Druk nr 569

22 grudnia 2003 r.

SENAT

RZECZYPOSPOLITEJ POLSKIEJ

V KADENCJA

MARSZAŁEK SEJMU

RZECZYPOSPOLITEJ POLSKIEJ

Pan
Longin PASTUSIAK
MARSZAŁEK SENATU
RZECZYPOSPOLITEJ POLSKIEJ

Zgodnie z art. 121 ust. 1 Konstytucji Rzeczypospolitej Polskiej mam zaszczyt przesłać Panu Marszałkowi do rozpatrzenia przez Senat uchwaloną przez Sejm Rzeczypospolitej Polskiej na 64. posiedzeniu w dniu 18 grudnia 2003 r. ustawę

o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe.

Z poważaniem

(-) Marek Borowski


USTAWA

z dnia 18 grudnia 2003 r.

o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe

 

Art. 1.

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271) wprowadza się następujące zmiany:

1) w art. 2 ust. 2 otrzymuje brzmienie:

"2. Ustawę stosuje się do przetwarzania danych osobowych:

1) w kartotekach, skorowidzach, księgach, wykazach i  w  innych zbiorach ewidencyjnych,

2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.";

2) art. 3 otrzymuje brzmienie:

"Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.

2. Ustawę stosuje się również do:

1) podmiotów niepublicznych realizujących zadania publiczne,

2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych

- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.";

3) dodaje się art. 3a w brzmieniu:

"Art. 3a. 1. Ustawy nie stosuje się do:

1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,

2) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.

2. Ustawy, z wyjątkiem przepisów art. 14-18 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.1)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.";

4) w art. 7:

a) pkt 4 otrzymuje brzmienie:

"4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,",

b) w pkt 5 kropkę zastępuje się przecinkiem i dodaje się pkt 6 i 7 w brzmieniu:

"6) odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

a) osoby, której dane dotyczą,

b) osoby upowaz nionej do przetwarzania danych,

c) przedstawiciela, o którym mowa w art. 31a,

d) podmiotu, o którym mowa w art. 31,

e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem,

7) państwie trzecim - rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego.";

5) dodaje się art. 12a w brzmieniu:

"Art. 12a. 1. Na wniosek Generalnego Inspektora Marszałek Sejmu może powołać nie więcej niż dwóch zastępców Generalnego Inspektora. Odwołanie zastępców Generalnego Inspektora następuje w tym samym trybie.

2. Generalny Inspektor określa zakres zadań swoich zastępców.

3. Zastępcy Generalnego Inspektora powinni spełniać wymogi określone w art. 8 ust. 3 pkt 1, 2 i 4 oraz posiadać wyższe wykształcenie i odpowiednie doświadczenie zawodowe.";

6) w art. 13 uchyla się ust. 2;

7) art. 14 otrzymuje brzmienie:

"Art. 14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępcy Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo:

1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,

2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, z zachowaniem przepisó w o tajemnicy ustawowo chronionej,

4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

5) zlecać sporządzanie ekspertyz i opinii.";

8) w art. 15 ust. 1 otrzymuje brzmienie:

"1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umoz liwić inspektorowi przeprowadzenie kontroli, a w szczegó lności umoz liwić przeprowadzenie czynności oraz spełnić z ądania, o któ rych mowa w art. 14 pkt 1-4.";

9) w art. 18 ust. 1 otrzymuje brzmienie:

"1. W przypadku naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych.";

10) dodaje się art. 22a w brzmieniu:

"Art. 22a. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzór upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1, uwzględniając konieczność imiennego wskazania inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.";

11) w art. 23 w ust. 1:

a) pkt 2 i 3 otrzymują brzmienie:

"2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,",

b) pkt 5 otrzymuje brzmienie:

"5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.";

12) w art. 24 w ust. 1 pkt 3 otrzymuje brzmienie:

"3) prawie dostępu do treści swoich danych oraz ich poprawiania,";

13) w art. 25:

a) w ust. 1 pkt 4 otrzymuje brzmienie:

"4) prawie dostępu do treści swoich danych oraz ich poprawiania,",

b) w ust. 2:

- uchyla się pkt 2 i 4,

- pkt 5 otrzymuje brzmienie:

"5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa,";

14) w art. 29 ust. 1 otrzymuje brzmienie:

"1. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.";

15) w art. 30 pkt 2 otrzymuje brzmienie:

"2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,";

16) w art. 31:

a) ust. 3 otrzymuje brzmienie:

"3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art.   36-39, oraz spełnić wymagania określone w  przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.",

b) dodaje się ust. 5 w brzmieniu:

"5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.";

17) w rozdziale 3 dodaje się art. 31a w brzmieniu:

"Art. 31a. W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.";

18) w art. 32 w ust. 1 dodaje się pkt 5a w brzmieniu:

"5a) uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2,";

19) w art. 33 w ust. 1 zdanie wstępne otrzymuje brzmienie:

"Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej:";

20) rozdział 5 otrzymuje brzmienie:

"Rozdział 5

Zabezpieczenie danych osobowych

"Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

2. Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 39a. Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji, określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.";

21) w art. 41:

a) w ust. 1:

- pkt 2 otrzymuje brzmienie:

"2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania,",

- pkt 3 otrzymuje brzmienie:

"3) cel przetwarzania danych,",

- dodaje się pkt 3a w brzmieniu:

"3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,",

- pkt 6 otrzymuje brzmienie:

"6) informację o sposobie wypełnienia wymagań technicznych i organizacyjnych, o których mowa w art. 39a,",

- pkt 7 otrzymuje brzmienie:

"7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.",

b) ust. 2 otrzymuje brzmienie:

"2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych.";

22) w art. 42:

a) ust. 1 otrzymuje brzmienie:

"1. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr powinien zawierać informacje, o których mowa w art. 41 ust. 1 pkt 1-4a i 7.",

b) ust. 3 otrzymuje brzmienie:

"3. Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych, z zastrzeżeniem ust. 4.",

c) dodaje się ust. 4 w brzmieniu:

"4. Generalny Inspektor wydaje administratorowi danych, o których mowa w art. 27 ust. 1, zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.";

23) w art. 43 w ust. 1 pkt 3 i 4 otrzymują brzmienie:

"3) dotyczących osó b nalez ących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,";

24) w art. 44:

a) w ust. 1 pkt 3 otrzymuje brzmienie:

"3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.",

b) ust. 2 otrzymuje brzmienie:

"2. Odmawiając rejestracji zbioru danych, Generalny Inspektor, w drodze decyzji administracyjnej, nakazuje:

1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub

2) zastosowanie innych środków, o których mowa w art. 18 ust. 1.",

c) uchyla się ust. 3;

25) dodaje się art. 44a w brzmieniu:

"Art. 44a. Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli:

1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze,

2) rejestracji dokonano z naruszeniem prawa.";

26) art. 45 uchyla się;

27) art. 46 otrzymuje brzmienie:

"Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.

2. Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.";

28) dodaje się art. 46a w brzmieniu:

"Art. 46a. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzór zgłoszenia, o którym mowa w art. 41 ust. 1, uwzględniając obowiązek zamieszczenia informacji niezbędnych do stwierdzenia zgodności przetwarzania danych z wymogami ustawy.";

29) tytuł rozdziału 7 otrzymuje brzmienie:

"Przekazywanie danych osobowych do państwa trzeciego";

30) w art. 47:

a) ust. 1 otrzymuje brzmienie:

"1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.",

b) w ust. 3 zdanie wstępne otrzymuje brzmienie:

"Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:";

31) art. 48 otrzymuje brzmienie:

"Art. 48. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do państwa trzeciego, który nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.".

 

Art. 2.

W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz.U. Nr 20, poz. 101, z pó źn. zm.2)) w art. 2 pkt 4 otrzymuje brzmienie:

"4) Prezesa Polskiej Akademii Nauk, sekretarza stanu, członka Krajowej Rady Radiofonii i Telewizji, pierwszego zastępcy Prezesa Narodowego Banku Polskiego, podsekretarza stanu (wiceministra), wiceprezesa Narodowego Banku Polskiego, Sekretarza Komitetu Integracji Europejskiej, Zastępcy Rzecznika Praw Obywatelskich, Zastępcy Generalnego Inspektora Ochrony Danych Osobowych, Rzecznika Ubezpieczonych, kierownika urzędu centralnego, wiceprezesa Polskiej Akademii Nauk, wojewody, zastępcy kierownika urzędu centralnego, wicewojewody.".

 

Art. 3.

Do postępowań wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy tej ustawy.

 

Art. 4.

Ustawa wchodzi w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej.

MARSZAŁEK SEJMU

(-) Marek BOROWSKI


1. Zmiany ustawy zostały ogłoszone w Dz.U z 1988 r. Nr 41, poz. 324, z 1989 r. Nr 34, poz. 187, z 1990 r. Nr 29, poz. 173, z 1991 r. Nr 100, poz. 442, z 1996 r. Nr 114, poz. 542, z 1997 r., Nr 88, poz. 554 i Nr 121, poz. 770, z 1999 r. Nr 90, poz. 999, z 2001 r. Nr 112, poz. 1198 oraz z 2002 r. Nr 153, poz. 1271.

2. Zmiany ustawy zostały ogłoszone w Dz.U. z 1982 r. Nr 31, poz. 214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr 21, poz. 123, z 1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z 1995 r. Nr 34, poz. 163 i Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr 89, poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647, z 1997 r. Nr 75, poz. 469 i Nr 133, poz. 883, z 1998 r. Nr 155, poz. 1016 i Nr 160, poz. 1065, z 1999 r. Nr 110, poz. 1255, z 2000 r. Nr 6, poz. 69 i Nr 48, poz. 552, z 2001 r. Nr 154, poz. 1784 i 1800, z 2002 r. Nr 214, poz. 1805 i Nr 240, poz. 2052 oraz z 2003 r. Nr 45, poz. 391 i Nr 65, poz. 595.