Rozdział 1 - Przepisy ogólne - Ochrona danych osobowych.
Dziennik Ustaw
Dz.U.2019.1781 t.j.
Akt obowiązujący Wersja od: 19 września 2019 r.
Rozdział 1
Przepisy ogólne
Przepisy ogólne
1.
Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej "rozporządzeniem 2016/679".2.
Ustawa określa:1)
podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;2)
warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, zwanego dalej "podmiotem certyfikującym", podmiotu monitorującego kodeks postępowania oraz certyfikacji;3)
tryb zatwierdzenia kodeksu postępowania;4)
organ właściwy w sprawie ochrony danych osobowych;5)
postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;6)
tryb europejskiej współpracy administracyjnej;7)
kontrolę przestrzegania przepisów o ochronie danych osobowych;8)
odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;9)
odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.Art. 2. [Ograniczenie stosowania przepisów do działalności związanej z materiałami prasowymi, działalności literackiej, artystycznej oraz wypowiedzi akademickich]
1.
Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz. U. z 2018 r. poz. 1914), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5-9, art. 11, art. 13-16, art. 18-22, art. 27, art. 28 ust. 2-10 oraz art. 30 rozporządzenia 2016/679.2.
Do wypowiedzi akademickiej nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2-10 oraz art. 30 rozporządzenia 2016/679.Art. 3. [Zmiana celu przetwarzania danych osobowych w ramach realizacji zadania publicznego - zwolnienie z obowiązku informacyjnego]
1.
Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:1)
uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub2)
naruszy ochronę informacji niejawnych.2.
W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.3.
Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 ust. 3 rozporządzenia 2016/679.1.
W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:1)
uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub2)
naruszy ochronę informacji niejawnych.2.
W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.3.
Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.Art. 5. [Ograniczenie prawa dostępu do informacji o fakcie przetwarzania danych przez administratora]
1.
Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:1)
uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub2)
naruszy ochronę informacji niejawnych.2.
W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133) stosuje się odpowiednio.3.
W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.4.
Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679.Art. 5a. [Ograniczenie dostępu do danych osobowych ze względu na konieczność prawidłowego wykonania zadania publicznego]
1.
Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:1)
zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;2)
ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:a)
realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,b)
wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,c)
przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,d)
ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,e)
prowadzenie kontroli, w tym kontroli celno-skarbowych.2.
W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.Art. 6. [Wyłączenie stosowania przepisów ustawy w przypadku przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa narodowego lub przez służby specjalne]
Ustawy oraz rozporządzenia 2016/679 nie stosuje się do:
1)
przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 i 1622), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą;2)
działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2018 r. poz. 2387, 2245 i 2399 oraz z 2019 r. poz. 53, 125 i 1091).1.
Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4-7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28-30, art. 32, art. 34, art. 35, art. 37-39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy.2.
Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.1.
W sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej "Prezesem Urzędu", o których mowa w rozdziałach 4-7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego.2.
Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym.3.
Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się.4.
Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administracyjnego.