Projekt z dnia 12 września 2017 r. o ochronie danych osobowych 1)

Projekt z dnia 12 września 2017 r.

U S T A W A z dnia ……………… 2017 r.

o ochronie danych osobowych 1)

 

Rozdział 1

Przepisy ogólne

 

Art. 1.1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.

  1. Ustawa określa:
  • podmioty obowiązane    do    wyznaczenia    inspektora    ochrony    danych    oraz    tryb zawiadamiania o wyznaczaniu;
  • warunki i tryb udzielania certyfikacji i akredytacji;
  • organ właściwy w sprawie ochrony danych osobowych;
  • postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
  • europejską współpracę administracyjną;
  • postępowanie kontrolne;
  • odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;
  • administracyjne kary pieniężne za naruszenie przepisów o ochronie danych

1) Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1)

Art. 2.1. Do działalności polegającej na redagowaniu, przygotowaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. poz. 24, z późn. zm.2)) a także do działalności literackiej lub artystycznej nie stosuje się przepisów art. 5 – 9, 11, 13 – 16, 18 -22, 27, 28 ust. 2 – 10 i art. 30 rozporządzenia 2016/679.

  1. Do wypowiedzi akademickiej o której mowa w art. 85 ust. 2 rozporządzenia 2016/679 nie stosuje się przepisów 13, 15 ust. 3 i 4, art. 18, 27, 28 ust. 2 – 10 i art. 30 rozporządzenia 2016/679.
  2. Jeżeli ograniczenia o których mowa w ust. 1 i 2 różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega

Art. 3. W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.

 

Rozdział 2

Inspektorzy ochrony danych

 

Art. 4. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy publiczne wskazane w art. 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2016 r. poz. 23, 868, 996, 1579 i 2138 oraz z 2017 r. poz. 935)

 

2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 1988 r. poz. 324, z 1989 r. poz. 187, z 1990 r. poz. 173, z 1991 r. poz. 442, z 1996 r. poz. 542, z 1997 r. poz. 554 i 770, z 1999 r. poz. 999, z 2001 r. poz. 1198, z 2002 r. poz. 1271, z 2004 r. poz. 1181, z 2005 r. poz. 377, z 2007 r. poz. 590, z 2010 r. poz. 1228 i 1551, z 2011 r. poz. 459, 934, 1204 i 1660, z 2012 r. poz. 1136 oraz z 2013 r. poz. 771.

oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.3).

Art. 5. 1 Administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, zwanego dalej „inspektorem”, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”, o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.

  1. W zawiadomieniu administrator danych albo podmiot przetwarzający obowiązany jest wskazać adres i pełną nazwę, a w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna – miejsce zamieszkania oraz imię i
  2. O każdej zmianie danych, o której mowa w 1 i 2, w tym o odwołaniu inspektora, należy zawiadomić Prezesa Urzędu w terminie 14 dni od dnia zaistnienia zmiany.
  1. Zawiadomienia, o których mowa w ust. 1 i 3, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym
  2. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci
  3. Prezes Urzędu prowadzi wewnętrzną ewidencję zawiadomień, o których mowa w ust. 1 i 3. Ewidencja zawiera dane, o których mowa w ust. 1

 

Rozdział 3

Certyfikacja i akredytacja

 

Art. 6. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu.

Art. 7. Prezes Urzędu opracowuje kryteria certyfikacji i udostępnia je w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

Art.   8.1.    Certyfikacji    dokonuje   się    na   wniosek    administratora    lub    podmiotu przetwarzającego.

3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, 1984 i 2260 oraz z 2017 r. poz. 60, 191, 659, 933, 935 i 1089.

  1. Wniosek o certyfikację zawiera co najmniej:
  • nazwę administratora lub podmiotu przetwarzającego albo jego imię i nazwisko oraz wskazanie siedziby lub adresu zamieszkania administratora lub podmiotu przetwarzającego;
  • informacje potwierdzające spełnianie kryteriów
  1. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów certyfikacji albo ich elektroniczne
  2. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym

Art. 9.1. Prezes Urzędu rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia certyfikacji.

  1. Odmowa udzielenia certyfikacji następuje w drodze decyzji w przypadku stwierdzenia, że administrator lub podmiot przetwarzający nie spełnia kryteriów certyfikacji.
  1. Do decyzji, o której mowa w ust. 2, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

Art. 10.1. Dokumentem potwierdzającym certyfikację jest certyfikat.

  1. Certyfikat zawiera co najmniej:
  • oznaczenie administratora lub podmiotu przetwarzającego;
  • nazwę organu udzielającego certyfikacji oraz wskazanie adresu jego siedziby;
  • numer i oznaczenie certyfikatu;
  • okres, na jaki została udzielona certyfikacja;
  • datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.

Art. 11. W okresie, na jaki została udzielona certyfikacja administrator lub podmiot przetwarzający są obowiązani spełniać kryteria certyfikacji.

Art. 12. Prezes Urzędu prowadzi publicznie dostępny wykaz administratorów i podmiotów przetwarzających, którym udzielono certyfikacji.

Art. 13.1 Prezes Urzędu w terminie, o którym mowa w art. 9 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora lub podmiotu przetwarzającego w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

  1. Prezes Urzędu zawiadamia o zamiarze przeprowadzenia czynności sprawdzających.
  2. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.
  3. Czynności sprawdzające przeprowadza się na podstawie upoważnienia wydanego przez Prezesa Urzędu, które zawiera:
  • imię i nazwisko osoby przeprowadzającej czynności sprawdzające;
  • oznaczenie administratora lub podmiotu przetwarzającego;
  • zakres czynności sprawdzających.

Art. 14.1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:

  • wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;
  • oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.
  1. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego lub osoby przez niego upoważnionej.
  1. Z czynności sprawdzających sporządza się protokół i przedstawia administratorowi lub podmiotowi przetwarzającemu. Przepis art. 72 stosuje się

Art. 15.1. Prezes Urzędu w drodze decyzji cofa udzieloną certyfikację w przypadkach, o których mowa w art. 42 ust. 7 rozporządzenia 2016/679.

  1. W decyzji, o której mowa w 1, Prezes Urzędu wskazuje przyczyny cofnięcia certyfikacji.
  1. Do decyzji, o której mowa w ust.1, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

Art. 16.1. Za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.

  1. Opłaty, o których mowa w ust. 1, stanowią dochód budżetu państwa.

Art. 17. Monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, zajmuje się podmiot akredytowany przez Prezesa Urzędu zgodnie z kryteriami określonymi w art. 41 ust. 2 rozporządzenia 2016/679.

Art. 18.1. Akredytacji podmiotu ubiegającego się o monitorowanie przestrzegania zatwierdzonego kodeksu postepowania dokonuje się na wniosek.

  1. Wniosek o akredytację zawiera co najmniej:
  • nazwę wnioskodawcy oraz wskazanie adresu jego siedziby;
  • informacje potwierdzające spełnienie kryteriów, o których mowa w 41 ust. 2 rozporządzenia 2016/679.
  1. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679, albo ich elektroniczne
  2. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym
  3. Prezes Urzędu rozpatruje wniosek o akredytację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia
  4. Odmowa udzielenia akredytacji następuje w drodze decyzji w przypadku stwierdzenia, że wnioskodawca nie spełnia kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679.
  5. Do decyzji, o której mowa w ust. 6, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

Art. 19.1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.

  1. Certyfikat akredytacyjny zawiera co najmniej:
  • oznaczenie organu udzielającego akredytacji i adres jego siedziby;
  • oznaczenie podmiotu akredytowanego i adres jego siedziby;
  • numer i oznaczenie certyfikatu akredytacyjnego;
  • okres, na jaki została udzielona akredytacja;
  • datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.
  1. W okresie, na jaki została udzielona akredytacja podmiot akredytowany jest obowiązany spełniać kryteria akredytacji.
  1. Prezes Urzędu prowadzi wykaz podmiotów akredytowanych i udostępnia go w Biuletynie Informacji Publicznej na swojej stronie
  2. W przypadku, gdy podmiot akredytowany:
  • przestał spełniać kryteria akredytacji, o których mowa w 41 ust. 2 rozporządzenia 2016/679,
  • podejmuje działania niezgodne z przepisami rozporządzenia 2016/679

– Prezes Urzędu w drodze decyzji cofa udzieloną akredytację.

  1. Do decyzji, o której mowa w ust. 5, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

 

Rozdział 4

Prezes Urzędu Ochrony Danych Osobowych

 

Art. 20.1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

  1. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 i organem nadzorczym w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).
  1. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów.
  2. Na stanowisko Prezesa Urzędu może być powołana osoba, która spełnia następujące warunki:
  • jest obywatelem polskim;
  • posiada tytuł naukowy doktora;
  • posiada wiedzę z zakresu ochrony danych osobowych;
  • przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;
  • korzysta z pełni praw publicznych;
  • nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo
  1. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko
  2. Kadencja Prezesa Urzędu trwa 4 lata od dnia złożenia ślubowania.
  3. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie
  4. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.
  5. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:
  • zrzekł się stanowiska;
  • stał się trwale niezdolny do pełnienia obowiązków na skutek choroby;
  • sprzeniewierzył się ślubowaniu;
  • został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego.
  1. W przypadku odwołania lub wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Prezesa Rady Ministrów.

Art. 21. Przed przystąpieniem do wykonywania obowiązków Prezes Urzędu składa przed Sejmem następujące ślubowanie:

„Obejmując stanowisko Prezesa Urzędu Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych kierując się przepisami prawa oraz zasadami współżycia społecznego i sprawiedliwości. Ślubuję, że powierzone mi obowiązki wypełniać będę bezstronnie, z najwyższą sumiennością i starannością, że będę strzec godności powierzonego mi stanowiska.”. Ślubowanie może zostać złożone z dodaniem słów „Tak mi dopomóż Bóg”.

Art. 22.1. Prezes Urzędu może wykonywać swoje zadania przy pomocy do trzech zastępców Prezesa Urzędu.

  1. Na wniosek ministra właściwego do spraw informatyzacji Prezes Rady Ministrów może powołać dwóch zastępców Prezesa Urzędu. Odwołanie zastępcy Prezesa Urzędu następuje w tym samym
  2. Na wniosek ministra właściwego do spraw wewnętrznych Prezes Rady Ministrów powołuje zastępcę Prezesa Urzędu.
  1. Wniosek, o którym mowa w ust. 3, minister właściwy do spraw wewnętrznych przekazuje celem zaopiniowania Ministrowi Sprawiedliwości, Ministrowi Obrony Narodowej, ministrowi właściwemu do spraw finansów publicznych oraz Prokuratorowi
  2. Odwołanie zastępcy Prezesa Urzędu powołanego na wniosek ministra właściwego do spraw wewnętrznych następuje w trybie, o którym mowa w ust. 3 i
  3. Na zastępcę Prezesa Urzędu może być powołana osoba, która przez okres co najmniej czterech lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych i spełnia warunki, o których mowa w art. 20 ust. 4 pkt 1, 3, 5 i

Art. 23.1. Prezes Urzędu nie może zajmować innego stanowiska, z wyjątkiem stanowiska naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.

  1. Prezes Urzędu nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.
  1. Przepisy ust. 1 i 2 stosuje się odpowiednio do zastępców Prezesa Urzędu.

Art. 24.1. Prezes Urzędu nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.

  1. Prezes Urzędu może wyrazić zgodę na pociągnięcie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym
  2. W przypadku popełnienia przez Prezesa Urzędu wykroczenia, o którym mowa w rozdziale XI ustawy z dnia 20 maja 1971 r. – Kodeks wykroczeń (Dz. U. z 2015 r. poz. 1094, 1485, 1634 i 1707 oraz z 2017 poz. 966), przyjęcie przez Prezesa Urzędu mandatu karnego albo uiszczenie grzywny, w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2016 r. poz. 1713 i 1948 oraz z 2017 r. poz. 708, 962 i 966), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągniecie go do odpowiedzialności w tej formie.
  1. Prezes Urzędu nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie

Art. 25. Przedawnienie w postępowaniu karnym czynu objętego immunitetem nie biegnie w okresie korzystania z immunitetu.

Art. 26.1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia publicznego składa się za pośrednictwem Prokuratora Generalnego.

  1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia prywatnego składa oskarżyciel prywatny, po wniesieniu sprawy do sądu.
  2. Wniosek, o którym mowa w 2, sporządza i podpisuje adwokat lub radca prawny, z wyjątkiem wniosków składanych w swoich sprawach przez sędziów, prokuratorów, adwokatów, radców prawnych, notariuszy oraz profesorów i doktorów habilitowanych nauk prawnych.
  3. Wnioski, o których mowa w ust. 1 i 2, powinny zawierać:
  • oznaczenie wnioskodawcy oraz pełnomocnika, o ile został ustanowiony;
  • imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
  • wskazanie podstawy prawnej wniosku;
  • dokładne określenie czynu, którego dotyczy wniosek, ze wskazaniem czasu, miejsca, sposobu i okoliczności jego popełnienia oraz skutków, a zwłaszcza charakteru powstałej szkody;

Art. 27.1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej składa się Marszałkowi Sejmu.

  1. Jeżeli wniosek nie spełnia wymogów formalnych, o których mowa w art. 26 ust. 3 lub 4, Marszałek Sejmu wzywa wnioskodawcę do poprawienia lub uzupełnienia wniosku w terminie 14 dni, wskazując niezbędny zakres poprawienia lub uzupełnienia. W przypadku niepoprawienia lub nieuzupełnienia wniosku we wskazanym terminie i zakresie Marszałek Sejmu postanawia o pozostawieniu wniosku bez
  2. Jeżeli wniosek spełnia wymogi formalne, o których mowa w 26 ust. 3 i 4, Marszalek Sejmu kieruje go do organu właściwego na podstawie regulaminu Sejmu do rozpatrzenia wniosku, zawiadamiając jednocześnie Prezesa Urzędu o treści wniosku.
  3. Organ właściwy do rozpatrzenia wniosku powiadamia Prezesa Urzędu o terminie rozpatrzenia wniosku. Pomiędzy doręczeniem powiadomienia a terminem rozpatrzenia wniosku, o ile nie zachodzi wypadek nie cierpiący zwłoki, powinno upłynąć co najmniej 7
  4. Na żądanie organu właściwego do rozpatrzenia wniosku sąd albo odpowiedni organ, przed którym toczy się postepowanie wobec Prezesa Urzędu, udostępnia akta postępowania.
  5. Prezes Urzędu przedstawia organowi właściwemu do rozpatrzenia wniosku wyjaśnienia i własne wnioski w tej sprawie w formie pisemnej lub ustnej.
  1. Po rozpatrzeniu sprawy, organ właściwy do rozpatrzenia wniosku uchwala sprawozdanie wraz z propozycją przyjęcia lub odrzucenia
  2. W trakcie rozpatrywania przez Sejm sprawozdania, o którym mowa w 7, Prezesowi Urzędu przysługuje prawo zabrania głosu.
  1. Sejm wyraża zgodę na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności

Art. 28.1. Zakaz zatrzymania, o którym mowa w art. 24, obejmuje wszelkie formy pozbawienia lub ograniczenia wolności osobistej Prezesa Urzędu przez organy sprawujące przymus.

  1. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu składa się za pośrednictwem Prokuratora
  2. Wniosek, o którym mowa w ust. 2, powinien zawierać:
  • oznaczenie wnioskodawcy;
  • imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
  • dokładne określenie czynu oraz jego kwalifikację prawną;
  • podstawę prawną zastosowania określonego środka;
  • uzasadnienie, wskazujące w szczególności na konieczność zastosowania określonego środka.
  1. Do postępowania z wnioskiem o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu, przepisy art. 27 ust. 1 – 8 stosuje się
  2. Sejm wyraża zgodę na zatrzymanie lub aresztowanie Prezesa Urzędu w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na zatrzymanie lub aresztowanie Prezesa Urzędu.
  3. Wymóg uzyskania zgody Sejmu nie dotyczy wykonania kary pozbawienia wolności orzeczonej prawomocnym wyrokiem sądu.

Art. 29. 1. Marszałek Sejmu przesyła wnioskodawcy niezwłocznie uchwałę, o której mowa w art. 27 ust. 9 i art. 28 ust. 5.

  1. Uchwały, o których mowa w ust. 1, podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

Art. 30. Przepisy ustawy dotyczące odpowiedzialności karnej Prezesa Urzędu stosuje się odpowiednio do odpowiedzialności za wykroczenia.

Art. 31. Szczegółowy tryb postępowania w sprawach, o których mowa w art. 25 – 30, określa Regulamin Sejmu.

Art. 32.1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.

  1. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:
  • organizację Urzędu,
  • zakres zadań swoich zastępców
  • zakres zadań i tryb pracy komórek organizacyjnych Urzędu

– mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.

Art. 33.1. Prezes Urzędu, zastępcy Prezesa Urzędu a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych.

  1. Obowiązek zachowania tajemnicy służbowej nie może być ograniczony w czasie i trwa także po zakończeniu kadencji albo zatrudnienia.

Art. 34.1. Przy Prezesie Urzędu działa Rada do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”. Rada jest organem opiniodawczo-doradczym Prezesa Urzędu.

  1. Do zadań Rady należy:
  • opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
  • opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
  • opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 7;
  • opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  • wykonywanie innych zadań zleconych przez Prezesa Urzędu.
  1. Rada wyraża opinię w terminie 21 dni od dnia otrzymania projektów lub dokumentów, o których mowa w ust.
  2. Opinie, protokoły posiedzeń oraz inne dokumenty Rady są udostępniane w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Urzędu.
  3. Rada przedstawia Prezesowi Urzędu sprawozdanie z działalności za każdy rok kalendarzowy w terminie do dnia 31 marca następnego
  4. Rada składa się z 8 członków.
  5. Kandydatów na członków Rady mogą rekomendować:
  • członkowie Rady Ministrów;
  • Rzecznik Praw Obywatelskich;
  • Prezes Głównego Urzędu Statystycznego;
  • Prezes Urzędu Komunikacji Elektronicznej;
  • Prezes Urzędu Ochrony Konkurencji i Konsumentów;
  • Naczelny Dyrektor Archiwów Państwowych;
  • izby gospodarcze;
  • jednostki naukowe w rozumieniu przepisów ustawy z dnia 30 kwietnia 2010 o zasadach finansowania nauki (Dz. U. z 2016 r., poz. 2045, z późn. zm.4));
  • stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych
  1. Rekomendowany do Rady kandydat powinien posiadać wykształcenie wyższe oraz wyrazić zgodę na kandydowanie.
  1. Prezes Urzędu powołuje skład Rady na dwuletnią kadencję spośród kandydatów rekomendowanych przez podmioty, o których mowa w ust.
  2. Przed upływem kadencji członkostwo w Radzie wygasa z powodu:
  • rezygnacji członka Rady złożonej na piśmie Przewodniczącemu Rady;
  • śmierci członka Rady;
  • niemożności sprawowania funkcji członka Rady z powodu długotrwałej choroby stwierdzonej zaświadczeniem lekarskim;
  • skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
  1. W przypadkach, o których mowa w 10, Prezes Urzędu powołuje na członka Rady osobę spośród pozostałych rekomendowanych kandydatów po sprawdzeniu aktualności rekomendacji.
  2. Prezes Urzędu powołuje i odwołuje Przewodniczącego i Wiceprzewodniczącego Rady spośród jej członków.
  1. Przewodniczący Rady kieruje jej pracami i reprezentuje ją na zewnątrz. W przypadku nieobecności Przewodniczącego zastępuje go Wiceprzewodniczący.
  1. Obsługę Rady zapewnia Urząd.
  • Na posiedzenie Rady   mogą    być    zapraszane,    przez    Prezesa    Urzędu    oraz Przewodniczącego Rady, inne osoby, o ile jest to wskazane dla realizacji zadań Rady.
  1. Prezes Rady Ministrów określi, w drodze rozporządzenia, wysokość wynagrodzenia członka Rady za udział w posiedzeniu, uwzględniając funkcje pełnione przez członków Rady i zakres obowiązków członków Rady, a także mając na uwadze, że wynagrodzenie za jedno posiedzenie Rady nie może przekroczyć 50% minimalnego wynagrodzenia określonego na podstawie ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (Dz. z 2017 r. poz. 847), obowiązującego w dniu powołania Rady.
  1. Zamiejscowym członkom Rady przysługują diety oraz zwrot kosztów podróży i zakwaterowania na warunkach określonych w przepisach wydanych na podstawie art. 775 § 2 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2016 r., poz. 1666, 2138 i 2255 oraz z 2017 r. poz. 60 i 962).
  2. Szczegółowy tryb działania Rady określa regulamin ustanawiany na wniosek Rady przez Prezesa Urzędu.

Art. 35. Prezes Urzędu, do dnia 31 sierpnia przedstawia Sejmowi, Prezesowi Rady Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności, zawierające w szczególności informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych.

Art. 36. Prezes Urzędu opiniuje założenia i projekty aktów prawnych dotyczące ochrony danych osobowych.

Art. 37.1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

  1. Prezes Urzędu może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
  2. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania

Art. 38. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

  • standardowe klauzule umowne, o których mowa w 28 ust. 8 rozporządzenia 2016/679;
  • zatwierdzone kodeksy postępowania, o których mowa w 40 rozporządzenia 2016/679, a także zmiany tych kodeksów.

Art. 39. 1. Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679.

  1. Komunikat, o którym mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

Art. 40. Prezes Urzędu w procedurze uprzednich konsultacji może zawiesić bieg terminów, o których mowa w art. 36 ust. 2 rozporządzenia 2016/679, jednokrotnie i na okres nie przekraczający 14 dni.

Art. 41. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.

Art. 42.1.Prezes Urzędu w drodze decyzji:

  • zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679;
  • zatwierdza kodeks postępowania, o którym mowa w art. 40 rozporządzenia 2016/679;
  • przyjmuje standardowe klauzule ochrony danych, o których mowa w 46 ust. 2 lit d rozporządzenia 2016/679;
  • udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679.
  1. Do decyzji, o których mowa w ust. 1, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i 55.

Art. 43.1. Prezes Urzędu opracowuje i udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

  1. Rekomendacje sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i podlegają okresowej aktualizacji.
  1. Projekt rekomendacji Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.

 

Rozdział 5

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

 

Art. 44.1. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

  1. Postępowanie jest postępowaniem jednoinstancyjnym.

Art. 45. Gdy prawa osoby przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, organizacja społeczna może występować z żądaniem:

  • wszczęcia postępowania,
  • dopuszczenia jej do udziału w postępowaniu, jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone.

Art. 46. O każdym przypadku niezałatwienia sprawy w terminie Prezes Urzędu jest obowiązany zawiadomić strony, podając przyczyny zwłoki, informację o stanie sprawy i przeprowadzonych w jej toku czynnościach oraz wskazując nowy termin załatwienia sprawy.

Art. 47.1. Prezes Urzędu może wyznaczyć stronie termin do przedstawienia dowodu będącego w jej posiadaniu.

  1. Termin ustala się uwzględniając charakter dowodu i stan postępowania, przy czym nie może on być krótszy niż 7 dni.
  1. Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Czynności te strona jest obowiązana wykonać na własny

Art. 48.1. Prawo Prezesa Urzędu do dostępu do wszelkich informacji, w tym danych osobowych, niezbędnych Prezesowi Urzędu do realizacji zadań podlega ograniczeniu ze względu na tajemnice ustawowo chronione.

  1. Wykonywanie prawa, o którym mowa w ust. 1, jest możliwe na zasadach określonych w przepisach regulujących dostęp do tajemnic ustawowo chronionych.

Art. 49.1. Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, dostarczane Prezesowi Urzędu.

  1. Prezes Urzędu może uchylić zastrzeżenie w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.
  2. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego

Art. 50.1. Prezes Urzędu na wniosek lub z urzędu może, w drodze postanowienia, w niezbędnym zakresie ograniczyć prawo wglądu do materiału dowodowego, jeżeli udostępnienie tego materiału groziłoby ujawnieniem tajemnicy przedsiębiorstwa, lub innych tajemnic podlegających ochronie na podstawie odrębnych przepisów.

  1. Wniosek o ograniczenie prawa wglądu do materiału dowodowego składa się do Prezesa Urzędu wraz z uzasadnieniem oraz wersją dokumentu niezawierającą informacji objętych ograniczeniem, o którym mowa w ust. 1, ze stosowną adnotacją.
  2. Jeżeli wniosek nie spełnia wymagań określonych w ust. 2, Prezes Urzędu wzywa wnioskodawcę do jego uzupełnienia w wyznaczonym terminie. W przypadku nieprzedłożenia w wyznaczonym terminie wersji dokumentu, o której mowa w ust. 2, wniosek pozostawia się bez rozpoznania.
  3. Stronom udostępnia  się  materiał  dowodowy  niezawierający  informacji  objętych ograniczeniem, o którym mowa w ust. 1, ze stosowną adnotacją.
  1. Obowiązku złożenia wersji dokumentu niezawierającej informacji objętych ograniczeniem, o którym mowa w ust. 1, nie stosuje się w sytuacji gdy cały dokument jest objęty ograniczeniem, o którym mowa w ust.

Art. 51.1. Kto, będąc obowiązany do osobistego stawienia się mimo prawidłowego wezwania nie stawił się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadnie odmówił złożenia zeznania, przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej, może być ukarany karą grzywny do 500 zł. Na postanowienie o ukaraniu służy skarga do sądu administracyjnego.

  1. Prezes Urzędu na wniosek ukaranego, złożony w ciągu 7 dni od daty doręczenia postanowienia o ukaraniu, może uznać za usprawiedliwioną nieobecność lub odmowę zeznania, wydania opinii albo okazania przedmiotu oględzin i zwolnić od kary grzywny. Na postanowienie o odmowie zwolnienia od kary grzywny służy skarga do sądu administracyjnego.

Art. 52. W toku postępowania może być prowadzone postępowanie kontrolne, o którym mowa w rozdziale 7.

Art. 53.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Przepisu art. 10 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

  1. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

Art. 54. Prezes Urzędu wydaje decyzję o umorzeniu postępowania gdy żądanie wszczęcia postępowania zostało wniesione w sprawie, która jest przedmiotem postępowania toczącego się przed Prezesem Urzędu.

Art. 55.1. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu, w drodze decyzji podejmuje rozstrzygnięcia, o których mowa w art. 58 ust. 2 lit. b-j rozporządzenia 2016/679.

  1. Uzasadnienie faktyczne decyzji nakładającej administracyjną karę pieniężną poza elementami, o których mowa w art. 107 ust. 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, zawiera wskazanie przesłanek z art. 83 ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.

Art. 56. W przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może, w drodze decyzji udzielić upomnienia.

Art. 57.1. W przypadku podjęcia przez Prezesa Urzędu w drodze decyzji rozstrzygnięć, o których mowa w art. 58 ust. 2 lit. b – g i lit. j rozporządzenia 2016/679, wobec organów, o których mowa w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego albo podmiotów publicznych, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu udostępnia prawomocne decyzje w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

  1. Do udostępniania decyzji, o których mowa w 1, stosuje się przepisy art. 5 ust. 1 i 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2016 r. poz. 1764 i z 2017 r. poz. 933).
  2. Organy, o których mowa w 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego a także podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, niezwłocznie udostępniają na swoich stronach internetowych informacje o działaniach podjętych w celu wykonania decyzji, o których mowa w ust. 1.

Art. 58. Decyzje Prezesa Urzędu, o których mowa w art. 55 ust. 1, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

Art. 59.1. Decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu.

  1. Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Art. 60. Postanowienia wydane przez Prezesa Urzędu strona może zaskarżyć w skardze na decyzję Prezesa Urzędu.

Art. 61 W sprawach nieuregulowanych w ustawie do postępowania przed Prezesem Urzędu stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, z wyłączeniem przepisów art. 66a.

 

Rozdział 6

Europejska współpraca administracyjna

 

Art. 62. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art. 53 ust. 1.

Art. 63.1. Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej, powinny zostać przetłumaczone na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.

  1. Wszelkie informacje kierowane do Prezesa Urzędu w związku z europejską współpracą administracyjną powinny zostać przetłumaczone na język polski.

Art. 64.1. W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji i niezwłocznie sporządza wykaz ustaleń.

  1. Okresy, w których pracownicy organu nadzorczego innego państwa członkowskiego Unii Europejskiej przebywają na terytorium Rzeczypospolitej Polskiej, biorąc udział we wspólnej operacji, nie są uważane za okresy pobytu wpływające na zmianę miejsca zamieszkania dla celów opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.

 

Rozdział 7

Postępowanie kontrolne

 

Art. 65.1. Prezes Urzędu może prowadzić kontrole przestrzegania przepisów o ochronie danych osobowych.

  1. Postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz.

Art. 66.1. Kontrola może być przeprowadzona przez upoważnionego pracownika Urzędu,

zwanego dalej „kontrolującym”.

  1. Do przeprowadzania kontroli Prezes Urzędu może upoważnić członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679.

Art. 67.1. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego, jeżeli wyniki kontroli mogłyby oddziaływać na jego prawa lub obowiązki, na prawa lub obowiązki jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub kurateli. Powody wyłączenia kontrolującego trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.

  1. Kontrolujący może być wyłączony, na wniosek lub z urzędu, z postępowania kontrolnego w każdym czasie, jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności.
  1. O przyczynach powodujących wyłączenie kontrolujący lub kierownik jednostki kontrolowanej niezwłocznie zawiadamia Prezesa Urzędu.
  2. O wyłączeniu kontrolującego postanawia Prezes Urzędu. Na postanowienie o wyłączeniu zażalenie nie przysługuje.
  1. Do czasu wydania postanowienia kontrolujący podejmuje jedynie czynności niecierpiące zwłoki.

Art. 68.1. Upoważnienie do przeprowadzenia kontroli zawiera:

  • wskazanie podstawy prawnej przeprowadzenia kontroli;
  • oznaczenie organu kontroli;
  • imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, a w przypadku osób, o których mowa w 66 ust. 2, imiona i nazwiska tych osób oraz numer paszportu lub innego dokumentu potwierdzającego tożsamość;
  • określenie zakresu przedmiotowego kontroli, w tym okresu objętego kontrolą;
  • oznaczenie podmiotu objętego kontrolą zwanego dalej „kontrolowanym”;
  • wskazanie  daty   rozpoczęcia   i   przewidywanego   terminu   zakończenia    czynności kontrolnych;
  • podpis Prezesa Urzędu;
  • pouczenie podmiotu objętego kontrolą o jego prawach i obowiązkach;
  • datę i miejsce wystawienia imiennego upoważnienia.
  1. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132) lub przywołanemu świadkowi, którym powinien być funkcjonariusz publiczny, niebędący jednak pracownikiem organu przeprowadzającego kontrolę.

Art. 69.1. W celu uzyskania informacji mogących stanowić dowód w sprawie kontrolujący ma prawo:

  • wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu
  1. Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach, o których mowa w ust. 1 pkt 3.
  2. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność z oryginałem potwierdza je kontrolujący, o czym czyni wzmiankę w protokole
  3. W toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego.
  4. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz. Informatyczne nośniki danych w rozumieniu przepisów o informatyzacji działalności podmiotów realizujących zadania publiczne, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

Art. 70.1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.

  1. Przed rozpoczęciem przesłuchania kontrolujący obowiązany jest uprzedzić świadka o odpowiedzialności karnej za zeznanie nieprawdy lub zatajenie prawdy, a w sytuacji określonej w ust. 3, informuje go o przysługujących mu
  2. Osoba, o której mowa w 1, może odmówić udzielenia informacji lub współdziałania w toku kontroli tylko wtedy, gdy naraziłoby to ją lub jej małżonka, wstępnych, zstępnych, rodzeństwo oraz powinowatych w tej samej linii lub stopniu, jak również osoby pozostające w stosunku przysposobienia, opieki lub kurateli, a także osobę pozostającą we wspólnym pożyciu, na odpowiedzialność karną. Prawo odmowy udzielenia informacji lub współdziałania w toku kontroli trwa po ustaniu małżeństwa lub rozwiązaniu stosunku przysposobienia, opieki lub kurateli.

Art. 71. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

Art. 72.1. Przebieg przeprowadzonej kontroli kontrolujący przedstawia w protokole kontroli.

  1. Protokół kontroli powinien zawierać:
  • wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
  • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
  • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia kontrolującego a w przypadku osób, o których mowa w art. 66 ust. 2, imię i nazwisko, numer paszportu albo innego dokumentu potwierdzającego tożsamość oraz numer upoważnienia;
  • datę rozpoczęcia i zakończenia czynności kontrolnych;
  • określenie przedmiotu i zakresu kontroli;
  • opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wyszczególnienie załączników;
  • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
  • informację o pouczeniu kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu;
  • datę i miejsce podpisania protokołu przez kontrolującego i
  1. Protokół kontroli podpisują kontrolujący i
  2. Przed podpisaniem protokołu kontrolowany może, w terminie 7 dni od przedstawienia mu go do podpisu, złożyć pisemne zastrzeżenia do tego protokołu.
  3. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 4, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu w formie aneksu do protokołu.
  4. W razie nieuwzględnienia zastrzeżeń w całości lub w części kontrolujący informuje o tym kontrolowanego na piśmie.
  1. O odmowie podpisania protokołu kontrolujący czyni wzmiankę w protokole, zawierającą datę jej dokonania.
  1. Protokół w postaci papierowej sporządza się w dwóch egzemplarzach, z których jeden pozostawia się kontrolowanemu, a w przypadku protokołu sporządzonego w postaci elektronicznej doręcza się go

Art. 73. Do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997 i 2255 oraz z 2017 r. poz. 819), z wyłączeniem art. 79, art. 82 i art. 83.

Art. 74.1. Postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość.

  1. Terminem zakończenia postępowania kontrolnego jest dzień podpisania protokołu kontrolnego przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 72 ust. 7.
  2. W przypadku postępowania kontrolnego prowadzonego w toku postępowania administracyjnego terminu przewidzianego w ust. 1 nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania

Art. 75. Jeżeli na podstawie informacji zgromadzonych w protokole kontroli, Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania.

Art. 76. Na podstawie ustaleń kontroli Prezes Urzędu może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Art. 77. W razie stwierdzenia, że działanie lub zaniechanie wyczerpuje znamiona przestępstwa określonego w ustawie, Prezes Urzędu kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

 

Rozdział 8

Odpowiedzialność cywilna

 

Art. 78.1. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

  1. Wystąpienie z roszczeniem, o którym mowa w ust. 1, nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych.
  2. W zakresie nieuregulowanym rozporządzeniem 2016/679 oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w 1, następuje na zasadach określonych przepisami Kodeksu cywilnego.

Art. 79.1. Do postępowania w sprawach roszczeń dochodzonych na podstawie art. 78, w zakresie nieuregulowanym niniejszą ustawą, stosuje się przepisy Kodeksu postępowania cywilnego.

  1. Sąd okręgowy jest właściwy w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych w tym roszczeń z tytułu art. 82 rozporządzenia 2016/679, niezależnie od wartości przedmiotu sporu.

Art. 80.1. O wniesieniu pozwu w sprawach, o których mowa w art. 78, sąd zawiadamia niezwłocznie Prezesa Urzędu.

  1. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd, o którym mowa w ust.
  2. Sąd może zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed Prezesem Urzędu.

Art. 81. O każdym wyroku – uwzględniającym powództwo – w sprawach, o których mowa w art. 78 ust. 1 i 2, sąd zawiadamia Prezesa Urzędu.

 

Rozdział 9

Administracyjne kary pieniężne

 

Art. 82. Prezes Urzędu może nałożyć na podmioty nie będące organami publicznymi w rozumieniu w art. 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego albo podmiotami publicznymi w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Art. 83.1. Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.

  1. Administracyjne kary pieniężne, o których mowa w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 ust. 2 lit. a-i i k rozporządzenia 2016/679.

Art. 84. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Art. 85.1. Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa.

  1. Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu
  2. W razie upływu terminu, o którym mowa w ust. 2, kara pieniężna podlega ściągnięciu w trybie przepisów o postępowaniu egzekucyjnym w administracji.

Art. 86.1. Tworzy się Fundusz Ochrony Danych Osobowych, zwany dalej „Funduszem”, którego dysponentem jest Prezes Urzędu.

  1. Fundusz jest państwowym funduszem
  2. Przychodami Funduszu są środki finansowe pochodzące z 1% kar pieniężnych nakładanych przez Prezesa Urzędu. Środku z Funduszu nie mogą być podstawą osiągania przychodu przez pracowników Urzędu.
  1. Wydatki Funduszu są przeznaczane na:
  • inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem. Szczególną uwagę poświęca się działaniom skierowanym do dzieci;
  • inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania wśród   administratorów   i   podmiotów   przetwarzających   wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych.

Art. 87.1. Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.

  1. Do wniosku dołącza się
  2. W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, których wysokość wynosi 50% stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56 § 3 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.5))) od dnia następującego po dniu złożenia
  3. W przypadku rozłożenia na raty kary pieniężnej, odsetki, o których mowa w ust. 3, są naliczane odrębnie dla każdej raty.
  1. Odsetki są naliczane za okres od dnia upływu odroczonego terminu płatności kary pieniężnej albo terminu zapłaty poszczególnych rat.
  1. Prezes Urzędu może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w
  2. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia, na które nie przysługuje skarga do sądu

Art. 88. Przepisów art. 189f i art.189k ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

 

5) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 648, 768, 935, 1428 i 1537.

 

Rozdział 10

Przepisy karne

 

Art. 89.1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie.

  1. Orzekanie w sprawach o czyny określone w ust. 1 następuje w trybie przepisów ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia.

Art. 90.1. Kto bez podstawy prawnej przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

  1. Orzekanie w sprawach o czyny, o których mowa w ust.1, następuje w trybie przepisów ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2016 r. poz. 1749 z późn. zm.6)).

 

Rozdział 11

Przepisy końcowe

 

Art. 91.1. Maksymalny limit wydatków z budżetu państwa przeznaczonych na wykonywanie zadań wynikających z niniejszej ustawy wynosi w roku:

1)     2018 r. –        27 214 000 zł;

2)     2019 r. –        16 298 000 zł;

3)     2020 r. –        16 509 000 zł;

4)     2021 r. –       16 285 000 zł;

5)     2022 r. –       16 515,000 zł;

6)     2023 r. –        16 285,000 zł;

7)     2024 r. –       16 516,000 zł;

8)     2025 r. –        16 285 000 zł;

9)     2026 r. –       16 515 000 zł;

10)   2027 r. –       18 015 000 zł.

 

6) Zmiany tekstu jednolitego wymienione ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, 2138 i 2261 oraz z 2017 r. poz. 244, 773, 768 i 966.

  1. Prezes Urzędu Ochrony Danych Osobowych monitoruje wykorzystanie limitu wydatków, o których mowa w 1, i dokonuje oceny wykorzystania tego limitu według stanu na koniec każdego kwartału, a w przypadku IV kwartału – według stanu na dzień 20 listopada danego roku.
  2. W przypadku przekroczenia lub zagrożenia przekroczenia przyjętego na dany rok budżetowy maksymalnego limitu wydatków określonego w ust. 1 oraz w przypadku, gdy w okresie od początku roku kalendarzowego do dnia ostatniej oceny, o której mowa w ust. 2, część limitu rocznego przypadającego proporcjonalnie na ten okres zostanie przekroczona co najmniej o 10% stosuje się mechanizm korygujący polegający na zmniejszeniu wydatków budżetu państwa będących skutkiem finansowym niniejszej
  3. Organem właściwym do wdrożenia mechanizmu korygującego, o którym mowa w 3, jest Prezes Urzędu Ochrony Danych Osobowych.

Art. 92. Ustawa wchodzi w życie w terminie i na zasadach określonych w ustawie z dnia

……………….. 2017 r. – Przepisy wprowadzające ustawę o ochronie danych osobowych (Dz. U. ……. ).

Za zgodność pod względem

prawnym, legislacyjnym i redakcyjnym Katarzyna Prusak-Górniak

Dyrektor Departamentu Prawnego MC

/-podpisano elektronicznie/