Oddział 1 - Przepisy ogólne - Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Dziennik Ustaw
Dz.U.2023.1206 t.j.
Akt obowiązujący Wersja od: 27 czerwca 2023 r.
Oddział 1
Przepisy ogólne
Przepisy ogólne
1.
Administrator zapewnia, aby dane osobowe były:1)
przetwarzane zgodnie z prawem i rzetelnie oraz przy zastosowaniu niezbędnych środków technicznych i organizacyjnych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia;2)
przetwarzane w konkretnych i uzasadnionych celach;3)
adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane;4)
prawidłowe i w razie potrzeby uaktualniane;5)
przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania;6)
przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczone przed ich udostępnieniem osobom nieupoważnionym lub wejściem w posiadanie przez osobę nieuprawnioną.2.
Administrator podejmuje wszelkie działania, aby dane osobowe, które są nieprawidłowe, w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.3.
Administrator jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych osobowych i prawidłową realizację czynności w tym zakresie, o których mowa w ust. 1 i 2 i art. 13-21, oraz jest obowiązany do prowadzenia dokumentacji dotyczącej realizacji tych czynności. Dopuszcza się prowadzenie tej dokumentacji w postaci elektronicznej.4.
Administrator opracowuje i wdraża politykę ochrony danych osobowych, uwzględniając w niej sposób dokumentowania środków, o których mowa w ust. 1 pkt 1.5.
Administrator dokonuje bieżącego przeglądu środków, o których mowa w ust. 1 pkt 1, pod kątem potrzeby ich uaktualniania.6.
Inne podmioty przetwarzające dane osobowe w celach, o których mowa w art. 1 pkt 1, są obowiązane do wykonywania obowiązków, o których mowa w ust. 1-5.7.
Administrator dokumentuje faktyczne lub prawne przyczyny odmowy przekazania informacji lub udostępnienia danych osobowych.Art. 32. [Środki techniczne i organizacyjne stosowane przez administratora w czasie przetwarzania danych osobowych]
1.
Administrator, w czasie określania sposobów przetwarzania, jak i w czasie samego przetwarzania, stosuje odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, które zostały zaprojektowane w celu skutecznej realizacji zasad ochrony danych osobowych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak aby spełnić wymogi niniejszej ustawy, chroniły prawa osób, których dane dotyczą, oraz uwzględniały stan wiedzy technicznej, koszt wdrożenia i charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia wynikające z przetwarzania.2.
Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia, aby domyślnie były przetwarzane wyłącznie te dane osobowe, które są niezbędne dla każdego konkretnego celu przetwarzania. Obowiązek ten ma zastosowanie do liczby zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te mają zapewnić, aby domyślnie dane osobowe nie były udostępniane bez interwencji osoby fizycznej nieokreślonej liczbie osób fizycznych lub innych podmiotów.3.
W polityce ochrony danych administrator określa odpowiednie środki techniczne oraz niezbędne zabezpieczenia stosowane przy przetwarzaniu danych osobowych w celu realizacji czynności, o których mowa w ust. 1 i 2.1.
Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych w ramach jednego zbioru danych osobowych, stają się oni współadministratorami.2.
Współadministratorzy:1)
uzgadniają w drodze pisemnego porozumienia podział swoich obowiązków, w szczególności w zakresie:a)
realizacji przez osobę, której dane dotyczą, przysługujących jej praw na mocy niniejszej ustawy,b)
udzielania informacji, o których mowa w art. 22 ust. 4- chyba że przepisy prawa, którym ci administratorzy podlegają, określają przypadające im obowiązki i ich zakres;
2)
wyznaczają punkt kontaktowy dla osób, których dane dotyczą, w celu realizacji obowiązku, o którym mowa w pkt 1 lit. a.1.
Administrator może w drodze umowy powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu.2.
Podmiot przetwarzający wdraża niezbędne środki techniczne i organizacyjne zapewniające przetwarzanie danych zgodnie z prawem i w sposób chroniący prawa osób, których dane dotyczą.3.
Umowa, o której mowa w ust. 1, określa w szczególności:1)
przedmiot i okres jej obowiązywania;2)
charakter i cel przetwarzania;3)
rodzaj przetwarzanych danych osobowych;4)
kategorie osób, których dane dotyczą, o których mowa w art. 19;5)
prawa i obowiązki administratora;6)
obowiązki podmiotu przetwarzającego, o których mowa w ust. 5;7)
sposób prowadzenia przez administratora kontroli przetwarzania.4.
Umowę, o której mowa w ust. 1, sporządza się w formie pisemnej. Możliwe jest również sporządzenie umowy w postaci elektronicznej.5.
Podmiot przetwarzający jest zobowiązany:1)
przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie;2)
działać wyłącznie zgodnie z upoważnieniem administratora;3)
zapewnić, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności, również w zakresie środków technicznych ich zabezpieczenia;4)
pomagać administratorowi w przestrzeganiu przepisów określających prawa osoby, której dane dotyczą;5)
po zakończeniu świadczenia usługi przetwarzania danych, w zależności od decyzji administratora:a)
usunąć lub zwrócić administratorowi wszelkie dane osobowe orazb)
usunąć wszelkie istniejące kopie danych osobowych- chyba że przepisy prawa wymagają przechowywania danych osobowych;
6)
udostępniać administratorowi wszelkie informacje związane z weryfikacją prawidłowości realizacji umowy powierzenia, o której mowa w ust. 1;7)
przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego, któremu powierzył przetwarzanie danych osobowych.6.
Podmiot przetwarzający może powierzyć przetwarzanie danych innemu podmiotowi przetwarzającemu każdorazowo wyłącznie na podstawie pisemnej umowy, w przypadku gdy umowa, o której mowa w ust. 1, przewiduje takie prawo, na warunkach i w zakresie przez nią określonym.7.
W przypadkach powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze, co nie wyłącza odpowiedzialności podmiotu przetwarzającego za przetwarzanie danych niezgodnie z ustawą lub umową, o której mowa w ust. 1.8.
Jeżeli podmiot przetwarzający naruszy przepisy niniejszej ustawy w zakresie określenia celów lub sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.1.
Administrator prowadzi wykaz kategorii czynności przetwarzania, za które odpowiada.2.
W wykazie, o którym mowa w ust. 1, zamieszcza się następujące informacje:1)
imię i nazwisko lub nazwę oraz dane kontaktowe:a)
administratora,b)
współadministratora - w przypadku, o którym mowa w art. 33 ust. 1,c)
inspektora ochrony danych,d)
podmiotu przetwarzającego - w przypadku, o którym mowa w art. 34 ust. 2 i 6;2)
cele przetwarzania;3)
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;4)
opis kategorii osób, których dane osobowe dotyczą, oraz kategorii danych osobowych;5)
informacje o stosowaniu profilowania - w przypadku gdy zostało ono zastosowane;6)
kategorie przekazań danych osobowych do państwa trzeciego lub organizacji międzynarodowej - w przypadku gdy przekazanie nastąpiło;7)
wskazanie podstawy prawnej operacji przetwarzania, w tym przekazań, do których dane osobowe są przeznaczone;8)
planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe;9)
ogólny opis technicznych i organizacyjnych środków zapewniających ochronę przetwarzanych danych osobowych, o których mowa w art. 39, jeżeli jest to możliwe.3.
Podmiot przetwarzający prowadzi wykaz kategorii czynności przetwarzania dokonywanych w imieniu administratora.4.
W wykazie, o którym mowa w ust. 3, zamieszcza się następujące informacje:1)
imię i nazwisko lub nazwę oraz dane kontaktowe:a)
podmiotu przetwarzającego w przypadku, o którym mowa w art. 34 ust. 2 i 6,b)
każdego administratora, w imieniu którego działa podmiot przetwarzający,c)
inspektora ochrony danych;2)
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;3)
przypadki przekazania danych osobowych do państw trzecich lub organizacji międzynarodowej, w razie jednoznacznego polecenia administratora, łącznie z nazwą tego państwa trzeciego lub organizacji międzynarodowej - w przypadku gdy przekazanie nastąpiło;4)
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 39, w miarę możliwości.5.
Wykazy, o których mowa w ust. 1 i 3, prowadzi się w formie pisemnej, w postaci papierowej albo elektronicznej.6.
Administrator i podmiot przetwarzający udostępniają wykazy, o których mowa w ust. 1 i 3, Prezesowi Urzędu na jego żądanie.1.
Operacje przetwarzania prowadzone w zautomatyzowanych systemach przetwarzania są ewidencjonowane.2.
Ewidencjonowaniu podlegają operacje przetwarzania, w szczególności:1)
zbieranie;2)
modyfikowanie;3)
przeglądanie;4)
ujawnianie wraz z przekazywaniem;5)
łączenie;6)
usuwanie.3.
Ewidencja jest prowadzona automatycznie, w sposób pozwalający ustalić zasadność operacji w oparciu o informacje wskazujące:1)
datę i godzinę operacji;2)
tożsamość osoby, która przeglądała lub ujawniła dane osobowe - w miarę możliwości;3)
tożsamość odbiorców danych osobowych - w miarę możliwości.4.
W ewidencji, która nie jest prowadzona w sposób automatyczny, dodatkowo zamieszcza się informację uzasadniającą zasadność operacji.5.
Ewidencje obejmujące czynności przetwarzania są przeznaczone wyłącznie:1)
do weryfikacji zgodności przetwarzania z prawem;2)
do monitorowania własnej działalności;3)
dla zapewnienia integralności i bezpieczeństwa danych osobowych;4)
na potrzeby postępowania karnego.6.
Administrator i podmiot przetwarzający udostępniają ewidencje obejmujące czynności przetwarzania Prezesowi Urzędu na jego żądanie.1.
Jeżeli dany rodzaj przetwarzania danych osobowych, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych, administrator - przed przetworzeniem danych osobowych - dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.2.
Ocena, o której mowa w ust. 1, zawiera co najmniej:1)
ogólny opis planowanych operacji przetwarzania danych osobowych;2)
ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą;3)
środki planowane w celu rozwiązania takiego ryzyka;4)
zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazanie zgodności z niniejszą ustawą.3.
Realizację obowiązku, o którym mowa w ust. 1, administrator może powierzyć inspektorowi ochrony danych.Art. 38. [Obowiązkowe konsultacje z Prezesem Urzędu przed rozpoczęciem przetwarzania danych osobowych]
1.
Administrator lub podmiot przetwarzający, przed rozpoczęciem przetwarzania danych osobowych, które będzie częścią mającego powstać nowego zbioru danych, występują do Prezesa Urzędu z wnioskiem o konsultacje, jeżeli:1)
ocena, o której mowa w art. 37 ust. 1, wykaże, że przetwarzanie danych osobowych powodowałoby wysokie ryzyko naruszenia praw i wolności osób fizycznych w razie niepodjęcia przez administratora środków w celu zminimalizowania tego ryzyka, lub2)
dany rodzaj przetwarzania danych osobowych stwarza poważne ryzyko naruszenia praw i wolności osób, których dane dotyczą.2.
Prezes Urzędu może sporządzić wykaz operacji przetwarzania, które wymagają uprzednich konsultacji zgodnie z ust. 1. Wykaz ten Prezes Urzędu ogłasza w formie komunikatu w Dzienniku Urzędowym Rzeczypospolitej Polskiej "Monitor Polski".3.
Administrator przedstawia Prezesowi Urzędu:1)
ocenę, o której mowa w art. 37 ust. 1, oraz2)
na żądanie Prezesa Urzędu - wszelkie inne informacje umożliwiające Prezesowi Urzędu ocenę zgodności przetwarzania z przepisami prawa, a w szczególności ocenę ryzyka w sferze ochrony danych osobowych osoby, której dane dotyczą, oraz powiązanych zabezpieczeń.4.
Jeżeli Prezes Urzędu uzna, że zamierzone przetwarzanie, o którym mowa w ust. 1 i 2, stanowiłoby naruszenie przepisów niniejszej ustawy, w szczególności jeżeli uzna, że administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko, w terminie do sześciu tygodni od dnia otrzymania wniosku o konsultacje, o którym mowa w ust. 1, przedstawia administratorowi lub podmiotowi przetwarzającemu pisemne zalecenia.5.
Z uwagi na złożony charakter sprawy termin, o którym mowa w ust. 4, może zostać przedłużony o miesiąc, o czym Prezes Urzędu informuje administratora lub podmiot przetwarzający w terminie miesiąca od otrzymania wniosku, o którym mowa w ust. 1, z podaniem uzasadnienia przyczyny wydłużenia tego terminu.6.
Realizację obowiązków, o których mowa w ust. 1-4, administrator lub podmiot przetwarzający może powierzyć inspektorowi ochrony danych.