Rozdział 2 - Zadania organu nadzorczego - Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Dziennik Ustaw
Dz.U.2023.1206 t.j.
Akt obowiązujący Wersja od: 27 czerwca 2023 r.
Rozdział 2
Zadania organu nadzorczego
Zadania organu nadzorczego
1.
Do zadań Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej "Prezesem Urzędu", należy:1)
monitorowanie i egzekwowanie stosowania przepisów niniejszej ustawy oraz wydanych na jej podstawie aktów wykonawczych;2)
upowszechnianie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych osobowych w celu, o którym mowa w art. 1 pkt 1;3)
doradzanie instytucjom publicznym w sprawach środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych w celu, o którym mowa w art. 1 pkt 1;4)
upowszechnianie wiedzy z zakresu stosowania niniejszej ustawy oraz wydanych na jej podstawie aktów wykonawczych wśród administratorów i podmiotów przetwarzających;5)
udzielanie osobie, której dane dotyczą, na jej żądanie, informacji o wykonywaniu praw przysługujących jej na mocy niniejszej ustawy, a w miarę potrzeby współpracowanie w tym celu z organami nadzorczymi w innych państwach Unii Europejskiej;6)
rozpatrywanie skarg osób, których dane osobowe są przetwarzane niezgodnie z prawem, i prowadzenie postępowań w tym zakresie;7)
o ile przepis szczególny nie stanowi inaczej, kontrola zgodności przetwarzania danych osobowych z przepisami niniejszej ustawy;8)
prowadzenie postępowania w sprawie stosowania niniejszej ustawy, w tym na podstawie informacji otrzymanych od innego organu władzy publicznej;9)
pełnienie funkcji konsultacyjnych, o których mowa w art. 38, dotyczących operacji przetwarzania w ramach niniejszej ustawy;10)
współpraca z organami nadzorczymi w innych państwach członkowskich Unii Europejskiej;11)
wydawanie opinii dla Sejmu, Senatu oraz innych organów władzy publicznej w sprawach ochrony danych osobowych;12)
wydawanie opinii w odniesieniu do projektów ustaw i rozporządzeń w sprawach dotyczących ochrony danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1.2.
Jeżeli żądanie wykonania zadania jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swoją powtarzalność, Prezes Urzędu może pobrać opłatę, której wysokość odpowiada przewidywanym kosztom poniesionym z tytułu wykonywania zadania, lub może odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na Prezesie Urzędu. Prezes Urzędu podejmuje działania po pobraniu opłaty. Opłata pobrana przez Prezesa Urzędu stanowi dochód budżetu państwa.3.
Projekty ustaw i rozporządzeń dotyczące danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1, są przedstawiane do zaopiniowania Prezesowi Urzędu.W celu wykonania zadań, o których mowa w art. 5 ust. 1 pkt 1 i 6-8, Prezes Urzędu może przeprowadzać kontrolę przetwarzania danych osobowych, zwaną dalej "kontrolą". Do prowadzenia kontroli stosuje się odpowiednio przepisy rozdziału 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), z wyłączeniem art. 79 ust. 1 pkt 2, art. 83, art. 84 ust. 4 i art. 85 tej ustawy.
W toku kontroli upoważniony przez Prezesa Urzędu pracownik Urzędu Ochrony Danych Osobowych, zwany dalej "kontrolującym", ma prawo wglądu do zbioru danych podlegającego kontroli oraz do innych dokumentów mających bezpośredni związek z przedmiotem kontroli. Kontrolujący ma prawo wglądu do zbioru danych oraz do innych dokumentów, o których mowa w zdaniu pierwszym, jedynie w obecności upoważnionego przedstawiciela właściwego organu, w którym jest prowadzona kontrola.
1.
W przypadku uzasadnionego podejrzenia, że planowane operacje przetwarzania mogą skutkować naruszeniem przepisów niniejszej ustawy, Prezes Urzędu wydaje administratorowi lub podmiotowi przetwarzającemu ostrzeżenie.2.
W przypadku naruszenia przepisów o ochronie danych osobowych zbieranych w celach, o których mowa w art. 1 pkt 1, Prezes Urzędu, w drodze decyzji administracyjnej, nakazuje administratorowi lub podmiotowi przetwarzającemu przywrócenie stanu zgodnego z prawem, a w szczególności:1)
usunięcie uchybień;2)
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;3)
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;4)
zabezpieczenie danych osobowych lub przekazanie ich innym podmiotom;5)
usunięcie danych osobowych;6)
wprowadzenie czasowych lub stałych ograniczeń przetwarzania i przekazywania, w tym zakazu przetwarzania.3.
Decyzje Prezesa Urzędu, o których mowa w ust. 2, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa. Administrator w przypadku uznania, że zgromadzone w ten sposób dane są zbędne, jest obowiązany do ich usunięcia. W przypadku niedopełnienia obowiązku usunięcia danych osobowych przez administratora Prezes Urzędu może nakazać ich usunięcie. W celu realizacji uprawnienia Prezes Urzędu nie uzyskuje dostępu do danych osobowych, o których mowa w zdaniu pierwszym. Administrator lub podmiot przetwarzający dane osobowe, o których mowa w zdaniu pierwszym, jest obowiązany do niezwłocznego przywrócenia zgodnego z prawem sposobu ich przetwarzania.Art. 9. [Jednoinstancyjność postępowania w sprawie wydania nakazu przywrócenia stanu zgodnego z prawem; skarga do sądu administracyjnego]
1.
Postępowanie w sprawach, o których mowa w art. 8 ust. 2, jest jednoinstancyjne.2.
Na decyzję Prezesa Urzędu, o której mowa w art. 8 ust. 2, przysługuje skarga do sądu administracyjnego.1.
W celu realizacji zadań, o których mowa w art. 5 ust. 1 pkt 5 i 9, Prezes Urzędu może kierować do administratora lub podmiotu przetwarzającego wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych zbieranych w celach, o których mowa w art. 1 pkt 1.2.
Administrator lub podmiot przetwarzający, do którego zostało skierowane wystąpienie, o którym mowa w ust. 1, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku pisemnie w postaci papierowej lub elektronicznej w terminie 30 dni od daty jego otrzymania.Art. 11. [Żądanie przeprowadzenia przez inspektora ochrony danych sprawdzenia stosowania przepisów ustawy przez administratora]
1.
Prezes Urzędu może zwrócić się bezpośrednio do inspektora ochrony danych, o którym mowa w art. 46, o przeprowadzenie sprawdzenia stosowania przepisów niniejszej ustawy przez administratora, który go wyznaczył, wskazując zakres i termin tego sprawdzenia.2.
Po przeprowadzeniu sprawdzenia, o którym mowa w ust. 1, inspektor ochrony danych, za pośrednictwem administratora, przedstawia Prezesowi Urzędu sprawozdanie z przeprowadzonego sprawdzenia.3.
Przeprowadzenie przez inspektora ochrony danych sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Prezesa Urzędu do przeprowadzenia kontroli, o której mowa w art. 7.Do postępowań w sprawach objętych zakresem regulacji niniejszego rozdziału stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775), zwanej dalej "Kodeksem postępowania administracyjnego", o ile przepisy niniejszej ustawy nie stanowią inaczej.