Aktualności

Projekt ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary

Projekt

Ustawa z dnia ………….

o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary[1]), [2])

Rozdział 1

Przepisy ogólne

Art. 1. 1. Ustawa określa zasady odpowiedzialności podmiotów zbiorowych:

1)     za czyn zabroniony pod groźbą kary jako przestępstwo lub przestępstwo skarbowe;

2)     w związku z osiągnięciem korzyści majątkowej z czynu zabronionego pod groźbą kary jako przestępstwo lub przestępstwo skarbowe;

3)     związanej z działaniami wobec osób sygnalizujących nieprawidłowości.

  1. Ustawa określa również zasady i tryb postępowania wobec podmiotów zbiorowych oraz kary i środki orzekane wobec nich.

Art. 2. Użyte w ustawie określenia oznaczają:

1)     podmiot zbiorowy – osobę prawną oraz jednostkę organizacyjną niemającą osobowości prawnej, której odrębne przepisy przyznają zdolność prawną, w tym również spółkę handlową z udziałem Skarbu Państwa, jednostki samorządu terytorialnego lub związku takich jednostek, spółkę kapitałową w organizacji, podmiot w stanie likwidacji oraz przedsiębiorcę niebędącego osobą fizyczną, z wyłączeniem Skarbu Państwa, jednostek samorządu terytorialnego i ich związków;

2)     czyn zabroniony – czyn zabroniony przez ustawę pod groźbą kary jako przestępstwo ścigane z oskarżenia publicznego lub jako przestępstwo skarbowe, z wyłączeniem czynów popełnionych przez opublikowanie materiału prasowego oraz innych naruszeń prawa związanych z przekazywaniem myśli ludzkiej, do których stosuje się przepisy o odpowiedzialności prawnej i postępowaniu w sprawach prasowych określone w ustawie z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. z 2018 r. poz. 1914).

Art. 3. 1. Ustawę stosuje się do podmiotu zbiorowego mającego siedzibę lub prowadzącego działalność na terytorium Rzeczypospolitej Polskiej.

  1. Ustawę stosuje się również do podmiotu zbiorowego mającego siedzibę lub prowadzącego działalność za granicą, jeżeli czyn zabroniony będący podstawą odpowiedzialności został popełniony na terytorium Rzeczypospolitej Polskiej lub skutek stanowiący jego znamię wystąpił na jej terytorium, lub czyn był skierowany przeciwko jej interesom lub interesom obywatela polskiego, polskiej osoby prawnej lub polskiej jednostki organizacyjnej niemającej osobowości prawnej.

Art. 4. Odpowiedzialność albo brak odpowiedzialności podmiotu zbiorowego na zasadach określonych w ustawie nie wyłącza odpowiedzialności cywilnej za wyrządzoną szkodę, odpowiedzialności administracyjnej ani indywidualnej odpowiedzialności karnej sprawcy czynu zabronionego.

Rozdział 2

Odpowiedzialność podmiotów zbiorowych za czyn zabroniony

Art. 5. 1. Podmiot zbiorowy odpowiada za czyn zabroniony, którego znamiona zostały wyczerpane przez działanie lub zaniechanie pozostające bezpośrednio w związku z prowadzoną przez ten podmiot działalnością.

  1. Warunkiem odpowiedzialności na podstawie ust. 1 jest wyczerpanie znamion czynu zabronionego wskutek:

1)     działania lub zaniechania organu;

2)     umyślnego działania lub zaniechania członka organu.

Art. 6. 1. Podmiot zbiorowy odpowiada również za czyn zabroniony, pozostający bezpośrednio w związku z prowadzoną przez ten podmiot działalnością, jeżeli został popełniony przez:

1)     osobę fizyczną uprawnioną do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu;

2)     osobę fizyczną dopuszczoną do działania przez jego organ, członka jego organu lub osobę, o której mowa w pkt 1, wskutek nadużycia uprawnień lub niedopełnienia obowiązków;

3)     osobę przez niego zatrudnioną, w związku ze świadczeniem pracy na jego rzecz.

  1. Podmiot zbiorowy odpowiada za czyn zabroniony, z którego chociażby pośrednio osiągnął korzyść majątkową, popełniony przez:

1)     podwykonawcę albo innego przedsiębiorcę będącego osobą fizyczną, jeżeli jego czyn zabroniony pozostawał w związku z wykonywaniem umowy zawartej z podmiotem zbiorowym,

2)     pracownika albo osobę upoważnioną do działania w interesie lub na rzecz przedsiębiorcy niebędącego osobą fizyczną, jeżeli jego czyn pozostawał w związku z wykonywaniem umowy zawartej przez tego przedsiębiorcę z podmiotem zbiorowym

– jeżeli organ, członek organu lub osoba, o której mowa w ust. 1, wiedziała lub przy zachowaniu ostrożności wymaganej w danych okolicznościach mogła się dowiedzieć, że osoby określone w pkt 1 i 2 będą usiłowały popełnić lub popełniły czyn zabroniony lub że u przedsiębiorcy, o którym mowa w pkt 2, występują nieprawidłowości określone w ust. 4.

  1. Warunkiem odpowiedzialności na podstawie ust. 1 i 2 jest wyczerpanie znamion czynu zabronionego w następstwie:

1)     co najmniej braku należytej staranności w wyborze osoby, o której mowa w ust. 1 lub 2, lub osoby, o której mowa w art. 5 ust. 2 pkt 2, albo w nadzorze nad nimi ze strony podmiotu zbiorowego;

2)     takiej nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego, chociaż inna organizacja działalności mogła zapobiec popełnieniu tego czynu.

  1. Nieprawidłowość, o której mowa w ust. 3 pkt 2, polega w szczególności na tym, że:

1)     nie zostały określone zasady postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności, określenie tych zasad nie dotyczy podmiotu, który jest mikroprzedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212);

2)     nie został określony zakres odpowiedzialności organów podmiotu zbiorowego, innych jego komórek organizacyjnych, jego pracowników lub osób uprawnionych do działania w jego imieniu lub interesie, określenie tego zakresu nie dotyczy podmiotu, który jest mikroprzedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców;

3)     nie została określona osoba lub komórka organizacyjna, nadzorująca przestrzeganie przepisów i zasad regulujących działalność podmiotu, który jest co najmniej średnim przedsiębiorcą w rozumieniu art. 7 ust. 1 pkt 3 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców;

4)     organ podmiotu zbiorowego lub osoba fizyczna uprawniona do jego reprezentowania, podejmowania w jego imieniu decyzji lub sprawowania nadzoru, w związku z jej działaniem w interesie lub na rzecz tego podmiotu, wiedział o nieprawidłowości w organizacji, która ułatwiła lub umożliwiła popełnienie czynu zabronionego.

  1. Dokonując oceny nieprawidłowości, o której mowa w ust. 3 pkt 2, bierze się pod uwagę rozmiar i przedmiot działalności podmiotu zbiorowego.
  2. Podmiot zbiorowy nie odpowiada za nieprawidłowość, o której mowa w ust. 3 pkt 2, jeżeli wykaże, że wszystkie organy i osoby uprawnione do działania w jego imieniu lub interesie zachowały należytą staranność wymaganą w danych okolicznościach w organizacji działalności tego podmiotu oraz w nadzorze nad tą działalnością.

Art. 7. Podmiot zbiorowy podlega odpowiedzialności za czyn zabroniony na zasadach określonych w art. 5 i art. 6 również, gdy:

1)     zachodzi okoliczność wyłączająca odpowiedzialność karną sprawcy czynu zabronionego, w razie śmierci sprawcy, umorzenia postępowania z powodu niewykrycia sprawcy, a także w przypadku zawieszenia postępowania w sprawie, w której nie można ująć oskarżonego lub oskarżony nie może brać udziału w postępowaniu z powodu choroby psychicznej lub innej ciężkiej choroby;

2)     czyn zabroniony został popełniony przez działanie lub zaniechanie wielu organów, ich członków lub osób, o których mowa w art. 6 ust. 1 lub 2;

3)     skład osobowy organu uległ zmianie od chwili popełnienia czynu zabronionego;

4)     nie ustalono tożsamości osób wskazanych w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 lub 2 lub osoby, która dopuściła sprawcę do działania.

Art. 8. W zakresie nieuregulowanym niniejszą ustawą do zasad odpowiedzialności podmiotu zbiorowego za czyn zabroniony stosuje się przepisy części ogólnej ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. z 2018 r. poz. 1600 i 2077), zwanej dalej „Kodeks karny”.

Rozdział 3

Odpowiedzialność finansowa i odszkodowawcza podmiotów zbiorowych

Art. 9. 1. W razie popełnienia czynu zabronionego, za który podmiot zbiorowy nie ponosi odpowiedzialności, o której mowa w rozdziale 2, a z którego została osiągnięta przez ten podmiot, chociażby pośrednio, korzyść majątkowa o wartości przekraczającej 500 000 zł, sąd może orzec przepadek składników lub praw majątkowych podmiotu zbiorowego w całości lub w części albo ich równowartości, jeżeli podmiot zbiorowy w całości lub w znacznej części służył lub był przeznaczony do popełnienia tego czynu zabronionego lub ukrycia osiągniętej z niego korzyści.

  1. Przepadku, o którym mowa w ust. 1, nie orzeka się, jeżeli:

1)     wszystkie obowiązane organy i osoby uprawnione do działania w imieniu lub w interesie tego podmiotu lub osoby, o których mowa w art. 6 ust. 1 lub ust. 2, zachowały należytą staranność wymaganą w danych okolicznościach w organizacji tego podmiotu oraz nadzorze nad jego działalnością;

2)     byłoby to niewspółmierne do rodzaju i stopnia naruszenia reguł ostrożności, które poprzedziły popełnienie czynu zabronionego przez organ podmiotu zbiorowego lub przez organ lub osobę, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 pkt 1 i 2;

3)     byłoby to niewspółmiernie dolegliwe wobec osoby, której przysługują prawa majątkowe do podmiotu zbiorowego, w szczególności gdy osoba ta zachowała należytą staranność wymaganą w danych okolicznościach w nadzorze nad działalnością tego podmiotu;

4)     szkoda wyrządzona przestępstwem lub wartość osiągniętej korzyści nie jest znaczna wobec rozmiaru działalności podmiotu zbiorowego.

  1. Odstępując od orzeczenia przepadku na podstawie ust. 2 pkt 2 lub 3, sąd może orzec nawiązkę na rzecz Skarbu Państwa w wysokości, o której mowa w art. 25 ust. 4.

Art. 10. 1. W razie popełnienia czynu zabronionego, za który podmiot zbiorowy nie ponosi odpowiedzialności, o której mowa w rozdziale 2, a z którego osiągnął, choćby pośrednio, korzyść majątkową, sąd na wniosek prokuratora, a w postępowaniu sądowym również z urzędu, może zobowiązać ten podmiot zbiorowy do zwrotu uzyskanej korzyści majątkowej lub jej równowartości w całości lub w części na rzecz Skarbu Państwa, pokrzywdzonego lub innej uprawnionej osoby, jeżeli członek organu podmiotu lub osoba, o której mowa w art. 6 ust. 1, wiedział o popełnieniu czynu zabronionego lub z łatwością mogli się dowiedzieć.

  1. Prawomocne orzeczenie zobowiązujące do zwrotu uzyskanej korzyści majątkowej lub jej równowartości oraz przepadek lub nawiązka, o których mowa w art. 9, nie są wpisywane do Krajowego Rejestru Karnego.

Rozdział 4

Odpowiedzialność podmiotu zbiorowego związana z działaniami wobec osób sygnalizujących nieprawidłowości

Art. 11. 1. Organy podmiotu zbiorowego, a w szczególności wyznaczony organ podmiotu zbiorowego nadzorujący przestrzeganie zasad i przepisów regulujących działalność podmiotu, lub osoby sprawujące nadzór wewnętrzny podejmują czynności, w ramach przysługujących im uprawnień, mające na celu wyjaśnienie zgłaszanych przez pracownika podmiotu zbiorowego, członka organu, osobę działającą w imieniu lub w interesie podmiotu zbiorowego na podstawie czynności prawnej informacji świadczących o:

1)     podejrzeniu przygotowania, usiłowania lub popełnienia czynu zabronionego;

2)     niedopełnieniu obowiązków lub nadużyciu uprawnień przez organy podmiotu zbiorowego lub osoby, o których mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 lub 2;

3)     niezachowaniu należytej staranności wymaganej w danych okolicznościach w działaniach organów podmiotu zbiorowego lub osób, o których mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 lub 2;

4)     nieprawidłowościach w organizacji działalności podmiotu zbiorowego, które mogłyby prowadzić do popełnienia czynu zabronionego.

  1. Organy podmiotu zbiorowego, a w szczególności wyznaczony organ podmiotu zbiorowego nadzorujący przestrzeganie zasad i przepisów regulujących działalność podmiotu, lub osoby sprawujące nadzór wewnętrzny, po otrzymaniu zgłoszenia, o którym mowa w ust. 1, mogą w celu zapobiegania popełnienia czynu zabronionego zbierać i przetwarzać dane osobowe osób, o których mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1, nawet bez ich zgody. Przepisu art. 14 ust. 2 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) nie stosuje się.
  2. Organy podmiotu zbiorowego, a w szczególności wyznaczony organ podmiotu zbiorowego nadzorujący przestrzeganie zasad i przepisów regulujących działalność podmiotu, lub osoby sprawujące nadzór wewnętrzny dążą do zapewnia pracownikom, którzy zgłaszają informacje, o których mowa w ust. 1, ochronę co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania.

Art. 12. 1. Jeżeli organy podmiotu zbiorowego, a w szczególności wyznaczony organ podmiotu zbiorowego nadzorujący przestrzeganie zasad i przepisów regulujących działalność podmiotu, lub osoby sprawujące nadzór wewnętrzny nie przeprowadziły postępowania wyjaśniającego lub nie usunęły stwierdzonych w ramach tego postępowania nieprawidłowości lub naruszeń, które ułatwiły lub umożliwiły popełnienie czynu zabronionego, sąd, uznając podmiot zbiorowy za odpowiedzialny za czyn zabroniony, może wymierzyć karę pieniężną, o której mowa w art. 15 pkt 1, do górnej granicy zwiększonej dwukrotnie.

  1. Przepisu ust. 1 nie stosuje się, jeżeli czyn zabroniony, za który podmiot zbiorowy ponosi odpowiedzialność, został popełniony pomimo usunięcia stwierdzonych nieprawidłowości lub naruszeń, o których mowa w tym ustępie.

Art. 13. 1. Jeżeli w związku ze zgłoszonymi informacjami, o których mowa w art. 11, doszło do naruszenia uprawnień pracowniczych wobec osoby zgłaszającej informacje lub do zakończenia stosunku pracy lub umowy wzajemnej z tą osobą, sąd na wniosek osoby, która zgłosiła te informacje, może orzec:

1)     przywrócenie jej do pracy,

2)     odszkodowanie

– jeżeli zgłoszone informacje były zasadne i mogły doprowadzić do zapobiegnięcia czynowi zabronionemu lub szybszego wykrycia czynu zabronionego.

  1. Sąd nie stosuje ust. 1, jeżeli osoba zgłaszająca informacje, o których mowa w art. 11, była sprawcą czynu zabronionego, pozostającego w związku z działalnością podmiotu zbiorowego, chyba że ujawniła podmiotowi zbiorowemu i organowi ścigania wszystkie istotne okoliczności tego czynu.
  2. Jeżeli sąd orzeka odszkodowanie w związku z naruszeniem uprawnień pracowniczych lub zakończeniem stosunku pracy, jego wysokość ustala się w sposób określony w przepisach ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.[3])). W uzasadnionych wypadkach sąd może orzec odszkodowanie za cały okres pozostawania bez pracy przez osobę zgłaszającą informację.

Rozdział 5

Kary i środki orzekane wobec podmiotów zbiorowych

Art. 14. Stwierdzając odpowiedzialność podmiotu zbiorowego za czyn zabroniony, sąd orzeka wobec tego podmiotu karę określoną w art. 15 lub jeden lub więcej środków określonych w art. 16.

Art. 15. Karami orzekanymi wobec podmiotu zbiorowego są:

1)     kara pieniężna;

2)     rozwiązanie podmiotu zbiorowego.

Art. 16. Środkami orzekanymi wobec podmiotu zbiorowego są:

1)     przepadek mienia lub korzyści majątkowych albo ich równowartości;

2)     zakaz promocji lub reklamy prowadzonej działalności, wytwarzanych lub sprzedawanych wyrobów, świadczonych usług lub udzielanych świadczeń;

3)     zakaz prowadzenia działalności gospodarczej określonego rodzaju;

4)     zakaz korzystania z dotacji, subwencji lub innych form wsparcia finansowego ze środków publicznych;

5)     zakaz korzystania z pomocy organizacji międzynarodowych, których Rzeczpospolita Polska jest członkiem;

6)     zakaz ubiegania się o zamówienia publiczne;

7)     obowiązek zwrotu na rzecz Skarbu Państwa równowartości wsparcia finansowego środkami publicznymi, otrzymanego od chwili popełnienia czynu zabronionego do chwili wydania orzeczenia w sprawie odpowiedzialności podmiotu zbiorowego;

8)     podanie wyroku do publicznej wiadomości;

9)     obowiązek naprawienia szkody lub zadośćuczynienia za doznaną krzywdę;

10)   nawiązka;

11)   stałe albo czasowe zamknięcie oddziału podmiotu zbiorowego.

Art. 17. 1. Karę pieniężną orzeka się w wysokości od 30 000 zł do 30 000 000 zł.

  1. Jeżeli cele kary, a w szczególności wzgląd na zapewnienie funkcjonowania podmiotu zbiorowego w sposób zgodny z zasadami należytej staranności zostaną spełnione, sąd zamiast kary może orzec środek albo środki, o których mowa w art. 16.

Art. 18. 1. Sąd może orzec karę rozwiązania podmiotu zbiorowego, jeżeli podmiot zbiorowy, ponoszący odpowiedzialność na podstawie art. 5, w całości lub w znacznej części służył do popełnienia czynu zabronionego zagrożonego karą pozbawienia wolności nie niższą niż 5 lat, a jego dalsze funkcjonowanie zagraża bezpieczeństwu obrotu gospodarczego lub gdy uprzednio orzeczono wobec niego karę pieniężną, a orzeczenie innej kary nie jest wystarczające do osiągnięcia jej celów, w szczególności nie zapewni przestrzegania przez podmiot zbiorowy zasad należytej staranności. Sąd orzeka równocześnie o przeniesieniu własności składników lub praw majątkowych podmiotu zbiorowego na rzecz Skarbu Państwa, chyba że podlegają one zwrotowi pokrzywdzonemu lub innemu uprawnionemu podmiotowi.

  1. Kary rozwiązania podmiotu zbiorowego nie stosuje się, jeżeli do zapewnienia przestrzegania zasad należytej staranności wystarczająca jest kara pieniężna lub środek, o którym mowa w art. 16.

Art. 19. 1. Przepadek mienia lub korzyści majątkowych albo ich równowartości orzeka się, jeżeli:

1)     mienie lub korzyść pochodzą, chociażby pośrednio, z czynu zabronionego;

2)     mienie służyło lub było przeznaczone do popełnienia czynu zabronionego.

  1. Przepadku, o którym mowa w ust. 1 pkt 1, nie orzeka się, jeżeli mienie lub korzyść majątkowa albo ich równowartość podlegają zwrotowi pokrzywdzonemu lub innemu uprawnionemu podmiotowi lub byłoby to niewspółmierne do wagi czynu zabronionego.

Art. 20. Zakaz promocji lub reklamy prowadzonej działalności, wytwarzanych lub sprzedawanych wyrobów, świadczonych usług lub udzielanych świadczeń oraz zakaz prowadzenia działalności gospodarczej określonego rodzaju można orzec w razie stwierdzenia popełnienia czynu zabronionego w związku z tą działalnością, wytwarzaniem lub sprzedawaniem wyrobów, świadczeniem usług lub udzielaniem świadczeń, jeżeli dalsze jej prowadzenie, ich wytwarzanie, oferowanie, sprzedaż, świadczenie lub udzielanie może zagrażać popełnieniem kolejnego czynu zabronionego lub narażać mienie lub zdrowie innych osób, zagrażać bezpieczeństwu obrotu gospodarczego lub powodować szkody w środowisku naturalnym.

Art. 21. 1. Zakazy, o których mowa w art. 16 pkt 4–6, lub obowiązek, o którym mowa w art. 16 pkt 7, można orzec, jeżeli popełniono czyn zabroniony przez ustawę jako przestępstwo skarbowe, przestępstwo przeciwko działalności instytucji państwowych oraz samorządu terytorialnego, wymiarowi sprawiedliwości, wiarygodności dokumentów, mieniu, obrotowi gospodarczemu, przestępstwo terrorystyczne lub gdy czyn zabroniony miał związek z nadużyciem zaufania lub wprowadzeniem innej osoby w błąd, lub gdy organizacja podmiotu zbiorowego lub sposób prowadzenia działalności nie daje rękojmi prawidłowego stosowania zakazów, o których mowa w art. 16 pkt 4–6.

  1. Sąd może również orzec jeden lub więcej zakazów, o których mowa w art. 16
    pkt 4–6, lub obowiązek, o którym mowa w art. 16 pkt 7, jeżeli przemawia za tym społeczne oddziaływanie zakazu lub obowiązku oraz rodzaj i rozmiar negatywnych skutków popełnionego czynu zabronionego.
  2. Sąd orzeka jeden lub więcej zakazów, o których mowa w art. 16 pkt 4–6, lub obowiązek, o którym mowa w art. 16 pkt 7, jeżeli popełniono czyn zabroniony przez ustawę jako przestępstwo skarbowe, przestępstwo przeciwko bezpieczeństwu wewnętrznemu lub zewnętrznemu Rzeczypospolitej Polskiej, przestępstwo wyłudzenia poświadczenia nieprawdy od funkcjonariusza publicznego lub innej osoby uprawnionej do wystawienia dokumentu lub jeżeli czyn zabroniony lub działalność podmiotu jest skierowana przeciwko istotnym polskim interesom gospodarczym lub dobremu imieniu Rzeczypospolitej Polskiej, przeciwko polskim urzędom lub funkcjonariuszom publicznym, chyba że przeciwko orzeczeniu zakazu lub obowiązku przemawiają szczególne względy, a ponadto podmiot zbiorowy wykaże, że po popełnieniu czynu naprawił szkodę wyrządzoną przestępstwem lub przestępstwem skarbowym, zadośćuczynił pieniężnie za doznaną krzywdę, złożył wyczerpujące wyjaśnienie stanu faktycznego oraz podjął współpracę z organami ścigania, a także podjął środki techniczne, organizacyjne i kadrowe, które są odpowiednie dla zapobiegania dalszym przestępstwom lub przestępstwom skarbowym lub nieprawidłowemu postępowaniu podmiotu zbiorowego.
  3. Sąd orzeka zakaz ubiegania się o zamówienia publiczne, jeżeli popełniono czyn zabroniony przez ustawę jako przestępstwo:

1)     o którym mowa w art. 165a, art. 181–188, art. 189a, art. 218 § 1a–3, art. 218a–221, art. 228–230a, art. 250a, art. 258, art. 270–296a lub art. 297–309 Kodeksu karnego,

2)     o charakterze terrorystycznym, o którym mowa w art. 115 § 20 Kodeksu karnego,

3)     o którym mowa w art. 46 lub art. 48 ustawy z dnia 25 czerwca 2010 r. o sporcie (Dz. U. z 2018 r. poz. 1263 i 1669),

4)     o którym mowa w art. 9 lub art. 10 ustawy z dnia 15 czerwca 2012 r. o skutkach powierzania wykonywania pracy cudzoziemcom przebywającym wbrew przepisom na terytorium Rzeczypospolitej Polskiej (Dz. U. poz. 769)

– chyba że podmiot zbiorowy wykaże, że po popełnieniu czynu zabronionego naprawił szkodę wyrządzoną przestępstwem lub przestępstwem skarbowym, zadośćuczynił pieniężnie za doznaną krzywdę, złożył wyczerpujące wyjaśnienie stanu faktycznego oraz podjął współpracę z organami ścigania, a także podjął środki techniczne, organizacyjne i kadrowe, które są odpowiednie dla zapobieżenia dalszym przestępstwom lub przestępstwom skarbowym lub nieprawidłowej działalności podmiotu zbiorowego.

Art. 22. 1. Zakazy, o których mowa w art. 16 pkt 2–6, orzeka się w latach lub miesiącach, od 6 miesięcy do lat 10.

  1. Sąd może po upływie połowy okresu wykonywania środka, o którym mowa w art. 16 pkt 2–6, uznać go za wykonany, jeżeli podmiot zbiorowy wprowadził procedury zapewniające zgodność działalności tego podmiotu z prawem i ocenę ryzyka popełnienia czynu zabronionego w związku z prowadzoną przez ten podmiot działalnością, a działalność podmiotu zbiorowego w okresie wykonywania tego środka uzasadnia przekonanie, że prowadzenie działalności przez ten podmiot nie zagraża ponownym popełnieniem czynu zabronionego.

Art. 23. Sąd może orzec podanie wyroku do publicznej wiadomości, na koszt podmiotu zbiorowego, w określony sposób, jeżeli uzna to za celowe, w szczególności ze względu na społeczne oddziaływanie orzeczenia, o ile nie narusza to interesu pokrzywdzonego.

Art. 24. Sąd może orzec, a na wniosek pokrzywdzonego lub innej osoby uprawnionej orzeka, stosując przepisy prawa cywilnego, obowiązek naprawienia w całości albo w części szkody wyrządzonej czynem zabronionym lub zadośćuczynienie za doznaną krzywdę. Przepisów prawa cywilnego o możliwości zasądzenia renty nie stosuje się.

Art. 25. 1. Sąd orzeka nawiązkę na rzecz pokrzywdzonego, jeżeli niemożliwe lub znacznie utrudnione jest ustalenie wysokości odszkodowania lub zadośćuczynienia.

  1. Nawiązkę, o której mowa w ust. 1, można orzec na rzecz Funduszu Pomocy Pokrzywdzonym oraz Pomocy Postpenitencjarnej, jeżeli nie można ustalić osoby pokrzywdzonego.
  2. Sąd może orzec nawiązkę na rzecz Narodowego Funduszu Ochrony Środowiska i Gospodarki Wodnej, o którym mowa w art. 400 ustawy z dnia 27 kwietnia 2001 r. – Prawo ochrony środowiska (Dz. U. z 2018 r. poz. 799, z późn. zm.[4])), jeżeli popełniono czyn zabroniony przez tę ustawę jako przestępstwo przeciwko środowisku.
  3. Nawiązkę orzeka się w wysokości do 5 000 000 zł, chyba że ustawa stanowi inaczej.

Art. 26. Orzeczenie obowiązku naprawienia szkody lub zadośćuczynienia za doznaną krzywdę na podstawie art. 24 lub nawiązki na podstawie art. 25 nie stoi na przeszkodzie dochodzeniu niezaspokojonej części roszczenia w drodze postępowania cywilnego.

Art. 27. Sąd może orzec stałe albo czasowe zamknięcie oddziału podmiotu zbiorowego, który został użyty w całości albo w znacznej części do popełnienia czynu zabronionego. Okres czasowego zamknięcia oddziału podmiotu zbiorowego orzeka się w latach, od roku do lat 5.

Art. 28. 1. Orzekając kary, o których mowa w art. 15, lub środki, o których mowa w art. 16, sąd uwzględnia w szczególności wagę nieprawidłowości w zachowaniu reguł należytej staranności działania, niezachowanych reguł ostrożności, rozmiary korzyści uzyskanej lub możliwej do uzyskania przez podmiot zbiorowy, jego sytuację majątkową, społeczne następstwa ukarania, wpływ ukarania na dalsze funkcjonowanie podmiotu zbiorowego, działania podjęte w ramach podmiotu zbiorowego po popełnieniu czynu zabronionego mające na celu w szczególności wykrycie i ukaranie sprawców, naprawienie szkody oraz zwrot uzyskanej korzyści.

  1. Orzekając karę pieniężną lub przepadek, sąd uwzględnia prawomocne orzeczenie o nałożeniu na podmiot zbiorowy odpowiedzialności posiłkowej za karę grzywny lub za środek karny ściągnięcia równowartości pieniężnej przepadku przedmiotów orzeczone wobec osoby, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 pkt 1, za przestępstwo skarbowe oraz wykonaną ostateczną i prawomocną decyzję o nałożeniu na podmiot zbiorowy administracyjnej kary pieniężnej, o której mowa w art. 189b ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), jeżeli dotyczy ona tego samego zachowania co czyn zabroniony stanowiący podstawę odpowiedzialności podmiotu zbiorowego.
  2. Orzekając przepadek korzyści majątkowej lub jej równowartości, sąd uwzględnia prawomocne orzeczenie wydane na podstawie art. 24 § 5 ustawy z dnia 10 września 1999 r. – Kodeks karny skarbowy (Dz. U. z 2018 r. poz. 1958, 2192, 2193, 2227 i 2354), zwanej dalej „Kodeks karny skarbowy”, nakładające na podmiot zbiorowy obowiązek zwrotu korzyści majątkowej osiągniętej w wyniku przestępstwa osoby, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 pkt 1.
  3. Orzekając środki, o których mowa w art. 16, sąd uwzględnia środki kompensacyjne orzeczone wobec sprawcy czynu stanowiącego podstawę odpowiedzialności podmiotu zbiorowego oraz środki orzeczone na podstawie art. 44a Kodeksu karnego, art. 91a ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2018 r. poz. 1987 i 2399), zwanej dalej „Kodeks postępowania karnego”, oraz orzeczenie nakazujące zapłatę odszkodowania wydane na podstawie ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 1360, z późn. zm.[5])), zwanej dalej „Kodeks postępowania cywilnego”.

Rozdział 6

Połączenie, podział lub przekształcenie podmiotu zbiorowego

Art. 29. W przypadku połączenia, podziału lub przekształcenia podmiotu zbiorowego odpowiedzialność przewidzianą przez niniejszą ustawę za czyn zabroniony popełniony przed dniem połączenia, podziału lub przekształcenia ponosi podmiot zbiorowy ustalony zgodnie z przepisami niniejszego rozdziału.

Art. 30. W przypadku połączenia podmiotów zbiorowych odpowiedzialność za czyn zabroniony popełniony przed dniem połączenia ponosi podmiot zbiorowy wstępujący w wyniku połączenia w prawa i obowiązki podmiotu zbiorowego podlegającemu połączeniu.

Art. 31. 1. W przypadku podziału podmiotu zbiorowego odpowiedzialność za czyn popełniony przed dniem podziału ponoszą wszystkie podmioty zbiorowe, które przejęły chociażby część praw i obowiązków podmiotu dzielonego.

  1. Podmioty, o których mowa w ust. 1, są solidarnie zobowiązane do zapłaty kary pieniężnej lub nawiązki za czyn popełniony przed dniem dokonania połączenia lub podziału. Obowiązek ten jest ograniczony do wielkości majątku przeniesionego, według stanu z chwili przeniesienia, a według cen z chwili orzekania, z uwzględnieniem konieczności uregulowania zobowiązań związanych z przeniesionym majątkiem.

Art. 32. W przypadku przekształcenia podmiotu zbiorowego odpowiedzialność za czyn popełniony przed dniem przekształcenia ponosi podmiot zbiorowy powstały w wyniku przekształcenia.

Art. 33. W przypadku przeniesienia własności przedsiębiorstwa podmiotu zbiorowego lub większości jego składników pod tytułem darmym lub za cenę rażąco odbiegającą od wartości rynkowej przedsiębiorstwa lub jego składników nabywca przedsiębiorstwa lub większości jego składników jest solidarnie zobowiązany z podmiotem zbiorowym do zapłaty kary pieniężnej lub nawiązki za czyn popełniony przed dniem dokonania przeniesienia własności.

Art. 34. Odpowiedzialności, o której mowa w art. 30, art. 31 ust. 1 oraz art. 33, nie ponosi podmiot zbiorowy lub nabywca własności przedsiębiorstwa lub większości jego składników, jeżeli organy i osoby uprawnione do działania w imieniu lub w interesie tego podmiotu lub nabywcy oraz osoby, o których mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1, wykażą, że nie posiadały wiedzy o czynie zabronionym będącym podstawą odpowiedzialności i przy zachowaniu należytej staranności nie mogły takiej wiedzy uzyskać, a podmiot zbiorowy nie powstał w celu wykonania połączenia albo podziału.

Rozdział 7

Postępowanie w sprawie odpowiedzialności podmiotu zbiorowego

Oddział 1

Zasady ogólne

Art. 35. 1. Postępowanie w sprawie odpowiedzialności podmiotu zbiorowego za czyn zabroniony prowadzi się, jeżeli zachodzi uzasadnione podejrzenie popełnienia czynu zabronionego stanowiącego podstawę tej odpowiedzialności oraz przemawia za tym interes społeczny.

  1. Przy ocenie interesu społecznego bierze się pod uwagę stopień szkodliwości czynu zabronionego, wysokość osiągniętych przez podmiot zbiorowy korzyści, rodzaj naruszonych reguł ostrożności i stopień ich naruszenia w ramach organizacji podmiotu zbiorowego, a także konieczność rozstrzygnięcia sprawy w rozsądnym terminie.
  2. Oceny interesu społecznego dokonuje wyłącznie prokurator, podejmując decyzję w przedmiocie zainicjowania postepowania, przedstawienia zarzutów podmiotowi zbiorowemu oraz sposobu zakończenia postępowania.

Art. 36. 1. Postępowania nie wszczyna się, a wszczęte umarza, jeżeli:

1)     podmiot zbiorowy ma siedzibę za granicą i brak jest możliwości prowadzenia wobec niego postępowania albo skutecznego nałożenia kary lub środka;

2)     podmiot zbiorowy nie istnieje lub uległ rozwiązaniu, a zastosowania nie mają przepisy rozdziału 6;

3)     grożące podmiotowi zbiorowemu kara lub środek są niewspółmiernie surowe wobec wagi popełnionego czynu zabronionego, rozmiaru osiągniętej korzyści albo rodzaju i stopnia zawinienia przez organ lub osobę, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1;

4)     czyn zabroniony został popełniony w związku z korzystaniem z wolności wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji albo z wolności sumienia i religii lub w związku z przekroczeniem granic korzystania z tych wolności.

  1. Na postanowienie o odmowie wszczęcia lub postanowienie o umorzeniu postępowania przysługuje osobom i podmiotom wymienionym w art. 306 Kodeksu postępowania karnego zażalenie do prokuratora nadrzędnego w terminie 7 dni od dnia doręczenia postanowienia.

Art. 37. 1. Postępowanie w sprawie odpowiedzialności podmiotu zbiorowego za czyn zabroniony może toczyć się odrębnie albo łącznie z postępowaniem karnym dotyczącym popełnienia czynu zabronionego przez osobę, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1.

  1. Postępowanie prowadzi się w formie śledztwa lub dochodzenia, zależnie od formy, w jakiej prowadzono postępowanie o czyn stanowiący podstawę odpowiedzialności podmiotu zbiorowego.

Art. 38. 1. Postępowanie prowadzi się z urzędu lub na wniosek.

  1. Nie przychylając się do wniosku o wszczęcie postępowania w sprawie odpowiedzialności podmiotu zbiorowego, prokurator wydaje postanowienie o nieuwzględnieniu wniosku. Na postanowienie to zażalenie nie przysługuje.
  2. Jeżeli postępowanie ma być prowadzone łącznie z postępowaniem o czyn stanowiący podstawę odpowiedzialności podmiotu zbiorowego, wydaje się postanowienie o łącznym prowadzeniu tych postępowań. Jeżeli postępowanie ma być prowadzone odrębnie, wydaje się postanowienie o wszczęciu postępowania w sprawie odpowiedzialności podmiotu zbiorowego.
  3. Odpis postanowienia, o którym mowa w ust. 2 i 3, doręcza się osobie lub instytucji, która złożyła wniosek o wszczęcie postępowania.

Art. 39. 1. Po zakończeniu postępowania przygotowawczego, zależnie od wyniku poczynionych ustaleń i oceny interesu społecznego, prokurator:

1)     kieruje akt oskarżenia przeciwko podmiotowi zbiorowemu;

2)     kieruje wniosek retrybucyjny, zwracając się o orzeczenie zwrotu korzyści lub przepadku wobec podmiotu zbiorowego;

3)     umarza postępowanie karne w sprawie odpowiedzialności podmiotu zbiorowego albo przeciwko podmiotowi zbiorowemu.

  1. Akt oskarżenia i postanowienie o umorzeniu postępowania karnego powinny zawierać uzasadnienie, w którym należy wskazać istnienie albo brak przesłanek odpowiedzialności, przewidzianych w art. 5 lub art. 6, oraz związek tych przesłanek z czynem zabronionym albo brak takiego związku.
  2. Wniosek retrybucyjny powinien zawierać uzasadnienie, w którym należy wskazać istnienie przesłanek odpowiedzialności finansowej lub odszkodowawczej, przewidzianych w art. 9 lub art. 10.

Art. 40. 1. Sądem właściwym do postępowań prowadzonych na podstawie niniejszej ustawy jest sąd właściwy w przedmiocie odpowiedzialności karnej osób, o których mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 i 2, dotyczącej popełnienia czynu zabronionego stanowiącego podstawę odpowiedzialności podmiotu zbiorowego.

  1. Jeżeli postępowanie karne przeciwko osobie, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 i 2, nie toczy się, do określenia właściwości sądu stosuje się odpowiednio
    art. 24–39 Kodeksu postępowania karnego w odniesieniu do czynu zabronionego stanowiącego podstawę odpowiedzialności podmiotu zbiorowego.

Art. 41. 1. W zakresie nieuregulowanym w niniejszej ustawie do postępowania karnego w sprawie odpowiedzialności podmiotu zbiorowego stosuje się odpowiednio przepisy Kodeksu postępowania karnego, z tym że:

1)     do podmiotu zbiorowego nie stosuje się przepisów, z których treści lub celu wynika, że odnoszą się wyłącznie do osoby fizycznej;

2)     nie stosuje się przepisów dotyczących uprawnień i obowiązków pokrzywdzonego;

3)     nie stosuje się przepisów art. 10–13, art. 17 § 1 pkt 4–6 i pkt 8–10, art. 18, art. 21, art. 23, art. 23a, art. 55, art. 59–61, art. 175, art. 176, art. 300, art. 303–305, art. 306 § 1, art. 313 § 1, art. 324, art. 374 § 1a, art. 414, a także przepisów rozdziału 54a, rozdziału 55 oraz rozdziałów 57–60.

  1. Prawomocne orzeczenie stwierdzające, że nie popełniono czynu zabronionego stanowiącego podstawę odpowiedzialności podmiotu zbiorowego lub że czyn ten nie zawierał znamion przestępstwa lub przestępstwa skarbowego, stanowi podstawę do wznowienia postępowania przeciwko podmiotowi zbiorowemu, który prawomocnym wyrokiem sądu został uznany za odpowiedzialny za ten czyn lub który na mocy prawomocnego postanowienia sądu poniósł odpowiedzialność finansową lub odszkodowawczą.
  2. Do wykonania orzeczeń wydanych na podstawie niniejszej ustawy stosuje się odpowiednio przepisy ustawy z dnia 6 czerwca 1997 r. – Kodeks karny wykonawczy (Dz. U. z 2018 r. poz. 652, 1010, 1387 i 2432). Wykonanie kary rozwiązania podmiotu zbiorowego w zakresie orzeczonego równocześnie przeniesienia własności składników lub praw majątkowych podmiotu zbiorowego na rzecz Skarbu Państwa prowadzi naczelnik urzędu skarbowego według przepisów o postępowaniu egzekucyjnym w administracji. Odpowiedzialność Skarbu Państwa jest ograniczona wyłącznie do wysokości składników mienia podmiotu zbiorowego przejętych nieodpłatnie przez Skarb Państwa.
  3. Stosunki pracy, których stroną jest podmiot zbiorowy, wygasają z mocy prawa z chwilą uprawomocnienia się orzeczenia o rozwiązaniu podmiotu zbiorowego.
  4. Osobie, której stosunek pracy wygasł na podstawie ust. 4, przysługuje odszkodowanie w wysokości wynagrodzenia za czas odpowiadający przysługującemu jej okresowi wypowiedzenia.
  5. Wierzyciel podmiotu zbiorowego może dochodzić zaspokojenia roszczeń przez Skarb Państwa w granicach odpowiedzialności, o której mowa w ust. 3, chyba że sąd, orzekając o odpowiedzialności podmiotu zbiorowego, stwierdził, że to w związku z działaniem lub zaniechaniem tego wierzyciela podmiot zbiorowy ponosi odpowiedzialność.
  6. W przypadku niemożności pełnego zaspokojenia roszczeń wynikających ze stosunku pracy, w tym roszczenia, o którym mowa w ust. 5, w związku z ograniczeniem odpowiedzialności Skarbu Państwa, o którym mowa w ust. 3, wierzyciele mogą dochodzić tych roszczeń na zasadach określonych w ustawie z dnia 13 lipca 2006 r. o ochronie roszczeń pracowniczych w razie niewypłacalności pracodawcy (Dz. U. z 2018 r. poz. 1433 i 2192). Niemożność zaspokojenia tych roszczeń przez Skarb Państwa jest równoznaczna z niewypłacalnością pracodawcy w rozumieniu art. 2 ust. 1 ustawy, o której mowa w zdaniu pierwszym.
  7. Prawomocne orzeczenie o rozwiązaniu podmiotu zbiorowego stanowi podstawę do zarządzenia jego wykreślenia z właściwego rejestru.

Oddział 2

Przebieg postępowania

Art. 42. 1. Jeżeli dowody zgromadzone w toku postępowania w sprawie uzasadniają dostatecznie podejrzenie, że spełnione zostały przesłanki odpowiedzialności za czyn zabroniony, oraz jeżeli przemawia za tym interes społeczny, sporządza się postanowienie o przedstawieniu zarzutów podmiotowi zbiorowemu.

  1. W postanowieniu o przedstawieniu zarzutów wskazuje się przesłankę odpowiedzialności, o której mowa w art. 5, art. 6 lub art. 7, oraz pozostający w związku z tą przesłanką czyn zabroniony, stanowiący podstawę odpowiedzialności podmiotu zbiorowego.
  2. Postanowienie o przedstawieniu zarzutów doręcza się przedstawicielowi i obrońcy podmiotu zbiorowego.
  3. Jeżeli podmiot zbiorowy nie zgłosił przedstawiciela, należy przesłuchać osobę uprawnioną do działania w jego imieniu, umożliwiając jej zajęcie stanowiska wobec zarzutu i przedstawienie argumentów na obronę tego podmiotu.
  4. Oceny interesu społecznego dokonuje wyłącznie prokurator, wydając postanowienie o przedstawieniu zarzutów podmiotowi zbiorowemu.

Art. 43. 1. Podmiot zbiorowy, w stosunku do którego wydano postanowienie o przedstawieniu zarzutów, ma obowiązek informować organ prowadzący postępowanie o wszelkiej zmianie siedziby, statutu, umowy regulującej organizację podmiotu zbiorowego, o ustanowieniu lub wygaśnięciu prokury, o czynnościach prawnych, których przedmiotem jest zbycie prowadzonego przez podmiot zbiorowy przedsiębiorstwa lub ustanowienie na nim ograniczonego prawa rzeczowego, o zbyciu akcji lub udziałów w kapitale podmiotu zbiorowego oraz ustanowieniu na nich ograniczonych praw rzeczowych, o obniżeniu kapitału zakładowego, o zamiarze połączenia lub przekształcenia podmiotu lub o zbyciu należącej do niego nieruchomości.

  1. Czynności wymienione w ust. 1, dokonane bez poinformowania organu prowadzącego postępowanie nie później niż na 14 dni przed ich dokonaniem, są nieważne.
  2. Do postępowania o stwierdzenie nieważności czynności prawnej lub uchwały stosuje się odpowiednio przepisy Kodeksu postępowania cywilnego.

Art. 44. 1. Akt oskarżenia powinien zawierać firmę lub nazwę podmiotu zbiorowego, jego siedzibę oraz imię i nazwisko jego przedstawiciela, o ile został zgłoszony, a także elementy wskazane w art. 332 § 1 pkt 2–5 Kodeksu postępowania karnego.

  1. Po zwięzłym przedstawieniu zarzutów sąd przesłuchuje przedstawiciela podmiotu zbiorowego, o ile stawił się na rozprawę. Jeżeli przedstawiciel podmiotu zbiorowego nie jest oskarżonym, sąd przesłuchuje go w charakterze świadka. Przedstawiciel podmiotu zbiorowego może odmówić odpowiedzi na pytania, jeżeli odpowiedź mogłaby narazić jego lub podmiot zbiorowy na odpowiedzialność karną.
  2. Jeżeli postępowanie jest prowadzone łącznie z postępowaniem karnym przeciwko sprawcy czynu zabronionego, przedstawiciel i obrońca podmiotu zbiorowego zadają pytania i zabierają głos po zamknięciu przewodu sądowego przed obrońcą oskarżonego i oskarżonym.

Art. 45. Sąd orzeka wyrokiem, uznając podmiot zbiorowy za odpowiedzialny za czyn zabroniony, albo postanowieniem, umarzając postępowanie. Przepisu art. 414 Kodeksu postępowania karnego nie stosuje się.

Oddział 3

Postępowanie w sprawie odpowiedzialności finansowej i odszkodowawczej podmiotu zbiorowego

Art. 46. 1. Jeżeli dowody zgromadzone w trakcie trwającego postępowania karnego lub postępowania w sprawie odpowiedzialności podmiotu zbiorowego wskazują, że podmiot zbiorowy nie ponosi odpowiedzialności na podstawie art. 5 lub art. 6, lecz spełnione zostały przesłanki, o których mowa w art. 9 lub art. 10, prokurator kieruje wniosek retrybucyjny.

  1. Odpis wyroku retrybucyjnego doręcza się podmiotowi zbiorowemu, a także pokrzywdzonemu, któremu, zgodnie z wnioskiem, ma być zwrócona osiągnięta przez podmiot zbiorowy korzyść majątkowa lub jej równowartość.

Art. 47. Prokurator może złożyć wniosek retrybucyjny:

1)     po zakończeniu postępowania przygotowawczego w sprawie odpowiedzialności podmiotu zbiorowego;

2)     w postępowaniu karnym przeciwko osobie, o której mowa w art. 5 ust. 2 pkt 2 lub art. 6 ust. 1 i 2;

3)     w prowadzonym przed sądem postępowaniu w sprawie odpowiedzialności podmiotu zbiorowego określonej w rozdziale 2, jeżeli wyniki poczynionych ustaleń wskazują, że podmiot nie ponosi tej odpowiedzialności, lecz powinien ponieść odpowiedzialność finansową lub odszkodowawczą;

4)     w postępowaniu w sprawie odpowiedzialności innego podmiotu zbiorowego.

Art. 48. 1. O odpowiedzialności finansowej i odszkodowawczej podmiotu zbiorowego sąd orzeka postanowieniem, rozpoznając wniosek retrybucyjny prokuratora, a w postępowaniu sądowym również z urzędu.

  1. Na postanowienie, o którym mowa w ust. 1, przysługuje zażalenie.
  2. Sąd rozpoznaje sprawę na posiedzeniu, w którym może wziąć udział prokurator, przedstawiciel podmiotu zbiorowego, obrońca, a za zgodą lub na polecenie sądu również pokrzywdzony.

Oddział 4

Strony, przedstawiciel i obrońca

Art. 49. 1. W postępowaniu przygotowawczym w sprawie odpowiedzialności podmiotu zbiorowego stroną jest wyłącznie ten podmiot.

  1. W postępowaniu sądowym w sprawie odpowiedzialności podmiotu zbiorowego stronami są wyłącznie podmiot zbiorowy i prokurator.

Art. 50. 1. Pokrzywdzony może składać wnioski dowodowe również na etapie postępowania sądowego.

  1. Pokrzywdzony przed zamknięciem przewodu sądowego może złożyć wniosek o wymierzenie podmiotowi zbiorowemu określonej kary lub o orzeczenie wobec tego podmiotu określonego środka.
  2. Pokrzywdzony może zająć stanowisko wobec wniosku retrybucyjnego. Stanowisko składa się na piśmie, chyba że za zgodą sądu pokrzywdzony przedstawi je ustnie na posiedzeniu.

Art. 51. 1. Podmiot zbiorowy może być reprezentowany w postępowaniu przez swojego przedstawiciela.

  1. Podmiot zbiorowy zgłasza udział przedstawiciela w formie pisemnej do czasu zamknięcia przewodu sądowego w pierwszej instancji.
  2. Podmiot zbiorowy albo jego przedstawiciel może ustanowić dla tego podmiotu obrońcę.

Art. 52. 1. Przedstawicielem podmiotu zbiorowego może być osoba fizyczna uprawniona do jego reprezentowania na mocy ustawy, statutu lub umowy określającej organizację podmiotu zbiorowego.

  1. Sąd, a w postępowaniu przygotowawczym prokurator może odmówić zgody na udział w postępowaniu przedstawicielowi, któremu przedstawiono zarzut popełnienia czynu stanowiącego podstawę odpowiedzialności podmiotu zbiorowego, jeżeli interesy tego podmiotu pozostają w sprzeczności z interesami tego przedstawiciela lub jeśli może to zakłócić prawidłowy przebieg postępowania prowadzonego na podstawie niniejszej ustawy albo postępowania o czyn stanowiący podstawę odpowiedzialności podmiotu zbiorowego.

Art. 53. Jeżeli w organie podmiotu zbiorowego zachodzą braki uniemożliwiające jego reprezentację, brak jest osób uprawnionych do jego reprezentowania lub podmiot zbiorowy nie może być prawidłowo reprezentowany w postępowaniu toczącym się na podstawie niniejszej ustawy w związku z brakiem zgody organu podmiotu zbiorowego na udział w postępowaniu przedstawiciela tego podmiotu, sąd na wniosek prokuratora może ustanowić kuratora dla podmiotu zbiorowego.

Art. 54. 1. Przedstawiciela podmiotu zbiorowego przesłuchuje się w charakterze świadka, chyba że w tym samym postępowaniu jest on podejrzanym.

  1. Przedstawiciel podmiotu zbiorowego może odmówić składania zeznań lub odmówić odpowiedzi na pytania, jeżeli odpowiedź mogłaby narazić jego lub podmiot zbiorowy na odpowiedzialność karną albo odpowiedzialność określoną w rozdziale 2.

Art. 55. 1. Do przedstawiciela podmiotu zbiorowego stosuje się odpowiednio przepisy art. 72 i art. 75 Kodeksu postępowania karnego.

  1. W postępowaniu sądowym, po zgłoszeniu w nim udziału przedstawiciela podmiotu zbiorowego, podmiotowi temu przysługują uprawnienia określone w art. 156 § 1 i 2–6, art. 167, art. 171 § 2, art. 341 § 1, art. 343 § 5, art. 343a, art. 350 § 2 pkt 2, art. 352, art. 396 § 3, art. 406, art. 422 § 1, art. 423 § 2, art. 425, art. 444, art. 457 § 2 i art. 459 Kodeksu postępowania karnego.
  2. W przypadku skorzystania z uprawnienia określonego w art. 171 § 2 lub art. 406 § 1 Kodeksu postępowania karnego przedstawiciel podmiotu zbiorowego może, uwzględniając odpowiednio kolejność wskazaną w art. 370 § 1 oraz w art. 406 § 1 tego Kodeksu, zadawać pytania stronom lub zabrać głos po zamknięciu przewodu sądowego przed wystąpieniem obrońcy oskarżonego.

Oddział 5

Zarząd przymusowy

Art. 56. 1. W celu zabezpieczenia prawidłowego toku postępowania w sprawie odpowiedzialności podmiotu zbiorowego, zapobiegnięcia popełnieniu nowego przestępstwa lub przestępstwa skarbowego lub w celu zabezpieczenia wykonania kar, o których mowa w art. 15, lub środków, o których mowa w art. 16, obowiązku zwrotu korzyści lub równowartości korzyści oraz kosztów sądowych, które mogą być orzeczone, można wobec tego podmiotu zastosować zarząd przymusowy.

  1. Zarząd przymusowy stosuje się na zasadach określonych w art. 292a Kodeksu postępowania karnego.
  2. Zarząd przymusowy w celu zabezpieczenia prawidłowego toku postępowania orzeka się, jeżeli zachodzi duże prawdopodobieństwo popełnienia czynu zabronionego w związku z działalnością podmiotu zbiorowego, a jego działalność mogłaby spowodować popełnienie kolejnego czynu zabronionego, wyrządzić szkodę Skarbowi Państwa lub innej osobie lub utrudniałaby prowadzenie postępowania karnego lub postępowania w sprawie odpowiedzialności podmiotu zbiorowego.
  3. Zarządu przymusowego, o którym mowa w ust. 3, nie stosuje się, jeżeli jest wystarczający inny środek zapobiegawczy.
  4. Zarząd przymusowy w celu zabezpieczenia wykonania orzeczonych wobec podmiotu zbiorowego kar lub środków, o których mowa w art. 15 i art. 16, obowiązku zwrotu korzyści lub równowartości korzyści orzeka się, jeżeli zachodzi uzasadniona obawa, że bez takiego zabezpieczenia wykonanie tych orzeczeń będzie niemożliwe albo znacznie utrudnione.
  5. Zarządu przymusowego, o którym mowa w ust. 5, nie stosuje się, jeżeli jest wystarczający inny sposób zabezpieczenia majątkowego.
  6. Zarządzając podmiotem zbiorowym zarządca przymusowy zachowuje należytą staranność. Zarządca przymusowy nie może dokonać zmiany podstawowego przedmiotu działalności przedsiębiorstwa podmiotu zbiorowego ani dokonać likwidacji tego przedsiębiorstwa.

Oddział 6

Środki zapobiegawcze

Art. 57. W celu zabezpieczenia prawidłowego toku postępowania w sprawie odpowiedzialności podmiotu zbiorowego, zapobiegnięcia popełnieniu nowego przestępstwa lub przestępstwa skarbowego można wobec tego podmiotu zastosować następujące środki zapobiegawcze:

1)     zakaz promocji i reklamy;

2)     zakaz zawierania umów określonego rodzaju;

3)     zakaz prowadzenia określonej działalności;

4)     zakaz obciążania, na czas postępowania, bez zgody sądu, swojego majątku lub zbywania bez takiej zgody określonych przez sąd składników majątkowych;

5)     zakaz ubiegania się o zamówienia publiczne na czas trwania postępowania;

6)     wstrzymanie wypłat dotacji lub subwencji, lub innych form wsparcia finansowego ze środków publicznych;

7)     zakaz łączenia się, podziału lub przekształcania się podmiotu zbiorowego.

Art. 58. Środki zapobiegawcze orzeka się, jeżeli zachodzi duże prawdopodobieństwo wyczerpania przez działanie lub zaniechanie organu podmiotu zbiorowego lub członka tego organu lub osobę, o której mowa w art. 6 ust. 1 i 2, w związku z prowadzoną przez ten podmiot działalnością, znamion czynu zabronionego lub jeżeli działalność podmiotu zbiorowego mogłaby spowodować popełnienie kolejnego czynu zabronionego, wyrządzić szkodę Skarbowi Państwa lub innej osobie lub utrudniałaby prowadzenie postępowania karnego lub postępowania w sprawie odpowiedzialności podmiotu zbiorowego.

Art. 59. 1. W postępowaniu przygotowawczym postanowienie o zastosowaniu jednego lub kilku środków zapobiegawczych, o których mowa w art. 57, wydaje prokurator.

  1. Postanowienie podlega zatwierdzeniu przez sąd. Sąd może postanowić również o zmianie zastosowanego przez prokuratora środka zapobiegawczego.
  2. Po wydaniu postanowienia, o którym mowa w ust. 1, prokurator najpóźniej w terminie 7 dni występuje do sądu o jego zatwierdzenie. W przedmiocie zatwierdzenia lub zmiany środka zapobiegawczego sąd rozstrzyga w terminie 7 dni od dnia przekazania mu postanowienia prokuratora.
  3. Z chwilą uprawomocnienia się postanowienia sądu o odmowie zatwierdzenia postanowienia, o którym mowa w ust. 1, następuje uchylenie środka.
  4. W przedmiocie zatwierdzenia postanowienia, o którym mowa w ust. 1, orzeka na wniosek prokuratora w postępowaniu przygotowawczym sąd rejonowy, w którego okręgu prowadzi się postępowanie, a po wniesieniu aktu oskarżenia w przedmiocie tego zatwierdzenia orzeka sąd, przed którym sprawa się toczy.
  5. Po wniesieniu aktu oskarżenia postanowienie o zastosowaniu jednego lub kilku środków zapobiegawczych, o których mowa w art. 57, wydaje sąd, przed którym sprawa się toczy.
  6. Na postanowienie sądu w przedmiocie zatwierdzenia postanowienia, o którym mowa w ust. 1 i 6, lub postanowienia w przedmiocie zmiany zastosowanego środka zapobiegawczego stronom przysługuje zażalenie.
  7. W przypadku zastosowania środka zapobiegawczego, o którym mowa w art. 57 pkt 4, sąd lub prokurator mogą zarządzić sporządzenie przez komornika spisu składników majątku i praw majątkowych podmiotu zbiorowego.

Art. 60. Czynności prawne dokonane wbrew orzeczonym środkom zapobiegawczym są nieważne.

Oddział 7

Zabezpieczenie majątkowe

Art. 61. 1. Zabezpieczenie majątkowe na mieniu podmiotu zbiorowego można ustanowić na poczet:

1)     kar i środków, o których mowa w art. 15 i art. 16,

2)     obowiązku zwrotu korzyści lub jej równowartości,

3)     kosztów sądowych

– jeżeli zachodzi uzasadniona obawa, że bez takiego zabezpieczenia wykonanie orzeczenia w zakresie kar i środków, o których mowa w art. 15 i art. 16, obowiązku zwrotu korzyści lub równowartości korzyści oraz kosztów sądowych będzie niemożliwe albo znacznie utrudnione.

  1. Zabezpieczenie majątkowe stosuje się na zasadach określonych w art. 292 Kodeksu postępowania karnego.

Oddział 8

Zaniechanie ukarania podmiotu zbiorowego i dobrowolne poddanie się odpowiedzialności przez podmiot zbiorowy

Art. 62. 1. Nie podlega odpowiedzialności w związku z czynem zabronionym zagrożonym karą pozbawienia wolności do lat 5 podmiot zbiorowy, który po popełnieniu czynu zabronionego zawiadomił o tym organ powołany do ścigania, ujawniając istotne okoliczności tego czynu, w szczególności osoby lub inne podmioty zbiorowe uczestniczące w jego popełnieniu.

  1. Przepis ust. 1 stosuje się tylko wtedy, gdy w terminie wyznaczonym przez uprawniony organ postępowania przygotowawczego naprawiono wyrządzoną szkodę, zwrócono korzyść pochodzącą z czynu zabronionego lub jej równowartość, uprawniony organ wyraził zgodę na przepadek mienia lub korzyści majątkowych, a w razie niemożności złożenia mienia lub korzyści majątkowych – uiszczono ich równowartość pieniężną lub uiszczono w całości wymagalną należność publicznoprawną uszczuploną popełnionym czynem zabronionym.
  2. Zawiadomienie powinno być złożone na piśmie albo przekazane ustnie do protokołu.
  3. Zawiadomienie jest bezskuteczne, jeżeli zostało złożone:

1)     w czasie, kiedy organ ścigania miał już wyraźnie udokumentowaną wiadomość o popełnieniu czynu, o którym mowa w ust. 1;

2)     po rozpoczęciu przez uprawniony organ postępowania przygotowawczego czynności służbowej, w szczególności przeszukania, czynności sprawdzającej lub kontroli zmierzającej do ujawnienia przestępstwa skarbowego lub wykroczenia skarbowego, chyba że czynność ta nie dostarczyła podstaw do wszczęcia postępowania o ten czyn zabroniony.

  1. Przepisu ust. 1 nie stosuje się jeżeli:

1)     podmiot w całości lub w znacznej części służył lub był przeznaczony do popełnienia czynu zabronionego lub ukrycia osiągniętej z niego korzyści;

2)     czyn zabroniony został popełniony umyślnie przez członków organów podmiotu zbiorowego w celu osiągnięcia przez niego korzyści.

Art. 63. 1. Prokurator może zaniechać przeprowadzenia dalszych czynności i zamiast z aktem oskarżenia wystąpić do sądu z wnioskiem o udzielenie podmiotowi zbiorowemu zezwolenia na dobrowolne poddanie się odpowiedzialności, o ile okoliczności czynu nie budzą wątpliwości, cele postępowania zostaną osiągnięte pomimo nieprzeprowadzenia postępowania w całości, a ponadto podmiot zbiorowy:

1)     ujawnił organowi prowadzącemu postępowanie przygotowawcze informacje dotyczące osób uczestniczących w popełnieniu czynu zabronionego oraz istotne okoliczności dotyczące jego popełnienia;

2)     uiścił kwotę stanowiącą równowartość szkody wyrządzonej czynem zabronionym; w uzasadnionych przypadkach, mając na uwadze w szczególności rozmiar szkody oraz rodzaj i stopień naruszonych przez podmiot zbiorowy reguł ostrożności, uiszczona przez ten podmiot kwota może być niższa, nie mniej jednak niż o połowę;

3)     uiścił kwotę odpowiadającą co najmniej najniższej karze pieniężnej grożącej za czyn zabroniony, lecz nie większą niż 3 000 000 zł;

4)     wyraził zgodę na przepadek mienia lub korzyści majątkowych, a w razie niemożności złożenia mienia lub korzyści majątkowych – uiścił ich równowartość pieniężną;

5)     uiścił równowartość kosztów postępowania.

  1. Wystąpienie z wnioskiem, o którym mowa w ust. 1, jest niedopuszczalne wobec podmiotu zbiorowego, w stosunku do którego uprzednio zapadł wyrok skazujący na podstawie niniejszej ustawy.

Art. 64. 1. Sąd, udzielając podmiotowi zbiorowemu zezwolenia na dobrowolne poddanie się odpowiedzialności, orzeka:

1)     tytułem kary pieniężnej kwotę uiszczoną przez podmiot zbiorowy;

2)     tytułem obowiązku naprawienia szkody kwotę uiszczoną przez podmiot zbiorowy;

3)     przepadek mienia lub korzyści majątkowych tylko w takich granicach, w jakich podmiot zbiorowy wyraził na to zgodę, a w razie niemożności ich złożenia – uiścił ich równowartość pieniężną.

  1. Prawomocny wyrok o zezwoleniu na dobrowolne podanie się odpowiedzialności nie podlega wpisowi do Krajowego Rejestru Karnego.

Rozdział 8

Zmiany w przepisach obowiązujących

Art. 65. W ustawie z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 1360, z późn. zm.[6])) wprowadza się następujące zmiany:

1)     w art. 4772 § 2 otrzymuje brzmienie:

„§ 2. Uznając wypowiedzenie umowy o pracę za bezskuteczne lub orzekając o przywróceniu do pracy, sąd na wniosek pracownika może w wyroku nałożyć na pracodawcę obowiązek dalszego zatrudniania pracownika do czasu prawomocnego rozpoznania sprawy.”;

2)     po art. 755 dodaje się art. 7551 w brzmieniu:

„Art. 7551. § 1. W sprawach z zakresu prawa pracy, w których pracownik podlegający szczególnej ochronie przed rozwiązaniem stosunku pracy za wypowiedzeniem lub bez wypowiedzenia dochodzi roszczenia o uznanie wypowiedzenia stosunku pracy za bezskuteczne lub o przywrócenie do pracy, sąd na wniosek uprawnionego może na każdym etapie postępowania udzielić zabezpieczenia poprzez nakazanie dalszego zatrudniania go przez pracodawcę do czasu prawomocnego zakończenia postępowania. W sprawach tych podstawą zabezpieczenia jest jedynie uprawdopodobnienie istnienia roszczenia. Udzielenia zabezpieczenia sąd może odmówić wyłącznie wtedy, gdy roszczenie jest mało prawdopodobne. Sąd uchyla postanowienie o udzieleniu zabezpieczenia, o ile obowiązany wykaże wysokie prawdopodobieństwo bezzasadności roszczenia.

  • 2. W sprawach, o których mowa w § 1, sąd nadaje klauzulę wykonalności i doręcza obowiązanemu postanowienie z urzędu.
  • 3. Przepis art. 7562 stosuje się odpowiednio.”.

Art. 66. W ustawie z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym (Dz. U. z 2018 r. poz. 986 i 1544) w art. 21a po pkt 4 kropkę zastępuje się średnikiem i dodaje się pkt 5 w brzmieniu:

„5)    w odniesieniu do podmiotów podlegających wpisowi lub wpisanych do Rejestru – informacje o orzeczonych wobec tych podmiotów karach, o których mowa w art. 15 pkt 2 ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (Dz. U. poz. …), środkach, o których mowa w art. 16 pkt 2–6 i 11 tej ustawy, zarządzie przymusowym, o którym mowa w art. 56 tej ustawy, oraz środkach zapobiegawczych, o których mowa w art. 57 tej ustawy.”.

Art. 67. W ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2018 r. poz. 1218 i 1544) wprowadza się następujące zmiany:

1)     w art. 1 ust. 3 otrzymuje brzmienie:

„3. W Rejestrze gromadzi się również dane o podmiotach zbiorowych, wobec których prawomocnie orzeczono karę, o której mowa w art. 15 ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (Dz. U. poz. …), lub środek, o którym mowa w art. 16 tej ustawy.”;

2)     w art. 4 w ust. 1 w pkt 6 lit. c otrzymuje brzmienie:

„c)   podmiotów zbiorowych, jeżeli czyn zabroniony stanowiący podstawę odpowiedzialności podmiotu zbiorowego został popełniony na szkodę interesów finansowych Wspólnot Europejskich;”;

3)     w art. 12:

  1. a) w ust. 1a pkt 4–5a otrzymują brzmienie:

„4)    orzeczoną karę, o której mowa w art. 15 ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, lub środek, o którym mowa w art. 16 tej ustawy;

5)     kwalifikację prawną czynu zabronionego stanowiącego podstawę odpowiedzialności podmiotu zbiorowego;

5a)    informację, że czyn zabroniony stanowiący podstawę odpowiedzialności podmiotu zbiorowego został popełniony na szkodę interesów finansowych Wspólnot Europejskich;”,

  1. b) w ust. 2a pkt 1 i 2 otrzymują brzmienie:

„1)    wykonaniu kary, o której mowa w art. 15 ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, lub środka, o którym mowa w art. 16 tej ustawy;

2)     zatarciu orzeczenia stwierdzającego odpowiedzialność podmiotu zbiorowego za czyn zabroniony pod groźbą kary w drodze ułaskawienia;”;

4)     w art. 13 pkt 4 otrzymuje brzmienie:

„4)    kart rejestracyjnych i zawiadomień, zawierających informacje o podmiotach zbiorowych podlegających odpowiedzialności na podstawie przepisów rozdziału 2 ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary.”;

5)     w art. 14 w ust. 1 po pkt 5 kropkę zastępuje się średnikiem i dodaje się pkt 6 w brzmieniu:

„6)    likwidacji podmiotu zbiorowego.”.

Art. 68. W ustawie z dnia 15 września 2000 r. – Kodeks spółek handlowych (Dz. U. z 2017 r. poz. 1577 oraz z 2018 r. poz. 398, 650, 1544, 2219 i 2244) w art. 18 § 2 otrzymuje brzmienie:

„§ 2. Nie może być członkiem zarządu, rady nadzorczej, komisji rewizyjnej, likwidatorem albo prokurentem osoba, która została skazana prawomocnym wyrokiem za przestępstwa określone w art. 229–230a i w przepisach rozdziałów XXXIII–XXXVII Kodeksu karnego oraz w art. 585, art. 587, art. 590 i art. 591 ustawy.”.

Art. 69. W ustawie z dnia 27 kwietnia 2001 r. – Prawo ochrony środowiska (Dz. U. z 2018 r. poz. 799, z późn. zm.[7])) w art. 401 w ust. 7 pkt 14 otrzymuje brzmienie:

„14)  wpływy z nawiązek orzekanych na podstawie:

  1. a) 47 § 2 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. z 2018 r. poz. 1600 i 2077),
  2. b) 25 ust. 3 ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (Dz. U. poz. …).”.

Art. 70. W ustawie z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986 i 2215) w art. 24 w ust. 1 pkt 21 otrzymuje brzmienie:

„21)  wykonawcę będącego podmiotem zbiorowym, wobec którego sąd orzekł zakaz ubiegania się o zamówienia publiczne na podstawie ustawy z dnia … o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (Dz. U. poz. …);”.

Art. 71. W ustawie z dnia 21 października 2016 r. o umowie koncesji na roboty budowlane lub usługi (Dz. U. poz. 1920 oraz z 2018 r. poz. 1669 i 1693) w art. 32 w ust. 1 pkt 9 otrzymuje brzmienie:

„9)    będącego podmiotem zbiorowym, wobec którego sąd orzekł zakaz ubiegania się o zamówienia publiczne na podstawie ustawy z dnia … o odpowiedzialności karnej podmiotów zbiorowych za czyny zabronione pod groźbą kary (Dz. U. poz. …);”.

Rozdział 9

Przepisy przejściowe i końcowe

Art. 72. 1. Do odpowiedzialności podmiotów zbiorowych za czyny zabronione, o których mowa w art. 16 ustawy uchylanej w art. 74, popełnionych przed dniem wejścia w życie niniejszej ustawy, stosuje się przepisy wprowadzane niniejszą ustawą pod warunkiem równoczesnego spełnienia przesłanek odpowiedzialności określonych w art. 3 ustawy uchylanej w art. 74. Jeżeli jednak przepisy ustawy uchylanej w art. 74 są względniejsze dla podmiotu zbiorowego, stosuje się te przepisy z wyjątkiem art. 4 ustawy uchylanej.

  1. Przepisu ust. 1 zdanie drugie nie stosuje się do odpowiedzialności finansowej i odszkodowawczej podmiotów zbiorowych, określonej w art. 9 i 10 niniejszej ustawy. Do odpowiedzialności finansowej i odszkodowawczej podmiotu zbiorowego w związku z czynami zabronionymi popełnionymi przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy wprowadzane niniejszą ustawą. Postępowania wszczęte przed dniem wejścia w życie niniejszej ustawy na podstawie ustawy uchylanej w art. 74 toczą się na podstawie tej ustawy do prawomocnego zakończenia postępowania.

Art. 73. Dotychczasowe przepisy wykonawcze wydane na podstawie art. 12 ust. 3 i art. 21 ustawy zmienianej w art. 67 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 12 ust. 3 i art. 21 ustawy zmienianej w art. 67, nie dłużej jednak niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy.

Art. 74. Traci moc ustawa z dnia 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (Dz. U. z 2018 r. poz. 703 i 1277).

Art. 75. Ustawa wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia.

[1])    Niniejszą ustawą zmienia się ustawy: ustawę z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego, ustawę z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym, ustawę z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym, ustawę z dnia 15 września 2000 r. – Kodeks spółek handlowych, ustawę z dnia 27 kwietnia 2001 r. – Prawo ochrony środowiska, ustawę z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych oraz ustawę z dnia 21 października 2016 r. o umowie koncesji na roboty budowlane lub usługi.

2)    Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady 2008/99/WE z dnia 19 listopada 2008 r. w sprawie ochrony środowiska poprzez prawo karne (Dz. Urz. UE L 328 z 06.12.2008, str. 28), dyrektywę Parlamentu Europejskiego i Rady 2011/36/UE z dnia 5 kwietnia 2011 r. w sprawie zapobiegania handlowi ludźmi i zwalczania tego procederu oraz ochrony ofiar, zastępującą decyzję ramową Rady 2002/629/WSiSW (Dz. Urz. UE L 101 z 15.04.2011, str. 1), dyrektywę Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępującą decyzję ramową Rady 2004/68/WSiSW (Dz. Urz. UE L 335 z 17.12.2011, str. 1), dyrektywę Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącą ataków na systemy informatyczne i zastępującą decyzję ramową Rady 2005/222/WSiSW (Dz. Urz. UE L 218 z 14.08.2013, str. 8), dyrektywę Parlamentu Europejskiego i Rady 2014/57/UE z dnia 16 kwietnia 2014 r. w sprawie sankcji karnych za nadużycia na rynku (dyrektywa w sprawie nadużyć na rynku) (Dz. Urz. UE L 173 z 12.06.2014, str. 179), dyrektywę Parlamentu Europejskiego i Rady 2014/62/UE z dnia 15 maja 2014 r. w sprawie prawnokarnych środków ochrony euro i innych walut przed fałszowaniem, zastępującą decyzję ramową Rady 2000/383/WSiSW (Dz. Urz. UE L 151 z 21.05.2014, str. 1), dyrektywę Parlamentu Europejskiego i Rady 2017/541/UE z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępującą decyzję ramową Rady 2002/475/WSiSW oraz zmieniającą decyzję Rady 2005/671/WSiSW (Dz. Urz. UE L 88 z 31.03.2017, str. 6–21) i dyrektywę Parlamentu Europejskiego i Rady 2017/1371/UE z dnia 5 lipca 2017 r. w sprawie zwalczania za pośrednictwem prawa karnego nadużyć na szkodę interesów finansowych Unii (Dz. Urz. UE L 198 z 28.07.2017, str. 29).

[3])    Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 1000, 1076, 1608, 1629, 2215, 2244, 2245, 2377 i 2432.

[4])    Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 1356, 1479, 1564, 1590, 1592, 1648, 1722, 2161 i 2533.

[5])    Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 1467, 1499, 1544, 1629, 1637, 1693, 2385 i 2432.

[6])    Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 1467, 1499, 1544, 1629, 1637, 1693, 2385 i 2432.

[7])    Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. poz. 1356, 1479, 1564, 1590, 1592, 1648,1722, 2161 i 2533.

Czytaj więcej

Rząd przyjął projekt ustawy o odpowiedzialności podmiotów zbiorowych.

Rząd przyjął projekt ustawy o odpowiedzialności podmiotów zbiorowych.

Informacja z PAP;

“Rząd przyjął we wtorek 8 stycznia 2019 roku projekt ustawy o odpowiedzialności podmiotów zbiorowych. Nowe przepisy mają umożliwić zdecydowaną walkę z nieuczciwymi firmami, które oszukują Polaków, a także narażają na straty polskie państwo – przekazał resort sprawiedliwości.

Prace nad projektem były prowadzone w resorcie sprawiedliwości od wielu miesięcy. “Ta ustawa jest narzędziem bardzo potrzebnym, ponieważ wiemy, że dotychczasowe rozwiązania prawne w tym obszarze nie przyniosły rezultatów i nie zdały egzaminu” – powiedział we wtorek minister sprawiedliwości Zbigniew Ziobro, informując o przyjęciu przez rząd tego projektu. Jak dodał, “to narzędzie, które zostało wstępnie przyjęte przez rząd we wtorek jest wyrazem troski o podniesienie standardów funkcjonowania wielkich i tych mniejszych firm w obszarze polskiej gospodarki”. “Chodzi o to, aby polskie prawo było skuteczne w odpowiedzi na nadużycia, których dopuszczać się mogą wielkie firmy z żądzy zysku” – zaznaczył minister.

Jak przekazało Ministerstwo Sprawiedliwości, projekt zakłada, że do wytoczenia sprawy np. nieuczciwej spółce wystarczy prokuratorskie ustalenie, że doszło w niej do popełnienia przestępstwa. “Nie będzie już wymogu wcześniejszego prawomocnego skazania przedstawiciela spółki, która złamała prawo, co w przeszłości blokowało egzekwowanie prawa. Kwestie odpowiedzialności karnej konkretnej osoby i nałożenia kary finansowej na firmę będą rozstrzygane przez sąd oddzielnie, choć z założenia w ramach jednego procesu” – zaznaczono.

Ponadto – po planowanej zmianie – kara pieniężna nie będzie zależna od osiągniętego przez firmę przychodu. “Dzięki temu będzie możliwe karanie podmiotów, które mają majątek, a nie wykazują przychodów. Wysokość kar ma wynosić od 30 tys. do 30 mln zł. Zostanie jednak wprowadzona możliwość umorzenia postępowania, jeżeli nawet najniższa z możliwych kar byłaby zbyt surowa za pojedyncze przewinienie” – przekazało MS. (PAP) autor: Marcin Jabłoński

Czytaj więcej

Tabela zgodności – Projekt ustawy o ochronie danych osobowych skierowany na Komitet do Spraw Europejskich Rady Ministrów

TYTUŁ PROJEKTU:

Ustawa o ochronie danych osobowych
TYTUŁ WDRAŻANEGO AKTU PRAWNEGO / WDRAŻANYCH AKTÓW PRAWNYCH 1):

 

1)      rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1)

PRZEPISY UNII EUROPEJSKIEJ 2)    

Jedn. red. Treść przepisu UE 3) Koniecz  -ność

wdrożenia

 

T / N

Jedn. red. (*) Treść przepisu/ów projektu (*) Uzasadnienie uwzględnienia w projekcie przepisów wykraczających poza minimalne wymogi  prawa UE (**)
1)            rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1)
Uwaga: Rozporządzenie będzie stosowane bezpośrednio i jego przepisy nie podlegają transpozycji do prawa krajowego. W rozporządzeniu znajdują się dyspozycje dla państw członkowskich, które wymagają dostosowania przepisów krajowych w celu zapewnienia efektywnego stosowania regulacji wspólnotowych.
Rozdział I 
Przepisy ogólne
Art. 1 Przedmiot i cele

1. W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

2. Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

3. Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

N
Art. 2  Materialny zakres stosowania

1.    Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

 

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a)  w ramach działalności nieobjętej zakresem prawa Unii;

b)  przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;

c)  przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d)  przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

 

3. Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporządzenie (WE) nr 45/2001. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych zostają dostosowane do zasad i przepisów niniejszego rozporządzenia zgodnie z art. 98.

 

4. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE, w szczególności dla zasad odpowiedzialności usługodawców będących pośrednikami, o których to zasadach mowa w art. 12–15 tej dyrektywy.

 

 

 

T

 

Art.

1 ust. 1

 

1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem  2016/679”.

 

 

Art. 3 Terytorialny zakres stosowania

 

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

 

2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

a)  oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub

b)  monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.

 

3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego.

T Art. 1 ust. 1

 

 

 

 

 

 

 

 

 

 

 

Art. 3 

1.                   Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem  2016/679”.

 

W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę

 

 

 

 

 

 

Art.

4

Definicje

 

Na użytek niniejszego rozporządzenia:

 

1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

 

2)„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

 

3) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

 

4) „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

 

5) „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

 

6) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

 

7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

 

8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

 

9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane

4.5.2016 L 119/33 Dziennik Urzędowy Unii Europejskiej PL

osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

 

10) „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

 

11) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

 

12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

 

13) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

 

14) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

 

15) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

 

16) „główna jednostka organizacyjna” oznacza:

a)  jeżeli chodzi o administratora posiadającego jednostki organizacyjne w     więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii, a jeżeli decyzje co do celów i sposobów przetwarzania danych osobowych zapadają w innej jednostce organizacyjnej tego administratora w Unii i ta jednostka organizacyjna ma prawo nakazać wykonanie takich decyzji, to za główną jednostkę organizacyjną uznaje się jednostkę organizacyjną, w której zapadają takie decyzje;

b)  jeżeli chodzi o podmiot przetwarzający posiadający jednostki organizacyjne w więcej niż jednym państwie członkowskim – miejsce, w którym znajduje się jego centralna administracja w Unii lub, w przypadku gdy podmiot przetwarzający nie ma centralnej administracji w Unii – jednostkę organizacyjną podmiotu przetwarzającego w Unii, w której odbywają się główne czynności przetwarzania w ramach działalności jednostki organizacyjnej podmiotu przetwarzającego, w zakresie w jakim podmiot przetwarzający podlega szczególnym obowiązkom na mocy niniejszego rozporządzenia;

 

17) „przedstawiciel” oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z niniejszego rozporządzenia;

 

18) „przedsiębiorca” oznacza osobę fizyczną lub prawną prowadzącą działalność gospodarczą, niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą;

 

19) „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane;

 

20) „wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych stosowane przez administratora lub podmiot przetwarzający, którzy posiadają jednostkę organizacyjną na terytorium państwa członkowskiego, przy jednorazowym lub wielokrotnym przekazaniu danych osobowych administratorowi lub podmiotowi przetwarzającemu w co najmniej jednym państwie trzecim w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą;

 

21) „organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51;

 

22) „organ nadzorczy, którego sprawa dotyczy” oznacza organ nadzorczy, którego dotyczy przetwarzanie danych osobowych, ponieważ:

a) administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną na terytorium państwa członkowskiego tego organu nadzorczego;

b)  przetwarzanie znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, mające miejsce zamieszkania w państwie członkowskim tego organu nadzorczego; lub

c)  wniesiono do niego skargę;

 

23) „transgraniczne przetwarzanie” oznacza:

a)  przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności jednostek organizacyjnych w więcej, niż jednym państwie członkowskim administratora lub podmiotu przetwarzającego w Unii posiadającego jednostki organizacyjne w więcej niż jednym państwie członkowskim; albo

b) przetwarzanie danych osobowych, które odbywa się w Unii w ramach działalności pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego w Unii, ale które znacznie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą, w więcej niż jednym państwie członkowskim;

 

24) „mający znaczenie dla sprawy i uzasadniony sprzeciw” oznacza sprzeciw wobec projektu decyzji dotyczącej tego, czy doszło do naruszenia niniejszego rozporządzenia lub czy planowane działanie wobec administratora lub podmiotu przetwarzającego jest zgodne z niniejszym rozporządzeniem, który to sprzeciw musi jasno wskazywać wagę wynikającego z projektu decyzji ryzyka naruszenia podstawowych praw lub wolności osób, których dane dotyczą, oraz gdy ma to zastosowanie – wagę ryzyka zakłócenia swobodnego przepływu danych osobowych w Unii;

 

25) „usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 (1);

 

26) „organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Rozdział II

Zasady

 

Art. 5 Zasady dotyczące przetwarzania danych osobowych

 

1. Dane osobowe muszą być:

a)  przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b)  zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

c)  adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

d)  prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e)  przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

f)  przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

 

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

 

N  

 

 

 

 

 

 

 

Art.

6

Zgodność przetwarzania z prawem

 

1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)  osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)  przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)  przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)  przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)  przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)  przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

 

2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

 

3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

a)  w prawie Unii; lub

b)  w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

 

4. Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a)  wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

c)  charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10;

d)  ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

e)  istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

N
Art.

7

Warunki wyrażenia zgody

 

1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

 

2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.

 

3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.

 

4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

N
Art. 8 Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

 

1. Jeżeli zastosowanie ma art. 6 ust. 1 lit. a), w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest

przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.

 

2. W takich przypadkach administrator, uwzględniając dostępną technologię, podejmuje rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.

 

3. Ust. 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy o ważności, zawieraniu lub skutkach umowy wobec dziecka.

 

T

 

 

 

 

 

 

Art. 5 W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.

 

Art. 9 Przetwarzanie szczególnych kategorii danych osobowych

 

1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

 

2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

a)  osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

b)  przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;

c)  przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

d)  przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;

e)  przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;

f)  przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;

g)  przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

h)  przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

i)  przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;

j)  przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

 

3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

 

4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.

 

N  
Art.

10

Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa

 

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

N  
Art.

11.

Przetwarzanie niewymagające identyfikacji

 

1. Jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego osoby, której dane dotyczą, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, której dane dotyczą, wyłącznie po to, by zastosować się do niniejszego rozporządzenia.

 

2. Jeżeli w przypadkach, o których mowa w ust. 1 niniejszego artykułu, administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15–20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

 

 

N  
ROZDZIAŁ III

Prawa osoby, której dane dotyczą

SEKCJA 1

Przejrzystość oraz tryb korzystania z praw

Art. 12 Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą

 

1. Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

 

2. Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15–22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15–22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.

 

3. Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

 

4. Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

 

5. Informacje podawane na mocy art. 13 i 14 oraz komunikacja i działania podejmowane na mocy art. 15–22 i 34 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

a)  pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo

b)  odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

 

6. Bez uszczerbku dla art. 11, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15–21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

 

7. Informacje, których udziela się osobom, których dane dotyczą, na mocy art. 13 i 14, można opatrzyć standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, muszą się nadawać do odczytu maszynowego.

 

8. Komisji przysługuje prawo przyjmowania aktów delegowanych zgodnie z art. 92 w celu określenia informacji przedstawianych za pomocą znaków graficznych i procedur ustanowienia standardowych znaków graficznych.

 

 


N
 

 

 

SEKCJA 2

Informacje i dostęp do danych osobowych

 

Art. 13 Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

 

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b)  gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c)  cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d)  jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e)  informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f)  gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a)  okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b)  informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c)  jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d)  informacje o prawie wniesienia skargi do organu nadzorczego;

e)  informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f)  informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4. Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

 

N
Art. 14 Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą

 

1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b)  gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c)  cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;

d)  kategorie odnośnych danych osobowych;

e)  informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f)  gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

 

2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

a)  okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b)  jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

c)  informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

d)  jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

e)  informacje o prawie wniesienia skargi do organu nadzorczego;

f)  źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

g)  informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

3. Informacje, o których mowa w ust. 1 i 2, administrator podaje:

a)  w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;

b)  jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub

c)  jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

 

4. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

 

5. Ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim:

a)  osoba, której dane dotyczą, dysponuje już tymi informacjami;

b)  udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1, lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

c)  pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub

d)  dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

 

N
Art. 15 Prawo dostępu przysługujące osobie, której dane dotyczą

 

1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

a)  cele przetwarzania;

b)  kategorie odnośnych danych osobowych;

c)  informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d)  w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e)  informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f)  informacje o prawie wniesienia skargi do organu nadzorczego;

g)  jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h)  informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

 

2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.

 

3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

 

4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.

 

 

N

 

SEKCJA 3

Sprostowanie i usuwanie danych

Art. 16 Prawo do sprostowania danych

 

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

 

N  
Art.

17

Prawo do usunięcia danych („prawo do bycia zapomnianym”)

 

1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a)  dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b)  osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c)  osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d)  dane osobowe były przetwarzane niezgodnie z prawem;

e)  dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f)  dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

 

2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

 

3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

a)  do korzystania z prawa do wolności wypowiedzi i informacji;

b)  do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c)  z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;

d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e)  do ustalenia, dochodzenia lub obrony roszczeń.

 

N  
Art. 18

 

Prawo do ograniczenia przetwarzania

 

1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

a)  osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b)  przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c)  administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d)  osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

 

2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

 

3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

 

N  
Art.

19

Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania

 

Administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.

N
Art.

20

Prawo do przenoszenia danych

 

1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:

a)  przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b); oraz

b)  przetwarzanie odbywa się w sposób zautomatyzowany.

 

2. Wykonując prawo do przenoszenia danych na mocy ust. 1, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.

 

3. Wykonanie prawa, o którym mowa w ust. 1 niniejszego artykułu, pozostaje bez uszczerbku dla art. 17. Prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

 

4. Prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych.

N
SEKCJA 4

Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach

 

Art. 21 Prawo do sprzeciwu

 

1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

 

2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

 

3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

 

4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

 

5. W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

 

6. Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym

N
Art. 22

 

 

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

 

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

 

2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:

 

a)  jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;

 

b)  jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

 

c)  opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

 

3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

 

4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

 

 

N
SEKCJA 5

Ograniczenia

Art.

23

Ograniczenia

 

1. Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

a)  bezpieczeństwu narodowemu;

b)  obronie;

c)  bezpieczeństwu publicznemu;

d)  zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom;

e)  innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;

f)  ochronie niezależności sądów i postępowania sądowego;

g)  zapobieganiu naruszeniom zasad etyki w zawodach regulowanych, prowadzeniu postępowań w takich sprawach, ich wykrywaniu oraz ściganiu;

h)  funkcjom kontrolnym, inspekcyjnym lub regulacyjnym związanym, nawet sporadycznie, ze sprawowaniem władzy publicznej w przypadkach, o których mowa w lit. a) – e) oraz g);

i)  ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;

j)  egzekucji roszczeń cywilnoprawnych.

 

2. W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać szczegółowe przepisy przynajmniej – w stosownym przypadku – o:

a)  celach przetwarzania lub kategorii przetwarzania;

b)  kategoriach danych osobowych;

c)  zakresie wprowadzonych ograniczeń;

d)  zabezpieczeniach zapobiegających nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;

e)  określeniu administratora lub kategorii administratorów;

f)  okresach przechowywania oraz mających zastosowanie zabezpieczeniach z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;

g)  ryzyka naruszenia praw lub wolności osoby, której dane dotyczą; oraz

h)  prawie osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

 

T Art. 3

Art. 4

Art. 3.1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d – f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się.

2. W przypadku, o którym mowa w ust. 1, administrator przechowuje dane osobowe wyłącznie przez okres w zakresie niezbędnym do realizacji celów przetwarzania danych osobowych.

3. Na administratorze, o którym mowa w ust. 1, ciąży obowiązek dochowania najwyższej staranności w związku z przetwarzaniem danych osobowych, w szczególności w zakresie zapobiegania dostępowi do nich przez osoby niepowołane, możliwości ich utraty lub bezprawnego rozpowszechniania.

Art. 4. Do administratorów, o których mowa w art. 3 ust. 1, którzy w ramach przetwarzania danych osobowych, o których mowa w art. 3 ust. 1, udostępniają dane osobowe innym administratorom, z wyjątkiem sytuacji gdy osoba, której dane dotyczą wyraziła zgodę na udostępnienie swoich danych osobowych lub udostepnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze, oraz do administratorów, którzy w ramach przetwarzania danych, o którym mowa w art. 9 ust. 1 rozporządzenia 2016/679, przepisu art. 3 nie stosuje się,

 

ROZDZIAŁ IV

Administrator i podmiot przetwarzający

SEKCJA 1

Obowiązki ogólne

Art.

24

Obowiązki administratora

 

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

 

2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

 

3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

N
Art.

25

Uwzględnienie ochrony danych w fazie projektowania oraz domyślna ochrona danych

 

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

 

2. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

 

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2 niniejszego artykułu, można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji określonego w art. 42.

 

N
Art. 26

 

 

Współadministratorzy

 

1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień Współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

 

2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

 

3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

 

N
Art.

27

Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii

 

1. Jeżeli zastosowanie ma art. 3 ust. 2, administrator lub podmiot przetwarzający na piśmie wyznacza swojego przedstawiciela w Unii.

 

2. Obowiązek ustanowiony w ust. 1 niniejszego artykułu nie ma zastosowania w przypadku:

a)  przetwarzania, które ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych; lub

b)  organu lub podmiotu publicznego.

 

3. Przedstawiciel musi mieć siedzibę w państwie członkowskim, w którym przebywają osoby, których dane dotyczą, których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub usług lub których zachowanie jest monitorowane.

 

4. Przedstawiciel zostaje upoważniony przez administratora lub podmiot przetwarzający, by do celów zapewnienia przestrzegania niniejszego rozporządzenia mogły się do niego zwracać – oprócz lub zamiast do administratora lub podmiotu przetwarzającego – w szczególności organy nadzorcze i osoby, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem.

 

5. Wyznaczenie przedstawiciela przez administratora lub podmiot przetwarzający pozostaje bez uszczerbku dla postępowań, które mogą zostać wszczęte przeciwko samemu administratorowi lub podmiotowi przetwarzającemu.

 

N

 

Art.

28

Podmiot przetwarzający

 

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

 

2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

 

3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a)  przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b)  zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c)  podejmuje wszelkie środki wymagane na mocy art. 32;

d)  przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e)  biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f)  uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

g)  po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h)  udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

 

4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

 

5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

 

6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43.

 

7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

 

 

8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.

 

 

 

 

9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.

 

10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

N

 

 

 

 

 

T

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 47 pkt 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 47. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

1)        standardowe klauzule umowne, o których mowa w art. 28 ust. 8 rozporządzenia 2016/679;

 

Art.

29

Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego

 

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

N
Art.

30

Rejestrowanie czynności przetwarzania

 

1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

a)  imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b)  cele przetwarzania;

c)  opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d)  kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e)  gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f)  jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g)  jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

a)  imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

b)  kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c)  gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

d)  jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

3. Rejestry, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.

4. Administrator lub podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel administratora lub podmiotu przetwarzającego udostępniają rejestr na żądanie organu nadzorczego.

 

5. Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

N
Art.

31

Współpraca z organem nadzorczym

 

Administrator i podmiot przetwarzający oraz – gdy ma to zastosowanie – ich przedstawiciele na żądanie współpracują z organem nadzorczym w ramach wykonywania przez niego swoich zadań.

N
SEKCJA 2

Bezpieczeństwo danych osobowych

Art. 32

 

 

Bezpieczeństwo przetwarzania

 

1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a)  pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)  zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)  regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

 

4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

T Art. 51 Art.51 1. Prezes Urzędu opracowuje i udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

2. Rekomendacje sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i  podlegają okresowej aktualizacji.

3. Projekt rekomendacji Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.

 

 

 

 

 

 

 

Art.

33

 

 

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

 

1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

 

2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

 

3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a)  opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b)  zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c)  opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d)  opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

 

5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

 

 

 

T

 

 

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

N

 

 

Art.

49

 

Art.49. Prezes Urzędu może prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.

 

Art.

34

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

 

1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

 

2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).

 

3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:

a)  administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b)  administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

c)  wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

 

4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

 

N
 

SEKCJA 3

Ocena skutków dla ochrony danych i uprzednie konsultacje

 

Art.

35

Ocena skutków dla ochrony danych

 

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

 

2. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

 

3. Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:

a)  systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b)  przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

c)  systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

 

 

4. Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68.

 

 

 

 

 

 

5. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych.

 

6. Jeżeli wykazy, o których mowa w ust. 4 i 5, obejmują czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii, przed przyjęciem takich wykazów właściwy organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.

 

7. Ocena zawiera co najmniej:

a)  systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b)  ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c)  ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d)  środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

 

8. Oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający, uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania, o których mowa w art. 40.

 

9. W stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

 

10. Ust. 1–7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.

 

11. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

 

 

 

 

 

 

N

 

 

 

 

 

N

 

 

N

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 48

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 48. 1. Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679.

2. Komunikat, o którym mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

 

Art.

36

Uprzednie konsultacje

 

1. Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

 

2. Jeżeli organ nadzorczy jest zdania, że zamierzone przetwarzanie, o którym mowa w ust. 1, stanowiłoby naruszenie niniejszego rozporządzenia – w szczególności gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – organ nadzorczy w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela administratorowi, a gdy ma to zastosowanie także podmiotowi przetwarzającemu pisemnego zalecenia i może skorzystać z dowolnego ze swoich uprawnień, o których mowa w art. 58. Okres ten można przedłużyć o sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. Organ nadzorczy informuje administratora, a gdy ma to zastosowanie także podmiot przetwarzający, o takim przedłużeniu w terminie miesiąca od wpłynięcia wniosku o konsultacje, z podaniem przyczyn tego opóźnienia. Bieg tych terminów można zawiesić, do czasu aż organ nadzorczy uzyska wszelkie informacje, których zażądał do celów konsultacji.

 

3. Konsultując się z organem nadzorczym zgodnie z ust. 1, administrator przedstawia mu:

a) gdy ma to zastosowanie – odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;

b)  cele i sposoby zamierzonego przetwarzania;

c) środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z niniejszym rozporządzeniem;

d)  gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

e)  ocenę skutków dla ochrony danych, o której mowa w art. 35; oraz

f)  wszelkie inne informacje, których żąda organ nadzorczy.

4. Państwa członkowskie konsultują się z organem nadzorczym, przygotowując projekt aktu prawnego przyjmowanego przez parlament narodowy lub aktu wykonawczego opartego na takim akcie prawnym, jeżeli projekt dotyczy przetwarzania.

 

5. Niezależnie od ust. 1 prawo państwa członkowskiego może wymagać, by administratorzy konsultowali się z organem nadzorczym i uzyskiwali jego uprzednią zgodę na przetwarzanie danych osobowych przez administratora do celów wykonania zadania realizowanego przez administratora w interesie publicznym, w tym przetwarzania w związku z ochroną socjalną i zdrowiem publicznym.

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 52

 

 

 

 

 

 

 

 

Art. 52.1.W celu skonsultowania się z organem nadzorczym administrator danych składa wniosek o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36 ust. 2 RODO.

2. Do wniosku stosuje się odpowiednio art. 63 ustawy z dnia 14 czerwca 1960 r –  Kodeks postępowania administracyjnego.

3. Jeżeli wniosek nie spełnia wymogów, określonych w ust. 1 i 2, nie udziela się konsultacji.

4. Organ informuje wnioskodawcę o przyczynach nieudzielenia konsultacji.

 

 

 

 

 

 

 

Sekcja 4

Inspektor ochrony danych

Art. 37 Wyznaczenie inspektora ochrony danych

 

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

 

a)  przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

b)  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

 

c)  główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

2. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

 

3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

 

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

 

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

 

6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

 

 

 

 

7. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

N

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

T

 

 

 

 

 

 

Art. 7

Art. 8

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.8 ust. 8 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 7. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej “inspektorem”, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077)

Art. 8. 1. Administrator danych albo podmiot przetwarzający, który wyznaczył inspektora, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”, o jego wyznaczeniu, w terminie 14  dni od dnia wyznaczenia,  wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.

2. Zawiadomienie może zostać dokonane przez pełnomocnika administratora danych albo podmiotu przetwarzającego. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.

3. W zawiadomieniu administrator danych albo podmiot przetwarzający obowiązany jest wskazać:

1) adres siedziby i pełną nazwę, albo

2) adres zamieszkania oraz imię i nazwisko w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna, albo

3) adres miejsca wykonywania działalności gospodarczej, imię, nazwisko i firmę przedsiębiorcy, w przypadku przedsiębiorcy wpisanego do Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

4. O każdej zmianie danych, o której mowa w ust. 1 i 3, w tym o odwołaniu inspektora, należy zawiadomić Prezesa Urzędu w terminie 14 dni od dnia zaistnienia zmiany.

5. W przypadku wyznaczenia jednego inspektora przez grupę przedsiębiorstw albo przez organy lub podmioty publiczne, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust. 1.

6. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

7. Prezes Urzędu prowadzi wewnętrzną ewidencję zawiadomień. Ewidencja zawiera dane, o których mowa w ust. 1 i 3. Udostępnieniu podlegają dane w zakresie imienia i nazwiska inspektora.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8. Administrator danych i podmiot przetwarzający publikują dane inspektora, o których mowa w ust. 1, na swojej stronie internetowej niezwłocznie po wyznaczeniu inspektora.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 38 Status inspektora ochrony danych

 

1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

 

2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

 

3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

 

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

 

5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

 

 

6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

 

N  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 39 Zadania inspektora ochrony danych

 

1. Inspektor ochrony danych ma następujące zadania:

a)  informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b)  monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c)  udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d)  współpraca z organem nadzorczym;

e)  pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

N  
SEKCJA 5

Kodeksy postępowania i certyfikacja

Art. 40

 

 

Kodeksy postępowania

 

1. Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

 

2. Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia, między innymi w odniesieniu do:

a)  rzetelnego i przejrzystego przetwarzania;

b)  prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;

c)  zbierania danych osobowych;

d)  pseudonimizacji danych osobowych;

e)  informowania opinii publicznej i osób, których dane dotyczą;

f)  wykonywania przez osoby, których dane dotyczą, przysługujących im praw;

g)  informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;

h)  środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;

i)  zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;

j)  przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub

k) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.

 

3. Poza administratorami lub podmiotami przetwarzającymi, którzy podlegają niniejszemu rozporządzeniu, kodeksów postępowania zatwierdzonych na mocy ust. 5 niniejszego artykułu i powszechnie obowiązujących zgodnie z ust. 9 niniejszego artykułu, mogą przestrzegać także administratorzy lub podmioty przetwarzające, którzy zgodnie z art. 3 nie podlegają niniejszemu rozporządzeniu, w celu zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych na warunkach określonych w art. 46 ust. 2 lit. e). Tacy administratorzy lub takie podmioty przetwarzające podejmują wiążące i egzekwowalne zobowiązanie – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania tych odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

4. Kodeks postępowania, o którym mowa w ust. 2 niniejszego artykułu, przewiduje mechanizmy pozwalające podmiotowi, o którym mowa w art. 41 ust. 1, prowadzić obowiązkowe monitorowanie przestrzegania przepisów kodeksu przez administratorów lub podmioty przetwarzające, którzy podjęli się jego stosowania, bez uszczerbku dla zadań i uprawnień organów nadzorczych właściwych na mocy art. 55 lub 56.

 

5. Zrzeszenia i inne podmioty, o których mowa w ust. 2 niniejszego artykułu, chcące opracować kodeks postępowania lub zmienić lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu właściwemu na mocy art. 55. Organ nadzorczy wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. W przypadku zatwierdzenia zgodnie z ust. 5 projektu kodeksu, zmiany lub rozszerzenia, organ nadzorczy rejestruje i publikuje ten kodeks, o ile nie dotyczy on czynności przetwarzania prowadzonych w kilku państwach członkowskich.

 

 

 

 

 

 

 

7. Jeżeli projekt kodeksu postępowania dotyczy czynności przetwarzania prowadzonych w kilku państwach członkowskich, organ nadzorczy właściwy na mocy art. 55 przed zatwierdzeniem projektu kodeksu, zmiany lub rozszerzenia przedkłada go zgodnie z procedurą, o której mowa w art. 63, Europejskiej Radzie Ochrony Danych, która wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporządzeniem lub w sytuacji określonej w ust. 3 niniejszego artykułu opinię o tym, czy stanowią one odpowiednie zabezpieczenia.

 

8. Jeżeli opinia, o której mowa w ust. 7, potwierdza, że projekt kodeksu, zmiany lub rozszerzenia jest zgodny z niniejszym rozporządzeniem lub w sytuacji określonej w ust. 3 stanowią odpowiednie zabezpieczenia, Europejska Rada Ochrony Danych przedkłada tę opinię Komisji.

 

9. Komisja może, w drodze aktów wykonawczych, stwierdzić, że zatwierdzony kodeks postępowania, zmiana lub rozszerzenie przedłożone jej na mocy ust. 8 niniejszego artykułu są powszechnie obowiązujące w Unii. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

10. Komisja zapewnia odpowiednie upowszechnianie zatwierdzonych kodeksów, których powszechne obowiązywanie stwierdziła zgodnie z ust. 9.

 

11. Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany i rozszerzenia i udostępnia je opinii publicznej za pomocą odpowiednich środków.

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

 

N

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 24

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 47 pkt 2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 24.1. Kodeks postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, sporządza się po przeprowadzeniu konsultacji z zaineresowanymi podmiotami, w tym w szczególności, jeżeli jest to możliwe, z osobami, których dane dotyczą.

2. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się Prezesowi Urzędu wraz z kodeksem postępowania.

3. W przypadku uznania przez Prezesa Urzędu zakresu konsultacji za niewystarczający, wyzywa on podmiot do przeprowadzenia ponownych konsultacji, wskazując ich zakres.

4. Prezes Urzędu zatwierdza kodeks postępowania.

5. Stroną postępowania w sprawie zatwierdzenia kodeksu jest wyłącznie wnioskodawca występujący z wnioskiem o zatwierdzenie kodeksu. Przepisu art. 31 ustawy z dnia 14 czerwca 1960 r. –  Kodeks postępowania administracyjnego, nie stosuje się.

 

 

 

Art. 47. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

2)        zatwierdzone kodeksy postępowania, o których mowa w art. 40 rozporządzenia 2016/679, a także zmiany tych kodeksów.

 

 

 

Art.

41

 

 

Monitorowanie zatwierdzonych kodeksów postepowania

 

1. Bez uszczerbku dla zadań i uprawnień właściwego organu nadzorczego wynikających z art. 57 i 58 monitorowaniem przestrzegania kodeksu postępowania na mocy art. 40 może się zajmować podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i został akredytowany w tym celu przez właściwy organ nadzorczy.

2. Podmiot, o którym mowa w ust. 1, może zostać akredytowany w celu monitorowania przestrzegania kodeksu postępowania, jeżeli:

a)  w sposób satysfakcjonujący wykazał on właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie będącej przedmiotem kodeksu;

b) dysponuje procedurami, które pozwalają mu ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania;

c) dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie kodeksu przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający oraz które pozwalają zapewnić przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej; oraz

d)  w sposób satysfakcjonujący wykazał właściwemu organowi nadzorczemu, że jego zadania i obowiązki nie powodują konfliktu interesów.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Właściwy organ nadzorczy przedkłada proponowane kryteria akredytacji podmiotu, o którym mowa w ust. 1 niniejszego artykułu, Europejskiej Radzie Ochrony Danych zgodnie z mechanizmem spójności, o którym mowa w art. 63.

 

4. Bez uszczerbku dla zadań i uprawnień właściwego organu nadzorczego oraz przepisów rozdziału VIII podmiot, o którym mowa w ust. 1 niniejszego artykułu – z zastrzeżeniem odpowiednich zabezpieczeń – podejmuje odpowiednie działania w przypadku naruszenia kodeksu przez administratora lub podmiot przetwarzający, w tym zawiesza lub wyklucza administratora lub podmiot przetwarzający spośród stosujących kodeks. O działaniach tych i powodach ich podjęcia informuje on właściwy organ nadzorczy.

 

 

5. Właściwy organ nadzorczy cofa akredytację podmiotu, o którym mowa w ust. 1, jeżeli podmiot ten nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania przez niego podejmowane nie są zgodne z niniejszym rozporządzeniem.

 

 

 

 

 

6. Niniejszy artykuł nie ma zastosowania do przetwarzania prowadzonego przez organy i podmioty publiczne.

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

N

Art. 25

 

Art. 26

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 28

 

Art.25.Monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, zajmuje się podmiot akredytowany przez Prezesa Urzędu zgodnie z kryteriami określonymi w art. 41 ust. 2 rozporządzenia 2016/679.

 

Art. 26.1. Akredytacji podmiotu ubiegającego się o monitorowanie przestrzegania zatwierdzonego kodeksu postepowania dokonuje się na wniosek.

2. Wniosek o akredytację zawiera co najmniej:

1)        nazwę wnioskodawcy oraz wskazanie adresu jego siedziby;

2)        informacje potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2  rozporządzenia 2016/679.

3. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów, o  których mowa w art. 41 ust. 2 rozporządzenia 2016/679, albo ich elektroniczne kopie.

4. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

5. Prezes Urzędu rozpatruje wniosek o akredytację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia akredytacji.

6. Odmowa udzielenia akredytacji następuje w drodze decyzji w przypadku stwierdzenia, że wnioskodawca nie spełnia kryteriów, o których mowa w art. 41 ust. 2  rozporządzenia 2016/679.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 28. W przypadku, gdy podmiot akredytowany:

1) przestał spełniać kryteria akredytacji, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679,

2) podejmuje działania  niezgodne z przepisami rozporządzenia 2016/679

– Prezes Urzędu w drodze decyzji cofa udzieloną akredytację.

 

Art. 42

 

 

Certyfikacja

 

1. Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

 

2. Mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych zatwierdzone na mocy ust. 5 niniejszego artykułu, które mają zastosowanie do administratorów lub podmiotów przetwarzających podlegających niniejszemu rozporządzeniu, mogą być ustanowione do wykazania odpowiednich zabezpieczeń przez administratorów lub podmioty przetwarzające, którzy zgodnie z art. 3 nie podlegają niniejszemu rozporządzeniu, w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych na warunkach określonych w art. 46 ust. 2 lit. f). Tacy administratorzy lub takie podmioty przetwarzające podejmują wiążące i egzekwowalne zobowiązania – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania tych odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

 

 

3. Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.

 

 

 

 

4. Certyfikacja przewidziana w niniejszym artykule nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania niniejszego rozporządzenia i pozostaje bez uszczerbku dla zadań i uprawnień organów nadzorczych właściwych na mocy art. 55 lub 56.

 

5. Certyfikacji przewidzianej w niniejszym artykule dokonują podmioty certyfikujące, o których mowa w art. 43, lub dokonuje jej właściwy organ nadzorczy – na podstawie kryteriów zatwierdzonych przez niego zgodnie z art. 58 ust. 3 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63. W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych.

 

 

 

 

 

 

 

 

 

 

 

 

6. Administrator lub podmiot przetwarzający, którzy poddają swoje przetwarzanie mechanizmowi certyfikacji, udzielają podmiotowi certyfikującemu, o którym mowa w art. 43, lub gdy ma to zastosowanie – właściwemu organowi nadzorczemu wszelkich informacji i wszelkiego dostępu do swoich czynności przetwarzania, które to informacje i dostęp są niezbędne do przeprowadzenia procedury certyfikacji.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

7. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat; certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi. W stosownym przypadku organy certyfikujące, o których mowa w art. 43, lub właściwy organ nadzorczy cofają certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

 

 

 

 

 

 

 

 

 

 

 

8. Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej za pomocą odpowiednich środków.

 

 

 

 

 

N

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

N

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 14 ust. 1

 

 

 

 

 

 

 

 

Art. 12 i art. 13

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 21

Art. 22

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 19

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 14.1. Certyfikacji dokonuje się na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek.

 

 

 

 

 

 

 

 

Art. 12. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu i podmioty akredytowane przez Polskie Centrum Akredytacji, zwane dalej “podmiotami certyfikującymi”

Art. 13. Prezes Urzędu zatwierdza kryteria certyfikacji i udostępnia je na swojej stronie podmiotowej  Biuletynu Informacji Publicznej.

 

 

 

 

 

 

 

Art. 21.1 Prezes Urzędu w terminie, o którym mowa w art. 15 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora,  podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek,  w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

2. Prezes Urzędu zawiadamia o zamiarze przeprowadzenia czynności sprawdzających.

3. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.

4. Czynności sprawdzające przeprowadza się na podstawie upoważnienia wydanego przez Prezesa Urzędu, które zawiera:

1)        imię i nazwisko osoby przeprowadzającej czynności sprawdzające;

2)        oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;

3) wskazanie podstawy prawnej przeprowadzenia czynności sprawdzających;

4)        zakres czynności sprawdzających;

5) datę i miejsce wystawienia imiennego upoważnienia;

6) podpis osoby uprawnionej do wydania upoważnienia.

Art. 22.1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:

1)        wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń w dniach i godzinach pracy administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;

2)        wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;

3)        oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4)        uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.

2. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek lub osoby przez nich upoważnionej.

3. Z czynności sprawdzających sporządza się protokół i przedstawia administratorowi,  podmiotowi przetwarzającemu, producentowi albo podmiotowi wprowadzającemu produkt na rynek. Przepis art. 85 stosuje się odpowiednio.

 

 

 

Art. 19.1. W okresie, na jaki została udzielona certyfikacja administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek są obowiązani spełniać kryteria certyfikacji.

2. W przypadku stwierdzenia, że  administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek przestał spełniać kryteria certyfikacji, Prezes Urzędu albo podmiot certyfikujący, cofa certyfikację.

3. Cofnięcie certyfikacji przez Prezesa Urzędu następuję w drodze decyzji. W decyzji Prezes Urzędu wskazuje przyczyny cofnięcia certyfikacji.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 43

 

 

Podmiot certyfikujący

 

1. Bez uszczerbku dla zadań i uprawnień właściwego organu nadzorczego wynikających z art. 57 i 58 podmiot certyfikujący, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie ochrony danych dokonuje certyfikacji i jej przedłużenia po poinformowaniu organu nadzorczego w celu umożliwienia mu w razie potrzeby wykonywania uprawnień na mocy art. 58 ust. 2 lit. h) -. Państwa członkowskie zapewniają akredytację tych podmiotów certyfikujących przez:

a)        organ nadzorczy właściwy zgodnie z art. 55 lub 56; lub

b)        krajową jednostkę akredytującą określoną zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 765/2008 – zgodnie z EN-ISO/IEC 17065/2012 – oraz zgodnie z dodatkowymi wymogami określonymi przez organ nadzorczy właściwy zgodnie z. 55 lub 56.

 

2. Podmioty certyfikujące, o których mowa w ust. 1, zostają akredytowane zgodnie z tym ustępem w przypadku gdy:

a)        w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji;

b)        zobowiązały się do przestrzegania kryteriów, o których mowa w art. 42 ust. 5 i które zostały zatwierdzone przez organ nadzorczy właściwy zgodnie z art. 55 lub 56 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63;

c)        dysponują procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;

d)        dysponują procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający, oraz które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej; oraz

e)        w sposób satysfakcjonujący wykażą właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

 

3. Akredytacja podmiotów certyfikujących, o których mowa w ust. 1 i 2 niniejszego artykułu, jest dokonywana na podstawie kryteriów zatwierdzonych przez organ nadzorczy właściwy zgodnie z art. 55 lub 56 lub przez Europejską Radę Ochrony Danych zgodnie z art. 63. W przypadku akredytacji na mocy ust. 1 lit. c) niniejszego artykułu wymogi te są uzupełnieniem wymogów przewidzianych w rozporządzeniu (WE) nr 765/2008 oraz przepisów technicznych określających metody i procedury podmiotów certyfikujących.

 

 

 

4. Podmioty certyfikujące, o których mowa w ust. 1, są odpowiedzialne za dokonanie właściwej oceny przed udzieleniem lub cofnięciem certyfikacji, bez uszczerbku dla spoczywającego na administratorze lub podmiocie przetwarzającym obowiązku przestrzegania niniejszego rozporządzenia. Akredytacji udziela się na maksymalny okres pięciu lat; można ją przedłużyć na tych samych warunkach, o ile podmiot certyfikujący spełnia wymogi określone w niniejszym artykule.

 

 

5. Podmioty certyfikujące, o których mowa w ust. 1, przedstawiają właściwemu organowi nadzorczemu powody udzielenia lub cofnięcia żądanej certyfikacji.

 

 

 

 

 

 

6. Organ nadzorczy w łatwo dostępny sposób podaje do wiadomości publicznej wymogi, o których mowa w ust. 3 niniejszego artykułu, oraz kryteria, o których mowa w art. 42 ust. 5. Organy nadzorcze przekazują te wymogi i kryteria także Europejskiej Radzie Ochrony Danych. Gromadzi ona w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości w dziedzinie ochrony danych i udostępnia je opinii publicznej za pomocą odpowiednich środków.

 

 

 

 

 

 

7. Bez uszczerbku dla rozdziału VIII właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację podmiotu certyfikującego zgodnie z ust. 1 niniejszego artykułu, w przypadku gdy podmiot ten nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania podejmowane przez podmiot certyfikujący naruszają niniejsze rozporządzenie.

 

8. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 92 w celu doprecyzowania wymogów, które uwzględnia się w przypadku mechanizmów certyfikacji w dziedzinie ochrony danych, o których mowa w art. 42 ust. 1.

 

9. Komisja może przyjąć akty wykonawcze określające techniczne standardy mechanizmów certyfikacji oraz znaków jakości i oznaczeń w dziedzinie ochrony danych, a także sposoby upowszechniania i uznawania tych mechanizmów certyfikacji oraz znaków jakości i oznaczeń. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

T

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

N

 

 

 

 

N

 

 

Art. 9 ust. 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.  9 ust. 2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 16

 

 

 

 

 

 

Art.9 ust.2

 

Art. 13

 

Art. 9.1. Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych udziela Polskie Centrum Akredytacji.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 9. 2. Prezes Urzędu opracowuje kryteria akredytacji, uwzględniając wymogi określone w art. 43 ust. 2 rozporządzenia 2016/679 i udostępnia j na swojej stronie podmiotowej  Biuletynu Informacji Publicznej.

 

 

 

 

 

 

 

 

 

 

 

 

Art. 16. Przed udzieleniem certyfikacji lub jej przedłużeniem podmiot certyfikujący informuje Prezesa Urzędu o planowanym rozstrzygnięciu w celu umożliwienia mu wykonywania uprawnień, o których mowa w art. 58 ust. 2 lit h rozporządzenia 2016/679.

 

 

Art. 9. 2. Prezes Urzędu opracowuje kryteria akredytacji, uwzględniając wymogi określone w art. 43 ust. 2 rozporządzenia 2016/679 i udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej.

 

Art. 13. Prezes Urzędu zatwierdza kryteria certyfikacji i udostępnia je na swojej stronie podmiotowej Biuletynu Informacji Publicznej.

 

 ROZDZIAŁ V

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

 

Art. 44

 

 

Ogólna zasada przekazywania

 

Przekazanie danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, następuje tylko, gdy – z zastrzeżeniem innych przepisów niniejszego rozporządzenia – administrator i podmiot przetwarzający spełnią warunki określone w niniejszym rozdziale, w tym warunki dalszego przekazania danych z państwa trzeciego lub przez organizację międzynarodową do innego państwa trzeciego lub innej organizacji międzynarodowej. Wszystkie przepisy niniejszego rozdziału należy stosować z myślą o zapewnieniu, by nie został naruszony stopień ochrony osób fizycznych zagwarantowany w niniejszym rozporządzeniu.

 

N
Art.

45

 

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony

 

1. Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

 

2. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy:

a)        praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo – zarówno ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego ustawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej, orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;

b)        istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych – w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów – pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich; oraz

c)        międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.

 

3. Po dokonaniu oceny, czy stopień ochrony jest odpowiedni, Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony w rozumieniu ust. 2 niniejszego artykułu. W akcie wykonawczym przewiduje się mechanizm okresowego przeglądu – przynajmniej raz na cztery lata – podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej. W akcie wykonawczym zostaje określony terytorialny i sektorowy zakres jego zastosowania, a gdy ma to zastosowanie wskazany zostaje organ nadzorczy lub organy nadzorcze, o których mowa w ust. 2 lit. b) niniejszego artykułu. Akt wykonawczy zostaje przyjęty zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

4. Komisja na bieżąco monitoruje zmiany w państwach trzecich i organizacjach międzynarodowych mogące wpłynąć na obowiązywanie decyzji przyjętych na mocy ust. 3 niniejszego artykułu oraz decyzji przyjętych na podstawie art. 25 ust. 6 dyrektywy 95/46/WE.

 

5. Jeżeli dostępne informacje na to wskazują, w szczególności po przeglądzie, o którym mowa w ust. 3 niniejszego artykułu, Komisja przyjmuje decyzję stwierdzającą, że państwo trzecie – lub terytorium lub jeden lub więcej określonych sektorów w tym państwie trzecim – lub organizacja międzynarodowa przestały zapewniać odpowiedni stopień ochrony w rozumieniu ust. 2 niniejszego artykułu, i w niezbędnym zakresie uchyla, zmienia lub zawiesza decyzję, o której mowa w ust. 3 niniejszego artykułu, w drodze aktów wykonawczych bez mocy wstecznej. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja przyjmuje zgodnie z procedurą, o której mowa w art. 93 ust. 3 akty wykonawcze mające natychmiastowe zastosowanie.

 

6. Komisja podejmuje konsultacje z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji będącej przyczyną decyzji przyjętej na mocy ust. 5.

 

7. Decyzja przyjęta na mocy ust. 5 niniejszego artykułu pozostaje bez uszczerbku dla przekazywania danych osobowych do danego państwa trzeciego, terytorium lub określonego sektora lub określonych sektorów w tym państwie trzecim lub do danej organizacji międzynarodowej na mocy art. 46-49.

 

8. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak.

 

9. Decyzje przyjęte przez Komisję na mocy art. 25 ust. 6 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji przyjętą zgodnie z ust. 3 lub 5 niniejszego artykułu.

 

N

 

Art.

46

Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń

 

1. W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

 

2. Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

 

a)        prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;

 

b)        wiążących reguł korporacyjnych zgodnie z art. 47;

 

 

c)        standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;

 

 

d)        standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;

 

 

 

e)        zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub

 

f)         zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

 

3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa w ust. 1, można także zapewnić w szczególności za pomocą:

a)        klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub

b)        postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

 

4. W przypadkach, o których mowa w ust. 3 niniejszego artykułu, organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.

 

5. Zezwolenia wydane przez państwo członkowskie lub organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby przez ten organ. Decyzje przyjęte przez Komisję na mocy art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą zgodnie z ust. 2 niniejszego artykułu.

 

 

 

N

 

 

 

 

 

 

 

 

 

N

 

 

T

 

 

N

 

 

 

T

 

 

 

 

 

 

T

 

 

 

 

 

N

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 50  pkt 1

 

 

 

 

 

Art. 50 pkt 3

 

 

 

 

Art. 24 ust.4

 

 

 

 

 

 

 

 

 

 

Art. 50 pkt 3

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Prezes Urzędu w drodze decyzji:

1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679

 

 

 

 

 

Prezes Urzędu zatwierdza w drodze decyzji:

3) przyjmuje standardowe klauzule ochrony danych, o których mowa w art. 46 ust. 2 lit d rozporządzenia 2016/679

 

 

Art. 25.4.Prezes Urzędu zatwierdza kodeks postępowania.

 

 

 

 

 

 

 

 

 

 

 

Prezes Urzędu w drodze decyzji:

3) udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679

Art.

47

Wiążące reguły korporacyjne

 

1. Właściwy organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem spójności przewidzianym w art. 63, pod warunkiem że:

a)        są one prawnie wiążące oraz mają zastosowanie do każdego z członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w tym ich pracowników, i są przez każdego z tych członków egzekwowane;

b)        wyraźnie przyznają osobom, których dane dotyczą, egzekwowalne prawa w związku z przetwarzaniem ich danych osobowych; oraz

c)        spełniają wymogi określone w ust. 2.

 

 

2. W wiążących regułach korporacyjnych, o których mowa w ust. 1, określone zostają co najmniej:

a)        struktura i dane kontaktowe odnośnej grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i każdego z jej członków;

b)        jednorazowe lub wielokrotne przekazanie danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, rodzaje osób, których dane dotyczą, oraz nazwa danego państwa trzeciego lub danych państw trzecich;

c)        ich prawnie wiążący charakter, wewnętrzny i zewnętrzny;

d)        zastosowanie ogólnych zasad ochrony danych – w szczególności ograniczenia celu, minimalizacji danych, ograniczonych okresów przechowywania, jakości danych, uwzględnianie ochrony danych w fazie projektowania oraz domyślnej ochrony danych, podstawa prawna przetwarzania, przetwarzanie szczególnych kategorii danych osobowych, środki zapewniające bezpieczeństwo danych, wymogi w zakresie dalszego przekazywania podmiotom niezwiązanym wiążącymi regułami korporacyjnymi;

e)        prawa osób, których dane dotyczą, w związku z przetwarzaniem oraz sposoby wykonywania tych praw, w tym z prawa do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu – w tym profilowaniu – zgodnie z art. 22, prawa do wnoszenia skarg do właściwego organu nadzorczego i właściwych sądów państw członkowskich zgodnie z art. 79 oraz prawa do środka zaskarżenia, a w stosownych przypadkach – odszkodowania za naruszenie wiążących reguł korporacyjnych;

f)         przyjęcie przez administratora lub podmiot przetwarzający posiadających jednostki organizacyjnej na terytorium państwa członkowskiego odpowiedzialności prawnej za naruszenie wiążących reguł korporacyjnych przez odnośnego członka niemającego jednostki organizacyjne w Unii; administrator lub podmiot przetwarzający są zwolnieni z tej odpowiedzialności – w całości lub w części – wyłącznie, gdy udowodni, że członek ten nie ponosi odpowiedzialności za wydarzenie, które doprowadziło do powstania szkody;

g)        sposób, w jaki osobom, których dane dotyczą, podaje się – oprócz informacji, o których mowa w art. 13 i 14 – informacje o wiążących regułach korporacyjnych, w szczególności o postanowieniach, o których mowa w lit. d), e) i f) niniejszego ustępu;

h)        zadania inspektora ochrony danych wyznaczonego zgodnie z art. 37 lub innej osoby lub podmiotu odpowiedzialnych za monitorowanie przestrzegania wiążących reguł korporacyjnych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowanie szkoleń i rozpatrywanie skarg;

i)         procedury dotyczące skarg;

j)         stosowane w grupie przedsiębiorstw lub w grupie przedsiębiorców prowadzących wspólną działalność gospodarczą mechanizmy zapewniające weryfikację przestrzegania wiążących reguł korporacyjnych. Mechanizmy takie obejmują audyty w zakresie ochrony danych oraz metody zapewniania działań naprawczych mających chronić prawa osób, których dane dotyczą. Wyniki takiej weryfikacji powinny być przekazywane osobie lub podmiotowi, o których mowa w lit. h), oraz zarządowi przedsiębiorstwa sprawującego kontrolę w grupie przedsiębiorstw lub organowi kierującemu grupą przedsiębiorców prowadzących wspólną działalność gospodarczą i powinny być dostępne na żądanie właściwego organu nadzorczego;

k)        mechanizmy zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu;

l)         mechanizm współpracy z organem nadzorczym zapewniający przestrzeganie zasad przez wszystkich członków grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą, w szczególności poprzez udostępnianie organowi nadzorczemu wyników weryfikacji środków, o której mowa w lit. j);

m)       mechanizm zgłaszania właściwemu organowi nadzorczemu wszelkich wymogów prawnych, którym podlega w państwie trzecim członek grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą i które mogą mieć istotny niekorzystny wpływ na gwarancje przewidziane w wiążących regułach korporacyjnych; oraz

n)        właściwe szkolenia z zakresu ochrony danych dla personelu mającego stały lub regularny dostęp do danych osobowych.

 

3. Komisja może określić format i procedury wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi dotyczących wiążących reguł korporacyjnych w rozumieniu niniejszego artykułu. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

Art. 50 pkt 1

 

 

Art.50. Prezes Urzędu w drodze decyzji:

1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679

Art.

48

Przekazywanie lub ujawnienie niedozwolone na mocy prawa Unii

 

Wyrok sądu lub trybunału oraz decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego przekazania lub ujawnienia danych osobowych mogą zostać uznane lub być egzekwowalne wyłącznie, gdy opierają się na umowie międzynarodowej, takiej jak umowa o wzajemnej pomocy prawnej, obowiązującej między wzywającym państwem trzecim a Unią lub państwem członkowskim, bez uszczerbku dla innych podstaw przekazania na mocy niniejszego rozdziału.

 

N
Art.

49

Wyjątki w szczególnych sytuacjach

 

1. W razie braku decyzji stwierdzającej odpowiedni stopień ochrony określonej w art. 45 ust. 3 lub braku odpowiednich zabezpieczeń określonych w art. 46, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że:

a)        osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

b)        przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą;

c)        przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną;

d)        przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

e)        przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

f)         przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub

g)        przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego.

Jeżeli przekazanie nie może się opierać na art. 45 ani 46, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z wyjątków mających zastosowanie w szczególnych sytuacjach zgodnie z akapitem pierwszym niniejszego ustępu, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

 

2. Przekazanie na mocy ust. 1 akapit pierwszy lit. g) nie obejmuje całości danych osobowych ani całych kategorii danych osobowych zawartych w rejestrze. Jeżeli rejestr jest dostępny dla osób mających prawnie uzasadniony interes, przekazanie następuje wyłącznie na żądanie tych osób lub gdy mają one być odbiorcami.

 

3. Ust. 1 akapit pierwszy lit. a), b), c) oraz ust. 1 akapit drugi tego ustępu nie mają zastosowania do działalności prowadzonej przez organy publiczne w ramach wykonywania przysługujących im uprawnień publicznych.

 

4. Interes publiczny, o którym mowa w ust. 1 akapit pierwszy lit. d), musi być uznany w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator.

 

5. W razie braku decyzji stwierdzającej odpowiedni stopień ochrony prawo Unii lub prawo państwa członkowskiego może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych osobowych do państwa trzeciego lub organizacji międzynarodowej. Państwa członkowskie powiadamiają Komisję o takich przepisach.

 

6. Administrator lub podmiot przetwarzający dokumentują ocenę oraz odpowiednie zabezpieczenia, o których mowa w ust. 1 akapit drugi niniejszego artykułu, w rejestrach, o których mowa w art. 30.

 

N
Art.

50

Międzynarodowa współpraca na rzecz ochrony danych osobowych

 

Komisja i organy nadzorcze podejmują wobec państw trzecich i organizacji międzynarodowych odpowiednie działania na rzecz:

a)        wypracowania mechanizmów współpracy międzynarodowej ułatwiających skuteczne egzekwowanie przepisów o ochronie danych osobowych;

b)        zapewnienia wzajemnej pomocy międzynarodowej w egzekwowaniu przepisów o ochronie danych osobowych, w tym poprzez powiadomienia, przekazywanie skarg, pomoc w postępowaniu wyjaśniającym oraz wymianę informacji – z zastrzeżeniem odpowiednich zabezpieczeń ochrony danych osobowych i innych podstawowych praw i wolności;

c)        włączenia stosownych podmiotów, których sprawa dotyczy, w dyskusję i działalność mające na celu upowszechnianie międzynarodowej współpracy w dziedzinie egzekwowania przepisów o ochronie danych osobowych;

d)        upowszechniania wymiany i dokumentowania przepisów i praktyk w dziedzinie ochrony danych osobowych, w tym konfliktów jurysdykcyjnych z państwami trzecimi.

 

N
ROZDZIAŁ VI

Niezależne organy nadzorcze

 

Sekcja 1

Niezależny status

Art. 51

 

Organ nadzorczy

 

1. Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej “organem nadzorczym”).

 

 

 

 

 

 

 

 

 

 

2. Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszego rozporządzenia w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją zgodnie z rozdziałem VII.

 

3. Jeżeli w państwie członkowskim ustanowiono więcej niż jeden organ nadzorczy, państwo to wskazuje, który z nich ma reprezentować te organy w Europejskiej Radzie Ochrony Danych, oraz ustala mechanizm zapewniający przestrzeganie przez pozostałe organy przepisów o mechanizmie spójności, o którym mowa w art. 63.

 

4. Do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o przepisach przyjętych na mocy niniejszego rozdziału, a następnie niezwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

 

 

 

T

 

 

Art.

29 ust. 1 i 2

 

1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

2. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 i dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).

 

Art. 52 Niezależność

 

1. Każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny.

2. Członek lub członkowie każdego organu nadzorczego podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem pozostają wolni od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwracają się do nikogo o instrukcje ani ich od nikogo nie przyjmują.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Członek lub członkowie każdego organu nadzorczego powstrzymują się od wszelkich czynności sprzecznych ze swoimi obowiązkami i podczas swojej kadencji nie podejmują żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Każde państwo członkowskie zapewnia, by każdy organ nadzorczy dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień, w tym w zakresie wzajemnej pomocy, współpracy i uczestnictwa w pracach Europejskiej Rady Ochrony Danych.

5. Każde państwo członkowskie zapewnia, by każdy organ nadzorczy wybierał i posiadał własny personel, działający pod wyłącznym kierownictwem członka lub członków danego organu nadzorczego.

 

 

 

 

 

 

6. Każde państwo członkowskie zapewnia, by każdy organ nadzorczy podlegał kontroli finansowej w sposób nienaruszający jego niezależności oraz dysponował odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu państwowego lub krajowego.

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

Art. 29 ust. 3, 5 i 9

 

Art. 33 ust. 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 32

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.

42

 

Art. 29. 3. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

 

 

5. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko ustawie.

 

9. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:

1)        zrzekł się stanowiska;

2)        stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;

3)        sprzeniewierzył się ślubowaniu;

4)        został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;

5) złożył niezgodne z prawdą oświadczenie lustracyjne, stwierdzone prawomocnym orzeczeniem sądu.

 

 

Art. 33. 1. 1. Prezes Urzędu nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.

 

 

Art. 32.1. Prezes Urzędu nie może zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.

2. Prezes Urzędu nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.

3. Przepisy ust. 1 i 2 stosuje się odpowiednio do zastępców Prezesa Urzędu.

 

 

Art. 42.1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.

2. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:

1)        organizację Urzędu,

2)        zakres zadań swoich zastępców,

3)        zakres zadań i tryb pracy komórek organizacyjnych Urzędu

– mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.

 

Art.

53

Ogólne warunki dotyczące członków organu nadzorczego

 

1. Państwa członkowskie zapewniają, by każdy członek ich organów nadzorczych był powoływany w drodze przejrzystej procedury przez:

–          ich parlament,

–          ich rząd,

–          ich głowę państwa, lub

–          niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Każdy członek musi posiadać kwalifikacje, doświadczenie i umiejętności – w szczególności w dziedzinie ochrony danych osobowych – potrzebne do wypełniania swoich obowiązków i wykonywania swoich uprawnień.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. W razie upływu kadencji, rezygnacji lub przymusowego pozbawienia funkcji członek organu przestaje pełnić swoje obowiązki zgodnie z prawem danego państwa członkowskiego.

4. Członek może zostać odwołany ze stanowiska tylko w przypadku, gdy dopuścił się poważnego uchybienia lub przestał spełniać warunki niezbędne do pełnienia obowiązków.

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

Art.

29 ust. 3

Art. 31

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.

29 ust. 4

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.

29 ust. 8 – 10

 

 

Art. 29. 3. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

 

Art. 31.1. Prezes Urzędu wykonuje swoje zadania przy pomocy  trzech zastępców.

2. Na wniosek ministra właściwego do spraw informatyzacji Prezes Urzędu powołuje dwóch zastępców. Odwołanie zastępcy następuje w tym samym trybie.

3. Na wniosek ministra właściwego do spraw wewnętrznych Prezes Urzędu powołuje jednego zastępcę.

4. Wniosek, o którym mowa w ust. 3, minister właściwy do spraw wewnętrznych przekazuje celem zaopiniowania  Ministrowi Sprawiedliwości – Prokuratorowi Generalnemu, Ministrowi Obrony Narodowej oraz ministrowi właściwemu do spraw finansów publicznych.

5. Odwołanie zastępcy powołanego na wniosek ministra właściwego do spraw wewnętrznych następuje w  trybie, o którym mowa w ust. 3 i 4.

6. Na zastępcę Prezesa Urzędu może być powołana osoba, która:

1)  jest obywatelem polskim;

2) posiada wyższe wykształcenie;

3) przez okres co najmniej czterech lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;

4)  korzysta z pełni praw publicznych;

6) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.

7. Zastępca Prezesa Urzędu powołany na wniosek ministra spraw wewnętrznych powinien również posiadać doświadczenie związane z realizacją zadań przez służby odpowiedzialne za zapewnienie bezpieczeństwa państwa i porządku publicznego.

 

 

 

4. Na stanowisko Prezesa Urzędu może być powołana osoba, która:

1)        jest obywatelem polskim;

2)        posiada wyższe wykształcenie;

3)        wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;

4)        przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;

5)        korzysta z pełni praw publicznych;

6)        nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.

7)          posiada nieskazitelny charakter

 

 

8. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.

9. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:

1)        zrzekł się stanowiska;

2)        stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;

3)        sprzeniewierzył się ślubowaniu;

4)        został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;

5) złożył niezgodne z prawdą oświadczenie lustracyjne, stwierdzone prawomocnym orzeczeniem sądu.

10. W przypadku odwołania lub wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Marszałka Sejmu.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.

54

Zasady ustanawiania organu nadzorczego

 

1. Każde państwo członkowskie określa w swoich przepisach prawnych wszystkie poniższe elementy:

 

a)        ustanowienie każdego z organów nadzorczych;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

b)        kwalifikacje i warunki wyboru wymagane do powołania na stanowisko członka każdego z organów nadzorczych;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

c)        zasady i procedury powoływania członka lub członków każdego z organów nadzorczych;

 

 

 

d)        okres kadencji członka lub członków każdego z organów nadzorczych – nie krótszy niż cztery lata, z wyjątkiem pierwszej kadencji po dniu 24 maja 2016 r., która może częściowo trwać krócej, jeżeli jest to niezbędne, aby chronić niezależność organu nadzorczego w drodze procedury stopniowej wymiany członków;

 

 

e)        czy członek lub członkowie każdego z organów nadzorczych mogą zostać powołani ponownie, a jeżeli tak – na ile kadencji;

 

 

 

f)         zasady regulujące obowiązki członka lub członków oraz personelu każdego z organów nadzorczych, zakaz podejmowania działań, zajęć i czerpania korzyści – w trakcie kadencji oraz po jej zakończeniu – sprzecznych z tymi zobowiązaniami, a także przepisy regulujące ustanie stosunku pracy.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Członek lub członkowie oraz personel każdego z organów nadzorczych podlegają zgodnie z prawem Unii lub prawem państwa członkowskiego obowiązkowi zachowania tajemnicy służbowej – w trakcie kadencji oraz po jej zakończeniu – w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wypełniania zadań lub wykonywania swoich uprawnień. Obowiązek zachowania tajemnicy służbowej w trakcie ich kadencji dotyczy w szczególności sytuacji, w których osoby fizyczne zgłaszają naruszenia niniejszego rozporządzenia.

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

T

 

 

 

 

 

 

T

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

Art. 29 ust. 1 – 3

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.

29 ust. 4

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 29 ust. 6

 

 

 

 

Art. 29 ust. 7

 

 

 

Art. 32

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 42

 

 

 

 

1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

2. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 i dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).

3. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

 

 

 

 

 

 

4. Na stanowisko Prezesa Urzędu może być powołana osoba, która:

1)        jest obywatelem polskim;

2)        posiada wyższe wykształcenie;

3)        wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;

4)        przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;

5)        korzysta z pełni praw publicznych;

6)        nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;

7)         posiada nieskazitelny charakter.

 

 

 

 

 

 

6. Kadencja Prezesa Urzędu trwa 4 lata od dnia złożenia ślubowania. Prezes Urzędu wykonuje swoje obowiązki do czasu objęcia stanowiska przez nowego Prezesa Urzędu.

 

 

 

7. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje.

 

 

 

Art. 32.1. Prezes Urzędu nie może zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.

2. Prezes Urzędu nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.

3. Przepisy ust. 1 i 2 stosuje się odpowiednio do zastępców Prezesa Urzędu.

 

 

Art. 42.1. Prezes Urzędu, zastępcy Prezesa Urzędu a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych.

2. Obowiązek zachowania w tajemnicy informacji, o których mowa w ust. 1, nie może być ograniczony w czasie i trwa także po zakończeniu kadencji albo zatrudnienia.

 

 

 

 Sekcja 2

Właściwość, zadania i uprawnienia

Art.

55

 

Właściwość

 

1. Każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego.

2. Jeżeli przetwarzania dokonują organy publiczne lub podmioty prywatne działające na podstawie art. 6 ust. 1 lit. c) lub e), organem właściwym jest organ nadzorczy danego państwa członkowskiego. W takich przypadkach art. 56 nie ma zastosowania.

3. Organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości.

 

T Art. 29 1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

2. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 i dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).

Art.

56

Właściwość wiodącego organu nadzorczego

 

1. Bez uszczerbku dla art. 55 organ nadzorczy głównej lub pojedynczej jednostki organizacyjnej administratora lub podmiotu przetwarzającego jest właściwy do podejmowania działań jako wiodący organ nadzorczy – zgodnie z procedurą przewidzianą w art. 60 – względem transgranicznego przetwarzania dokonywanego przez tego administratora lub ten podmiot przetwarzający.

2. W drodze wyjątku od ust. 1 każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono, lub zajęcia się ewentualnym naruszeniem niniejszego rozporządzenia, jeżeli sprawa dotyczy wyłącznie jednostki organizacyjnej w jego państwie członkowskim lub znacznie wpływa na osoby, których dane dotyczą, wyłącznie w jego państwie członkowskim.

 

3. W przypadkach, o których mowa w ust. 2 niniejszego artykułu, organ nadzorczy niezwłocznie informuje o danej sprawie wiodący organ nadzorczy. W terminie trzech tygodni od otrzymania informacji wiodący organ nadzorczy postanawia, czy zajmie się daną sprawą zgodnie z procedurą przewidzianą w art. 60, uwzględniając, czy w państwie członkowskim, którego organ nadzorczy przekazał mu informacje, znajduje się jednostka organizacyjna administratora lub podmiotu przetwarzającego.

 

4. Jeżeli wiodący organ nadzorczy postanowi zająć się daną sprawą, zastosowanie ma procedura przewidziana w art. 60. Organ nadzorczy, który przekazał informacje wiodącemu organowi nadzorczemu, może przedłożyć temu organowi projekt decyzji. Wiodący organ nadzorczy w jak największym stopniu uwzględnia ten projekt, przygotowując projekt decyzji, o którym mowa w art. 60 ust. 3.

 

5. Jeżeli wiodący organ nadzorczy postanowi nie zajmować się daną sprawą, sprawą zajmuje się – zgodnie z art. 61 i 62 – organ nadzorczy, który przekazał informacje wiodącemu organowi nadzorczemu.

 

6. Administrator lub podmiot przetwarzający komunikują się w sprawie dokonywanego przez nich transgranicznego przetwarzania jedynie z wiodącym organem nadzorczym.

 

N
Art.

57

Zadania

 

1. Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:

 

a)        monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;

 

b)        upowszechnia w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk. Szczególną uwagę poświęca działaniom skierowanym do dzieci;

 

c)        doradza, zgodnie z prawem państwa członkowskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem;

 

d)        upowszechnia wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia;

 

e)        udziela osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących im na mocy niniejszego rozporządzenia, a w stosownym przypadku współpracuje w tym celu z organami nadzorczymi innych państw członkowskich;

 

f)         rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym;

 

 

g)        współpracuje z innymi organami nadzorczymi, w tym dzieli się informacjami oraz świadczy wzajemną pomoc, w celu zapewnienia spójnego stosowania i egzekwowania niniejszego rozporządzenia;

 

h)        prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;

 

 

 

i)         monitoruje zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitoruje rozwój technologii informacyjno-komunikacyjnych i praktyk handlowych;

 

 

 

j)         przyjmuje standardowe klauzule umowne, o których mowa w art. 28 ust. 8 i art. 46 ust. 2 lit. d);

 

 

 

 

 

 

 

 

 

 

k)        ustanawia i prowadzi wykaz związany z wymogiem dokonania oceny skutków dla ochrony danych na mocy art. 35 ust. 4;

 

 

 

 

 

 

 

l)         udziela zaleceń, o których mowa w art. 36 ust. 2, dotyczących operacji przetwarzania;

 

 

m)       zachęca do sporządzania kodeksów postępowania zgodnie z art. 40 ust. 1, wydaje opinie na ich temat oraz zatwierdza te kodeksy, w których znajdują się odpowiednie zabezpieczenia, na mocy art. 40 ust. 5;

 

 

 

n)        zachęca do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń z tej dziedziny zgodnie z art. 42 ust. 1, a także zatwierdza kryteria certyfikacji zgodnie z art. 42 ust. 5;

 

 

o)        gdy ma to zastosowanie – zgodnie z art. 42 ust. 7 dokonuje okresowego przeglądu udzielonych certyfikacji;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

p)        opracowuje i publikuje kryteria akredytacji podmiotu monitorującego kodeksy postępowania na mocy art. 41 oraz podmiotu certyfikującego na mocy art. 43;

 

 

 

 

 

q)        akredytuje podmiot monitorujący kodeksy postępowania na mocy art. 41 oraz podmiot certyfikujący na mocy art. 43;

 

 

 

 

 

 

 

r)         wydaje zezwolenia na klauzule umowne i przepisy, o których mowa w art. 46 ust. 3;

 

 

 

 

s)        zatwierdza wiążące reguły korporacyjne na mocy art. 47;

 

 

 

 

 

t)         bierze udział w pracach Europejskiej Rady Ochrony Danych;

 

 

 

u)        prowadzi wewnętrzny rejestr naruszeń niniejszego rozporządzenia i działań podjętych zgodnie z art. 58 ust. 2; oraz

 

 

v)        wypełnia inne zadania związane z ochroną danych osobowych.

 

2. Każdy organ nadzorczy ułatwia wnoszenie skarg, o których mowa w ust. 1 lit. f), za pomocą takich środków, jak gotowy formularz skargi, który można również wypełnić elektronicznie, co nie wyklucza innych sposobów komunikacji.

 

3. Każdy organ nadzorczy wypełnia zadania na rzecz osoby, której dane dotyczą, i – gdy ma to zastosowanie – inspektora ochrony danych bezpłatnie.

 

4. Jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, w szczególności ze względu na swą powtarzalność, organ nadzorczy może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych lub może odmówić podjęcia żądanych działań. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym.

 

 

 

 

 

 

N

 

N

 

 

 

 

T

 

 

 

 

 

N

 

 

 

N

 

 

 

 

T

 

 

 

 

 

 

 

N

 

 

 

T

 

 

 

 

 

N

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

N

 

 

 

T

 

 

 

 

 

N

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

T

 

 

 

 

 

N

 

 

 

N

 

 

 

N

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

Art. 45

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 54

 

 

 

 

 

 

 

 

 

 

Art.

54

 

 

 

 

 

 

 

 

Art.

47 pkt 1

 

 

 

 

Art. 50 pkt 3

 

 

 

Art. 49

 

 

 

 

 

 

 

 

 

 

 

Art. 24 ust. 4

 

 

 

Art. 19 ust 2 i 3

 

Art. 21 ust. 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 13

 

 

 

 

Art. 25

 

 

 

 

 

 

 

Art. 50 pkt 3

 

 

 

 

Art.50 pkt 1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 45. Prezes Urzędu opiniuje założenia i projekty aktów prawnych dotyczące ochrony danych osobowych.

 

 

 

 

 

 

 

 

 

 

 

 

1. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

 

 

 

 

 

 

 

1. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

 

 

 

 

 

 

Art. 47. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

1)        standardowe klauzule umowne, o których mowa w art. 28 ust. 8 rozporządzenia 2016/679;

 

Art. 50..Prezes Urzędu w drodze decyzji:

3)        przyjmuje standardowe klauzule ochrony danych, o których mowa w art. 46 ust. 2 lit d rozporządzenia 2016/679;

 

 

1. Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679.

2. Komunikat, o którym mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

 

 

 

 

 

 

 

Art. 24.4. .Prezes Urzędu zatwierdza kodeks postępowania.

 

 

 

Art. 19. 2. W przypadku stwierdzenia, że  administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek przestał spełniać kryteria certyfikacji, Prezes Urzędu albo podmiot certyfikujący, cofa certyfikację.

3. Cofnięcie certyfikacji przez Prezesa Urzędu następuję w drodze decyzji. W decyzji Prezes Urzędu wskazuje przyczyny cofnięcia certyfikacji.

 

Art. 21. 1 Prezes Urzędu w terminie, o którym mowa w art. 15 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora,  podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek,  w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

 

 

 

 

 

Art. 13. Prezes Urzędu zatwierdza kryteria certyfikacji i udostępnia na swojej stronie podmiotowej  Biuletynu Informacji Publicznej.

 

 

Art. 25. Monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, zajmuje się podmiot akredytowany przez Prezesa Urzędu zgodnie z kryteriami określonymi w art. 41 ust. 2 rozporządzenia 2016/679.

 

 

 

Art. 50.  Prezes Urzędu w drodze decyzji:

3) udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679

 

 

 

 

Art. 50. Prezes Urzędu w drodze decyzji:

1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 40 rozporządzenia 2016/679

 

Art.

58

Uprawnienia

 

1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

 

a)        nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

 

b)        prowadzenie postępowań w formie audytów ochrony danych;

 

 

 

c)        dokonywanie przeglądu udzielonych certyfikacji na mocy art. 42 ust. 7;

 

 

 

 

 

 

 

 

 

 

d)        zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia;

 

 

e)        uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

f) uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze:

 

a)        wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

 

 

b)        udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

 

 

c)        nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

 

d)        nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

 

e)        nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

 

f)         wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

 

 

g)        nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

 

h)        cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji udzielonej na mocy art. 42 lub 43, lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

 

 

i)         zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy;

 

j)         nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

 

 

3. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie wydawania zezwoleń i uprawnienia doradcze:

 

a)        udzielanie porad administratorowi zgodnie z procedurą uprzednich konsultacji, o której mowa w art. 36;

 

b)        wydawanie, z własnej inicjatywy lub na wniosek, opinii przeznaczonych dla parlamentu narodowego, rządu państwa członkowskiego lub – zgodnie z prawem państwa członkowskiego – innych instytucji i organów oraz ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych;

 

 

c)        zezwalanie na przetwarzanie zgodnie z art. 36 ust. 5, jeżeli prawo państwa członkowskiego wymaga takiego uprzedniego zezwolenia;

 

 

d)        opiniowanie i zatwierdzanie projektów kodeksów postępowania zgodnie z art. 40 ust. 5;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

e)        akredytowanie na mocy art. 43 podmiotów certyfikujących;

 

 

 

f)         udzielanie certyfikacji i zatwierdzanie kryteriów certyfikacji zgodnie z art. 42 ust. 5;

 

 

 

 

 

 

 

 

 

g)        przyjmowanie standardowych klauzul ochrony danych, o których mowa w art. 28 ust. 8 i art. 46 ust. 2 lit. d);

 

 

 

 

 

 

 

 

 

 

 

 

h)        zezwalanie na klauzule umowne, o których mowa w art. 46 ust. 3 lit. a);

i)         zezwalanie na uzgodnienia administracyjne, o których mowa w art. 46 ust. 3 lit. b);

 

 

 

 

j)         zatwierdzanie wiążących reguł korporacyjnych na mocy art. 47.

 

 

 

 

 

4. Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom – w tym prawu do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z Kartą praw podstawowych.

 

5. Każde państwo członkowskie przewiduje w swoich przepisach, że jego organ nadzorczy jest uprawniony do wniesienia do organów wymiaru sprawiedliwości sprawy dotyczącej naruszenia niniejszego rozporządzenia oraz w stosownych przypadkach do wszczęcia lub do uczestniczenia w inny sposób w postępowaniu sądowym w celu wyegzekwowania stosowania przepisów niniejszego rozporządzenia.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6. Każde państwo członkowskie może przewidzieć w swoich przepisach, że jego organowi nadzorczemu przysługują poza uprawnieniami określonymi w ust. 1, 2 i 3 także inne uprawnienia. Wykonywanie tych uprawnień nie może utrudniać skutecznego stosowania przepisów rozdziału VII.

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

T

 

 

 

 

 

 

 

 

 

 

N

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

N

 

 

 

 

N

 

 

N

 

 

 

N

 

 

 

N

 

 

 

 

T

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

N

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

T

 

 

 

 

 

 

N

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 21 ust. 1

 

 

 

 

 

 

 

 

 

 

 

 

Art. 57

Art. 58

 

Art. 52

 

Art.  80

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 16

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 24

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art.. 13

Art. 14

 

 

 

 

 

 

 

Art. 47. pkt 1

 

 

Art.

50 pkt 2

 

 

 

 

 

 

Art. 50 pkt

3

 

 

 

 

Art. 50 pkt 1

 

 

 

 

 

 

 

 

 

 

Art.92

Art. 93

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 47

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 21.1 Prezes Urzędu w terminie, o którym mowa w art. 15 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora,  podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek,  w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

 

 

 

 

 

Art. 57. Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.

 

Art. 58. W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.

 

Art. 80.1. Kontrolujący ma prawo:

1)        wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;

2)        wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;

3)        przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

4)        żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

5) zlecać sporządzanie ekspertyz i opinii.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 16. Przed udzieleniem certyfikacji lub jej przedłużeniem podmiot certyfikujący informuje Prezesa Urzędu o planowanym rozstrzygnięciu w celu umożliwienia mu wykonywania uprawnień, o których mowa w art. 58 ust. 2 lit h rozporządzenia 2016/679.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 24.1. Kodeks postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, sporządza się po przeprowadzeniu konsultacji z zaineresowanymi podmiotami, w tym w szczególności, jeżeli jest to możliwe, z osobami, których dane dotyczą.

2. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się Prezesowi Urzędu wraz z kodeksem postępowania.

3. W przypadku uznania przez Prezesa Urzędu zakresu konsultacji za niewystarczający, wyzywa on podmiot do przeprowadzenia ponownych konsultacji, wskazując ich zakres.

4. Prezes Urzędu zatwierdza kodeks postępowania.

5. Stroną postępowania w sprawie zatwierdzenia kodeksu postępowania jest wyłącznie wnioskodawca występujący z wnioskiem o zatwierdzenie kodeksu. Przepisu art. 31 ustawy z dnia 14 czerwca 1960 r. –  Kodeks postępowania administracyjnego, nie stosuje się.

 

 

 

 

Art. 13. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu i podmioty akredytowane przez Polskie Centrum Akredytacji, zwane dalej “podmiotami certyfikującymi”

Art. 13. Prezes Urzędu zatwierdza kryteria certyfikacji i udostępnia je w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

 

 

Art. 47. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

1)        standardowe klauzule umowne, o których mowa w art. 28 ust. 8 rozporządzenia 2016/679;

 

 

Art. 51. Prezes Urzędu w drodze decyzji:

2) przyjmuje standardowe klauzule ochrony danych, o których mowa w art. 46 ust. 2 lit d rozporządzenia 2016/679

 

 

 

 

Art. 50. Prezes Urzędu w drodze decyzji:

3) udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679

 

 

 

 

Art. 50. Prezes Urzędu w drodze decyzji:

1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 40 rozporządzenia 2016/679

 

 

 

 

 

 

 

 

 

Art. 92.W sprawach cywilnych, których przedmiotem jest ochrona danych osobowych, Prezes Urzędu może z urzędu lub na wniosek strony:

1) żądać wszczęcia postepowania,

2) brać udział w toczącym się postępowaniu

– na prawach przysługujących prokuratorowi.

Art. 93 Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawach, których przedmiotem jest ochrona danych osobowych.

 

 

 

 

 

 

Art. 47.1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

2. Prezes Urzędu może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania

 

 

Art. 59 Sprawozdanie z działalności

 

Każdy organ nadzorczy sporządza roczne sprawozdanie ze swojej działalności, w którym może wyszczególnić rodzaje zgłoszonych mu naruszeń i rodzaje środków podjętych zgodnie z art. 58 ust. 2. Sprawozdania te są przekazywane parlamentowi narodowemu, rządowi i innym organom wskazanym prawem państwa członkowskiego. Są one udostępniane opinii publicznej, Komisji oraz Europejskiej Radzie Ochrony Danych.

 

T Art. 44 Art. 44. Prezes Urzędu raz w roku do dnia 31 sierpnia przedstawia Sejmowi, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności, zawierające w szczególności informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych.

 

ROZDZIAŁ VII

WSPÓŁPRACA I SPÓJNOŚĆ

Sekcja 1

Współpraca

Art.

60

 

 

Współpraca między wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczy

1. Wiodący organ nadzorczy współpracuje z innymi organami nadzorczymi, których sprawa dotyczy, zgodnie z niniejszym artykułem w celu osiągnięcia porozumienia. Wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, wymieniają się wszelkimi stosownymi informacjami.

 

2. Wiodący organ nadzorczy może w dowolnym momencie zwrócić się do innych organów nadzorczych, których sprawa dotyczy, o wzajemną pomoc zgodnie z art. 61 i może prowadzić wspólne operacje zgodnie z art. 62, w szczególności w celu przeprowadzenia postępowania lub monitorowania wdrażania środka dotyczącego administratora lub podmiotu przetwarzającego posiadającego jednostkę organizacyjną w innym państwie członkowskim.

 

3. Wiodący organ nadzorczy niezwłocznie przekazuje innym organom nadzorczym, których sprawa dotyczy, stosowne informacje dotyczące danej sprawy. Niezwłocznie przedkłada innym organom, których sprawa dotyczy, nadzorczym projekt decyzji w celu uzyskania ich opinii i należytego uwzględnienia ich uwag.

 

4. Jeżeli w terminie czterech tygodni od otrzymania wniosku o opinię zgodnie z ust. 3 niniejszego artykułu inny organ nadzorczy, którego sprawa dotyczy, zgłosi mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji, wiodący organ nadzorczy – jeżeli nie przychyla się do mającego znaczenie dla sprawy i uzasadnionego sprzeciwu lub sądzi, że sprzeciw nie ma znaczenia dla sprawy lub nie jest uzasadniony -przekazuje sprawę w ramach mechanizmu spójności, o którym mowa w art. 63.

 

5. Jeżeli wiodący organ nadzorczy zamierza przychylić się do zgłoszonego mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, przedkłada innym organom nadzorczym, których sprawa dotyczy, zmieniony projekt decyzji w celu uzyskania ich opinii. Zmieniony projekt decyzji jest poddawany procedurze, o której mowa w ust. 4, w terminie dwóch tygodni.

 

6. Jeżeli w terminie, o którym mowa w ust. 4 i 5, żaden inny organ nadzorczy, którego sprawa dotyczy, nie zgłosi sprzeciwu wobec projektu decyzji przedłożonego przez wiodący organ nadzorczy, uznaje się, że wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się w sprawie projektu decyzji i są nią związane.

 

7. Wiodący organ nadzorczy przyjmuje decyzję i doręcza ją odpowiednio głównej lub pojedynczej jednostce organizacyjnej administratora lub podmiotu przetwarzającego oraz informuje o decyzji inne organy nadzorcze, których sprawa dotyczy, i Europejską Radę Ochrony Danych, dołączając streszczenie stanu faktycznego i powodów decyzji. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o decyzji.

 

8. W drodze wyjątku od ust. 7, jeżeli skarga zostaje oddalona lub odrzucona, organ nadzorczy, do którego wniesiono skargę, przyjmuje decyzję i doręcza ją skarżącemu oraz informuje o niej administratora.

 

9. Jeżeli wiodący organ nadzorczy i organy nadzorcze, których sprawa dotyczy, porozumiały się co do oddalenia lub odrzucenia części skargi oraz co do podjęcia działań względem innych części tej skargi, dla każdej z tych części przyjmuje się odrębną decyzję. Wiodący organ nadzorczy przyjmuje decyzję w sprawie części dotyczącej działań względem administratora i doręcza ją głównej lub pojedynczej jednostce organizacyjnej administratora lub podmiotu przetwarzającego na terytorium swojego państwa członkowskiego i informuje o niej skarżącego, a organ nadzorczy skarżącego przyjmuje decyzję w sprawie części dotyczącej oddalenia lub odrzucenia tej skargi, doręcza ją skarżącemu oraz informuje o niej administratora lub podmiot przetwarzający.

 

10. Po doręczeniu administratorowi lub podmiotowi przetwarzającemu decyzji wiodącego organu nadzorczego zgodnie z ust. 7 i 9, podejmują oni niezbędne działania, by zastosować się do tej decyzji, jeżeli chodzi o czynności przetwarzania w ramach wszystkich swoich jednostek organizacyjnych w Unii. Administrator lub podmiot przetwarzający zawiadamiają wiodący organ nadzorczy o działaniach podjętych w celu zastosowania się do decyzji, ten zaś informuje o nich inne organy nadzorcze, których sprawa dotyczy.

 

11. Jeżeli w wyjątkowych okolicznościach organ nadzorczy, którego sprawa dotyczy, ma powody sądzić, że istnieje pilna potrzeba podjęcia działań w celu ochrony interesów osób, których dane dotyczą, zastosowanie ma tryb pilny, o którym mowa w art. 66.

 

12. Wiodący organ nadzorczy i inne organy nadzorcze, których sprawa dotyczy, dostarczają sobie nawzajem informacji wymaganych na mocy niniejszego artykułu drogą elektroniczną w standardowym formacie.

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

N

 

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

 

N

 

 

 

 

 

N

 

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

N

Art.

61

Wzajemna pomoc

 

1. Organy nadzorcze przekazują sobie stosowne informacje i świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania niniejszego rozporządzenia oraz wprowadzają środki na rzecz skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i przeprowadzenie uprzednich konsultacji oraz o przeprowadzenie kontroli i postępowań wyjaśniających.

 

2. Każdy organ nadzorczy podejmuje wszelkie odpowiednie środki, by odpowiedzi na wniosek innego organu nadzorczego udzielić bez zbędnej zwłoki i nie później niż w terminie miesiąca od otrzymania wniosku. Środki takie mogą obejmować w szczególności przekazanie stosownych informacji o przebiegu postępowania.

 

3. Wniosek o pomoc zawiera wszelkie niezbędne informacje, w tym cel i uzasadnienie wniosku. Uzyskane informacje są wykorzystywane wyłącznie do celu, w którym o nie wystąpiono.

 

4. Wezwany organ nadzorczy nie może odmówić wykonania wniosku, chyba że:

a)        nie jest organem właściwym w przedmiocie wniosku lub środków, o których wykonanie wystąpiono; lub

b)        wykonanie wniosku stanowiłoby naruszenie niniejszego rozporządzenia, prawa Unii lub prawa państwa członkowskiego, któremu podlega wezwany organ nadzorczy.

5. Wezwany organ nadzorczy informuje wzywający organ nadzorczy, od którego wniosek pochodzi, o rezultatach lub w stosownym przypadku o postępach lub środkach zastosowanych w związku z tym wnioskiem. Wezwany organ nadzorczy uzasadnia odmowę wykonania wniosku na mocy ust. 4.

 

6. Wezwane organy nadzorcze przekazują informacje żądane przez inne organy nadzorcze zasadniczo drogą elektroniczną w standardowym formacie.

 

7. Wezwane organy nadzorcze nie pobierają opłat za działania podejmowane w związku z wnioskiem o wzajemną pomoc. Organy nadzorcze mogą uzgodnić zasady dokonywania wzajemnego zwrotu konkretnych wydatków poniesionych w wyniku świadczenia wzajemnej pomocy w wyjątkowych okolicznościach.

 

8. Jeżeli organ nadzorczy nie dostarczy informacji, o których mowa w ust. 5 niniejszego artykułu, w terminie miesiąca od otrzymania wniosku innego organu nadzorczego, wzywający organ nadzorczy może zastosować środek tymczasowy na terytorium swojego państwa członkowskiego zgodnie z art. 55 ust. 1. W takiej sytuacji uznaje się, że zgodnie z art. 66 ust. 1 zachodzi pilna potrzeba działania i że zgodnie z art. 66 ust. 2 wymagana jest pilna wiążąca decyzja Europejskiej Rady Ochrony Danych.

 

9. Komisja może w drodze aktów wykonawczych określić formułę i procedurę wzajemnej pomocy, o której mowa w niniejszym artykule, oraz zasady wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych, w szczególności standardowy format, o którym mowa w ust. 6 niniejszego artykułu. Akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

N

 

 

 

 

 

N

 

 

 

 

N

 

 

N

 

 

 

 

T

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 71

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 71. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art.  53 ust. 1.

 

Art.

62

Wspólne operacje organów nadzorczych

1. Organy nadzorcze prowadzą w stosownych przypadkach wspólne operacje, w tym wspólne postępowania i wspólne działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Jeżeli administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć we wspólnych operacjach. Organ nadzorczy, który jest właściwy zgodnie z art. 56 ust. 1 lub 4 zaprasza organ nadzorczy każdego z tych państw członkowskich do uczestnictwa w danych wspólnych operacjach i niezwłocznie odpowiada na wniosek organu nadzorczego dotyczący uczestnictwa.

 

3. Organ nadzorczy może zgodnie z prawem państwa członkowskiego i za zgodą organu nadzorczego oddelegowującego pracownika przyznać uprawnienia, w tym uprawnienia do prowadzenia postępowań wyjaśniających, członkom lub personelowi organu nadzorczego oddelegowującego pracownika uczestniczącym we wspólnych operacjach lub – jeżeli zezwala na to prawo państwa członkowskiego przyjmującego organu nadzorczego – zezwolić członkom lub personelowi organu nadzorczego oddelegowującego pracownika na wykonywanie ich własnych uprawnień w zakresie prowadzenia postępowań wyjaśniających zgodnie z prawem państwa członkowskiego organu nadzorczego oddelegowującego pracownika. Uprawnienia takie mogą być wykonywane wyłącznie pod kierownictwem i w obecności członków lub personelu przyjmującego organu nadzorczego. Członkowie lub personel organu nadzorczego oddelegowującego pracownika podlegają prawu państwa członkowskiego przyjmującego organu nadzorczego.

 

 

4. Jeżeli zgodnie z ust. 1 personel organu nadzorczego oddelegowującego pracownika działa w innym państwie członkowskim, państwo członkowskie przyjmującego organu nadzorczego ponosi odpowiedzialność za czynności tego personelu, w tym odpowiedzialność prawną za wszelkie szkody wyrządzone przez ten personel w trakcie operacji, zgodnie z prawem państwa członkowskiego, na którego terytorium ten personel działa.

 

5. Państwo członkowskie, na którego terytorium została wyrządzona szkoda, naprawia taką szkodę na warunkach mających zastosowanie do szkód wyrządzonych przez jego własny personel. Państwo członkowskie organu nadzorczego oddelegowującego pracownika, którego personel wyrządził szkodę wobec osoby na terytorium innego państwa członkowskiego, zwraca temu innemu państwu członkowskiemu całą kwotę, którą zapłaciło ono osobom uprawnionym w jego imieniu.

 

6. Bez uszczerbku dla możliwości dochodzenia swoich praw wobec osób trzecich i z wyjątkiem ust. 5, każde państwo członkowskie powstrzymuje się w przypadku określonym w ust. 1 od żądania odszkodowania od innego państwa członkowskiego za szkody, o których mowa w ust. 4.

 

7. Jeżeli planowana jest wspólna operacja, a organ nadzorczy nie wywiąże się w terminie miesiąca z obowiązku określonego w ust. 2 zdanie drugie niniejszego artykułu, pozostałe organy nadzorcze mogą przyjąć środek tymczasowy na terytorium swojego państwa członkowskiego zgodnie z art. 55. W takiej sytuacji uznaje się, że zgodnie z art. 66 ust. 1 zachodzi pilna potrzeba działania i że zgodnie z art. 66 ust. 2 wymagana jest pilna opinia lub pilna wiążąca decyzja Europejskiej Rady Ochrony Danych.

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

N

 

 

 

 

 

 

 

N

 

 

 

 

T

 

 

Art. 73

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 75

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 71

 

Art. 64

 

Art. 73.1. W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez  Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji i niezwłocznie sporządza wykaz ustaleń.

2. Okresy, w których pracownicy organu nadzorczego innego państwa członkowskiego Unii Europejskiej przebywają na terytorium Rzeczypospolitej Polskiej, biorąc udział we wspólnej operacji, nie są uważane za okresy pobytu wpływające na zmianę miejsca zamieszkania dla celów opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.

 

 

 

 

 

 

 

 

 

Art. 75.1. Kontrolę przeprowadza upoważniony pracownik Urzędu. Do przeprowadzenia kontroli Prezes Urzędu może upoważnić członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679, zwani dalej „kontrolującym”.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 71. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art.  53 ust. 1

Art. 64.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom,  może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania.

2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

3. Na postanowienie przysługuje skarga do sądu administracyjnego.

 

Sekcja 2

Spójność

Art. 63 Mechanizm spójności

 

Aby przyczynić się do spójnego stosowania niniejszego rozporządzenia w całej Unii, organy nadzorcze współpracują ze sobą, a w stosownym przypadku także z Komisją, stosując mechanizm spójności określony w niniejszej sekcji.

 

 

N

 

 

 

 

 

 

Art. 64 Opinia Europejskiej Rady Ochrony Danych

 

1. Europejska Rada Ochrony Danych wydaje opinię w przypadku, gdy właściwy organ nadzorczy zamierza przyjąć środek wymieniony poniżej. W tym celu właściwy organ nadzorczy zgłasza Europejskiej Radzie Ochrony Danych projekt decyzji dotyczącej:

a)        przyjęcia na mocy art. 35 ust. 4 wykazu operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych;

b)        stwierdzenia zgodnie z art. 40 ust. 7, czy projekt kodeksu postępowania, zmiana kodeksu lub rozszerzenie jego zakresu są zgodne z niniejszym rozporządzeniem;

c)        zatwierdzenia kryteriów akredytacji podmiotu na mocy art. 41 ust. 3 lub podmiotu certyfikującego na mocy art. 43 ust. 3;

d)        określenia standardowych klauzul ochrony danych, o których mowa w art. 46 ust. 2 lit. d) i art. 28 ust. 8;

e)        wydania zezwolenia na klauzule umowne, o których mowa w art. 46 ust. 3; lub

f)         zatwierdzenia wiążących reguł korporacyjnych w rozumieniu art. 47.

2. Każdy organ nadzorczy, przewodniczący Europejskiej Rady Ochrony Danych lub Komisja mogą wystąpić o przeanalizowanie przez Europejską Radę Ochrony Danych w celu wydania opinii sprawy mającej charakter ogólny lub wywołującej skutki w więcej niż jednym państwie członkowskim, w szczególności jeżeli właściwy organ nadzorczy nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 61 lub wspólnych operacji zgodnie z art. 62.

3. W przypadkach, o których mowa w ust. 1 i 2, Europejska Rada Ochrony Danych wydaje opinię w przedłożonej jej sprawie, o ile wcześniej nie wydała już opinii w takiej samej sprawie. Europejska Rady Ochrony Danych przyjmuje tę opinię w terminie ośmiu tygodni zwykłą większością głosów swoich członków. Ze względu na złożony charakter sprawy termin ten można przedłużyć o sześć tygodni. Jeżeli chodzi o projekt decyzji, o którym mowa w ust. 1 i który został przekazany członkom Europejskiej Rady Ochrony Danych zgodnie z ust. 5, uznaje się, że członek, który w rozsądnym terminie wskazanym przez przewodniczącego nie zgłosił sprzeciwu, zgadza się z tym projektem.

4. Organy nadzorcze i Komisja przekazują bez zbędnej zwłoki Europejskiej Radzie Ochrony Danych drogą elektroniczną w standardowym formacie wszelkie stosowne informacje, w tym w odpowiednim przypadku streszczenie stanu faktycznego, projekt decyzji, powody przemawiające za koniecznością przyjęcia takiego środka oraz opinię innych organów nadzorczych, których sprawa dotyczy.

5. Przewodniczący Europejskiej Rady Ochrony Danych bez zbędnej zwłoki przekazuje drogą elektroniczną:

a)        członkom Europejskiej Rady Ochrony Danych i Komisji wszelkie stosowne informacje otrzymane w standardowym formacie. W razie potrzeby sekretariat Europejskiej Rady Ochrony Danych zapewnia tłumaczenie stosownych informacji; oraz

b)        organowi nadzorczemu, o którym zależnie od sytuacji mowa w ust. 1 i 2, oraz Komisji opinię, którą podaje też do wiadomości publicznej.

6. Właściwy organ nadzorczy nie przyjmuje projektu decyzji, o którym mowa w art. ust. 1 przed upływem terminu, o którym mowa w ust. 3.

7. Organ nadzorczy, o którym mowa w ust. 1, w jak największym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni po otrzymaniu tej opinii informuje drogą elektroniczną przewodniczącego Europejskiej Rady Ochrony Danych, czy podtrzymuje projekt decyzji, czy też go zmieni, a w stosownym przypadku przekazuje mu w standardowym formacie zmieniony projekt decyzji.

8. Jeżeli w terminie, o którym mowa w ust. 7 niniejszego artykułu, organ nadzorczy, którego sprawa dotyczy, poinformuje przewodniczącego Europejskiej Rady Ochrony Danych, że nie zamierza się zastosować do całości lub części jej opinii podając odpowiednie uzasadnienie, zastosowanie ma art. 65 ust. 1.

 

N      
Art. 65 Rozstrzyganie sporów przez Europejską Radę Ochrony Danych

 

1. Aby w poszczególnych sytuacjach zapewnić właściwe i spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych przyjmuje w następujących przypadkach wiążące decyzje:

a)        jeżeli w przypadku, o którym mowa w art. 60 ust. 4, organ nadzorczy, którego sprawa dotyczy, zgłosił mający znaczenie dla sprawy i uzasadniony sprzeciw wobec projektu decyzji wiodącego organu nadzorczego, a wiodący organ nadzorczy odrzucił taki sprzeciw jako niemający znaczenia dla sprawy lub nieuzasadniony. Wiążąca decyzja dotyczy wszystkich spraw, które są przedmiotem mającego znaczenie dla sprawy i uzasadnionego sprzeciwu, w szczególności dotyczy tego, czy doszło do naruszenia niniejszego rozporządzenia;

b)        jeżeli panują sprzeczne opinie co do tego, który z organów nadzorczych, których sprawa dotyczy, jest właściwy względem głównej jednostki organizacyjnej;

c)        jeżeli właściwy organ nadzorczy nie wystąpił o opinię do Europejskiej Rady Ochrony Danych w przypadkach, o których mowa w art. 64 ust. 1, lub nie zastosował się do opinii Europejskiej Rady Ochrony Danych wydanej zgodnie z art. 64. W takim przypadku organ nadzorczy, którego sprawa dotyczy, lub Komisja mogą zgłosić sprawę Europejskiej Radzie Ochrony Danych.

2. Decyzję, o której mowa w ust. 1, Europejska Rada Ochrony Danych przyjmuje większością dwóch trzecich głosów swoich członków w terminie miesiąca od wpłynięcia sprawy. Ze względu na złożony charakter sprawy termin ten można przedłużyć o miesiąc. Decyzja, o której mowa w ust. 1, zostaje wraz z uzasadnieniem skierowana do wiodącego organu nadzorczego i wszystkich organów nadzorczych, których sprawa dotyczy, i jest dla nich wiążąca.

3. Jeżeli Europejska Rada Ochrony Danych nie jest w stanie przyjąć decyzji w terminach, o których mowa w ust. 2, przyjmuje decyzję w terminie dwóch tygodni po upłynięciu drugiego miesiąca, o którym mowa w ust. 2, zwykłą większością głosów swoich członków. Jeżeli głosy członków Europejskiej Rady Ochrony Danych rozkładają się po równo, decyduje głos przewodniczącego.

4. Przed upływem terminów, o których mowa w ust. 2 i 3, organy nadzorcze, których sprawa dotyczy, nie przyjmują decyzji w sprawie przedłożonej Europejskiej Radzie Ochrony Danych na mocy ust. 1.

5. Przewodniczący Europejskiej Rady Ochrony Danych bez zbędnej zwłoki notyfikuje organom nadzorczym, których sprawa dotyczy, decyzję, o której mowa w ust. 1. Informuje o niej Komisję. Decyzja jest niezwłocznie publikowana na stronie internetowej Europejskiej Rady Ochrony Danych, po tym jak organ nadzorczy notyfikował ostateczną decyzję, o której mowa w ust. 6.

6. Bez zbędnej zwłoki i najpóźniej w terminie miesiąca po notyfikowaniu przez Europejską Radę Ochrony Danych swojej decyzji, wiodący organ nadzorczy lub w stosownym przypadku organ nadzorczy, do którego wniesiono skargę, przyjmuje ostateczną decyzję na podstawie decyzji, o której mowa w ust. 1 niniejszego artykułu. Wiodący organ nadzorczy lub w stosownym przypadku organ nadzorczy, do którego wniesiono skargę, informuje Europejską Radę Ochrony Danych o terminie, w którym doręczono ostateczną decyzję odpowiednio administratorowi lub podmiotowi przetwarzającemu oraz osobie, której dane dotyczą. Ostateczna decyzja organów nadzorczych, których sprawa dotyczy, zostaje przyjęta w trybie art. 60 ust. 7, 8 i 9. Ostateczna decyzja zawiera informacje o decyzji, o której mowa w ust. 1 niniejszego artykułu, i wskazuje, że decyzja, o której mowa w tym ustępie, zostanie opublikowana na stronie internetowej Europejskiej Rady Ochrony Danych zgodnie z ust. 5 niniejszego artykułu. Do ostatecznej decyzji załączona zostaje decyzja, o której mowa w ust. 1 niniejszego artykułu.

 

N      
Art.

66

Tryb pilny

 

1. W wyjątkowych okolicznościach, jeżeli organ nadzorczy, którego sprawa dotyczy, uzna, że istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą, może w drodze odstępstwa od mechanizmu spójności, o którym mowa w art. 63, 64 i 65, lub od procedury, o której mowa w art. 60, niezwłocznie przyjąć środki tymczasowe mające na terytorium jego państwa członkowskiego wywołać skutki prawne przez określony okres, nieprzekraczający trzech miesięcy. Organ nadzorczy niezwłocznie informuje o tych środkach i o powodach ich przyjęcia pozostałe organy nadzorcze, których sprawa dotyczy, Europejską Radę Ochrony Danych i Komisję.

2. Jeżeli organ nadzorczy zastosował środek na mocy ust. 1 i uznaje, że należy pilnie przyjąć środki o charakterze ostatecznym, może zwrócić się z wnioskiem o pilne wydanie opinii lub wiążącej decyzji do Europejskiej Rady Ochrony Danych, uzasadniając swój wniosek o taką opinię lub decyzję.

3. Organ nadzorczy może zwrócić się do Europejskiej Rady Ochrony Danych z wnioskiem o pilne wydanie opinii lub w stosownym przypadku wiążącej decyzji, uzasadniając swój wniosek o taką opinię lub decyzję, w tym uzasadniając pilną potrzebę działań – jeżeli właściwy organ nadzorczy nie zastosował odpowiedniego środka w sytuacji, w której istnieje pilna potrzeba podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą.

4. W drodze wyjątku od art. 64 ust. 3 i art. 65 ust. 2, Europejska Rada Ochrony Danych przyjmuje opinię lub wiążącą decyzję wydawane w trybie pilnym, o których mowa w ust. 2 i 3 niniejszego artykułu, w terminie dwóch tygodni zwykłą większością głosów swoich członków.

 

 

 

T

 

 

Art. 71

 

Art. 64

 

 

Art. 71. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art.  53 ust. 1

Art. 64.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom,  może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania.

2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

3. Na postanowienie przysługuje skarga do sądu administracyjnego.

 

 
Art. 67 Wymiana informacji

 

Komisja może przyjmować akty wykonawcze o charakterze ogólnym, w celu określenia zasad wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych, w szczególności standardowy format, o którym mowa w art. 64.

Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

 

N    
Sekcja 3

Europejska Rada Ochrony Danych

Art.

68

 

Europejska Rada Ochrony Danych

1. Niniejszym ustanawia się Europejską Radę Ochrony Danych jako organ Unii posiadający osobowość prawną.

2. Europejską Radę Ochrony Danych reprezentuje jej przewodniczący.

3. Do Europejskiej Rady Ochrony Danych należą: przewodniczący jednego organu nadzorczego każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele.

4. Jeżeli w państwie członkowskim za monitorowanie stosowania przepisów na mocy niniejszego rozporządzenia odpowiada więcej niż jeden organ nadzorczy, to zgodnie z prawem tego państwa członkowskiego wyznaczony zostaje wspólny przedstawiciel.

5. Komisja ma prawo do udziału w działaniach i posiedzeniach Europejskiej Rady Ochrony Danych, nie ma jednak prawa głosowania. Komisja wyznacza swojego przedstawiciela. Przewodniczący Europejskiej Rady Ochrony Danych informuje Komisję o działaniach Europejskiej Rady Ochrony Danych.

6. W kwestiach, o których mowa w art. 65, Europejski Inspektor Ochrony Danych ma prawo głosowania wyłącznie względem decyzji co do zasad i przepisów, które mają zastosowanie do instytucji, organów i jednostek organizacyjnych Unii i merytorycznie odpowiadają przepisom niniejszego rozporządzenia.

 

 

N  

 

 

 

 

 

Art.

69

Niezależność

1. W toku wypełniania swoich zadań lub wykonywania swoich uprawnień na mocy art. 70 i 71 Europejska Rada Ochrony Danych działa w sposób niezależny.

2. Bez uszczerbku dla wniosków Komisji, o których mowa w art. 70 ust. 1 lit. b) i art. 70 ust. 2, Europejska Rada Ochrony Danych podczas wypełniania swoich zadań lub wykonywania swoich uprawnień nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.

 

N      
Art. 70 Zadania Europejskiej Rady Ochrony Danych

 

1. Europejska Rada Ochrony Danych zapewnia spójne stosowanie niniejszego rozporządzenia. W tym celu z własnej inicjatywy lub w stosownych przypadkach na wniosek Komisji podejmuje w szczególności następujące działania:

a)        monitoruje i zapewnia właściwe stosowanie niniejszego rozporządzenia w przypadkach, o których mowa w art. 64 i 65, bez uszczerbku dla zadań krajowych organów nadzorczych;

b)        doradza Komisji w sprawach związanych z ochroną danych osobowych w Unii, w tym w sprawie wszelkich proponowanych zmian do niniejszego rozporządzenia;

c)        doradza Komisji w sprawie formatu i procedur wymiany informacji między administratorami, podmiotami przetwarzającymi i organami nadzorczymi do celów wiążących reguł korporacyjnych;

d)        wydaje wytyczne, zalecenia oraz określa najlepsze praktyki dotyczące usuwania z ogólnodostępnych usług łączności łącz do danych osobowych, kopi tych danych lub ich replikacji, o czym mowa w art. 17 ust. 2;

e)        z własnej inicjatywy lub na wniosek jednego ze swoich członków lub Komisji bada wszelkie kwestie dotyczące stosowania niniejszego rozporządzenia i wydaje wytyczne, zalecenia oraz określa najlepsze praktyki, by zachęcić do spójnego stosowania niniejszego rozporządzenia;

f)         wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by na potrzeby art. 22 ust. 2 doprecyzować kryteria i wymogi dotyczące decyzji opartych na profilowaniu;

g)        wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu dotyczące stwierdzania naruszenia ochrony danych osobowych i określenia zbędnej zwłoki w rozumieniu art. 33 ust. 1 i 2 oraz szczególnych okoliczności, w których administrator lub podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych;

h)        wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu wskazujące, w jakich okolicznościach naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych w rozumieniu art. 34 ust. 1;

i)         wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by doprecyzować kryteria i wymogi względem przekazywania danych osobowych, które opiera się na wiążących regułach korporacyjnych stosowanych przez administratorów i na wiążących regułach korporacyjnych stosowanych przez podmioty przetwarzające, oraz inne konieczne wymogi mające zapewnić ochronę danych osobowych osób, których dane dotyczą, zgodnie z art. 47;

j)         wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by doprecyzować kryteria i wymogi względem przekazywania danych osobowych na podstawie art. 49 ust. 1;

k)        opracowuje wytyczne dla organów nadzorczych w sprawie stosowania środków, o których mowa w art. 58 ust. 1, 2 i 3, oraz w sprawie określania wysokości administracyjnych kar pieniężnych zgodnie z art. 83;

l)         dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. e) i f);

m)       wydaje wytyczne, zalecenia i określa najlepsze praktyki zgodnie z lit. e) niniejszego ustępu, by na potrzeby art. 54 ust. 2 określić wspólne procedury postępowania w przypadkach zgłaszania przez osoby fizyczne naruszeń niniejszego rozporządzenia;

n)        zachęca do sporządzania kodeksów postępowania oraz do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń w tej dziedzinie zgodnie z art. 40 i 42;

o)        akredytuje podmioty certyfikujące i dokonuje okresowego przeglądu certyfikacji zgodnie z art. 43 oraz prowadzi publiczny rejestr podmiotów akredytowanych zgodnie z art. 43 ust. 6 i administratorów i podmiotów przetwarzających akredytowanych zgodnie z art. 42 ust. 7, mających siedzibę w państwach trzecich;

p)        precyzuje wymogi, o których mowa w art. 43 ust. 3, z myślą o akredytacji podmiotów certyfikujących zgodnie z art. 42;

q)        udziela Komisji opinii w sprawie wymogów certyfikacyjnych, o których mowa w art. 43 ust. 8;

r)         udziela Komisji opinii w sprawie znaków graficznych, o których mowa w art. 12 ust. 7;

s)        udziela Komisji opinii na potrzeby oceny, czy stopień ochrony w państwie trzecim lub organizacji międzynarodowej jest odpowiedni, w tym na potrzeby oceny, czy państwo trzecie, terytorium, określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa nie przestały zapewniać odpowiedniego stopnia ochrony. W tym celu Komisja udostępnia Europejskiej Radzie Ochrony Danych wszelką niezbędną dokumentację, w tym korespondencję z rządem państwa trzeciego w odniesieniu do tego państwa trzeciego, terytorium lub określonego sektora lub korespondencję z organizacją międzynarodową;

t)         wydaje opinie w sprawie projektów decyzji zgłoszonych przez organy nadzorcze zgodnie z mechanizmem spójności, o którym mowa w art. 64 ust. 1, w sprawach przedłożonych jej zgodnie z art. 64 ust. 2 oraz wydaje wiążące decyzje zgodnie z art. 65, w tym w sprawach, o których mowa w art. 66;

u)        upowszechnia współpracę oraz skuteczną dwustronną i wielostronną wymianę informacji i dobrych praktyk między organami nadzorczymi;

v)        upowszechnia wspólne programy szkoleń oraz ułatwia wymianę personelu między organami nadzorczymi, a w stosownych przypadkach – z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

w)       upowszechnia wymianę wiedzy i dokumentów na temat ustawodawstwa i praktyki w dziedzinie ochrony danych z organami nadzorczymi odpowiedzialnymi za ochronę danych na świecie;

x)        wydaje opinie na temat kodeksów postępowania opracowywanych na szczeblu Unii zgodnie z art. 40 ust. 9; oraz

y)        prowadzi publicznie dostępny elektroniczny rejestr decyzji podjętych przez organy nadzorcze i wyroków sądowych w sprawach rozpatrywanych w ramach mechanizmu spójności.

2. Jeżeli Komisja zwraca się do Europejskiej Rady Ochrony Danych o konsultację, może zależnie od pilności sprawy wskazać termin udzielenia odpowiedzi.

3. Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji i komitetowi, o którym mowa w art. 93, oraz podaje je do wiadomości publicznej.

4. Europejska Rada Ochrony Danych konsultuje się w stosownych przypadkach ze stronami, których sprawa dotyczy, i daje im możliwość przestawienia uwag w rozsądnym terminie. Bez uszczerbku dla art. 76 Europejska Rada Ochrony Danych podaje wyniki procedury konsultacji do wiadomości publicznej.

 

N      
Art.

71

Sprawozdania

 

1. Europejska Rada Ochrony Danych sporządza roczne sprawozdanie na temat ochrony osób fizycznych w związku z przetwarzaniem danych w Unii, a w stosownym przypadku w państwach trzecich i organizacjach międzynarodowych. Sprawozdanie zostaje podane do wiadomości publicznej oraz przekazane Parlamentowi Europejskiemu, Radzie i Komisji.

2. Sprawozdanie roczne obejmuje przegląd praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w art. 70 ust. 1 lit. l), oraz wiążących decyzji, o których mowa w art. 65.

 

 

N      
Art. 72 Procedura

 

1. Europejska Rada Ochrony Danych podejmuje decyzje zwykłą większością głosów swoich członków, o ile niniejsze rozporządzenie nie przewiduje inaczej.

2. Europejska Rada Ochrony Danych przyjmuje swój regulamin wewnętrzny większością dwóch trzecich głosów swoich członków i określa swoje zasady działania.

 

N      
Art. 73 Przewodniczący

 

1. Europejska Rada Ochrony Danych wybiera zwykłą większością głosów spośród swoich członków przewodniczącego i dwóch wiceprzewodniczących.

2. Kadencja przewodniczącego i wiceprzewodniczących trwa pięć lat i może zostać jednokrotnie powtórzona.

 

N      
Art.

74

Zadania przewodniczącego

 

1. Przewodniczący ma następujące zadania:

a)        zwołuje posiedzenia Europejskiej Rady Ochrony Danych i sporządza porządek obrad;

b)        notyfikuje wiodącemu organowi nadzorczemu i organom nadzorczym, których sprawa dotyczy, decyzje przyjęte przez Europejską Radę Ochrony Danych na mocy art. 65;

c)        zapewnia terminowe wykonanie zadań Europejskiej Rady Ochrony Danych, w szczególności w odniesieniu do mechanizmu spójności, o którym mowa w art. 63.

2. Europejska Rada Ochrony Danych określa w swoim regulaminie wewnętrznym podział zadań między przewodniczącego a wiceprzewodniczących.

 

N      
Art.

75

Sekretariat

 

1. Europejski Inspektor Ochrony Danych zapewnia obsługę sekretariatu dla Europejskiej Rady Ochrony Danych.

2. Sekretariat wykonuje swoje zadania wyłącznie pod kierunkiem przewodniczącego Europejskiej Rady Ochrony Danych.

3. Personel Europejskiego Inspektora Ochrony Danych wykonujący zadania, które niniejsze rozporządzenie powierza Europejskiej Radzie Ochrony Danych, podlega oddzielnej hierarchii służbowej, innej niż personel wykonujący zadania powierzone Europejskiemu Inspektorowi Ochrony Danych.

4. W stosownych przypadkach Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych opracowują i publikują protokół ustaleń, który służy wykonaniu niniejszego artykułu: określa on warunki współpracy i ma zastosowanie do personelu Europejskiego Inspektora Ochrony Danych wykonującego zadania powierzone niniejszym rozporządzeniem Europejskiej Radzie Ochrony Danych.

5. Sekretariat zapewnia Europejskiej Radzie Ochrony Danych wsparcie analityczne, administracyjne i logistyczne.

6. Sekretariat odpowiada w szczególności za:

a)        bieżącą działalność Europejskiej Rady Ochrony Danych;

b)        komunikację między członkami Europejskiej Rady Ochrony Danych, jej przewodniczącym i Komisją;

c)        komunikację z innymi instytucjami i opinią publiczną;

d)        stosowanie elektronicznych środków komunikacji wewnętrznej i zewnętrznej;

e)        tłumaczenie stosownych informacji;

f)         przygotowywanie posiedzeń Europejskiej Rady Ochrony Danych oraz działania następcze w związku z nimi;

g)        przygotowywanie, redagowanie i publikowanie opinii, decyzji w sprawie rozstrzygnięcia sporów między organami nadzorczymi oraz innych tekstów przyjmowanych przez Europejską Radę Ochrony Danych.

 

N      
Art.

76

Poufność

 

1. Dyskusje Europejskiej Rady Ochrony Danych są poufne, jeżeli taką konieczność stwierdzi Rada zgodnie ze swoim regulaminem wewnętrznym.

2. Dostęp do dokumentów przedłożonych członkom Europejskiej Rady Ochrony Danych, ekspertom i przedstawicielom stron trzecich jest regulowany rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 1049/2001.

 

N      
 

ROZDZIAŁ VIII

ŚRODKI OCHRONY PRAWNEJ, ODPOWIEDZIALNOŚĆ I SANKCJE

 

Art.

77

Prawo do wniesienia skargi do organu nadzorczego

 

1. Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

 

2. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78.

 

 

 

N

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

Art. 56

 

 

 

 

 

 

 

 

Art. 56. W przypadku, o którym mowa w art. 36 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, Prezes Urzędu zawiadamiając strony o niezałatwieniu sprawy w terminie, obowiązany jest również poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach.

 

 
Art. 78 Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu

 

1. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej.

 

2. Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej zgodnie z art. 77.

 

3. Postępowanie przeciwko organowi nadzorczemu zostaje wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

4. Jeżeli postępowanie zostało wszczęte przeciwko decyzji organu nadzorczego, którą poprzedziła opinia lub decyzja Europejskiej Rady Ochrony Danych w ramach mechanizmu spójności, organ nadzorczy przekazuje sądowi tę opinię lub decyzję.

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

N

     
Art.

79

Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu

 

1. Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.

2. Postępowanie przeciwko administratorowi lub podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający posiadają jednostkę organizacyjną. Ewentualnie postępowanie takie może zostać wszczęte przed sądem państwa członkowskiego, w którym osoba, której dane dotyczą, ma miejsce zwykłego pobytu, chyba że administrator lub podmiot przetwarzający są organami publicznymi państwa członkowskiego wykonującymi swoje uprawnienia publiczne.

 

T Art. 89 – 90 Art. 89.1. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone cudzym działaniem, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

2. Wystąpienie z roszczeniem, o którym mowa w ust. 1, nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych.

3. W zakresie nieuregulowanym rozporządzeniem 2016/679 oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w ust. 1, następuje na zasadach określonych przepisami Kodeksu cywilnego.

 

Art. 90.1. Sąd okręgowy jest właściwy w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, w tym roszczeń z tytułu art. 89 rozporządzenia 2016/679, niezależnie od wartości przedmiotu sporu.

2. Do postępowania w sprawach roszczeń dochodzonych na podstawie art. 89, w zakresie nieuregulowanym niniejszą ustawą, stosuje się przepisy Kodeksu postępowania cywilnego.

Art. 91.1. O wniesieniu pozwu w sprawie, o której mowa w art. 89, sąd zawiadamia niezwłocznie Prezesa Urzędu.

2. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd, o którym mowa w ust. 1.

3. O każdym prawomocnym orzeczeniu uwzględniającym powództwo w sprawie, o której mowa w art. 89, sąd niezwłocznie zawiadamia Prezesa Urzędu.

 

 
Art. 80 Reprezentowanie osób, których dane dotyczą

 

1. Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.

 

2. Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia.

 

 

 

N

 

 

 

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

Art. 55

 

 

 

 

 

 

Art. 55. W sprawach związanych z ochroną danych osobowych pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należą sprawy związane z ochroną danych osobowych.

 

 
Art. 81 Zawieszenie postępowania

 

1. Jeżeli właściwy sąd państwa członkowskiego posiada informację, że przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający, kontaktuje się z tym sądem w innym państwie członkowskim, aby potwierdzić istnienie takiego postępowania.

2. Jeżeli przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający, właściwy sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może zawiesić swoje postępowanie.

3. Jeżeli postępowania te toczą się w pierwszej instancji, sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może także – na wniosek jednej ze stron – stwierdzić brak swojej jurysdykcji, jeżeli sąd, przed którym jako pierwszym wszczęto postępowanie, ma jurysdykcję względem przedmiotowych spraw, a jego prawo dopuszcza ich połączenie.

 

 

N    
Art. 82 Prawo do odszkodowania i odpowiedzialność

 

1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

 

N    
Art. 83 Ogólne warunki nakładania administracyjnych kar pieniężnych

 

1. Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

 

2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j).

 

Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a)        charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b)        umyślny lub nieumyślny charakter naruszenia;

c)        działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d)        stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e)        wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f)         stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g)        kategorie danych osobowych, których dotyczyło naruszenie;

h)        sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i)         jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j)         stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k)        wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

 

3. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

 

4. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

a)        obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43;

b)        obowiązków podmiotu certyfikującego, o których mowa w art. 42 oraz 43;

c)        obowiązków podmiotu monitorującego, o których mowa w art. 41 ust. 4;

 

5. Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa:

a)        podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;

b)        praw osób, których dane dotyczą, o których mowa w art. 12-22;

c)        przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej, o którym to przekazywaniu mowa w art. 44-49;

d)        wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX;

e)        nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1.

 

6. Nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

 

7. Bez uszczerbku dla uprawnień naprawczych organu nadzorczego, o których mowa w ust. 58 ust. 2, każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8. Wykonywanie przez organ nadzorczy uprawnień powierzonych mu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom proceduralnym zgodnie z prawem Unii i prawem państwa członkowskiego, obejmującym prawo do skutecznego sądowego środka ochrony prawnej i rzetelnego procesu.

 

9. Jeżeli ustrój prawny państwa członkowskiego nie przewiduje administracyjnych kar pieniężnych, niniejszy artykuł można stosować w ten sposób, że o zastosowanie kary pieniężnej wnosi właściwy organ nadzorczy, a nakłada ją właściwy sąd krajowy, o ile zapewniona zostaje skuteczność tych rozwiązań prawnych i równoważność ich skutku względem administracyjnej kary pieniężnej nakładanej przez organ nadzorczy. Nakładane kary pieniężne muszą być w każdym przypadku skuteczne, proporcjonalne i odstraszające. W terminie określonym w art. 91 ust. 2 takie państwa członkowskie zawiadamiają Komisję o przepisach swojego prawa, które przyjęły zgodnie z niniejszym ustępem do dnia 25 maja 2018 r., a następnie niezwłocznie o wszelkich późniejszych aktach zmieniających lub zmianach mających wpływ na te przepisy.

 

 

 

N

 

 

 

 

 

N

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

N

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

 

 

 

N

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 92 i Art. 93

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Art. 92. Prezes Urzędu może nałożyć na podmioty nie będące organami albo podmiotami publicznymi w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych,  w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Art. 93.1. Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych  Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.

2. Administracyjne kary pieniężne, o których mowa w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

3. Na podmioty publiczne, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, kar pieniężnych, o których mowa w art. 83 rozporządzenia 2016/679 nie nakłada się.

 

 
Art.

84

Sankcje

 

1. Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o swoich przepisach przyjętych zgodnie z ust. 1, a następnie niezwłocznie o każdej późniejszej ich zmianie.

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

Art. 67

 

Art. 67.1. Prezes Urzędu jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania, informuje o wydaniu decyzji na swojej stronie podmiotowej  Biuletynu Informacji Publicznej.

2. Organy lub podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej Biuletynu Informacji Publicznej, informację o działaniach podjętych w celu wykonania decyzji.

 

 
 

ROZDZIAŁ IX

PRZEPISY DOTYCZĄCE SZCZEGÓLNYCH SYTUACJI ZWIĄZANYCH Z PRZETWARZANIEM

Art. 85

 

Przetwarzanie a wolność wypowiedzi i informacji

 

1. Państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy niniejszego rozporządzenia z wolnością wypowiedzi i informacji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej.

2. Dla przetwarzania do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej państwa członkowskie określają odstępstwa lub wyjątki od rozdziału II (Zasady), rozdziału III (Prawa osoby, której dane dotyczą), rozdziału IV (Administrator i podmiot przetwarzający), rozdziału V (Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych), rozdziału VI (Niezależne organy nadzorcze), rozdziału VII (Współpraca i spójność) oraz rozdziału IX (Szczególne sytuacje związane z przetwarzaniem danych), jeżeli są one niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji.

 

 

 

 

 

 

 

 

 

3. Każde państwo członkowskie zawiadamia Komisję o przepisach, które przyjęło zgodnie z ust. 2, a następnie niezwłocznie o wszelkich późniejszych aktach zmieniających lub zmianach ich dotyczących.

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

Art. 2

 

Art. 2.1. Do działalności polegającej na redagowaniu, przygotowaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. poz. 24, z późn. zm.) a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5 – 9, art. 11, art. 13 – 16, art. 18 -22, art. 27, art. 28 ust. 2 – 10 oraz art. 30 rozporządzenia 2016/679.

2. Do wypowiedzi akademickiej, o której mowa w art. 85 ust. 2 rozporządzenia 2016/679, nie stosuje się przepisów  art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2 – 10 oraz art. 30 rozporządzenia 2016/679.

3. Jeżeli ograniczenia, o których mowa w ust. 1 i 2, różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega administrator.

 

 
Art.

86

Przetwarzanie a publiczny dostęp do dokumentów urzędowych

 

Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia.

 

N    
Art. 87 Przetwarzanie krajowego numeru identyfikacyjnego

 

Państwa członkowskie mogą określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym. W takim przypadku krajowego numeru identyfikacyjnego lub innego identyfikatora o zasięgu ogólnym używa się wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, które przewiduje niniejsze rozporządzenie.

 

N    
Art.

88

Przetwarzanie w kontekście zatrudnienia

 

1. Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

2. Przepisy te muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy.

3. Do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o swoich przepisach przyjętych na mocy ust. 1, a następnie niezwłocznie o każdej dotyczącej ich późniejszej zmianie.

 

N    
Art.

89

Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych

 

1. Przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, zgodnie z niniejszym rozporządzeniem. Zabezpieczenia te polegają na wdrożeniu środków technicznych i organizacyjnych zapewniających poszanowanie zasady minimalizacji danych. Środki te mogą też obejmować pseudonimizację danych, o ile pozwala ona realizować powyższe cele. Jeżeli cele te można zrealizować w drodze dalszego przetwarzania danych, które nie pozwalają albo przestały pozwalać na zidentyfikować osoby, której dane dotyczą, cele należy realizować w ten sposób.

 

2. W przypadku przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych prawo Unii lub prawo państwa członkowskiego mogą przewidzieć wyjątki od praw, o których mowa w art. 15, 16, 18 i 21, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 1 niniejszego artykułu, jeżeli jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

 

3. W przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym prawo Unii lub prawo państwa członkowskiego mogą przewidzieć wyjątki od praw, o których mowa w art. 15, 16, 18, 19, 20 i 21, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 1 niniejszego artykułu, jeżeli jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

 

4. Jeżeli przetwarzanie, o którym mowa w ust. 2 i 3, służy równocześnie innemu celowi, wspomniane wyjątki mają zastosowanie wyłącznie do przetwarzania w celach, o których mowa w tych ustępach.

N    
Art. 90 Obowiązek zachowania tajemnicy

 

1. Państwa członkowskie mogą przyjąć przepisy szczególne określające uprawnienia organów nadzorczych ustanowione w art. 58 ust. 1 lit. e) i f) wobec administratorów lub podmiotów przetwarzających, którzy podlegają – na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe – obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy, jeżeli jest to niezbędne i proporcjonalne w celu pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy. Przepisy te mają zastosowanie wyłącznie do danych osobowych, które administrator lub podmiot przetwarzający otrzymali lub pozyskali w wyniku lub w ramach działania objętego tym obowiązkiem zachowania tajemnicy.

 

 

2. Do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o swoich przepisach uchwalonych na mocy ust. 1, a następnie niezwłocznie o każdej dotyczącej ich późniejszej zmianie.

 

 

 

T

 

 

 

 

 

 

 

 

 

 

 

 

N

 

 

Art. 58

 

Art. 58. W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.

 

 
Art. 91 Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe

 

 1. Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia.

2. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia.

 

N    
ROZDZIAŁ X

AKTY DELEGOWANE I AKTY WYKONAWCZE

Art. 92 Wykonywanie przekazanych uprawnień

 

1. Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2. Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 12 ust. 8 i art. 43 ust. 8, powierza się Komisji na czas nieokreślony od dnia 24 maja 2016 r.

3. Przekazanie uprawnień, o którym mowa w art. 12. ust. 8 i art. 43 ust. 8, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

4. Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

5. Akt delegowany przyjęty na podstawie art. 12 ust. 8 i art. 43 ust. 8 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie trzech miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o trzy miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

 

N    
Art. 93 Procedura komitetowa

 

1. Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2. W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

3. W przypadku odesłania do niniejszego ustępu stosuje się art. 8 rozporządzenia (UE) nr 182/2011 w związku z jego art. 5.

 

N    
ROZDZIAŁ XI

PRZEPISY KOŃCOWE

Art.

94

Uchylenie dyrektywy 95/46/WE

 

1. Dyrektywa 95/46/WE zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.

2. Odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia. Odesłania do Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, ustanowionej w art. 29 dyrektywy 95/46/WE, należy traktować jako odesłania do Europejskiej Rady Ochrony Danych, ustanowionej niniejszym rozporządzeniem

N    
Art. 95 Stosunek do dyrektywy 2002/58/WE

 

Niniejsze rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE.

 

N    
Art. 96 Stosunek do uprzednio zawartych umów

 

Umowy międzynarodowe, które przewidują przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych i które zostały zawarte przez państwa członkowskie przed dniem 24 maja 2016 r., i które są zgodne z prawem Unii mającym zastosowanie przed tym dniem, pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.

 

N    
Art. 97 Sprawozdania Komisji

 

1. Do dnia 25 maja 2020 r., a następie co cztery lata Komisja przedkłada Parlamentowi Europejskiemu i Radzie sprawozdania z oceny i przeglądu niniejszego rozporządzenia. Sprawozdania te są podawane do wiadomości publicznej.

2. W ramach tych ocen Komisja analizuje i dokonuje przeglądu, o którym mowa w ust. 1, w szczególności stosowania i funkcjonowania przepisów:

a)        rozdziału V dotyczącego przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych ze szczególnym uwzględnieniem decyzji przyjętych na mocy art. 45 ust. 3 niniejszego rozporządzenia oraz decyzji przyjętych na podstawie art. 25 ust. 6 dyrektywy 95/46/WE;

b)        rozdziału VII dotyczącego współpracy i spójności.

3. Na potrzeby ust. 1, Komisja może wystąpić do państw członkowskich i organów nadzorczych o udzielenie informacji.

4. Dokonując ocen i przeglądów, o których mowa w ust. 1 i 2, Komisja uwzględnia stanowiska i ustalenia Parlamentu Europejskiego, Rady oraz innych stosownych podmiotów lub źródeł.

5. W razie potrzeby Komisja przedkłada odpowiednie wnioski przewidujące zmianę niniejszego rozporządzenia, uwzględniając w szczególności rozwój technologii informacyjnych oraz postęp w społeczeństwie informacyjnym.

 

N    
Art.

98

Przegląd innych aktów prawnych Unii dotyczących ochrony danych

 

Komisja przedkłada w stosownym przypadku wnioski ustawodawcze dotyczące zmiany innych aktów prawnych Unii dotyczących ochrony danych osobowych, aby zapewnić jednolitą i spójną ochronę osób fizycznych w związku z przetwarzaniem. Dotyczy to w szczególności przepisów o ochronie osób fizycznych w związku z przetwarzaniem przez instytucje, organy i jednostki organizacyjne Unii oraz o swobodnym przepływie danych osobowych.

 

N    
Art. 99 Wejście w życie i stosowanie

 

1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.

2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

 

N    

 

 

 

 

 

 

 

 

 

Czytaj więcej

Tabela rozbieżności do projektu ustawy o ochronie danych osobowych

źródło informacji: Ministerstwa Cyfryzacji

https://www.gov.pl/cyfryzacja/projekt-ustawy-o-ochronie-danych-osobowych-skierowany-na-komitet-do-spraw-europejskich-rady-ministrow

  Numer uwagi Jednostka redakcyjna projektu Zgłaszający Treść Stanowisko / komentarz
1.         Art.   5 MSiT Należy zwrócić uwagę na kwestię zastępowania inspektora podczas jego nieobecności. Na gruncie projektowanej regulacji, z uwagi na określone wymagania odnośnie inspektora ochrony danych osobowych, może pojawić się wątpliwość, kto i na jakich warunkach może go zastępować w realizacji zadań np. czy takie zastępstwo, szczególnie kiedy nieobecność będzie dość długa, powinno zostać zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych oraz jaki będzie status osoby zastępującej inspektora. Uwaga nieuwzględniona. Podtrzymana na posiedzeniu konferencji uzgodnieniowej.

W opinii projektodawcy, nie ma możliwości powołania zastępcy inspektora ochrony danych osobowych. Zgodnie z art. 37 rozporządzenia 2016/679 oraz motywem 97 administrator i podmiot przetwarzający wyznaczają inspektora, mowa jest o inspektorze w l. poj. Co więcej ustawodawca unijny przewidział możliwość wyznaczenia jednego inspektora dla kilku podmiotów, nie przewidział natomiast możliwości wyznaczenia kilku inspektorów czy tez zastępcy inspektora w jednym podmiocie. Ponadto warto zauważyć, że inspektorem może zostać osoba, która posiada odpowiednie kwalifikacje zawodowe oraz wiedze fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych, ponadto inspektor ma obowiązek m.in. współpracować z organem nadzorczym oraz pełnić funkcje punktu kontaktowego. Natomiast wyznaczenie zastępców wiąże się z prawem do delegowania uprawnień i obowiązków także w sytuacji gdy w danym podmiocie jest obecny inspektor. Na taką osobę mogłyby zostać przekazane niektóre zadania czy też uprawniania przysługujące inspektorowi.

W opinii projektodawcy w przypadku gdy administrator albo podmiot przetwarzający poweźmie wiadomość o długiej nieobecności inspektora ochrony danych osobowych powinien on wyznaczyć nową osobę do pełnienia tej funkcji o czym powinien niezwłocznie zawiadomić Prezesa Urzędu.

2.         Art. 29 ust. 2 MSWiA Należy wskazać na konieczność uzupełnienia art. 20 ust. 2 (becny art. 29 projektu) projektu ustawy o ochronie danych osobowych o dwie dodatkowe regulacje z zakresu prawa europejskiego, tj.:

1) rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (Dz. Urz. UE L 180 z 29.6.2013, s. 1) – zwane dalej „rozporządzeniem w sprawie Eurodac”,

2) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz. Urz. UE. L 135 z 24.5.16, s. 53) – zwane dalej „rozporządzeniem w sprawie Europol”

a co za tym idzie zmianę redakcji tego przepisu poprzez umieszczenie dwukropka po słowach „(…) w rozumieniu:”, oraz wymienienie w punktach wyszczególnionych w nim aktów prawnych.

W świetle projektu ustawy o ochronie danych osobowych wyznaczenie organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych – stanowi z jednej strony realizację dyspozycji art. 51 ust. 1 rozporządzenia 2016/679, z drugiej zaś art. 41 ust. 1 dyrektywy 2016/680. Analogiczny obowiązek został nałożony na państwa członkowskie, zarówno przez rozporządzenie w sprawie Eurodac (art. 30 ust. 1), jak i rozporządzenie w sprawie Europol (art. 42 ust. 1). Oba te akty prawne – w różnym wprawdzie zakresie – regulują uzyskiwanie, przetwarzanie oraz wymianę informacji zawierających dane osobowe. W tej sytuacji niezbędne jest objęcie nadzorem Prezesa Urzędu Ochrony Danych Osobowych również przetwarzania danych osobowych w ramach Eurodac i Europol.

Jednocześnie proponuję, aby przepisy określające uprawnienia organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych – w zakresie reakcji na nieprawidłowości występujące w krajowych podmiotach w sferze ochrony danych osobowych w ramach Eurodac i Europol uregulowane zostały w przygotowywanych w Ministerstwie Spraw Wewnętrznych i Administracji przepisach implementujących dyrektywę 2016/680.

Uwaga nieuwzględniona.

 

Po konsultacjach z przedstawicielami GIODO, projektodawca, zdecydował, iż nie jest możliwe enumeratywne wskazanie regulacji na podstawie których Prezes Urzędu wykonywał będzie swoje zadania.

3.         Art.  81 MSWiA Należy zauważyć, że art. 69 ust. 4 projektu (obecnie art. 81)  ustawy wprowadza dodatkowe obowiązki dla Policji, zgodnie bowiem z art. 69 ust. 4 „W toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego.”. Na mocy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, określone w art. 14 czynności kontrolne wykonywane przez właściwe podmioty realizowane były bez korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Z kolei w przypadkach ewentualnego zakłócenia porządku publicznego Policja mogła interweniować na zasadach ogólnych, zgodnie z jej ustawowymi uprawnieniami. Oznacza to, że projektowana ustawa nakłada nowe obowiązki na Policję, co w opinii Ministerstwa Spraw Wewnętrznych i Administracji nie znajduje faktycznego uzasadnienia. Dodatkowo duże zastrzeżenia budzi fakt wykonywania czynności przez funkcjonariuszy Policji na polecenie kontrolującego, którym na mocy art. 66 ww. ustawy, może być upoważniony pracownik Urzędu Ochrony Danych Osobowych, tym bardziej, że ustawa nie określa jego zakresu. W świetle powyższego wnoszę o usunięcie w projekcie tego obowiązku dla Policji. Uwaga częściowo uwzględniona.

Zadnie drugie w projektowanym art. 69 ust. 4 (obecnym art. 81) zostało usunięte. Jednocześnie zaproponowano doprecyzowanie regulacji, poprzez wskazanie na czym konkretnie ma polegać pomoc Policji w toku kontroli.

 

Proponujemy, by przepis ten otrzymał poniższe brzmienie:

 

Art. 81. 1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do przeprowadzenia czynności kontrolnych.

2. Właściwy miejscowo komendant Policji zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli pomocy Policji w toku czynności kontrolnych.

3.  Policja udziela pomocy kontrolującemu przy wykonywaniu kontroli, jeżeli w toku wykonywania tych czynności kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, albo jeżeli istnieje uzasadnione przypuszczenie, że na taki opór natrafi.

4. Udzielenie pomocy i asysta Policji przy wykonywaniu kontroli polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku w tym miejscu.

5. Policja, udzielając pomocy lub asystując kontrolującemu w kontroli zapewnia bezpieczeństwo również innym osobom uczestniczącym w kontroli, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli.

6. Z przebiegu czynności, o których mowa w ust. 4 i 5, funkcjonariusz policji udzielający pomocy lub asysty sporządza notatkę urzędową, zawierającą określenie terminu, miejsca  prowadzenia czynności, dane kontrolującego i kontrolowanego oraz osoby, o której mowa w art. 79 biorącej udział w kontroli, a także opis czynności wykonanych w ramach udzielonej pomocy lub asystowania. Notatkę funkcjonariusz niezwłocznie przekazuje swojemu bezpośredniemu przełożonemu.

 

4.         Art. 73

Obecnie art. 87

MIiR Projekt zawiera wyjątki od zasad kontroli działalności gospodarczej określonych w przepisach art. 79 i art. 83 ustawy o swobodzie działalności gospodarczej. Nie wydają się one uzasadnione, ponieważ zawiadomienie służy należytej organizacji kontroli zarówno przez pracowników organu kontroli, jak i przez przedsiębiorców. Kontrolowani muszą zapewnić kontrolującym odpowiednie warunki, a w szczególności umożliwić dostęp do pomieszczeń, sporządzić na żądanie kontrolujących kopie dokumentów, niezwłocznie udzielać wyjaśnień. Co więcej, przy czynnościach kontrolnych musi być obecny przedsiębiorca lub osoba przez niego upoważniona. W związku z tym kontrole niezapowiedziane powinny pozostać wyjątkiem, a nie zasadą. W obecnym stanie prawnym mogą być one przeprowadzane w taksatywnie określonych sytuacjach (art. 79 ust. 2 usdg, m.in. gdy przeprowadzenie kontroli jest niezbędne dla przeciwdziałania popełnieniu wykroczenia lub zabezpieczenia dowodów jego popełnienia). Przepis ten stanowi zabezpieczenie dla przedsiębiorcy przed ewentualnym nieuzasadnionym działaniem organu, które miałoby istotny wpływ na możliwość prowadzenia przez niego działalności. Z tego względu Ministerstwo Rozwoju postuluje pozostanie przy takim rozwiązaniu i niewyłączanie przepisów 79 i 83 usdg, a w uzasadnionych przypadkach korzystanie z wyłączeń już przewidzianych prawem.

Odnośnie do art. 83 usdg należy dodatkowo podkreślić, że wskazane w nim limity dotyczą czasu trwania wszystkich kontroli organu kontroli u przedsiębiorcy w jednym roku kalendarzowym i zostały uzależnione od wielkości przedsiębiorcy. Limit przysługujący Prezesowi UODO nie będzie więc uszczuplony przez kontrole przeprowadzane przez inne organy kontroli.

Uwaga nieuwzględniona.

Niewyłączenie przez projektodawcę art. 79 ustawy o swobodzie działalności gospodarczej oznaczałoby, że Prezes Urzędu nie mógłby prowadzić niezapowiedzianych kontroli. Intencją projektodawcy było natomiast zapewnienie mu takiej możliwości. Nie oznacza to oczywiście, że kontrole niezapowiedziane będą zasadą stosowaną przez Prezesa Urzędu. W ocenie projektodawcy niewyłączenie stosowania art. 79 ustawy o swobodzie działalności gospodarczej uniemożliwi przeprowadzanie Prezesowi Urzędu kontroli niezapowiedzianych ponieważ, żaden z wyjątków wskazanych w art. 79 ust. 2 nie miałby tutaj zastosowania, przetwarzanie danych osobowych niezgodnie z przepisami ustawy nie jest bowiem wykroczeniem.

Natomiast za wyłączeniem art. 83 ustawy o swobodzie działalności gospodarczej przemawia konieczność zapewniania Prezesowi Urzędu możliwości przeprowadzenia kontroli poza wskazanymi w ustawie o swobodzie działalności gospodarczej limitami. W opinii projektodawcy 12, 18 czy nawet 24 dni robocze w skali roku w stosunku do podmiotu, który dopuściłby się kilkukrotnie naruszenia przepisów to nie jest czas pozwalający na rzetelne przeprowadzenie kontroli a w niektórych sytuacjach mógłby wręcz uniemożliwić wszczęcie postepowania kontrolnego i przeprowadzenie kontroli.

5.         Art. 74 ust. 1

Obecnie art. 85

MIiR Projektodawca zakłada, że postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych (art. 74 ust. 1). Należy podkreślić, że taki termin spowoduje negatywne skutki wyłącznie dla podmiotów z sektora MŚP, dla których obecnie terminy kontroli jednego organu wynoszą odpowiednio 12, 18 i 24 dni robocze. W przypadku dużych przedsiębiorców termin na kontrolę wynosi 48 dni. Jednocześnie ocena realnego wpływu nowych przepisów na przedsiębiorców jest utrudniona przez brak wskazania w OSR do projektu informacji w zakresie ilości prowadzonych kontroli oraz czasu ich trwania.

Pozwalamy sobie również wskazać, że projektodawca posługuje się terminem „postępowanie kontrolne” (tytuł rozdziału 7 czy art. 74), który nie jest tożsamy z pojęciem „kontroli” (na co wskazał również NSA w wyroku II FSK 2276/12) i wydaje się niezamierzony w kontekście projektu ustawy.

Zgodnie z projektowanym art. 74 (obecnym art. 85)  kontrola nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Natomiast za podjęcie czynności kontrolnych uznaje się moment okazania kontrolowanemu upoważnienia do przeprowadzenia kontroli. Terminem zakończenia kontroli jest natomiast dzień podpisania protokołu kontroli przez kontrolowanego. W tym terminie organ obowiązany będzie przeprowadzić kontrolę w siedzibie podmiotu, dokonać analizy zebranego materiału, sporządzić protokół i przedstawić go do podpisu podmiotu kontrolowanego.

Projektodawca zdecydował się na wyłączenie stosowania art. 83 ustawy o swobodzie działalności gospodarczej z uwagi na konieczność zapewniania Prezesowi Urzędu możliwości przeprowadzenia kontroli poza wskazanymi w ustawie o swobodzie działalności gospodarczej limitami. W opinii projektodawcy 12, 18 czy nawet 24 dni robocze w skali roku w stosunku do podmiotu, który dopuściłby się kilkukrotnie naruszenia przepisów to nie jest czas pozwalający na rzetelne przeprowadzenie kontroli a w niektórych sytuacjach mógłby wręcz uniemożliwić wszczęcie postepowania kontrolnego i przeprowadzenie kontroli.

6.         Art. 86

 

Obecny art. 98

MF W odniesieniu do projektowanego w art. 86 utworzenia Funduszu Ochrony Danych Osobowych, należy wskazać na niezasadność tworzenia nowego funduszu celowego. Zgodnie z uzasadnieniem do projektu RODO daje jedynie możliwość określenia czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim.

Mając na uwadze postanowienia art. 111 pkt 12 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.) propozycja zakładająca, iż środki finansowe z tytułu administracyjnych kar pieniężnych będą stanowiły przychód Funduszu – nie znajduje uzasadnienia. Przeprowadzona w roku 2009 reorganizacja sektora finansów publicznych miała na celu konsolidację finansów publicznych i zwiększenie efektywności wykonywanych zadań publicznych poprzez m.in. ograniczenie liczby funkcjonujących państwowych funduszy celowych. Dlatego też zaproponowane przez projektodawcę rozwiązanie nie zasługuje na akceptację, zwłaszcza że jedynym źródłem przychodów mają być wpływy z kar pieniężnych, które powinny stanowić dochody budżetu państwa. Należy mieć również na uwadze, iż tworzenie nowego państwowego funduszu celowego nie tylko nie wpłynie na konsolidację finansów publicznych i możliwość racjonalizacji wydatków publicznych, a wręcz przeciwnie może spowodować wyprowadzenie środków finansowych państwa poza gospodarkę stricte budżetową i ugruntować rozproszenie środków publicznych poza budżet państwa. Ponadto, wskazane w projekcie zadania powierzane nowemu Funduszowi są zadaniami, które powinny być realizowane przez Urząd Ochrony Danych Osobowych. Niezależnie od powyższego należy zauważyć, że w art. 85 określono, że środki finansowe z kar pieniężnych stanowią dochód budżetu państwa, zatem nie będzie możliwe przekazywanie 1% tych środków na przychody Funduszu, co postuluje się w art. 86 ust. 3.

Uwaga nieuwzględniona.

 

Budowanie jednolitego rynku cyfrowego, społeczeństwa informacyjnego i gospodarki opartej na wiedzy, wiąże się ze stosowaniem co raz to nowszych technologii informacyjnych. W związku z tym rośnie ilość i jakość zagrożeń dla obywateli w cyberprzestrzeni, od mowy nienawiści, przez wyłudzenia i kradzież pieniędzy po tzw. kradzieże tożsamości. Aby cyfryzacja mogła się dobrze rozwijać, a obywatele w szerszym zakresie mogli korzystać z technologii cyfrowych, administracja publiczna musi zbudować zaufanie obywateli do korzystania z tych technologii. Natomiast podstawą budowy zaufania jest świadomość i wiedza jak bezpiecznie korzystać z technologii informacyjnych oraz jak korzystać
z praw przysługujących osobom, których dane przetwarzane są przez dziesiątki podmiotów. Generalny Inspektor Ochrony Danych Osobowych, bardzo skromnie prowadzi działania informacyjne i edukacyjne. Pomimo tego, że w ostatnim czasie widać wzrost aktywności organu  na tym polu, to działania te są daleko niewystarczające. Infolinia przestała działać, obywatel, czy przedsiębiorca nie może uzyskać wsparcia za pomocą tak powszechnego środka komunikacji, jakim jest e-mail.
Z pewnością jest to związane m.in. ze skromnymi środkami budżetowymi tego organu, co ogranicza działania na każdym polu aktywności. Nowe unijne prawo wprowadza bardzo wysokie administracyjne kary finansowe, nie wskazując jednocześnie przedsiębiorcom żadnych konkretnych środków techniczno – organizacyjnych służących zabezpieczeniu danych osobowych. To przesunięcie odpowiedzialności dobierania odpowiednich środków zabezpieczających z państwa na  przedsiębiorców, w ocenie projektodawcy pełni uzasadnia przeznaczenie środków budżetowych pochodzących z kar finansowych właśnie na działalność edukacyjną i informacyjną – zwłaszcza najmłodszych obywateli.

7.         Propozycja dodania kolejnego art. MNiSW Proponuję uzupełnienie przepisów projektowanej ustawy o przewidzianą w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) możliwość wprowadzenia określonych wyjątków w przypadku przetwarzania danych osobowych dla celów badań naukowych. Możliwość taką przewiduje art. 9 i art. 89 rozporządzenia 2016/679, który dopuszcza pewne odstępstwa od ogólnego modelu przetwarzania danych osobowych. W związku z powyższym proponuję uzupełnienie projektowanej ustawy w szczególności o przepisy:

Do przetwarzania danych osobowych do celów badań naukowych nie stosuje się art. 15, art. 16, art.18 i art. 21 rozporządzenia 2016/679 jeżeli zachodzi prawdopodobieństwo, że określone w tych przepisach prawa uniemożliwią lub poważnie utrudnią realizację celów badawczych i jeżeli przetwarzanie danych osobowych jest konieczne do osiągnięcia założonych celów.

 

Uwaga nieuwzględniona.

 

W ocenie projektodawcy reforma przepisów dotyczących ochrony danych osobowych nie powinna obniżać standardów tej ochrony zawartych w ustawie o ochronie danych osobowych z 1997 roku. Uwzględniając jednak możliwości jakie daje rozporządzenie, projektodawca uwzględnił w art. 2 ust. 2 projektu ustawy wprowadzającej przepisy rozporządzenia 2016/679 szczególne wyłączenie niektórych jego przepisów, w przypadku przetwarzania danych osobowych w celu korzystania z wolność wypowiedzi akademickiej.

 

Odnosząc się do uwagi dotyczącej wyłączenia w całości stosowania prawa do dostępu, uregulowanego w art. 15 rozporządzenia 2016/679, projektodawca zwraca po pierwsze uwagę, iż jest to jedno z podstawowych praw, jakie przysługują podmiotom danych. Jako takie powinno być ostrożnie ważone, w przypadku gdy jest porównywane do innej wartości – w tym przypadku prowadzenia badań naukowych. Zdaniem projektodawcy niezwykle ciężko jest znaleźć przykład, gdy prawo dostępu do danych mogłoby negatywnie wpływać na prowadzenie badań naukowych.  Dodatkowo w art. 15 ust. 3 rozporządzenie daje możliwość administratorom danych pobierania opłaty za kolejne kopie danych, których żądają podmioty danych, co powinno zniwelować potencjalnie negatywne skutki finansowe wykonywania tego prawa.

 

Zdaniem projektodawcy wyłączenie stosowania w całości art. 16 rozporządzenia, które daje podmiotom danych prawo do sprostowania ich danych również nie jest zasadne. W ocenie projektodawcy prawo to daje możliwość sprostowania danych nieprawidłowych a nie nieprawdziwych. Projektodawca uznaje, że jest część badań naukowych, które może opierać się również na badaniu danych nieprawdziwych, to jednak z korzyścią dla wszystkich badań naukowych powinno być, to że będą prowadzone na danych prawidłowych.

 

Zdaniem projektodawcy niezasadne jest także wyłączenie w całości stosowania art. 18 rozporządzenia, które przyznaje podmiotom danych prawo do ograniczenia przetwarzania ich danych osobowych. Jeżeli dane badanie naukowe jest prowadzone na podstawie przepisów prawa, to zgodnie z art. 18 ust. 1 lit b) nie znajdzie zastosowania prawo do sprzeciwu. Natomiast w pozostałych przypadkach wskazanych w tym przepisie, zdaniem projektodawcy wyłączenie prawa do sprzeciwu stanowiłoby nadmierną ingerencją w prawo przysługujące podmiotom danych w stosunku do wartości jaką byłoby prowadzenie badania naukowego bez zgłaszanych przez te podmioty sprzeciwów.

 

W przypadku rozważania wyłączania stosowania art. 21 na podstawie art. 89 ust. 2, trzeba również brać pod uwagę treść art. 21 ust. 6 rozporządzenia, które daje pierwszeństwo prawu podmiotowemu do wniesienia sprzeciwu, chyba że przetwarzane są dane osobowe dla celów badań naukowych dla celów publicznych. W związku z tym, zdaniem projektodawcy należy przyznać prymat prawu podmiotowemu i nie wyłączać stosowania w całości art. 21 do przetwarzania w celach badań naukowych.

8.         Propozycja dodania kolejnego art.  MNiSW Do przetwarzania danych osobowych niezbędnych do realizacji  badań naukowych mających na celu przygotowanie rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego nie stosuje się przepisów art. 9 ust. 1 rozporządzenia 2016/679, pod warunkiem, że publikowanie wyników tych badań następuje w sposób uniemożliwiający identyfikację osób, których dane zostały przetworzone.

Do przetwarzania danych, o których mowa w ust. 1 i 2 podmiot prowadzący badania naukowe wdraża odpowiednie zabezpieczenia praw i wolności osoby, której dane osobowe są zawarte w materiałach badawczych zgodnie z art. 89 ust 1 rozporządzenia 2016/679.

Uwaga nieuwzględniona.

 

Podstawą prawą możliwości ograniczenia stosowania lub wyłączenia pewnych przepisów rozporządzenia jest jego art. 23 lub 89. W żadnym z nich nie ma mowy o możliwości ograniczenia bądź wyłączenia stosowania art. 9 rozporządzenia 2016/679. Dlatego też w ocenie projektodawcy nie możliwe jest uwzględnienie uwagi w obecnym kształcie.

Zdaniem projektodawcy przetwarzanie szczególnych kategorii danych osobowych dla celów badań naukowych możliwe jest na podstawie art. 9 ust. 2 lit. j), jednak taka podstawa prawna powinna znajdować się w konkretnych ustawach sektorowych np. w ustawie prawo o szkolnictwie wyższym, a nie w ustawie ogólnej.

W ocenie projektodawcy niezasadne jest również dodanie do projektu ustawy ostatniej ze zgłoszonych uwag, gdyż byłoby to powtórzeniem treści art. 89 ust. 1 rozporządzenia 2016/679.

9.         Propozycja dodania kolejnego art.  MON W projekcie ustawy o ochronie danych osobowych proponuję się po art. 2 dodać art. 3 w brzmieniu:

„Art. 3. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.”.

 

Wprowadzenie proponowanej normy prawnej pozwoli na zastosowanie przepisów przewidujących dalej idącą ochronę danych osobowych niż wynikająca z projektu ustawy. Przykładem tego może być polityka bezpieczeństwa, która zawiera bardzo istotne informacje służące ochronie danych osobowych, minimalizująca zagrożenia oraz zapewniająca poufność, integralność i rozliczalność przetwarzanych danych. Nieuprawnione ujawnienie tych informacji mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej. Ochronę polityki bezpieczeństwa przed nieuprawnionym dostępem, obecnie zapewnia ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2016 r., poz. 1167, z późn. zm.), która zgodnie z art. 1 ust. 1 określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania, zwanych dalej „informacjami niejawnymi”. Klasyfikowanie informacji niejawnych określono w art. 5 cytowanej ustawy nadając informacjom niejawnym klauzulę „ściśle tajne”, „tajne”, „poufne”, oraz „zastrzeżone”. Nie ujęcie proponowanego rozwiązania może doprowadzić do konfliktu między normami prawa, poprzez kolizję ustaw przewidujących dalej idącą ochronę w przedmiotowym zakresie z procedowanymi przepisami projektu ustawy o ochronie danych osobowych.

 

Uwaga nieuwzględniona.

 

W ocenie projektodawcy włączenie takiego przepisu do projektu jest zbędne, gdyż stosowanie wskazanego w nim mechanizmu zawiera zasada lex specialis derogat legi generali, obowiązująca w polskim systemie prawnym. Ponadto zdaniem projektodawcy, dodanie takiego przepisu zawierającego zwrot nieokreślony nie podniosłoby poziomu ochrony prawnej wynikającego z odrębnych ustaw, gdyż stwarzałoby w praktyce wątpliwości interpretacyjne.

 

Ponadto w opinii projektodawcy dodanie takiego przepisu byłoby niezgodne z rozporządzeniem 2016/679.

 

 

10.     Uwagi ogólne KPRM Projektowana ustawa o ochronie danych osobowych określa organ właściwy w sprawie ochrony danych osobowych, podmioty zobowiązane do wyznaczenia inspektora ochrony danych osobowych, warunki i tryb udzielania certyfikacji i akredytacji oraz szereg innych zagadnień. Jednakże projekt nie zmierza do unormowania zasad przetwarzania danych osobowych albowiem kwestia ta zostaje określona w rozporządzeniu 2016/679 a tym samym projektowana ustawa nie wskazuje podmiotów, które są obowiązane do jej stosowania. Wynika to z faktu, iż rozporządzenie 2016/679 stosuje się bezpośrednio. Mając na uwadze powyższe należy zaznaczyć, iż przytoczone rozporządzenie umożliwia dokonanie wyłączeń podmiotowych. Stanowisko takie znajduje uzasadnienie już w preambule oraz art. 2 ust. 2 rozporządzenia. Motyw 14 preambuły stanowi, iż rozporządzenie nie ma zastosowania do kwestii ochrony podstawowych praw i wolności ani do swobodnego przepływu danych osobowych w związku z działalnością nieobjętą zakresem prawa Unii, tj. m. in. działalnością dotyczącą bezpieczeństwa narodowego. Przy czym w omawianej sprawie, istotne jest brzmienie art. 4 ust. 2 Traktatu o Unii Europejskiej, w myśl którego bezpieczeństwo narodowe jest zagadnieniem pozostającym w zakresie wyłącznej odpowiedzialności każdego państwa członkowskiego Unii Europejskiej. W świetle przytoczonej argumentacji zasadnym jest wyłączenie służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz.U. z 2017 r. poz. 1920) spod zakresu stosowania projektowanej ustawy o ochronie danych osobowych. Aby zapewnić realizację powyższego postulatu proponuje, aby w projekcie ustawy o ochronie danych osobowych dodać przepis oznaczony roboczo jako art. 3a w brzmieniu:

„Art. 3a. Przepisów ustawy nie stosuje si^ do Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego oraz Centralnego Biura Antykorupcyjnego.”

Stanowisko niniejsze pozostaje w zgodzie z pracami zmierzającymi do wyłączenia służb specjalnych z zakresu podmiotowego ustawy o przetwarzaniu danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości, którego projektodawca jest Minister Spraw Wewnętrznych i Administracji, implementującej przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzje ramową Rady 2008/97 7/WSiSW. Wyłączenie służb specjalnych z zakresu projektowanego aktu prawnego pozwoli na wprowadzanie w ustawach regulujących funkcjonowanie służb specjalnych, szczegółowych przepisów stanowiących odrębny reżim prawny, który określał będzie zasady przetwarzania danych osobowych z pełnym poszanowaniem praw i wolności osób, których przetwarzane dane dotyczą ale jednocześnie z uwzględnieniem takich kwestii jak bezwzględna konieczność zapewnienia bezpieczeństwa narodowego. Projektowane w tej materii przepisy zostaną przedstawione w ramach prac nad projektem ustawy o przetwarzaniu danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości, którego projektodawca jest Minister Spraw Wewnętrznych i Administracji, implementującej przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów

zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/97 7/WSiSW.

Uwaga nieuwzględniona.

 

Projektodawca nie zdecydował się wprowadzić do projektu przepisów, określających zakres zastosowania przepisów o ochronie danych osobowych dla bezpieczeństwa narodowego państwa. W polskiej legislacji brak jest bowiem zamkniętego katalogu działań, uznanych za wchodzące w zakres „bezpieczeństwa narodowego”. W ocenie projektodawcy decyzja o tym, czy dane działanie uznane powinno być za objęte „bezpieczeństwem narodowym” podjęta powinna być po wnikliwej ocenie każdego stanu faktycznego przez administratora oraz podmiot przetwarzający. Przy czym nie powinno się stosować w tym przypadku wykładni zawężającej ochronę prawa podstawowego jakim jest ochrona danych osobowych. Decyzja taka będzie w dalszej kolejności podlegała działaniom kontrolnym Prezesa Urzędu oraz wymiaru sprawiedliwości. Projektodawca nie zdecydował się również przesądzić relacji zachodzących pomiędzy art. 2 ust. 2 lit. a Rozporządzenia oraz  art. 23 ust. 1 lit. a Rozporządzenia w kontekście możliwego użycia w nich tej samej klauzuli „bezpieczeństwa narodowego”. TSUE w wyroku Bodil Lindqvist C 101/01 (Wyrok TSUE z 6.11.2003 w sprawie C-101/01, Lindqvist, EU:C:2003:596) wskazał, że  „rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 (a mianowicie rodzaje działalności, o których stanowią tytuły V i VI Traktatu o Unii Europejskiej, jak również przetwarzanie w ramach działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa oraz w ramach działalności państwa w obszarach prawa karnego) stanowią w każdym razie działania właściwe państwom i władzom państwowym, obce dziedzinom działalności jednostek.” W ocenie projektodawcy, odmiennie będzie traktowana sytuacja w obrębie art. 23 Rozporządzenia, ponieważ  w tym wypadku bezpieczeństwo narodowe jest jedynie środkiem służącym temu bezpieczeństwu, a  nie celem samym w sobie.  Innymi słowy istota działalności podmiotu, który będzie korzystał z ograniczenia z art. 23 Rozporządzenia nie będzie ukierunkowana bezpośrednio na bezpieczeństwo narodowe, lecz na inne obszary działalności podlegające prawodawstwu unijnemu. Zakresy art. 2 ust. 2 lit. a , w zw. z art. 4 ust. 2 TUE i  art. 23 ust. 1 Rozporządzenia nie pokrywają się, pomimo użycia tej samej klauzuli „bezpieczeństwa narodowego”.

 

 

Czytaj więcej

Zaostrzenie kar w nowym projekcie Ustawy o ochronie danych osobowych z 8 lutego 2018

Rozdział 12

Przepisy karne

Art. 101. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

  1. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Art. 102. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Czytaj więcej

uzasadnienie do projektu ustawy o ochronie danych osobowych z Rządowego Centrum Legislacji

(Jak stanowi art. 4 pkt 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, przedmiotu prawa autorskiego nie stanowią dokumenty urzędowe, materiały, znaki i symbole.)

UZASADNIENIE Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „Rozporządzeniem”. Rozporządzenie będzie obowiązywało w polskim porządku prawnym bezpośrednio i będzie miało zastosowanie od dnia 25 maja 2018 r. i od tego dnia polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając jego rozwiązań ani nie będąc z nim sprzecznymi. Zakres kompetencji państw członkowskich wdrażania przepisów Rozporządzenia wyznacza co do zasady samo rozporządzenie (zob. szerzej P. Kozik, „Zakres swobody regulacyjnej państw członkowskich przy wdrażaniu ogólnego rozporządzenia o ochronie danych osobowych do prawa krajowego” EPS 5/2017 s. 18-22). Przepisy obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r, poz. 922), zwanej dalej „obowiązującą Ustawą”, z jednej strony zawierają regulacje analogiczne do regulacji Rozporządzenia, np. w zakresie definicji danych osobowych, z drugiej zawierają regulacje odmienne niż te, które przewiduje Rozporządzenie, choćby w zakresie definicji zgody osoby, której dane dotyczą. Obowiązująca Ustawa zawiera też regulacje, których nie przewiduje Rozporządzenie, np. w zakresie rejestracji zbiorów danych, ale także brak w obowiązującej ustawie przepisów dotyczących choćby certyfikacji. W świetle powyższego konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE. Przepisy projektowanej ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych będzie nim Prezes Urzędu Ochrony Danych Osobowych. Rozdział 1 Przepisy ogólne. Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z konieczności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „Rozporządzeniem”. Rozporządzenie będzie obowiązywało w polskim porządku prawnym bezpośrednio i będzie miało zastosowanie od dnia 25 maja 2018 r. i od tego dnia polskie przepisy muszą zapewniać skuteczne stosowanie przepisów Rozporządzenia, nie powielając jego rozwiązań ani nie będąc z nim sprzecznymi. Zakres kompetencji państw członkowskich wdrażania przepisów Rozporządzenia wyznacza co do zasady samo rozporządzenie (zob. szerzej P. Kozik, „Zakres swobody regulacyjnej państw członkowskich przy wdrażaniu ogólnego rozporządzenia o ochronie danych osobowych do prawa krajowego” EPS 5/2017 s. 18-22). Przepisy obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r, poz. 922), zwanej dalej „obowiązującą Ustawą”, z jednej strony zawierają regulacje analogiczne do regulacji Rozporządzenia, np. w zakresie definicji danych osobowych, z drugiej zawierają regulacje odmienne niż te, które przewiduje Rozporządzenie, choćby w zakresie definicji zgody osoby, której dane dotyczą. Obowiązująca Ustawa zawiera też regulacje, których nie przewiduje Rozporządzenie, np. w zakresie rejestracji zbiorów danych, ale także brak w obowiązującej ustawie przepisów dotyczących choćby certyfikacji. W świetle powyższego konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE. Przepisy projektowanej ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych będzie nim Prezes Urzędu Ochrony Danych Osobowych. W Rozdziale 1 wskazano zakres regulacji. Zgodnie z art. 1, ustawa będzie miała zastosowanie do ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Państwa członkowskie nie mają kompetencji prawodawczej do określenia relacji pomiędzy Rozporządzeniem a przepisami implementującymi inne akty prawa wtórnego UE w tym dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW. Projekt jest aktem prawnym zapewniającym skuteczne stosowanie przepisów Rozporządzenia, nie implementuje jednak przepisów wskazanej dyrektywy, odnosząc się do niej w swojej treści wyłącznie w niewielkim stopniu. Wobec powyższego przepisy ustawy nie znajdą zastosowania do ochrony innych podmiotów w związku z przetwarzaniem ich danych osobowych. Powyższe odpowiada zakresowi podmiotowemu zastosowania Rozporządzenia i jest zgodne z motywem 14 preambuły do Rozporządzenia, który stanowi, że „Ochrona zapewniana niniejszym Rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych, dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.” W ocenie projektodawcy, pojęcie „osoby prawnej” powinno być intepretowane w świetle legislacji krajowej, obejmując również swoim zakresem tzw. ułomne osoby prawne. Pojęcie danych o firmie i formie prawnej oraz danych kontaktowych powinno obejmować dane konieczne do oznaczania osoby prawnej w obrocie gospodarczym, przy czym nie jest możliwym uznanie, że są to wszystkie dane zawarte przykładowo w Krajowym Rejestrze Sądowym. W ocenie projektodawcy nie powinny być to dane, które przykładowo wskazują na rozdzielność majątkową członka zarządu spółki. Jednocześnie nie zdecydowano się skorzystać z możliwości przyjęcia przepisów o przetwarzaniu danych osobowych osób zmarłych. W tym zakresie instrumentem ochrony będą przepisy o ochronie dóbr osobistych przewidziane w kodeksie cywilnym (np. w ramach kultu pamięci osoby zmarłej). W projekcie ustawy przyjęto, że przedmiotowy zakres jej zastosowania będzie odpowiadał zakresowi zastosowania Rozporządzenia, co oznacza, że będzie miała zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych. Poza organami i instytucjami powoływanymi na podstawie Rozporządzenia, adresatami wynikających z niego obowiązków są z kolei administratorzy, podmioty przetwarzające. Stosowanie nowej ustawy – zgodnie z treścią Rozporządzenia – będzie wyłączone w odniesieniu do przetwarzania danych osobowych: 1) w ramach działalności nieobjętej zakresem prawa Unii; 2) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o funkcjonowaniu Unii Europejskiej; 3) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze; 4) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Projektodawca, przyjął w projekcie nowej ustawy dokładnie taki sam zakres przedmiotowy, jak w przypadku Rozporządzenia, uznając, iż jest on adekwatnie szeroki, podobnie jak w obowiązującej Ustawie. Jednocześnie przyjął, że wyjątki od stosowania nowej ustawy stanowią katalog zamknięty i muszą być stosowane zawężająco. Stąd w trakcie prac nad projektem nowej ustawy rozważano, jakie sprawy będą mogły być wyłączone z zakresu jej stosowania jako działalność nieobjęta prawem UE. Ostatecznie przyjęto, że wyłączenie to ma bardzo wąski charakter, gdyż działania podejmowane przez państwa członkowskie, w których mamy do czynienia z przetwarzaniem danych osobowych, będą podlegały regułom wynikającym z Rozporządzenia, ze względu na konieczność zapewnienie tym danym ochrony na takich samych warunkach we wszystkich państwach członkowskich. Projektodawca nie zdecydował się również na poszerzenie zakresu zastosowania Rozporządzenia na obszary objęte kompetencjami koordynacyjnymi, przewidzianymi w art. 6 Traktatu o Funkcjonowaniu Unii Europejskiej. Wejście w życie Traktatu z Lizbony wprowadziło bowiem w tym zakresie znaczącą zmianę. Traktat zniósł strukturę filarową w UE oraz wprowadził ogólną podstawę prawną do przyjęcia jednolitych ram prawnych ochrony danych osobowych w art. 16 TFUE, obejmując nimi były I oraz III filar UE. Obszary te objęte są więc działalnością unifikacyjną Unii Europejskiej w zakresie objętym Rozporządzeniem. Jednocześnie biorąc pod uwagę potrzebę jednolitego stosowania Rozporządzenia nie zdecydowano się na poziomie projektowanej ustawy zdefiniować pojęć wyznaczających zakres wyłączeń stosowania Rozporządzenia. Projektodawca – mimo podobnych działań podejmowanych przez inne państwa członkowskie, nie zdecydował się również na ograniczenie zastosowania przepisów o ochronie danych osobowych wyłącznie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Polsce uznając, że stanowiłoby to ograniczenie art. 3 Rozporządzenia. Szczegółowy zakres przedmiotowy projektowanej ustawy określa art. 1 ust. 2 projektu. Projektodawca nie zdecydował się wprowadzić do projektu przepisów, określających zakres zastosowania przepisów o ochronie danych osobowych dla bezpieczeństwa narodowego państwa. W polskiej legislacji brak jest bowiem zamkniętego katalogu działań, uznanych za wchodzące w zakres „bezpieczeństwa narodowego”. W ocenie projektodawcy decyzja o tym, czy dane działanie uznane powinno być za objęte „bezpieczeństwem narodowym” podjęta powinna być po wnikliwej ocenie każdego stanu faktycznego przez administratora oraz podmiot przetwarzający. Przy czym nie powinno się stosować w tym przypadku wykładni zawężającej ochronę prawa podstawowego jakim jest ochrona danych osobowych. Decyzja taka będzie w dalszej kolejności podlegała działaniom kontrolnym Prezesa Urzędu oraz wymiaru sprawiedliwości. Projektodawca nie zdecydował się również przesądzić relacji zachodzących pomiędzy art. 2 ust. 2 lit. a Rozporządzenia oraz art. 23 ust. 1 lit. a Rozporządzenia w kontekście możliwego użycia w nich tej samej klauzuli „bezpieczeństwa narodowego”. TSUE w wyroku Bodil Lindqvist C 101/01 (Wyrok TSUE z 6.11.2003 w sprawie C-101/01, Lindqvist, EU:C:2003:596) wskazał, że „rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 (a mianowicie rodzaje działalności, o których stanowią tytuły V i VI Traktatu o Unii Europejskiej, jak również przetwarzanie w ramach działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa oraz w ramach działalności państwa w obszarach prawa karnego) stanowią w każdym razie działania właściwe państwom i władzom państwowym, obce dziedzinom działalności jednostek.” W ocenie projektodawcy, odmiennie będzie traktowana sytuacja w obrębie art. 23 Rozporządzenia, ponieważ w tym wypadku bezpieczeństwo narodowe jest jedynie środkiem służącym temu bezpieczeństwu, a nie celem samym w sobie. Innymi słowy istota działalności podmiotu, który będzie korzystał z ograniczenia z art. 23 Rozporządzenia nie będzie ukierunkowana bezpośrednio na bezpieczeństwo narodowe, lecz na inne obszary działalności podlegające prawodawstwu unijnemu. Zakresy art. 2 ust. 2 lit. a , w zw. z art. 4 ust. 2 TUE i art. 23 ust. 1 Rozporządzenia nie pokrywają się, pomimo użycia tej samej klauzuli „bezpieczeństwa narodowego”. Uwzględniając, że ustawa służy zapewnieniu skutecznego stosowania w polskiej przestrzeni prawnej Rozporządzenia, jego treść wyznacza zakres terytorialny jej stosowania. Tym samym ustawę stosuje się do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Nowa ustawa – zgodnie z przepisami Rozporządzenia – będzie miała zastosowanie także do przetwarzania danych osób, przebywających w Unii przez administratora lub podmiot przetwarzający niemający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Nowa ustawa będzie też stosowana do przetwarzania danych osobowych przez administratora niemającego jednostki organizacyjnej w Unii, ale posiadającego jednostkę organizacyjną w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo państwa członkowskiego. W przepisach ogólnych projektowanej ustawy, w art. 2, wyłączono stosowanie niektórych przepisów Rozporządzenia do: – działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, – działalności literackiej, – działalności artystycznej, – wypowiedzi akademickiej; – ograniczenie stosowania Rozporządzenia dla małych i średnich przedsiębiorców. W przypadku wszystkich ww. rodzajów wypowiedzi akademickiej wyłączono stosowanie art. 13,15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2-10 oraz art. 30 Rozporządzenia. Wyłączono zatem następujące obowiązki administratora lub podmiotu przetwarzającego: – informowanie osoby, której dane dotyczą o danych pozyskanych od tej osoby (art. 13), – dostarczania osobie, której dane dotyczą kopii danych (art. 15 ust. 3 oraz ust. 4), – ograniczenia przetwarzania na wniosek osoby, której dane dotyczą (art. 18), – wyznaczania swojego przedstawiciela w UE w przypadku, o którym mowa w art. 3 ust. 2 Rozporządzenia (art. 27), – powierzenia przetwarzania danych osobowych podmiotowi przetwarzającemu na podstawie umowy lub innego instrumentu prawnego (art. 28), – prowadzenia rejestru czynności przetwarzania danych osobowych (art. 30). Dodatkowo do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych, działalności literackiej oraz działalności artystycznej, nie będzie się stosowało następujących przepisów Rozporządzenia: – art. 5 – zasady przetwarzania danych osobowych, – art. 6 – przesłanki legalności przetwarzania danych osobowych, – art. 7 – warunki wyrażania zgody przez osobę, której dane dotyczą, – art. 8 – warunki wyrażania zgody przez dziecko w przypadku usług społeczeństwa informacyjnego, – art. 9 – przetwarzanie szczególnych kategorii danych, – art. 11 – przetwarzanie danych osobowych osoby nie wymagającej identyfikacji, – art. 14 – obowiązek podawania informacji w przypadku pozyskiwania danych nie od osoby, której dane dotyczą, – art. 15 ust. 1 i 2 – prawo dostępu przysługujące osobie, której dane dotyczą, – art. 16 – prawo do sprostowania danych, – art. 19 – obowiązek powiadomienia odbiorcy danych o sprostowaniu, lub usunięciu danych osobowych lub o ograniczeniu przetwarzania, – art. 20 – prawo do przenoszenia danych, – art. 21 – prawo do sprzeciwu, – art. 22 – zautomatyzowane podejmowanie decyzji w indywidualnych sprawach, w tym profilowanie. W ocenie projektodawcy ww. wyłączenia „realizują” motyw 153 Rozporządzenia zgodnie z którym „Prawo państw członkowskich powinno godzić przepisy, regulujące wolność wypowiedzi i informacji, w tym wypowiedzi dziennikarskiej, akademickiej, artystycznej lub literackiej, z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia. Przetwarzanie danych osobowych jedynie do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej powinno podlegać wyjątkom lub odstępstwom od niektórych przepisów niniejszego rozporządzenia, jeżeli jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi i informacji, przewidzianymi w art. 11 Karty praw podstawowych. Powinno mieć to zastosowanie w szczególności do przetwarzania danych osobowych w dziedzinie audiowizualnej oraz w archiwach i bibliotekach prasowych. Państwa członkowskie powinny więc przyjąć akty prawne określające odstępstwa i wyjątki niezbędne do zapewnienia równowagi między tymi prawami podstawowymi. Państwa członkowskie powinny przyjąć takie odstępstwa i wyjątki w odniesieniu do zasad ogólnych, praw przysługujących osobie, której dane dotyczą, administratora i podmiotu przetwarzającego, przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, niezależnych organów nadzorczych, współpracy i spójności oraz szczególnych sytuacji przetwarzania danych. Jeżeli odstępstwa i wyjątki różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega administrator. Aby uwzględnić, jak ważna dla każdego demokratycznego społeczeństwa jest wolność wypowiedzi, pojęcia dotyczące tej wolności, takie jak dziennikarstwo, należy interpretować szeroko. Art. 85 Rozporządzenia przewiduje możliwość ograniczenia przepisów odnoszących się do ochrony danych osobowych, jedynie gdy jest to niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji. Ocena taka podjęta została na etapie tworzenia projektu. Art. 85 Rozporządzenia nie zawiera wymogu wskazania w treści przepisów wprowadzających odstępstwa (od ogólnych wymogów), iż są one realizowane w celu pogodzenia prawa do ochrony danych osobowych z wolnością wypowiedzi i informacji. Wprowadzenie takiego zastrzeżenia w praktyce w dużej mierze ograniczyłoby możliwość stosowania wyłączenia ze względu na praktyczne problemy z wykładnią niedookreślonych zwrotów: prawa do ochrony danych osobowych oraz wolności wypowiedzi i informacji. Zgodnie z treścią art. 85 Rozporządzenia, Państwa Członkowskie na etapie legislacyjnym mogą wyważyć wskazane w tym przepisie wartości i na tej podstawie wyłączyć lub ograniczyć powołane tam obowiązki i prawa związane z ochroną danych osobowych. Projektodawca zdecydował się ograniczyć zastosowanie konkretnych przepisów Rozporządzenia do małych i średnich przedsiębiorców na podstawie art. 23 ust. 1 lit. e Rozporządzenia tj. gdy przemawia za tym ważny interes gospodarczy lub finansowy państwa członkowskiego. W pierwszej kolejności należy wskazać, że Rozporządzenie nie posługuje się definicją pojęcia „interesu gospodarczego”. Projektodawca dokonując wykładni tego pojęcia i projektując przepisy ustawy posłużył się więc przepisami Rozporządzenia oraz innych źródeł prawa pierwotnego i wtórnego Unii Europejskiej. Już sam TFUE w art. 106 wskazuje bardzo wyraźnie, że działania podejmowane przez przedsiębiorców, mogą być podejmowane w interesie gospodarczym państwa członkowskiego. Zgodnie z treścią powołanego przepisu TFUE, „przedsiębiorstwa zobowiązane do zarządzania usługami świadczonymi w ogólnym interesie gospodarczym lub mające charakter monopolu skarbowego podlegają normom Traktatów”. Przy czym chodzi tutaj nie tylko o działania o zasięgu ogólnokrajowym, ale również działania lokalne. Zgodnie bowiem z treścią motywu 3 preambuły do rozporządzenia Komisji (UE) nr 360/2012 z dnia 25 kwietnia 2012 r. w sprawie stosowania art. 107 i 108 Traktatu o funkcjonowaniu Unii Europejskiej do pomocy de minimis przyznawanej przedsiębiorstwom wykonującym usługi świadczone w ogólnym interesie gospodarczym, „wiele działań kwalifikujących się jako wykonywanie usług świadczonych w ogólnym interesie gospodarczym, ma ograniczony zasięg lokalny”. W związku z tym Komisja Europejska wezwała Państwa Członkowskie do „wykorzystania szczególnych środków dla małych i mikro-przedsiębiorstw, takich jak odstępstwa, okresy przejściowe i zwolnienia (szczególnie w zakresie wymogów informacyjnych lub dotyczących sprawozdawczości), a także stosowanie innych środków dopasowanych do specyficznych potrzeb MŚP w odpowiednich przypadkach.”. Komisja zobowiązała również Państwa do „korzystania z przepisów dotyczących elastyczności w odniesieniu do MŚP przy wdrażaniu prawodawstwa unijnego oraz unikania nadmiernej regulacji (tzw. „gold-plating”)”. Rola, jaką podmioty MŚP pełnią w polskiej gospodarce, przyczyniając się do jej wzrostu, jest niekwestionowana. Należy wskazać, że według badań Polskiej Agencji Rozwoju Przedsiębiorczości, podmioty MŚP generują co drugą złotówkę PKB (największy udział w PKB mają mikroprzedsiębiorstwa – ok. 30,2% ), tworząc przy tym niemal 70% wszystkich miejsc pracy w sektorze przedsiębiorstw. Niewątpliwie polskie państwo ma więc interes gospodarczy we wspieraniu tych podmiotów – również na poziomie implementacji przepisów. Przejawem ochrony tego interesu gospodarczego jest zagwarantowanie przez ustawodawcę szczególnej ochrony podmiotów z kategorii MŚP w Ustawie o swobodzie działalności gospodarczej. Zgodnie z jej art. 8 „Organy administracji publicznej wspierają rozwój przedsiębiorczości, tworząc korzystne warunki do podejmowania i wykonywania działalności gospodarczej, w szczególności wspierają mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.”. Wsparcie tych przedsiębiorców będzie też zagwarantowane przez powołanie szczególnej instytucji do ochrony ich praw – Rzecznika Małych i Średnich Przedsiębiorców (zgodnie z ustawą Prawo przedsiębiorców). Uwzględnianie preferencji dla sektora MŚP nie jest jedynie domeną wąsko pojętego prawa gospodarczego. Również przepisy prawa podatkowego uznają ich szczególną rolę i przewidują pewne ułatwienia (np. wprowadzenie instytucji małego podatnika). Działania na rzecz podmiotów MŚP przewiduje także Strategia na Rzecz Odpowiedzialnego Rozwoju, która identyfikuje w stosunku do nich problem nadmiaru obowiązków biurokratycznych (w szczególności informacyjnych) oraz rekomenduje wprowadzenie niezbędnych instrumentów, które uwzględnią specyficzne potrzeby tych firm.Powyższe dostrzegł również ustawodawca unijny, przewidując w Rozporządzeniu rozwiązania ułatwiające jego stosowanie do małych i średnich przedsiębiorców. Zgodnie z motywem 13 preambuły do Rozporządzenia, „z uwagi na szczególną sytuację mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw niniejsze rozporządzenie przewiduje wyjątek dotyczący rejestrowania czynności przetwarzania dla podmiotów zatrudniających mniej niż 250 pracowników”. Podobnie w motywie 167 preambuły, ustawodawca unijny wyraźnie wskazuje, że „aby zapewnić jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze, tak jak to przewiduje niniejsze rozporządzenie. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem (UE) nr 182/2011. W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw”. W związku z powyższym, projektodawca decydując się wprowadzić wyłączenia w stosowaniu Rozporządzenia, ograniczył ich zastosowanie wyłącznie do przedsiębiorców zatrudniających mniej niż 250 pracowników. Zwrot „pracownicy” powinien być w ocenie projektodawcy intepretowany szeroko, i obejmuje wszystkie osoby wykonujące wewnątrz organizacji działania na rzecz przedsiębiorcy niezależnie od formy prawnej ich zatrudnienia. Nie znajdą również one zastosowanie wobec tych przedsiębiorców którzy w ramach przetwarzania danych osobowych przetwarzają dane osobowe szczególnie chronione o których mowa w art. 9 Rozporządzenia. Projektodawca uznał, że w ślad za intencją przyświecającą ustawodawcy unijnemu, przetwarzaniu takich danych należy się szczególna ochrona. Celem wyjaśnienia wszelkich wątpliwości, przedsiębiorcy nie będą mogli skorzystać z ograniczenia w stosowaniu Rozporządzenia wyłącznie w przypadku, gdy w ramach konkretnego przetwarzania dany osobowych (celu w ramach którego przetwarzają dane i chcą skorzystać z wyłączenia), gromadzą dane szczególnie chronione. Fakt, że w ramach organizacji przedsiębiorcy gromadzone są dane szczególnie chronione (np. w formie zwolnień lekarskich) nie powinien wyłączyć możliwości skorzystania z ograniczenia Rozporządzenia, o ile dane szczególnie chronione nie będą gromadzone w ramach konkretnego przetwarzania dany osobowych w związku z których przedsiębiorca chciałby skorzystać z ograniczenia. Ostatnim z kryteriów wykluczających możliwość powołania się przez przedsiębiorcę na ograniczenie, jest fakt udostępniania danych osobowych innym podmiotom na podstawie innej niż wyraźna zgoda osoby której dane dotyczą lub obowiązek wynikający z przepisu prawa. Podobnie jak zostało to wskazane powyżej, warunkiem jest nieudostępnianie danych osobowych w ramach konkretnego przetwarzania dany osobowych w związku z których przedsiębiorca chciałby skorzystać z ograniczenia. Intencją projektodawcy nie było jednak ograniczenie korzystania przez przedsiębiorców z usług swoich podwykonawców, działających na ich rzecz i we wskazanych przez nich celach. Fakt przekazania danych podmiotowi przetwarzającemu o którym mowa w art. 28 Rozporządzenia, nie wyłącza więc możliwość powołania się na ograniczenie w stosowaniu Rozporządzenia. Wszystkie z powyższych warunków tj. zatrudnianie do 250 osób, nie przetwarzanie danych szczególnie chronionych oraz nie udostępnianie danych innym podmiotom muszą zostać spełnione łącznie, aby wskazane przepisy Rozporządzenia nie znalazły zastosowania do przedsiębiorcy. Należy wreszcie wskazać, że projektodawca znacznie ograniczył zakres Rozporządzenia, wyłącznie do wyraźnie wskazanych przepisów, a przepis ograniczający zastosowanie Rozporządzenia odpowiada wszystkim wymogom przewidzianym w art. 23 ust. 2 Rozporządzenia. Projektodawca zdecydował się ograniczyć zastosowanie art. 13 Rozporządzenia wyłącznie do treści o których mowa w ust. 1 rzeczonego artykułu, oraz poinformowania o prawie do cofnięcia zgody. W dużej części przypadków, realizowanie rozbudowanego obowiązku informacyjnego, o którym mowa w art. 13 Rozporządzenia jest bardzo trudne, a nawet niemożliwe. Dotyczy to zwłaszcza sytuacji, gdy pierwszy kontakt klienta z przedsiębiorcą następuje drogą telefoniczną, która utrudnia kilkuminutowe odczytywanie długich komunikatów i treści prawnych. Każdy przedsiębiorca będzie jednak zobowiązany do poinformowania osób których dane będą przetwarzane (na etapie ich gromadzenia), o swoich danych, celu i podstawie prawnej przetwarzania danych, danych kontaktowych inspektora ochrony danych (o ile takiego posiada) oraz prawie do cofnięcia zgody. Projektodawca z podobnych przyczyn zdecydował się ograniczyć zastosowanie art. 34 Rozporządzenia. Przedsiębiorca będzie natomiast zobowiązany do poinformowania o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych, a tym samym nie uniknie odpowiedzialności za naruszenie prawa. Ograniczeniu stosowania podlegać ma również art. 15 ust. 3 i 4 i 19 Rozporządzeniu. Art. 5 projektu wdraża do polskiego porządku prawnego regulację art. 8 ust. 1 in fine Rozporządzenia. Zgodnie z treścią art. 8 ust. 1 Rozporządzenia: „Jeżeli zastosowanie ma art. 6 ust. 1 lit. a, w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę wiekową, która musi wynosić co najmniej 13 lat.”. Art. 8 Rozporządzenia wyraża bezpośrednio skuteczną normę z wąsko określonym obszarem kompetencji państw członkowskich. Państwa członkowskie mają swobodę regulacyjną w określeniu granicy wieku dziecka, jeżeli zastosowanie ma art. 6 ust. 1 lit. a Rozporządzenia w przypadku usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku. Państwa członkowskie mają w tym zakresie swobodę wyboru granicy wieku (tj. granicy powyżej, której dziecko może samodzielnie wyrazić zgodę), ale wyłącznie w odniesieniu do osób, które ukończyły 13 lat. Należy podkreślić, iż jest to wyłącznie możliwość po stronie państw członkowskich, bez konieczności skorzystania z kompetencji regulacyjnej. Co istotne, wskazana podstawa kompetencyjna dotyczy wyłącznie określenia granicy wieku dla skutecznego wyrażenia zgody przez dziecko i tylko w przypadku usług społeczeństwa informacyjnego, oferowanych bezpośrednio dziecku. Oznacza to w szczególności, iż art. 8 ust. 1 in fine Rozporządzenia nie przyznaje państwom członkowskim kompetencji do: a) określenia ogólnej granicy wieku dla możliwości przetwarzania danych osobowych dziecka (niezależnie od podstawy legalizującej przetwarzanie danych osobowych); b) modyfikacji zasad związania umową (art. 6 ust. 1 lit. b Rozporządzenia np. umowa o świadczenie usług drogą elektroniczną) jako podstawą przetwarzania danych (regulują to odrębne przepisy prawa umów państw członkowskich zgodnie z art. 8 ust. 3 Rozporządzenia); c) określania mechanizmu wyrażania lub aprobowania zgody dziecka (tj. w jakiej sytuacji przedstawiciel ustawowy może zgodę wyrazić samodzielnie, a w jakiej wyłącznie potwierdza czynność dziecka); d) regulacji sposobów weryfikacji tożsamości udzielających zgodę; d) określania tego kto i w jakim trybie może zgodę wycofać; e) regulacji problemu zgody – jako podstawy legalizującej przetwarzanie danych osobowych zgodnie – poza obszarem usług społeczeństwa informacyjnego (usług świadczonych drogą elektroniczną); f) regulacji problemu zgody osoby ubezwłasnowolnionej. Dodatkowo należy zwrócić uwagę, iż o ile art. 8 ust. 1 Rozporządzenia przesądza powyżej jakiej granicy wieku dziecko może samodzielnie udzielić zgody na przetwarzanie danych osobowych w ramach usług społeczeństwa informacyjnego, o tyle nie przesądza granicy wieku poniżej, której dziecko zgody w ogóle wyrazić nie może. Poniżej określonej granicy wieku (w przedziale 13-16 lat) w obrębie art. 8 ust. 1 Rozporządzenia, zgodę, o której mowa w art. 6 ust. 1 lit. a Rozporządzenia może wyrazić zarówno samodzielnie przedstawiciel ustawowy, jak i dziecko, jednak w tym drugim przypadku zgoda jest skuteczna po potwierdzeniu jej przez rodzica lub opiekuna prawnego. W kontekście powyższego (niezależnie od oceny przedstawionej regulacji Rozporządzenia) należy wyraźnie podkreślić, iż przepisy Rozporządzenia (art. 8 ust. 1) nie przyznają państwom członkowskim kompetencji określenia granicy wieku, poniżej której dziecko w ogóle zgody – na przetwarzanie danych osobowych w zakresie usług społeczeństwa informacyjnego – wyrazić nie może. W tym zakresie w praktyce należy odwołać się przede wszystkich do ogólnych kryteriów skuteczności zgody wskazanych w art. 4 pkt 11, zgodnie z którym: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w formie oświadczenia lub wyraźnego działania, potwierdzającego, przyzwolenie na przetwarzanie dotyczących jej danych osobowych. Projekt realizując kompetencję wskazaną w art. 8 ust. 1 in fine Rozporządzenia, obniża granicę wieku określoną w tym przepisie. Oznacza to, że zgodnie z projektem samodzielnie zgodę na przetwarzanie danych osobowych w przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku (np. zgodę na przetwarzanie danych osobowych w celu marketingu bezpośredniego administratora danych) będzie mogła wyrazić osoba, która ukończyła lat 13. Jednocześnie w celu zapewnienia pełnej efektywności regulacji art. 8 ust. 1 Rozporządzenia precyzuje, iż: a) problem zgody dotyczy usług świadczonych drogą elektroniczną, oraz b) wyrazić lub zaaprobować zgodę (wyrażoną przez dziecko, które nie ukończyło lat 13) może przedstawiciel ustawowy. Ad. a) Art. 8 ust. 1 Rozporządzenia posługuje się pojęciem usług społeczeństwa informacyjnego. Zgodnie natomiast z art. 4 pkt 25 Rozporządzenia, „usługa społeczeństwa informacyjnego” oznacza usługę w rozumieniu art. 1 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535. Biorąc pod uwagę treść art. 1 ust. 1 lit. b) Dyrektywy (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiająca procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz.U. L 241 z 17.9.2015, s. 1), pojęcie „usługi społeczeństwa informacyjnego” należy traktować jako tożsame pojęciu: „usługi świadczonej drogą elektroniczną” zgodnie z treścią ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. W związku z tym w celu uniknięcia wątpliwości co do zakresu zastosowania art. 5 projektu, w tym zachowania systemowej zgodności, projekt w art. 3 posługuje się określeniem „usługi świadczonej drogą elektroniczną”. Ad. b) Identyfikacja osoby uprawnionej do wyrażenia uprzedniej zgody (w oparciu o projektowany art. 5 ustawy) albo do potwierdzenia zgody wyrażonej przez osobę, która nie ukończyła lat 13 powinno następować przy uwzględnieniu treści przepisów ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny, dalej „k.c.”, oraz ustawy z dnia 25 lutego 1964 r. Kodeks rodzinny i opiekuńczy. W związku z tym projekt posługuje się ogólnym pojęciem przedstawiciela ustawowego. Projektodawca zdecydował się skorzystać z kompetencji przyznanej mu na mocy art. 8 ust. 1 in fine Rozporządzenia. Można założyć, iż wskazana podstawa kompetencyjna ma na celu dostosowanie przepisów Rozporządzenia do ogólnych reguł skutecznego składania oświadczeń woli przez dzieci w systemach prawnych państw członkowskich, w tym w zakresie regulacji prawa prywatnego. Na marginesie należy zwrócić uwagę, iż przepisy o ochronie danych osobowych wprost odwołują się do prawa prywatnego w kontekście zgody na przetwarzanie danych osobowych. Motyw 42 Rozporządzenia, wskazuje, iż zgodnie z dyrektywą Rady 93/13/EWG (tj. w sprawie nieuczciwych warunków w umowach konsumenckich) oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem oraz nie powinno zawierać nieuczciwych warunków. Należy zwrócić uwagę, iż w polskim systemie prawa cywilnego granicę wieku, kiedy małoletni może składać skuteczne (niekonieczne samodzielnie) oświadczenia woli, wyznacza ukończenie 13 lat. Zgodnie z art. 15 k.c. ograniczoną zdolność do czynności prawnych mają małoletni, którzy ukończyli lat trzynaście oraz osoby ubezwłasnowolnione częściowo. Ograniczona zdolność do czynności prawnych oznacza, iż małoletni może składać oświadczenia woli, z tym, że pewnych sytuacjach do ich skuteczności wymagana jest zgoda przedstawiciela ustawowego. Przyjmując regulację kodeksu cywilnego jako „wzorzec regulacyjny” i możliwy punkt odniesienia przy ocenie adekwatnego wieku podejmowania świadomych decyzji przez małoletnich, należy wskazać, iż wyrażenie zgody na przetwarzanie danych osobowych stanowi jednocześnie oświadczenie woli w rozumieniu k.c. W piśmiennictwie zauważono, iż w świetle regulacji k.c. zgoda na przetwarzanie danych osobowych nie podlega ograniczeniom wskazanym w art. 17 w zw. z art. 19 k.c. (nie jest to ani czynność prawna rozporządzająca ani zobowiązująca). Dlatego w świetle k.c. skuteczną zgodę na przetwarzanie danych osobowych może samodzielnie wyrazić osoba, która ma co najmniej ograniczoną zdolność do czynności prawnych (przede wszystkim ukończyła lat 13 * – zob. szerzej M. Gumularz, „Charakter prawny oświadczenia w zakresie zgody na przetwarzanie danych”, ABI Expert z 2017, nr 2). Zgoda osoby, która ukończyła 13 lat (i nie została ubezwłasnowolniona całkowicie) będzie legalizować ingerencję w dobro osobiste – dane osobowe – na gruncie art. 24 k.c. W związku z powyższym z systemowego punktu widzenia istotne jest, aby ocena tego samego zachowania na gruncie różnych reżimów (ochrona danych osobowych oraz prawo cywilne) nie prowadziła do odmiennych wniosków co do skuteczności. Uzasadnia to przyjęcie granicy wieku 13 lat. Celem wyjaśnienia wątpliwości interpretacyjnych projektodawca zdecydował się przesądzić wprost, że regulacje proceduralne przewidziane w projekcie uzupełniają regulacje Kodeksu. W zakresie w jakim ustawa nie zawiera regulacji szczególnej względem Kodeksu, bądź wprost nie wyłącza jego zastosowania, znajduje on zastosowanie. Rozdział 2. Inspektorzy ochrony danych. W Rozdziale 2 projektowanej ustawy uregulowano tryb notyfikacji inspektorów ochrony danych osobowych, zwanych dalej „inspektorami” oraz podmioty obowiązane w polskim porządku prawnym do wyznaczenia inspektora ochrony danych osobowych. Rozporządzenie reguluje kwestię inspektorów w przepisach art. 37-39. Przypadki obligatoryjnego wyznaczenia inspektorów określa art. 37 Rozporządzenia. Zgodnie z tym przepisem administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze, gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. W innych niż ww. przypadkach wyznaczenie inspektora jest dobrowolne. Projektodawca nie zdecydował się rozszerzyć przedmiotowo sytuacji obligatoryjnego wyznaczania inspektora, traktując katalog wymieniony w art. 37 ust. 1 Rozporządzenia jako zapewniający dostateczną ochronę podmiotów danych a jednocześnie uwzględniający także koszty powołania inspektora. Rozporządzenie nie definiuje terminu „organu lub podmiotu publicznego”. Grupa Robocza art. 29, jako unijne forum współpracy organów ochrony danych osobowych Państw Członkowskich UE, wskazała w swoich wytycznych, dotyczących inspektorów ochrony danych (WP243), „że takie pojęcie powinno zostać określone na poziomie przepisów krajowych. Do podmiotów takich najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również – na mocy właściwego prawa krajowego – szereg innych podmiotów prawa publicznego”. Uwzględniając powyższe oraz treść Rozporządzenia, wskazującego na obowiązek wyznaczenia inspektorów, ciążący na „organach lub podmiotach publicznych”, projektodawca zdecydował się wprowadzić do projektu szerokie rozumienie takich podmiotów publicznych. Przepisy projektu w celu zapewnienia stosowania art. 37 ust. 1 lit. a Rozporządzenia precyzują, iż organami i podmiotami publicznymi obowiązanymi do wyznaczenia inspektora są organy publiczne podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych. Kwalifikacje, jakie powinien posiadać inspektor określono bezpośrednio w Rozporządzeniu. Z jego przepisów wynika, iż inspektor powinien dysponować wiedzą fachową na temat prawa oraz odbyć praktyki w dziedzinie ochrony danych, a także posiadać umiejętność wypełniania zadań, o których mowa w art. 39 Rozporządzenia. Projektodawca nie zdecydował się na dookreślenie kwalifikacji, jakie powinien spełniać inspektor, wychodząc z założenia, że każda próba doprecyzowania tych przesłanek – np. w zakresie długości praktyk – mogłaby narazić go na zarzut nakładania ograniczeń, nie występujących w innych Państwach Członkowskich UE, a tym samym barierę w swobodzie świadczenia usług. Co do umiejętności wypełniania zadań, to należy podkreślić, iż odpowiedzialność za wybór inspektora, a tym samym za umiejętność wykonywania zadań, ponosi administrator. To w jego interesie leży taki wybór inspektora, który da mu rękojmię umiejętnego wykonywania przez niego zadań. Grupa Robocza art. 29 wskazała w swoich wytycznych nr WP 243, dotyczących inspektorów ochrony danych, że wymagany rozporządzeniem 2016/679 „poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych, przetwarzanych w ramach jednostki. Dla przykładu, w przypadku wyjątkowo skomplikowanych procesów przetwarzania danych osobowych lub w przypadku przetwarzania dużej ilości danych szczególnych kategorii, inspektor może potrzebować wyższego poziomu wiedzy i wsparcia. Ponadto inaczej sytuacja przedstawiać się będzie w przypadku podmiotów regularnie przekazujących dane do państw trzecich niż w przypadku, gdy przekazywanie takie ma charakter okazjonalny. W związku z tym wybór inspektora powinien być dokonany z zachowaniem należytej staranności i brać pod uwagę charakter przetwarzania danych w ramach podmiotu”. Z kolei wypowiadając się w przedmiocie kryterium kwalifikacji zawodowych, Grupa wskazała, że „istotne jest, by inspektor posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO. Propagowanie odpowiednich i regularnych szkoleń dla inspektorów przez organy nadzorcze również może być przydatne. Przydatna jest również wiedza na temat danego sektora i podmiotu administratora. Inspektor powinien również posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych Inspektor powinien również posiadać wiedzę w zakresie procedur administracyjnych i funkcjonowania jednostki”. Powyższe stanowiska wskazują więc skuteczny kierunek wykładni przepisów rozporządzenia 2016/679 i są praktycznym drogowskazem dla inspektorów (dzisiejszych Administratorów Bezpieczeństwa Informacji, zwanych dalej „ABI”). Jednocześnie należy wskazać, że w dzisiejszym porządku prawnym ustawodawca także nie wypowiada się w przedmiocie kwalifikacji zawodowych koniecznych do pełnienia funkcji ABI. Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazują bowiem, że funkcję taką może pełnić osoba, posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych. Weryfikację takiego kryterium podejmuje więc w każdym przypadku przedsiębiorca zatrudniający ABI oraz Generalny Inspektor Ochrony Danych Osobowych na etapie przeprowadzanych postępowań kontrolnych. Co ważne, projekt Rozporządzenia przewiduje, że inspektor może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. W tym miejscu należy zwrócić także uwagę, iż art. 37 Rozporządzenia nie przyznaje państwom członkowskim kompetencji do określenia w ilu maksymalnie podmiotach dana osoba może pełnić funkcję inspektora. Projektodawca nie zdecydował się przewidzieć w projektowanych przepisach instytucji zastępcy inspektora ochrony danych oraz możliwości powołania kilku inspektorów w jednym podmiocie. W opinii projektodawcy, byłoby to niezgodne z Rozporządzeniem. Zgodnie z art. 37 oraz motywem 97 Rozporządzenia administrator i podmiot przetwarzający wyznaczają inspektora, mowa jest o inspektorze w liczbie pojedynczej. Co więcej ustawodawca unijny przewidział możliwość wyznaczenia jednego inspektora dla kilku podmiotów, nie przewidział natomiast możliwości wyznaczenia kilku inspektorów czy tez zastępcy inspektora w jednym podmiocie. Ponadto warto zauważyć, że inspektorem może zostać osoba, która posiada odpowiednie kwalifikacje zawodowe oraz wiedze fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych, ponadto inspektor ma obowiązek m.in. współpracować z organem nadzorczym oraz pełnić funkcje punktu kontaktowego. Natomiast wyznaczenie zastępców wiąże się z prawem do delegowania uprawnień i obowiązków także w sytuacji gdy w danym podmiocie jest obecny inspektor. Na taką osobę mogłyby zostać przekazane niektóre zadania czy też uprawniania przysługujące inspektorowi. W opinii projektodawcy w przypadku gdy administrator albo podmiot przetwarzający poweźmie wiadomość o długiej nieobecności inspektora ochrony danych osobowych powinien on wyznaczyć nową osobę do pełnienia tej funkcji o czym powinien niezwłocznie zawiadomić Prezesa Urzędu. W przypadku krótszej, okresowej nieobecności administrator bądź podmiot przetwarzający powinien upoważnić innego pracownika do podejmowania działań inspektora. Przepisy Rozporządzenia przewidują także, że administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora i zawiadamiają o nich organ nadzorczy. Na tej podstawie prowadzona jest przez Prezesa Urzędu wewnętrzna ewidencja – przepisy Rozporządzenia nie wprowadzają obowiązku prowadzenia jawnego rejestru inspektorów. Natomiast obowiązek publikacji danych kontaktowych inspektora spoczywa zgodnie z art. 37 ust. 7 Rozporządzenia na administratorze oraz podmiocie przetwarzającym. Realizacji tego właśnie przepisu służy art. 8 projektu, regulujący sposób i tryb zawiadamiania o wyznaczeniu inspektora oraz prowadzenie ewidencji zawiadomień. Przewidując dużą liczbę zawiadomień, kierowanych w przyszłości do organu, przyjęto rozwiązanie, zgodnie z którym zawiadomienia należy przesyłać drogą elektroniczną. Co istotne, w zawiadomieniu należy wskazać adres poczty elektronicznej lub numer telefonu osoby wyznaczonej do pełnienia roli inspektora. Projekt w sposób zamierzony nie przesądza, czy może to być adres e-mail ogólny (np. IOD@…) czy przypisany do konkretnej osoby (np. jan.kowalski@…). W praktyce należy dopuścić obie możliwości. Chcąc zapewnić jak najsprawniejsze dokonywanie notyfikacji, projektodawca celem rozwiązania wszelkich wątpliwości przewidział, że notyfikacji może dokonać również pełnomocnik administratora lub podmiotu przetwarzającego. Projektodawca w zakresie pełnomocnictwa odniósł się do jego postaci podpisu – elektronicznej oraz formy czynności prawnej tj. formy elektroniczne, co oznacza wymóg opatrzenia pełnomocnictwa kwalifikowanym podpisem elektronicznym zgodnie z kodeksem cywilnym. Zawiadomienie ma charakter czynności materialnotechnicznej i nie wywołuje po stronie organu nadzorczego wydania żadnego aktu administracyjnego. Rozporządzenie w art. 38 ust. 5 przesądza wprost, że inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego. Uwzględniając powyższe, oraz trudności związane z sklasyfikowaniem tajemnicy regulowanej wyłącznie prawem unijnym względem tajemnic regulowanych polskimi przepisami powszechnie obowiązującego prawa, projektodawca zdecydował się nałożyć na inspektorów również w ustawie obowiązek zachowania tajemnicy (tajemnica ustawowa). Rozdział 3. Akredytacja. Zgodnie z art. 42 ust. 1 Rozporządzenia Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych, mających świadczyć o zgodności z Rozporządzeniem operacji przetwarzania, prowadzonych przez administratorów i podmioty przetwarzające. Ministerstwo Cyfryzacji w związku z oceną podjętą w ramach przeprowadzanych konsultacji projektowanych przepisów zdecydowało się zmodyfikować projektowane regulacje w zakresie mechanizmów certyfikacji. Zgodnie z przepisami projektu ustawy o ochronie danych osobowych Prezes Urzędu będzie uprawniony do wydawania certyfikatów, ale do ich wydawania dopuszczeni zostaną również przedsiębiorcy. Celem odciążenia działań podejmowanych przez polski organ nadzorczy, kompetencja do akredytacji podmiotów certyfikujących przyznana będzie z kolei Polskiemu Centrum Akredytacji, będącego krajową jednostką akredytującą w rozumieniu art. 2 pkt 11 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 765/2008 z dnia 9 lipca 2008 r. ustanawiającego wymagania w zakresie akredytacji i nadzoru rynku odnoszące się do warunków wprowadzania produktów do obrotu i uchylającego rozporządzenie (EWG) nr 339/93 (Dz. Urz. UE L 218 z 13.08.2008, str. 30). W ocenie projektodawcy powyższe rozwiązania w pełni oddają intencję ustawodawcy unijnego towarzyszącą wprowadzeniu do unijnego porządku prawnego mechanizmu certyfikacji, poprzez włączenie do mechanizmu certyfikacji nie tylko organu nadzorczego ale również innych podmiotów. Z informacji uzyskanych w toku prowadzonych prac legislacyjnych od Komisji Europejskiej wynika, że przyznanie kompetencji do certyfikacji wyłącznie Prezesowi Urzędu budziłoby wątpliwości pod kątem zgodności z art. 42 ust. 5 rozporządzenia 2016/679, który mówi o tym, ze certyfikacji dokonują podmioty certyfikujące lub właściwy organ nadzorczy. Rozdział 4. Certyfikacja i podmioty certyfikacyjne. Jak zostało to wskazane, zgodnie z przepisami projektu ustawy o ochronie danych osobowych Prezes Urzędu będzie uprawniony do wydawania certyfikatów, ale do ich wydawania dopuszczeni zostaną również przedsiębiorcy. W ocenie projektodawcy jednostka odpowiadająca za certyfikację wewnątrz struktury organizacyjnej Urzędu Ochrony Danych Osobowych powinna posiadać odpowiednią swobodę wewnątrz struktury. Prowadzenie certyfikacji jest odrębnym działaniem niż pozostałe zadania Prezesa Urzędu, w tym zadań związanych z prowadzeniem postępowań w sprawie naruszenia przepisów o ochronie danych, w tym przeprowadzanie czynności kontrolnych. Przepisy Rozporządzenia nie precyzują dokładnie zakresu możliwej certyfikacji. W szczególności możliwe było uznanie, że certyfikacji mogą podlegać administratorzy oraz podmioty przetwarzające, procesy przetwarzania danych osobowych bądź produkty które w swoim założeniu mają w przyszłości służyć przetwarzaniu danych osobowych. Art. 42 Rozporządzenia wskazuje jedynie, że certyfikaty mają „świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające”, nie wskazuje jednak, że ich adresatem mogą być wyłącznie administratorzy bądź podmioty przetwarzające. W świetle powyższego, projektodawca zdecydował się ustanowić szeroki zakres certyfikacji, obejmując nim również administratora, podmiot przetwarzający, producenta albo podmiot wprowadzający produkt na rynek. Certyfikacji dokonuje się na wniosek administratora lub podmiotu przetwarzającego. Certyfikacji dokonuje się na podstawie kryteriów określonych przez Prezesa Urzędu bądź podmiot certyfikujący. Jednym z zadań Rady do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”. Rada jest organem opiniodawczo-doradczym. Jednym z zadań Rady jest opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych; opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych; opracowywanie propozycji kryteriów certyfikacji dla certyfikacji prowadzonej przez Prezesa Urzędu. Pozwoli to na zachowanie dodatkowych warunków bezstronności zasad dokonywania certyfikacji przez Prezesa Urzędu. Projektodawca zdecydował się uregulować wysokość opłaty pobieranej za czynności certyfikacyjne przez Prezesa Urzędu uznając, że czterokrotność przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego, jest opłatą adekwatną. Nie można bowiem zapomnieć, że podmiotami starającymi się o uzyskanie certyfikacji będą wyłącznie podmioty profesjonalne, które fakt certyfikacji będą wykorzystywały w prowadzonej przez siebie działalności, w tym działalności gospodarczej. Projektodawca nie wskazał, na wysokość opłat pobieranych przez podmioty certyfikujące. W ocenie projektodawcy powinny one bowiem pokrywać każdorazowo koszty podejmowane przez przedsiębiorcę certyfikującego oraz będą regulowane przez zasady wolnego rynku z uwzględnieniem elementu konkurencyjności. Projektodawca nie zdecydował się też na uregulowanie wysokości opłaty za akredytację podejmowaną przez Polskie Centrum Akredytacji, determinowanej przez inne przepisy powszechnie obowiązującego prawa, wiążące Polskie Centrum Akredytacji. W ocenie projektodawcy bardzo ważnym jest, aby podmiot certyfikujący podejmował swoje działania bez narażenia się na konflikt interesów. W szczególności niedopuszczalnym w ocenie projektodawcy byłaby sytuacja, w której certyfikacja podejmowana byłaby przez podmiot certyfikujący wobec podmiotów będących w chwili certyfikacji bądź kiedyś klientami podmiotu certyfikującymi w zakresie porad prawnych dotyczących ochrony danych osobowych. Przepisy art. 25-28 projektu dotyczą monitorowania przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia. Przepis ten stanowi m.in., iż państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów, dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz MŚP (Małych i Średnich Przedsiębiorstw). Zrzeszenia i inne podmioty, reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia. Projekt nowej ustawy przewiduje, iż monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania będą zajmowały się podmioty akredytowane przez Prezesa Urzędu. Prezes Urzędu będzie udostępniał wykaz podmiotów akredytowanych w Biuletynie Informacji Publicznej. Rozdział 5. Kodeksy postępowania. Przepisy rozdziału 5 projektu dotyczą monitorowania przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia. Przepis ten stanowi m.in., iż państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów, dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz MŚP (Małych i Średnich Przedsiębiorstw). Zrzeszenia i inne podmioty, reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia. Projekt nowej ustawy przewiduje, iż monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania będą zajmowały się podmioty akredytowane przez Prezesa Urzędu. Prezes Urzędu będzie udostępniał wykaz podmiotów akredytowanych w Biuletynie Informacji Publicznej. Projektodawca przykłada szczególne znaczenie do możliwej, pełnej transparentności procesu tworzenia kodeksów postępowania. W szczególności zgodnie z motywem 99 preambuły do Rozporządzenia, „sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, zrzeszenia i inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających powinny konsultować się z odpowiednimi stronami, których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji”. Projektodawca nie chciał ograniczyć zakresu podmiotów uczestniczących w konsultacjach wyłącznie do określonej kategorii podmiotów jak organizacje społeczne bądź podmioty reprezentujące kategorie administratorów jak izby gospodarcze. W świetle powyższego, projekt nakłada ogólny obowiązek konsultacji tworzonych kodeksów z zainteresowanymi podmiotami. Rozdział 6. Prezes Urzędu Ochrony Danych Osobowych. Rozdział zawiera kluczową regulację ustrojową – przepisy, dotyczące Prezesa Urzędu Ochrony Danych Osobowych. Przepis art. 8 obowiązującej Ustawy stanowi, że organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Przepisy projektowanej ustawy ustanawiają nowy organ właściwy w sprawie ochrony danych osobowych, będzie nim Prezes Urzędu Ochrony Danych Osobowych. Zgodnie z motywem 117 Rozporządzenia „zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, uprawnionych do wypełniania zadań i wykonywania uprawnień w sposób całkowicie niezależny”. Każde z Państw Członkowskich w świetle przyznanej im zasady autonomii instytucjonalnej oraz proceduralnej może ustanowić więc niezależny aparat państwowy, nadzorujący przestrzeganie przepisów Rozporządzenia. Ponieważ uchylona zostaje podstawa prawna działania Generalnego Inspektora Ochrony Danych Osobowych – co jest konieczne celem wydania aktu zapewniającego skuteczne stosowanie Rozporządzenia a obecna Ustawa implementuje uchylaną dyrektywę, nowy organ nadzorczy z prawnego punktu widzenia jest nowym organem państwowym, będącym następcą prawnym Generalnego Inspektora. Do nadania organowi nadzorczemu nazwy Prezesa Urzędu Ochrony Danych Osobowych skłoniła Projektodawcę treść przepisów Rozporządzenia , a decyzja w tym zakresie ma wyłącznie wymiar porządkujący. Po pierwsze, Rozporządzenie wprowadza funkcję „inspektora ochrony danych” jako osoby fizycznej wyznaczanej przez administratora bądź podmiot przetwarzający wewnątrz ich struktury organizacyjnej i obowiązanej do szeroko rozumianego monitorowania przestrzegania Rozporządzenia. Jednocześnie brak jest jednak jakiegokolwiek związku ustrojowego pomiędzy takimi osobami a przyszłym organem nadzorczym, odpowiadającym za egzekwowanie w Polsce przestrzegania przepisów Rozporządzenia. Przyjęcie obecnej nazwy organu wprowadzałoby w tym zakresie w błąd, w tym co do ich pozycji ustrojowej. Zgodnie bowiem z art. 38 ust. 3 Rozporządzenia inspektorzy ochrony danych muszą być niezależni. Po drugie utrzymanie obecnej nazwy – Generalny Inspektor Ochrony Danych Osobowych powodowałoby niejako konieczność nazwania inspektorami pracowników biura, którzy w imieniu organu przeprowadzają postępowanie kontrolne. Skoro bowiem mamy Generalnego Inspektora, muszą funkcjonować w jego strukturze organizacyjnej inni inspektorzy, względem których jest on inspektorem generalnym (tak jak ma to miejsce na kanwie obowiązujących przepisów). Powyższe przesądziłoby z kolei, że w systemie ochrony danych osobowych mielibyśmy dwie kategorie inspektorów – pracowników organu nadzorczego oraz osoby mające zupełnie inny status powoływane wewnątrz struktury organizacyjnej administratorów i podmiotów przetwarzających, co jest w ocenie projektodawcy niedopuszczalne. Uwzględniając powyższe, odstąpiono również od nazywania pracowników organu nadzorczego przeprowadzających w jego imieniu czynności kontrolne inspektorami, na rzecz nazwania ich kontrolującymi. Projektodawca nadając organowi nazwę Prezesa Urzędu Ochrony Danych Osobowych dokonał wyczerpującej analizy nazewnictwa wykorzystywanego w Polsce względem innych organów państwowych. Uwagę należy w tym zakresie zwrócić chociażby na Państwową Inspekcję Pracy i działających w jej ramach inspektorów pracy oraz społecznych inspektorów pracy. Po pierwsze bowiem, podmioty takie działają na zupełnie innej podstawie prawnej. O ile podstawą prawną działań podejmowanych przez inspektorów pracy jest ustawa z dnia 13 kwietnia 2007 r. o Państwowej Inspekcji Pracy, o tyle podstawą działań podejmowanych przez społecznych inspektorów pracy jest ustawa z dnia 24 czerwca 1983 r. o społecznej inspekcji pracy. Po drugie, z uwagi na zakres zadań prowadzonych przez społecznych inspektorów pracy przepisy nie podkreślają ich niezależności, jak ma to miejsce w Rozporządzeniu. Wręcz przeciwnie, zgodnie z art. 18 ustawy o społecznej inspekcji pracy, Państwowa Inspekcja Pracy udziela pomocy społecznej inspekcji pracy w realizacji jej zadań, w szczególności przez poradnictwo prawne, specjalistyczną prasę oraz szkolenie. Inspektorzy pracy Państwowej Inspekcji Pracy przeprowadzają kontrole wykonania zaleceń i uwag społecznych inspektorów pracy. Pomiędzy Państwową Inspekcją Pracy i społecznymi inspektorami pracy istnieje więc związek, którego brak jest w przypadku niezależnych względem organu nadzorczego inspektów ochrony danych. Wreszcie celem wyeliminowania wszelkich wątpliwości, społecznym inspektorom pracy nadano właśnie nazwę „społecznych inspektorów pracy”, a nie „inspektorów pracy” by odróżnić ich od pracowników organu – czego nie można zrobić w przepisach zapewniających skuteczne stosowanie Rozporządzenia. Uwzględniając powyższe oraz doręczane Ministrowi Cyfryzacji różne postulaty, w tym od stowarzyszeń skupiających administratorów bezpieczeństwa informacji, najwłaściwszym jest użycie nazwy wykorzystywanej w Polsce najczęściej i najłatwiejszej do przyswojenia dla obywateli – Prezes Urzędu Ochrony Danych Osobowych. W trakcie prowadzonych prekonsultacji rozwiązanie takie zostało również poparte przez znaczną część izb gospodarczych oraz stowarzyszeń reprezentujących interesy administratorów bezpieczeństwa informacji. Z uwagi na ogromne doświadczenie w sprawowaniu nadzoru nad ochroną danych osobowych przez Generalnego Inspektora Ochrony Danych Osobowych, założeniem jest zapewnienie faktycznej ciągłości działania organu. W związku z powyższym, z dniem wejścia w życie ustawy pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami Urzędu Ochrony Danych Osobowych, mienie Skarbu Państwa będące we władaniu Generalnego Inspektora Ochrony Danych Osobowych staje się mieniem Prezesa Urzędu Ochrony Danych Osobowych, a należności i zobowiązania Generalnego Inspektora Ochrony Danych Osobowych z dniem wejścia w życie ustawy stają się należnościami i zobowiązaniami Prezesa Urzędu Ochrony Danych Osobowych. Organ będzie organem kadencyjnym, odwołalnym w wyjątkowych, wynikających z rozporządzenia 2016/679 przypadkach. Zgodnie z art. 53 ust. 4 Rozporządzenia „członek organu nadzorczego może zostać odwołany ze stanowiska tylko w przypadku, gdy dopuścił się poważnego uchybienia lub przestał spełniać warunki niezbędne do pełnienia obowiązków”. Celem wzmocnienia niezależności organu nadzorczego, projektodawca zdecydował się wskazać, że odwołanie możliwe jest nie tylko w razie poważnego uchybienia, ale tylko gdy takie uchybienie zostało stwierdzone prawomocnym wyrokiem sądu i polegało na popełnieniu umyślnego przestępstwa lub umyślnego przestępstwa skarbowego. Wzmocnieniu pozycji organu nadzorczego służyć mają również takie projektowane instrumenty jak przyznanie organowi prawa do przeprowadzania niezapowiedzianych kontroli naruszenia zasad ochrony danych osobowych, przeprowadzania kontroli planowanych czy możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji w toku przeprowadzanej kontroli. Organ sam będzie również decydował o nadawaniu sobie statutu – obecnie robi to Prezydent Rzeczpospolitej Polskiej. Jednocześnie należy wskazać, że utrzymana zostanie pozycja ustrojowa organu jako podlegającego wyłącznie ustawie, kadencyjnego i nie należącego do administracji rządowej. Projektodawca w związku z przeprowadzonymi konsultacjami społecznymi zdecydował się ostatecznie nie zmieniać w żadnym zakresie procedury powołania organu – względem aktualnie obowiązujących regulacji. Organ zgodnie z projektem będzie więc powoływany przez Sejm Rzeczpospolitej Polskiej za zgodą Senatu Rzeczpospolitej Polskiej. Organ będzie również na etapie jego powoływania składał ślubowanie przed Sejmem Rzeczpospolitej Polskiej, dysponując również immunitetem formalnym. Kandydat na stanowisko Prezesa Urzędu będzie musiał spełnić kryterium wyższego wykształcenia, wiedzy z zakresu ochrony danych osobowych i przez okres co najmniej pięciu lat wykonywać czynności bezpośrednio związane z ochroną danych osobowych. W celu zapewnienia realizacji zadań nakładanych na nowy organ właściwy w sprawie ochrony danych osobowych oraz wzmocnienia jego pozycji przewidziano możliwość powołania do trzech zastępców Prezesa Urzędu. Rozwiązanie takie podyktowane jest bardzo szerokim zakresem zadań nałożonych na Prezesa Urzędu, które często wymagają innych kwalifikacji. Jako przykład można w tym zakresie podać wymóg prowadzenia współpracy międzynarodowej, podejmowania działań certyfikacyjnych, podejmowania działań edukacyjnych, prowadzenia postępowań w sprawach naruszenia przepisów o ochronie danych czy nadzoru nie tylko nad Rozporządzeniem ale również tzw. dyrektywą policyjną. Każde z tych działań może być przykładowo wspierane przez innego zastępcę Prezesa Urzędu. Ze względu na wykonywanie przez Prezesa Urzędu zadań organu nadzorczego w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, przewidziano w projekcie, iż jednego zastępcę Prezesa będzie powoływał Prezes Rady Ministrów na wniosek ministra właściwego do spraw wewnętrznych. Wniosek taki minister właściwy do spraw wewnętrznych będzie obowiązany przekazać celem zaopiniowania Ministrowi Sprawiedliwości, Ministrowi Obrony Narodowej, ministrowi właściwemu do spraw finansów publicznych oraz Prokuratorowi Generalnemu. Pozostali zastępcy powoływani będą na wniosek ministra właściwego do spraw informatyzacji. Uzasadnieniem do powoływania dwóch zastępców na wniosek właśnie ministra właściwego do spraw informatyzacji jest fakt, iż zgodnie z z art. 12a ust. 1 pkt 8 ustawy z dnia 4 września 1997 r. o działach administracji rządowej (Dz. U. z 2016 r., poz. 2260, z późn. zm.) do zakresu działania ministra właściwego do spraw informatyzacji należą sprawy kształtowania polityki państwa w zakresie ochrony danych osobowych . Wreszcie nową instytucją powoływaną przez Prezesa Urzędu ma być Rada do Spraw Ochrony Danych Osobowych. W ocenie projektodawcy szeroki zakres zadań Prezesa Urzędu oraz potrzeba stałej grupy osób wspomagających Prezesa Urzędu w realizacji jego zadań uzasadniają powołanie przy Prezesie Urzędu organu opiniodawczo-doradczego. Skład Rady został tak zaprojektowany by mogły do niego wchodzić osoby reprezentujące różne podmioty, zarówno ze strony administracji publicznej, jak i spoza administracji. Ideą jest by różne podmioty mogły wesprzeć swoją wiedzą Prezesa Urzędu. Przepisy projektu stanowią o sprawozdaniach składanych przez Prezesa Urzędu i służy zapewnieniu stosowania art. 59 Rozporządzenia. Projektu nadaje Prezesowi Urzędu uprawnienie do opiniowania założeń i projektów aktów prawnych dotyczących danych osobowych. Z przepisu § 38 ust. 1 Regulaminu pracy Rady Ministrów wynika natomiast obowiązek kierowania przez organy wnioskujące projektów dokumentów rządowych do zaopiniowania przez organy administracji rządowej lub inne organy i instytucje państwowe, których zakresu działania dotyczy projekt. Celem przepisu art. 36 projektu jest zapewnienie stosowania art. 57 ust. 1 lit. c Rozporządzenia. Projekt zawiera też powielenie rozwiązań funkcjonujących i sprawdzających się na gruncie obowiązującej Ustawy zgodnie z którymi Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Prezes Urzędu może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Przepisy dotyczą udostępniania przez Prezesa Urzędu w Biuletynie Informacji Publicznej standardowych klauzul umownych i zatwierdzonych kodeksów postępowania i służy wskazaniu sposobu podawania do publicznej wiadomości ww. dokumentów. Projekt ma na celu określenie formy prawnej podawania przez Prezesa Urzędu do wiadomości publicznej wykazu rodzajów operacji przetwarzania danych osobowych podlegających wymogowi dokonania oceny skutków dla ochrony danych. Przyjmuje się, iż wykaz ten będzie często aktualizowany, stąd forma jego ogłoszenia musi umożliwiać jego bieżącą aktualizację. Projekt nakłada na Prezesa Urzędu obowiązek opracowywania i udostępniania rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Zgodnie z art. 32 ust. 1 Rozporządzenia uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ww. przepis jest wyrazem zastosowania w Rozporządzeniu podejścia risk based approach, a więc podejścia opartego na ryzyku administratora lub podmiotu przetwarzającego. To już nie przepisy prawa powszechnie obowiązującego mają określać środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych ale sami administratorzy lub podmioty przetwarzające. Stosowane środki powinny być zawsze dopasowywane do okoliczności i ryzyk związanych z przetwarzaniem danego rodzaju danych osobowych. Tym niemniej w ocenie projektodawcy, by zapewnić administratorom i podmiotom przetwarzającym wsparcie w określaniu takich środków, uzasadnione jest, by Prezes Urzędu opracowywał i udostępniał rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Rekomendacje takie powinny być wypracowane przy współpracy z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt – w tym izbami gospodarczymi. Rekomendacje nie będą miały mocy wiążącej, ale będą stanowiły punkt odniesienia dla przedsiębiorców, wpływając w ocenie projektodawcy na podwyższenie poziomu ochrony danych osobowych. Rozdział 7. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Przepisy rozdziału 5 projektu ustawy regulują sposób postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Należy przede wszystkim podkreślić, iż mówiąc o naruszeniu przepisów o ochronie danych osobowych projektodawca odnosi się nie tylko do naruszeń ustawy ale również przepisów Rozporządzenia, z których w sposób bezpośredni wynikają określone prawa i obowiązki podmiotów danych osobowych, administratorów lub podmiotów przetwarzających. Na gruncie obowiązującej Ustawy postępowanie w sprawach naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, prowadzi się według przepisów Kodeksu postepowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Zasada stosowania w sprawach nieuregulowanych Kodeksu postepowania administracyjnego została zachowana w projekcie. Projektodawca nie zdecydował się na wprowadzenie odrębnego, właściwego dla naruszeń ochrony danych osobowych, trybu postępowania przed Prezesem Urzędu. U podstaw takiej decyzji legło przekonanie, iż obowiązująca procedura administracyjna, z odmiennościami wynikającymi choćby z bezpośredniego stosowania Rozporządzenia, zapewnia kompletny a zarazem sprawdzony w praktyce mechanizm postępowania. Postępowania prowadzone przez Prezesa Urzędu będą postępowaniami w sprawie naruszenia prawa podstawowego, a stronom tak prowadzonych postępowań przysługiwać powinien pełen katalog uprawnień procesowych przewidzianych w Kodeksie. Wyłączenie stosowania Kodeksu i próba stworzenia szczególnego postępowania w sprawie naruszenia przepisów o ochronie danych obarczona byłaby z jednej strony ryzykiem nie uregulowania niezbędnych elementów postępowania a z drugiej koniecznością tworzenia obszernej listy przepisów Kodeksu, które jednak znalazłyby zastosowanie w postępowaniu. Działania takie uznano za niepropocjonalne. Postępowanie będzie prowadzone przez Prezesa Urzędu jako organ właściwy w sprawie ochrony danych osobowych. Korzystając z możliwości przewidzianej w Konstytucji RP oraz w Kodeksie projektodawca przewidział jednoinstancyjność postępowania. Odnosząc się do projektowanego rozwiązania należy zauważyć, że konstytucyjna zasada zaskarżalności orzeczeń i decyzji wydanych w pierwszej instancji „(…) obejmuje swym zakresem nie tylko postępowanie sądowe, ale również administracyjne oraz inne postępowania, w których organ władzy publicznej wydaje akt kształtujący sytuację prawną podmiotu praw i wolności” (wyrok TK z dnia 6 grudnia 2011 r. SK 3/11). Jednocześnie, zasada dwuinstancyjności nie ma charakteru absolutnego, na co wskazuje sam art. 78 zdanie drugie Konstytucji, a zatem ustawodawca może wprowadzać wyjątki od tej zasady, wprowadzając określone postępowanie jednoinstancyjnym. Zasady ustanawiania takich wyjątków nakreślił Trybunał Konstytucyjny m.in. w uzasadnieniu wyroku z dnia 12 czerwca 2002 r., P 13/01, wskazując, że „Powinny być one ustalone w ustawie. Konstytucja nie precyzuje charakteru tych wyjątków, nie wskazuje bowiem ani zakresu podmiotowego, ani przedmiotowego, w jakim odstępstwo od tej zasady jest dopuszczalne. Nie oznacza to jednak, iż ustawodawca ma pełną, niczym nieskrępowaną swobodę w ustalaniu katalogu takich wyjątków. W pierwszym rzędzie należy liczyć się z tym, iż nie mogą one prowadzić do naruszenia innych norm konstytucyjnych. (…) [ponadto] odstępstwo od reguły wyznaczonej treścią normatywną art. 78 Konstytucji w każdym razie powinno być podyktowane szczególnymi okolicznościami, które usprawiedliwiałyby pozbawienie strony postępowania środka odwoławczego”. Zgodnie z dominującym stanowiskiem Trybunału wyjątki od zasady dwuinstancyjności powinny również czynić zadość wymaganiom stawianym przez zasadę proporcjonalności (art. 31 ust. 3 Konstytucji; wyroki TK: z dnia 17 lutego 2004 r., SK 39/02; z dnia 18 kwietnia 2005 r., SK 6/05; z dnia 14 października 2010 r., K 17/07). Przewidziany przez projektodawcę wyjątek od zasady dwuinstancyjności postępowania administracyjnego jest, w jego ocenie, konieczny w demokratycznym państwie dla zapewnienia wolności i praw osób. Jest to rozwiązanie adekwatne i konieczne dla osiągnięcia celu zamierzonego przez ustawodawcę, jakim jest skuteczna i udzielona we właściwym czasie ochrona prawa podstawowego – prawa do ochrony danych osobowych osoby fizycznej oraz pozostaje w odpowiedniej proporcji do ograniczenia, jakim jest pozbawienie prawa do ponownego rozpatrzenia sprawy przez właściwy organ. Za wprowadzeniem jednoinstancyjności postępowania przemawia konieczność zapewnienia osobie, której prawa zostały naruszone ostatecznego rozstrzygnięcia (ostatecznej decyzji administracyjnej), które będzie mogło być skutecznie i szybko egzekwowalne. Tak więc w ocenie projektodawcy ochrona danych osobowych osoby fizycznej wymaga by zasadą była natychmiastowa wykonalność takich decyzji. Ochrona wartości, jaką są dane osobowe osoby fizycznej, wymaga natychmiastowego działania inaczej często traci swój sens, gdyż z upływem czasu naruszenia mogą mieć miejsce na wielką skalę a ich skutki nieodwracalny charakter. Warto również podkreślić, że w postępowaniu prowadzonym przez Prezesa Urzędu nie mamy do czynienia z odwołaniem składanym do organu wyższego stopnia lecz z wnioskiem o ponowne rozpatrzenie sprawy, który rozpatrywany jest przez ten sam organ. Jak pokazują statystyki dotyczące decyzji wydawanych w postępowaniach w wyniku wniosku o ponowne rozpatrzenie sprawy, decyzje wydawane po ponownym rozpatrzeniu sprawy w zdecydowanej większości nie prowadzą do zmiany rozstrzygnięć wydawanych w pierwszej instancji przez organ właściwy w sprawie ochrony danych osobowych. Należy podkreślić, iż rozstrzygnięcia wydawane przez Prezesa Urzędu jako organ właściwy w sprawie ochrony danych osobowych będą podlegały zaskarżeniu do sądu administracyjnego i skargi w tych sprawach będą podlegały dwuinstancyjnemu postępowaniu sądowoadministracyjnemu. Powyższe oznacza, iż prawa podmiotów danych osobowych i innych stron postępowania przed Prezesem Urzędu do wnikliwego rozpatrzenia sprawy i sądowej kontroli rozstrzygnięć administracji zostaną zapewnione. Nie zostaje również wyłączone prawo strony takiego postępowania do żądania wstrzymania wykonalności decyzji lub postanowienia. Wprowadzenie zasady jednoinstancyjności postępowania służy realizacji celów zakładanych przez ustawodawcę, jakimi są zapewnienie adekwatnej i skutecznej ochrony praw osób, których prawo do ochrony danych osobowych zostało naruszone i cele te są uzasadnione w świetle wartości wymienionych w art. 31 ust. 3 Konstytucji. Jednoinstancyjność postępowania nie narusza bowiem prawa strony postępowania do kontroli rozstrzygnięcia wydawanego przez Prezesa Urzędu, nie narusza zatem istoty prawa, jaką jest konieczność ponownego, wnikliwego, niezależnego zbadania jej sprawy. W ocenie projektodawcy wprowadzenie ww. zasady jest niezbędne dla ochrony wartości, jaką jest prawo do ochrony danych osobowych i nie można uznać jej wprowadzenia, biorąc pod uwagę ww. argumenty, za środek nadmiernie „restrykcyjny”. Efekt wprowadzenia omawianej regulacji, a więc zapewnienie skutecznej ochrony podmiotom danych osobowych polegającej choćby na zatrzymaniu nieuprawnionego przekazywania danych osobowych osoby fizycznej do państw trzecich ma wartość większą niż wartość wynikająca z ponownego rozpatrzenia sprawy przez ten sam organ administracyjny. Należy wreszcie wskazać, że projektodawca zdecydował się wprowadzić do projektu „jednoinstancyjność” postępowania mimo brzmienia art. 127 a Kodeksu. Zgodnie z treścią rzeczonego artykułu w świetle w trakcie biegu terminu do wniesienia odwołania strona może zrzec się prawa do wniesienia odwołania wobec organu administracji publicznej, który wydał decyzję. W ocenie projektodawcy nawet treść takiego artykułu nie wyeliminowuje przypadków, w których jedna ze stron chociażby celem przedłużenia postępowania, zdecyduje się złożyć odwołanie. Uwzględniając charakter ochrony danych osobowych jako prawa podstawowego, działanie takie w ocenie projektodawcy mogłoby pociągnąć za sobą poważne konsekwencje. Obok jednoinstancyjności kolejną odrębnością postępowania przewidzianego w ustawie w stosunku do postępowania unormowanego w Kodeksie jest wskazanie, że w sprawach związanych z ochroną danych osobowych pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należą sprawy związane z ochroną danych osobowych. Powyższa regulacja ma na celu zapewnienie stosowania art. 80 Rozporządzenia. Powołany przepis nakłada na państwa członkowskie obowiązek przewidzenia w przepisach prawnych rozwiązania, w świetle którego organizację lub zrzeszenie – które nie ma charakteru zarobkowego i ma cele statutowe leżące w interesie publicznym i działa w dziedzinie ochrony danych osobowych – można umocować do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw. Zgodnie z treścią motywu 142 preambuły do Rozporządzenia, „jeżeli osoba, której dane dotyczą uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć ona prawo zlecić podmiotowi, organizacji lub zrzeszeniu wniesienie skargi w swoim imieniu do organu nadzorczego, wykonanie prawa do środka ochrony prawnej przed sądem w imieniu osób, których dane dotyczą lub – o ile taką możliwość przewiduje prawo państwa członkowskiego – żądanie odszkodowania w imieniu osób, których dane dotyczą”. Projektowana regulacja stanowi niezależną podstawę dla działania przedstawiciela organizacji. Przepis nie wyłącza jednocześnie art. 31 Kodeksu, który będzie miał pełne zastosowanie. Wprowadzenie do ustawy ww. przepisu obok art. 31 Kodeksu daje pełną skuteczność stosowania przepisów Rozporządzenia. Należy również wskazać, że podobna regulacja wprowadzona została do art. 87 § 5 ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. 2018 poz. 155). Zgodnie z treścią powołanego przepisu, w sprawach związanych z ochroną praw konsumentów pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należy ochrona konsumentów. Należy w tym przypadku wskazać, że projektowane przepisy pozostają w pełnej zgodności z przewidzianą w polskim porządku prawnym istotą pełnomocnictwa przypisanego do określonej osoby fizycznej, które w tym przypadku musi być jednak przedstawicielem organizacji. Pełnomocnikiem cały czas pozostanie więc osoba reprezentująca organizację a nie organizacja jako taka. w projekcie ustawy wprowadzono również rozwiązanie zgodnie z którym Prezes Urzędu zawiadamiając strony o niezałatwieniu sprawy w terminie, obowiązany jest również poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach. Należy wskazać, że powołana regulacja uzupełnia art. 36 Kodeksu i służy zapewnieniu pełnego stosowania art. 78 ust. 2 Rozporządzenia, który stanowi, iż bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 55 i 56 Rozporządzenia nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi wniesionej do organu nadzorczego. Przyjmując, iż zgodnie z Kodeksem rozpatrzenie sprawy szczególnie skomplikowanej powinno nastąpić nie później niż w terminie dwóch miesięcy od dnia wszczęcia postępowania a o każdym przypadku jej niezałatwienia w terminie należy zawiadomić strony, przyjęto iż powyższa regulacja projektu zapewni stronie postępowania, w terminie trzech miesięcy, od dnia wszczęcia postępowania informację o postępach lub efektach rozpatrywania wniosku przed Prezesem Urzędu. Brak takiej informacji w terminie trzech miesięcy od dnia wszczęcia postępowania dawał będzie stronie prawo do wniesienia skargi do sądu administracyjnego. W ocenie projektodawcy państwo członkowskie wzmacniając ochronę danych osobowych może w praktyce zobowiązać organ nadzorczy do informowania osób których dane dotyczą wcześniej, niż po upływie trzech miesięcy, a okres wynikający z Rozporządzenia jest okresem maksymalnym. Projektowany przepis art 56 służy zapewnieniu stosowania art. 90 Rozporządzenia. Jego celem jest wskazanie wprost w przepisie ustawy, że uprawnienia Prezesa Urzędu podlegają ograniczeniom w zakresie dostępu do informacji ustawowo chronionych. Odnosząc się do brzmienia art. 90 ust. 1 Rozporządzenia uznano za niezbędne i proporcjonalne dla pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy, ograniczenie uprawnień Prezesa Urzędu w odniesieniu do informacji, w tym danych osobowych, ustawowo chronionych. W związku z powyższym, zakres dostępu Prezesa Urzędu do informacji ustawowo chronionych będzie determinowany każdorazowo przepisami obejmującymi informacje ochronione. W ocenie projektodawcy z uwagi na możliwe ryzyko wykładni art. 58 Rozporządzenia w związku z art. 90 Rozporządzenia, zgodnie z którą w braku wyraźnej regulacji krajowej organ nadzorczy jest uprawniony do korzystania z uprawnień określonych w art. 58 ust 1 pkt e) i f) Rozporządzenia, tj. uzyskiwania dostępu do danych osobowych i informacji, a także pomieszczeń i urządzeń niezbędnych do realizacji zadań organu nadzorczego, bez względu na obowiązek podmiotu kontrolowanego do zachowania tajemnicy, wynikający z regulacji sektorowych, postanowiono o wprowadzeniu do projektu właściwych przepisów. Z rozporządzenia nie wynika bowiem w sposób wyraźny zakaz korzystania z ww. uprawnień organu nadzorczego w zakresie, w jakim ich realizacja mogłaby być sprzeczna z ochroną tajemnic sektorowych. Na gruncie Rozporządzenia wydaje się, że uprawnienia te nie doznają ograniczeń, a relacja rozporządzenia do krajowych regulacji tajemnic sektorowych może być różnie interpretowana. W ocenie projektodawcy przepis art. 90 Rozporządzenia należy rozumieć w ten sposób, że państwa członkowskie mogą ukształtować uprawnienia organu nadzorczego, o których mowa w art. 58 ust. 1 pkt e) i f) ze względu na tajemnice zawodowe lub inne obowiązki równoważne zachowaniu tajemnicy, jeśli jest to niezbędne i proporcjonalne w celu pogodzenia prawa do ochrony danych osobowych z obowiązkiem zachowania tajemnicy. Państwa członkowskie mogą zatem uprawnienia przysługujące organowi nadzorczemu na podstawie art. 58 ust. 1 pkt e) i f) ograniczyć lub wyłączyć. Taka interpretacja przepisu art. 90 jest w ocenie projektodawcy zgodna z celem tego przepisu i motywem 164, które mają na celu przede wszystkim umożliwienie państwom członkowskim zapewnienia w przepisach krajowych ochrony tajemnic zawodowych. Projektowana ustawa powinna zatem wyraźnie stanowić, że organ nadzorczy nie jest uprawniony do korzystania z uprawnień określonych w art. 58 ust. 1 pkt e) i f) Rozporządzenia w zakresie, w jakim informacje, które mogłyby zostać ujawnione w toku wykonywania czynności, w ramach postępowania, podlegają ochronie jako tajemnica zawodowa. Ewentualny dostęp organu nadzorczego do informacji objętych tajemnicami sektorowymi powinien się odbywać, w trybie, zakresie i na zasadach przewidzianych w przepisach regulujących poszczególne tajemnice. Dane osobowe nie są bowiem wartością absolutną i ich ochrona nie może odbywać się kosztem narażenia na ujawnienie informacji chronionych szczególnymi reżimami ochronnymi poza szczególnie uzasadnionymi przypadkami. Przepisy projektu odnoszą się też do możliwości zastrzeżenia informacji, dokumentów lub ich części zawierających tajemnicę przedsiębiorstwa oraz ograniczenia prawa wglądu do materiału dowodowego. Zastrzeżenie tajemnicy przedsiębiorstwa nie ma charakteru bezwzględnego. Prezes Urzędu może je uchylić, jeśli nie są spełnione przesłanki uznania danej informacji za tajemnicę przedsiębiorstwa w rozumieniu art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 2003 r. poz. 1503, z późn. zm.). Powyższa regulacja ma na celu zapewnienie ochrony tych informacji, które w ocenie strony postępowania będącego przedsiębiorcą mają charakter informacji technicznych, technologicznych, organizacyjnych lub też innych posiadających wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Projektodawca zdecydował się jednak nałożyć na przedsiębiorców obowiązek dostarczenia Prezesowi Urzędu wersji dokumentu niezawierającą informacji objętych zastrzeżeniem. W przypadku nie dostarczenia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za nieskuteczne. Projektowane rozwiązanie ma w swoich istocie wzmocnić potrzebę ochrony informacji objętych tajemnicą przedsiębiorstwa uznając, że to przedsiębiorcy ustanawiający taką tajemnicę najlepiej potrafią ocenić jej zakres w każdym stanie faktycznym. Proponowane przepisy należy również oceniać w świetle przyznanych stronom uprawnień wglądu do akt sprawy, co wiąże się bardzo często z koniecznością usuwania z ich treści informacji objętych takimi tajemnicami, narażając organ na znaczne obciążenia. Odnosząc się do ograniczenia prawa wglądu do materiału dowodowego należy podkreślić, że może ono nastąpić tylko wtedy jeśli groziłoby ujawnieniem tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych. Ograniczenie takie może nastąpić tylko na skutek postanowienia Prezesa Urzędu. Celem przepisu jest zapewnienie należytej ochrony tajemnicom ustawowo chronionym przy jednoczesnym badaniu w każdym przypadku przez Prezesa Urzędu zasadności ograniczenia dostępu do materiału dowodowego ze względu na te tajemnice. Przepis art. 63 projektu stanowi modyfikację przepisu art. 88 Kodeksu. Celem tego przepisu jest zwiększenie wysokości grzywny za nie stawienie się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadne odmówienie złożenia zeznania, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej. Zdaniem projektodawcy wskazanie minimalnej wysokości grzywny na kwotę 500 zł oraz maksymalnej na kwotę 5000 zł uzasadnione jest wagą spraw związanych z naruszeniem przepisów o ochronie danych osobowych, co wymaga zapewnienia sprawności i skuteczności postępowań w tych sprawach. Należy wskazać, że zgodnie z art. 189b Kodeksu postępowania administracyjnego przez administracyjną karę pieniężną rozumie się określoną w ustawie sankcję o charakterze pieniężnym, nakładaną przez organ administracji publicznej, w drodze decyzji, w następstwie naruszenia prawa polegającego na niedopełnieniu obowiązku albo naruszeniu zakazu ciążącego na osobie fizycznej, osobie prawnej albo jednostce organizacyjnej nieposiadającej osobowości prawnej. Zgodnie zaś z przepisem art. 189a §1. Kodeksu w sprawach nakładania lub wymierzania administracyjnej kary pieniężnej lub udzielania ulg w jej wykonaniu stosuje się przepisy działu Dział IVA. Administracyjne kary pieniężne. Reasumując, w przypadku grzywien przewidzianych w Kodeksie postępowania administracyjnego (art. 88 oraz art. 96) z uwagi na fakt, iż grzywna ww. jest nakładana w drodze postanowienia, nie znajduje zastosowania Dział IVA KPA. Jednakże mając na uwadze obowiązujące w demokratycznym państwie prawnym zasady, w szczególności na zasadę proporcjonalności oraz zasadę zaufania do organów państwa w orzecznictwie i doktrynie postuluje się, aby wprowadzać gwarancje procesowe oraz przesłanki wymiaru sankcji administracyjnej w każdym przypadku wymierzania sankcji pieniężnych. Z uwagi na dużą rozpiętość przewidzianej sankcji pieniężnej (w przeciwieństwie do art. 88 Kodeksu, gdzie maksymalna wysokość grzywny wynosi 200 zł.) w ocenie projektodawcy zasadne jest wprowadzenie przesłanek wymiaru kary grzywny. Cel sankcji wskazuje na nieadekwatność przesłanek wymiaru kary zawartych w dziale IVA Kodeksu i konieczność wskazania przesłanek dostosowanych do hipotezy normy prawnej zawartej w art. 63 projektu. Przepis art. 64 projektu ma na celu zapewnienie Prezesowi Urzędu narzędzia do natychmiastowej interwencji w sytuacji, gdy zostanie uprawdopodobnione, że dalsze przetwarzanie danych osobowych może spowodować poważne i trudne do usunięcia skutki. W takiej sytuacji Prezes Urzędu, w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Zdecydowano się wprowadzić do przepisów projektu ustawy instytucję skargi na to postanowienie. Powyższe uzasadnione jest charakterem takich postanowień, które w przypadku niektórych z podmiotów mogą mieć ogromny wpływ na działalność gospodarczą. W ocenie projektodawcy godnym podkreślenia jest jednak, że postanowienie ma stanowić środek ostateczny. Po pierwsze konieczne jest uprawdopodobnienie, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych. Po drugie, dalsze ich przetwarzanie musi wiązać się z ryzykiem poważnych i trudnych do usunięcia skutków. Po trzecie wreszcie, ograniczenie przetwarzania nie może wiązać się z obowiązkiem usunięcia danych osobowych, co pociągałoby dla przedsiębiorców nieodwracalne skutki. W projekcie ustawy – w zakresie rozstrzygnięć jakie mogą zapaść po przeprowadzeniu postępowania nie odesłano do art. 58 ust. 2 lit. b-j Rozporządzenia. Uznano za niecelowe przepisywanie oraz powoływanie się na obowiązujące przepisy Rozporządzenia w tym zakresie, wywołujące przecież bezpośredni skutek, i podlegające bezpośredniemu zastosowaniu. Nowym elementem, a jednocześnie modyfikacją przepisów Kodeksu, jest przepis art. 55 ust. 2 projektowanej ustawy, który nakłada na organ obowiązek poszerzenia uzasadnienia decyzji nakładającej na stronę administracyjną karę pieniężną o wskazanie przesłanek z art. 83 ust. 2 Rozporządzenia. Powyższe ma na celu ułatwienie sądowi oceny legalności samego nałożenia na stronę administracyjnej kary pieniężnej jak i jej wysokości. Zgodnie z projektowanymi przepisami, organy lub podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej Biuletynu Informacji Publicznej, informację o działaniach podjętych w celu wykonania decyzji. Celem tej regulacji jest przedstawienie opinii publicznej informacji o ewentualnych naruszeniach przepisów z zakresu ochrony danych osobowych przez podmioty publiczne oraz działaniach podjętych przez nie w celu usunięcia tych naruszeń. Natomiast w przepisie (art. 95) projektu ograniczono wysokość administracyjnej kary pieniężnej, którą można nałożyć na podmioty publiczne do 100 000 zł. Projektodawca dostrzega bowiem specyfikę sektora publicznego, który powinien zapewniać pełną transparentność swoich działań. Zapewniając pełną transparentność działań Prezesa Urzędu, projektodawca nałożył na organ obowiązek każdorazowej oceny, czy wydawane przez niego decyzje nie powinny w interesie publicznym zostać przez niego udostępnione. Projektodawca odstąpił jednak od nałożenia na Prezesa Urzędu obowiązku publikowania przez niego wszystkich decyzji, kierując się chęcią zapewnienia sprawności działania organu i odciążając go od nadmiernych obowiązków administracyjnych. W przypadku niektórych z wydawanych decyzji z uwagi na ich drobny przedmiot, ich udostępnienia może okazać się niecelowe. Odnosząc się do projektu wskazać należy, że projektodawca odstąpił od przesądzania, że każda z decyzji wydanych przez Prezesa Urzędu podlega rygorowi natychmiastowej wykonalności. Projektodawca uznał bowiem, że norma taka miałaby charakter informacyjny, a rygor natychmiastowej wykonalności decyzji Prezesa urzędu będzie wynikał z właściwych przepisów powszechnie obowiązującego prawa – co nie wymaga powtarzania w projektowanej ustawie. Należy wyjaśnić, że zgodnie z projektem ustawy postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym, a więc od decyzji wydanej przez Prezesa Urzędu nie służy odwołanie (wniosek o ponowne rozpatrzenie sprawy). Konsekwencją wprowadzenia jednoinstancyjnego postępowania jest to, że decyzje wydane przez Prezesa Urzędu są ostateczne i wykonalne z mocy samego prawa. Podlegają one wykonaniu z chwilą doręczenia decyzji stronie. Rygor natychmiastowej wykonalności, zgodnie z art. 108 Kodeksu może zostać nadany decyzji nieostatecznej a więc takiej od której służy odwołanie w administracyjnym toku instancji, ergo decyzji od której nie służy odwołanie nie nadaje się rygoru natychmiastowej wykonalności ponieważ te decyzje są ostateczne i podlegają natychmiastowemu wykonaniu z chwilą doręczania ich stronie. Usunięcie przez projektodawcę normy wprost przesądzającej o natychmiastowej wykonalności decyzji, nie zmieni to faktu, iż decyzje wydane przez Prezesa Urzędu w postępowaniu jednoinstancyjnym będą podlegały wykonaniu. Projektodawca mając natomiast na uwadze, że zgodnie z Rozporządzeniem kary pieniężne mogą być bardzo dotkliwe dla ukaranych podmiotów, chciał wprowadzić wyjątek od wskazanej powyżej zasady, polegający na tym, że w przypadku wniesienia przez stronę skargi do sądu administracyjnego decyzja w zakresie dotyczącym administracyjnej kary pieniężnej podlega wstrzymaniu wykonania. Warto również zauważyć, że bez projektowanego przepisu strona mogłaby w skardze na decyzję Prezesa Urzędu wystąpić z wnioskiem o wstrzymanie wykonania decyzji w całości lub w części (art. 61 § 3 p.p.p.s.a.), postanowiono jednak wprowadzić wstrzymanie wykonania decyzji w zakresie w którym decyzja dotyczy administracyjnej kary pieniężnej z mocy ustawy bez konieczności składania przez stronę wniosku w tej sprawie. Strona na podstawie rzeczonego artykułu będzie mogła wystąpić z wnioskiem o wstrzymanie wykonania decyzji w pozostałym zakresie. W projekcie uregulowano w zakresie niezbędnym postępowanie konsultacyjne o którym mowa w art. 36 Rozporządzenia. Ograniczono się do wskazania wymogów formalnych pisma, ze względu na ekonomikę legislacyjne poprzez odpowiednie odesłanie do art. 63 Kodeksu. Ma to na celu możliwość weryfikacji wniosku po przez obowiązek opatrzenia wniosku podpisem, gdyż obowiązek ten nie wynika bezpośrednio z art. 36 Rozporządzenia. Należy jednocześnie pokreślić, że do przeprowadzenia konsultacji nie znajdą zastosowanie przepisy kodeksu postępowania administracyjnego, gdyż nie przeprowadzenie konsultacji nie kończy się decyzją administracyjną ani żadnym innym władczym działaniem organu. Art. 65 Projektu ma na celu dostosowanie polskiego prawa do wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie Wyrok Trybunału Sprawiedliwości UE w sprawie Maxa Schremsa, stwierdzający nieważność decyzji Komisji Europejskiej zatwierdzającej porozumienie Safe Habor wyrok (C-362/14). W przedmiotowej sprawie TSUE stwierdził, że Komisja Europejska która stwierdza, że państwo trzecie zapewnia odpowiedni stopień ochrony, nie stoi na przeszkodzie temu, aby organ nadzorczy państwa członkowskiego, rozpatrzył skargę danej osoby związaną z ochroną jej praw i wolności w zakresie przetwarzania dotyczących jej danych osobowych, przekazanych z państwa członkowskiego do tego państwa trzeciego, gdy osoba ta podnosi, że prawo i praktyka obowiązujące w tym państwie trzecim nie zapewniają odpowiedniego stopnia ochrony. Jednocześnie jednak TSUE wskazał jednoznacznie, iż tylko jemu przysługuje prawo do stwierdzenia nieważności takiej decyzji. W efekcie postała sytuacja, w której krajowy organ nadzorczy ma kompetencje do rozpatrywania spraw obywateli, których dane są przetwarzanie na podstawie decyzji Komisji Europejskiej, lecz do puki jest ona w porządku prawnym, do póty de facto nie może on realizować w pełni swojej kompetencji. TSUE stwierdził także, że o ile sądy krajowe mają prawo badać ważność aktu unijnego, takiego jak decyzja Komisji, to jednak nie są one właściwe do samodzielnego stwierdzenia nieważności takiego aktu. A fortiori, krajowe organy nadzorcze nie mają prawa samodzielnie stwierdzić nieważności takiej decyzji przy rozpatrywaniu, dotyczącej zgodności decyzji Komisji Europejskiej. Także krajowe sądy taką kompetencją nie dysponują. W konkluzji TSUE wskazał, że jeżeli organ nadzorczy uzna zarzuty podniesione przez osobę, która wniosła do niego skargę dotyczącą ochrony jej praw i wolności w zakresie przetwarzania danych osobowych, za zasadne, organ ten powinien – mieć prawo pozywania do sądu. W tym względzie do krajowego ustawodawcy należy ustanowienie drogi prawnej umożliwiającej krajowemu organowi nadzorczemu podniesienie zarzutów, które uważa on za zasadne, przed sądami krajowymi, po to, aby te ostatnie, jeśli podzielają wątpliwości tego organu co do ważności decyzji Komisji, wystąpiły z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu zbadania ważności tej decyzji. Mając na uwadze fakt, iż podstawową zasadę ustrojową, iż kontrola administracji publicznej jest dokonywana przez sądy administracyjne projektodawca zdecydował się pozostawić ww. kompetencję sądom administracyjnym. Należy jednak wskazać, że podstawą zasadą działania sądów administracyjnych jest zasada skargowości, czyli badania wydanych przez organy administracji publicznej aktów administracyjnych, które są zaskarżane przez strony postepowania. Ta podstawowa funkcja i model kontroli sądowo administracyjnej wynikającej z art. 1 i art. 2 ustawy – Prawo przed sądami administracyjnych nie znajduje zastosowania ww. przypadku. W efekcie projektodawca mając na uwadze zdecydował się wprowadzić odrębną procedurę w ustawie o ochronie danych osobowych. Nie jest to jednak procedura oderwana w całości od rozwiązań przewidzianych w kodeksie postępowania administracyjnego oraz ustawy – Prawo o postępowaniu przed sądami administracyjnymi. Zgodnie z artykułem art. 1 ustawy z dnia z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (dalej ppsa). Ustawa ta normuje postępowanie sądowe w sprawach z zakresu kontroli działalności administracji publicznej oraz w innych sprawach, do których jego przepisy stosuje się z mocy ustaw szczególnych (sprawy sądowoadministracyjne). Prawo do wprowadzenia nowej kompetencji dla sądów administracyjnych, niezwiązanych wyłącznie z „kontrolą administracji publicznej” wynika wprost z art. 1 ww. ustawy. Zgodnie natomiast z art. 63 i art. 64 ppsa jeżeli ustawy tak stanowią, postępowanie sądowe wszczyna się na wniosek. Wniosek składa się bezpośrednio do sądu. Wniosek powinien czynić zadość wymaganiom pisma w postępowaniu sądowym, a ponadto zawierać określenie żądania, jego podstawy i uzasadnienie oraz oznaczenie stron i organów, a także spełniać inne wymagania określone w przepisach szczególnych. Przepis ten stanowi także, że do wniosku stosuje się odpowiednio przepisy o skardze, jeżeli ustawa nie stanowi inaczej. W efekcie w ustawie o ochronie danych osobowych przyjęto następujące rozwiązanie. Prezes Urzędu podejmując z urzędu lub na wniosek postępowanie w sprawie stwierdzenia naruszenia przepisów o ochronie danych osobowych ustalając, iż przetwarzanie danych osobowych strony postępowania następuje m.in. na podstawie decyzji Komisji Europejskiej oraz uznając iż istnieją uzasadnione wątpliwości, że decyzja Komisji Europejskiej jest niezgodna z prawem Unii Europejskiej, na podstawie art. 97 kodeksu postepowania administracyjnego zawiesza swoje postepowanie. Zgodnie bowiem z art. 97 § pkt 4 Kodeksu organ zawiesza postępowanie, gdy rozpatrzenie sprawy i wydanie decyzji zależy od uprzedniego rozstrzygnięcia zagadnienia wstępnego przez inny organ lub sąd. Jak wskazuje się w literaturze zgodnie z którym przepis art. 97 § 1 pkt 4 Kodeksu nie daje podstaw do tego, aby zawęzić krąg podmiotów kompetentnych do rozstrzygnięcia zagadnienia wstępnego tylko do polskich sądów lub organów. Przemawia bowiem przeciwko temu zarówno wykładnia językowa, jak i systemowa, odwołująca się do koncepcji źródeł prawa powszechnie obowiązującego (W. Chróścielewski). Ponadto jak wskazał WSA w Warszawie SA/Wa 1898/06, Legalis pojęcie sądu, użyte w art. 97 § 1 pkt 4 Kodeksu, musi podlegać wykładni dynamicznej i celowościowej, uwzględniającej zmiany systemu wymiaru sprawiedliwości (powołanie TK) oraz dopuszczenie jurysdykcji sądów międzynarodowych, takich jak Europejski Trybunał Praw Człowieka oraz Trybunał Sprawiedliwości UE. W niniejszej sytuacji za powyższym w ocenie projektodawcy przemawia fakt, iż sprawa przed TSUE w sprawie ważności decyzji administracyjnej zostanie wszczęta w indywidualnym postępowaniu. Następnie Prezes Urzędu wystąpi na podstawie art. 65 ustawy o ochronie danych osobowych do sądu administracyjnego z wnioskiem (będzie to wniosek o którym mowa w art. 63-64 ppsa) o wydanie orzeczenia w sprawie ważności decyzji Komisji Europejskiej. W celu wyjaśnienia, należy wskazać, że zgodnie z ogólną regułą zawartą w art. 13 ppsa sądem właściwym do rozpatrzenia wniosku Prezesa Urzędu będzie wojewódzki sąd administracyjny. Następnie, z uwagi na wyłączną kompetencję TSEU w zakresie stwierdzenia ważności decyzji Komisji Europejskiej, sąd administracyjny będzie w przypadku przyjęcia wątpliwości Prezesa Urzędu za zasadne wystąpi z zapytaniem prawnym do TSUE. W przeciwnym wypadku sąd administracyjny wyda stosowne postanowienie. W celu zagwarantowania prawa do uczestniczenia w procedurze sądowoadministracyjnej wszystkim stronom postępowania prowadzonego przed Prezesem Urzędu, wskazano w ustawie wprost, iż są one również stronami postępowania sądowoadministracyjnego. Obowiązek wystąpienia przez sąd administracyjny z pytaniem prawnym do TSUE w ocenie projektodawcy będzie wynikał z faktu, iż postepowanie przez sądem administracyjnym będzie miało charakter jednoinstancyjny. Od postanowienia sądu administracyjnego nie będzie przysługiwał środek odwoławczy. Zgodnie natomiast Artykuł 267 Traktatu o Unii Europejskiej i Traktatu o Funkcjonowaniu Unii Europejskiej (2016/C 202/01) Trybunał Sprawiedliwości Unii Europejskiej jest właściwy do orzekania w trybie prejudycjalnym: o wykładni Traktatów oraz o ważności i wykładni aktów przyjętych przez instytucje, organy lub jednostki organizacyjne Unii. W przypadku gdy pytanie z tym związane jest podniesione przed sądem jednego z Państw Członkowskich, sąd ten może, jeśli uzna, że decyzja w tej kwestii jest niezbędna do wydania wyroku, zwrócić się do Trybunału z wnioskiem o rozpatrzenie tego pytania. W przypadku gdy takie pytanie jest podniesione w sprawie zawisłej przed sądem krajowym, którego orzeczenia nie podlegają zaskarżeniu według prawa wewnętrznego, sąd ten jest zobowiązany wnieść sprawę do Trybunału. Rozdziału 8. Europejska współpraca administracyjna. Przepisy ustawy mają zapewnić skuteczne stosowanie rozdziału VII Rozporządzenia regulującego zagadnienia europejskiej współpracy administracyjnej w sprawach ochrony danych osobowych. Mimo, że przepisy proceduralne wprowadzone do rozdziału VII Rozporządzenia są bezpośrednio skuteczne i co do zasady w sposób wyczerpujący regulują zasady prowadzenia współpracy, bez podjęcia krajowej uzupełniającej aktywności ustawodawczej, ich zastosowanie byłoby w polskim porządku prawnym w niektórych obszarach niemożliwe. Koniecznym było doprecyzowanie formy prawnej działań podejmowanych przez Prezesa Urzędu na podstawie art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 Rozporządzenia. Wszystkie z powołanych przepisów zobowiązują Prezesa Urzędu do wydawania środków tymczasowych, którym w polskim porządku prawnym nadana została forma postanowienia. Zgodnie z motywem 137 Rozporządzenia, organ nadzorczy powinien w razie pilnej potrzeby podjęcia działań w celu ochrony praw i wolności osób, których dane dotyczą mieć możliwość przyjmowania na swoim terytorium należycie uzasadnionych środków tymczasowych o określonym czasie obowiązywania. Motyw znajduje swoje odzwierciedlenie w powołanych już art. 61 ust. 8, 62 ust. 7 oraz 66 ust. 1 Rozporządzenia. Nie jest więc możliwe zapewnienie przez ustawodawcę krajowego skutecznego stosowania tych przepisów Rozporządzenia, bez przyznania Prezesowi Urzędu uprawnienia do wydawania takich środków tymczasowych. Po drugie należy wskazać, że rozwiązanie wprowadzone do projektu ustawy o ochronie danych osobowych nie jest rozwiązaniem obcym polskiemu porządkowi prawnemu. Z podobnymi rozwiązaniami mamy do czynienia chociażby w przypadku zabezpieczenia roszczeń w postępowaniu cywilnym bądź postępowaniu antymonopolowym w przypadku decyzji Prezesa UOKiK zobowiązującej przedsiębiorcę, któremu jest zarzucane stosowanie praktyk monopolowych by w drodze decyzji, zobowiązać go, do zaniechania określonych działań. Skoro praktyki które nie skutkują bezpośrednio naruszeniem praw podstawowych obywateli, zostały poddane takiej instytucji ochronnej, dziwi zamieszanie związane z ich wprowadzeniem w projekcie ustawy o ochronie danych. Po trzecie, jak zostało to już wskazane zastosowanie przez Prezesa Urzędu takich środków tymczasowych obwarowane jest w projekcie restrykcyjnymi wymogami. Musi dojść do uprawdopodobnienia naruszenia, naruszenie powinno powodować poważne i trudne do usunięcia skutki, środek powinien przewidywać dopuszczalny zakres przetwarzania i czas jego obowiązywania. Zastosowanie tych środków następować powinno więc bez wątpienia wyjątkowo. Prezes Urzędu powinien wskazać również ograniczony zakres przetwarzania danych, nie powinien on jednak rodzić nieodwracalnych skutków jak np. usunięcie przetwarzania danych osobowych. W Rozporządzeniu brak jest jakichkolwiek regulacji prawnych w zakresie języka prowadzenia współpracy w sprawach ochrony danych osobowych. Należy więc przyjąć, że wszelkie informacje pomiędzy organem a Komisją Europejską, Europejską Radą Ochrony Danych oraz organami nadzorczymi, mogą być przesyłane w każdym z oficjalnych języków UE. Powyższe, stanowi jednak dodatkowy czynnik znacznie utrudniający współpracę w ramach mechanizmu zgodności. O ile bowiem, w ramach aparatu administracyjnego Komisji Europejskiej zatrudnieni są urzędnicy, władający biegle wszystkimi językami UE, o tyle organy nadzorcze państw członkowskich pracownikami takimi nie dysponują. Art. 6 rozporządzenia Rady nr 1/58 z 15 kwietnia 1958 r. poświęconego językom UE, zwanego „Kartą Języków Unii Europejskiej” przyznaje instytucjom unijnym możliwość wyboru języka, w którym rozpatrywane by były określone kategorie spraw. Działanie takie, mogłoby zostać jednak uznane za sprzeczne z jednym z zadań przed jakim stoi Komisja tj. odpowiedzialność, za upowszechnianie wiedzy na temat wielojęzyczności i opiekę nad nią – powołana została zresztą w tym celu instytucja Komisarza ds. Wielojęzyczności. W związku z powyższym ustawodawca unijny odstąpił od regulowania jakichkolwiek zagadnień związanych z językiem prowadzonej współpracy. Uwzględniając powyższe, oraz jedną z podstawowych wartości jaką jest wielokulturowość UE, przepisy ustawy nakładają obowiązek kierowania korespondencji przez Prezesa Urzędu w jednym z języków urzędowych państwa członkowskiego będącego adresatem danej czynności lub w języku angielskim. Dokonywanie efektywnej współpracy wymaga dokładnego doprecyzowania zakresu zadań podejmowanych przez każdy z organów nadzorczych państw członkowskich. Projektowane przepisy projektu ustawy nakładają wymóg przyjęcia przez Prezesa Urzędu podejmującego wspólne operacje, o których mowa w art. 62 ust. 1 Rozporządzenia, z innymi organami nadzorczymi państw członkowskich wykaz ustaleń dotyczących takich wspólnych operacji. Krajowe przepisy o ochronie danych osobowych nie mogą nakładać obowiązku podejmowania takich działań przez inne państwa członkowskie, adresatem obowiązku jest więc Prezes Urzędu. Rozwiązanie takie nie jest obce polskim przepisom prawnym, i wprowadzone zostało również do art. 5 ust. 1 ustawy z dnia 7 lutego 2014 r. o udziale zagranicznych funkcjonariuszy lub pracowników we wspólnych operacjach lub wspólnych działaniach ratowniczych na terytorium Rzeczypospolitej Polskiej. Rozdział 9. Postępowanie kontrolne. W przepisach rozdziału 9 uregulowano postępowanie kontrolne. Przepisy tego rozdziału będą miały zastosowanie w przypadku czynności kontrolnych prowadzonych w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, w przypadku kontroli planowych jak również kontroli doraźnych. Kontrole będą przeprowadzane przez upoważnionych pracowników Urzędu Ochrony Danych Osobowych. W ocenie projektodawcy, celem wyeliminowania ryzyka jakichkolwiek nieprawidłowości w zakresie przeprowadzanych kontroli wzór legitymacji służbowej okazywanej w trakcie przeprowadzanej kontroli powinien zostać określony w drodze rozporządzenia. Projektodawca nie zdecydował się skorzystać z uprawnienia z art. 62 ust. 3 Rozporządzenia i przyznać tym osobom uprawnienie do wykonywania ich własnych uprawnień w zakresie postępowania wyjaśniającego. Osoby te będą wykonywały uprawnienia takie jak przysługują pracownikom Urzędu Ochrony Danych Osobowych. Zakres udzielanych upoważnień do przeprowadzenia kontroli określa art. 77 projektu. Dla zapewnienia możliwości przeprowadzenia kontroli pod nieobecność kontrolowanego przewidziano, w art. 79., że upoważnienie do przeprowadzenia kontroli będzie mogło być okazane pracownikowi kontrolowanego lub przywołanemu świadkowi, którym powinien być funkcjonariusz publiczny. W związku ze stałym rozwojem nowych technologii oraz założeniami na jakich opiera się Rozporządzenie ochrona danych osobowych wymaga wiedzy z pogranicza prawa, sektora IT oraz analityki. Projektodawca dostrzega więc potrzebę skorzystania Prezesa Urzędu z zaplecza eksperckiego, przewidując możliwość upoważnienia przez niego do udziału w kontroli osobę posiadającą taką wiedzę. Zakres uprawnień kontrolujących oraz obowiązków kontrolowanych określa art. 80 projektu. Projektodawca zdecydował się wprowadzić ograniczenie czasu przeprowadzania kontroli do godzin 6.00 – 22.00, uznając, iż ochrona danych osobowych nie będzie wymagała podjęcia aż tak nagłych czynności kontrolnych. Postanowiono zatem wyłączać z mocy ustawy możliwość przeprowadzenia kontroli poza ww. godzinami. Ważną i nową regulacją, mająca na celu skuteczne przeprowadzenie czynności kontrolnych, jest przepis art. 81 pozwalający kontrolującym korzystać z pomocy funkcjonariuszy innych organów kontroli lub Policji. W szczególności należy wskazać, że policja zobowiązana będzie do udzielenia pomocy nie tylko w przypadkach o których mowa w art. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. 2017 poz. 2067), ale również gdy jest to konieczne gdy kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, albo jeżeli istnieje uzasadnione przypuszczenie, że na taki opór natrafi. Uwzględniając dotychczasową praktykę działania GIODO sytuacje takie występują rzadko, ale ich wystąpienie uniemożliwia skuteczne przeprowadzenie kontroli. Zgodnie z treścią art. 83 projektu kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Przepis art. 87 projektu przewiduje stosowanie do postępowania kontrolnego w przypadku kontroli działalności gospodarczej przedsiębiorcy przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, z wyjątkiem przepisów art. 79, 82 i 83. Powyższe oznacza, że nie będą miały zastosowania do kontroli przestrzegania przepisów o ochronie danych osobowych przepisy dotyczące zawiadomienia o zamiarze wszczęcia kontroli, zakazu podejmowania i prowadzenia więcej niż jednej kontroli działalności przedsiębiorcy oraz ograniczeń w zakresie czasu trwania wszystkich kontroli organu kontroli u przedsiębiorcy w jednym roku kalendarzowym. W opinii projektodawcy zastosowanie ww. przepisów mogłoby uniemożliwić rzetelne i przeprowadzone we właściwym czasie postępowanie kontrolne w zakresie przestrzegania przepisów o ochronie danych osobowych. Trudno bowiem sobie wyobrazić, że kontrola doraźna w ww. zakresie nie mogłaby się odbyć z uwagi np. na trwającą kontrolę przestrzegania przepisów z zakresu ochrony środowiska. Ochrona prawa podstawowego jakim jest prawo do ochrony danych osobowych mogłaby wówczas stać się iluzją. Nową i ważną regulacją, mając na uwadze obecną praktykę, jest przepis art. 85 projektu, który przewiduje, że postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Przy czym za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość. Celem tego przepisu jest ograniczenie w czasie czynności kontrolnych prowadzonych przez organ, tak by dla podmiotów kontrolowanych nie istniała uciążliwość oraz niepewność związana z długotrwałym prowadzeniem tego postępowania. Kolejną nową w porównaniu z obowiązującą Ustawą Rozdział 10. Odpowiedzialność cywilna. Rozdział 10 projektu ustawy odnosi się do odpowiedzialności cywilnej za naruszenie przepisów o ochronie danych osobowych. Projektu wdraża do polskiego porządku prawnego regulację art. 79 ust. 1 Rozporządzenia. Zgodnie z treścią tego przepisu: „1. Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.”. Art. 79 ust. 1 Rozporządzenia wymaga od państw członkowskich, aby w ich systemach prawnych istniały skuteczne środki ochrony prawnej przed sądem w przypadku gdy podmiot danych uzna, że prawa przysługujące mu na mocy Rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia. Art. 79 ust. 1 Rozporządzenia dotyczy zarówno środków o charakterze materialnoprawnym jak i procesowym. Art. 79 ust. 1 Rozporządzenia nie wymaga wprowadzenia do systemu prawa państwa członkowskiego nowego środka na płaszczyźnie prawa materialnego, jeżeli obowiązujące przepisy mogą stanowić skuteczną podstawę roszczeń związanych z naruszeniem ogólnego rozporządzenia (czy ogólnie przepisów o ochronie danych osobowych). W tym miejscu należy zwrócić uwagę, iż realizacja normy kompetencyjnej wskazanej w art. 79 ust. 1 Rozporządzenia nie może naruszać bezpośrednio skutecznej normy wyrażonej w art. 82 Rozporządzenia (tj. nie może ograniczać dochodzenia roszczeń w oparciu o tę podstawę prawną). Zgodnie z treścią art. 82 ust. 1 Rozporządzenia każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego Rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. W art. 82 ust. 1 Rozporządzenia chodzi więc o roszczenia majątkowe (art. 82 ust. 5 Rozporządzenia mówi o „zapłacie” odszkodowania), które można dochodzić w razie zaistnienia szkody majątkowej lub niemajątkowej (zob. M. Gumularz, Wpływ regulacji 37 odpowiedzialności odszkodowawczej w ogólnym rozporządzeniu o ochronie danych osobowych na systemy prawa prywatnego państw członkowskich, Europejski Przegląd Sądowy z 2017, nr 5). W związku z powyższym projektowane regulacje dotyczą roszczeń odszkodowawczych, które mogą być realizowane w przypadku poniesienia szkody majątkowej lub niemajątkowej w wyniku naruszenia przepisów Rozporządzenia w oparciu o art. 82 Rozporządzenia. Art. 89 ust. 2 projektu wyraźnie przesądza, iż dochodzenie roszczeń w oparciu o art. 89 projektu nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych. Celem tej regulacji jest m.in. rozstrzygnięcie ewentualnych wątpliwości, które mogłyby dotyczy relacji pomiędzy art. 89 projektu oraz art. 82 Rozporządzenia. W doktrynie i orzecznictwie, nie budzi wątpliwości, iż naruszenie danych osobowych stanowi jednocześnie naruszenie dóbr osobistych. Art. 23 k.c. zawiera otwarty katalog dóbr osobistych. Natomiast dane osobowe ujmowane są jako kategoria dobra osobistego – prywatności. Dane osobowe nie mają więc charakteru samoistnego dobra osobistego (tak P. Sobolewski, Kodeks cywilny. Komentarz. Tom I. Przepisy wprowadzające. Część ogólna. Własność i inne prawa rzeczowe, K. Osajda (red.), Warszawa jako: „sfera fizycznej przestrzeni, a także myśli i przeżyć człowieka oraz informacji o nim, do której dostęp można uzyskać tylko za jego zgodą (przy czym zakres ochrony tej sfery może być różny ze względu na pełnioną przez daną osobę rolę społeczną)” (P. Machnikowski, Kodeks cywilny. Komentarz, E. Gniewek, P. Machnikowski (red.), Warszawa 2016, komentarz do art. 23 k.c., teza 2). Jednocześnie w piśmiennictwie podkreśla się, iż „Prywatność jest pojęciem wieloznacznym, trudnym do zdefiniowania. W wyjaśnieniach doktryny dotyczących istoty prywatności zwraca się zwłaszcza uwagę na aspekt poszanowania prawa człowieka do odosobnienia się, pozostawienia w spokoju, co przekłada się na ujęcie prywatności jako obszaru niedostępności, wolnego od ingerencji zewnętrznej, stwarzającego warunki do swobodnego kształtowania własnego życia i rozwoju własnej osobowości. Wskazuje się również, w nawiązaniu do przepisów konstytucyjnych, że za istotny komponent prywatności należy uznać autonomię człowieka w decydowaniu o swoim życiu osobistym (art. 47 Konstytucji RP), a także autonomię informacyjną” (Panowicz-Lipska, Kodeks cywilny. Komentarz. Księga I. Część ogólna, J. Gutowski (red.), Warszawa 2016, komentarz do art. 23 k.c., teza 13). Przedstawione rozumienie dobra osobistego tj. prywatności rodzi ryzyko wąskiego ujęcia w jej ramach danych osobowych (m.in. pojawia się wątpliwość czy w ramach art. 24 § 1 k.c. można żądać, ażeby osoba, która dopuściła się naruszenia np. odmówiła wydania kopii danych, dopełniła czynności potrzebnych do usunięcia jego skutków). W związku z tym projektodawca zdecydował się na wprowadzenie regulacji odrębnej w art. 89 ust. 1 projektu, dającej wyraźną cywilnoprawną podstawę roszczeń o charakterze niemajątkowym. Dochodzenie roszczeń powiązano z naruszeniem praw podmiotów danych wynikających z przepisów o ochronie danych osobowych (nie tylko Rozporządzenia). W ten sposób, bez potrzeby definiowania dobra osobistego (danych osobowych) skonstruowano podstawę dochodzenia cywilnoprawnych roszczeń niemajątkowych w razie naruszenia praw przysługujących na podstawie przepisów o ochronie danych osobowych. Założeniem projektodawcy przy włączeniu do projektu art. 89 było ustanowienie alternatywnej i niekonkurencyjnej wobec roszczenia z art. 23 i 24 k.c. podstawy prawnej dochodzenia roszczeń z tytuły naruszenia ochrony danych osobowych. W tym zakresie wybór podstawy prawnej dochodzenia roszczeń należy więc do osoby której dane osobowe zostały naruszone z tym zastrzeżeniem, że taki wybór nie zawsze będzie możliwy. Nie każde naruszenie prawa do prywatności o którym mowa w art. 23 i 24 k.c. skutkuje bowiem naruszeniem ochrony danych osobowych i nie każde naruszenie danych osobowych skutkuje naruszeniem prywatności. Tytułem przykładu naruszeniem prywatności rozumianej powszechnie jako prawo do intymności, będzie podglądanie kogoś lornetką w jego prywatnym mieszkaniu, bez podstawy prawnej. O ile jednak działania kończą się wyłącznie na podglądaniu, bez utrwalania wizerunku osoby podglądanej, nie skutkują one naruszeniem zasad ochrony danych osobowych. Art. 89 projektu nie mógłby być więc w takiej sytuacji podstawą dochodzenia jakichkolwiek roszczeń. Z drugiej strony jednym z przewidzianych przepisami Rozporządzenia nowych, nieznanych dzisiaj uprawnień jest prawo do przeniesienia danych osobowych. Zgodnie z art. 20 Rozporządzenia osoba, której dane dotyczą, ma prawo przesłać swoje dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Odmowa ze strony administratora zrealizowania żądania osoby której dane dotyczą przekazania ich wskazanemu przez taka osobę podmiotowi narusza zasady ochrony danych osobowych, ale nie narusza dobra osobistego jakim jest prywatność. Odmowa realizacji prawa do przeniesienia danych nie ingeruje bowiem w żadnym zakresie w sferę intymności człowieka. W takim przypadku podstawą prawną dochodzenia roszczeń będzie mógł więc być art. 89 projektu, ale już nie art. 23 i 24 k.c. Bez wątpienia są jednak naruszenia związane ochroną danych osobowych które mogą wiązać się jednocześnie z naruszeniami prywatności – wycieki danych osobowych. Należy zwrócić uwagę, iż art. 89 ust. 1 projektu dotyczy wyłącznie dokonanego naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych. W tej sytuacji przysługiwać będzie roszczenie o: – zaniechanie tego działania; – to aby ten kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Projektowany art. 90 ust. 1 ma charakter porządkowy i przesądza cywilnoprawny tryb dochodzenia roszczeń wskazanych w art. 89 projektu. W związku z tym sądy okręgowe będą właściwe w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, niezależnie od tego czy chodzić będzie o roszczenia majątkowe (niezależnie od wartości przedmiotu sporu) czy niemajątkowe. Decyzja o przyznaniu sądom okręgowym właściwości w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych podyktowana została względami ekonomiki w tym chęcią zapewnienia szybkości postępowania. Liczba spraw rozpatrywanych przez sądy okręgowe jest mniejsza niż sądy rejonowe. Przepis ten stanowi regulację szczególną względem art. 17 pkt 4 kodeksu postępowania cywilnego. Celem wprowadzenia art. 91 projektu jest udrożnienie i przyspieszenie komunikacji pomiędzy sądami powszechnymi a Prezesem Urzędu. Należy zwrócić uwagę, iż wniesienie pozwu w sprawach, o których mowa w art. 89 projektu obliguje sąd – przed którym toczy się postępowanie – do zawiadomienia Prezesa Urzędu. Niemniej sąd może ale nie musi zawiesić toczącego się przed nim postępowania. W ocenie projektodawcy ważnym do wskazania jest również, że wprowadzenie do projektu wskazanych regulacji nie ma wpływu na toczące się obecnie postępowania. Rozdział 11. Administracyjne kary pieniężne. Przepisy rozdziału 11 projektu dotyczą administracyjnych kar pieniężnych. W pierwszej kolejności należy wskazać, iż przesłanki ich nakładania i maksymalne wysokości wynikają wprost z Rozporządzenia (art. 83 ust. 1 – 6). Odnosząc się do katalogu podmiotów, na które takie kary mogą być nakładane, prawodawca unijny wprowadził możliwość szczególnego uregulowania przez państwa członkowskie kwestii nakładania tych kar na organy i podmioty publiczne (art. 83 ust. 7). Zgodnie bowiem z tym przepisem każde państwo członkowskie może określić, czy i w jakim zakresie administracyjne kary pieniężne można nakładać na organy i podmioty publiczne ustanowione w tym państwie członkowskim. Na gruncie projektu ustawy przyjęto, iż w polskim systemie prawnym przez organy publiczne będą rozumiane organy administracji publicznej w rozumieniu art. 5 § 2 pkt 3 Kodeksu, a więc: ministrowie, centralne organy administracji rządowej, wojewodowie, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej), organy jednostek samorządu terytorialnego oraz organy i podmioty wymienione w art. 1 pkt 2 Kodeksu. Przez podmioty publiczne będziemy natomiast rozumieli podmioty sektora finansów publicznych a więc: 1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały; 2) jednostki samorządu terytorialnego oraz ich związki; 2a) związki metropolitalne; 3) jednostki budżetowe; 4) samorządowe zakłady budżetowe; 5) agencje wykonawcze; 6) instytucje gospodarki budżetowej; 7) państwowe fundusze celowe; 8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego; 9) Narodowy Fundusz Zdrowia; 10) samodzielne publiczne zakłady opieki zdrowotnej; 11) uczelnie publiczne; 12) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne; 13) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego. Polski prawodawca skorzystał z możliwości jaką daje art. 83 ust. 7 Rozporządzenia i postanowił, że kary mogą być nakładane jedynie na podmioty wymienione w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych i wysokość kar nie może przekroczyć 100 000 zł. Przede wszystkim trzeba zauważyć, że podmioty publiczne są finansowane ze środków budżetu państwa a środki z administracyjnych kar pieniężnych stanowią dochód budżetu państwa. A zatem w przypadku nałożenia na podmiot publiczny administracyjnej kary pieniężnej środki z tej kary pośrednio trafiałyby z powrotem do tego podmiotu. O ile bowiem w odniesieniu do podmiotów spoza administracji publicznej administracyjna kara pieniężna jest dotkliwą sankcją to nie można zgodzić się, iż taki sam skutek odnosiła ona będzie w stosunku do podmiotów publicznych. Zatem kara ta nie spełniałyby swego represyjnego celu. Dodatkowo nakładanie kar na administrację publiczną w znacznych ilościach pośrednio obciąża obywateli uwzględniając, że środki publiczne pochodzą również z obciążeń podatkowych wnoszonych przez obywateli. Projektodawca zdecydował się również wprowadzić wyjątek w zakresie nakładania administracyjnych kar finansowych, wyłączając z możliwości objęcia takimi karami państwowe i samorządowe instytucje kultury. Warto, przy tym pamiętać, że Konstytucja Rzeczypospolitej Polskiej wprowadza dwie ważne zasady działania państwa w tej dziedzinie: – zasadę upowszechniania dóbr kultury, mającą istotne znaczenie dla poznawania kultury, uczestniczenia w niej, tworzenia wspólnoty narodowej oraz procesu patriotycznego wychowania i kształtowania postaw obywatelskich, – zasadę zapewnienia równego dostępu do tych dóbr, które stanowią źródło tożsamości Narodu, jego trwania i rozwoju. Realizacja ww. zasad następuje, w formie działań niewładczych, nie może wręcz ze względu na swój charakter być zabezpieczona przymusem administracyjnym. Uczestniczenie w kulturze, jako jej odbiorca, animator, czy twórca, tj. kreowanie usług kulturalnych czy korzystanie z usług kulturalnych jak i z mecenatu państwa ma charakter dobrowolny i niekiedy wiąże się z koniecznością umożliwienia przetwarzania danych osób korzystających z ofert największego mecenasa kultury jakim jest państwo i jego instytucje. Państwowe i samorządowe instytucje kultury, a także jednostki zakładane i prowadzone przez osoby fizyczne czy fundacje i stowarzyszenia, dysponują z reguły niewielkimi budżetami, a jednocześnie zakres przetwarzanych danych osobowych nie powoduje znaczącego zagrożenia dla prywatności użytkowników. Muzea, teatry i podobne instytucje zwykle przetwarzają podstawowe dane osobowe, takie jak: imię, nazwisko, adres i dane kontaktowe. Dane te są potrzebne najczęściej w związku z korzystaniem z karnetów, newsletterów, itp. usług. Dane tego rodzaju są zresztą coraz częściej ogólnodostępne w sieci i służą zapewnieniu dostępu do oferty kulturalnej, zachęceniu do korzystania z niej, zaktywizowaniu i promowaniu działań animatorskich czy twórczych. Zagrożenie wysokimi karami administracyjnymi w ocenie projektodawcy zniechęciłoby do prowadzenia tego typu działalności, a tym samym pozbawiłoby, a w każdym razie znacznie ograniczyło, obywatelom możliwość dostępu do kultury, w szczególności w wymiarze lokalnym. Tam gdzie realne nakłady na kulturę są najniższe (gminy wiejskie czy małe miasta) i funkcjonują najbardziej podstawowe formy działalności kulturalnej (tj. biblioteka gminna i ośrodek kultury, a często wspólna biblioteka gminy i powiatu czy biblioteka i ośrodek połączone w jedną instytucję, tak aby jak najwięcej środków wydatkowanych było wyłącznie na samą działalność kulturalną, a nie jej obsługę czy administrowanie nią) trudno byłoby zaakceptować dodatkowe obciążenia finansowe, wynikające z kar stanowiących znaczący ułamek rocznego budżetu instytucji. Z kolei, należy też wskazać, że co do zasady kultura jest traktowana, w wielu regulacjach ustrojowych, administracyjnych, karnych, cywilnoprawnych czy finansowo –podatkowych w sposób szczególny, zwłaszcza w zestawieniu z innymi sferami działalności czy usług publicznych, i to tak w zakresie prawa unijnego jak krajowego. Przykładowo, do działalności kulturalnej w pewnym zakresie nie stosuje się w ogóle Prawa zamówień publicznych (art. 4d ust. 1 pkt 2 tej ustawy). Ponadto ogranicza się jawność informacji związanych z postępowaniem o udzielenie zamówienia dostaw lub usług z zakresu działalności kulturalnej (art. 8 ust.4 rzeczonej ustawy) czy wprowadza bardziej złagodzony reżim udzielania zamówień (taki jak do innych tzw. usług społecznych), który oddaje inicjatywę w zakresie kształtu postępowania zamawiającemu (art. 138p i nast. ustawy). Takie uproszczenia czy wyłączenia w ramach procedur przy udzielaniu zamówień na dostawy czy usługi z zakresu kultury, mają swoje umocowanie w prawodawstwie unijnym – vide np. motyw 113, art. 4, art. 21 i art. 74 oraz załącznik XIV dyrektywy 2014/24/UE z dnia 26 lutego 2014 r. w sprawie zamówień publicznych, uchylającej dyrektywę 2004/18/WE tzw. dyrektywy klasycznej albo załącznik XVII dyrektywy 2014/25/UE z dnia 26 lutego 2014 r. w sprawie udzielania zamówień przez podmioty działające w sektorach gospodarki wodnej, energetyki, transportu i usług pocztowych, uchylającej dyrektywę 2004/17/WE z dnia 28 marca 2014 r. – tzw. dyrektywy sektorowej. Kultura i dziedzictwo kulturowe są również szczególnie traktowane w przepisach o pomocy publicznej. Rozporządzenie Komisji (UE) NR 651/2014 z dnia 17 czerwca 2014 r. uznające niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu nie wyłącza wprawdzie kultury spod reguł dotyczących pomocy publicznej, jednakże znacząco ogranicza ich stosowanie w tej dziedzinie. Przykładowo, pod pewnymi warunkami, pomoc na kulturę i zachowanie dziedzictwa kulturowego jest uznana za zgodną z rynkiem wewnętrznym i wyłączona z obowiązku zgłoszenia. Dotyczy to m. in. pomocy udzielanej takim jednostkom jak „muzea, archiwa, biblioteki, ośrodki lub przestrzenie kulturalne i artystyczne, teatry, opery, sale koncertowe, inne organizacje, wystawiające widowiska sceniczne, instytucje odpowiedzialne za dziedzictwo filmowe oraz inne podobne infrastruktury, organizacje i instytucje kulturalne i artystyczne” (art. 53 ust.2 pkt a). Niezależnie od regulacji szczegółowych warto przypomnieć, że artykuł 167 Traktatu o Unii Europejskiej uznaje znaczenie, jakie dla Unii i państw członkowskich ma wspieranie kultury, oraz stanowi, że Unia powinna uwzględniać aspekty kulturalne w swoim działaniu, zwłaszcza w celu poszanowania i popierania różnorodności jej kultur. Również ostatnio Unia Europejska przystąpiła do prac nad zrewidowaniem stawek podatku VAT na tzw. e-booki. Komisja Europejska przedstawiła pakiet rozwiązań „mających na celu poprawę warunków prowadzenia działalności przez przedsiębiorstwa zajmujące się handlem elektronicznym pod względem podatku VAT”. Te działania także wskazują na znaczenie i szczególne podejście UE do spraw kultury. Komisja Europejska przedłoży wniosek dotyczący dyrektywy Rady zmieniającej dyrektywę 2006/112/WE w odniesieniu do stawek podatku od wartości dodanej stosowanego do książek, gazet i czasopism (projekt Komisji Europejskiej z 1 grudnia 2016 r., COM(2016) 758 final). Projekt ten zapowiedziany został w komunikacie Komisji do Parlamentu Europejskiego, Rady i Europejskiego Komitetu Ekonomiczno-Społecznego dotyczącym planu działania w sprawie VAT (zob. COM(2016) 148 final). W uzasadnieniu do wniosku Komisja wskazuje w szczególności, że „mimo że istnieją różnice między publikacjami drukowanymi i publikacjami elektronicznymi pod względem formatu, oba rodzaje publikacji oferują taką samą treść czytelniczą dla nabywców”. Można zatem oczekiwać, że nowa koncepcja zmian dotyczących stawek VAT w sektorze handlu elektronicznego, poskutkuje w efekcie zrównaniem stawek VAT na książki papierowe i ebooki. Z kolei polski ustawodawca w ramach ustawy o organizowaniu i prowadzeniu działalności kulturalnej, gwarantuje instytucjom kultury – jak najdalej możliwą w sferze publicznej – samodzielność prawną, organizacyjną i finansową, przyznając im status osób prawnych (vide art. 14). Zabezpiecza obowiązek finansowania przez organizatorów (art. 12) oraz samodzielność w działaniu (art. 15-17 i art. 27), tak aby instytucje te mogły przede wszystkim realizować zadania związane z upowszechnianiem i ochroną kultury, wspieraniem i promowaniem twórczości, edukacją i oświatą kulturalną czy działaniami i inicjatywami kulturalnymi – w sposób jak najmniej obciążony typowymi dla administracji wymaganiami czy rygorami. W sferze podatkowej polski ustawodawca przewiduje natomiast specjalne rozwiązania promujące twórców i artystów oraz wydatki na cele kulturalne, w tym darowizny (vide art. 21 ust.1 pkt 68 i 132, art. 22 ust. 9 pkt 3 i art. 26 ust.1 lit. a ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych czy art. 18 ust.1 pkt 1 ustawy z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych). Analogicznie w systemie ubezpieczeń społecznych artyści i twórcy posiadają pewne preferencyjne rozwiązania emerytalne (vide art. 8 ust. 5 pkt 2, ust.7 i 9, art. 36 ust. 4a, art. 47 ust. 1a ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych oraz art. 6 ust.2 pkt 9 lit.b ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych). Z powyższych powodów w ocenie projektodawcy za zasadne należy szczególne potraktowanie działalności kulturalnej, w tym prowadzonej przez instytucje kultury, w przepisach o ochronie danych osobowych poprzez wyłączenie stosowania w stosunku do nich administracyjnych kar pieniężnych. Nową instytucją w polskim systemie prawnym jest Fundusz Ochrony Danych Osobowych będący państwowym funduszem celowym. Przychodami Funduszu ma być 1% administracyjnych kar pieniężnych a wydatki Funduszu mają być przeznaczane na cele wskazane w projekcie. Celem powołania tej instytucji jest zapewnienie finansowania przedsięwzięć oraz udostępnianie wiedzy z zakresu ochrony danych osobowych. Zgodnie z projektem ustawy Prezes Urzędu Ochrony Danych Osobowych „może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy”. Na podstawie projektu ustala się odsetki w wysokości 50% stawki odsetek za zwłokę. Wprowadzona na podstawie ww. przepisu ulga może spełniać przesłanki pomocy publicznej określone w art. 107 ust. 1 TFUE, gdyż: może powodować uszczuplenie dochodów państwa, ma charakter selektywny (skierowana jest do określonych podmiotów), może stanowić dla zgłaszających korzyść, której nie uzyskaliby w normalnych warunkach rynkowych, a także – jako że wśród beneficjentów tej ulgi znajdują się przedsiębiorcy działający na rynkach otwartych na konkurencję – może zakłócić lub grozić zakłóceniem konkurencji i wpłynąć na wymianę handlową między państwami członkowskimi UE. Rozdział 12. Przepisy karne. Rozdział 12 projektu wprowadza przepisy karne. Generalnym celem projektodawcy było nie rozbudowywanie przepisów karnych i ich ograniczenie do niezbędnych z punktu widzenia systemu ochrony danych osobowych. Wprowadzone do projektu regulacje nie są więc kopią obecnych rozwiązań. Obowiązujące dziś przepisy wskazują wiele czynów zabronionych, ale jednocześnie zbyt ogólnie opisują znamiona poszczególnych z nich. W konsekwencji prokuratorzy i sądy niechętnie sięgają do tych regulacji, co z kolei przekłada się na niewielką liczbę prowadzonych postępowań. Odpowiedzialność karna ma być jednak wyjątkiem przewidzianym wyłącznie dla najcięższych naruszeń przepisów. Będzie stanowiła uzupełnienie dla szeroko uregulowanej odpowiedzialności administracyjnej i cywilnej, a nie główną oś gwarancji przestrzegania przepisów jak obecnie. Przyjęto więc, iż podstawowymi „sankcjami” za naruszenie przepisów o ochronie danych osobowych są nakładane na administratora lub podmiot przetwarzający obowiązki wynikające z prawa administracyjnego oraz administracyjne kary pieniężne. Tym niemniej dla zapewnienia skuteczności systemu ochrony danych osobowych przewidziano sankcję karną za udaremnianie lub utrudnianie kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. Regulacja w tym zakresie obowiązuje również na gruncie obowiązującej Ustawy. Orzekanie w tych sprawach następowało będzie na podstawie przepisów Kodeksu Karnego. Sankcją jest kara grzywny. Uznano te działania za czyn mniejszej wagi niż działania opisane w pozostałych przepisach projektu. Przepisy penalizują również przetwarzanie zwykłych i szczególnych kategorii danych (z art. 9 Rozporządzenia) bez podstawy prawnej. Mając na względzie dobro podmiotów danych oraz wagę naruszenia, jakim jest przetwarzanie danych osobowych, uznano, że przetwarzanie danych bez podstawy prawnej, a więc nieuprawnione i umyślne przetwarzanie, powinno być zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności. Tak więc orzekanie w tych sprawach będzie odbywało się w trybie przepisów Kodeksu postępowania karnego. Projektodawca zdecydował się jedynie rozróżnić maksymalny wymiar możliwej kary od kategorii przetwarzanych danych, w ślad za intencją ustawodawcy unijnego który wprowadza dwie kategorie danych: danych szczególnie chronionych oraz danych zwykłych. Jednocześnie projektodawca nie zdecydował się zmienić obowiązujących obecnie maksymalnych wymiarów kar wskazując je na poziomie dwóch lat pozbawienia wolności w przypadku naruszenia zasad ochrony danych zwykłych oraz trzech lat pozbawienia wolności w przypadku naruszenia zasad ochrony danych wrażliwych. Należy jednocześnie zwrócić uwagę, iż naruszenie przepisów o ochronie danych może stanowić czyn realizujący znamiona określone w przepisach kodeksu karnego np. w ramach rozdziału XXXIII „Przestępstwa przeciwko ochronie informacji”. Rozdział 13. Przepisy zmieniające. Przepisy uzasadnianego rozdziału co do zasady pełnią rolę techniczno-legislacyjną i mają na celu zmianę nazwy organu z Generalnego Inspektora Ochrony Danych Osobowych na Prezesa Urzędu Ochrony Danych Osobowych, administratora bezpieczeństwa informacji na inspektora ochrony danych oraz odwołują odwołania do obowiązującej ustawy. Ustawodawca zdecydował się na uzupełnienie dotychczas występującej luki w prawie administracyjnym w zakresie rozstrzygania sporów o właściwość pomiędzy Prezesem Urzędu Ochrony Danych Osobowych a innymi organami publicznymi, w tym organami administracji rządowej. Prezes Urzędu Ochrony Danych Osobowych nie posiada organu wyższego stopnia ani też nie posiada organu nadrzędnego. W efekcie na gruncie Kodeksu dochodzi o sytuacji, iż w przypadku sporu kompetencyjnego dotyczącego postępowania o naruszenie przepisów ochrony danych osobowych z innym organem, w tym organem administracji rządowej, w obecnie obowiązujących przepisach brak jest normy kompetencyjnej do rozstrzygnięcia tak zawisłego sporu. Brak przepisów o rozstrzyganiu ww. sporów jest szczególnie dotkliwy dla obywatela, gdy dochodzi do sporu kompetencyjnego o charakterze negatywnym – czyli w sytuacji, gdy żaden organ nie uznaje się za właściwy w sprawie, której np. obywatel żąda podjęcia działań. Organy administracji publicznej, zgodnie z zasadą legalizmu, badają swoją właściwość z urzędu na każdym etapie postępowania administracyjnego, a uprawnienie do działania muszą być interpretowane ściśle. Należy wskazać, że zgodnie z art. 5 § 2 pkt 3 Kodeksu, jako organy administracji publicznej – rozumie się przez to ministrów, centralne organy administracji rządowej, wojewodów, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej), organy jednostek samorządu terytorialnego oraz organy i podmioty wymienione w art. 1 pkt 2. Zgodnie zaś z przywołanym art. 1 pkt 2 pod pojęciem organu należy rozumieć też „inne organy państwowe” oraz „inne podmioty, gdy są one powołane z mocy prawa lub na podstawie porozumień do załatwiania spraw w drodze decyzji administracyjnych albo załatwianych milcząco. Bez wątpienia takim organem jest obecnie Generalny Inspektor Danych Osobowych a po wejściu w życie ustawy – Prezes Urzędu Ochrony Danych Osobowych. Z kolei zgodnie z art. 5 § 2 pkt 4 tego rodzaju organy są „kierownikami innych równorzędnych urzędów państwowych załatwiających sprawy administracyjne”. Art. 22 wskazujący organy właściwe do rozpatrywania sporów kompetencyjnych oraz sporów o właściwość wskazuje na organy wyższego stopnia bądź sąd administracyjny. Zgodnie z art. 17 Kodeksu, organami wyższego stopnia w rozumieniu kodeksu są: 1) w stosunku do organów jednostek samorządu terytorialnego – samorządowe kolegia odwoławcze, chyba że ustawy szczególne stanowią inaczej; 2) w stosunku do wojewodów – właściwi w sprawie ministrowie; 3) w stosunku do organów administracji publicznej innych niż określone w pkt 1 i 2 – odpowiednie organy nadrzędne lub właściwi ministrowie, a w razie ich braku – organy państwowe sprawujące nadzór nad ich działalnością; 4) w stosunku do organów organizacji społecznych – odpowiednie organy wyższego stopnia tych organizacji, a w razie ich braku – organ państwowy sprawujący nadzór nad ich działalnością. Należy wskazać, że w przypadku Prezesa Urzędu Ochrony Danych Osobowych żaden ze wskazanych w art. 17 podmiotów nie sprawuje nadzoru nad ww. organem. Art. 17 w związku z art. 22 nie znajduje wiec zastosowania. Jednocześnie z uwagi na fakt, iż sądom administracyjnym (w przeciwieństwie do sądów powszechnych) nie przysługuje domniemanie kompetencji orzeczniczej, sądy administracyjne także nie były właściwe do rozstrzygania ww. sporów kompetencyjnych. Z uwagi na powyższe konieczne jest uzupełnienie w Kodeksie art. 22, regulującego rozstrzyganie sporów o właściwość oraz sporów kompetencyjnych, o odpowiedni zapis. Należy jednoznacznie wskazać, iż spory w których występują organy administracji publicznej nieposiadające organów wyższego stopnia oraz nie należą do innych organów zdefiniowanych w art. 22 Kodeksu rozstrzyga sąd administracyjny. Z uwagi na fakt, iż chodzi o ograny które zazwyczaj na mocy przepisów ustrojowych cechują się niezależnością i swoistymi regulacjami posłużono się pojęciem „sporu kompetencyjnego” zamiast sporu o właściwość. Jak wskazuje się w doktrynie rozróżnienie pojęć „spór o właściwość” oraz „spór kompetencyjny” ma pełne umocowanie w konstrukcjach prawa ustrojowego. O ile przy sporze o właściwość chodzi wyłącznie o podział właściwości pomiędzy organami należącymi do tego samego systemu ustrojowego, to przy sporach kompetencyjnych przedmiotem jest rozdzielenie kompetencji pomiędzy różne systemy ustrojowe administracji publicznej (B. Adamiak, J. Borkowski Komentarz do kodeksu postępowania administracyjnego, wyd. C. H. Beck 2017 r. wydanie 15). W konsekwencji w ustawie – Prawo o postępowaniu przed sądami administracyjnymi należy dodać odpowiednią regulację umożliwiającą sądom administracyjnym rozstrzyganie ww. sporów kompetencyjnych. W tym celu ustawodawca postanowił, podobnie jak w przypadku organów jednostek samorządu terytorialnego, wprowadzić zasadę, iż spory kompetencyjne miedzy organami państwowymi prowadzącymi postępowania administracyjne niebędącymi organami administracji rządowej, organami jednostek samorządu terytorialnego i samorządowymi kolegiami odwoławczymi oraz pomiędzy tymi organami a organami administracji rządowej, o ile odrębna ustawa nie stanowi inaczej będzie rozstrzygał Sąd administracyjny. W przypadku ustawy o Prawo o postępowaniu przed sądami administracyjnymi posłużono się innym pojęciem niż w przepisach kodeksu postepowania administracyjnego. Ponieważ PPSA nie reguluje swoim zakresem sporów kompetencyjnych pomiędzy organami administracji rządowej, ta kwestia jest regulowana na gruncie kodeksu postepowania administracyjnego. Zasadne jest zatem odwołanie się do sporów kompetencyjnych jedynie w stosunku do organów nie będących organami administracji rządowej, a będącymi organami państwowymi innymi niż organy jednostek samorządu teatralnego, samorządowymi kolegami odwoławczymi oraz pomiędzy tymi organami a organami administracji rządowej. Z uwagi na pozycję ustrojową ww. organów właściwym sądem administracyjnym jest Naczelny Sąd Administracyjny. Od dnia 25 maja 2018 r. będzie istniała przewidziana Rozporządzeniem możliwość nałożenia na przedsiębiorców administracyjnych kar finansowych za naruszenie przepisów o ochronie danych osobowych w przypadku nałożenia kary przez Prezesa Urzędu. Trudno w tej chwili oszacować skutki takiego przepisu. Projekt ustawy o ochronie danych osobowych jest zgodny z prawem Unii Europejskiej. Projektowana regulacja nie zawiera przepisów technicznych w rozumieniu rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego Projekt ustawy będzie miał wpływ na sytuację małych i średnich przedsiębiorców. Należy w tym zakresie wskazać na przyznane Prezesowi Urzędu uprawnienie do wydawania rekomendacji w obszarze zasad zabezpieczania danych osobowych, wypracowywanych z przedsiębiorcami w tym należących do małych i średnich przedsiębiorstw. Zgodnie z treścią projektu, monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 Rozporządzenia, zajmuje się podmiot akredytowany przez Prezesa Urzędu. Podmiotem takim mogą być przedsiębiorcy w tym mali i średni. systemu notyfikacji norm i aktów prawnych (Dz. U. poz. 2039 oraz z 2004 r. poz. 597) i nie podlega notyfikacji Komisji Europejskiej. Projekt nie wymaga przedstawienia właściwym organom i instytucjom Unii Europejskiej, w tym Europejskiemu Bankowi Centralnemu, w celu uzyskania opinii, dokonania powiadomienia, konsultacji albo uzgodnienia. Projekt ustawy został zamieszczony w Biuletynie Informacji Publicznej na stronie podmiotowej Rządowego Centrum Legislacji, w serwisie „Rządowy Proces Legislacyjny” oraz w Biuletynie Informacji Publicznej na stronie podmiotowej Ministra Cyfryzacji, zgodnie z art. 5 ustawy z dnia 7 lipca 2005 r. o działalności lobbingowej w procesie stanowienia prawa (Dz. U. z 2017 r. poz. 248). W trybie przepisów ww. ustawy nie wpłynęły wnioski.

Czytaj więcej

Projekt z dnia 8 lutego 2018 r. U S T A W A o ochronie danych osobowych1)

Projekt z dnia 8 lutego 2018 r.

U S T A W A

z dnia ……………… 2018 r.

o ochronie danych osobowych1)

Rozdział 1

Przepisy ogólne

Art. 1. 1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu  takich  danych  oraz  uchylenia  dyrektywy  95/46/WE  (ogólne  rozporządzenie   o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.

  1. Ustawa określa:
  • podmioty obowiązane    do    wyznaczenia    inspektora    ochrony    danych    oraz    tryb zawiadamiania o wyznaczaniu;
  • warunki i tryb udzielania certyfikacji i akredytacji;
  • postępowanie w sprawie zatwierdzenia kodeksu postępowania;
  • organ właściwy w sprawie ochrony danych osobowych;
  • postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
  • europejską współpracę administracyjną;
  • postępowanie kontrolne;
  • odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;
  • administracyjne kary pieniężne za naruszenie przepisów o ochronie danych

Art. 2. 1. Do działalności polegającej na redagowaniu, przygotowaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. −

1)  Niniejsza  ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z  dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych

i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1).

Prawo prasowe (Dz. U. poz. 24, z późn. zm.2)) a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5 – 9, art. 11, art. 13 – 16, art. 18 – 22, art. 27,

art. 28 ust. 2 – 10 oraz art. 30 rozporządzenia 2016/679.

  1. Do wypowiedzi akademickiej, o której mowa w art. 85 ust. 2 rozporządzenia 2016/679, nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2 – 10 oraz art. 30 rozporządzenia 2016/679.
  2. Jeżeli ograniczenia, o których mowa w ust. 1 i 2, różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega

Art. 3. 1. Do przetwarzania danych osobowych przez administratorów nie będących podmiotami publicznymi wskazanymi w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077), zatrudniających mniej niż 250 osób, przepisów art. 13 ust. 2 lit a-b oraz d – f, art. 15 ust. 3 i 4, art. 19 oraz art. 34 rozporządzenia 2016/679 nie stosuje się.

  1. W przypadku, o którym mowa w ust. 1, administrator przechowuje dane osobowe wyłącznie przez okres w zakresie niezbędnym do realizacji celów przetwarzania danych osobowych.
  2. Na administratorze, o którym mowa w ust. 1, ciąży obowiązek dochowania najwyższej staranności w związku z przetwarzaniem danych osobowych, w szczególności w zakresie zapobiegania dostępowi do nich przez osoby niepowołane, możliwości ich utraty lub bezprawnego

Art. 4. Do administratorów, o których mowa w art. 3 ust. 1, którzy w ramach przetwarzania danych osobowych, o których mowa w art. 3 ust. 1, udostępniają dane  osobowe innym administratorom, z wyjątkiem sytuacji gdy osoba, której dane dotyczą wyraziła zgodę na udostępnienie swoich danych osobowych lub udostepnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze, oraz do administratorów, którzy w ramach przetwarzania danych, o którym mowa w art. 9 ust. 1 rozporządzenia 2016/679, przepisu art. 3 nie stosuje się.

2)  Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 1988 r. poz. 324, z 1989 r. poz. 187, z 1990 r.   poz. 173, z 1991 r. poz. 442, z 1996 r. poz. 542, z 1997 r. poz. 554 i 770, z 1999 r. poz. 999, z 2001 r. poz. 1198,

z 2002 r. poz. 1271, z 2004 r. poz. 1181, z 2005 r. poz. 377, z 2007 r. poz. 590, z 2010 r. poz. 1228 i 1551,

z 2011 r. poz. 459, 934, 1204 i 1660, z 2012 r. poz. 1136 oraz z 2013 r. poz. 771.

Art. 5. W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.

Art. 6. 1. W sprawach nieuregulowanych w ustawie do postępowań przed Prezesem Urzędu Ochrony  Danych  Osobowych,  o  których  mowa  w  rozdziale  4  i  5,  rozdziale  6  z wyłączeniem art. 52, rozdziale 7 i 11 stosuje się przepisy ustawy z dnia 14 czerwca 1960 r

  • Kodeks postepowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149).
  1. Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych jest postępowaniem jednoinstancyjnym.

Rozdział 2

Inspektor ochrony danych

Art. 7. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

Art. 8. 1. Administrator albo podmiot przetwarzający, który wyznaczył inspektora, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”, o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.

  1. Zawiadomienie może zostać dokonane przez pełnomocnika administratora albo podmiotu przetwarzającego.  Do  zawiadomienia  dołącza  się  pełnomocnictwo  udzielone  w formie
  2. W zawiadomieniu administrator albo podmiot przetwarzający obowiązany jest wskazać:
  • adres siedziby i pełną nazwę, albo
  • adres zamieszkania oraz imię i nazwisko w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna, albo
  • adres miejsca wykonywania działalności gospodarczej, imię, nazwisko i firmę przedsiębiorcy, w  przypadku  przedsiębiorcy  wpisanego  do  Centralnej  Ewidencji      i Informacji o Działalności
  1. O każdej zmianie danych, o której mowa w ust. 1 i 3, w tym o odwołaniu inspektora, należy zawiadomić Prezesa Urzędu w terminie 14 dni od dnia zaistnienia
  2. W przypadku wyznaczenia jednego inspektora przez grupę przedsiębiorstw albo przez organy lub podmioty publiczne, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust.
  3. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym
  4. Prezes Urzędu prowadzi wewnętrzną ewidencję zawiadomień. Ewidencja zawiera dane, o których mowa w ust. 1 i 3. Udostępnieniu podlegają dane w zakresie imienia i nazwiska
  5. Administrator i podmiot przetwarzający publikują dane inspektora, o których mowa w ust. 1, na swojej stronie internetowej niezwłocznie po wyznaczeniu

Rozdział 3

Akredytacja

Art. 9. 1.  Akredytacji  podmiotów  ubiegających  się  o  uprawnienie  do  certyfikacji  w zakresie ochrony danych osobowych udziela Polskie Centrum Akredytacji.

  1. Prezes Urzędu opracowuje kryteria akredytacji, uwzględniając wymogi określone w art. 43 ust. 2 rozporządzenia 2016/679 i udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej.

Art. 10. Akredytacja udzielana jest zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności (Dz. U. z 2017 r. poz. 1398).

Art. 11. 1. Polskie Centrum Akredytacji informuje Prezesa Urzędu o udzielonej akredytacji. Informacja o udzielonej akredytacji zawiera:

  • oznaczenie podmiotu, któremu przyznany został certyfikat akredytacji;
  • wskazanie zakresu udzielonej akredytacji oraz okresu jej ważności.
  1. Polskie Centrum Akredytacji informuje Prezesa Urzędu o cofnięciu akredytacji. Informacja o cofnięciu akredytacji zawiera:
  • oznaczenie podmiotu, w stosunku do którego wydana została decyzja o cofnięciu akredytacji;
  • wskazanie powodów uzasadniających podjęcie decyzji o cofnięciu
  1. Prezes Urzędu i Polskie Centrum Akredytacji mogą zawrzeć porozumienie o współpracy w zakresie monitorowania działalności podmiotów certyfikujących i wzajemnym przekazywaniu informacji dotyczących tych podmiotów.

Rozdział 4

Certyfikacja i podmioty certyfikujące

Art. 12. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu i podmioty akredytowane przez Polskie Centrum Akredytacji, zwane dalej „podmiotami certyfikującymi”.

Art. 13. Prezes Urzędu zatwierdza kryteria certyfikacji i udostępnia je na swojej stronie podmiotowej Biuletynu Informacji Publicznej.

Art. 14. 1. Certyfikacji dokonuje się na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek.

  1. Wniosek o certyfikację zawiera co najmniej:
  • nazwę administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek albo jego imię i nazwisko oraz wskazanie siedziby lub adresu zamieszkania administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
  • w przypadku osoby fizycznej prowadzącej działalność gospodarcza adres miejsca wykonywania działalności gospodarczej;
  • informacje potwierdzające spełnianie kryteriów certyfikacji;
  • wskazanie zakresu
  1. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów certyfikacji albo ich elektroniczne
  2. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo w przypadku wniosku skierowanego do Prezesa Urzędu podpisem potwierdzonym profilem zaufanym ePUAP.

Art. 15. 1. Prezes Urzędu albo podmiot certyfikujący, do którego wystąpiono z wnioskiem o udzielenie certyfikacji, rozpatrują wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamiają wnioskodawcę o udzieleniu lub odmowie udzielenia certyfikacji.

  1. Wniosek niezawierający danych, o których mowa w art. 14 ust. 2 pkt 1 i 2, pozostawia się bez rozpoznania. Jeżeli natomiast wniosek nie zawiera danych, o których mowa w art. 14 ust. 2 pkt 3 i 4 oraz ust. 3 i 4, Prezes Urzędu wzywa wnioskodawcę do usunięcia tych braków wraz z pouczeniem, że ich nieusunięcie w terminie 7 dni spowoduje pozostawienie wniosku bez rozpoznania.

Art. 16. Przed udzieleniem certyfikacji lub jej przedłużeniem podmiot certyfikujący informuje Prezesa Urzędu o planowanym rozstrzygnięciu w celu umożliwienia mu wykonywania uprawnień, o których mowa w art. 58 ust. 2 lit h rozporządzenia 2016/679.

Art. 17. 1. Dokumentem potwierdzającym certyfikację jest certyfikat.

  1. Certyfikat zawiera co najmniej:
  • oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
  • nazwę organu albo podmiotu certyfikującego udzielającego certyfikacji oraz wskazanie adresu jego siedziby;
  • numer i oznaczenie certyfikatu;
  • zakres i okres, na jaki została udzielona certyfikacja;
  • datę wydania i podpis organu albo podmiotu certyfikującego lub osób przez nich upoważnionych.

Art. 18. 1. W przypadku stwierdzenia, że administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek nie spełnia kryteriów certyfikacji Prezes Urzędu albo podmiot certyfikujący do którego wystąpiono z wnioskiem o udzielenie certyfikacji, odmawia udzielania certyfikacji.

  1. Odmowa udzielenia certyfikacji przez Prezesa Urzędu następuje w drodze
  2. Podmiot certyfikujący opracowuje i udostępnia zainteresowanym podmiotom procedurę postepowania w przypadku odmowy udzielenia

Art. 19. 1. W okresie, na jaki została udzielona certyfikacja administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek są obowiązani spełniać kryteria certyfikacji.

  1. W przypadku stwierdzenia, że administrator, podmiot przetwarzający, producent albo podmiot wprowadzający produkt na rynek przestał spełniać kryteria certyfikacji, Prezes Urzędu albo podmiot certyfikujący, cofa certyfikację.
  2. Cofnięcie certyfikacji przez Prezesa Urzędu następuję w drodze decyzji. W decyzji Prezes Urzędu wskazuje przyczyny cofnięcia

Art. 20. 1.Podmiot certyfikujący przekazuje Prezesowi Urzędu dane administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek, któremu udzielono lub cofnięto certyfikację wraz z uzasadnieniem.

  1. Prezes Urzędu prowadzi publicznie dostępny wykaz administratorów, podmiotów przetwarzających, producentów oraz podmiotów wprowadzających produkt na rynek, którym udzielono certyfikacji, który udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

Art. 21. 1 Prezes Urzędu w terminie, o którym mowa w art. 15 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt  na      rynek, w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

  1. Prezes Urzędu zawiadamia o zamiarze przeprowadzenia czynności sprawdzających.
  2. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.
  3. Czynności sprawdzające przeprowadza się na podstawie upoważnienia wydanego przez Prezesa Urzędu, które zawiera:
  • imię i nazwisko osoby przeprowadzającej czynności sprawdzające;
  • oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
  • wskazanie podstawy prawnej przeprowadzenia czynności sprawdzających;
  • zakres czynności sprawdzających;
  • datę i miejsce wystawienia imiennego upoważnienia;
  • podpis osoby uprawnionej do wydania upoważnienia w imieniu Prezesa Urzędu lub podmiotu certyfikującego.

Art. 22. 1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:

  • wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń w dniach i godzinach pracy administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
  • wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;
  • oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.
  1. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek lub osoby przez nich upoważnionej.
  2. Z czynności sprawdzających sporządza się protokół i przedstawia administratorowi, podmiotowi przetwarzającemu, producentowi albo podmiotowi wprowadzającemu produkt na rynek. Przepis art. 85 stosuje się

Art. 23. 1. Za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości czterokrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.

  1. Opłaty, o których mowa w ust. 1, stanowią dochód budżetu państwa.

Rozdział 5

Kodeksy postępowania

Art. 24. 1. Kodeks postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, sporządza  się  po  przeprowadzeniu  konsultacji  z  zaineresowanymi  podmiotami,  w  tym w szczególności, jeżeli jest to możliwe, z osobami, których dane dotyczą.

  1. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się Prezesowi Urzędu wraz z kodeksem postępowania.
  2. W przypadku uznania przez Prezesa Urzędu zakresu konsultacji za niewystarczający, wyzywa on podmiot do przeprowadzenia ponownych konsultacji, wskazując ich
  3. Prezes Urzędu zatwierdza kodeks postępowania.
  1. Stroną postępowania w sprawie zatwierdzenia kodeksu postępowania jest wyłącznie wnioskodawca występujący z wnioskiem o zatwierdzenie kodeksu. Przepisu  31  ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, nie stosuje się.

Art.  25.  Monitorowaniem  przestrzegania  zatwierdzonego  kodeksu   postępowania,   o którym mowa w art. 40 rozporządzenia 2016/679, zajmuje się podmiot akredytowany przez Prezesa Urzędu zgodnie z kryteriami określonymi w art. 41 ust. 2 rozporządzenia 2016/679.

Art. 26. 1. Akredytacji podmiotu ubiegającego się o monitorowanie przestrzegania zatwierdzonego kodeksu postepowania dokonuje się na wniosek.

  1. Wniosek o akredytację zawiera co najmniej:
  • nazwę wnioskodawcy oraz wskazanie adresu jego siedziby;
  • informacje potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679.
  1. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679, albo ich elektroniczne
  2. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym
  3. Prezes Urzędu rozpatruje wniosek o akredytację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia
  4. Odmowa udzielenia akredytacji następuje w drodze decyzji w przypadku stwierdzenia, że wnioskodawca nie spełnia kryteriów, o których mowa w art. 41 ust. 2, rozporządzenia 2016/679.

Art. 27. 1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.

  1. Certyfikat akredytacyjny zawiera co najmniej:
  • oznaczenie organu udzielającego akredytacji i adres jego siedziby;
  • oznaczenie podmiotu akredytowanego i adres jego siedziby;
  • numer i oznaczenie certyfikatu akredytacyjnego;
  • datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.
  1. Prezes Urzędu  prowadzi  wykaz   podmiotów  akredytowanych  i  udostępnia  go   w Biuletynie Informacji Publicznej na swojej stronie

Art. 28. W przypadku, gdy podmiot akredytowany:

  • przestał spełniać kryteria akredytacji, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679,
  • podejmuje działania niezgodne z przepisami rozporządzenia 2016/679
  • Prezes Urzędu w drodze decyzji cofa udzieloną akredytację.

Rozdział 6

Prezes Urzędu Ochrony Danych Osobowych

Art. 29. 1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

  1. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 oraz w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).
  2. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
  3. Na stanowisko Prezesa Urzędu może być powołana osoba, która:
  • jest obywatelem polskim;
  • posiada wyższe wykształcenie;
  • wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
  • przez okres  co  najmniej  pięciu  lat  wykonywała  czynności  bezpośrednio  związane  z ochroną danych osobowych;
  • korzysta z pełni praw publicznych;
  • nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
  • posiada nieskazitelny
  1. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko
  2. Kadencja Prezesa Urzędu trwa 4 lata od dnia złożenia ślubowania. Prezes Urzędu wykonuje swoje obowiązki do czasu objęcia stanowiska przez nowego Prezesa Urzędu.
  1. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie
  2. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa
  3. Prezes Urzędu  może   zostać   odwołany   przed   upływem   kadencji,   wyłącznie w przypadku, gdy:
  • zrzekł się stanowiska;
  • stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;
  • sprzeniewierzył się ślubowaniu;
  • został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;
  • złożył niezgodne z prawdą oświadczenie lustracyjne, stwierdzone prawomocnym orzeczeniem sądu.
  1. W przypadku odwołania lub wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Marszałka

Art. 30. Przed przystąpieniem do wykonywania obowiązków Prezes Urzędu składa przed Sejmem następujące ślubowanie:

„Obejmując stanowisko Prezesa Urzędu Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych a powierzone mi obowiązki wypełniać sumiennie i bezstronnie.”.

Ślubowanie może zostać złożone z dodaniem słów „Tak mi dopomóż Bóg”.

Art. 31. 1. Prezes Urzędu może powołać do trzech zastępców.

  1. Powołanie dwóch zastępców następuje na wniosek ministra właściwego do spraw informatyzacji. Odwołanie zastępcy następuje w tym samym
  2. Powołanie jednego zastępcy następuje na wniosek ministra właściwego do spraw wewnętrznych.
  3. Wniosek, o którym mowa w ust. 3, minister właściwy do spraw wewnętrznych przekazuje celem zaopiniowania Ministrowi Sprawiedliwości – Prokuratorowi Generalnemu, Ministrowi Obrony Narodowej oraz ministrowi właściwemu do spraw finansów
  4. Odwołanie zastępcy powołanego na wniosek ministra właściwego do spraw wewnętrznych następuje w trybie, o którym mowa w ust. 3 i
  1. Na zastępcę Prezesa Urzędu może być powołana osoba, która:
  • jest obywatelem polskim;
  • posiada wyższe wykształcenie;
  • przez okres co najmniej czterech lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;
  • korzysta z pełni praw publicznych;
  • nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo
  1. Zastępca Prezesa Urzędu powołany na wniosek ministra spraw wewnętrznych powinien również posiadać doświadczenie związane z realizacją zadań przez służby odpowiedzialne za zapewnienie bezpieczeństwa państwa i porządku

Art. 32. 1. Prezes Urzędu nie może zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.

  1. Prezes Urzędu nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.
  2. Przepisy ust. 1 i 2 stosuje się odpowiednio do zastępców Prezesa Urzędu.

Art. 33. 1. Prezes Urzędu nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.

  1. Prezes Urzędu może wyrazić zgodę na pociągnięcie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym
  2. W przypadku popełnienia przez  Prezesa  Urzędu  wykroczenia,  o  którym  mowa  w rozdziale XI ustawy z dnia 20 maja 1971 r. – Kodeks wykroczeń (Dz. U. z 2015 r. poz. 1094, z późn. zm.3)), przyjęcie przez Prezesa Urzędu mandatu karnego albo uiszczenie grzywny,

w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz. U.

3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2015 r. poz. 1485, 1634 i 1707 oraz z 2017 r. poz. 966 i 1941).

z 2016 r. poz. 1713, z późn. zm.4)), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągniecie go do odpowiedzialności w tej formie.

  1. Prezes Urzędu nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie

Art. 34. Przedawnienie w postępowaniu karnym czynu objętego immunitetem nie biegnie w okresie korzystania z immunitetu.

Art. 35. 1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia publicznego składa się za pośrednictwem Prokuratora Generalnego.

  1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia prywatnego składa oskarżyciel prywatny, po wniesieniu sprawy do sądu.
  2. Wniosek, o którym mowa w ust. 2, sporządza i podpisuje adwokat lub radca prawny, z wyjątkiem wniosków składanych w swoich sprawach przez sędziów, prokuratorów, adwokatów, radców prawnych, notariuszy oraz profesorów i doktorów habilitowanych nauk prawnych.
  3. Wnioski, o których mowa w ust. 1 i 2, powinny zawierać:
  • oznaczenie wnioskodawcy oraz pełnomocnika, o ile został ustanowiony;
  • imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
  • wskazanie podstawy prawnej wniosku;
  • dokładne określenie czynu, którego dotyczy wniosek, ze wskazaniem czasu, miejsca, sposobu i okoliczności jego popełnienia oraz skutków, a zwłaszcza charakteru powstałej szkody;

Art. 36. 1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej składa się Marszałkowi Sejmu.

  1. Jeżeli wniosek nie spełnia wymogów formalnych, o których mowa w art. 35 ust. 3 lub 4, Marszałek Sejmu wzywa wnioskodawcę do poprawienia lub uzupełnienia wniosku w

4) Zmiany tekstu jednolitego  wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, z 2017 r.  poz. 708, 962, 966, 1477, 1543 i 2400 i z 2018 r. poz. 201).

terminie 14 dni, wskazując niezbędny zakres poprawienia lub uzupełnienia. W przypadku niepoprawienia lub nieuzupełnienia wniosku we wskazanym terminie i zakresie Marszałek Sejmu postanawia o pozostawieniu wniosku bez biegu.

  1. Jeżeli wniosek spełnia wymogi formalne, o których mowa w art. 35 ust. 3 i 4, Marszalek Sejmu kieruje go do organu właściwego na podstawie Regulaminu Sejmu do rozpatrzenia wniosku, zawiadamiając jednocześnie Prezesa Urzędu o treści
  2. Organ właściwy do rozpatrzenia wniosku powiadamia Prezesa Urzędu o terminie rozpatrzenia wniosku. Pomiędzy doręczeniem powiadomienia a terminem rozpatrzenia wniosku, o ile nie zachodzi wypadek nie cierpiący zwłoki, powinno upłynąć co najmniej 7 dni.
  3. Na żądanie organu właściwego do rozpatrzenia wniosku sąd albo odpowiedni organ, przed którym toczy się postepowanie wobec Prezesa Urzędu, udostępnia akta postępowania.
  4. Prezes Urzędu przedstawia organowi właściwemu do rozpatrzenia wniosku wyjaśnienia i własne wnioski w tej sprawie w formie pisemnej lub
  5. Po rozpatrzeniu sprawy, organ właściwy do rozpatrzenia wniosku uchwala sprawozdanie wraz z propozycją przyjęcia lub odrzucenia
  6. W trakcie rozpatrywania przez Sejm sprawozdania, o którym mowa w ust. 7, Prezesowi Urzędu przysługuje prawo zabrania głosu.
  7. Sejm wyraża zgodę na pociągnięcie Prezesa  Urzędu do odpowiedzialności karnej   w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności

Art. 37. 1. Zakaz zatrzymania, o którym mowa w art. 33, obejmuje wszelkie formy pozbawienia lub ograniczenia wolności osobistej Prezesa Urzędu przez organy uprawnione do stosowania środków przymusu.

  1. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu składa się za pośrednictwem Prokuratora
  2. Wniosek, o którym mowa w ust. 2, powinien zawierać:
  • oznaczenie wnioskodawcy;
  • imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
  • dokładne określenie czynu oraz jego kwalifikację prawną;
  • podstawę prawną zastosowania określonego środka;
  • uzasadnienie, wskazujące w szczególności na konieczność zastosowania określonego środka.
  1. Do postępowania z wnioskiem o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu, przepisy art. 36 ust. 1 – 8 stosuje się
  2. Sejm wyraża zgodę na zatrzymanie lub aresztowanie Prezesa Urzędu w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na zatrzymanie lub aresztowanie Prezesa Urzędu.
  3. Wymóg uzyskania zgody Sejmu nie dotyczy wykonania kary pozbawienia wolności orzeczonej prawomocnym wyrokiem sądu.

Art. 38. 1. Marszałek Sejmu przesyła wnioskodawcy niezwłocznie uchwałę, o której mowa w art. 36 ust. 9 i art. 37 ust. 5.

  1. Uchwały, o których mowa w ust. 1, podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

Art. 39. Przepisy ustawy dotyczące odpowiedzialności karnej Prezesa Urzędu stosuje się odpowiednio do odpowiedzialności za wykroczenia.

Art. 40. Szczegółowy tryb postępowania w sprawach, o których mowa w art. 36 – 41, określa Regulamin Sejmu.

Art. 41. 1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.

  1. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:
  • organizację Urzędu,
  • zakres zadań swoich zastępców,
  • zakres zadań i tryb pracy komórek organizacyjnych Urzędu
  • mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.

Art. 42. 1. Prezes Urzędu, zastępcy Prezesa Urzędu a także pracownicy Urzędu są obowiązani  zachować  w  tajemnicy  informacje,  o  których  dowiedzieli  się  w  związku     z wykonywaniem czynności służbowych.

  1. Obowiązek zachowania w tajemnicy informacji, o których mowa w ust. 1, nie może być ograniczony w czasie i trwa także po zakończeniu kadencji albo zatrudnienia.

Art. 43. 1. Przy Prezesie Urzędu działa Rada do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”. Rada jest organem opiniodawczo-doradczym Prezesa Urzędu.

  1. Do zadań Rady należy:
  • opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
  • opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
  • opracowywanie propozycji kryteriów certyfikacji dla certyfikacji prowadzonej przez Prezesa Urzędu;
  • opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  • wykonywanie innych zadań zleconych przez Prezesa Urzędu.
  1. Rada wyraża opinię w terminie 21 dni od dnia otrzymania projektów lub dokumentów, o których mowa w ust.
  2. Opinie, protokoły posiedzeń oraz inne dokumenty Rady są udostępniane na stronie podmiotowej Biuletynu Informacji Publicznej Prezesa Urzędu.
  3. Rada przedstawia Prezesowi Urzędu sprawozdanie z działalności za każdy rok kalendarzowy w terminie do dnia 31 marca następnego
  4. Rada składa się z 8 członków.
  5. Kandydatów na członków Rady mogą rekomendować:
  • członkowie Rady Ministrów;
  • Rzecznik Praw Obywatelskich;
  • Prezes Głównego Urzędu Statystycznego;
  • Prezes Urzędu Komunikacji Elektronicznej;
  • Prezes Urzędu Ochrony Konkurencji i Konsumentów;
  • Naczelny Dyrektor Archiwów Państwowych;
  • izby gospodarcze;
  • jednostki naukowe w rozumieniu przepisów ustawy z dnia 30 kwietnia 2010 r. o zasadach finansowania nauki (Dz. U. z 2018 r. poz. 87);
  • fundacje i stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych
  1. Na członka Rady może zostać rekomendowana osoba, która:
  • posiada wykształcenie wyższe;
  • nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
  • wyraziła zgodę na
  1. Członkowie Rady są obowiązani do zachowania w tajemnicy informacji o których dowiedzieli się w związku z wykonywaniem funkcji członka Rady. Prezes Urzędu może zwolnić z obowiązku zachowania tajemnicy w zakresie przez niego określonym.
  2. Prezes Urzędu powołuje skład Rady na dwuletnią kadencję spośród kandydatów rekomendowanych przez podmioty, o których mowa w ust.
  3. Przed upływem kadencji członkostwo w Radzie wygasa z powodu:
  • rezygnacji członka Rady złożonej na piśmie Przewodniczącemu Rady;
  • śmierci członka Rady;
  • niemożności sprawowania funkcji członka Rady z powodu długotrwałej choroby stwierdzonej zaświadczeniem lekarskim;
  • skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
  1. W przypadku, o którym mowa w ust. 11, Prezes Urzędu powołuje nowego członka Rady na okres pozostały do końca kadencji, spośród pozostałych rekomendowanych kandydatów, po sprawdzeniu aktualności
  2. Prezes Urzędu powołuje i odwołuje Przewodniczącego i Wiceprzewodniczącego Rady spośród jej członków.
  3. Przewodniczący Rady kieruje jej pracami i reprezentuje ją na zewnątrz. W przypadku nieobecności Przewodniczącego zastępuje go Wiceprzewodniczący.
  4. Obsługę Rady zapewnia Urząd.
  5. Na posiedzenie Rady mogą być zapraszane, przez Prezesa Urzędu oraz Przewodniczącego Rady, inne osoby, o ile jest to wskazane dla realizacji zadań
  6. Prezes Rady Ministrów określi, w drodze rozporządzenia, wysokość wynagrodzenia członka Rady za udział w posiedzeniu, liczbę posiedzeń w ciągu roku kalendarzowego, za które przysługuje wynagrodzenie, uwzględniając funkcje pełnione przez członków Rady i zakres obowiązków członków Rady, a także mając na uwadze, że wynagrodzenie za jedno posiedzenie Rady nie może przekroczyć 25% przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok powołania Rady, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 20 pkt 1 lit a ustawy z dnia 17 grudnia                                 1998      r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2017 r. poz. 1383, 1386, 2120 i z 2018 r. poz. 138).
  1. Członkom Rady posiadającym miejsce zamieszkania poza siedzibą Prezesa Urzędu przysługują diety oraz zwrot kosztów podróży i zakwaterowania na warunkach określonych w przepisach wydanych na podstawie art. 775 § 2 ustawy z dnia 26 czerwca 1974 r. − Kodeks pracy (Dz. U. z 2018 r. poz. 108, 138 i 305).
  2. Szczegółowy tryb działania Rady określa regulamin ustanawiany na wniosek Rady przez Prezesa Urzędu.

Art. 44. Prezes Urzędu raz w roku do dnia 31 sierpnia przedstawia Sejmowi, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności, zawierające w szczególności informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych.

Art. 45. Prezes Urzędu opiniuje założenia i projekty aktów prawnych dotyczące ochrony danych osobowych.

Art. 46. 1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

  1. Prezes Urzędu może również występować do właściwych organów z wnioskami      o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych
  1. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego  wystąpienia  lub  wniosku na piśmie w terminie 30 dni od daty jego otrzymania

Art. 47. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

  • standardowe klauzule umowne, o których mowa w art. 28 ust. 8 rozporządzenia 2016/679;
  • zatwierdzone kodeksy postępowania, o których mowa w art. 40 rozporządzenia 2016/679, a także zmiany tych kodeksów.

Art. 48. 1. Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679.

  1. Komunikat, o którym mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

Art. 49. Prezes Urzędu może prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.

Art. 50. Prezes Urzędu w drodze decyzji:

  • zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679;
  • przyjmuje standardowe klauzule ochrony danych, o których mowa w art. 46 ust. 2 lit d rozporządzenia 2016/679;
  • udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679.

Art. 51. 1. Prezes Urzędu opracowuje i udostępnia na swojej stronie podmiotowej Biuletynu Informacji Publicznej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

  1. Rekomendacje sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i podlegają okresowej aktualizacji.
  2. Projekt rekomendacji Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany

Art. 52. 1.W celu skonsultowania się z organem nadzorczym administrator danych składa wniosek o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36 ust. 2 RODO.

  1. Do wniosku stosuje się odpowiednio art. 63 ustawy z dnia 14 czerwca 1960 r – Kodeks postępowania administracyjnego.
  2. Jeżeli wniosek nie spełnia wymogów, określonych w ust. 1 i 2, nie udziela się konsultacji.
  3. Organ informuje wnioskodawcę o przyczynach nieudzielenia konsultacji.

Art. 53. Jeżeli Prezes Urzędu, na postawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Rozdział 7

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Art. 54. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

Art. 55. W sprawach związanych z ochroną danych osobowych pełnomocnikiem może być przedstawiciel organizacji, do której zadań statutowych należą sprawy związane z ochroną danych osobowych.

Art. 56. W przypadku, o którym mowa w art. 36 ustawy z dnia 14 czerwca 1960 r.

  • Kodeks postępowania   administracyjnego,    Prezes   Urzędu   zawiadamiając   strony    o niezałatwieniu sprawy w terminie, obowiązany jest również poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach.

Art. 57. Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.

Art. 58. W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.

Art. 59. 1. Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, dostarczane Prezesowi Urzędu. W takim przypadku strona obowiązana jest dostarczyć Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem.

  1. W przypadku niedostarczenia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za
  2. Prezes Urzędu może uchylić, w drodze decyzji zastrzeżenie, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.
  3. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego

Art. 60. Prezes Urzędu może zastosować art. 74 ustawy z dnia 14 czerwca 1960 r.

  • Kodeks postepowania administracyjnego również do innych stron, jeżeli udostepnienie tego materiału grozi ujawnieniem tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych.

Art. 61. Jeżeli liczba stron w postępowaniu przekracza 20 osób, Prezes Urzędu może zastosować art. 49 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

Art. 62. 1. Jeżeli w toku postępowania, zajdzie konieczność uzupełnienia dowodów, można przeprowadzić postępowanie kontrolne.

  1. Okresu postępowania kontrolnego nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

Art. 63. 1. W przypadku, o którym mowa w art. 88 ustawy z dnia 14 czerwca 1960 r. – Kodeks postepowania administracyjnego, Prezes Urzędu wymierza karę grzywny w wysokości od 500 do 5000 zł.

  1. Wymierzając karę grzywny Prezes Urzędu bierze pod uwagę:
  • w przypadku osoby fizycznej sytuację osobistą wezwanego, w tym stopień zrozumienia powagi ciążących na nim obowiązków wynikających z wezwania, lub
  • potrzebę dostosowania   wysokości    grzywny    do   celu,    jakim    jest    przymuszenie wezwanego do zadośćuczynieniu
  1. Kara grzywny może być nałożona także w przypadku gdy strona odmówiła przedstawienia tłumaczenia na język polski sporządzonej w języku obcym

Art. 64. 1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania.

  1. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w
  2. Na postanowienie przysługuje skarga do sądu

Art. 65. 1. Jeżeli w toku postępowania Prezes Urzędu uzna, że istnieją uzasadnione wątpliwości co do zgodności z prawem unii europejskiej decyzji Komisji Europejskiej, o której mowa w art. 40 ust. 9, art. 45 , art. 46 ust. 2 lit. c rozporządzenia 2016/679, Prezes Urzędu występuje do sądu administracyjnego z wnioskiem o wydanie postanowienia w sprawie ważności decyzji Komisji Europejskiej.

  1. Stroną postępowaniu przed sądem administracyjnym w sprawie stwierdzenia nieważności decyzji Komisji Europejskiej, o której mowa w ust. 1 jest Prezes Urzędu oraz strony postępowania.
  2. Sąd administracyjny może w toku postepowania sądowego wystąpić do Komisji Europejskiej o wyrażenie opinii wprawie, zaznaczając termin na jej
  3. Sąd administracyjny uznając za uzasadnione wątpliwości Prezesa Urzędu, o których mowa w ust. 1 występuje z pytaniem prawnym, o którym mowa w artykule 257 Traktatu o funkcjonowaniu Unii
  4. Uznając braku podstaw do wystąpienia z pytaniem prawnym, sąd administracyjny, w drodze postanowienia, oddala wniosek. Na postępowanie nie przysługuje środek odwoławczy.

Art. 66. W uzasadnieniu, o których mowa w art. 107 § 3 ustawy z dnia 14 czerwca  1960 r. − Kodeks postępowania administracyjnego, wskazuje się dodatkowo, przesłanki z art. 83

ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.

Art. 67. 1. Prezes Urzędu jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania, informuje o wydaniu decyzji na swojej stronie podmiotowej Biuletynu Informacji Publicznej.

  1. Organy lub podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej Biuletynu Informacji Publicznej, informację o działaniach podjętych w celu wykonania decyzji.

Art. 68. Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Art. 69. Na postanowienia, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. − Kodeks postepowania administracyjnego, przysługuje zażalenie, przysługuje skarga do sądu administracyjnego.

Art. 70. W sprawach nieuregulowanych w ustawie do postępowania przed Prezesem Urzędu stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.

Rozdział 8

Europejska współpraca administracyjna

Art. 71. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art. 53 ust. 1.

Art. 72. Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej, powinny zostać przetłumaczone na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.

Art. 73. 1. W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa   członkowskiego   Unii   Europejskiej   ustaleń   dotyczących    wspólnej   operacji   i niezwłocznie sporządza wykaz ustaleń.

  1. Okresy, w których pracownicy organu nadzorczego innego państwa członkowskiego Unii Europejskiej przebywają na terytorium Rzeczypospolitej Polskiej, biorąc udział we wspólnej operacji, nie są uważane za okresy pobytu wpływające na zmianę miejsca zamieszkania dla celów opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.

Rozdział 9

Postępowanie kontrolne

Art. 74. 1. Prezes Urzędu prowadzi kontrole przestrzegania przepisów o ochronie danych osobowych.

  1. Postępowanie kontrolne prowadzone jest zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.

Art. 75. 1. Kontrolę przeprowadza upoważniony pracownik Urzędu; do przeprowadzenia kontroli Prezes Urzędu może upoważnić członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679, zwani dalej „kontrolującym”.

  1. Członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej, o którym mowa w ust. 1, obowiązany jest do zachowania w tajemnicy informacji, o których dowiedział się w toku kontroli.

Art. 76. 1. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego, jeżeli wyniki kontroli mogłyby oddziaływać na jego prawa lub obowiązki, na prawa lub obowiązki jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub kurateli. Powody wyłączenia kontrolującego trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.

  1. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego w każdym czasie, jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności.
  2. O przyczynach powodujących wyłączenie kontrolujący lub kierownik jednostki kontrolowanej niezwłocznie zawiadamia Prezesa Urzędu.
  3. O wyłączeniu kontrolującego postanawia Prezes Urzędu.
  4. Do czasu wydania postanowienia kontrolujący podejmuje jedynie czynności niecierpiące zwłoki.

Art. 77. 1. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość tej osoby.

  1. Imienne upoważnienie do przeprowadzenia kontroli zawiera:
  • wskazanie podstawy prawnej przeprowadzenia kontroli;
  • oznaczenie organu ;
  • imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej imię i nazwisko tej osoby oraz numer paszportu lub innego dokumentu potwierdzającego jej tożsamość;
  • określenie zakresu przedmiotowego kontroli;
  • oznaczenie podmiotu objętego kontrolą zwanego dalej „kontrolowanym”;
  • wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
  • podpis Prezesa Urzędu;
  • pouczenie kontrolowanego o jego prawach i obowiązkach;
  • datę i miejsce wystawienia imiennego upoważnienia.
  1. Prezes Rady Ministrów określi w drodze rozporządzenia wzór legitymacji służbowej, mając na względzie potrzebę zapewnienia możliwości identyfikacji osób uprawnionych do przeprowadzenia

Art. 78. 1 Jeżeli przeprowadzenie czynności kontrolnych wymaga wiedzy eksperckiej, Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą taką wiedzę. Do upoważnienia stosuje się art. 77 ust. 2.

  1. Zakres uprawnień eksperta określony jest w upoważnieniu udzielonym przez Prezesa Urzędu.
  2. Osoba, o który mowa w ust. 1, jest obowiązana do zachowania w tajemnicy informacji, o których dowiedziała się w toku

Art. 79. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane:

  • innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132), lub
  • przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art. 115 § 13 ustawy z dnia 6 czerwca 1997 r. − Kodeks karny, oraz nie jest jednocześnie pracownikiem Urzędu albo osobą o której mowa w art.

Art. 80. 1. Kontrolujący ma prawo:

  • wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  • zlecać sporządzanie ekspertyz i
  1. Kontrolowany zapewnia kontrolującemu oraz osobom  upoważnionym  do  udziału w   kontroli   warunki   i   środki   niezbędne   do    sprawnego    przeprowadzenia   kontroli,  a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach, o których mowa w ust. 1 pkt
  2. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.
  1. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych w rozumieniu przepisów o informatyzacji działalności podmiotów realizujących zadania publiczne, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu

Art. 81. 1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do przeprowadzenia czynności kontrolnych.

  1. Właściwy miejscowo komendant Policji zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli pomocy Policji w toku czynności
  2. Policja udziela pomocy kontrolującemu przy wykonywaniu kontroli, jeżeli w toku wykonywania tych czynności kontrolujący natrafi na opór, który utrudnia lub uniemożliwia mu wykonywanie kontroli, albo jeżeli istnieje uzasadnione przypuszczenie, że na taki opór natrafi.
  3. Udzielenie pomocy i asysta Policji przy wykonywaniu kontroli polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku w tym miejscu.
  1. Policja, udzielając pomocy lub asystując kontrolującemu w kontroli zapewnia bezpieczeństwo również innym osobom uczestniczącym w kontroli, mając w szczególności na względzie poszanowanie godności osób biorących udział w
  2. Z przebiegu czynności, o których mowa w ust. 4 i 5, funkcjonariusz policji udzielający pomocy lub asysty sporządza notatkę urzędową, zawierającą określenie terminu, miejsca prowadzenia czynności, dane kontrolującego i kontrolowanego oraz osoby, o której mowa

w art. 79 biorącej udział w kontroli, a także opis czynności wykonanych w ramach udzielonej pomocy lub asystowania. Notatkę funkcjonariusz niezwłocznie przekazuje swojemu bezpośredniemu przełożonemu.

Art. 82. 1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.

  1. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy oraz wykonującą pracę na podstawie umowy
  2. Świadek może odmówić udzielenia informacji lub współdziałania w toku kontroli tylko wtedy, gdy naraziłoby to jego lub jego małżonka, wstępnych, zstępnych, rodzeństwo oraz powinowatych w tej samej linii lub stopniu, jak również osoby pozostające w stosunku przysposobienia, opieki lub kurateli, a także osobę pozostającą we wspólnym pożyciu, na odpowiedzialność karną. Prawo odmowy udzielenia informacji lub współdziałania w toku kontroli trwa po ustaniu małżeństwa lub rozwiązaniu stosunku przysposobienia, opieki lub kurateli.
  1. Przed odebraniem zeznania kontrolujący poucza świadka o prawie odmowy zeznań i odpowiedzi na pytania oraz uprzedza o odpowiedzialności karnej za zeznanie nieprawdy lub zatajenie

Art.  83.  Kontrolujący  ustala  stan   faktyczny  na   podstawie   dowodów   zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

Art. 84. 1. Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.

  1. Protokół kontroli zawiera:
  • wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
  • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
  • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia kontrolującego a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej, imię i nazwisko, numer paszportu albo innego dokumentu potwierdzającego tożsamość oraz numer upoważnienia;
  • datę rozpoczęcia i zakończenia czynności kontrolnych;
  • określenie przedmiotu i zakresu kontroli;
  • opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wyszczególnienie załączników;
  • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
  • pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu;
  • datę i miejsce podpisania protokołu przez kontrolującego i
  1. Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania.
  1. Przed podpisaniem protokołu kontrolowany może, w terminie 7 dni od przedstawienia mu go do podpisu, złożyć pisemne zastrzeżenia do tego protokołu.
  2. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 4, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia  lub  uzupełnia  odpowiednią  część  protokołu  w formie aneksu do protokołu.
  3. W razie nieuwzględnienia zastrzeżeń w całości lub w części kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.
  4. W przypadku   braku   zastrzeżeń,  kontrolowany  jest   obowiązany  do  podpisania i doręczenia kontrolującemu protokołu, w terminie o którym mowa w 4.
  5. Brak doręczenia kontrolującemu protokołu uznaje się za odmowę jego
  6. O odmowie podpisania protokołu kontrolujący czyni wzmiankę w protokole, zawierającą datę jej dokonania. W przypadku, o którym mowa w ust. 8, wzmianki dokonuje się po upływie terminu, o którym mowa w ust.
  7. Protokół w postaci papierowej sporządza się w dwóch egzemplarzach, z których jeden pozostawia się kontrolowanemu, a w przypadku protokołu sporządzonego w postaci elektronicznej doręcza się go

Art. 85. 1. Kontrola nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Do terminu tego nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu lub podpisanie i doręczenie protokołu przez kontrolowanego.

  1. Za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość.
  2. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 84 ust.

Art. 86. Jeżeli na podstawie informacji zgromadzonych w postepowaniu kontrolnym, Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania.

Art. 87. Do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997 i 2255 oraz z 2017 r. poz. 819), z wyłączeniem art. 79, art. 82 i 83.

Art. 88. Przepisy art. 57 – 58 stosuje się odpowiednio.

Rozdział 10

Odpowiedzialność cywilna

Art. 89. 1. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone cudzym działaniem, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

  1. Wystąpienie z roszczeniem, o którym mowa w ust. 1, nie wyłącza możliwości wystąpienia, w związku z naruszeniem przepisów o ochronie danych osobowych, z innymi roszczeniami na zasadach ogólnych.
  2. W zakresie nieuregulowanym rozporządzeniem 2016/679 oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w ust. 1, następuje na zasadach określonych przepisami Kodeksu

Art. 90. 1. Sąd okręgowy jest właściwy w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, w tym roszczeń z tytułu art. 89 rozporządzenia 2016/679, niezależnie od wartości przedmiotu sporu.

  1. Do postępowania w sprawach roszczeń dochodzonych na podstawie art. 89, w zakresie nieuregulowanym niniejszą ustawą, stosuje się przepisy Kodeksu postępowania cywilnego.

Art. 91. 1. O wniesieniu pozwu w sprawie, o której mowa w art. 89, sąd zawiadamia niezwłocznie Prezesa Urzędu.

  1. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd, o którym mowa w ust.
  2. O każdym prawomocnym orzeczeniu uwzględniającym powództwo w sprawie, o której mowa w art. 89, sąd niezwłocznie zawiadamia Prezesa Urzędu.

Art. 92.W sprawach cywilnych, których przedmiotem jest ochrona danych osobowych, Prezes Urzędu może z urzędu lub na wniosek strony:

  • żądać wszczęcia postepowania,
  • brać udział w toczącym się postępowaniu
  • na prawach przysługujących

Art. 93. Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawach, których przedmiotem jest ochrona danych osobowych.

Rozdział 11

Administracyjne kary pieniężne

Art. 94. Prezes Urzędu może nałożyć na podmioty nie będące organami albo podmiotami publicznymi w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Art. 95. 1. Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.

  1. Administracyjne kary pieniężne, o których mowa w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.
  2. Na podmioty publiczne, o których mowa w art. 9 pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, kar pieniężnych, o których mowa w art. 83 rozporządzenia 2016/679 nie nakłada się.

Art. 96. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłoszonego przez  Narodowy  Bank  Polski  w  tabeli  kursów  na  dzień  28  stycznia  każdego  roku,       a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro  w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Art. 97. 1. Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa.

  1. Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego.

Art. 98. 1. Tworzy się Fundusz Ochrony Danych Osobowych, zwany dalej

„Funduszem”, którego dysponentem jest Prezes Urzędu.

  1. Fundusz jest państwowym funduszem celowym.
  2. Przychodami Funduszu są środki finansowe pochodzące z 1% kar pieniężnych nakładanych przez Prezesa Urzędu. Środku z Funduszu nie mogą być podstawą osiągania przychodu przez pracowników Urzędu.
  3. Środki Funduszu przeznacza się na:
  • inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem. Szczególną uwagę poświęca się działaniom skierowanym do dzieci;
  • inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych.

Art. 99. 1. Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.

  1. Do wniosku dołącza się
  2. W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. − Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.5)) od dnia następującego po dniu złożenia
  3. W przypadku rozłożenia na raty kary pieniężnej, odsetki, o których mowa w ust. 3, są naliczane odrębnie dla każdej
  4. W razie niedotrzymania odroczonego terminu płatności kary pieniężnej bądź terminu zapłaty rat, odsetki są naliczane za okres od dnia upływu odroczonego terminu płatności kary pieniężnej albo terminu zapłaty poszczególnych

5) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 648, 768, 935,  1428, 1537, 2169 i 2491 oraz z 2018 r. poz. 106, 138.

  1. Prezes Urzędu może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w
  2. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty następuje w drodze
  3. Prezes Urzędu, na wniosek podmiotu ukaranego prowadzącego działalność gospodarczą, może udzielić, określonej w ust. 1, ulgi w wykonaniu administracyjnej kary pieniężnej, która:
  • nie stanowi pomocy publicznej;
  • stanowi pomoc de minimis albo pomoc de minimis w rolnictwie lub rybołówstwie

− w zakresie i na zasadach określonych w bezpośrednio obowiązujących przepisach prawa Unii Europejskiej dotyczących pomocy w ramach zasady de minimis;

  • stanowi pomoc publiczną zgodną z zasadami rynku wewnętrznego Unii Europejskiej, której dopuszczalność została określona przez właściwe organy Unii

Art. 100. Przepisów art. 189d – 189f i art.189k ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego nie stosuje się.

Rozdział 12

Przepisy karne

Art. 101. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

  1. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, biometrycznych, o stanie zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Art. 102. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Rozdział 13

Przepisy zmieniające 

Art. 103. W ustawie z dnia 14 czerwca 1960 r – Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149) w art. 22 po § 2 dodaje się § 2a w brzmieniu:

„§ 2a. Spory kompetencyjne pomiędzy organami administracji publicznej niebędącymi organami administracji rządowej i nieposiadjącymi organów wyższego stopnia oraz między tymi organami a organami administracji rządowej rozstrzyga sąd administracyjny.”.

Art. 104. W ustawie z dnia 17 listopada 1964 r. – Kodeks  postępowania cywilnego  (Dz. U. z 2018 r. poz. 155) w art. 17 dodaje się pkt 7 w brzmieniu:

„7)    o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów    o ochronie danych osobowych.”.

Art.  105.  W  ustawie  z  dnia  17  czerwca  1966  r.  o  postępowania  egzekucyjnym   w administracji (Dz. U. z 2017 r. poz. 1201, z późn. zm.6)) użyte w art. 2 §1 pkt 12 i w art. 20

  • 2, w różnej liczbie i przypadku, wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.

Art. 106. W ustawie z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2017 r. poz. 2142, z późn. zm.7)) użyte w art. 1 ust. 1 pkt 13, w art. 36 ust. 5 pkt 1    i w art. 48 ust. 2, w różnej liczbie i przypadku, wyrazy „Biuro Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Urząd Ochrony Danych Osobowych”.

Art. 107. W ustawie  z  dnia 23  grudnia 1994  r.  o Najwyższej  Izbie Kontroli  (Dz. U. z 2017 r. poz. 524) użyte w art. 4 ust. 1 i 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 108. W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2016 r. poz. 1068 oraz z 2017 r. poz. 60) użyte w art. 44 ust. 2 pkt 2 wyrazy „Generalnemu

6)  Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1475 i 1954 oraz   w 2018 r. poz. 138.

7) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2203 oraz z 2018

  1. poz. 106.

Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.

Art. 109. W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne (Dz. U. z 2017 r. poz. 220, z późn. zm.8)) w art. 9c ust. 5a otrzymuje brzmienie:

„5a. Operatorzy systemów dystrybucyjnych instalujący u odbiorców końcowych przyłączonych do ich sieci liczniki zdalnego odczytu są obowiązani chronić dane pomiarowe dotyczące tych odbiorców, na zasadach określonych w przepisach o ochronie danych osobowych.”.

Art. 110. W ustawie z dnia  21  sierpnia  1997  r.  o  gospodarce  nieruchomościami  (Dz. U. z 2018 r. poz. 50) użyte w art. 60 ust. 1 pkt 1 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 111. W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2016 r. poz. 2046, z późn. zm.9)) w art. 6d ust. 4b otrzymuje brzmienie:

„4b.  Podmioty  wymienione  w  ust.  4a  mogą  przetwarzać  dane  udostępnione   z systemu w celu, w którym te dane zostały im udostępnione, na zasadach określonych w przepisach o ochronie danych osobowych.”.

Art. 112. W ustawie z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.10)) użyte w art. 119zt pkt 4 i w art. 119zzg, w różnej liczbie i przypadku, wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.

Art. 113. W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.11)) użyte w art. 105 ust. 1 pkt 2 lit. n wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

8) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 791, 1089, 1387 i 1566 oraz z 2018 r. poz. 9 i 138.

9) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 777, 93 5 i 1428 oraz z 2018 r. poz. 138.

10) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 648, 768, 935, 1428, 1537, 2169 i 2491 oraz z 2018 r. poz. 106 i 138.

11) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2491 oraz z  2018  r. poz. 106 i 138.

Art. 114. W ustawie z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2018 r. poz. 110) użyte w art. 6aa wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.

Art. 115. W ustawie z dnia 8 czerwca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów (Dz. U. z 2001 r. poz. 763, z późn. zm.12)) w art. 13 ust. 2 otrzymuje brzmienie:

„2. Jeżeli wyniki badań mają służyć nie tylko do informacji klienta, stosuje się przepisy o ochronie danych osobowych.”.

Art. 116. W ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych (Dz. U. z 2018 r. poz. 23, z późn. zm.13)) w art. 175a uchyla się § 2.

Art. 117. W ustawie z dnia 3 lipca 2002 r. – Prawo lotnicze (Dz. U. z 2017 r. poz. 959,  z późn. zm.14)) wprowadza się następujące zmiany:

  • w art. 135b ust. 3 otrzymuje brzmienie:

„3. Informacje zebrane w bazie danych podlegają ochronie na podstawie przepisów o ochronie danych osobowych.”;

  • w art. 155b ust. 6 otrzymuje brzmienie:

„6. Dane osobowe osób, które dobrowolnie przekazały Prezesowi Urzędu informacje dotyczące bezpieczeństwa statku powietrznego, w szczególności jego usterek lub uszkodzeń, podlegają ochronie zgodnie z przepisami o ochronie danych osobowych.”.

Art. 118. W ustawie z dnia 30 sierpnia 2002 r. − Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2017 r. poz. 1369, 1370 i 2451) wprowadza się następujące zmiany:

  • po art. 4 dodaje się art. 4a w brzmieniu

„Art. 4a. Sądy administracyjne rozstrzygają spory o właściwość miedzy organami państwowymi prowadzącymi postępowania administracyjne niebędącymi organami administracji rządowej, organami jednostek samorządu terytorialnego i samorządowymi

13) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 106 i 138.12) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2009 r. poz. 120 i 753.

14) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1089 oraz z 2018

  1. poz. 138. kolegiami  odwoławczymi  oraz  pomiędzy  tymi  organami  a      organami administracji rządowej, o ile odrębna ustawa nie stanowi inaczej.”;
  • w art. 15 pkt 4 otrzymuje brzmienie:

„4)    rozstrzyga spory, o których mowa w art. 4 i 4a;”.

Art. 119. W  ustawie z  dnia 28 listopada 2003 r. o świadczeniach  rodzinnych  (Dz. U.  z 2017 r. poz. 1952 oraz z 2018 r. poz. 138) w art. 23 ust. 9 otrzymuje brzmienie:

„9. Informacje, o których mowa w ust. 8, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe     i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.”.

Art. 120. W ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2017 r. poz. 1938, z późn. zm.15)) w 56 ust. 5 otrzymuje brzmienie:

„5. Wypełnione deklaracje wyboru świadczeniodawca przechowuje w swojej siedzibie,   zapewniając   ich   dostępność   świadczeniobiorcom,   którzy   je   złożyli   w zachowaniem wymagań wynikających z przepisów o ochronie danych osobowych.”;

Art. 121. W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2017 r. poz. 1311 i 2110) użyte w art. 47 ust. 1 pkt 11 i art. 52 pkt 8, w różnej liczbie i przypadku, wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.

Art. 122. W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570) wprowadza się następujące zmiany:

  • użyte w art. 2 ust. 4 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”;
  • w art. 4 pkt 1 otrzymuje brzmienie:

„1)    przepisów o ochronie danych osobowych;”;

15) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2110, 2217 i 2434 oraz z 2018 r. poz. 138.

Art. 123. W ustawie z dnia 27 lipca 2005 r.  – Prawo o szkolnictwie wyższym (Dz. U.   z 2017 r. poz. 2183, z późn. zm.16)) w art. 88 uchyla się ust. 5.

Art. 124. W ustawie z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2017 r. poz. 1993, z późn. zm.17)) użyte w art. 22b ust. 8 wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.

Art.  125.  W  ustawie  z  dnia  18  października  2006  r.  o  ujawnianiu  informacji       o dokumentach organów bezpieczeństwa państwa z lat 1944-1990 oraz treści tych dokumentów (Dz. U. z 2017 r. poz. 2186) użyte w art. 22 ust. 1 pkt 8c wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 126. W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (Dz. U. z 2017 r. poz. 489, z późn. zm.18)) w art. 15 ust. 8b otrzymuje brzmienie:

„8b. Informacje zawarte w rejestrze centralnym, o którym mowa w ust. 8a, mogą być przetwarzane przez ministra właściwego do spraw rodziny i wojewodę w celu monitorowania realizacji świadczeń z funduszu alimentacyjnego oraz w celu umożliwienia organom właściwym dłużnika i organom właściwym wierzyciela weryfikacji prawa do świadczeń z funduszu alimentacyjnego oraz przez podmioty wymienione w ust. 8c w celu, w którym informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe wierzyciela oraz organy właściwe dłużnika przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 8.”.

Art. 127. W ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017

  1. poz. 2077) użyte w art. 139 ust. 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 128. W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2017 r. poz. 2065, z późn. zm.19)) użyte w art. 9f

17) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1321 oraz z 2018
16) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2201 i 1530 oraz z 2018 r. poz. 138.

  1. poz. 138.

18)   Zmiany tekstu jednolitego  wymienionej  ustawy zostały ogłoszone  w Dz. U. z 2017 r. poz. 624, 777, 952     i 1428.

ust. 1 pkt 18 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 129. W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2014 r. poz. 1015, z późn. zm.20)) użyte w art. 11 ust. 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 130. W ustawie z dnia 9 kwietnia 2010 r. o Służbie Więziennej (Dz. U. z 2017 r. poz. 631, z późn. zm.21)) użyte w art. 18 ust. 2 pkt 6 wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes Urzędu Ochrony Danych Osobowych”.

Art. 131. W ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2016 r. poz. 1167, z późn. zm.22)) użyte w art. 34 ust. 10 pkt 9 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 132. W ustawie z dnia 5 stycznia 2011 r. – Kodeks wyborczy (Dz. U z 2017 r. poz.

15, z późn. zm.23)) w art. 143 § 4 otrzymuje brzmienie:

„§4. Wykaz wpłat obywateli  polskich na rzecz komitetu wyborczego organizacji   i komitetu wyborczego wyborców Państwowa Komisja Wyborcza i komisarz wyborczy udostępniają do wglądu na wniosek, w trybie i na zasadach określonych w przepisach    o ochronie danych osobowych.”.

Art. 133. W ustawie z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U.  z 2018 r. poz. 123) w art. 27 ust. 9 otrzymuje brzmienie:

„9. Postępowanie w sprawach określonych w ust. 1  – 6 jest poufne i odbywa się    z zachowaniem przepisów o ochronie danych osobowych.”.
Art. 134. W ustawie z dnia 14 grudnia 2012  r. o  odpadach (Dz. U. z 2018 r. poz. 21)  w art. 80 w ust. 1 pkt 3 otrzymuje brzmienie:

19) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2491 oraz z 2018  r. poz. 106 i 138.

20) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2014 r. poz. 1188, z 2015 r. poz. 396, z 2016 r. poz. 1948, z 2017 r. poz. 819, 933 i 138.

21 Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1321 oraz z 2018

  1. poz. 138.

22) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, z 2017 r.  poz. 935 oraz z 2018 r. poz. 106 i 138.

23) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1089 oraz z 2018  r. poz. 4, 130 i 138.

„3) zapewnia bezpieczeństwo danych i informacji zbieranych i przetwarzanych oraz dokumentów,  które   otrzymał   w   związku   z   prowadzeniem   BDO,   zgodnie  z przepisami o ochronie danych osobowych.”.

Art. 135. W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U.   z 2017 r. poz. 1148, z późn. zm.24)) w art. 159 ust. 1 otrzymuje brzmienie:

„1. Prezes UDT administruje i przetwarza dane zawarte w rejestrach, o których mowa w art. 158 ust. 1, zgodnie z przepisami o ochronie danych osobowych.”.

Art. 136. W ustawie z dnia 24 lipca 2015 r. – Prawo o zgromadzeniach (Dz. U. z 2015 r. poz. 1485, z późn. zm.25)) w art. 15 ust. 3 otrzymuje brzmienie:

„3. Decyzje o zakazie zgromadzenia udostępnia się w Biuletynie Informacji Publicznej z uwzględnieniem przepisów o ochronie danych osobowych przez 3 miesiące od dnia jej wydania.”.

Art. 137.  W  ustawie  z  dnia  11  września  2015  r.  o  działalności  ubezpieczeniowej  i reasekuracyjnej (Dz. U. z 2017 r. poz. 1170, z późn. zm.26)) użyte w art. 35 ust. 2 pkt 10 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami

„Prezesa Urzędu Ochrony Danych Osobowych”.

Art. 138. W ustawie z dnia 25 września 2015 r. o zawodzie fizjoterapeuty (Dz. U. z 2015 r. poz. 1994 oraz z 2017 r. poz. 599) w art. 12 ust. 9 otrzymuje brzmienie:

„9. Postepowanie w sprawach określonych w ust. 1  – 7 jest poufne i odbywa się    z zachowaniem przepisów o ochronie danych osobowych.”.

Art. 139. W ustawie z dnia 9 października 2015 r. o produktach biobójczych (Dz. U.     z 2018 r. poz. 122 i 138) w art. 42 ust. 2 otrzymuje brzmienie:

„2. Raport oraz dane, o których mowa w ust. 1, nie mogą obejmować danych podlegających ochronie na podstawie przepisów o ochronie danych osobowych.”.

Art. 140. W ustawie z dnia 28 stycznia 2016 r. – Prawo o prokuraturze (Dz. U. z 2017 r. poz. 1767) w art. 191 uchyla się § 2.

24) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1593 oraz z 2018

  1. poz. 9.

25) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 579 oraz z 2018 r. poz. 138.

26) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 1089, 1926 i 2102 oraz z 2018 r. poz. 8 i 106.

Art. 141. W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowaniu dzieci (Dz. U. z 2017 r. poz. 1851 oraz z 2018 r. poz. 138) w art. 14 ust. 3 otrzymuje brzmienie:

„3. Informacje, o których mowa w ust. 2, mogą być przetwarzane przez ministra właściwego do spraw rodziny w celu umożliwienia organom właściwym i marszałkom województw weryfikacji prawa do świadczenia wychowawczego oraz przez podmioty wymienione w ust. 4, w celu, w jakim informacje te zostały im udostępnione na zasadach określonych w przepisach o ochronie danych osobowych. Organy właściwe     i marszałkowie województw przekazują dane do rejestru centralnego, wykorzystując systemy teleinformatyczne, o których mowa w ust. 1.”.

Art. 142. W ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych (Dz. U. z 2016 r. poz. 669, z późn. zm.27)) art. 9 otrzymuje brzmienie:

„Art. 9 Do danych osobowych zgromadzonych w systemie zgłaszania stosuje się przepisy o ochronie danych osobowych.”.

Art. 143. W ustawie z dnia 8 grudnia 2017 r. o Służbie Ochrony Państwa (Dz. U. z  2018 r. poz. 138) użyte w art. 60 ust. 6 wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi Urzędu Ochrony Danych Osobowych”.

Rozdział 14

Przepisy przejściowe i dostosowujące

Art. 144. 1. Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, staje się, z mocy ustawy, inspektorem ochrony danych i pełni swoją funkcje do dnia 1 września 2018 r., chyba, że do tego dnia administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony

w art. 5 ust. 1 ustawy.

  1. Osoba, która stała się, zgodnie ust. 1, inspektorem ochrony danych, pełni swoją funkcję także po dniu 1 września 2018 r. jeżeli  do tego  dnia  administrator   zawiadomił      o niej Prezesa Urzędu w sposób określony w art. 5 ust. 1
  2. Osoba, o której mowa w ust. 1 może zostać odwołana przez administratora danych bez zawiadomienia Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony

27) Zmiany tekstu wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948 oraz z 2018 r. poz. 138.

danych, w przypadku gdy na podstawie art. 37 rozporządzenia 2016/679 administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych.

  1. Administrator, który do dnia wejścia w życie niniejszej ustawy nie powołał administratora bezpieczeństwa informacji, a który zgodnie z art. 37 rozporządzenia 2016/679, ma obowiązek wyznaczenia inspektora ochrony danych, wyznacza inspektora ochrony danych oraz zawiadamia Prezesa Urzędu, zgodnie z art. 5 ust. 1 niniejszej ustawy, w terminie do dnia 31 lipca 2018
  2. Podmiot przetwarzający, który zgodnie z art. 37 rozporządzenia 2016/679 ma obowiązek wyznaczenia inspektora ochrony danych, wyznacza inspektora ochrony danych oraz zawiadamia Prezesa Urzędu, zgodnie z art. 5 ust. 1 niniejszej ustawy, w terminie do dnia 31 lipca 2018

Art. 145. Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych i pełni swoją funkcję do czasu upływu kadencji na którą został powołany.

Art. 146. 1. Z dniem wejścia w życie ustawy Biuro Generalnego Inspektora Ochrony Danych Osobowych staje się Urzędem Ochrony Danych Osobowych.

  1. Z dniem wejścia w życie ustawy pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami Urzędu Ochrony Danych Osobowych. Przepis art. 231 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy stosuje się odpowiednio.

Art. 147. Z dniem wejścia w życie ustawy, mienie Skarbu Państwa będące we władaniu Biura Generalnego Inspektora Ochrony Danych Osobowych staje się mieniem Urzędu Ochrony Danych Osobowych.

Art. 148. Należności i zobowiązania Biura Generalnego Inspektora Ochrony Danych Osobowych z dniem wejścia w życie ustawy, stają się należnościami i zobowiązaniami Urzędu Ochrony Danych Osobowych.

Art. 149. Do kontroli wszczętej przed dniem 25 maja 2018 r. stosuje się przepisy dotychczasowe.

Art. 150. 1. Postępowania wszczęte i niezakończone przed Generalnym Inspektorem Ochrony Danych Osobowych przed dniem wejścia w życie ustawy, toczą się przed Prezesem Urzędu Ochrony Danych Osobowych.

  1. Postępowania, o których mowa w ust. 1, prowadzi się na podstawie przepisów ustawy, z zastrzeżeniem ust. 8.
  2. Wszystkie czynności przeprowadzone w postępowaniach, o których mowa w ust. 1, pozostają
  3. W przypadku wniesienia zażalenia na postanowienie Generalnego Inspektora Ochrony Danych Osobowych, postępowanie wszczęte tym zażaleniem, umarza się z mocy prawa z dniem wejścia w życie niniejszej ustawy.
  1. Stronę, która zainicjowała postępowanie, o którym mowa w ust. 4, organ poucza o prawie złożenia skargi do sądu administracyjnego. Postanowienia o umorzeniu postepowania nie wydaje się.
  2. Jeżeli Generalny Inspektor Ochrony Danych Osobowych wydał postanowienie, na które przysługiwało zażalenie i do dnia wejścia w życie niniejszej ustawy termin na wniesienie tego zażalenia nie upłynął, stronie przysługuje skarga do sądu administracyjnego na to postanowienie w terminie 3 miesięcy od dnia wejścia w życie niniejszej
  3. Jeżeli Generalny Inspektor Ochrony Danych Osobowych wydał decyzję, od której przysługiwał wniosek o ponowne rozpatrzenie sprawy i do dnia wejścia w życie niniejszej ustawy termin na złożenie wniosku o ponowne rozpatrzenie sprawy nie upłynął, stronie przysługuje skarga do sądu administracyjnego na tę decyzję w terminie 3 miesięcy od dnia wejścia w życie
  4. W przypadku wniesienia, na podstawie art. 21 ustawy, o której mowa w art. 157, wniosku o ponowne rozpatrzenie sprawy, postępowanie wszczęte tym wnioskiem umarza się z mocy prawa z dniem wejścia w życie
  5. Stronę, która zainicjowała postępowanie, o którym mowa w ust. 8, organ poucza o prawie złożenia skargi do sądu
  6. Termin na wniesienie skargi w przypadku, o którym mowa w ust. 5 i 6, wynosi 3 miesiące od dnia doręczenia pouczenia. Do czasu upływu tego terminu decyzja, od której strona złożyła wniosek o ponowne rozpatrzenie sprawy, nie podlega
  1. Postępowania prowadzone na podstawie rozdziału 6 ustawy, o której mowa w art. 157, umarza się z mocy prawa z dniem wejścia w życie ustawy. Decyzji o umorzeniu postępowania nie wydaje się.

Art. 151. Podmiot, do którego przed dniem wejścia w życie niniejszej ustawy zostało skierowane wystąpienie lub wniosek, o którym mowa w art. 19a ustawy, o której mowa w art. 157, jest obowiązany przekazać Prezesowi Urzędu odpowiedź na wystąpienie lub wniosek w terminie 30 dni od dnia wejścia w życie ustawy.

Art. 152. W przypadku, gdy Generalny Inspektor Ochrony Danych Osobowych do dnia wejścia  w  życie  ustawy  nie  złoży  sprawozdania  ze  swojej  działalności,  sprawozdanie   z działalności Generalnego Inspektora Ochrony Danych Osobowych składa Prezes Urzędu   w terminie do dnia 31 lipca 2018 r.

Art. 153. Dane zgromadzone w rejestrze zbiorów danych osobowych przekazuje się niezwłocznie z dniem wejścia w życie ustawy do archiwum państwowego wskazanego przez Naczelnego Dyrektora Archiwów Państwowych, gdzie mogą być przetwarzane w ramach działalności archiwalnej.

Art. 154. Dane zgromadzone w rejestrze administratorów bezpieczeństwa informacji przekazuje się niezwłocznie z dniem wejścia w życie ustawy do archiwum państwowego wskazanego przez Naczelnego Dyrektora Archiwów Państwowych, gdzie mogą być przetwarzane w ramach działalności archiwalnej”.

Art. 155. 1. W sprawach sądowych, sądowo-administracyjnych lub administracyjnych, w których, stroną lub uczestnikiem był Generalny Inspektor Ochrony Danych Osobowych stroną lub uczestnikiem staje się, z dniem wejścia w życie ustawy, Prezes Urzędu.

  1. W sprawach sądowych, sądowo-administracyjnych lub administracyjnych, w których, stroną lub uczestnikiem było Biuro Generalnego Inspektora Ochrony Danych Osobowych stroną lub uczestnikiem staje się, z dniem wejścia w życie ustawy, Urząd Ochrony Danych Osobowych.

Rozdział 15

Przepisy końcowe

Art. 156.1. Maksymalny limit wydatków z budżetu państwa przeznaczonych na wykonywanie zadań wynikających z niniejszej ustawy wynosi w roku:

1)     2018 r. –        29 357 000 zł;

2)     2019 r. –        13 099 000 zł;

3)     2020 r. –        13 099 000 zł;

4)     2021 r. –       13 099 000 zł;

5)     2022 r. –       13 099 000 zł;

6)     2023 r. –        13 099 000 zł;

7)     2024 r. –       13 099 000 zł;

8)     2025 r. –        13 099 000 zł;

9)     2026 r. –       13 099 000 zł;

10)   2027 r. –       13 099 000 zł.

  1. Prezes Urzędu Ochrony Danych Osobowych monitoruje wykorzystanie limitu wydatków, o których mowa w ust. 1, i dokonuje oceny wykorzystania tego limitu według stanu na koniec każdego kwartału, a w przypadku IV kwartału – według stanu na dzień 20 listopada danego
  2. W przypadku przekroczenia lub zagrożenia przekroczenia przyjętego na dany rok budżetowy maksymalnego limitu wydatków określonego w ust. 1 oraz w przypadku, gdy w okresie od początku roku kalendarzowego do dnia ostatniej oceny, o której mowa w ust. 2, część limitu rocznego przypadającego proporcjonalnie na ten okres zostanie przekroczona co najmniej o 10% stosuje się mechanizm korygujący polegający na zmniejszeniu wydatków budżetu państwa będących skutkiem finansowym niniejszej
  3. Organem właściwym do wdrożenia mechanizmu korygującego, o którym mowa w ust. 3, jest Prezes Urzędu Ochrony Danych

Art. 157. Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 i z 2018 r. poz. 138).

Art. 158. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.

Czytaj więcej

Kto może, a kto musi wyznaczyć inspektora ochrony danych?

GIODO na swojej stronie opisuje wyznaczenie inspektora ochrony danych osobowych.

Artykuł;       „Kto może, a kto musi wyznaczyć inspektora ochrony danych?

Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

Ponadto zgodnie z art. 37 ust. 4 ogólnego rozporządzenia o ochronie danych obowiązek powołania inspektora ochrony danych może wprowadzić prawo Unii lub prawo państwa członkowskiego. Oznacza to, iż m.in. ustawodawca polski będzie mógł rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.

W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.

Ponadto Grupa Robocza art. 29 rekomenduje wyznaczenie DPO nawet w odniesieniu do podmiotów do tego niezobowiązanych. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).
Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych uznaje za dobrą praktykę powoływanie DPO przez prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną. W takim przypadku działalność inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.

Obowiązek wyznaczenia DPO dotyczy również podmiotów przetwarzających. Mogą zatem wystąpić sytuacje, kiedy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym. Jako przykład Grupa Robocza art. 29 podaje sytuację, w której mała, rodzinna firma dystrybuująca artykuły gospodarstwa domowego na terenie jednego miasta korzysta z usług podmiotu przetwarzającego, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania inspektora ochrony danych. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”. W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.

Powyższe zasady nie uniemożliwiają podmiotom niezobowiązanym do wyznaczenia DPO skorzystania z innego rozwiązania niż wyznaczenie inspektora ochrony danych, np.wyznaczenia pracownika albo zatrudnienie zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W takim przypadku wedle zaleceń Grupy Roboczej art. 29 ważne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym należy poinformować pracowników organizacji, organ nadzorczy, osoby, których dane dotyczą, i ogół społeczeństwa, iż osoba zatrudniona nie jest DPO w świetle przepisów RODO.”

Źródło: cały artykuł jest ze strony https://abi.giodo.gov.pl/inspektor-ochrony-danych/kto-moze-a-kto-musi-wyznaczyc-inspektora-ochrony-danych

Jak stanowi art. 4 pkt 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, przedmiotu prawa autorskiego nie stanowią dokumenty urzędowe, materiały, znaki i symbole.

Czytaj więcej

GIODO negatywnie ocenia stan przygotowania MŚP

“Na niecałe pół roku przed rozpoczęciem stosowania RODO, poziom wiedzy i zrozumienia nowych obowiązków prawnych przez przedsiębiorców jest niski – wynika z raportu Kantar Public przeprowadzonego dla Generalnego Inspektora Ochrony Danych Osobowych.

Raport dowodzi, że o ile przedsiębiorcy wiedzą, iż niebawem w całej Unii Europejskiej będzie stosowane ogólne rozporządzenie o ochronie danych (RODO), to jedynie 19% z nich potrafi wskazać, że nastąpi to 25 maja 2018 roku. 24% badanych firm w ogóle nie wie, od kiedy będzie stosowane RODO – nie są w stanie wskazać nawet miesiąca, w którym to nastąpi. Ponadto jedynie 31% przedsiębiorców zna powody wprowadzenia nowych regulacji. Jeszcze mniej, bo zaledwie 72%, sprawdziło i wie, w jakim zakresie powinno się do nowych zmian dostosowania”

Więcej informacji o stanie przygotowania MŚP znajdą Państwo na stronie http://www.giodo.gov.pl/pl/1520281/10353

Źródło: komunikaty Generalnego Inspektora Ochrony Danych Osobowych

Czytaj więcej

Projekt z dnia 12 września 2017 r. o ochronie danych osobowych 1)

Projekt z dnia 12 września 2017 r.

U S T A W A z dnia ……………… 2017 r.

o ochronie danych osobowych 1)

 

Rozdział 1

Przepisy ogólne

 

Art. 1.1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.

  1. Ustawa określa:
  • podmioty obowiązane    do    wyznaczenia    inspektora    ochrony    danych    oraz    tryb zawiadamiania o wyznaczaniu;
  • warunki i tryb udzielania certyfikacji i akredytacji;
  • organ właściwy w sprawie ochrony danych osobowych;
  • postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
  • europejską współpracę administracyjną;
  • postępowanie kontrolne;
  • odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych;
  • administracyjne kary pieniężne za naruszenie przepisów o ochronie danych

1) Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1)

Art. 2.1. Do działalności polegającej na redagowaniu, przygotowaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. poz. 24, z późn. zm.2)) a także do działalności literackiej lub artystycznej nie stosuje się przepisów art. 5 – 9, 11, 13 – 16, 18 -22, 27, 28 ust. 2 – 10 i art. 30 rozporządzenia 2016/679.

  1. Do wypowiedzi akademickiej o której mowa w art. 85 ust. 2 rozporządzenia 2016/679 nie stosuje się przepisów 13, 15 ust. 3 i 4, art. 18, 27, 28 ust. 2 – 10 i art. 30 rozporządzenia 2016/679.
  2. Jeżeli ograniczenia o których mowa w ust. 1 i 2 różnią się zależnie od państwa członkowskiego, zastosowanie powinno mieć prawo państwa członkowskiego, któremu podlega

Art. 3. W przypadku usług świadczonych drogą elektroniczną oferowanych bezpośrednio osobie, która nie ukończyła lat trzynastu i która przebywa na terytorium Rzeczpospolitej Polskiej, gdy podstawą przetwarzania danych osobowych jest zgoda tej osoby, przetwarzanie danych osobowych możliwe jest wyłącznie po uzyskaniu uprzedniej zgody jej przedstawiciela ustawowego albo po niezwłocznym potwierdzeniu przez przedstawiciela ustawowego zgody wyrażonej przez taką osobę.

 

Rozdział 2

Inspektorzy ochrony danych

 

Art. 4. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy publiczne wskazane w art. 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2016 r. poz. 23, 868, 996, 1579 i 2138 oraz z 2017 r. poz. 935)

 

2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 1988 r. poz. 324, z 1989 r. poz. 187, z 1990 r. poz. 173, z 1991 r. poz. 442, z 1996 r. poz. 542, z 1997 r. poz. 554 i 770, z 1999 r. poz. 999, z 2001 r. poz. 1198, z 2002 r. poz. 1271, z 2004 r. poz. 1181, z 2005 r. poz. 377, z 2007 r. poz. 590, z 2010 r. poz. 1228 i 1551, z 2011 r. poz. 459, 934, 1204 i 1660, z 2012 r. poz. 1136 oraz z 2013 r. poz. 771.

oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z późn. zm.3).

Art. 5. 1 Administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, zwanego dalej „inspektorem”, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”, o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora.

  1. W zawiadomieniu administrator danych albo podmiot przetwarzający obowiązany jest wskazać adres i pełną nazwę, a w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna – miejsce zamieszkania oraz imię i
  2. O każdej zmianie danych, o której mowa w 1 i 2, w tym o odwołaniu inspektora, należy zawiadomić Prezesa Urzędu w terminie 14 dni od dnia zaistnienia zmiany.
  1. Zawiadomienia, o których mowa w ust. 1 i 3, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym
  2. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci
  3. Prezes Urzędu prowadzi wewnętrzną ewidencję zawiadomień, o których mowa w ust. 1 i 3. Ewidencja zawiera dane, o których mowa w ust. 1

 

Rozdział 3

Certyfikacja i akredytacja

 

Art. 6. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, dokonuje Prezes Urzędu.

Art. 7. Prezes Urzędu opracowuje kryteria certyfikacji i udostępnia je w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

Art.   8.1.    Certyfikacji    dokonuje   się    na   wniosek    administratora    lub    podmiotu przetwarzającego.

3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, 1984 i 2260 oraz z 2017 r. poz. 60, 191, 659, 933, 935 i 1089.

  1. Wniosek o certyfikację zawiera co najmniej:
  • nazwę administratora lub podmiotu przetwarzającego albo jego imię i nazwisko oraz wskazanie siedziby lub adresu zamieszkania administratora lub podmiotu przetwarzającego;
  • informacje potwierdzające spełnianie kryteriów
  1. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów certyfikacji albo ich elektroniczne
  2. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym

Art. 9.1. Prezes Urzędu rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia certyfikacji.

  1. Odmowa udzielenia certyfikacji następuje w drodze decyzji w przypadku stwierdzenia, że administrator lub podmiot przetwarzający nie spełnia kryteriów certyfikacji.
  1. Do decyzji, o której mowa w ust. 2, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

Art. 10.1. Dokumentem potwierdzającym certyfikację jest certyfikat.

  1. Certyfikat zawiera co najmniej:
  • oznaczenie administratora lub podmiotu przetwarzającego;
  • nazwę organu udzielającego certyfikacji oraz wskazanie adresu jego siedziby;
  • numer i oznaczenie certyfikatu;
  • okres, na jaki została udzielona certyfikacja;
  • datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.

Art. 11. W okresie, na jaki została udzielona certyfikacja administrator lub podmiot przetwarzający są obowiązani spełniać kryteria certyfikacji.

Art. 12. Prezes Urzędu prowadzi publicznie dostępny wykaz administratorów i podmiotów przetwarzających, którym udzielono certyfikacji.

Art. 13.1 Prezes Urzędu w terminie, o którym mowa w art. 9 ust. 1, a także po udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynności sprawdzających u administratora lub podmiotu przetwarzającego w celu oceny spełniania przez ten podmiot kryteriów certyfikacji.

  1. Prezes Urzędu zawiadamia o zamiarze przeprowadzenia czynności sprawdzających.
  2. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.
  3. Czynności sprawdzające przeprowadza się na podstawie upoważnienia wydanego przez Prezesa Urzędu, które zawiera:
  • imię i nazwisko osoby przeprowadzającej czynności sprawdzające;
  • oznaczenie administratora lub podmiotu przetwarzającego;
  • zakres czynności sprawdzających.

Art. 14.1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:

  • wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;
  • oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • uzyskania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.
  1. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego lub osoby przez niego upoważnionej.
  1. Z czynności sprawdzających sporządza się protokół i przedstawia administratorowi lub podmiotowi przetwarzającemu. Przepis art. 72 stosuje się

Art. 15.1. Prezes Urzędu w drodze decyzji cofa udzieloną certyfikację w przypadkach, o których mowa w art. 42 ust. 7 rozporządzenia 2016/679.

  1. W decyzji, o której mowa w 1, Prezes Urzędu wskazuje przyczyny cofnięcia certyfikacji.
  1. Do decyzji, o której mowa w ust.1, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

Art. 16.1. Za czynności związane z postępowaniem o udzielenie certyfikacji Prezes Urzędu pobiera opłatę w wysokości trzykrotności przeciętnego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w roku poprzednim ogłaszanego przez Prezesa Głównego Urzędu Statystycznego.

  1. Opłaty, o których mowa w ust. 1, stanowią dochód budżetu państwa.

Art. 17. Monitorowaniem przestrzegania zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 rozporządzenia 2016/679, zajmuje się podmiot akredytowany przez Prezesa Urzędu zgodnie z kryteriami określonymi w art. 41 ust. 2 rozporządzenia 2016/679.

Art. 18.1. Akredytacji podmiotu ubiegającego się o monitorowanie przestrzegania zatwierdzonego kodeksu postepowania dokonuje się na wniosek.

  1. Wniosek o akredytację zawiera co najmniej:
  • nazwę wnioskodawcy oraz wskazanie adresu jego siedziby;
  • informacje potwierdzające spełnienie kryteriów, o których mowa w 41 ust. 2 rozporządzenia 2016/679.
  1. Do wniosku dołącza się dokumenty potwierdzające spełnienie kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679, albo ich elektroniczne
  2. Wniosek składa się w postaci papierowej albo elektronicznej. Wniosek w postaci papierowej opatruje się podpisem własnoręcznym, natomiast wniosek w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym
  3. Prezes Urzędu rozpatruje wniosek o akredytację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia kompletnego wniosku, zawiadamia wnioskodawcę o udzieleniu lub odmowie udzielenia
  4. Odmowa udzielenia akredytacji następuje w drodze decyzji w przypadku stwierdzenia, że wnioskodawca nie spełnia kryteriów, o których mowa w art. 41 ust. 2 rozporządzenia 2016/679.
  5. Do decyzji, o której mowa w ust. 6, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

Art. 19.1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.

  1. Certyfikat akredytacyjny zawiera co najmniej:
  • oznaczenie organu udzielającego akredytacji i adres jego siedziby;
  • oznaczenie podmiotu akredytowanego i adres jego siedziby;
  • numer i oznaczenie certyfikatu akredytacyjnego;
  • okres, na jaki została udzielona akredytacja;
  • datę wydania i podpis Prezesa Urzędu lub osoby przez niego upoważnionej.
  1. W okresie, na jaki została udzielona akredytacja podmiot akredytowany jest obowiązany spełniać kryteria akredytacji.
  1. Prezes Urzędu prowadzi wykaz podmiotów akredytowanych i udostępnia go w Biuletynie Informacji Publicznej na swojej stronie
  2. W przypadku, gdy podmiot akredytowany:
  • przestał spełniać kryteria akredytacji, o których mowa w 41 ust. 2 rozporządzenia 2016/679,
  • podejmuje działania niezgodne z przepisami rozporządzenia 2016/679

– Prezes Urzędu w drodze decyzji cofa udzieloną akredytację.

  1. Do decyzji, o której mowa w ust. 5, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i

 

Rozdział 4

Prezes Urzędu Ochrony Danych Osobowych

 

Art. 20.1. Prezes Urzędu jest organem właściwym w sprawie ochrony danych osobowych.

  1. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679 i organem nadzorczym w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 4.5.2016, s. 89).
  1. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu na wniosek Prezesa Rady Ministrów.
  2. Na stanowisko Prezesa Urzędu może być powołana osoba, która spełnia następujące warunki:
  • jest obywatelem polskim;
  • posiada tytuł naukowy doktora;
  • posiada wiedzę z zakresu ochrony danych osobowych;
  • przez okres co najmniej pięciu lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych;
  • korzysta z pełni praw publicznych;
  • nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo
  1. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko
  2. Kadencja Prezesa Urzędu trwa 4 lata od dnia złożenia ślubowania.
  3. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie
  4. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.
  5. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:
  • zrzekł się stanowiska;
  • stał się trwale niezdolny do pełnienia obowiązków na skutek choroby;
  • sprzeniewierzył się ślubowaniu;
  • został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego.
  1. W przypadku odwołania lub wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Prezesa Rady Ministrów.

Art. 21. Przed przystąpieniem do wykonywania obowiązków Prezes Urzędu składa przed Sejmem następujące ślubowanie:

„Obejmując stanowisko Prezesa Urzędu Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych kierując się przepisami prawa oraz zasadami współżycia społecznego i sprawiedliwości. Ślubuję, że powierzone mi obowiązki wypełniać będę bezstronnie, z najwyższą sumiennością i starannością, że będę strzec godności powierzonego mi stanowiska.”. Ślubowanie może zostać złożone z dodaniem słów „Tak mi dopomóż Bóg”.

Art. 22.1. Prezes Urzędu może wykonywać swoje zadania przy pomocy do trzech zastępców Prezesa Urzędu.

  1. Na wniosek ministra właściwego do spraw informatyzacji Prezes Rady Ministrów może powołać dwóch zastępców Prezesa Urzędu. Odwołanie zastępcy Prezesa Urzędu następuje w tym samym
  2. Na wniosek ministra właściwego do spraw wewnętrznych Prezes Rady Ministrów powołuje zastępcę Prezesa Urzędu.
  1. Wniosek, o którym mowa w ust. 3, minister właściwy do spraw wewnętrznych przekazuje celem zaopiniowania Ministrowi Sprawiedliwości, Ministrowi Obrony Narodowej, ministrowi właściwemu do spraw finansów publicznych oraz Prokuratorowi
  2. Odwołanie zastępcy Prezesa Urzędu powołanego na wniosek ministra właściwego do spraw wewnętrznych następuje w trybie, o którym mowa w ust. 3 i
  3. Na zastępcę Prezesa Urzędu może być powołana osoba, która przez okres co najmniej czterech lat wykonywała czynności bezpośrednio związane z ochroną danych osobowych i spełnia warunki, o których mowa w art. 20 ust. 4 pkt 1, 3, 5 i

Art. 23.1. Prezes Urzędu nie może zajmować innego stanowiska, z wyjątkiem stanowiska naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.

  1. Prezes Urzędu nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.
  1. Przepisy ust. 1 i 2 stosuje się odpowiednio do zastępców Prezesa Urzędu.

Art. 24.1. Prezes Urzędu nie może być bez uprzedniej zgody Sejmu pociągnięty do odpowiedzialności karnej ani pozbawiony wolności, z zastrzeżeniem ust. 2.

  1. Prezes Urzędu może wyrazić zgodę na pociągnięcie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym
  2. W przypadku popełnienia przez Prezesa Urzędu wykroczenia, o którym mowa w rozdziale XI ustawy z dnia 20 maja 1971 r. – Kodeks wykroczeń (Dz. U. z 2015 r. poz. 1094, 1485, 1634 i 1707 oraz z 2017 poz. 966), przyjęcie przez Prezesa Urzędu mandatu karnego albo uiszczenie grzywny, w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2016 r. poz. 1713 i 1948 oraz z 2017 r. poz. 708, 962 i 966), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągniecie go do odpowiedzialności w tej formie.
  1. Prezes Urzędu nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie

Art. 25. Przedawnienie w postępowaniu karnym czynu objętego immunitetem nie biegnie w okresie korzystania z immunitetu.

Art. 26.1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia publicznego składa się za pośrednictwem Prokuratora Generalnego.

  1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia prywatnego składa oskarżyciel prywatny, po wniesieniu sprawy do sądu.
  2. Wniosek, o którym mowa w 2, sporządza i podpisuje adwokat lub radca prawny, z wyjątkiem wniosków składanych w swoich sprawach przez sędziów, prokuratorów, adwokatów, radców prawnych, notariuszy oraz profesorów i doktorów habilitowanych nauk prawnych.
  3. Wnioski, o których mowa w ust. 1 i 2, powinny zawierać:
  • oznaczenie wnioskodawcy oraz pełnomocnika, o ile został ustanowiony;
  • imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
  • wskazanie podstawy prawnej wniosku;
  • dokładne określenie czynu, którego dotyczy wniosek, ze wskazaniem czasu, miejsca, sposobu i okoliczności jego popełnienia oraz skutków, a zwłaszcza charakteru powstałej szkody;

Art. 27.1. Wniosek o wyrażenie zgody na pociągniecie Prezesa Urzędu do odpowiedzialności karnej składa się Marszałkowi Sejmu.

  1. Jeżeli wniosek nie spełnia wymogów formalnych, o których mowa w art. 26 ust. 3 lub 4, Marszałek Sejmu wzywa wnioskodawcę do poprawienia lub uzupełnienia wniosku w terminie 14 dni, wskazując niezbędny zakres poprawienia lub uzupełnienia. W przypadku niepoprawienia lub nieuzupełnienia wniosku we wskazanym terminie i zakresie Marszałek Sejmu postanawia o pozostawieniu wniosku bez
  2. Jeżeli wniosek spełnia wymogi formalne, o których mowa w 26 ust. 3 i 4, Marszalek Sejmu kieruje go do organu właściwego na podstawie regulaminu Sejmu do rozpatrzenia wniosku, zawiadamiając jednocześnie Prezesa Urzędu o treści wniosku.
  3. Organ właściwy do rozpatrzenia wniosku powiadamia Prezesa Urzędu o terminie rozpatrzenia wniosku. Pomiędzy doręczeniem powiadomienia a terminem rozpatrzenia wniosku, o ile nie zachodzi wypadek nie cierpiący zwłoki, powinno upłynąć co najmniej 7
  4. Na żądanie organu właściwego do rozpatrzenia wniosku sąd albo odpowiedni organ, przed którym toczy się postepowanie wobec Prezesa Urzędu, udostępnia akta postępowania.
  5. Prezes Urzędu przedstawia organowi właściwemu do rozpatrzenia wniosku wyjaśnienia i własne wnioski w tej sprawie w formie pisemnej lub ustnej.
  1. Po rozpatrzeniu sprawy, organ właściwy do rozpatrzenia wniosku uchwala sprawozdanie wraz z propozycją przyjęcia lub odrzucenia
  2. W trakcie rozpatrywania przez Sejm sprawozdania, o którym mowa w 7, Prezesowi Urzędu przysługuje prawo zabrania głosu.
  1. Sejm wyraża zgodę na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności

Art. 28.1. Zakaz zatrzymania, o którym mowa w art. 24, obejmuje wszelkie formy pozbawienia lub ograniczenia wolności osobistej Prezesa Urzędu przez organy sprawujące przymus.

  1. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu składa się za pośrednictwem Prokuratora
  2. Wniosek, o którym mowa w ust. 2, powinien zawierać:
  • oznaczenie wnioskodawcy;
  • imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
  • dokładne określenie czynu oraz jego kwalifikację prawną;
  • podstawę prawną zastosowania określonego środka;
  • uzasadnienie, wskazujące w szczególności na konieczność zastosowania określonego środka.
  1. Do postępowania z wnioskiem o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu, przepisy art. 27 ust. 1 – 8 stosuje się
  2. Sejm wyraża zgodę na zatrzymanie lub aresztowanie Prezesa Urzędu w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na zatrzymanie lub aresztowanie Prezesa Urzędu.
  3. Wymóg uzyskania zgody Sejmu nie dotyczy wykonania kary pozbawienia wolności orzeczonej prawomocnym wyrokiem sądu.

Art. 29. 1. Marszałek Sejmu przesyła wnioskodawcy niezwłocznie uchwałę, o której mowa w art. 27 ust. 9 i art. 28 ust. 5.

  1. Uchwały, o których mowa w ust. 1, podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

Art. 30. Przepisy ustawy dotyczące odpowiedzialności karnej Prezesa Urzędu stosuje się odpowiednio do odpowiedzialności za wykroczenia.

Art. 31. Szczegółowy tryb postępowania w sprawach, o których mowa w art. 25 – 30, określa Regulamin Sejmu.

Art. 32.1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.

  1. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:
  • organizację Urzędu,
  • zakres zadań swoich zastępców
  • zakres zadań i tryb pracy komórek organizacyjnych Urzędu

– mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.

Art. 33.1. Prezes Urzędu, zastępcy Prezesa Urzędu a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych.

  1. Obowiązek zachowania tajemnicy służbowej nie może być ograniczony w czasie i trwa także po zakończeniu kadencji albo zatrudnienia.

Art. 34.1. Przy Prezesie Urzędu działa Rada do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”. Rada jest organem opiniodawczo-doradczym Prezesa Urzędu.

  1. Do zadań Rady należy:
  • opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
  • opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
  • opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 7;
  • opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  • wykonywanie innych zadań zleconych przez Prezesa Urzędu.
  1. Rada wyraża opinię w terminie 21 dni od dnia otrzymania projektów lub dokumentów, o których mowa w ust.
  2. Opinie, protokoły posiedzeń oraz inne dokumenty Rady są udostępniane w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Urzędu.
  3. Rada przedstawia Prezesowi Urzędu sprawozdanie z działalności za każdy rok kalendarzowy w terminie do dnia 31 marca następnego
  4. Rada składa się z 8 członków.
  5. Kandydatów na członków Rady mogą rekomendować:
  • członkowie Rady Ministrów;
  • Rzecznik Praw Obywatelskich;
  • Prezes Głównego Urzędu Statystycznego;
  • Prezes Urzędu Komunikacji Elektronicznej;
  • Prezes Urzędu Ochrony Konkurencji i Konsumentów;
  • Naczelny Dyrektor Archiwów Państwowych;
  • izby gospodarcze;
  • jednostki naukowe w rozumieniu przepisów ustawy z dnia 30 kwietnia 2010 o zasadach finansowania nauki (Dz. U. z 2016 r., poz. 2045, z późn. zm.4));
  • stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych
  1. Rekomendowany do Rady kandydat powinien posiadać wykształcenie wyższe oraz wyrazić zgodę na kandydowanie.
  1. Prezes Urzędu powołuje skład Rady na dwuletnią kadencję spośród kandydatów rekomendowanych przez podmioty, o których mowa w ust.
  2. Przed upływem kadencji członkostwo w Radzie wygasa z powodu:
  • rezygnacji członka Rady złożonej na piśmie Przewodniczącemu Rady;
  • śmierci członka Rady;
  • niemożności sprawowania funkcji członka Rady z powodu długotrwałej choroby stwierdzonej zaświadczeniem lekarskim;
  • skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
  1. W przypadkach, o których mowa w 10, Prezes Urzędu powołuje na członka Rady osobę spośród pozostałych rekomendowanych kandydatów po sprawdzeniu aktualności rekomendacji.
  2. Prezes Urzędu powołuje i odwołuje Przewodniczącego i Wiceprzewodniczącego Rady spośród jej członków.
  1. Przewodniczący Rady kieruje jej pracami i reprezentuje ją na zewnątrz. W przypadku nieobecności Przewodniczącego zastępuje go Wiceprzewodniczący.
  1. Obsługę Rady zapewnia Urząd.
  • Na posiedzenie Rady   mogą    być    zapraszane,    przez    Prezesa    Urzędu    oraz Przewodniczącego Rady, inne osoby, o ile jest to wskazane dla realizacji zadań Rady.
  1. Prezes Rady Ministrów określi, w drodze rozporządzenia, wysokość wynagrodzenia członka Rady za udział w posiedzeniu, uwzględniając funkcje pełnione przez członków Rady i zakres obowiązków członków Rady, a także mając na uwadze, że wynagrodzenie za jedno posiedzenie Rady nie może przekroczyć 50% minimalnego wynagrodzenia określonego na podstawie ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (Dz. z 2017 r. poz. 847), obowiązującego w dniu powołania Rady.
  1. Zamiejscowym członkom Rady przysługują diety oraz zwrot kosztów podróży i zakwaterowania na warunkach określonych w przepisach wydanych na podstawie art. 775 § 2 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2016 r., poz. 1666, 2138 i 2255 oraz z 2017 r. poz. 60 i 962).
  2. Szczegółowy tryb działania Rady określa regulamin ustanawiany na wniosek Rady przez Prezesa Urzędu.

Art. 35. Prezes Urzędu, do dnia 31 sierpnia przedstawia Sejmowi, Prezesowi Rady Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności, zawierające w szczególności informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych.

Art. 36. Prezes Urzędu opiniuje założenia i projekty aktów prawnych dotyczące ochrony danych osobowych.

Art. 37.1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.

  1. Prezes Urzędu może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
  2. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania

Art. 38. Prezes Urzędu udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej:

  • standardowe klauzule umowne, o których mowa w 28 ust. 8 rozporządzenia 2016/679;
  • zatwierdzone kodeksy postępowania, o których mowa w 40 rozporządzenia 2016/679, a także zmiany tych kodeksów.

Art. 39. 1. Prezes Urzędu ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych, o którym mowa w art. 35 ust. 4 rozporządzenia 2016/679.

  1. Komunikat, o którym mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.

Art. 40. Prezes Urzędu w procedurze uprzednich konsultacji może zawiesić bieg terminów, o których mowa w art. 36 ust. 2 rozporządzenia 2016/679, jednokrotnie i na okres nie przekraczający 14 dni.

Art. 41. Prezes Urzędu prowadzi system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 rozporządzenia 2016/679.

Art. 42.1.Prezes Urzędu w drodze decyzji:

  • zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 rozporządzenia 2016/679;
  • zatwierdza kodeks postępowania, o którym mowa w art. 40 rozporządzenia 2016/679;
  • przyjmuje standardowe klauzule ochrony danych, o których mowa w 46 ust. 2 lit d rozporządzenia 2016/679;
  • udziela zezwolenia, o którym mowa w art. 46 ust. 3 rozporządzenia 2016/679.
  1. Do decyzji, o których mowa w ust. 1, przepisy rozdziału o postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się odpowiednio, z wyłączeniem art. 53 i 55.

Art. 43.1. Prezes Urzędu opracowuje i udostępnia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.

  1. Rekomendacje sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i podlegają okresowej aktualizacji.
  1. Projekt rekomendacji Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.

 

Rozdział 5

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

 

Art. 44.1. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.

  1. Postępowanie jest postępowaniem jednoinstancyjnym.

Art. 45. Gdy prawa osoby przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, organizacja społeczna może występować z żądaniem:

  • wszczęcia postępowania,
  • dopuszczenia jej do udziału w postępowaniu, jeżeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes osoby, której prawa zostały naruszone.

Art. 46. O każdym przypadku niezałatwienia sprawy w terminie Prezes Urzędu jest obowiązany zawiadomić strony, podając przyczyny zwłoki, informację o stanie sprawy i przeprowadzonych w jej toku czynnościach oraz wskazując nowy termin załatwienia sprawy.

Art. 47.1. Prezes Urzędu może wyznaczyć stronie termin do przedstawienia dowodu będącego w jej posiadaniu.

  1. Termin ustala się uwzględniając charakter dowodu i stan postępowania, przy czym nie może on być krótszy niż 7 dni.
  1. Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Czynności te strona jest obowiązana wykonać na własny

Art. 48.1. Prawo Prezesa Urzędu do dostępu do wszelkich informacji, w tym danych osobowych, niezbędnych Prezesowi Urzędu do realizacji zadań podlega ograniczeniu ze względu na tajemnice ustawowo chronione.

  1. Wykonywanie prawa, o którym mowa w ust. 1, jest możliwe na zasadach określonych w przepisach regulujących dostęp do tajemnic ustawowo chronionych.

Art. 49.1. Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, dostarczane Prezesowi Urzędu.

  1. Prezes Urzędu może uchylić zastrzeżenie w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.
  2. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego

Art. 50.1. Prezes Urzędu na wniosek lub z urzędu może, w drodze postanowienia, w niezbędnym zakresie ograniczyć prawo wglądu do materiału dowodowego, jeżeli udostępnienie tego materiału groziłoby ujawnieniem tajemnicy przedsiębiorstwa, lub innych tajemnic podlegających ochronie na podstawie odrębnych przepisów.

  1. Wniosek o ograniczenie prawa wglądu do materiału dowodowego składa się do Prezesa Urzędu wraz z uzasadnieniem oraz wersją dokumentu niezawierającą informacji objętych ograniczeniem, o którym mowa w ust. 1, ze stosowną adnotacją.
  2. Jeżeli wniosek nie spełnia wymagań określonych w ust. 2, Prezes Urzędu wzywa wnioskodawcę do jego uzupełnienia w wyznaczonym terminie. W przypadku nieprzedłożenia w wyznaczonym terminie wersji dokumentu, o której mowa w ust. 2, wniosek pozostawia się bez rozpoznania.
  3. Stronom udostępnia  się  materiał  dowodowy  niezawierający  informacji  objętych ograniczeniem, o którym mowa w ust. 1, ze stosowną adnotacją.
  1. Obowiązku złożenia wersji dokumentu niezawierającej informacji objętych ograniczeniem, o którym mowa w ust. 1, nie stosuje się w sytuacji gdy cały dokument jest objęty ograniczeniem, o którym mowa w ust.

Art. 51.1. Kto, będąc obowiązany do osobistego stawienia się mimo prawidłowego wezwania nie stawił się bez uzasadnionej przyczyny jako świadek lub biegły albo bezzasadnie odmówił złożenia zeznania, przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę, wydania opinii, okazania przedmiotu oględzin albo udziału w innej czynności urzędowej, może być ukarany karą grzywny do 500 zł. Na postanowienie o ukaraniu służy skarga do sądu administracyjnego.

  1. Prezes Urzędu na wniosek ukaranego, złożony w ciągu 7 dni od daty doręczenia postanowienia o ukaraniu, może uznać za usprawiedliwioną nieobecność lub odmowę zeznania, wydania opinii albo okazania przedmiotu oględzin i zwolnić od kary grzywny. Na postanowienie o odmowie zwolnienia od kary grzywny służy skarga do sądu administracyjnego.

Art. 52. W toku postępowania może być prowadzone postępowanie kontrolne, o którym mowa w rozdziale 7.

Art. 53.1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu w celu zapobieżenia tym skutkom może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując dopuszczalny zakres tego przetwarzania. Przepisu art. 10 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

  1. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa czas jego obowiązywania. Postanowienie to obowiązuje nie dłużej niż do czasu wydania decyzji kończącej postępowanie w sprawie.

Art. 54. Prezes Urzędu wydaje decyzję o umorzeniu postępowania gdy żądanie wszczęcia postępowania zostało wniesione w sprawie, która jest przedmiotem postępowania toczącego się przed Prezesem Urzędu.

Art. 55.1. W przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu, w drodze decyzji podejmuje rozstrzygnięcia, o których mowa w art. 58 ust. 2 lit. b-j rozporządzenia 2016/679.

  1. Uzasadnienie faktyczne decyzji nakładającej administracyjną karę pieniężną poza elementami, o których mowa w art. 107 ust. 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, zawiera wskazanie przesłanek z art. 83 ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.

Art. 56. W przypadku gdy waga naruszenia przepisów o ochronie danych osobowych jest znikoma, a strona zaprzestała naruszenia Prezes Urzędu może, w drodze decyzji udzielić upomnienia.

Art. 57.1. W przypadku podjęcia przez Prezesa Urzędu w drodze decyzji rozstrzygnięć, o których mowa w art. 58 ust. 2 lit. b – g i lit. j rozporządzenia 2016/679, wobec organów, o których mowa w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego albo podmiotów publicznych, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, Prezes Urzędu udostępnia prawomocne decyzje w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

  1. Do udostępniania decyzji, o których mowa w 1, stosuje się przepisy art. 5 ust. 1 i 2 ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz. U. z 2016 r. poz. 1764 i z 2017 r. poz. 933).
  2. Organy, o których mowa w 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego a także podmioty publiczne, o których mowa w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, niezwłocznie udostępniają na swoich stronach internetowych informacje o działaniach podjętych w celu wykonania decyzji, o których mowa w ust. 1.

Art. 58. Decyzje Prezesa Urzędu, o których mowa w art. 55 ust. 1, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

Art. 59.1. Decyzje wydane przez Prezesa Urzędu podlegają natychmiastowemu wykonaniu.

  1. Wniesienie przez stronę skargi do sądu administracyjnego powoduje wstrzymanie wykonania decyzji w zakresie dotyczącym administracyjnej kary pieniężnej.

Art. 60. Postanowienia wydane przez Prezesa Urzędu strona może zaskarżyć w skardze na decyzję Prezesa Urzędu.

Art. 61 W sprawach nieuregulowanych w ustawie do postępowania przed Prezesem Urzędu stosuje się przepisy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, z wyłączeniem przepisów art. 66a.

 

Rozdział 6

Europejska współpraca administracyjna

 

Art. 62. W przypadkach określonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie, o którym mowa w art. 53 ust. 1.

Art. 63.1. Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej, powinny zostać przetłumaczone na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.

  1. Wszelkie informacje kierowane do Prezesa Urzędu w związku z europejską współpracą administracyjną powinny zostać przetłumaczone na język polski.

Art. 64.1. W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 ust. 1 rozporządzenia 2016/679, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji i niezwłocznie sporządza wykaz ustaleń.

  1. Okresy, w których pracownicy organu nadzorczego innego państwa członkowskiego Unii Europejskiej przebywają na terytorium Rzeczypospolitej Polskiej, biorąc udział we wspólnej operacji, nie są uważane za okresy pobytu wpływające na zmianę miejsca zamieszkania dla celów opodatkowania podatkiem dochodowym zgodnie z prawem Rzeczypospolitej Polskiej.

 

Rozdział 7

Postępowanie kontrolne

 

Art. 65.1. Prezes Urzędu może prowadzić kontrole przestrzegania przepisów o ochronie danych osobowych.

  1. Postępowanie kontrolne może być prowadzone zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli bądź poza planem na podstawie uzyskanych przez Prezesa Urzędu informacji albo przeprowadzonych analiz.

Art. 66.1. Kontrola może być przeprowadzona przez upoważnionego pracownika Urzędu,

zwanego dalej „kontrolującym”.

  1. Do przeprowadzania kontroli Prezes Urzędu może upoważnić członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679.

Art. 67.1. Kontrolujący podlega wyłączeniu, na wniosek lub z urzędu, z postępowania kontrolnego, jeżeli wyniki kontroli mogłyby oddziaływać na jego prawa lub obowiązki, na prawa lub obowiązki jego małżonka albo osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnych i powinowatych do drugiego stopnia bądź osób związanych z nim z tytułu przysposobienia, opieki lub kurateli. Powody wyłączenia kontrolującego trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.

  1. Kontrolujący może być wyłączony, na wniosek lub z urzędu, z postępowania kontrolnego w każdym czasie, jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności.
  1. O przyczynach powodujących wyłączenie kontrolujący lub kierownik jednostki kontrolowanej niezwłocznie zawiadamia Prezesa Urzędu.
  2. O wyłączeniu kontrolującego postanawia Prezes Urzędu. Na postanowienie o wyłączeniu zażalenie nie przysługuje.
  1. Do czasu wydania postanowienia kontrolujący podejmuje jedynie czynności niecierpiące zwłoki.

Art. 68.1. Upoważnienie do przeprowadzenia kontroli zawiera:

  • wskazanie podstawy prawnej przeprowadzenia kontroli;
  • oznaczenie organu kontroli;
  • imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, a w przypadku osób, o których mowa w 66 ust. 2, imiona i nazwiska tych osób oraz numer paszportu lub innego dokumentu potwierdzającego tożsamość;
  • określenie zakresu przedmiotowego kontroli, w tym okresu objętego kontrolą;
  • oznaczenie podmiotu objętego kontrolą zwanego dalej „kontrolowanym”;
  • wskazanie  daty   rozpoczęcia   i   przewidywanego   terminu   zakończenia    czynności kontrolnych;
  • podpis Prezesa Urzędu;
  • pouczenie podmiotu objętego kontrolą o jego prawach i obowiązkach;
  • datę i miejsce wystawienia imiennego upoważnienia.
  1. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132) lub przywołanemu świadkowi, którym powinien być funkcjonariusz publiczny, niebędący jednak pracownikiem organu przeprowadzającego kontrolę.

Art. 69.1. W celu uzyskania informacji mogących stanowić dowód w sprawie kontrolujący ma prawo:

  • wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu
  1. Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach, o których mowa w ust. 1 pkt 3.
  2. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność z oryginałem potwierdza je kontrolujący, o czym czyni wzmiankę w protokole
  3. W toku kontroli kontrolujący może korzystać z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji. Organy kontroli państwowej lub Policja wykonują czynności na polecenie kontrolującego.
  4. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz. Informatyczne nośniki danych w rozumieniu przepisów o informatyzacji działalności podmiotów realizujących zadania publiczne, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

Art. 70.1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.

  1. Przed rozpoczęciem przesłuchania kontrolujący obowiązany jest uprzedzić świadka o odpowiedzialności karnej za zeznanie nieprawdy lub zatajenie prawdy, a w sytuacji określonej w ust. 3, informuje go o przysługujących mu
  2. Osoba, o której mowa w 1, może odmówić udzielenia informacji lub współdziałania w toku kontroli tylko wtedy, gdy naraziłoby to ją lub jej małżonka, wstępnych, zstępnych, rodzeństwo oraz powinowatych w tej samej linii lub stopniu, jak również osoby pozostające w stosunku przysposobienia, opieki lub kurateli, a także osobę pozostającą we wspólnym pożyciu, na odpowiedzialność karną. Prawo odmowy udzielenia informacji lub współdziałania w toku kontroli trwa po ustaniu małżeństwa lub rozwiązaniu stosunku przysposobienia, opieki lub kurateli.

Art. 71. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w toku kontroli, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

Art. 72.1. Przebieg przeprowadzonej kontroli kontrolujący przedstawia w protokole kontroli.

  1. Protokół kontroli powinien zawierać:
  • wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
  • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
  • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia kontrolującego a w przypadku osób, o których mowa w art. 66 ust. 2, imię i nazwisko, numer paszportu albo innego dokumentu potwierdzającego tożsamość oraz numer upoważnienia;
  • datę rozpoczęcia i zakończenia czynności kontrolnych;
  • określenie przedmiotu i zakresu kontroli;
  • opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wyszczególnienie załączników;
  • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
  • informację o pouczeniu kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu;
  • datę i miejsce podpisania protokołu przez kontrolującego i
  1. Protokół kontroli podpisują kontrolujący i
  2. Przed podpisaniem protokołu kontrolowany może, w terminie 7 dni od przedstawienia mu go do podpisu, złożyć pisemne zastrzeżenia do tego protokołu.
  3. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 4, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu w formie aneksu do protokołu.
  4. W razie nieuwzględnienia zastrzeżeń w całości lub w części kontrolujący informuje o tym kontrolowanego na piśmie.
  1. O odmowie podpisania protokołu kontrolujący czyni wzmiankę w protokole, zawierającą datę jej dokonania.
  1. Protokół w postaci papierowej sporządza się w dwóch egzemplarzach, z których jeden pozostawia się kontrolowanemu, a w przypadku protokołu sporządzonego w postaci elektronicznej doręcza się go

Art. 73. Do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997 i 2255 oraz z 2017 r. poz. 819), z wyłączeniem art. 79, art. 82 i art. 83.

Art. 74.1. Postępowanie kontrolne nie może trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych. Za podjęcie czynności kontrolnych należy uznać moment, w którym kontrolujący okazuje kontrolowanemu, lub innej osobie wskazanej w przepisach, upoważnienie do przeprowadzenia kontroli oraz legitymację służbową lub inny dokument potwierdzający tożsamość.

  1. Terminem zakończenia postępowania kontrolnego jest dzień podpisania protokołu kontrolnego przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 72 ust. 7.
  2. W przypadku postępowania kontrolnego prowadzonego w toku postępowania administracyjnego terminu przewidzianego w ust. 1 nie wlicza się do terminów, o których mowa w art. 35 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania

Art. 75. Jeżeli na podstawie informacji zgromadzonych w protokole kontroli, Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania.

Art. 76. Na podstawie ustaleń kontroli Prezes Urzędu może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Art. 77. W razie stwierdzenia, że działanie lub zaniechanie wyczerpuje znamiona przestępstwa określonego w ustawie, Prezes Urzędu kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

 

Rozdział 8

Odpowiedzialność cywilna

 

Art. 78.1. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania a także może żądać ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków.

  1. Wystąpienie z roszczeniem, o którym mowa w ust. 1, nie wyłącza możliwości wystąpienia z innymi roszczeniami z tytułu naruszenia przepisów o ochronie danych osobowych.
  2. W zakresie nieuregulowanym rozporządzeniem 2016/679 oraz niniejszą ustawą dochodzenie roszczeń, o których mowa w 1, następuje na zasadach określonych przepisami Kodeksu cywilnego.

Art. 79.1. Do postępowania w sprawach roszczeń dochodzonych na podstawie art. 78, w zakresie nieuregulowanym niniejszą ustawą, stosuje się przepisy Kodeksu postępowania cywilnego.

  1. Sąd okręgowy jest właściwy w sprawach roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych w tym roszczeń z tytułu art. 82 rozporządzenia 2016/679, niezależnie od wartości przedmiotu sporu.

Art. 80.1. O wniesieniu pozwu w sprawach, o których mowa w art. 78, sąd zawiadamia niezwłocznie Prezesa Urzędu.

  1. Jeżeli przed Prezesem Urzędu albo sądem administracyjnym toczy się postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych albo postępowanie takie zostało zakończone, Prezes Urzędu zawiadamia o tym sąd, o którym mowa w ust.
  2. Sąd może zawiesić toczące się przed nim postępowanie do czasu zakończenia postępowania przed Prezesem Urzędu.

Art. 81. O każdym wyroku – uwzględniającym powództwo – w sprawach, o których mowa w art. 78 ust. 1 i 2, sąd zawiadamia Prezesa Urzędu.

 

Rozdział 9

Administracyjne kary pieniężne

 

Art. 82. Prezes Urzędu może nałożyć na podmioty nie będące organami publicznymi w rozumieniu w art. 5 § 2 pkt 3 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego albo podmiotami publicznymi w rozumieniu w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, w drodze decyzji, administracyjne kary pieniężne na podstawie i na warunkach określonych w art. 83 rozporządzenia 2016/679.

Art. 83.1. Na podmioty publiczne, o których mowa w art. 9 pkt 1 – 12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 zł.

  1. Administracyjne kary pieniężne, o których mowa w ust. 1, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 ust. 2 lit. a-i i k rozporządzenia 2016/679.

Art. 84. Równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Art. 85.1. Środki finansowe pochodzące z kar pieniężnych stanowią dochód budżetu państwa.

  1. Karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu
  2. W razie upływu terminu, o którym mowa w ust. 2, kara pieniężna podlega ściągnięciu w trybie przepisów o postępowaniu egzekucyjnym w administracji.

Art. 86.1. Tworzy się Fundusz Ochrony Danych Osobowych, zwany dalej „Funduszem”, którego dysponentem jest Prezes Urzędu.

  1. Fundusz jest państwowym funduszem
  2. Przychodami Funduszu są środki finansowe pochodzące z 1% kar pieniężnych nakładanych przez Prezesa Urzędu. Środku z Funduszu nie mogą być podstawą osiągania przychodu przez pracowników Urzędu.
  1. Wydatki Funduszu są przeznaczane na:
  • inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania w społeczeństwie wiedzy o potrzebie ochrony danych osobowych oraz ryzyku, przepisach, zabezpieczeniach i prawach związanych z ich przetwarzaniem. Szczególną uwagę poświęca się działaniom skierowanym do dzieci;
  • inicjowanie i podejmowanie przez Prezesa Urzędu przedsięwzięć w zakresie upowszechniania wśród   administratorów   i   podmiotów   przetwarzających   wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych osobowych.

Art. 87.1. Prezes Urzędu może na wniosek podmiotu ukaranego odroczyć uiszczenie kary pieniężnej albo rozłożyć ją na raty ze względu na ważny interes wnioskodawcy.

  1. Do wniosku dołącza się
  2. W przypadku odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, których wysokość wynosi 50% stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56 § 3 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2017 r. poz. 201, z późn. zm.5))) od dnia następującego po dniu złożenia
  3. W przypadku rozłożenia na raty kary pieniężnej, odsetki, o których mowa w ust. 3, są naliczane odrębnie dla każdej raty.
  1. Odsetki są naliczane za okres od dnia upływu odroczonego terminu płatności kary pieniężnej albo terminu zapłaty poszczególnych rat.
  1. Prezes Urzędu może uchylić odroczenie uiszczenia kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w
  2. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia uiszczenia kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia, na które nie przysługuje skarga do sądu

Art. 88. Przepisów art. 189f i art.189k ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego nie stosuje się.

 

5) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 648, 768, 935, 1428 i 1537.

 

Rozdział 10

Przepisy karne

 

Art. 89.1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie.

  1. Orzekanie w sprawach o czyny określone w ust. 1 następuje w trybie przepisów ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia.

Art. 90.1. Kto bez podstawy prawnej przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

  1. Orzekanie w sprawach o czyny, o których mowa w ust.1, następuje w trybie przepisów ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. z 2016 r. poz. 1749 z późn. zm.6)).

 

Rozdział 11

Przepisy końcowe

 

Art. 91.1. Maksymalny limit wydatków z budżetu państwa przeznaczonych na wykonywanie zadań wynikających z niniejszej ustawy wynosi w roku:

1)     2018 r. –        27 214 000 zł;

2)     2019 r. –        16 298 000 zł;

3)     2020 r. –        16 509 000 zł;

4)     2021 r. –       16 285 000 zł;

5)     2022 r. –       16 515,000 zł;

6)     2023 r. –        16 285,000 zł;

7)     2024 r. –       16 516,000 zł;

8)     2025 r. –        16 285 000 zł;

9)     2026 r. –       16 515 000 zł;

10)   2027 r. –       18 015 000 zł.

 

6) Zmiany tekstu jednolitego wymienione ustawy zostały ogłoszone w Dz. U. z 2016 r. poz. 1948, 2138 i 2261 oraz z 2017 r. poz. 244, 773, 768 i 966.

  1. Prezes Urzędu Ochrony Danych Osobowych monitoruje wykorzystanie limitu wydatków, o których mowa w 1, i dokonuje oceny wykorzystania tego limitu według stanu na koniec każdego kwartału, a w przypadku IV kwartału – według stanu na dzień 20 listopada danego roku.
  2. W przypadku przekroczenia lub zagrożenia przekroczenia przyjętego na dany rok budżetowy maksymalnego limitu wydatków określonego w ust. 1 oraz w przypadku, gdy w okresie od początku roku kalendarzowego do dnia ostatniej oceny, o której mowa w ust. 2, część limitu rocznego przypadającego proporcjonalnie na ten okres zostanie przekroczona co najmniej o 10% stosuje się mechanizm korygujący polegający na zmniejszeniu wydatków budżetu państwa będących skutkiem finansowym niniejszej
  3. Organem właściwym do wdrożenia mechanizmu korygującego, o którym mowa w 3, jest Prezes Urzędu Ochrony Danych Osobowych.

Art. 92. Ustawa wchodzi w życie w terminie i na zasadach określonych w ustawie z dnia

……………….. 2017 r. – Przepisy wprowadzające ustawę o ochronie danych osobowych (Dz. U. ……. ).

Za zgodność pod względem

prawnym, legislacyjnym i redakcyjnym Katarzyna Prusak-Górniak

Dyrektor Departamentu Prawnego MC

/-podpisano elektronicznie/

Czytaj więcej