Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Nowa ustawa o ochronie danych osobowych

29/03/2017

Ochrona Danych Osobowych, Ustawa O Ochronie Danych Osobowych,

Ministerstwo Cyfryzacji opublikowało roboczy projekt nowej ustawy o ochronie danych osobowych.


 

ustawa o ochronie danych osobowych

 

Rozdział ..

Przepisy ogólne

 

Art. 1. W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej rodziców bądź opiekunów prawnych.

 

Art. 2. 1. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej "Prezesem Urzędu", opracowuje i udostępnia na swojej stronie internetowej dobre praktyki przetwarzania danych osobowych, zwane dalej „dobrymi praktykami”, zawierające rekomendowane środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

2. Dobre praktyki sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i  podlegają okresowej aktualizacji.

3. Projekt dobrych praktyk Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.

 

 

Rozdział….

Akredytacja i certyfikacja

 

Art. 3. 1. Akredytacji, o której mowa w art. 43 rozporządzenia 2016/679, udziela Prezes Urzędu.

2. Kryteria akredytacji określa Prezes Urzędu, uwzględniając wymogi określone w art. 43 ust. 2 rozporządzenia 2016/679, i ogłasza w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Urzędu.

 

Art. 4.1. Akredytacji dokonuje się na wniosek.

2. Wniosek o akredytację zawiera co najmniej:

1) nazwę wnioskodawcy oraz wskazanie adresu jego siedziby;

2) informacje potwierdzające spełnienie kryteriów, o których mowa w art. 3 ust. 2.

3. Do wniosku dołącza się:

1) dokumenty potwierdzające spełnienie kryteriów, o których mowa w art. 3 ust. 2 albo ich elektroniczne kopie;

2) kryteria certyfikacji opracowane przez wnioskodawcę w celu ich zatwierdzenia przez Prezesa Urzędu.

3. Wniosek składa się w postaci papierowej albo elektronicznej.

4. Prezes Urzędu rozpatruje wniosek o akredytację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia akredytacji.

5. Zawiadamiając o udzieleniu akredytacji, Prezes Urzędu informuje wnioskodawcę o przyznaniu mu uprawnień podmiotu certyfikującego.

6.  Odmowa udzielenia akredytacji następuje w przypadku stwierdzenia, że wnioskodawca nie spełnia kryteriów, o których mowa w art. 3 ust. 2, lub w przypadku nie zatwierdzenia kryteriów certyfikacji.

7. Prezes Urzędu zawiadamia wnioskodawcę o odmowie udzielenia akredytacji.

 

Art. 5. 1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.

2. Certyfikat akredytacyjny zawiera co najmniej:

1)   oznaczenie organu udzielającego akredytacji i adres jego siedziby;

2) oznaczenie podmiotu certyfikującego i adres jego siedziby;

2)   numer i oznaczenie certyfikatu akredytacyjnego;

3)   okres, na jaki została udzielona akredytacja;

4)   datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.

3. W okresie, na jaki została udzielona akredytacja podmiot certyfikujący jest obowiązany spełniać kryteria akredytacji.

4. Prezes Urzędu prowadzi wykaz podmiotów certyfikujących i ogłasza go w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Urzędu. 

5. W przypadku, gdy podmiot certyfikujący:

1) przestał spełniać kryteria akredytacji, o których mowa w art. 3 ust. 2;

2) nie stosuje zatwierdzonych kryteriów certyfikacji;

3) podejmuje działania naruszające przepisy o ochronie danych osobowych

- Prezes Urzędu może cofnąć udzieloną akredytację.

6. Prezes Urzędu zawiadamia podmiot certyfikujący o cofnięciu akredytacji.

 

Art. 6. 1. Prezes Urzędu w terminie, o którym mowa w art. 4 ust. 4, a także po udzieleniu akredytacji  jest uprawniony do przeprowadzenia czynności sprawdzających u podmiotu certyfikującego.

2. Prezes Urzędu zawiadamia podmiot certyfikujący o zamiarze przeprowadzenia czynności sprawdzających.

3. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.

4. Czynności sprawdzające przeprowadza się na podstawie upoważnienia wydanego przez Prezesa Urzędu, które zawiera:

1)   imię i nazwisko osoby przeprowadzającej czynności sprawdzające;

2)   nazwę podmiotu certyfikującego;

3)   zakres czynności sprawdzających.

 

Art. 7. 1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:

1)   wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;

2)  wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą akredytacją;

3) oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4) uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą akredytacją.

2.  Czynności sprawdzających dokonuje się w obecności podmiotu certyfikującego lub osoby przez niego upoważnionej.

3. Z czynności sprawdzających sporządza się protokół i przedstawia podmiotowi certyfikującemu.

 

Art. 8. Prezes Urzędu  pobiera opłatę za udzielenie akredytacji w wysokości nie przekraczającej ………….. zł.

 

Art. 9. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, udzielają podmioty certyfikujące.

 

Art. 10. 1. Certyfikacji dokonuje się na wniosek administratora lub podmiotu przetwarzającego.

2. Wniosek o certyfikację zawiera co najmniej:

1) nazwę administratora lub podmiotu przetwarzającego albo jego imię i nazwisko oraz wskazanie siedziby lub adresu zamieszkania administratora lub podmiotu przetwarzającego;

2) informacje potwierdzające spełnianie kryteriów certyfikacji.

3. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów certyfikacji albo ich elektroniczne kopie.

4. Wniosek składa się w postaci papierowej albo elektronicznej.

5. Podmiot certyfikujący rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia certyfikacji.

6. Odmowa certyfikacji następuje w przypadku stwierdzenia, że administrator lub podmiot przetwarzający nie spełnia kryteriów certyfikacji.

7. Podmiot certyfikujący zawiadamia administratora lub podmiot przetwarzający o odmowie udzielenia certyfikacji wskazując kryteria, których nie spełnienie było powodem odmowy.

 

Art. 11. 1. Dokumentem potwierdzającym certyfikację jest certyfikat.

2. Certyfikat zawiera co najmniej:

1)   oznaczenie administratora lub podmiotu przetwarzającego;

2)   nazwę podmiotu certyfikującego oraz wskazanie adresu jego siedziby;

3)   numer i oznaczenie certyfikatu;

4)   okres, na jaki została udzielona certyfikacja;

5)   datę wydania i podpis osoby uprawnionej do reprezentacji podmiotu certyfikującego.

3. W okresie, na jaki została udzielona certyfikacja administrator lub podmiot przetwarzający są obowiązani spełniać kryteria certyfikacji.

4. Podmiot certyfikujący prowadzi publicznie dostępny wykaz administratorów i podmiotów przetwarzających, którym udzielono certyfikacji. 

5. W przypadku naruszenia kryteriów certyfikacji podmiot certyfikujący  może cofnąć udzieloną certyfikację.

 

Art. 12. 1. Podmiot certyfikujący w terminie, o którym mowa w art. 10 ust. 5, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora lub podmiotu przetwarzającego w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

2. Do czynności sprawdzających stosuje się przepisy art. 6 ust. 2-4 i art. 7.

 

Art. 13. 1. Podmiot certyfikujący może cofnąć udzieloną certyfikację w przypadku stwierdzenia, że administrator lub podmiot przetwarzający przestał spełniać kryteria certyfikacji.

2. Podmiot certyfikujący zawiadamia administratora lub podmiot przetwarzający o cofnięciu certyfikacji wskazując kryteria, których nie spełnienie było powodem cofnięcia certyfikacji.

 

Art. 14.  Podmiot certyfikujący pobiera opłatę za udzielenie certyfikacji w wysokości nie przekraczającej …….zł.

 

 

Rozdział …

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

 

Art. 15. 1. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

2. Postępowanie jest postępowaniem jednoinstancyjnym.

 

Art. 16. Gdy prawa osoby przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, organizacja społeczna może występować z żądaniem:

1)     wszczęcia postępowania,

2)     dopuszczenia jej do udziału w postępowaniu,

jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone.

 

Art. 17. O każdym przypadku niezałatwienia sprawy w terminie Prezes Urzędu jest obowiązany zawiadomić strony, podając przyczyny zwłoki, informację o stanie sprawy i przeprowadzonych w jej toku czynnościach oraz wskazując nowy termin załatwienia sprawy.

 

Art. 18. 1. Prezes Urzędu może wyznaczyć stronie termin do przedstawienia dowodu będącego w jej posiadaniu.

2. Termin ustala się uwzględniając charakter dowodu i stan postępowania, przy czym nie może on być krótszy niż 3 dni.

3. Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Czynności te strona jest obowiązana wykonać na własny koszt.

 

Art. 19. 1. Prawo Prezesa Urzędu do dostępu do wszelkich informacji, w tym danych osobowych, niezbędnych Prezesowi Urzędu do realizacji zadań podlega ograniczeniu ze względu na tajemnice ustawowo chronione.

2. Wykonywanie prawa, o którym mowa w ust. 1, jest możliwe na zasadach określonych w przepisach regulujących dostęp do tajemnic ustawowo chronionych.

 

Art. 20.1.  Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, dostarczane Prezesowi Urzędu.

2. Prezes Urzędu może uchylić zastrzeżenie w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa. 

3. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego przestrzegania.

 

Art. 21. 1. Prezes Urzędu na wniosek lub z urzędu może, w drodze postanowienia, w niezbędnym zakresie ograniczyć prawo wglądu do materiału dowodowego, jeżeli udostępnienie tego materiału groziłoby ujawnieniem tajemnicy przedsiębiorstwa, lub innych tajemnic podlegających ochronie na podstawie odrębnych przepisów.

2. Wniosek o ograniczenie prawa wglądu do materiału dowodowego składa się do Prezesa Urzędu wraz z uzasadnieniem oraz wersją dokumentu niezawierającą informacji objętych ograniczeniem, o którym mowa w ust. 1, ze stosowną adnotacją.

3. Jeżeli wniosek nie spełnia wymagań określonych w ust. 3, Prezes Urzędu wzywa wnioskodawcę do jego uzupełnienia w wyznaczonym terminie. W przypadku nieprzedłożenia w wyznaczonym terminie wersji dokumentu, o której mowa w ust. 3, wniosek pozostawia się bez rozpoznania.

4. Stronom udostępnia się materiał dowodowy niezawierający informacji objętych ograniczeniem, o którym mowa w ust. 1, ze stosowną adnotacją.

 

Art. 22.1. Kto, będąc obowiązany do osobistego stawienia się mimo prawidłowego wezwania nie stawił się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadnie odmówił złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej, może być ukarany karą grzywny do 500 zł. Na postanowienie o ukaraniu służy skarga do sądu administracyjnego.

2. Prezes Urzędu na wniosek ukaranego, złożony w ciągu 7 dni od daty doręczenia postanowienia o ukaraniu, może uznać za usprawiedliwioną nieobecność lub odmowę zeznania, wydania opinii albo okazania przedmiotu oględzin i zwolnić od kary grzywny. Na postanowienie o odmowie zwolnienia od kary grzywny służy skarga do sądu administracyjnego.

 

Art. 23. W toku postępowania  może być prowadzone postępowanie kontrolne, o którym mowa w rozdziale ...

 

Art. 24.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom  może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Przepisu art. 10 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego nie stosuje się.

2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

 

Art. 25.  Prezes Urzędu  wydaje decyzję o umorzeniu postępowania gdy żądanie wszczęcia postępowania zostało wniesione w sprawie, która jest przedmiotem postępowania toczącego się przed Prezesem Urzędu.

 

Art. 26. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu, w drodze decyzji, nakazuje:

1)     uwzględnienie żądań zawartych w skardze osoby, której dane dotyczą;

2)     dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679, ze wskazaniem, gdzie to właściwe, sposobu i terminu dostosowania;

3)     zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;

4)     wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych osobowych lub zakazu przetwarzania;

5)     sprostowanie lub usunięcie danych osobowych;

6)     powiadomienie odbiorców, którym dane osobowe zostały ujawnione o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych;

7)     zawieszenie przepływu danych do odbiorców w państwie trzecim lub do organizacji międzynarodowej.

2. Niezależnie od rozstrzygnięć, o których mowa w ust. 1, w decyzji Prezes Urzędu może nałożyć administracyjną karę pieniężną.

3.  Uzasadnienie faktyczne decyzji nakładającej administracyjną karę pieniężną poza elementami, o których mowa w art. 107 ust. 3 Kodeksu postępowania administracyjnego, zawiera wskazanie przesłanek z art. 83 ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.

 

Art. 27. W przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może, w drodze decyzji udzielić upomnienia.

 

Art. 28. 1. Decyzje Prezesa Urzędu, o których mowa w art. 26 ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.

2. Decyzje Prezesa Urzędu, o których mowa w art. 26 ust. 1, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

Art. 29.1. Decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu.

2. Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

 

Art. 30. Postanowienia wydane przez Prezesa Urzędu strona może zaskarżyć w skardze na decyzję Prezesa Urzędu.

 

Art. 31. W przypadku wniesienia skargi, jeżeli Prezes Urzędu uzna skargę za zasadną w całości, może, nie przekazując akt oraz odpowiedzi na skargę sądowi, w terminie 30 dni od dnia wniesienia skargi uchylić zaskarżoną decyzję i wydać nową, o czym niezwłocznie zawiadamia każdą ze stron, przesyłając im nową decyzję, od której stronom przysługuje skarga do sądu administracyjnego.

Art. 32. 1. W sprawach nieuregulowanych w ustawie do postępowania przed Prezesem Urzędu stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, z wyłączeniem przepisów art. 13, art. 66a oraz art. 114 - 122.

 

 

Rozdział …

Europejska współpraca administracyjna

 

Art. 33. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art. 24 ust. 1.

 

Art. 34. 1. Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej, powinny zostać przetłumaczone na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.

2. Wszelkie informacje kierowane do Prezesa Urzędu w związku z europejską współpracą administracyjną  powinny zostać przetłumaczone na język polski.

 

Art. 35. 1. W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez  Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji i niezwłocznie sporządza wykaz ustaleń.

2. Okresy, w których pracownicy organu nadzorczego innego państwa członkowskiego Unii Europejskiej przebywają na terytorium Rzeczypospolitej Polskiej, biorąc udział we wspólnej operacji, nie są uważane za okresy pobytu wpływające na zmianę miejsca zamieszkania dla celów opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.

 

Rozdział …

Postępowanie kontrolne

 

Art. 36. 1. Prezes Urzędu może prowadzić kontrole przestrzegania przepisów o ochronie danych osobowych.

2. Postępowanie kontrolne może być również prowadzone zgodnie z zatwierdzonym przez Prezes Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz.

 

Art. 37. 1. Kontrola może być przeprowadzona przez upoważnionego pracownika Urzędu, zwanego dalej „kontrolującym”.

2. Do udziału w kontroli Prezes Urzędu może upoważnić członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679.

 

Art. 38. 1. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego, jeżeli wyniki kontroli mogłyby oddziaływać na jego prawa lub obowiązki, na prawa lub obowiązki jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub kurateli. Powody wyłączenia kontrolującego trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.

2. Kontrolujący może być wyłączony, na wniosek lub z urzędu, z postępowania kontrolnego w każdym czasie, jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności.

3. O przyczynach powodujących wyłączenie kontrolujący lub kierownik jednostki kontrolowanej niezwłocznie zawiadamia Prezesa Urzędu.

4. O wyłączeniu kontrolującego postanawia Prezes Urzędu. Na postanowienie o wyłączeniu zażalenie nie przysługuje.

5. Do czasu wydania postanowienia kontrolujący podejmuje jedynie czynności niecierpiące zwłoki.

 

Art. 39. 1. Upoważnienie do przeprowadzenia kontroli zawiera:

1)     wskazanie podstawy prawnej przeprowadzenia kontroli;

2)     oznaczenie organu kontroli;

3)     imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, a w przypadku osób, o których mowa w art. 37 ust. 2, imiona i nazwiska tych osób oraz numer paszportu lub innego dokumentu potwierdzającego tożsamość;

4)     określenie zakresu przedmiotowego kontroli, w tym okresu objętego kontrolą;

5)     oznaczenie podmiotu objętego kontrolą zwanego dalej „kontrolowanym”;

6)     wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;

7)     podpis Prezesa Urzędu;

8)     pouczenie podmiotu objętego kontrolą o jego prawach i obowiązkach;

9)     datę i miejsce wystawienia imiennego upoważnienia.

2. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny lub przywołanemu świadkowi, którym powinien być funkcjonariusz publiczny, niebędący jednak pracownikiem organu przeprowadzającego kontrolę.

 

Art. 40. 1. W celu uzyskania informacji mogących stanowić dowód w sprawie kontrolujący ma prawo:

1)     wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;

2)     wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;

3)     przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4)     żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego.

2. Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach, o których mowa w  ust. 1 pkt 3.

3. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność z oryginałem potwierdza je kontrolujący, o czym czyni wzmiankę w protokole kontroli.

4. W toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego.

5. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych w rozumieniu przepisów o informatyzacji działalności podmiotów realizujących zadania publiczne, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

 

Art. 41.1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.

2. Przed rozpoczęciem przesłuchania kontrolujący obowiązany jest uprzedzić świadka o odpowiedzialności karnej za zeznanie nieprawdy lub zatajenie prawdy, a w sytuacji określonej w ust. 3, informuje go o przysługujących mu uprawnieniach.

3. Osoba, o której mowa w ust. 1, może odmówić udzielenia informacji lub współdziałania w toku kontroli tylko wtedy, gdy naraziłoby to ją lub jej małżonka, wstępnych, zstępnych, rodzeństwo oraz powinowatych w tej samej linii lub stopniu, jak również osoby pozostające w stosunku przysposobienia, opieki lub kurateli, a także osobę pozostającą we wspólnym pożyciu, na odpowiedzialność karną. Prawo odmowy udzielenia informacji lub współdziałania w toku kontroli trwa po ustaniu małżeństwa lub rozwiązaniu stosunku przysposobienia, opieki lub kurateli.

 

Art. 42. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

 

Art. 43. 1. Przebieg przeprowadzonej kontroli kontrolujący przedstawia w protokole kontroli.

2. Protokół kontroli powinien zawierać:

1)     wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;

2)     imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;

3)     imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia kontrolującego a w przypadku osób, o których mowa w art. 37 ust. 2, imię i nazwisko,  numer paszportu albo innego dokumentu potwierdzającego tożsamość oraz numer upoważnienia;

4)     datę rozpoczęcia i zakończenia czynności kontrolnych;

5)     określenie przedmiotu i zakresu kontroli;

6)     opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7)     wyszczególnienie załączników;

8)     omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;

9)     informację o pouczeniu kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu.

10)   datę i miejsce podpisania protokołu przez kontrolującego i kontrolowanego.

3. Protokół kontroli podpisują kontrolujący i kontrolowany.

4. Przed podpisaniem protokołu kontrolowany może, w terminie 7 dni od przedstawienia mu go do podpisu, złożyć na piśmie zastrzeżenia do tego protokołu.

5. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 4, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu w formie aneksu do protokołu.

6. W razie nieuwzględnienia zastrzeżeń w całości lub w części kontrolujący informuje o tym kontrolowanego na piśmie.

7. O odmowie podpisania protokołu kontrolujący czyni wzmiankę w protokole.

8. Protokół w postaci papierowej sporządza się w dwóch egzemplarzach, z których jeden pozostawia się kontrolowanemu, a w przypadku protokołu sporządzonego w postaci elektronicznej doręcza się go kontrolowanemu.

 

Art. 44.  Do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997 i 2255), z wyłączeniem art. 79, art. 82 i art. 83.

 

Art. 45. 1. Postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych.

2. Terminem zakończenia postępowania kontrolnego jest dzień podpisania protokołu kontrolnego przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 43 ust. 7.

3. W przypadku postępowania kontrolnego prowadzonego w toku postępowania administracyjnego terminu przewidzianego w ust. 1 nie wlicza się do terminów, o których mowa w art. 35 Kodeksu postępowania administracyjnego.

 

Art. 46. W razie stwierdzenia w toku postępowania kontrolnego naruszenia przepisów o ochronie danych osobowych Prezes Urzędu niezwłocznie wszczyna postępowanie.

 

Art. 47. Na podstawie ustaleń kontroli kontrolujący może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

 

Art. 48. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych lub podmiotem przetwarzającym wyczerpuje znamiona przestępstwa określonego w ustawie, Prezes Urzędu kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

 

Rozdział …

Administracyjne kary pieniężne

 

Art. 49.  Prezes Urzędu może nałożyć na podmioty nie będące organami publicznymi w rozumieniu w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego albo podmiotami publicznymi w rozumieniu w art. 9 pkt 1-7 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.),  w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

 

Art. 50. 1. Na podmioty publiczne, o których mowa w art. 9 pkt 8 - 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.) Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.

2. Administracyjne kary pieniężne, o których mowa w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 ust. 2 lit. a-i i k  rozporządzenia 2016/679.

 

Art. 51. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

 

Art. 52. 1. Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa.

2. Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi,  albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego.

3. W razie upływu terminu, o którym mowa w ust. 2, kara pieniężna podlega ściągnięciu w trybie przepisów o postępowaniu egzekucyjnym w administracji.

 

Art. 53. 1. Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.

2. Do wniosku dołącza się uzasadnienie.

3. W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, których wysokość wynosi 50% stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56 § 3  ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2012 r. poz. 749, z późn. zm.), od dnia następującego po dniu złożenia wniosku.

4. W przypadku rozłożenia na raty kary pieniężnej, odsetki, o których mowa w ust. 3, są naliczane odrębnie dla każdej raty.

5. Odsetki są naliczane za okres od dnia upływu odroczonego terminu płatności kary pieniężnej albo terminu zapłaty poszczególnych rat.

6. Prezes Urzędu może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.

7. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia, na które nie przysługuje skarga do sądu administracyjnego.

Art. 54. Przepisów art. 189f i art.189k Kodeksu postępowania administracyjnego nie stosuje się.

 

Rozdział …

Odpowiedzialność cywilna

 

Art. 55. 1. Niezależnie od prawa do żądania wszczęcia postępowania przez organ nadzorczy, każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

2. Wystąpienie z roszczeniem, o którym mowa w ust. 1 nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych.

3. Sprawy dotyczące roszczeń, o których mowa w ust. 1 i 2, rozstrzygane są w trybie postępowania cywilnego.

 

Art. 56. 1. Sąd okręgowy, właściwy w sprawach, o których mowa w art. 55, także przed wytoczeniem powództwa rozpoznaje, nie później niż w terminie 3 dni od dnia złożenia w sądzie, wniosek osoby, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone:

1)     o zabezpieczenie dowodów oraz o zabezpieczenie związanych z nimi roszczeń;

2)     o zobowiązanie naruszającego prawa przysługujące na mocy przepisów o ochronie danych osobowych do udzielenia informacji i udostępnienia określonej przez sąd dokumentacji mającej znaczenie dla roszczeń, o których mowa w art. 55 ust. 1 i 2;

3)     o zobowiązanie innej niż naruszający osoby do udzielenia informacji, które mają znaczenie dla roszczeń, określonych w art. 55 ust. 1 i 2.

2. Sąd, dopuszczając dowód lub rozpoznając wnioski, o których mowa w ust. 1, zapewnia zachowanie tajemnicy przedsiębiorcy i innych tajemnic ustawowo chronionych.

3. Od obowiązku, o którym mowa w ust. 1 pkt 2 i 3, może uchylić się ten, kto według przepisów Kodeksu postępowania cywilnego mógłby jako świadek odmówić zeznań lub odpowiedzi na zadane mu pytanie.

4. W uzasadnionych przypadkach sąd może uzależnić wydanie postanowienia o zabezpieczeniu dowodów, o których mowa w ust. 1 pkt 1, od złożenia kaucji.

5. Zażalenia na postanowienia sądu w sprawach, o których mowa w ust. 1, sąd rozpoznaje w terminie 7 dni.

6. Do zabezpieczenia dowodów stosuje się odpowiednio art. 733, art. 742 i art. 744–746 Kodeksu postępowania cywilnego.

 

Art. 57. 1. O wniesieniu pozwu w sprawach, o których mowa w art. 55,  sąd zawiadamia niezwłocznie Prezesa Urzędu.

2. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd.

3. Sąd może zwiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed Prezesem Urzędu.

Art. 58. O każdym wyroku w sprawach, o których mowa w art. 55 ust. 1 i 2 sąd zawiadamia Prezesa Urzędu.

 

 

 

Rozdział…

Inspektorzy ochrony danych

 

Art. 59.1. Administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, zwanego dalej „inspektorem, zawiadamia Prezesa Urzędu o jego wyznaczeniu, w terminie 14  dni  od dnia wyznaczenia,  wskazując imię, nazwisko, adres poczty elektronicznej albo numer telefonu inspektora.  

2. W zawiadomieniu administrator danych albo podmiot przetwarzający obowiązany jest wskazać adres swojej siedziby i pełną nazwę, a w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna – miejsce zamieszkania oraz imię i nazwisko.

3. O każdej zmianie danych, o której mowa w ust. 1 i 2, należy zawiadomić Prezesa Urzędu w terminie 14 dni od dnia zaistnienia zmiany.

4. Zawiadomienia, o których mowa w ust. 1 i 3, sporządza się w postaci papierowej albo elektronicznej.

5. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci elektronicznej.

6. Prezes Urzędu prowadzi ewidencję zawiadomień, o których mowa w ust. 1 i 3.

 

Art. 60. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy publiczne wskazane w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, (Dz. U. z 2016 r. poz. 1870, z późn. zm.).

 

Art. 61. 1. Osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r.

2. W terminie, o którym mowa w ust. 1, administrator lub podmiot przetwarzający zawiadamiają Prezesa Urzędu o wyznaczeniu inspektora ochrony danych osobowych zgodnie z art. 59 ust. 1 albo, że administrator bezpieczeństwa informacji nie pełni funkcji inspektora ochrony danych.

 

Ministerstwo Cyfryzacji zamieściło także Wprowadzenie do projektu części przepisów ustawy o ochronie danych osobowych.

 

pdf

Wprowadzenie do projektu części przepisów ustawy o ochronie danych osobowych

Pobierz plik [477.82 KB]
Ochrona Danych Osobowych, Ustawa O Ochronie Danych Osobowych,
Sąd uwzględnił skargę PUODO: prokuratura przeprowadzi dochodzenie w sprawie wycieku danych z Pandabuy.com
Sąd uwzględnił skargę PUODO: prokuratura przeprowadzi dochodzenie w sprawie wycieku danych z Pandabuy.com
Co to jest EHDS czyli Europejska Przestrzeń Danych o Zdrowiu?
Co to jest EHDS czyli Europejska Przestrzeń Danych o Zdrowiu?
Tylko niewielki procent pracowników firm z sektora MŚP odbywa regularne szkolenia z ochrony danych osobowych
Tylko niewielki procent pracowników firm z sektora MŚP odbywa regularne szkolenia z ochrony danych osobowych