduj dalej id c ich ochron , ni wynika to z niniejszej ustawy, stosuje si przepisy tych ustaw. Art. 6.

W rozumieniu ustawy za dane osobowe uwa a si ka d informacj dotycz c osoby fizycznej, pozwalaj c na okre lenie to samo ci tej osoby. Art. 7. Ilekro w ustawie jest mowa o: 1) zbiorze danych - rozumie si przez to ka dy posiadaj cy struktur zestaw danych o charakterze osobowym, dost pnych według okre lonych kryteriów, niezale nie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzaniu danych - rozumie si przez to jakieko l wiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost pnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych, 3) usuwaniu danych - rozumie si przez to z niszczenie danych osobowych lub tak ich modyfikacj , która nie pozwoli na ustalenie to samo ci osoby, której dane dotycz , 4) administratorze danych - rozumie si przez to organ, instytucj , jednostk organizacyjn , podmiot lub osob , o których mowa w a r t. 3 ust. 1 i 2, decyduj ce o celach i rodkach przetwarzania danych osobowych, 5) zgodzie osoby, której dane dotycz - rozumie si przez to o wiadczenie woli, którego tre ci jest zgoda na przetwarzanie danych osobowych tego, kto składa o wiadczenie; zgoda nie mo e by domniemana lub dorozumiana z o wiadczenia woli o innej tre ci. Rozdział 2 Organ ochrony danych osobowych Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej "Generalnym Inspektorem". 2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgod Senatu. 3. Na stanowisko Generalnego Inspektora mo e by powołany ten, kto ł cznie spełnia nast puj ce warunki: 1). jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej, 2). wyró nia si wysokim autorytetem moralnym, 3). posiada wy sze wykształcenie prawnicze oraz odpowiednie do wiadczenie zawodowe, 4). nie był karany za przest pstwo. 4. Generalny Inspektor w zakre sie wykonywania swoich zada podlega tylko ustawie. 5. Kadencja Generalnego Inspektora trwa 4 lata, licz c od dnia zło enia lubowania. Po upływie kadencji Generalny Inspektor pełni swoje obowi zki do czasu obj cia stanowiska przez nowego Generalnego Inspektora. 6. Ta sama osoba nie mo e by Generalnym Inspektorem wi cej ni przez dwie kadencje. 7. Kadencja Generalnego Inspektora wygasa z chwil jego mierci, odwołania lub utraty

obywatelstwa polskiego. 8. Sejm, za zgod Senatu, odwołuje Generalnego Inspektora, je eli: 1). zrzekł si stanowiska, 2). stał si trwale niezdolny do pełnienia obowi zków na skutek choroby, 3). sprzeniewierzył si zło onemu lubowaniu, 4). został skazany prawomocnym wyrokiem s du za popełnienie przest pstwa. Art. 9. Przed przyst pieniem do wykonywania obowi zków Generalny Inspektor składa przed Sejmem nast puj ce lubowanie: "Obejmuj c stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczy cie lubuj dochowa wierno ci postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowi zki wypełnia sumiennie i bezstronnie." lubowanie mo e by zło one z dodaniem słów "Tak mi dopomó Bóg". Art. 10. 1. Generalny Inspektor nie mo e zajmowa innego stanowiska, z wyj tkiem stanowiska profesora szkoły wy szej, ani wykonywa innych zaj zawodowych. 2. Generalny Inspektor nie mo e nale e do partii politycznej, zwi zku zawodowego ani prowadzi działalno ci publicznej nie daj cej si pogodzi z godno ci jego urz du. Art. 11. Generalny Inspektor nie mo e by bez uprzedniej zgody Sejmu poci gni ty do odpowiedzialno ci karnej ani pozbawiony wolno ci. Generalny Inspektor nie mo e by zatrzymany lub aresztowany, z wyj tkiem uj cia go na gor cym uczynku przest pstwa i je eli jego zatrzymanie jest niezb dne do zapewnienia prawidłowego toku post powania.O zatrzymaniu niezwłocznie powiadamia si Marszałka Sejmu, który mo e nakaza natychmiastowe zwolnienie zatrzymanego. Art. 12. Do zada Generalnego Inspektora w szczególno ci nale y: 1) kontrola zgodno ci przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz u dzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw i rozporz dze dotycz cych ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsi wzi osobowych,

w zakresie doskonalenia ochrony danych

6) uczestniczenie w pracach mi dzynarodowych organizacji i instytucji zajmuj cych si problematyk ochrony danych osobowych. Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.

2. Generalny In spektor oraz pracownicy Biura, zwani dalej inspektorami, s obowi zani zapewni ochron wiadomo ciom stanowi cym tajemnic pa stwow lub słu bow , z którymi si zetkn li w toku kontroli przetwarzania danych. 3. Organizacj oraz zasady działania Biura okre la statut nadany, w drodze rozporz dzenia, przez Prezydenta Rzeczypospolitej Polskiej. Art. 14. W celu wykonania zada , o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor lub upowa nieni przez niego inspektorzy maj w szczególno ci prawo: 1) wst pu, w godzinach od 6 do 22, za okazaniem imiennego upowa nienia i legitymacji słu bowej, do pomieszczenia, w którym zlokalizowany jest zarejestrowany zbiór danych, i przeprowadzenia niezb dnych bada lub innych czynno ci kontrolnych w celu oceny zgodno ci przetwarzania danych z ustaw , 2) da zło enia pisemnych lub ustnych wyja nie oraz wzywa i przesłuchiwa osoby w zakresie niezb dnym do ustalenia stanu faktycznego, 3) da okazania dokumentów i wszelkich danych maj cych bezpo redni zwi zek z problematyk kontroli, 4) da udost pnienia do kontroli urz dze , no ników oraz systemów informatycznych słu cych do przetwarzania danych, 5) zleca sporz dzanie ekspertyz i opinii. Art. 15. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolo wana osoba fizyczna B d ca administratorem danych osobowych s obowi zani umo liwi inspektorowi przeprowadzenie kontroli, a w szczególno ci umo liwi dokonanie czynno ci, o których mowa w art. 14 pkt 1-4. Art. 16. 1. Z czynno ci kontrolnych inspektor sporz dza protokół, którego jeden egzemplarz dor cza kontrolowanemu administratorowi danych. 2. Protokół podpisuj inspektor i kontrolowany administrator danych, który mo e wnie protokołu umotywowane zastrze enia i uwagi.

do

3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiank w protokole, a odmawiaj cy podpisu mo e, w terminie 7 dni, przedstawi swoje stanowisko na pi mie Generalnemu Inspektorowi. Art. 17. 1. Je eli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, wyst puje do Generalnego Inspektora o zastosowanie rodków, o których mowa w art. 18. 2. Na podstawie ustale kontroli inspektor mo e da wszcz cia post powania dyscyplinarnego lub innego przewidzianego prawem post powania przeciwko osobom winnym dopuszczenia do uchybie i poinformowania go, w okre lonym terminie, o wynikach tego post powania i podj tych działaniach. Art. 18.

1. W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urz du lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególno ci: 1) usuni cie uchybie , 2) uzupełnienie, uaktualnienie, spro s towanie, udost pnienie lub nieudost pnienie danych osobowych, 3) zastosowanie dodatkowych rodków zabezpieczaj cych zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych za granic , 5) zabezpieczenie danych lub przekazanie ich innym p o dmiotom, 6) usuni cie danych osobowych. 2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mog ogranicza swobody działania podmiotów zgłaszaj cych kandydatów lub listy kandydatów w wyborach do Sejmu, Senatu i organów samorz du terytorialnego, pomi dzy dniem zarz dzenia wyborów a dniem głosowania. 3. W przypadku gdy przepisy innych ustaw reguluj odr bnie wykonywanie czynno ci, o których mowa w ust. 1, stosuje si przepisy tych ustaw. Art. 19. W razie stwierdzenia, e działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej B d cej administratorem danych wyczerpuje znamiona przest pstwa okre lonego w ustawie, Generalny Inspektor kieruje do organu powołanego do cigania przest pstw zawiadomienie o popełnieniu przest pstwa, doł czaj c dowody dokumentuj ce podejrzenie. Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalno ci wraz z wnioskami wynikaj cymi ze stanu przestrzegania przepisów o ochronie danych osobow ych. Art. 21. 1. Strona mo e zwróci si do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy. 2. Na decyzj Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do Naczelnego S du Administracyjnego. Art. 22. Post powanie w sprawach uregulowanych w niniejszej ustawie prowadzi si według przepisów Kodeksu post powania administracyjnego, o ile przepisy ustawy nie stanowi inaczej. Rozdział 3 Zasady przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotycz , wyrazi na to zgod , chyba e chodzi o usuni cie dotycz cych jej danych, 2) zezwalaj na to przepisy prawa, 3) jest niezb dne osobie, której dane dotycz , w celu wywi zania si z umowy, której jest stron , lub na jej yczenie w celu podj cia niezb dnych działa przed zawarciem umowy, 4) jest niezb dne do wykonania okre lonych prawem zada realizowanych dla dobra publicznego, 5) jest niezb dne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolno ci osoby, której dane dotycz . 2. Zgoda, o której mowa w ust. 1 pkt 1, mo e obejmowa równie przetwarzanie danych w przyszło ci, je eli nie zmienia si cel przetwarzania. 3. Je eli przetwarzanie danych jest niezb dne dla ochrony ywotnych interesów osoby, której dane dotycz , a spełnienie warunku okre lonego w ust. 1 pkt 1 jest niemo liwe, mo na przetwarza dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody b dzie mo liwe. Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotycz , administrator danych jest obowi zany poinformowa t osob o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególno ci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie wgl du do swoich danych oraz ich poprawiania, 4) dobrowolno ci albo obowi zku podania danych, a je eli taki obowi zek istnieje, o jego podstawie prawnej. 2. Przepisu ust. 1 nie stosuje si , je eli ustawa zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania. Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotycz , administrator danych jest obowi zany poinformowa t osob , bezpo rednio po utrwaleniu zebranych danych, o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a w szczególno ci o odbiorcach lub kategoriach odbiorców danych, 3) ródle danych, 4) prawie wgl du do swoich danych oraz ich poprawiania, 5) o uprawnieniach wynikaj cych z art. 32 ust. 1 pkt 7 i 8.

2. Przepisu ust. 1 nie stosuje si , je eli: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotycz , 2) dane przewidziane do zebrania s ogólnie dost pne, 3) dane te s niezb dne do bada naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie n arusza praw lub wolno ci osoby, której dane dotycz , a spełnienie wymaga okre lonych w ust. 1 wymagałoby nadmiernych nakładów lub zagra ałoby realizacji celu badania, 4) administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu. Art. 26. 1. Administrator danych przetwarzaj cy dane powinien doło y szczególnej staranno ci w celu ochrony interesów osób, których dane dotycz , a w szczególno ci jest obowi zany zapewni , aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrze eniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich s przetwarzane, 4) przechowywane w postaci u mo liwiaj cej identyfikacj osób, których dotycz , nie dłu ej ni jest to niezb dne do osi gni cia celu przetwarzania. 2. Przetwarzanie danych w celu innym ni ten, dla którego zostały zebrane, jest dopuszczalne, je eli nie narusza praw i wolno ci osoby, której dane dotycz , oraz nast puje: 1) w celach bada naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. Art. 27. 1. Zabrania si przetwarzania danych ujawniaj cych pochodzenie rasowe lub etniczne, pogl dy polityczne, przekonania religijne lub filozoficzne, przynale no wyznaniow , partyjn lub zwi zkow , jak równie danych o stanie zdrowia, kodzie genetycznym, nałogach lub yciu seksualnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, je eli: 1) osoba, której dane dotycz , wyrazi na to zgod na pi mie, chyba e chodzi o usuni cie dotycz cych jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotycz , i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezb dne do ochrony ywotnych interesów osoby, której dane dotycz , lub innej osoby, gdy osoba, której dane dotycz , nie jest fizycznie lub prawnie zdolna do wyra enia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora, 4) jest to niezb dne do wykonania statutowych zada ko ciołów i innych zwi zków wyznaniowych, stowarzysze , fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub zwi zkowych, pod

warunkiem, e przetwarzanie danych dotyczy wył cznie członków tych organizacji lub instytucji albo osób utrzymuj cych z nimi stałe kontakty w zwi zku z ich działalno ci i zapewnione s pełne gwarancje ochrony przetwa r zanych danych, 5) przetwarzanie dotyczy danych, które s niezb dne do dochodzenia praw przed s dem, 6) przetwarzanie jest niezb dne do wykonania zada administratora danych odnosz cych si do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest okre lony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, wiadczenia usług medycznych lub leczenia pacjentów przez osoby trudni ce si zawodowo leczeniem lub wiadczeniem innych usług medycznych, zarz dzania udzielaniem usług medycznych i s stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomo ci publicznej przez osob , której dane dotycz . Art. 28. 1. Przetwarzanie danych dotycz cych skaza , orzecze o ukaraniu, mandatów karnych, a tak e innych orzecze wydanych w post powaniu s dowym lub administracyjnym mo na prowadzi wył cznie na podstawie ustawy. 2. Numery porz dkowe stosowane w ewidencji ludno ci mog zawiera tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczb kontroln . 3. Zabronione jest nadawanie ukrytych znacze elementom numerów porz dkowych w systemach ewidencjonuj cych osoby fizyczne. Art. 29. 1. W przypadku udost pniania danych osobowych w celach innych ni wł czenie do zbioru, administrator danych, o którym mowa w art. 3 ust. 1, udost pnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. 2. Dane osobowe, z wył czeniem danych, o których mowa w art. 27 ust. 1, mog by tak e udost pnione w celach innych ni wł czenie do zbioru, innym osobom i podmiotom ni wymienione w ust. 1, je eli w sposób wiarygodny uzasadni potrzeb posiadania tych danych, a ich udost pnienie nie naruszy praw i wolno ci osób, których dane dotycz . 3. Dane osobowe u dost pnia si na pisemny, umotywowany wniosek, chyba e przepis innej ustawy stanowi inaczej. Wniosek powinien zawiera informacje umo liwiaj ce wyszukanie w zbiorze danych danych osobowych oraz wskazywa ich zakres i przeznaczenie. 4. Udost pnione dane osobowe mo na wykorzysta wył cznie zgodnie z przeznaczeniem, dla którego zostały udost pnione. Art. 30. Administrator danych odmawia udost pnienia danych osobowych ze zbioru danych podmiotom i osobom innym ni wymienione w art. 29 ust. 1, je eli spowodowałoby to: 1) ujawnienie wiadomo ci stanowi cych tajemnic pa stwow , 2) zagro enie dla obronno ci lub bezpiecze stwa pa stwa, ycia i zdrowia ludzi, mienia lub bezpiecze stwa i porz dku publicznego, 3) zagro enie dla podstawowego interesu g o spodarczego lub finansowego pa stwa,

4) istotne naruszenie dóbr osobistych osób, których dane dotycz , lub innych osób. Art. 31. 1. Administrator danych mo e powierzy innemu podmiotowi, w drodze umowy zawartej na pi mie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, mo e przetwarza dane wył cznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowi zany przed rozpocz ciem przetwarzania danych do podj cia rodków zabezpieczaj cych zbiór danych, o których mowa w art. 36-39. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialno za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wył cza odpowiedzialno ci podmiotu, który zawarł umow , za przetwarzanie danych niezgodnie z t umow . Rozdział 4 Prawa osoby, której dane dotycz Art. 32. 1. Ka dej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotycz , zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpuj cej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza si w zbiorze dane jej dotycz ce, oraz podania w powszechnie zrozumiałej formie tre ci tych danych, 4) uzysk a nia informacji o ródle, z którego pochodz dane jej dotycz ce, chyba e administrator danych jest zobowi zany do zachowania w tym zakresie tajemnicy pa stwowej, słu bowej lub zawodowej, 5) uzyskania informacji o sposobie udost pniania danych, a w szczeg ó lno ci informacji o odbiorcach lub kategoriach odbiorców, którym dane te s udost pniane, 6) dania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usuni cia, je eli s one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s ju zb dne do realizacji celu, dla którego zostały zebrane, 7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego dania zaprzestani a przetwarzania jej danych ze wzgl du na jej szczególn sytuacj , 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarza w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. 2. W przypadku wniesienia dania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zb dnej zwłoki przekazuje danie Generalnemu Inspektorowi, który podejmuje stosown decyzj .

3. W razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. 4. Je eli dane s przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych mo e odst pi od informowania osób o przetwarzaniu ich danych w przypadkach, gdy poci gałoby to za sob nakłady niewspółmierne z zamierzonym celem. 5. Osoba zainteresowana mo e skorzysta z prawa do informacji, o których mowa w ust. 1 pkt 1-5, nie cz ciej ni raz na 6 miesi cy. Art. 33. 1. Na wniosek osoby, której dane dotycz , administrator danych jest obowi zany, w terminie 30 dni, poinformowa o przysługuj cych jej prawach, a zwłaszcza wskaza w formie zrozumiałej odno nie danych osobowych jej dotycz cych: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane s przetwarzane, 4) w jakim zakresie oraz komu dane zostały udost pnione. 2. Na wniosek o soby, której dane dotycz , informacji, o których mowa w ust. 1, udziela si na pi mie. Art. 34. W sprawach informowania i udost pniania danych osobie, której dane dotycz , stosuje si przepisy art. 30. Art. 35. 1. W razie wykazania przez osob , której dane osobowe dotycz , e s one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s zb dne do realizacji celu, dla którego zostały zebrane, administrator danych jest obowi zany, bez zb dnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usuni cia ze zbioru, chyba e dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania okre laj odr bne ustawy. 2. W razie niedopełnienia przez administratora danych obowi zku, o którym mowa w ust. 1, osoba, której dane dotycz , mo e si zwróci do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowi zku. Rozdział 5 Zabezpieczenie zbiorów danych osobowych Art. 36. Administrator danych jest obowi zany do zastosowania rodków technicznych i organizacyjnych zapewniaj cych ochron przetwarzanych danych osobowych, a w szczególno ci powinien zabezpieczy dane przed ich udost pnieniem osobom nieupowa nionym, zabraniem przez osob nieuprawnion , uszkodzeniem lub zniszczeniem. Art. 37.

Do obsługi systemu informatycznego oraz urz dze wchodz cych w jego skład, słu cych do przetwarzania danych, mog by dopuszczone wył cznie osoby posiadaj ce upowa nienie wydane przez administratora danych. Art. 38. Administrator danych przetwarzanych w systemie informatycznym jest obowi zany zapewni kontrol nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu s przekazywane, zwłaszcza gdy przekazuje si je za pomoc urz dze teletransmisji danych. Art. 39. 1. Administrator danych prowadzi ewidencj osób zatrudnionych przy ich przetwarzaniu. 2. Osoby, o których mowa w ust. 1, maj ce dost P do danych osobowych, obowi zane s do zachowania ich w tajemnicy. Obowi zek ten istnieje równie po ustaniu zatrudnienia. Rozdział 6 Rejestracja zbiorów danych osobowych Art. 40. Administrator danych jest obowi zany zgłosi zbiór danych do rejestracji Generalnemu Inspektorowi, z wyj tkiem przypadków, o których mowa w art. 43 ust. 1. Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawiera : 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadz cego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, je eli został mu nadany, oraz podstaw prawn upowa niaj c do prowadzeni a zbioru, 3) zakres i cel przetwarzania danych, 4) sposób zbierania oraz udost pniania danych, 5) opis rodków technicznych i organizacyjnych zastosowanych w celach okre lonych w art. 36-39, 6) informacj o sposobie wypełnienia wymaga technicznych i o rganizacyjnych, o których mowa w art. 45 pkt 1. 2. Administrator danych jest obowi zany zgłasza Generalnemu Inspektorowi ka d zmian informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Art. 42. 1. Generalny Inspek tor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych zgłoszonych do rejestracji. Rejestr powinien zawiera informacje, o których mowa w art. 41 ust. 1, 2. Ka dy ma prawo przegl da rejestr, o którym mowa w ust. 1.

3. Na danie osoby zainteresowanej mo e by wydane za wiadczenie o zarejestrowaniu wskazanego zbioru danych. Art. 43. 1. Z obowi zku rejestracji zbioru danych zwolnieni s administratorzy danych: 1) obj tych tajemnic pa stwow ze wzgl du na obronno lub bezpiecze stwo pa stwa, ochron ycia i zdrowia ludzi, mienia lub bezpiecze stwa i porz dku publicznego, 2) przetwarzanych przez wła ciwe organy dla potrzeb post powania s dowego, 3) dotycz cych członków ko cioła lub innego zwi zku wyznaniowego, o uregulowanej sytuacji prawnej, 4) dotycz cych osób u nich zatrudnionych, zrzeszonych lub ucz cych si , 5) dotycz cych osób korzystaj cych z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy prawnego, 6) tworzonych na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz ustaw o referendum i ustawy o referendum gminnym, 7) dotycz cych osób pozbawionych wolno ci na podstawie ustawy, w zakresie niezb dnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolno ci, 8) przetwarzanych wył cznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczo ci finansowej, 9) powszechnie dost pnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu uko czenia szkoły wy szej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bie cych spraw ycia codziennego. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, Generalnemu Inspektorowi nie przysługuj uprawnienia okre lone w art. 12 pkt 2, art. 14 pkt 1, 3 -5 oraz w art. 15-18. Art. 44. 1. Generalny Inspektor wydaje decyzj o odmowie rejestracji zbioru danych, je eli: 1) nie zostały spełnione wymogi okre lone w art. 41 ust. 1, 2) przetwarzanie danych naruszałoby zasady okre lone w art. 23-30, 3) urz dzenia i systemy informatyczne słu ce do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniaj podstawowych warunków technicznych i organizacyjnych, okre lonych w przepisach, o których mowa w art. 45 pkt 1. 2. Odmawiaj c rejestracji zbioru danych Generalny Inspektor nakazuje wstrzymanie dalszego przetwarzania danych w tym zbiorze lub ich usuni cie. 3. Nakaz wstrzymania dalszego przetwarzania danych w zbiorze danych lub ich usuni cia podlega natychmiastowemu wykonaniu. 4. Administrator danych mo e zgłosi ponownie zbiór danych do rejestracji po usuni ciu wad, które były powodem odmowy rejestracji zbioru.

5. W razie ponownego zgłoszenia zbioru do rejestracji administrator danych mo e rozpocz ich przetwarzanie po zarejestrowaniu zbioru. Art. 45. Ministe r wła ciwy do spraw administracji okre li, w drodze rozporz dzenia: 1) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiada urz dzenia i systemy informatyczne słu ce do przetwarzania danych osobowych, 2) wzór wniosku, o którym mowa w art. 29 ust. 3, 3) wzór zgłoszenia, o którym mowa w art. 41 ust. 1, 4) wzór upowa nienia i legitymacji słu bowej, o których mowa w art. 14 pkt 1. Art. 46. Administrator danych mo e rozpocz ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi do rejestracji, chyba e ustawa zwalnia go z tego obowi zku. Rozdział 7 Przekazywanie danych osobowych za granic Art. 47. 1. Przekazanie danych osobowych za granic mo e nast pi jedynie wtedy, gdy kraj docelowy daje gwarancje ochrony danym osobowym na swoim terytorium przynajmniej takie, jak obowi zuj ce na terytorium Rzeczypospolitej Polskiej. 2. Przepisu ust. 1 nie stosuje si , gdy przesłanie danych osobowych wynika z obowi zku nało onego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy mi dzynarodowej. 3. Administrator danych mo e jednak przekaza dane osobowe za granic , je eli: 1) osoba, której dane dotycz , udzieliła na to zgody na pi mie, 2) przekazanie jest niezb dne do wykonania umowy pomi dzy administratorem danych a osob , której dane dotycz , lub jest podejmowane na jej yczenie, 3) przekazanie jest niezb dne do wykonania umowy zawartej w interesie osoby, której dane dotycz , pomi dzy administratorem danych a innym podmiotem, 4) przekazanie jest niezb dne ze wzgl du na dobro publiczne lub do wykazania zasadno ci roszcze prawnych, 5) przekazanie jest niezb dne do ochrony ywotnych interesów osoby, której dane dotycz , 6) dane s ogólnie dost pne. Art. 48. W przypadkach innych ni wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych za granic do kraju, który nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowi zuj na terytorium Rzeczypospolitej Polskiej, mo e mie miejsce po uzyskaniu zgody Generalnego Inspektora.

Rozdział 8 Przepisy karne Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, cho ich przetwarzanie nie jest dopuszczalne albo, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do lat 2. 2. Je eli czyn okre lony w ust. 1 dotyczy danych ujawniaj cych pochodzenie rasowe lub etniczne, pogl dy polityczne, przekonania religijne lub filozoficzne, przynale no wyznaniow , partyjn lub zwi zkow , danych o stanie zdrowia, kodzie genetycznym, nałogach lub yciu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do lat 3. Art. 50. Kto administruj c zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do roku. Art. 51. 1. Kto administruj c zbiorem danych lub B d c obowi zany do ochrony danych osobowych udost pnia je lub umo liwia dost p do nich osobom nieupowa nionym, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do lat 2. 2. Je eli sprawca działa nieumy lnie, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do roku. Art. 52. Kto administruj c danymi narusza cho by nieumy lnie obowi zek zabezpieczenia ich przed zabraniem przez osob nieuprawnion , uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do roku. Art. 53. Kto B d c do tego obowi zany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do roku. Art. 54. Kto administruj c zbiorem danych nie dopełnia obowi zku poinformowania osoby, której dane dotycz , o jej prawach lub przekazania tej osobie informacji umo liwiaj cych korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolno ci albo pozbawienia wolno ci do roku. Rozdział 9 Zmiany w przepisach obowi zuj cych, przepisy przej ciowe i ko cowe Art. 55. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmuj cych kierownicze stanowiska pa stwowe (Dz. U. Nr 20, poz. 101, z 1982 r. Nr 31, poz. 214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr 21, poz. 123, z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z 1995 r. Nr 34, poz. 163 i Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr

89, poz. 402, Nr 106, po z. 496 i Nr 139, poz. 647 oraz z 1997 r. Nr 75, poz. 469) w art. 2 w pkt 2 po wyrazach "Rzecznika Praw Obywatelskich," dodaje si wyrazy "Generalnego Inspektora Ochrony Danych Osobowych,". Art. 56. W ustawie z dnia 16 wrze nia 1982 r. o pracownikach urz dów pa stwowych (Dz. U. Nr 31, poz. 214, z 1984 r. Nr 35, poz. 187, z 1988 r. Nr 19, poz. 132, z 1989 r. Nr 4, poz. 24, Nr 34, poz. 178 i 182, z 1990 r. Nr 20, poz. 121, z 1991 r. Nr 55, poz. 234, Nr 88, poz. 400 i Nr 95, poz. 425, z 1992 r. Nr 54, poz. 254 i Nr 90, poz. 451, z 1994 r. Nr 136, poz. 704, z 1995 r. Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402 i Nr 106, poz. 496 oraz z 1997 r. Nr 98, poz. 604) wprowadza si nast puj ce zmiany: 1) w art. 1 dodaje si pkt 13 w brzmieniu: "13) Biurze Generalne g o Inspektora Ochrony Danych Osobowych."; 2) w art. 36 w ust. 5 w pkt 1 wyraz "oraz" zast puje si przecinkiem, a po wyrazach "Krajowego Biura Wyborczego" dodaje si wyrazy "oraz Biura Generalnego Inspektora Ochrony Danych Osobowych,"; 3) w art. 48 w ust . 1 w pkt 1 po wyrazach "Biura Rzecznika Praw Obywatelskich," dodaje si wyrazy "Biura Generalnego Inspektora Ochrony Danych Osobowych". Art. 57. W ustawie z dnia 5 stycznia 1991 r. - Prawo bud etowe (Dz. U. z 1993 r. Nr 72, poz. 344, z 1994 r. Nr 76, poz. 344, Nr 121, poz. 591 i Nr 133, poz. 685, z 1995 r. Nr 78, poz. 390, Nr 124, poz. 601 i Nr 132, poz. 640, z 1996 r. Nr 89, poz. 402, Nr 106, poz. 496, Nr 132, poz. 621 i Nr 139, poz. 647 oraz z 1997 r. Nr 54, poz. 348 i Nr 79, poz. 484, Nr 121, poz. 7 70 i Nr 123, poz. 775 i 778) w art. 31 w ust. 3 w pkt 2 po wyrazach "Najwy szej Izby Kontroli" dodaje si wyrazy ", Generalnego Inspektora Ochrony Danych Osobowych". Art. 58. W ustawie z dnia 23 grudnia 1994 r. o Najwy szej Izbie Kontroli (Dz. U. z 1995 r. Nr 13, poz. 59, z 1996 r. Nr 64, poz. 315 i Nr 89, poz. 402 oraz z 1997 r. Nr 28, poz. 153, Nr 79, poz. 484, Nr 96, poz. 589 i Nr 121, poz. 770) w art. 4 wprowadza si nast puj ce zmiany: 1) w ust. 1 po wyrazach "Krajowej Rady Radiofonii i Telewizji , " dodaje si wyrazy "Generalnego Inspektora Ochrony Danych Osobowych,"; 2) w ust. 2 po wyrazach "Krajowej Rady Radiofonii i Telewizji" dodaje si przecinek oraz wyrazy "Generalnego Inspektora Ochrony Danych Osobowych". Art. 59. W ustawie z dnia 23 grudnia 1994 r. o kształtowaniu rodków na wynagrodzenia w pa stwowej sferze bud etowej oraz o zmianie niektórych ustaw (Dz. U. z 1995 r. Nr 34, poz. 163 oraz z 1996 r. Nr 106, poz. 496 i Nr 139, poz. 647) w art. 2 w ust. 2 w pkt 1 po w yrazach "Krajowym Biurze Wyborczym" dodaje si wyrazy ", Biurze Generalnego Inspektora Ochrony Danych Osobowych." Art. 60. W ustawie z dnia 26 kwietnia 1996 r. o Słu bie Wi ziennej (Dz. U. Nr 61, poz. 283 i Nr 106, poz. 496 oraz z 1997 r. Nr 28, poz. 153 i Nr 88, poz. 554) dodaje si art. 23a w brzmieniu: "Art. 23a. Słu ba Wi zienna mo e gromadzi i przetwarza informacje i dane osobowe, w tym tak e bez zgody osób, których d o tycz , niezb dne do realizacji zada , o których mowa w art. 1 ust. 3 ustawy." Art. 61.

1. Podmioty okre lone w art. 3, prowadz ce w dniu wej cia w ycie ustawy zbiory danych osobowych w systemach informatycznych, maj obowi zek zło enia wniosków o zarejestrowanie tych zbiorów w trybie okre lonym w art. 41, w terminie 18 miesi cy od dnia jej wej cia w ycie, chyba e ustawa zwalnia ich z tego obowi zku. 2. Do czasu rejestracji zbioru danych osobowych w trybie okre lonym w art. 41, podmioty, o których mowa w ust. 1, mog prowadzi te zbiory bez rejestracji. Art. 62. Ustawa wchodzi w ycie po upływie 6 miesi cy od dnia ogłoszenia, z tym e: 1) art. 8-11, art. 13 i 45 wchodz w ycie po upływie 2 miesi cy od dnia ogłoszenia, 2) art. 55-59 wchodz w ycie po upływie 14 dni od dnia ogłoszenia.