Art. 79. - Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Dz.U.2019.730
Akt obowiązującyW ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354 oraz z 2019 r. poz. 643) wprowadza się następujące zmiany:
"1) w przypadku abonenta będącego konsumentem:
a) dane, o których mowa w art. 169 ust. 1,
b) adres miejsca zamieszkania i adres korespondencyjny - jeżeli jest on inny niż adres miejsca zamieszkania,
c) numer PESEL - w przypadku obywatela Rzeczypospolitej Polskiej,
d) nazwę, serię i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu,";
"1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2;";
"2. Przetwarzanie danych osobowych użytkownika - innych niż wskazane w art. 159 ust. 1 pkt 2-5 - będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.";
"Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.";
"Art. 1741. Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanym dalej "rozporządzeniem 2016/679", środki ochrony co najmniej:
1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych, oraz
2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.";
"1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej "rozporządzeniem 611/2013".",
"2a. Prezes Urzędu Ochrony Danych Osobowych zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.",
"3. W przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5.",
"3a. Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes Urzędu Ochrony Danych Osobowych wydaje w drodze decyzji.",
"5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.",
"5a. Dostawca publicznie dostępnych usług telekomunikacyjnych wykazuje spełnienie warunków, o których mowa w ust. 5, przekazując niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych odpowiednią dokumentację.",
"6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.",
"9. W przypadku gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes Urzędu Ochrony Danych Osobowych informuje inne zainteresowane organy z państw członkowskich.";
"Art. 174b. Do sprawowanej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 1741, art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669 oraz z 2019 r. poz. 730).
Art. 174c. Prezes Urzędu Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes Urzędu Ochrony Danych Osobowych może udostępniać wystąpienia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.";
"Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, zawierający w szczególności:";
"Art. 210a. 1. Kto nie wypełnia obowiązku:
1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741,
2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1,
3) informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3,
4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 174d ust. 1
– podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.
2. Do kar nakładanych na podstawie ust. 1 stosuje się odpowiednio przepisy art. 209 ust. 1a-3 oraz art. 210. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych.".