Ustawa o ochronie danych osobowych - projekt z dnia 8 lutego 2018 roku
14/02/2018
Projekt ustawy o ochronie danych osobowych zapewniającej stosowanie unijnego rozporządzenia 2016/679 (RODO) skierowany w dniu 9 lutego 2018 r. przez Ministerstwo Cyfryzacji na Komitet do Spraw Europejskich Rady Ministrów.
Projekt z dnia 8 lutego 2018 r.
USTAWA
z dnia ……………... 2018 r.
o ochronie danych osobowych
Rozdział 1
Przepisy ogólne
Art. 1. 1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.
2. Ustawa określa:
1) podmioty obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o wyznaczaniu;
2) warunki i tryb udzielania certyfikacji i akredytacji;
3) postępowanie w sprawie zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych;
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) europejską współpracę administracyjną;
7) postępowanie kontrolne;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;
9) administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Art. 2. 1. Do działalności polegającej na redagowaniu, przygotowaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U. poz. 24, z późn. zm.) a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5 – 9, art. 11, art. 13 - 16, art. 18 - 22, art. 27,
art. 28 ust. 2 – 10 oraz art. 30 rozporządzenia 2016/679.
2. Do wypowiedzi akademickiej, o której mowa w art. 85 ust. 2 rozporządzenia 2016/679, nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2 – 10 oraz art. 30 rozporządzenia 2016/679.
3. Jeżeli ograniczenia, o których mowa w ust. 1 i 2, różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega administrator.
Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d - f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się.
2. W przypadku, o którym mowa w ust. 1, administrator przechowuje dane osobowe wyłącznie przez okres w zakresie niezbędnym do realizacji celów przetwarzania danych osobowych.
3. Na administratorze, o którym mowa w ust. 1, ciąży obowiązek dochowania najwyższej staranności w związku z przetwarzaniem danych osobowych, w szczególności w zakresie zapobiegania dostępowi do nich przez osoby niepowołane, możliwości ich utraty lub bezprawnego rozpowszechniania.
Art. 4. Do administratorów, o których mowa w art. 3 ust. 1, którzy w ramach przetwarzania danych osobowych, o których mowa w art. 3 ust. 1, udostępniają dane osobowe innym administratorom, z wyjątkiem sytuacji gdy osoba, której dane dotyczą wyraziła zgodę na udostępnienie swoich danych osobowych lub udostepnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze, oraz do administratorów, którzy w ramach przetwarzania danych, o którym mowa w art. 9 ust. 1 rozporządzenia 2016/679, przepisu art. 3 nie stosuje się.
Art. 5. W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.
Art. 6. 1. W sprawach nieuregulowanych w ustawie do postępowań przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4 i 5, rozdziale 6
z wyłączeniem art. 52, rozdziale 7 i 11 stosuje się przepisy ustawy z dnia 14 czerwca 1960 r
− Kodeks postepowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149).
2. Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych jest postępowaniem jednoinstancyjnym.
Rozdział 2
Inspektor ochrony danych
Art. 7. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.
Art. 8. 1. Administrator albo podmiot przetwarzający, który wyznaczył inspektora, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”, o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.
2. Zawiadomienie może zostać dokonane przez pełnomocnika administratora albo podmiotu przetwarzającego. Do zawiadomienia dołącza się pełnomocnictwo udzielone
w formie elektronicznej.
3. W zawiadomieniu administrator albo podmiot przetwarzający obowiązany jest wskazać:
1) adres siedziby i pełną nazwę, albo
2) adres zamieszkania oraz imię i nazwisko w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna, albo
3) adres miejsca wykonywania działalności gospodarczej, imię, nazwisko i firmę przedsiębiorcy, w przypadku przedsiębiorcy wpisanego do Centralnej Ewidencji
i Informacji o Działalności Gospodarczej.
4. O każdej zmianie danych, o której mowa w ust. 1 i 3, w tym o odwołaniu inspektora, należy zawiadomić Prezesa Urzędu w terminie 14 dni od dnia zaistnienia zmiany.
5. W przypadku wyznaczenia jednego inspektora przez grupę przedsiębiorstw albo przez organy lub podmioty publiczne, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust. 1.
6. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej
i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
7. Prezes Urzędu prowadzi wewnętrzną ewidencję zawiadomień. Ewidencja zawiera dane, o których mowa w ust. 1 i 3. Udostępnieniu podlegają dane w zakresie imienia i nazwiska inspektora.
8. Administrator i podmiot przetwarzający publikują dane inspektora, o których mowa w ust. 1, na swojej stronie internetowej niezwłocznie po wyznaczeniu inspektora.
Rozdział 3
Akredytacja
Art. 9. 1. Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji
w zakresie ochrony danych osobowych udziela Polskie Centrum Akredytacji.
2. Prezes Urzędu opracowuje kryteria akredytacji, uwzględniając wymogi określone
w art. 43 ust. 2 rozporządzenia 2016/679 i udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej.
Art. 10. Akredytacja udzielana jest zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności (Dz. U. z 2017 r. poz. 1398).
Art. 11. 1. Polskie Centrum Akredytacji informuje Prezesa Urzędu o udzielonej akredytacji. Informacja o udzielonej akredytacji zawiera:
1) oznaczenie podmiotu, któremu przyznany został certyfikat akredytacji;
2) wskazanie zakresu udzielonej akredytacji oraz okresu jej ważności.
2. Polskie Centrum Akredytacji informuje Prezesa Urzędu o cofnięciu akredytacji. Informacja o cofnięciu akredytacji zawiera:
1) oznaczenie podmiotu, w stosunku do którego wydana została decyzja o cofnięciu akredytacji;
2) wskazanie powodów uzasadniających podjęcie decyzji o cofnięciu akredytacji.
3. Prezes Urzędu i Polskie Centrum Akredytacji mogą zawrzeć porozumienie o współpracy w zakresie monitorowania działalności podmiotów certyfikujących i wzajemnym przekazywaniu informacji dotyczących tych podmiotów.
Rozdział 4
Certyfikacja i podmioty certyfikujące
Art. 12. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu i podmioty akredytowane przez Polskie Centrum Akredytacji, zwane dalej „podmiotami certyfikującymi”.
Art. 13. Prezes Urzędu zatwierdza kryteria certyfikacji i udostępnia je na swojej stronie podmiotowej Biuletynu Informacji Publicznej.
Art. 14. 1. Certyfikacji dokonuje się na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek.
2. Wniosek o certyfikację zawiera co najmniej:
1) nazwę administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek albo jego imię i nazwisko oraz wskazanie siedziby lub adresu zamieszkania administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
2) w przypadku osoby fizycznej prowadzącej działalność gospodarcza adres miejsca wykonywania działalności gospodarczej;
3) informacje potwierdzające spełnianie kryteriów certyfikacji;
4) wskazanie zakresu certyfikacji.
3. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów certyfikacji albo ich elektroniczne kopie.
4. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo w przypadku wniosku skierowanego do Prezesa Urzędu podpisem potwierdzonym profilem zaufanym ePUAP.
Art. 15. 1. Prezes Urzędu albo podmiot certyfikujący, do którego wystąpiono z wnioskiem o udzielenie certyfikacji, rozpatrują wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamiają wnioskodawcę o udzieleniu lub odmowie udzielenia certyfikacji.
2. Wniosek niezawierający danych, o których mowa w art. 14 ust. 2 pkt 1 i 2, pozostawia się bez rozpoznania. Jeżeli natomiast wniosek nie zawiera danych, o których mowa w art. 14 ust. 2 pkt 3 i 4 oraz ust. 3 i 4, Prezes Urzędu wzywa wnioskodawcę do usunięcia tych braków wraz z pouczeniem, że ich nieusunięcie w terminie 7 dni spowoduje pozostawienie wniosku bez rozpoznania.
Art. 16. Przed udzieleniem certyfikacji lub jej przedłużeniem podmiot certyfikujący informuje Prezesa Urzędu o planowanym rozstrzygnięciu w celu umożliwienia mu wykonywania uprawnień, o których mowa w art. 58 ust. 2 lit h rozporządzenia 2016/679.
Art. 17. 1. Dokumentem potwierdzającym certyfikację jest certyfikat.
2. Certyfikat zawiera co najmniej:
1) oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
2) nazwę organu albo podmiotu certyfikującego udzielającego certyfikacji oraz wskazanie adresu jego siedziby;
3) numer i oznaczenie certyfikatu;
4) zakres i okres, na jaki została udzielona certyfikacja;
5) datę wydania i podpis organu albo podmiotu certyfikującego lub osób przez nich upoważnionych.
Art. 18. 1. W przypadku stwierdzenia, że administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek nie spełnia kryteriów certyfikacji Prezes Urzędu albo podmiot certyfikujący do którego wystąpiono z wnioskiem o udzielenie certyfikacji, odmawia udzielania certyfikacji.
2. Odmowa udzielenia certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.
3. Podmiot certyfikujący opracowuje i udostępnia zainteresowanym podmiotom procedurę postepowania w przypadku odmowy udzielenia certyfikacji.
Art. 19. 1. W okresie, na jaki została udzielona certyfikacja administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek są obowiązani spełniać kryteria certyfikacji.
2. W przypadku stwierdzenia, że administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek przestał spełniać kryteria certyfikacji, Prezes Urzędu albo podmiot certyfikujący, cofa certyfikację.
3. Cofnięcie certyfikacji przez Prezesa Urzędu następuję w drodze decyzji. W decyzji Prezes Urzędu wskazuje przyczyny cofnięcia certyfikacji.
Art. 20. 1.Podmiot certyfikujący przekazuje Prezesowi Urzędu dane administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek, któremu udzielono lub cofnięto certyfikację wraz z uzasadnieniem.
2. Prezes Urzędu prowadzi publicznie dostępny wykaz administratorów, podmiotów przetwarzających, producentów oraz podmiotów wprowadzających produkt na rynek, którym udzielono certyfikacji, który udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.
Art. 21. 1 Prezes Urzędu w terminie, o którym mowa w art. 15 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek,
w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.
2. Prezes Urzędu zawiadamia o zamiarze przeprowadzenia czynności sprawdzających.
3. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.
4. Czynności sprawdzające przeprowadza się na podstawie upoważnienia wydanego przez Prezesa Urzędu, które zawiera:
1) imię i nazwisko osoby przeprowadzającej czynności sprawdzające;
2) oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
3) wskazanie podstawy prawnej przeprowadzenia czynności sprawdzających;
4) zakres czynności sprawdzających;
5) datę i miejsce wystawienia imiennego upoważnienia;
6) podpis osoby uprawnionej do wydania upoważnienia w imieniu Prezesa Urzędu lub podmiotu certyfikującego.
Art. 22. 1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:
1) wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń w dniach i godzinach pracy administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
2) wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;
3) oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
4) uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.
2. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek lub osoby przez nich upoważnionej.
3. Z czynności sprawdzających sporządza się protokół i przedstawia administratorowi, podmiotowi przetwarzającemu, producentowi albo podmiotowi wprowadzającemu produkt na rynek. Przepis art. 85 stosuje się odpowiednio.
Art. 23. 1. Za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości czterokrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.
2. Opłaty, o których mowa w ust. 1, stanowią dochód budżetu państwa.
Rozdział 5
Kodeksy postępowania
Art. 24. 1. Kodeks postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, sporządza się po przeprowadzeniu konsultacji z zaineresowanymi podmiotami, w tym
w szczególności, jeżeli jest to możliwe, z osobami, których dane dotyczą.
2. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się Prezesowi Urzędu wraz z kodeksem postępowania.
3. W przypadku uznania przez Prezesa Urzędu zakresu konsultacji za niewystarczający, wyzywa on podmiot do przeprowadzenia ponownych konsultacji, wskazując ich zakres.
4. Prezes Urzędu zatwierdza kodeks postępowania.
5. Stroną postępowania w sprawie zatwierdzenia kodeksu postępowania jest wyłącznie wnioskodawca występujący z wnioskiem o zatwierdzenie kodeksu. Przepisu art. 31 ustawy
z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, nie stosuje się.
Art. 25. Monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania,
o którym mowa w art. 40 rozporządzenia 2016/679, zajmuje się podmiot akredytowany przez Prezesa Urzędu zgodnie z kryteriami określonymi w art. 41 ust. 2 rozporządzenia 2016/679.
Art. 26. 1. Akredytacji podmiotu ubiegającego się o monitorowanie przestrzegania zatwierdzonego kodeksu postepowania dokonuje się na wniosek.
2. Wniosek o akredytację zawiera co najmniej:
1) nazwę wnioskodawcy oraz wskazanie adresu jego siedziby;
2) informacje potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679.
3. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679, albo ich elektroniczne kopie.
4. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
5. Prezes Urzędu rozpatruje wniosek o akredytację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia akredytacji.
6. Odmowa udzielenia akredytacji następuje w drodze decyzji w przypadku stwierdzenia, że wnioskodawca nie spełnia kryteriów, o których mowa w art. 41 ust. 2, rozporządzenia 2016/679.
Art. 27. 1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.
2. Certyfikat akredytacyjny zawiera co najmniej:
1) oznaczenie organu udzielającego akredytacji i adres jego siedziby;
2) oznaczenie podmiotu akredytowanego i adres jego siedziby;
3) numer i oznaczenie certyfikatu akredytacyjnego;
4) datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.
3. Prezes Urzędu prowadzi wykaz podmiotów akredytowanych i udostępnia go
w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.
Art. 28. W przypadku, gdy podmiot akredytowany:
1) przestał spełniać kryteria akredytacji, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679,
2) podejmuje działania niezgodne z przepisami rozporządzenia 2016/679
− Prezes Urzędu w drodze decyzji cofa udzieloną akredytację.
Rozdział 6
Prezes Urzędu Ochrony Danych Osobowych
Art. 29. 1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.
2. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 oraz w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).
3. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
4. Na stanowisko Prezesa Urzędu może być powołana osoba, która:
1) jest obywatelem polskim;
2) posiada wyższe wykształcenie;
3) wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
4) przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane
z ochroną danych osobowych;
5) korzysta z pełni praw publicznych;
6) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
7) posiada nieskazitelny charakter.
5. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko ustawie.
6. Kadencja Prezesa Urzędu trwa 4 lata od dnia złożenia ślubowania. Prezes Urzędu wykonuje swoje obowiązki do czasu objęcia stanowiska przez nowego Prezesa Urzędu.
7. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje.
8. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.
9. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie
w przypadku, gdy:
1) zrzekł się stanowiska;
2) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;
3) sprzeniewierzył się ślubowaniu;
4) został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;
5) złożył niezgodne z prawdą oświadczenie lustracyjne, stwierdzone prawomocnym orzeczeniem sądu.
10. W przypadku odwołania lub wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Marszałka Sejmu.
Art. 30. Przed przystąpieniem do wykonywania obowiązków Prezes Urzędu składa przed Sejmem następujące ślubowanie:
„Obejmując stanowisko Prezesa Urzędu Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych a powierzone mi obowiązki wypełniać sumiennie i bezstronnie.”.
Ślubowanie może zostać złożone z dodaniem słów „Tak mi dopomóż Bóg”.
Art. 31. 1. Prezes Urzędu może powołać do trzech zastępców.
2. Powołanie dwóch zastępców następuje na wniosek ministra właściwego do spraw informatyzacji. Odwołanie zastępcy następuje w tym samym trybie.
3. Powołanie jednego zastępcy następuje na wniosek ministra właściwego do spraw wewnętrznych.
4. Wniosek, o którym mowa w ust. 3, minister właściwy do spraw wewnętrznych przekazuje celem zaopiniowania Ministrowi Sprawiedliwości - Prokuratorowi Generalnemu, Ministrowi Obrony Narodowej oraz ministrowi właściwemu do spraw finansów publicznych.
5. Odwołanie zastępcy powołanego na wniosek ministra właściwego do spraw wewnętrznych następuje w trybie, o którym mowa w ust. 3 i 4.
6. Na zastępcę Prezesa Urzędu może być powołana osoba, która:
1) jest obywatelem polskim;
2) posiada wyższe wykształcenie;
3) przez okres co najmniej czterech lat wykonywała czynności bezpośrednio związane
z ochroną danych osobowych;
4) korzysta z pełni praw publicznych;
5) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
7. Zastępca Prezesa Urzędu powołany na wniosek ministra spraw wewnętrznych powinien również posiadać doświadczenie związane z realizacją zadań przez służby odpowiedzialne za zapewnienie bezpieczeństwa państwa i porządku publicznego.
Art. 32. 1. Prezes Urzędu nie może zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.
2. Prezes Urzędu nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.
3. Przepisy ust. 1 i 2 stosuje się odpowiednio do zastępców Prezesa Urzędu.
Art. 33. 1. Prezes Urzędu nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.
2. Prezes Urzędu może wyrazić zgodę na pociągnięcie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym przepisie.
3. W przypadku popełnienia przez Prezesa Urzędu wykroczenia, o którym mowa
w rozdziale XI ustawy z dnia 20 maja 1971 r. – Kodeks wykroczeń (Dz. U. z 2015 r. poz. 1094, z późn. zm.), przyjęcie przez Prezesa Urzędu mandatu karnego albo uiszczenie grzywny,
w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2016 r. poz. 1713, z późn. zm.), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągniecie go do odpowiedzialności w tej formie.
4. Prezes Urzędu nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.
Art. 34. Przedawnienie w postępowaniu karnym czynu objętego immunitetem nie biegnie w okresie korzystania z immunitetu.
Art. 35. 1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia publicznego składa się za pośrednictwem Prokuratora Generalnego.
2. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia prywatnego składa oskarżyciel prywatny, po wniesieniu sprawy do sądu.
3. Wniosek, o którym mowa w ust. 2, sporządza i podpisuje adwokat lub radca prawny,
z wyjątkiem wniosków składanych w swoich sprawach przez sędziów, prokuratorów, adwokatów, radców prawnych, notariuszy oraz profesorów i doktorów habilitowanych nauk prawnych.
4. Wnioski, o których mowa w ust. 1 i 2, powinny zawierać:
1) oznaczenie wnioskodawcy oraz pełnomocnika, o ile został ustanowiony;
2) imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
3) wskazanie podstawy prawnej wniosku;
4) dokładne określenie czynu, którego dotyczy wniosek, ze wskazaniem czasu, miejsca, sposobu i okoliczności jego popełnienia oraz skutków, a zwłaszcza charakteru powstałej szkody;
5) uzasadnienie.
Art. 36. 1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej składa się Marszałkowi Sejmu.
2. Jeżeli wniosek nie spełnia wymogów formalnych, o których mowa w art. 35 ust. 3 lub 4, Marszałek Sejmu wzywa wnioskodawcę do poprawienia lub uzupełnienia wniosku w terminie 14 dni, wskazując niezbędny zakres poprawienia lub uzupełnienia. W przypadku niepoprawienia lub nieuzupełnienia wniosku we wskazanym terminie i zakresie Marszałek Sejmu postanawia o pozostawieniu wniosku bez biegu.
3. Jeżeli wniosek spełnia wymogi formalne, o których mowa w art. 35 ust. 3 i 4, Marszalek Sejmu kieruje go do organu właściwego na podstawie Regulaminu Sejmu do rozpatrzenia wniosku, zawiadamiając jednocześnie Prezesa Urzędu o treści wniosku.
4. Organ właściwy do rozpatrzenia wniosku powiadamia Prezesa Urzędu o terminie rozpatrzenia wniosku. Pomiędzy doręczeniem powiadomienia a terminem rozpatrzenia wniosku, o ile nie zachodzi wypadek nie cierpiący zwłoki, powinno upłynąć co najmniej 7 dni.
5. Na żądanie organu właściwego do rozpatrzenia wniosku sąd albo odpowiedni organ, przed którym toczy się postepowanie wobec Prezesa Urzędu, udostępnia akta postępowania.
6. Prezes Urzędu przedstawia organowi właściwemu do rozpatrzenia wniosku wyjaśnienia i własne wnioski w tej sprawie w formie pisemnej lub ustnej.
7. Po rozpatrzeniu sprawy, organ właściwy do rozpatrzenia wniosku uchwala sprawozdanie wraz z propozycją przyjęcia lub odrzucenia wniosku.
8. W trakcie rozpatrywania przez Sejm sprawozdania, o którym mowa w ust. 7, Prezesowi Urzędu przysługuje prawo zabrania głosu.
9. Sejm wyraża zgodę na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej
w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej.
Art. 37. 1. Zakaz zatrzymania, o którym mowa w art. 33, obejmuje wszelkie formy pozbawienia lub ograniczenia wolności osobistej Prezesa Urzędu przez organy uprawnione do stosowania środków przymusu.
2. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu składa się za pośrednictwem Prokuratora Generalnego.
3. Wniosek, o którym mowa w ust. 2, powinien zawierać:
1) oznaczenie wnioskodawcy;
2) imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
3) dokładne określenie czynu oraz jego kwalifikację prawną;
4) podstawę prawną zastosowania określonego środka;
5) uzasadnienie, wskazujące w szczególności na konieczność zastosowania określonego środka.
4. Do postępowania z wnioskiem o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu, przepisy art. 36 ust. 1 – 8 stosuje się odpowiednio.
5. Sejm wyraża zgodę na zatrzymanie lub aresztowanie Prezesa Urzędu w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na zatrzymanie lub aresztowanie Prezesa Urzędu.
6. Wymóg uzyskania zgody Sejmu nie dotyczy wykonania kary pozbawienia wolności orzeczonej prawomocnym wyrokiem sądu.
Art. 38. 1. Marszałek Sejmu przesyła wnioskodawcy niezwłocznie uchwałę, o której mowa w art. 36 ust. 9 i art. 37 ust. 5.
2. Uchwały, o których mowa w ust. 1, podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.
Art. 39. Przepisy ustawy dotyczące odpowiedzialności karnej Prezesa Urzędu stosuje się odpowiednio do odpowiedzialności za wykroczenia.
Art. 40. Szczegółowy tryb postępowania w sprawach, o których mowa w art. 36 - 41, określa Regulamin Sejmu.
Art. 41. 1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.
2. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:
1) organizację Urzędu,
2) zakres zadań swoich zastępców,
3) zakres zadań i tryb pracy komórek organizacyjnych Urzędu
– mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.
Art. 42. 1. Prezes Urzędu, zastępcy Prezesa Urzędu a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku
z wykonywaniem czynności służbowych.
2. Obowiązek zachowania w tajemnicy informacji, o których mowa w ust. 1, nie może być ograniczony w czasie i trwa także po zakończeniu kadencji albo zatrudnienia.
Art. 43. 1. Przy Prezesie Urzędu działa Rada do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”. Rada jest organem opiniodawczo-doradczym Prezesa Urzędu.
2. Do zadań Rady należy:
1) opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
2) opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
3) opracowywanie propozycji kryteriów certyfikacji dla certyfikacji prowadzonej przez Prezesa Urzędu;
4) opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
5) inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
6) wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
7) wykonywanie innych zadań zleconych przez Prezesa Urzędu.
3. Rada wyraża opinię w terminie 21 dni od dnia otrzymania projektów lub dokumentów, o których mowa w ust. 2.
4. Opinie, protokoły posiedzeń oraz inne dokumenty Rady są udostępniane na stronie podmiotowej Biuletynu Informacji Publicznej Prezesa Urzędu.
5. Rada przedstawia Prezesowi Urzędu sprawozdanie z działalności za każdy rok kalendarzowy w terminie do dnia 31 marca następnego roku.
6. Rada składa się z 8 członków.
7. Kandydatów na członków Rady mogą rekomendować:
1) członkowie Rady Ministrów;
2) Rzecznik Praw Obywatelskich;
3) Prezes Głównego Urzędu Statystycznego;
4) Prezes Urzędu Komunikacji Elektronicznej;
5) Prezes Urzędu Ochrony Konkurencji i Konsumentów;
6) Naczelny Dyrektor Archiwów Państwowych;
7) izby gospodarcze;
8) jednostki naukowe w rozumieniu przepisów ustawy z dnia 30 kwietnia 2010 r. o zasadach finansowania nauki (Dz. U. z 2018 r. poz. 87);
9) fundacje i stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych.
8. Na członka Rady może zostać rekomendowana osoba, która:
1) posiada wykształcenie wyższe;
2) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
3) wyraziła zgodę na kandydowanie.
9. Członkowie Rady są obowiązani do zachowania w tajemnicy informacji o których dowiedzieli się w związku z wykonywaniem funkcji członka Rady. Prezes Urzędu może zwolnić z obowiązku zachowania tajemnicy w zakresie przez niego określonym.
10. Prezes Urzędu powołuje skład Rady na dwuletnią kadencję spośród kandydatów rekomendowanych przez podmioty, o których mowa w ust. 7.
11. Przed upływem kadencji członkostwo w Radzie wygasa z powodu:
1) rezygnacji członka Rady złożonej na piśmie Przewodniczącemu Rady;
2) śmierci członka Rady;
3) niemożności sprawowania funkcji członka Rady z powodu długotrwałej choroby stwierdzonej zaświadczeniem lekarskim;
4) skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
12. W przypadku, o którym mowa w ust. 11, Prezes Urzędu powołuje nowego członka Rady na okres pozostały do końca kadencji, spośród pozostałych rekomendowanych kandydatów, po sprawdzeniu aktualności rekomendacji.
13. Prezes Urzędu powołuje i odwołuje Przewodniczącego i Wiceprzewodniczącego Rady spośród jej członków.
14. Przewodniczący Rady kieruje jej pracami i reprezentuje ją na zewnątrz. W przypadku nieobecności Przewodniczącego zastępuje go Wiceprzewodniczący.
15. Obsługę Rady zapewnia Urząd.
16. Na posiedzenie Rady mogą być zapraszane, przez Prezesa Urzędu oraz Przewodniczącego Rady, inne osoby, o ile jest to wskazane dla realizacji zadań Rady.
17. Prezes Rady Ministrów określi, w drodze rozporządzenia, wysokość wynagrodzenia członka Rady za udział w posiedzeniu, liczbę posiedzeń w ciągu roku kalendarzowego, za które przysługuje wynagrodzenie, uwzględniając funkcje pełnione przez członków Rady i zakres obowiązków członków Rady, a także mając na uwadze, że wynagrodzenie za jedno posiedzenie Rady nie może przekroczyć 25% przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok powołania Rady, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 20 pkt 1 lit a ustawy z dnia 17 grudnia 1998 r.
o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2017 r. poz. 1383, 1386, 2120 i z 2018 r. poz. 138).
18. Członkom Rady posiadającym miejsce zamieszkania poza siedzibą Prezesa Urzędu przysługują diety oraz zwrot kosztów podróży i zakwaterowania na warunkach określonych
w przepisach wydanych na podstawie art. 775 § 2 ustawy z dnia 26 czerwca 1974 r. − Kodeks pracy (Dz. U. z 2018 r. poz. 108, 138 i 305).
19. Szczegółowy tryb działania Rady określa regulamin ustanawiany na wniosek Rady przez Prezesa Urzędu.
Art. 44. Prezes Urzędu raz w roku do dnia 31 sierpnia przedstawia Sejmowi, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności, zawierające w szczególności informację
o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów
o ochronie danych osobowych.
Art. 45. Prezes Urzędu opiniuje założenia i projekty aktów prawnych dotyczące ochrony danych osobowych.
Art. 46. 1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
2. Prezes Urzędu może również występować do właściwych organów z wnioskami
o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa
w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie
w terminie 30 dni od daty jego otrzymania
Art. 47. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:
1) standardowe klauzule umowne, o których mowa w art. 28 ust. 8 rozporządzenia 2016/679;
2) zatwierdzone kodeksy postępowania, o których mowa w art. 40 rozporządzenia 2016/679, a także zmiany tych kodeksów.
Art. 48. 1. Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679.
2. Komunikat, o którym mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.
Art. 49. Prezes Urzędu może prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.
Art. 50. Prezes Urzędu w drodze decyzji:
1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679;
2) przyjmuje standardowe klauzule ochrony danych, o których mowa w art. 46 ust. 2 lit d rozporządzenia 2016/679;
3) udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679.
Art. 51. 1. Prezes Urzędu opracowuje i udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
2. Rekomendacje sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i podlegają okresowej aktualizacji.
3. Projekt rekomendacji Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.
Art. 52. 1.W celu skonsultowania się z organem nadzorczym administrator danych składa wniosek o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36 ust. 2 RODO.
2. Do wniosku stosuje się odpowiednio art. 63 ustawy z dnia 14 czerwca 1960 r - Kodeks postępowania administracyjnego.
3. Jeżeli wniosek nie spełnia wymogów, określonych w ust. 1 i 2, nie udziela się konsultacji.
4. Organ informuje wnioskodawcę o przyczynach nieudzielenia konsultacji.
Art. 53. Jeżeli Prezes Urzędu, na postawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Rozdział 7
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
Art. 54. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.
Art. 55. W sprawach związanych z ochroną danych osobowych pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należą sprawy związane z ochroną danych osobowych.
Art. 56. W przypadku, o którym mowa w art. 36 ustawy z dnia 14 czerwca 1960 r.
− Kodeks postępowania administracyjnego, Prezes Urzędu zawiadamiając strony
o niezałatwieniu sprawy w terminie, obowiązany jest również poinformować o stanie sprawy
i przeprowadzonych w jej toku czynnościach.
Art. 57. Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.
Art. 58. W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.
Art. 59. 1. Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, dostarczane Prezesowi Urzędu. W takim przypadku strona obowiązana jest dostarczyć Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem.
2. W przypadku niedostarczenia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za nieskuteczne.
3. Prezes Urzędu może uchylić, w drodze decyzji zastrzeżenie, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.
4. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego przestrzegania.
Art. 60. Prezes Urzędu może zastosować art. 74 ustawy z dnia 14 czerwca 1960 r.
– Kodeks postepowania administracyjnego również do innych stron, jeżeli udostepnienie tego materiału grozi ujawnieniem tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych.
Art. 61. Jeżeli liczba stron w postępowaniu przekracza 20 osób, Prezes Urzędu może zastosować art. 49 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego.
Art. 62. 1. Jeżeli w toku postępowania, zajdzie konieczność uzupełnienia dowodów, można przeprowadzić postępowanie kontrolne.
2. Okresu postępowania kontrolnego nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
Art. 63. 1. W przypadku, o którym mowa w art. 88 ustawy z dnia 14 czerwca 1960 r. – Kodeks postepowania administracyjnego, Prezes Urzędu wymierza karę grzywny w wysokości od 500 do 5000 zł.
2. Wymierzając karę grzywny Prezes Urzędu bierze pod uwagę:
1) w przypadku osoby fizycznej sytuację osobistą wezwanego, w tym stopień zrozumienia powagi ciążących na nim obowiązków wynikających z wezwania, lub
2) potrzebę dostosowania wysokości grzywny do celu, jakim jest przymuszenie wezwanego do zadośćuczynieniu wezwaniu.
3. Kara grzywny może być nałożona także w przypadku gdy strona odmówiła przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji.
Art. 64. 1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania.
2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.
3. Na postanowienie przysługuje skarga do sądu administracyjnego.
Art. 65. 1. Jeżeli w toku postępowania Prezes Urzędu uzna, że istnieją uzasadnione wątpliwości co do zgodności z prawem unii europejskiej decyzji Komisji Europejskiej, o której mowa w art. 40 ust. 9, art. 45 , art. 46 ust. 2 lit. c rozporządzenia 2016/679, Prezes Urzędu występuje do sądu administracyjnego z wnioskiem o wydanie postanowienia w sprawie ważności decyzji Komisji Europejskiej.
2. Stroną postępowaniu przed sądem administracyjnym w sprawie stwierdzenia nieważności decyzji Komisji Europejskiej, o której mowa w ust. 1 jest Prezes Urzędu oraz strony postępowania.
3. Sąd administracyjny może w toku postepowania sądowego wystąpić do Komisji Europejskiej o wyrażenie opinii wprawie, zaznaczając termin na jej udzielenie.
4. Sąd administracyjny uznając za uzasadnione wątpliwości Prezesa Urzędu, o których mowa w ust. 1 występuje z pytaniem prawnym, o którym mowa w artykule 257 Traktatu
o funkcjonowaniu Unii Europejskiej.
5. Uznając braku podstaw do wystąpienia z pytaniem prawnym, sąd administracyjny,
w drodze postanowienia, oddala wniosek. Na postępowanie nie przysługuje środek odwoławczy.
Art. 66. W uzasadnieniu, o których mowa w art. 107 § 3 ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, wskazuje się dodatkowo, przesłanki z art. 83
ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.
Art. 67. 1. Prezes Urzędu jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania, informuje o wydaniu decyzji na swojej stronie podmiotowej Biuletynu Informacji Publicznej.
2. Organy lub podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej Biuletynu Informacji Publicznej, informację
o działaniach podjętych w celu wykonania decyzji.
Art. 68. Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.
Art. 69. Na postanowienia, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. − Kodeks postepowania administracyjnego, przysługuje zażalenie, przysługuje skarga do sądu administracyjnego.
Art. 70. W sprawach nieuregulowanych w ustawie do postępowania przed Prezesem Urzędu stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
Rozdział 8
Europejska współpraca administracyjna
Art. 71. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art. 53 ust. 1.
Art. 72. Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej, powinny zostać przetłumaczone na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.
Art. 73. 1. W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji
i niezwłocznie sporządza wykaz ustaleń.
2. Okresy, w których pracownicy organu nadzorczego innego państwa członkowskiego Unii Europejskiej przebywają na terytorium Rzeczypospolitej Polskiej, biorąc udział we wspólnej operacji, nie są uważane za okresy pobytu wpływające na zmianę miejsca zamieszkania dla celów opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.
Rozdział 9
Postępowanie kontrolne
Art. 74. 1. Prezes Urzędu prowadzi kontrole przestrzegania przepisów o ochronie danych osobowych.
2. Postępowanie kontrolne prowadzone jest zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.
Art. 75. 1. Kontrolę przeprowadza upoważniony pracownik Urzędu; do przeprowadzenia kontroli Prezes Urzędu może upoważnić członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679, zwani dalej „kontrolującym”.
2. Członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej, o którym mowa w ust. 1, obowiązany jest do zachowania w tajemnicy informacji, o których dowiedział się w toku kontroli.
Art. 76. 1. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego, jeżeli wyniki kontroli mogłyby oddziaływać na jego prawa lub obowiązki, na prawa lub obowiązki jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub kurateli. Powody wyłączenia kontrolującego trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.
2. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego w każdym czasie, jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności.
3. O przyczynach powodujących wyłączenie kontrolujący lub kierownik jednostki kontrolowanej niezwłocznie zawiadamia Prezesa Urzędu.
4. O wyłączeniu kontrolującego postanawia Prezes Urzędu.
5. Do czasu wydania postanowienia kontrolujący podejmuje jedynie czynności niecierpiące zwłoki.
Art. 77. 1. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość tej osoby.
2. Imienne upoważnienie do przeprowadzenia kontroli zawiera:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu ;
3) imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej imię i nazwisko tej osoby oraz numer paszportu lub innego dokumentu potwierdzającego jej tożsamość;
4) określenie zakresu przedmiotowego kontroli;
5) oznaczenie podmiotu objętego kontrolą zwanego dalej „kontrolowanym”;
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
7) podpis Prezesa Urzędu;
8) pouczenie kontrolowanego o jego prawach i obowiązkach;
9) datę i miejsce wystawienia imiennego upoważnienia.
3. Prezes Rady Ministrów określi w drodze rozporządzenia wzór legitymacji służbowej, mając na względzie potrzebę zapewnienia możliwości identyfikacji osób uprawnionych do przeprowadzenia kontroli.
Art. 78. 1 Jeżeli przeprowadzenie czynności kontrolnych wymaga wiedzy eksperckiej, Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą taką wiedzę. Do upoważnienia stosuje się art. 77 ust. 2.
2. Zakres uprawnień eksperta określony jest w upoważnieniu udzielonym przez Prezesa Urzędu.
3. Osoba, o który mowa w ust. 1, jest obowiązana do zachowania w tajemnicy informacji, o których dowiedziała się w toku kontroli.
Art. 79. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane:
1) innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132), lub
2) przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art. 115 § 13 ustawy z dnia 6 czerwca 1997 r. − Kodeks karny, oraz nie jest jednocześnie pracownikiem Urzędu albo osobą o której mowa w art. 75.
Art. 80. 1. Kontrolujący ma prawo:
1) wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
2) wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;
3) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
4) żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
5) zlecać sporządzanie ekspertyz i opinii.
2. Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału
w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli,
a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach, o których mowa
w ust. 1 pkt 3.
3. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność
z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.
4. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych w rozumieniu przepisów o informatyzacji działalności podmiotów realizujących zadania publiczne, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.
Art. 81. 1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do przeprowadzenia czynności kontrolnych.
2. Właściwy miejscowo komendant Policji zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli pomocy Policji w toku czynności kontrolnych.
3. Policja udziela pomocy kontrolującemu przy wykonywaniu kontroli, jeżeli w toku wykonywania tych czynności kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, albo jeżeli istnieje uzasadnione przypuszczenie, że na taki opór natrafi.
4. Udzielenie pomocy i asysta Policji przy wykonywaniu kontroli polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli
i porządku w tym miejscu.
5. Policja, udzielając pomocy lub asystując kontrolującemu w kontroli zapewnia bezpieczeństwo również innym osobom uczestniczącym w kontroli, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli.
6. Z przebiegu czynności, o których mowa w ust. 4 i 5, funkcjonariusz policji udzielający pomocy lub asysty sporządza notatkę urzędową, zawierającą określenie terminu, miejsca prowadzenia czynności, dane kontrolującego i kontrolowanego oraz osoby, o której mowa
w art. 79 biorącej udział w kontroli, a także opis czynności wykonanych w ramach udzielonej pomocy lub asystowania. Notatkę funkcjonariusz niezwłocznie przekazuje swojemu bezpośredniemu przełożonemu.
Art. 82. 1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.
2. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy oraz wykonującą pracę na podstawie umowy cywilnoprawnej.
3. Świadek może odmówić udzielenia informacji lub współdziałania w toku kontroli tylko wtedy, gdy naraziłoby to jego lub jego małżonka, wstępnych, zstępnych, rodzeństwo oraz powinowatych w tej samej linii lub stopniu, jak również osoby pozostające w stosunku przysposobienia, opieki lub kurateli, a także osobę pozostającą we wspólnym pożyciu, na odpowiedzialność karną. Prawo odmowy udzielenia informacji lub współdziałania w toku kontroli trwa po ustaniu małżeństwa lub rozwiązaniu stosunku przysposobienia, opieki lub kurateli.
4. Przed odebraniem zeznania kontrolujący poucza świadka o prawie odmowy zeznań
i odpowiedzi na pytania oraz uprzedza o odpowiedzialności karnej za zeznanie nieprawdy lub zatajenie prawdy.
Art. 83. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych
w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
Art. 84. 1. Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.
2. Protokół kontroli zawiera:
1) wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
2) imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
3) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia kontrolującego a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej, imię i nazwisko, numer paszportu albo innego dokumentu potwierdzającego tożsamość oraz numer upoważnienia;
4) datę rozpoczęcia i zakończenia czynności kontrolnych;
5) określenie przedmiotu i zakresu kontroli;
6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) wyszczególnienie załączników;
8) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
9) pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu;
10) datę i miejsce podpisania protokołu przez kontrolującego i kontrolowanego.
3. Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania.
4. Przed podpisaniem protokołu kontrolowany może, w terminie 7 dni od przedstawienia mu go do podpisu, złożyć pisemne zastrzeżenia do tego protokołu.
5. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 4, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu
w formie aneksu do protokołu.
6. W razie nieuwzględnienia zastrzeżeń w całości lub w części kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.
7. W przypadku braku zastrzeżeń, kontrolowany jest obowiązany do podpisania
i doręczenia kontrolującemu protokołu, w terminie o którym mowa w ust.4.
8. Brak doręczenia kontrolującemu protokołu uznaje się za odmowę jego podpisania.
9. O odmowie podpisania protokołu kontrolujący czyni wzmiankę w protokole, zawierającą datę jej dokonania. W przypadku, o którym mowa w ust. 8, wzmianki dokonuje się po upływie terminu, o którym mowa w ust. 4.
10. Protokół w postaci papierowej sporządza się w dwóch egzemplarzach, z których jeden pozostawia się kontrolowanemu, a w przypadku protokołu sporządzonego w postaci elektronicznej doręcza się go kontrolowanemu.
Art. 85. 1. Kontrola nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Do terminu tego nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu lub podpisanie i doręczenie protokołu przez kontrolowanego.
2. Za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość.
3. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 84 ust. 9.
Art. 86. Jeżeli na podstawie informacji zgromadzonych w postepowaniu kontrolnym, Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania.
Art. 87. Do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U.
z 2016 r. poz. 1829, 1948, 1997 i 2255 oraz z 2017 r. poz. 819), z wyłączeniem art. 79, art. 82 i 83.
Art. 88. Przepisy art. 57 - 58 stosuje się odpowiednio.
Rozdział 10
Odpowiedzialność cywilna
Art. 89. 1. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone cudzym działaniem, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.
2. Wystąpienie z roszczeniem, o którym mowa w ust. 1, nie wyłącza możliwości wystąpienia, w związku z naruszeniem przepisów o ochronie danych osobowych, z innymi roszczeniami na zasadach ogólnych.
3. W zakresie nieuregulowanym rozporządzeniem 2016/679 oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w ust. 1, następuje na zasadach określonych przepisami Kodeksu cywilnego.
Art. 90. 1. Sąd okręgowy jest właściwy w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, w tym roszczeń z tytułu art. 89 rozporządzenia 2016/679, niezależnie od wartości przedmiotu sporu.
2. Do postępowania w sprawach roszczeń dochodzonych na podstawie art. 89, w zakresie nieuregulowanym niniejszą ustawą, stosuje się przepisy Kodeksu postępowania cywilnego.
Art. 91. 1. O wniesieniu pozwu w sprawie, o której mowa w art. 89, sąd zawiadamia niezwłocznie Prezesa Urzędu.
2. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie
w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd, o którym mowa w ust. 1.
3. O każdym prawomocnym orzeczeniu uwzględniającym powództwo w sprawie, o której mowa w art. 89, sąd niezwłocznie zawiadamia Prezesa Urzędu.
Art. 92.W sprawach cywilnych, których przedmiotem jest ochrona danych osobowych, Prezes Urzędu może z urzędu lub na wniosek strony:
1) żądać wszczęcia postepowania,
2) brać udział w toczącym się postępowaniu
− na prawach przysługujących prokuratorowi.
Art. 93. Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawach, których przedmiotem jest ochrona danych osobowych.
Rozdział 11
Administracyjne kary pieniężne
Art. 94. Prezes Urzędu może nałożyć na podmioty nie będące organami albo podmiotami publicznymi w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych
w art. 83 rozporządzenia 2016/679.
Art. 95. 1. Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.
2. Administracyjne kary pieniężne, o których mowa w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
3. Na podmioty publiczne, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, kar pieniężnych, o których mowa w art. 83 rozporządzenia 2016/679 nie nakłada się.
Art. 96. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku,
a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro
w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Art. 97. 1. Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa.
2. Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego.
Art. 98. 1. Tworzy się Fundusz Ochrony Danych Osobowych, zwany dalej „Funduszem”, którego dysponentem jest Prezes Urzędu.
2. Fundusz jest państwowym funduszem celowym.
3. Przychodami Funduszu są środki finansowe pochodzące z 1% kar pieniężnych nakładanych przez Prezesa Urzędu. Środku z Funduszu nie mogą być podstawą osiągania przychodu przez pracowników Urzędu.
4. Środki Funduszu przeznacza się na:
1) inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem. Szczególną uwagę poświęca się działaniom skierowanym do dzieci;
2) inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania wśród administratorów i podmiotów przetwarzających wiedzy
o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych.
Art. 99. 1. Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.
2. Do wniosku dołącza się uzasadnienie.
3. W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. − Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.) od dnia następującego po dniu złożenia wniosku.
4. W przypadku rozłożenia na raty kary pieniężnej, odsetki, o których mowa w ust. 3, są naliczane odrębnie dla każdej raty.
5. W razie niedotrzymania odroczonego terminu płatności kary pieniężnej bądź terminu zapłaty rat, odsetki są naliczane za okres od dnia upływu odroczonego terminu płatności kary pieniężnej albo terminu zapłaty poszczególnych rat.
6. Prezes Urzędu może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.
7. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia.
8. Prezes Urzędu, na wniosek podmiotu ukaranego prowadzącego działalność gospodarczą, może udzielić, określonej w ust. 1, ulgi w wykonaniu administracyjnej kary pieniężnej, która:
1) nie stanowi pomocy publicznej;
2) stanowi pomoc de minimis albo pomoc de minimis w rolnictwie lub rybołówstwie − w zakresie i na zasadach określonych w bezpośrednio obowiązujących przepisach prawa Unii Europejskiej dotyczących pomocy w ramach zasady de minimis;
3) stanowi pomoc publiczną zgodną z zasadami rynku wewnętrznego Unii Europejskiej, której dopuszczalność została określona przez właściwe organy Unii Europejskiej.
Art. 100. Przepisów art. 189d - 189f i art.189k ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego nie stosuje się.
Rozdział 12
Przepisy karne
Art. 101. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Art. 102. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Rozdział 13
Przepisy zmieniające
Art. 103. W ustawie z dnia 14 czerwca 1960 r - Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149) w art. 22 po § 2 dodaje się § 2a w brzmieniu:
„§ 2a. Spory kompetencyjne pomiędzy organami administracji publicznej niebędącymi organami administracji rządowej i nieposiadjącymi organów wyższego stopnia oraz między tymi organami a organami administracji rządowej rozstrzyga sąd administracyjny.”.
Art. 104. W ustawie z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego
(Dz. U. z 2018 r. poz. 155) w art. 17 dodaje się pkt 7 w brzmieniu:
„7) o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów
o ochronie danych osobowych.”.
Art. 105. W ustawie z dnia 17 czerwca 1966 r. o postępowania egzekucyjnym
w administracji (Dz. U. z 2017 r. poz. 1201, z późn. zm.) użyte w art. 2 §1 pkt 12 i w art. 20 §2, w różnej liczbie i przypadku, wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.
Art. 106. W ustawie z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2017 r. poz. 2142, z późn. zm.) użyte w art. 1 ust. 1 pkt 13, w art. 36 ust. 5 pkt 1
i w art. 48 ust. 2, w różnej liczbie i przypadku, wyrazy „Biuro Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Urząd Ochrony Danych Osobowych”.
Art. 107. W ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U.
z 2017 r. poz. 524) użyte w art. 4 ust. 1 i 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 108. W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2016 r. poz. 1068 oraz z 2017 r. poz. 60) użyte w art. 44 ust. 2 pkt 2 wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.
Art. 109. W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne (Dz. U. z 2017 r. poz. 220, z późn. zm.) w art. 9c ust. 5a otrzymuje brzmienie:
„5a. Operatorzy systemów dystrybucyjnych instalujący u odbiorców końcowych przyłączonych do ich sieci liczniki zdalnego odczytu są obowiązani chronić dane pomiarowe dotyczące tych odbiorców, na zasadach określonych w przepisach o ochronie danych osobowych.”.
Art. 110. W ustawie z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami
(Dz. U. z 2018 r. poz. 50) użyte w art. 60 ust. 1 pkt 1 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 111. W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2016 r. poz. 2046, z późn. zm.) w art. 6d ust. 4b otrzymuje brzmienie:
„4b. Podmioty wymienione w ust. 4a mogą przetwarzać dane udostępnione
z systemu w celu, w którym te dane zostały im udostępnione, na zasadach określonych
w przepisach o ochronie danych osobowych.”.
Art. 112. W ustawie z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.) użyte w art. 119zt pkt 4 i w art. 119zzg, w różnej liczbie i przypadku, wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.
Art. 113. W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.) użyte w art. 105 ust. 1 pkt 2 lit. n wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 114. W ustawie z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2018 r. poz. 110) użyte w art. 6aa wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.
Art. 115. W ustawie z dnia 8 czerwca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów (Dz. U. z 2001 r. poz. 763, z późn. zm.) w art. 13 ust. 2 otrzymuje brzmienie:
„2. Jeżeli wyniki badań mają służyć nie tylko do informacji klienta, stosuje się przepisy o ochronie danych osobowych.”.
Art. 116. W ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych
(Dz. U. z 2018 r. poz. 23, z późn. zm.) w art. 175a uchyla się § 2.
Art. 117. W ustawie z dnia 3 lipca 2002 r. – Prawo lotnicze (Dz. U. z 2017 r. poz. 959,
z późn. zm.) wprowadza się następujące zmiany:
1) w art. 135b ust. 3 otrzymuje brzmienie:
„3. Informacje zebrane w bazie danych podlegają ochronie na podstawie przepisów o ochronie danych osobowych.”;
2) w art. 155b ust. 6 otrzymuje brzmienie:
„6. Dane osobowe osób, które dobrowolnie przekazały Prezesowi Urzędu informacje dotyczące bezpieczeństwa statku powietrznego, w szczególności jego usterek lub uszkodzeń, podlegają ochronie zgodnie z przepisami o ochronie danych osobowych.”.
Art. 118. W ustawie z dnia 30 sierpnia 2002 r. − Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2017 r. poz. 1369, 1370 i 2451) wprowadza się następujące zmiany:
1) po art. 4 dodaje się art. 4a w brzmieniu
„Art. 4a. Sądy administracyjne rozstrzygają spory o właściwość miedzy organami państwowymi prowadzącymi postępowania administracyjne niebędącymi organami administracji rządowej, organami jednostek samorządu terytorialnego i samorządowymi kolegiami odwoławczymi oraz pomiędzy tymi organami a organami administracji rządowej, o ile odrębna ustawa nie stanowi inaczej.”;
2) w art. 15 pkt 4 otrzymuje brzmienie:
„4) rozstrzyga spory, o których mowa w art. 4 i 4a;”.
Art. 119. W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U.
z 2017 r. poz. 1952 oraz z 2018 r. poz. 138) w art. 23 ust. 9 otrzymuje brzmienie:
„9. Informacje, o których mowa w ust. 8, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe
i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.”.
Art. 120. W ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2017 r. poz. 1938, z późn. zm.) w 56 ust. 5 otrzymuje brzmienie:
„5. Wypełnione deklaracje wyboru świadczeniodawca przechowuje w swojej siedzibie, zapewniając ich dostępność świadczeniobiorcom, którzy je złożyli
w zachowaniem wymagań wynikających z przepisów o ochronie danych osobowych.”;
Art. 121. W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2017 r. poz. 1311 i 2110) użyte w art. 47 ust. 1 pkt 11 i art. 52 pkt 8, w różnej liczbie i przypadku, wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.
Art. 122. W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570) wprowadza się następujące zmiany:
1) użyte w art. 2 ust. 4 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”;
2) w art. 4 pkt 1 otrzymuje brzmienie:
„1) przepisów o ochronie danych osobowych;”;
Art. 123. W ustawie z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (Dz. U.
z 2017 r. poz. 2183, z późn. zm.) w art. 88 uchyla się ust. 5.
Art. 124. W ustawie z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2017 r. poz. 1993, z późn. zm.) użyte w art. 22b ust. 8 wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.
Art. 125. W ustawie z dnia 18 października 2006 r. o ujawnianiu informacji
o dokumentach organów bezpieczeństwa państwa z lat 1944-1990 oraz treści tych dokumentów (Dz. U. z 2017 r. poz. 2186) użyte w art. 22 ust. 1 pkt 8c wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 126. W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (Dz. U. z 2017 r. poz. 489, z późn. zm.) w art. 15 ust. 8b otrzymuje brzmienie:
„8b. Informacje zawarte w rejestrze centralnym, o którym mowa w ust. 8a, mogą być przetwarzane przez ministra właściwego do spraw rodziny i wojewodę w celu monitorowania realizacji świadczeń z funduszu alimentacyjnego oraz w celu umożliwienia organom właściwym dłużnika i organom właściwym wierzyciela weryfikacji prawa do świadczeń z funduszu alimentacyjnego oraz przez podmioty wymienione w ust. 8c w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe wierzyciela oraz organy właściwe dłużnika przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 8.”.
Art. 127. W ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077) użyte w art. 139 ust. 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 128. W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2017 r. poz. 2065, z późn. zm.) użyte w art. 9f ust. 1 pkt 18 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 129. W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2014 r. poz. 1015, z późn. zm.) użyte w art. 11 ust. 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 130. W ustawie z dnia 9 kwietnia 2010 r. o Służbie Więziennej (Dz. U. z 2017 r. poz. 631, z późn. zm.) użyte w art. 18 ust. 2 pkt 6 wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.
Art. 131. W ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2016 r. poz. 1167, z późn. zm.) użyte w art. 34 ust. 10 pkt 9 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 132. W ustawie z dnia 5 stycznia 2011 r. - Kodeks wyborczy (Dz. U z 2017 r. poz. 15, z późn. zm.) w art. 143 § 4 otrzymuje brzmienie:
„§4. Wykaz wpłat obywateli polskich na rzecz komitetu wyborczego organizacji
i komitetu wyborczego wyborców Państwowa Komisja Wyborcza i komisarz wyborczy udostępniają do wglądu na wniosek, w trybie i na zasadach określonych w przepisach
o ochronie danych osobowych.”.
Art. 133. W ustawie z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U.
z 2018 r. poz. 123) w art. 27 ust. 9 otrzymuje brzmienie:
„9. Postępowanie w sprawach określonych w ust. 1 – 6 jest poufne i odbywa się
z zachowaniem przepisów o ochronie danych osobowych.”.
Art. 134. W ustawie z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2018 r. poz. 21)
w art. 80 w ust. 1 pkt 3 otrzymuje brzmienie:
„3) zapewnia bezpieczeństwo danych i informacji zbieranych i przetwarzanych oraz dokumentów, które otrzymał w związku z prowadzeniem BDO, zgodnie
z przepisami o ochronie danych osobowych.”.
Art. 135. W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U.
z 2017 r. poz. 1148, z późn. zm.) w art. 159 ust. 1 otrzymuje brzmienie:
„1. Prezes UDT administruje i przetwarza dane zawarte w rejestrach, o których mowa w art. 158 ust. 1, zgodnie z przepisami o ochronie danych osobowych.”.
Art. 136. W ustawie z dnia 24 lipca 2015 r. – Prawo o zgromadzeniach (Dz. U. z 2015 r. poz. 1485, z późn. zm.) w art. 15 ust. 3 otrzymuje brzmienie:
„3. Decyzje o zakazie zgromadzenia udostępnia się w Biuletynie Informacji Publicznej z uwzględnieniem przepisów o ochronie danych osobowych przez 3 miesiące od dnia jej wydania.”.
Art. 137. W ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej
i reasekuracyjnej (Dz. U. z 2017 r. poz. 1170, z późn. zm.) użyte w art. 35 ust. 2 pkt 10 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 138. W ustawie z dnia 25 września 2015 r. o zawodzie fizjoterapeuty (Dz. U. z 2015 r. poz. 1994 oraz z 2017 r. poz. 599) w art. 12 ust. 9 otrzymuje brzmienie:
„9. Postepowanie w sprawach określonych w ust. 1 – 7 jest poufne i odbywa się
z zachowaniem przepisów o ochronie danych osobowych.”.
Art. 139. W ustawie z dnia 9 października 2015 r. o produktach biobójczych (Dz. U.
z 2018 r. poz. 122 i 138) w art. 42 ust. 2 otrzymuje brzmienie:
„2. Raport oraz dane, o których mowa w ust. 1, nie mogą obejmować danych podlegających ochronie na podstawie przepisów o ochronie danych osobowych.”.
Art. 140. W ustawie z dnia 28 stycznia 2016 r. – Prawo o prokuraturze (Dz. U. z 2017 r. poz. 1767) w art. 191 uchyla się § 2.
Art. 141. W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowaniu dzieci (Dz. U. z 2017 r. poz. 1851 oraz z 2018 r. poz. 138) w art. 14 ust. 3 otrzymuje brzmienie:
„3. Informacje, o których mowa w ust. 2, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczenia wychowawczego oraz przez podmioty wymienione w ust. 4, w celu, w jakim informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe
i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując systemy teleinformatyczne, o których mowa w ust. 1.”.
Art. 142. W ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych (Dz. U. z 2016 r. poz. 669, z późn. zm.) art. 9 otrzymuje brzmienie:
„Art. 9 Do danych osobowych zgromadzonych w systemie zgłaszania stosuje się przepisy o ochronie danych osobowych.”.
Art. 143. W ustawie z dnia 8 grudnia 2017 r. o Służbie Ochrony Państwa (Dz. U. z 2018 r. poz. 138) użyte w art. 60 ust. 6 wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.
Rozdział 14
Przepisy przejściowe i dostosowujące
Art. 144. 1. Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, staje się, z mocy ustawy, inspektorem ochrony danych i pełni swoją funkcje do dnia 1 września 2018 r., chyba, że do tego dnia administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony
w art. 5 ust. 1 ustawy.
2. Osoba, która stała się, zgodnie ust. 1, inspektorem ochrony danych, pełni swoją funkcję także po dniu 1 września 2018 r. jeżeli do tego dnia administrator zawiadomił
o niej Prezesa Urzędu w sposób określony w art. 5 ust. 1 ustawy.
3. Osoba, o której mowa w ust. 1 może zostać odwołana przez administratora danych bez zawiadomienia Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych,
w przypadku gdy na podstawie art. 37 rozporządzenia 2016/679 administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych.
4. Administrator, który do dnia wejścia w życie niniejszej ustawy nie powołał administratora bezpieczeństwa informacji, a który zgodnie z art. 37 rozporządzenia 2016/679, ma obowiązek wyznaczenia inspektora ochrony danych, wyznacza inspektora ochrony danych oraz zawiadamia Prezesa Urzędu, zgodnie z art. 5 ust. 1 niniejszej ustawy, w terminie do dnia 31 lipca 2018 r.
5. Podmiot przetwarzający, który zgodnie z art. 37 rozporządzenia 2016/679 ma obowiązek wyznaczenia inspektora ochrony danych, wyznacza inspektora ochrony danych oraz zawiadamia Prezesa Urzędu, zgodnie z art. 5 ust. 1 niniejszej ustawy, w terminie do dnia 31 lipca 2018 r.
Art. 145. Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych i pełni swoją funkcję do czasu upływu kadencji na którą został powołany.
Art. 146. 1. Z dniem wejścia w życie ustawy Biuro Generalnego Inspektora Ochrony Danych Osobowych staje się Urzędem Ochrony Danych Osobowych.
2. Z dniem wejścia w życie ustawy pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami Urzędu Ochrony Danych Osobowych. Przepis art. 231 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy stosuje się odpowiednio.
Art. 147. Z dniem wejścia w życie ustawy, mienie Skarbu Państwa będące we władaniu Biura Generalnego Inspektora Ochrony Danych Osobowych staje się mieniem Urzędu Ochrony Danych Osobowych.
Art. 148. Należności i zobowiązania Biura Generalnego Inspektora Ochrony Danych Osobowych z dniem wejścia w życie ustawy, stają się należnościami i zobowiązaniami Urzędu Ochrony Danych Osobowych.
Art. 149. Do kontroli wszczętej przed dniem 25 maja 2018 r. stosuje się przepisy dotychczasowe.
Art. 150. 1. Postępowania wszczęte i niezakończone przed Generalnym Inspektorem Ochrony Danych Osobowych przed dniem wejścia w życie ustawy, toczą się przed Prezesem Urzędu Ochrony Danych Osobowych.
2. Postępowania, o których mowa w ust. 1, prowadzi się na podstawie przepisów ustawy, z zastrzeżeniem ust. 8.
3. Wszystkie czynności przeprowadzone w postępowaniach, o których mowa w ust. 1, pozostają skuteczne.
4. W przypadku wniesienia zażalenia na postanowienie Generalnego Inspektora Ochrony Danych Osobowych, postępowanie wszczęte tym zażaleniem, umarza się z mocy prawa
z dniem wejścia w życie niniejszej ustawy.
5. Stronę, która zainicjowała postępowanie, o którym mowa w ust. 4, organ poucza o prawie złożenia skargi do sądu administracyjnego. Postanowienia o umorzeniu postepowania nie wydaje się.
6. Jeżeli Generalny Inspektor Ochrony Danych Osobowych wydał postanowienie, na które przysługiwało zażalenie i do dnia wejścia w życie niniejszej ustawy termin na wniesienie tego zażalenia nie upłynął, stronie przysługuje skarga do sądu administracyjnego na to postanowienie w terminie 3 miesięcy od dnia wejścia w życie niniejszej ustawy.
7. Jeżeli Generalny Inspektor Ochrony Danych Osobowych wydał decyzję, od której przysługiwał wniosek o ponowne rozpatrzenie sprawy i do dnia wejścia w życie niniejszej ustawy termin na złożenie wniosku o ponowne rozpatrzenie sprawy nie upłynął, stronie przysługuje skarga do sądu administracyjnego na tę decyzję w terminie 3 miesięcy od dnia wejścia w życie ustawy.
8. W przypadku wniesienia, na podstawie art. 21 ustawy, o której mowa w art. 157, wniosku o ponowne rozpatrzenie sprawy, postępowanie wszczęte tym wnioskiem umarza się
z mocy prawa z dniem wejścia w życie ustawy.
9. Stronę, która zainicjowała postępowanie, o którym mowa w ust. 8, organ poucza
o prawie złożenia skargi do sądu administracyjnego.
10. Termin na wniesienie skargi w przypadku, o którym mowa w ust. 5 i 6, wynosi 3 miesiące od dnia doręczenia pouczenia. Do czasu upływu tego terminu decyzja, od której strona złożyła wniosek o ponowne rozpatrzenie sprawy, nie podlega wykonaniu.
11. Postępowania prowadzone na podstawie rozdziału 6 ustawy, o której mowa w art. 157, umarza się z mocy prawa z dniem wejścia w życie ustawy. Decyzji o umorzeniu postępowania nie wydaje się.
Art. 151. Podmiot, do którego przed dniem wejścia w życie niniejszej ustawy zostało skierowane wystąpienie lub wniosek, o którym mowa w art. 19a ustawy, o której mowa w art. 157, jest obowiązany przekazać Prezesowi Urzędu odpowiedź na wystąpienie lub wniosek w terminie 30 dni od dnia wejścia w życie ustawy.
Art. 152. W przypadku, gdy Generalny Inspektor Ochrony Danych Osobowych do dnia wejścia w życie ustawy nie złoży sprawozdania ze swojej działalności, sprawozdanie
z działalności Generalnego Inspektora Ochrony Danych Osobowych składa Prezes Urzędu
w terminie do dnia 31 lipca 2018 r.
Art. 153. Dane zgromadzone w rejestrze zbiorów danych osobowych przekazuje się niezwłocznie z dniem wejścia w życie ustawy do archiwum państwowego wskazanego przez Naczelnego Dyrektora Archiwów Państwowych, gdzie mogą być przetwarzane w ramach działalności archiwalnej.
Art. 154. Dane zgromadzone w rejestrze administratorów bezpieczeństwa informacji przekazuje się niezwłocznie z dniem wejścia w życie ustawy do archiwum państwowego wskazanego przez Naczelnego Dyrektora Archiwów Państwowych, gdzie mogą być przetwarzane w ramach działalności archiwalnej”.
Art. 155. 1. W sprawach sądowych, sądowo-administracyjnych lub administracyjnych,
w których, stroną lub uczestnikiem był Generalny Inspektor Ochrony Danych Osobowych stroną lub uczestnikiem staje się, z dniem wejścia w życie ustawy, Prezes Urzędu.
2. W sprawach sądowych, sądowo-administracyjnych lub administracyjnych, w których, stroną lub uczestnikiem było Biuro Generalnego Inspektora Ochrony Danych Osobowych stroną lub uczestnikiem staje się, z dniem wejścia w życie ustawy, Urząd Ochrony Danych Osobowych.
Rozdział 15
Przepisy końcowe
Art. 156.1. Maksymalny limit wydatków z budżetu państwa przeznaczonych na wykonywanie zadań wynikających z niniejszej ustawy wynosi w roku:
1) 2018 r. - 29 357 000 zł;
2) 2019 r. - 13 099 000 zł;
3) 2020 r. - 13 099 000 zł;
4) 2021 r. – 13 099 000 zł;
5) 2022 r. – 13 099 000 zł;
6) 2023 r. - 13 099 000 zł;
7) 2024 r. – 13 099 000 zł;
8) 2025 r. - 13 099 000 zł;
9) 2026 r. – 13 099 000 zł;
10) 2027 r. – 13 099 000 zł.
2. Prezes Urzędu Ochrony Danych Osobowych monitoruje wykorzystanie limitu wydatków, o których mowa w ust. 1, i dokonuje oceny wykorzystania tego limitu według stanu na koniec każdego kwartału, a w przypadku IV kwartału - według stanu na dzień 20 listopada danego roku.
3. W przypadku przekroczenia lub zagrożenia przekroczenia przyjętego na dany rok budżetowy maksymalnego limitu wydatków określonego w ust. 1 oraz w przypadku, gdy w okresie od początku roku kalendarzowego do dnia ostatniej oceny, o której mowa w ust. 2, część limitu rocznego przypadającego proporcjonalnie na ten okres zostanie przekroczona co najmniej o 10% stosuje się mechanizm korygujący polegający na zmniejszeniu wydatków budżetu państwa będących skutkiem finansowym niniejszej ustawy.
4. Organem właściwym do wdrożenia mechanizmu korygującego, o którym mowa w ust. 3, jest Prezes Urzędu Ochrony Danych Osobowych.
Art. 157. Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2016 r. poz. 922 i z 2018 r. poz. 138).
Art. 158. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
- Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1).
- Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 1988 r. poz. 324, z 1989 r. poz. 187, z 1990 r. poz. 173, z 1991 r. poz. 442, z 1996 r. poz. 542, z 1997 r. poz. 554 i 770, z 1999 r. poz. 999, z 2001 r. poz. 1198, z 2002 r. poz. 1271, z 2004 r. poz. 1181, z 2005 r. poz. 377, z 2007 r. poz. 590, z 2010 r. poz. 1228 i 1551, z 2011 r. poz. 459, 934, 1204 i 1660, z 2012 r. poz. 1136 oraz z 2013 r. poz. 771.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2015 r. poz. 1485, 1634 i 1707 oraz z 2017 r. poz. 966 i 1941).
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, z 2017 r. poz. 708, 962, 966, 1477, 1543 i 2400 i z 2018 r. poz. 201).
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 648, 768, 935, 1428, 1537, 2169 i 2491 oraz z 2018 r. poz. 106, 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1475 i 1954 oraz w 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2203 oraz z 2018 r. poz. 106.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 791, 1089, 1387 i 1566 oraz z 2018 r. poz. 9 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 777, 93 5 i 1428 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 648, 768, 935, 1428, 1537, 2169 i 2491 oraz z 2018 r. poz. 106 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2491 oraz z 2018 r. poz. 106 i 138.
- Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2009 r. poz. 120 i 753.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 106 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1089 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2110, 2217 i 2434 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2201 i 1530 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1321 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 624, 777, 952
i 1428. - Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2491 oraz z 2018 r. poz. 106 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2014 r. poz. 1188, z 2015 r. poz. 396, z 2016 r. poz. 1948, z 2017 r. poz. 819, 933 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1321 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, z 2017 r. poz. 935 oraz z 2018 r. poz. 106 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1089 oraz z 2018 r. poz. 4, 130 i 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1593 oraz z 2018 r. poz. 9.
- Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 579 oraz z 2018 r. poz. 138.
- Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1089, 1926 i 2102 oraz z 2018 r. poz. 8 i 106.
- Zmiany tekstu wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948 oraz z 2018 r. poz. 138.
odt
projekt ustawy o ochronie danych osobowych 08.02.2018
Pobierz plik [54.55 KB]odt
uzasadnienie projekt ustawy o ochronie danych osobowych
Pobierz plik [68.47 KB]