Druk nr 730

26 lipca 2001 r.

SENAT

RZECZYPOSPOLITEJ POLSKIEJ

IV KADENCJA

MARSZAŁEK SEJMU

RZECZYPOSPOLITEJ POLSKIEJ

Pani
Alicja GRZEŚKOWIAK
MARSZAŁEK SENATU
RZECZYPOSPOLITEJ POLSKIEJ

Zgodnie z art. 121 ust. 1 Konstytucji Rzeczypospolitej Polskiej mam zaszczyt przekazać Pani Marszałek do rozpatrzenia przez Senat uchwaloną przez Sejm Rzeczypospolitej Polskiej na 114. posiedzeniu w dniu 26 lipca 2001 r. ustawę o zmianie ustawy o ochronie danych osobowych.

Jednocześnie pragnę poinformować, że ustawa ta została wniesiona przez Radę Ministrów w trybie art. 123 ust. 1 Konstytucji Rzeczypospolitej Polskiej.

(-) Maciej Płażyński

USTAWA

z dnia 26 lipca 2001 r.

o zmianie ustawy o ochronie danych osobowych

Art. 1.

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883, z 2000 r. Nr 12, poz. 136, Nr 50, poz. 580 i Nr 116, poz. 1216 oraz z 2001 r. Nr 42, poz. 474) wprowadza się następujące zmiany:

1) art. 6 otrzymuje brzmienie:

"Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.";

2) w art. 7 po pkt 2 dodaje się pkt 2a i 2b w brzmieniu:

"2a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,

2b) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,";

3) w art. 14 w pkt 1 skreśla się wyraz "zarejestrowany";

4) w art. 15 dotychczasową treść oznacza się jako ust. 1 oraz dodaje się ust. 2 w brzmieniu:

"2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.";

5) w art. 18 po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.";

6) w art. 23:

a) w ust. 1:

- pkt 3 otrzymuje brzmienie:

"3) jest wymagane zwyczajem lub prawem do zawarcia i realizacji umowy z osobą, której dane dotyczą, a także w celu dochodzenia przez strony umowy uzasadnionych roszczeń albo na życzenie tej osoby,",

- pkt 5 otrzymuje brzmienie:

"5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.",

b) po ust. 3 dodaje się ust. 4 w brzmieniu:

"4. Za usprawiedliwiony cel administratora danych, uważa się w szczególności:

1) marketing bezpośredni własnych produktów lub usług administratora danych,

2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.";

7) w art. 24 ust. 2 otrzymuje brzmienie:

"2. Przepisu ust. 1 nie stosuje się jeżeli:

1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,

2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.";

8) w art. 25 w ust. 2 w pkt 4 na końcu kropkę zastępuje się przecinkiem i dodaje się pkt 5 i 6 w brzmieniu:

"5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1, na podstawie przepisów prawa,

6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.";

9) po art. 26 dodaje się art. 26a w brzmieniu:

"Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.

2. Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą.";

10) w art. 27:

a) w ust. 1 po wyrazach "życiu seksualnym" dodaje się wyrazy "oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym",

b) w ust. 2 w pkt 8 na końcu kropkę zastępuje się przecinkiem i dodaje pkt 9 w brzmieniu:

"9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone.";

11) w art. 28 skreśla się ust. 1;

12) w art. 32:

a) w ust. 1 w pkt 8 na końcu kropkę zastępuje się przecinkiem i dodaje się pkt 9 w brzmieniu:

"9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.";

b) w ust. 2 wyraz "podejmuje" zastępuje się wyrazem "wydaje",

c) w ust. 3 dodaje się zdanie drugie w brzmieniu:

"Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.",

d) po ust. 3 dodaje się ust. 3a w brzmieniu:

"3a. W razie wniesienia żądania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję.";

13) w art. 35 po ust. 2 dodaje się ust. 3 w brzmieniu:

"3. Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym dane osobowe zostały udostępnione, o dokonanym uzupełnieniu, uaktualnieniu lub sprostowaniu danych.";

14) w art. 36 po wyrazach "zabraniem przez osobę nieuprawnioną," dodaje się wyrazy "przetwarzaniem z naruszeniem ustawy, zmianą, utratą,";

15) w art. 41 w ust. 1:

a) po pkt 4 dodaje się pkt 4a w brzmieniu:

"4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,",

b) w pkt 6 na końcu kropkę zastępuje się przecinkiem i dodaje się pkt 7 w brzmieniu:

"7) informację dotyczącą ewentualnego przekazywania danych za granicę.";

16) w art. 43:

a) w ust. 1 po pkt 1 dodaje się pkt 1a w brzmieniu:

"1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,",

b) w ust. 2 po wyrazach "o których mowa w ust. 1 pkt 1 i 3," dodaje się wyrazy "oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez służby ochrony państwa w rozumieniu ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. Nr 11, poz. 95, z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462 oraz z 2001 r. Nr 22, poz. 247 i Nr 27, poz. 298),".

Art. 2.

Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.