Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych1)
o przepisie
art./§
pełną treść
widoczną część
powiązane
powiązane
Uwaga od redakcji:
Z dniem 25.05.2018 r. zgodnie z art. 175 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) niniejsza ustawa utraciła moc, z wyjątkiem art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziałów 4, 5 i 7, które w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89), zachowały moc do czasu wejścia w życie art. 107 ustawy z dnia 14.12.2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), który wszedł w życie z dniem 6.02.2019 r.
Organ ochrony danych osobowych
Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej "Generalnym Inspektorem".
2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
3. Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia następujące warunki:
1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej;
2) wyróżnia się wysokim autorytetem moralnym;
3) posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe;
4) nie był karany za przestępstwo.
4. Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie.
5. Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania. Po upływie kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska przez nowego Generalnego Inspektora.
6. Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje.
7. Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.
8. Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli:
1) zrzekł się stanowiska;
2) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby;
3) sprzeniewierzył się złożonemu ślubowaniu;
4) został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.
Art. 9. Przed przystąpieniem do wykonywania obowiązków Generalny Inspektor składa przed Sejmem następujące ślubowanie:
"Obejmując stanowisko Generalnego Inspektora Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i bezstronnie."
Ślubowanie może być złożone z dodaniem słów "Tak mi dopomóż Bóg".
Art. 10. 1. Generalny Inspektor nie może zajmować innego stanowiska, z wyjątkiem stanowiska profesora szkoły wyższej, ani wykonywać innych zajęć zawodowych.
2. Generalny Inspektor nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.
Art. 11. 1. Generalny Inspektor nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.
2. Generalny Inspektor może wyrazić zgodę na pociągnięcie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym przepisie.
3. W przypadku popełnienia przez Generalnego Inspektora wykroczenia, o którym mowa w rozdziale XI ustawy z dnia 20 maja 1971 r. - Kodeks wykroczeń (Dz. U. z 2015 r. poz. 1094, 1485, 1634 i 1707), przyjęcie przez Generalnego Inspektora mandatu karnego albo uiszczenie grzywny, w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. - Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2013 r. poz. 395, z późn. zm.), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągnięcie go do odpowiedzialności w tej formie.
4. Generalny Inspektor nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.
Art. 11a. Przedawnienie w postępowaniu karnym czynu objętego immunitetem nie biegnie w okresie korzystania z immunitetu.
Art. 11b. 1. Wniosek o wyrażenie zgody na pociągnięcie Generalnego Inspektora do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia publicznego składa się za pośrednictwem Prokuratora Generalnego.
2. Wniosek o wyrażenie zgody na pociągnięcie Generalnego Inspektora do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia prywatnego składa oskarżyciel prywatny, po wniesieniu sprawy do sądu.
3. Wniosek, o którym mowa w ust. 2, sporządza i podpisuje adwokat lub radca prawny, z wyjątkiem wniosków składanych w swoich sprawach przez sędziów, prokuratorów, adwokatów, radców prawnych, notariuszy oraz profesorów i doktorów habilitowanych nauk prawnych.
4. Wnioski, o których mowa w ust. 1 i 2, powinny zawierać:
1) oznaczenie wnioskodawcy oraz pełnomocnika, o ile został ustanowiony;
2) imię i nazwisko oraz datę i miejsce urodzenia Generalnego Inspektora;
3) wskazanie podstawy prawnej wniosku;
4) dokładne określenie czynu, którego dotyczy wniosek, ze wskazaniem czasu, miejsca, sposobu i okoliczności jego popełnienia oraz jego skutków, a zwłaszcza charakteru powstałej szkody;
5) uzasadnienie.
Art. 11c. 1. Wniosek o wyrażenie zgody na pociągnięcie Generalnego Inspektora do odpowiedzialności karnej składa się Marszałkowi Sejmu.
2. Jeżeli wniosek nie spełnia wymogów formalnych, o których mowa w art. 11b ust. 3 lub 4, Marszałek Sejmu wzywa wnioskodawcę do poprawienia lub uzupełnienia wniosku w terminie 14 dni, wskazując niezbędny zakres poprawienia lub uzupełnienia. W przypadku niepoprawienia lub nieuzupełnienia wniosku we wskazanym terminie i zakresie Marszałek Sejmu postanawia o pozostawieniu wniosku bez biegu.
3. Jeżeli wniosek spełnia wymogi formalne, o których mowa w art. 11b ust. 3 i 4, Marszałek Sejmu kieruje go do organu właściwego na podstawie regulaminu Sejmu do rozpatrzenia wniosku, zawiadamiając jednocześnie Generalnego Inspektora o treści wniosku.
4. Organ właściwy do rozpatrzenia wniosku powiadamia Generalnego Inspektora o terminie rozpatrzenia wniosku. Pomiędzy doręczeniem powiadomienia a terminem rozpatrzenia wniosku, o ile nie zachodzi wypadek niecierpiący zwłoki, powinno upłynąć co najmniej 7 dni.
5. Na żądanie organu właściwego do rozpatrzenia wniosku sąd albo odpowiedni organ, przed którym toczy się postępowanie wobec Generalnego Inspektora, udostępnia akta postępowania.
6. Generalny Inspektor przedstawia organowi właściwemu do rozpatrzenia wniosku wyjaśnienia i własne wnioski w tej sprawie w formie pisemnej lub ustnej.
7. Po rozpatrzeniu sprawy, organ właściwy do rozpatrzenia wniosku uchwala sprawozdanie wraz z propozycją przyjęcia lub odrzucenia wniosku.
8. W trakcie rozpatrywania przez Sejm sprawozdania, o którym mowa w ust. 7, Generalnemu Inspektorowi przysługuje prawo do zabrania głosu.
9. Sejm wyraża zgodę na pociągnięcie Generalnego Inspektora do odpowiedzialności karnej w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na pociągnięcie Generalnego Inspektora do odpowiedzialności karnej.
Art. 11d. 1. Zakaz zatrzymania, o którym mowa w art. 11, obejmuje wszelkie formy pozbawienia lub ograniczenia wolności osobistej Generalnego Inspektora przez organy stosujące przymus.
2. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Generalnego Inspektora składa się za pośrednictwem Prokuratora Generalnego.
3. Wniosek, o którym mowa w ust. 2, powinien zawierać:
1) oznaczenie wnioskodawcy;
2) imię i nazwisko oraz datę i miejsce urodzenia Generalnego Inspektora;
3) dokładne określenie czynu oraz jego kwalifikację prawną;
4) podstawę prawną zastosowania określonego środka;
5) uzasadnienie, wskazujące w szczególności na konieczność zastosowania określonego środka.
4. Do postępowania z wnioskiem o wyrażenie zgody na zatrzymanie lub aresztowanie Generalnego Inspektora przepisy art. 11c ust. 1-8 stosuje się odpowiednio.
5. Sejm wyraża zgodę na zatrzymanie lub aresztowanie Generalnego Inspektora w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na zatrzymanie lub aresztowanie Generalnego Inspektora.
6. Wymóg uzyskania zgody Sejmu nie dotyczy wykonania kary pozbawienia wolności orzeczonej prawomocnym wyrokiem sądu.
Art. 11e. 1. Marszałek Sejmu przesyła wnioskodawcy niezwłocznie uchwałę, o której mowa w art. 11c ust. 9 i art. 11d ust. 5.
2. Uchwały, o których mowa w ust. 1, podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej "Monitor Polski".
Art. 11f. Przepisy ustawy dotyczące odpowiedzialności karnej Generalnego Inspektora stosuje się odpowiednio do odpowiedzialności za wykroczenia.
Art. 11g. Szczegółowy tryb postępowania w sprawach, o których mowa w art. 11a-11f, określa regulamin Sejmu.
Art. 12. Do zadań Generalnego Inspektora w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;
3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2016 r. poz. 599);
4) prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji;
5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;
6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu może powołać zastępcę Generalnego Inspektora. Odwołanie zastępcy Generalnego Inspektora następuje w tym samym trybie.
2. Generalny Inspektor określa zakres zadań swojego zastępcy.
3. Zastępca Generalnego Inspektora powinien spełniać wymogi określone w art. 8 ust. 3 pkt 1, 2 i 4 oraz posiadać wyższe wykształcenie i odpowiednie doświadczenie zawodowe.
Art. 13. 1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie może wykonywać swoje zadania przy pomocy jednostek zamiejscowych Biura.
2. (uchylony)
3. Prezydent Rzeczypospolitej Polskiej, po zasięgnięciu opinii Generalnego Inspektora, w drodze rozporządzenia, nadaje statut Biuru, określając jego organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Biura.
Art. 14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo:
1) wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych;
5) zlecać sporządzanie ekspertyz i opinii.
Art. 15. 1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4.
2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
3. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową.
4. Imienne upoważnienie powinno zawierać:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu kontroli;
3) imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej;
4) określenie zakresu przedmiotowego kontroli;
5) oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli;
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;
7) podpis Generalnego Inspektora;
8) pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach;
9) datę i miejsce wystawienia imiennego upoważnienia.
Art. 16. 1. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.
1a. Protokół kontroli powinien zawierać:
1) nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres;
2) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;
3) imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
4) datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;
5) określenie przedmiotu i zakresu kontroli;
6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) wyszczególnienie załączników stanowiących składową część protokołu;
8) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
9) parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;
10) wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;
11) wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;
12) datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.
2. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi.
3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
Art. 17. 1. Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18.
2. Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5) zabezpieczenie danych lub przekazanie ich innym podmiotom;
6) usunięcie danych osobowych.
2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.
2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
3. W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa w ust. 1, stosuje się przepisy tych ustaw.
Art. 19. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Art. 19a. 1. W celu realizacji zadań, o których mowa w art. 12 pkt 6, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
2. Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.
Art. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.
2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.
3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.
Art. 20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych.
Art. 21. 1. Strona może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy.
2. Na decyzję Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu administracyjnego.
Art. 22. Postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej.
Art. 22a. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wzór upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1, uwzględniając konieczność imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.
PREMIUM