Druk nr 569
22 grudnia 2003 r.
SENAT
RZECZYPOSPOLITEJ POLSKIEJ
V KADENCJA
MARSZAŁEK SEJMU
RZECZYPOSPOLITEJ POLSKIEJ
Pan
Longin PASTUSIAK
MARSZAŁEK SENATU
RZECZYPOSPOLITEJ POLSKIEJ
Zgodnie z art. 121 ust. 1 Konstytucji Rzeczypospolitej Polskiej mam zaszczyt przesłać Panu Marszałkowi do rozpatrzenia przez Senat uchwaloną przez Sejm Rzeczypospolitej Polskiej na 64. posiedzeniu w dniu 18 grudnia 2003 r. ustawę
o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.
Z poważaniem
(-) Marek Borowski
USTAWA
z dnia 18 grudnia 2003 r.
o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe
Art. 1.
W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271) wprowadza się następujące zmiany:
1) w art. 2 ust. 2 otrzymuje brzmienie:
"2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księ
2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.";
2) art. 3 otrzymuje brzmienie:
"Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu t
erytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania p
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rz
eczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.";3) dodaje się art. 3a w brzmieniu:
"Art. 3a. 1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach
2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do prz
ekazywania danych.2. Ustawy, z wyjątkiem przepisów art. 14-18 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.
1)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.";4) w art. 7:
a) pkt 4 otrzymuje brzmienie:
"4) administratorze danych - rozumie się przez to organ, jednostkę organiz
acyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,",b) w pkt 5 kropkę zastępuje się przecinkiem i dodaje się pkt 6 i 7 w brzmieniu:
"6) odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upowaz nionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
e) organów państwowych lub organów samorządu terytorialnego, kt
órym dane są udostępniane w związku z prowadzonym postępowaniem,7) państwie trzecim - rozumie się przez to państwo nienależące do Europe
jskiego Obszaru Gospodarczego.";5) dodaje się art. 12a w brzmieniu:
"Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu może powołać nie więcej niż dwóch zastępców Generalnego Inspektora. Odwołanie zastępców Generalnego Inspektora następuje w tym samym trybie.
2. Generalny Inspektor określa zakres zadań swoich zastępców.
3. Zastępcy Generalnego Inspektora powinni spełniać wymogi określone w art. 8 ust. 3 pkt 1, 2 i 4 oraz posiadać wyższe wykształcenie i odpowiednie doświadczenie zawodowe.";
6) w art. 13 uchyla się ust. 2;
7) art. 14 otrzymuje brzmienie:
"Art. 14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępcy Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo:
1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w kt
órym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, z zachowaniem przepisó
w o tajemnicy ustawowo chronionej,4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania d
anych,5) zlecać sporządzanie ekspertyz i opinii.";
8) w art. 15 ust. 1 otrzymuje brzmienie:
"1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umoz liwić inspektorowi przeprowadzenie kontroli, a w szczegó lności umoz liwić
przeprowadzenie czynności oraz spełnić z ądania, o któ rych mowa w art. 14 pkt 1-4.";9) w art. 18 ust. 1 otrzymuje brzmienie:
"1. W przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej
, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostę
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.";
10) dodaje się art. 22a w brzmieniu:
"Art. 22a. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzór upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1, uwzględniając konieczność imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.";
11) w art. 23 w ust. 1:
a) pkt 2 i 3 otrzymują brzmienie:
"2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowią
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,",
b) pkt 5 otrzymuje brzmienie:
"5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.";
12) w art. 24 w ust. 1 pkt 3 otrzymuje brzmienie:
"3) prawie dostępu do treści swoich danych oraz ich poprawiania,";
13) w art. 25:
a) w ust. 1 pkt 4 otrzymuje brzmienie:
"4) prawie dostępu do treści swoich danych oraz ich poprawi
ania,",b) w ust. 2:
- uchyla się pkt 2 i 4,
- pkt 5 otrzymuje brzmienie:
"5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 p
kt 1, na podstawie przepisów prawa,";14) w art. 29 ust. 1 otrzymuje brzmienie:
"1. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawniony
m do ich otrzymania na mocy przepisów prawa.";15) w art. 30 pkt 2 otrzymuje brzmienie:
"2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku p
ublicznego,";16) w art. 31:
a) ust. 3 otrzymuje brzmienie:
"3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o kt
órych mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.",b) dodaje się ust. 5 w brzmieniu:
"5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się o
17) w rozdziale 3 dodaje się art. 31a w brzmieniu:
"Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.";
18) w art. 32 w ust. 1 dodaje się pkt 5a w brzmieniu:
"5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2,";
19) w art. 33 w ust. 1 zdanie wstępne otrzymuje brzmienie:
"Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:";
20) rozdział 5 otrzymuje brzmienie:
"Rozdział 5
Zabezpieczenie danych osobowych
"Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych os
obowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora bezpieczeństwa i
nformacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby p
osiadające upoważnienie nadane przez administratora danych.Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie inform
atycznym.2. Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Art. 39a. Minister właściwy do spraw administracji publicznej w porozumi
eniu z ministrem właściwym do spraw informatyzacji, określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.";21) w art. 41:
a) w ust. 1:
- pkt 2 otrzymuje brzmienie:
"2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru po
dmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania,",- pkt 3 otrzymuje brzmienie:
"3) cel przetwarzania danych,",
- dodaje się pkt 3a w brzmieniu:
"3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,",
- pkt 6 otrzymuje brzmienie:
"6) informację o sposobie wypełnienia wymagań technicznych i organ
izacyjnych, o których mowa w art. 39a,",- pkt 7 otrzymuje brzmienie:
"7) informację dotyczącą ewentualnego przekazywania danych do pań
stwa trzeciego.",b) ust. 2 otrzymuje brzmienie:
"2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspekt
orowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych.";22) w art. 42:
a) ust. 1 otrzymuje brzmienie:
"1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr powinien zawierać informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7.",
b) ust. 3 otrzymuje brzmienie:
"3. Na żądanie administratora danych może być wydane zaświadczenie o z
arejestrowaniu zgłoszonego przez niego zbioru danych, z zastrzeżeniem ust. 4.",c) dodaje się ust. 4 w brzmieniu:
"4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1, zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.";
23) w art. 43 w ust. 1 pkt 3 i 4 otrzymują brzmienie:
"3) dotyczących osó
b nalez ących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im
usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,";24) w art. 44:
a) w ust. 1 pkt 3 otrzymuje brzmienie:
"3) urządzenia i systemy informatyczne służące do przetwarzania zbioru d
anych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.",b) ust. 2 otrzymuje brzmienie:
"2. Odmawiając rejestracji zbioru danych, Generalny Inspektor, w drodze d
ecyzji administracyjnej, nakazuje:1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub
2) zastosowanie innych środków, o których mowa w art. 18 ust. 1.",
c) uchyla się ust. 3;
25) dodaje się art. 44a w brzmieniu:
"Art. 44a. Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli:
1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
2) rejestracji dokonano z naruszeniem prawa.";
26) art. 45 uchyla się;
27) art. 46 otrzymuje brzmienie:
"Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Genera
lnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.2. Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.";
28) dodaje się art. 46a w brzmieniu:
"Art. 46a. Minister właściwy do spraw administracji publicznej określi, w dr
29) tytuł rozdziału 7 otrzymuje brzmienie:
"Przekazywanie danych osobowych do państwa trzeciego";
30) w art. 47:
a) ust. 1 otrzymuje brzmienie:
"1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe
daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.",b) w ust. 3 zdanie wstępne otrzymuje brzmienie:
"Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:";
31) art. 48 otrzymuje brzmienie:
"Art. 48. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekaz
anie danych osobowych do państwa trzeciego, który nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.".
Art. 2.
W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz.U. Nr 20, poz. 101, z pó źn. zm.2)) w art. 2 pkt 4 otrzymuje brzmienie:
"4) Prezesa Polskiej Akademii Nauk, sekretarza stanu, członka Krajowej Rady Radiofonii i Telewizji, pierwszego zastępcy Prezesa Narodowego Banku Po
lskiego, podsekretarza stanu (wiceministra), wiceprezesa Narodowego Banku Polskiego, Sekretarza Komitetu Integracji Europejskiej, Zastępcy Rzecznika Praw Obywatelskich, Zastępcy Generalnego Inspektora Ochrony Danych Osobowych, Rzecznika Ubezpieczonych, kierownika urzędu centralnego, wiceprezesa Polskiej Akademii Nauk, wojewody, zastępcy kierownika urzędu centralnego, wicewojewody.".
Art. 3.
Do postępowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy tej ustawy.
Art. 4.
Ustawa wchodzi w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej.
MARSZAŁEK SEJMU
(-) Marek BOROWSKI
1. Zmiany ustawy zostały ogłoszone w Dz.U z 1988 r. Nr 41, poz. 324, z 1989 r. Nr 34, poz. 187, z 1990 r. Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114, poz. 542, z 1997 r., Nr 88, poz. 554 i Nr 121, poz. 770, z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198 oraz z 2002 r. Nr 153, poz. 1271.
2. Zmiany ustawy zostały ogłoszone w Dz.U. z 1982 r. Nr 31, poz. 214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr 21, poz. 123, z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z 1995 r. Nr 34, poz. 163 i Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr 89, poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647, z 1997 r. Nr 75, poz. 469 i Nr 133, poz. 883, z 1998 r. Nr 155, poz. 1016 i Nr 160, poz. 1065, z 1999 r. Nr 110, poz. 1255, z 2000 r. Nr 6, poz. 69 i Nr 48, poz. 552, z 2001 r. Nr 154, poz. 1784 i 1800, z 2002 r. Nr 214, poz. 1805 i Nr 240, poz. 2052 oraz z 2003 r. Nr 45, poz. 391 i Nr 65, poz. 595.