Zmiany przepisow ustawy z dnia 29 sierpnia 1997 r. oochronie danych osobowych

Porównanie przepisów ustawy z dnia 29. sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r., Nr 101, poz. 926, ze zm.) z przepisami ustawy z dnia 29. października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. 2010 r., Nr 229, poz. 1497).
Nowelizowany
przepis
Ustawa z dnia 29. sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.)Ustawa z dnia 29. października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. 2010 r., Nr 229, poz. 1497)
Art. 7 pkt 5Ilekroć w ustawie jest mowa o
zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,
Ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie,”;
Art. 12Do zadań Generalnego
Inspektora w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych,
3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
6) uczestniczenie w pracach międzynarodowych organizacji i instytucji
zajmujących się problematyką
ochrony danych osobowych.
Art. 12. Do zadań Generalnego Inspektora w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.(3)),
4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Art. 131. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
2.
3. Organizację oraz zasady działania Biura określa statut nadany, w drodze rozporządzania, przez Prezydenta Rzeczypospolitej Polskiej.
1. Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
1a. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie może wykonywać swoje zadania przy pomocy jednostek zamiejscowych Biura.
2.
3. Prezydent Rzeczypospolitej Polskiej, po zasięgnięciu opinii Generalnego Inspektora, w drodze rozporządzenia, nadaje statut Biuru, określając jego organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Biura.
Art. 151. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4.
2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
1. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1- 4.
2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
3. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową.
4. Imienne upoważnienie powinno zawierać:
1) wskazanie podstawy prawnej przeprowadzenia kontroli, 2) oznaczenie organu kontroli,
3) imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej,
4) określenie zakresu przedmiotowego kontroli,
5) oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli,
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli,
7) podpis Generalnego Inspektora,
8) pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach,
9) datę i miejsce wystawienia imiennego upoważnienia.”;
Art. 161. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.
2. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi.
3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
1. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.
1a. Protokół kontroli powinien zawierać:
1) nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres,
2) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora,
3) imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot,
4) datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w
kontroli,
5) określenie przedmiotu i zakresu kontroli,
6) opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
7) wyszczególnienie załączników stanowiących składową część protokołu,
8) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień,
9) parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu,
10) wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany,
11) wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu,
12) datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.
2. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi.
3. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
Art. 19a 1. W celu realizacji zadań, o których mowa w art. 12 pkt 6, Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
2. Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.
Art. 291. W przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
2. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek,
chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
4. Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
Uchylony
Art. 30Administrator danych odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom innym niż wymienione w art.
29 ust. 1, jeżeli spowodowałoby to:
1) ujawnienie wiadomości stanowiących tajemnicę państwową,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Uchylony
Art. 331.Na wniosek osoby, której
dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych,
informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać w formie zrozumiałej.
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.
2. Na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.
1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a.
Art. 34W sprawach informowania i
udostępniania danych osobie, której dane dotyczą, stosuje się przepisy art. 30.
Administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, jeżeli spowodowałoby to:
1) ujawnienie wiadomości zawierających informacje niejawne,
2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Art. 411. Zgłoszenie zbioru danych do rejestracji powinno zawierać:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych
osobowych,
2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania,
3) cel przetwarzania danych,
3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
4) sposób zbierania oraz udostępniania danych,
4a)informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych.
1. Zgłoszenie zbioru danych do rejestracji powinno zawierać:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lubwyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
3) cel przetwarzania danych,
3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
4) sposób zbierania oraz udostępniania danych,
4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
6) (informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
7) (informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
2. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych, z zastrzeżeniem ust. 3.
3. Jeżeli zmiana informacji, o której mowa w ust. 1 pkt 3a, dotyczy rozszerzenia zakresu przetwarzanych danych o dane, o których mowa w art. 27 ust. 1, administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.
4. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych.
Art. 44 ust. 1
pkt 2
Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
2) przetwarzanie danych naruszałoby zasady określone w art. 23-30,
Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
2) przetwarzanie danych naruszałoby zasady określone w art. 23-28,
Art. 50Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.Uchylony
Art. 54a Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2..

Zobacz również:

Leave a Comment

*

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.