Darmowy fragment publikacji:
Nowa ustawa o ochronie
danych osobowych
Stan prawny na 25 maja 2018 r.
Jest to pierwsza na rynku publikacja zawierająca ostateczny tekst ustawy z 10 maja
2018 r. o ochronie danych osobowych wraz z uzasadnieniem rządowym. Ustawa
weszła w życie 25 maja 2018 r. i wdraża do polskiego prawa przepisy unijnego
rozporządzenia RODO.
Nowe prawo dotyczące ochrony danych osobowych ma służyć realizacji interesów
nie tylko osób fizycznych, lecz także przedsiębiorców. Ustawa z 10 maja 2018 r.
o ochronie danych osobowych zawiera najnowsze regulacje związane z koniecznością
wdrożenia w polskim prawie rozporządzenia Parlamentu Europejskiego i Rady (UE)
2016/679 – zwanego RODO. Wprowadza obowiązki związane z przetwarzaniem
danych osobowych, powołuje nowy organ właściwy w sprawie ochrony danych
osobowych, którym jest obecnie Prezes Urzędu Ochrony Danych Osobowych.
W nowej ustawie pojawiły się przepisy karne dotyczące przetwarzania zarówno
danych zwykłych, jak i danych wrażliwych. Ponadto ustawa wprowadza zmiany
w ponad 50 ważnych ustawach, m.in. w Kodeksie pracy i Ordynacji podatkowej.
Każdy artykuł ustawy jest poprzedzony hasłem w klamrach opisującym jego treść.
Po każdym rozdziale ustawy zamieszczono uzasadnienie rządowe omawiające
merytoryczne przesłanki wprowadzenia poszczególnych regulacji.
Na końcu publikacji zamieszczono indeks rzeczowy ułatwiający odnalezienie
konkretnych przepisów w nowej ustawie.
prawo
Praca zbiorowa
Nowa ustawa
o ochroNie
daNych osobowych
INFOR PL Spółka Akcyjna
ul. Okopowa 58/72
01-042 Warszawa
ISBN 978-83-8137-318-0
Cena 59 zł (w tym 5 VAT)
R E KO M E N D U J E
z uzasadnieniem
rządowym
Nowa_ustawa_odo.indd 1-3
2018-05-28 10:51:56
Nowa ustawa
o ochroNie
daNych osobowych
z uzasadnieniem
rządowym
Praca zbiorowa
Nowa ustawa
o ochroNie
daNych osobowych
z uzasadnieniem
rządowym
R E KO M E N D U J E
Grupa INFOR PL
Prezes Zarządu
Ryszard Pieńkowski
Dyrektor Centrum Wydawniczego
Marzena Nikiel
Zespół redakcyjny:
Anita Jackiewicz – redaktor prowadzący
Edyta Wojtecka – redaktor graficzny
Publikację polecają eksperci
Katarzyna Furman, Mirosława Jasińska-Nowacka (UKKLW) – korekta
© Copyright by INFOR PL S.A.
01-042 Warszawa, ul. Okopowa 58/72
01-042 Warszawa, ul. Okopowa 58/72
tel. 22 761 30 30, e-mail: bok@infor.pl
Księgarnia internetowa: www.sklep.infor.pl
Warszawa 2018
INFOR PL S.A.
www.infor.pl
Biuro Osługi Klienta
Infolinia: 0 801 626 666
Druk: MCP
Profesjonalne księgarnie stacjonarne w kraju oraz księgarnie internetowe
Publikacja jest chroniona przepisami prawa autorskiego. Wykonywanie kserokopii bądź
powielanie inną metodą oraz rozpowszechnianie bez zgody Wydawcy w całości lub części
jest zabronione i podlega odpowiedzialności karnej.
ISBN: 978-83-8137-319-7
Spis treści
USTAWA z dnia 10 maja 2018 r. o ochronie danych osobowych ......................7
Rozdział 1
Przepisy ogólne [art. 1–7] ...........................................................9
Treść uzasadnienia rządowego dotycząca rozdziału 1 ustawy .......................12
Rozdział 2
Wyznaczanie inspektora ochrony danych [art. 8–11] ...............................21
Treść uzasadnienia rządowego dotycząca rozdziału 2 ustawy .......................22
Rozdział 3
Warunki i tryb udzielania akredytacji podmiotowi certyfikującemu [art. 12–14] ....25
Treść uzasadnienia rządowego dotycząca rozdziału 3 ustawy .......................26
Rozdział 4
Warunki i tryb dokonywania certyfikacji [art. 15–26] ..............................27
Treść uzasadnienia rządowego dotycząca rozdziału 4 ustawy .......................31
Rozdział 5
Opracowywanie i zatwierdzanie kodeksu postępowania oraz warunki
i tryb akredytacji podmiotu monitorującego jego przestrzeganie [art. 27–33] .......33
Treść uzasadnienia rządowego dotycząca rozdziału 5 ustawy .......................35
Rozdział 6
Prezes Urzędu [art. 34–59] ........................................................37
Treść uzasadnienia rządowego dotycząca rozdziału 6 ustawy .......................47
Rozdział 7
Postępowanie w sprawie naruszenia przepisów o ochronie danych
osobowych [art. 60–74] ...........................................................53
Treść uzasadnienia rządowego dotycząca rozdziału 7 ustawy .......................57
Rozdział 8
Europejska współpraca administracyjna [art. 75–77] ..............................69
Treść uzasadnienia rządowego dotycząca rozdziału 8 ustawy .......................70
5
Spis treści
Rozdział 9
Kontrola przestrzegania przepisów o ochronie danych osobowych [art. 78–91] .....71
Treść uzasadnienia rządowego dotycząca rozdziału 9 ustawy .......................77
Rozdział 10
Odpowiedzialność cywilna i postępowanie przed sądem [art. 92–100] .............78
Treść uzasadnienia rządowego dotycząca rozdziału 10 ustawy .....................80
Rozdział 11
Przepisy o administracyjnych karach pieniężnych i przepisy karne [art. 101–108] ...82
Treść uzasadnienia rządowego dotycząca rozdziału 11 ustawy .....................85
Rozdział 12
Zmiany w przepisach [art. 109–157] ...............................................90
Treść uzasadnienia rządowego dotycząca rozdziału 12 ustawy ....................106
Rozdział 13
Przepisy przejściowe i dostosowujące [art. 158–174] .............................107
Treść uzasadnienia rządowego dotycząca rozdziału 13 ustawy ....................111
Rozdział 14
Przepisy końcowe [art. 175–176] .................................................113
Treść uzasadnienia rządowego dotycząca rozdziału 14 ustawy ....................113
Indeks rzeczowy ..................................................................115
6
USTAWA
z dnia 10 maja 2018 r.
o ochronie danych osobowych1), 2), 3)
(Dz.U. z 2018 r. poz. 1000)
1)
2)
3)
Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych).
Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady
(UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwa-
rzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadze-
nia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar,
w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/
WSiSW.
Niniejszą ustawą zmienia się ustawy: ustawę z dnia 17 listopada 1964 r. – Kodeks postępowania cywil-
nego, ustawę z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, ustawę z dnia
26 czerwca 1974 r. – Kodeks pracy, ustawę z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących
kierownicze stanowiska państwowe, ustawę z dnia 16 września 1982 r. o pracownikach urzędów pań-
stwowych, ustawę z dnia 8 marca 1990 r. o samorządzie gminnym, ustawę z dnia 23 grudnia 1994 r.
o Najwyższej Izbie Kontroli, ustawę z dnia 29 czerwca 1995 r. o statystyce publicznej, ustawę z dnia
10 kwietnia 1997 r. – Prawo energetyczne, ustawę z dnia 21 sierpnia 1997 r. o gospodarce nierucho-
mościami, ustawę z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu
osób niepełnosprawnych, ustawę z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa, ustawę z dnia
29 sierpnia 1997 r. – Prawo bankowe, ustawę z dnia 5 czerwca 1998 r. o samorządzie województwa,
ustawę z dnia 5 czerwca 1998 r. o samorządzie powiatowym, ustawę z dnia 18 grudnia 1998 r. o Insty-
tucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu, ustawę z dnia
9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości, ustawę z dnia 8 czerw-
ca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów, ustawę z dnia 27 lipca
2001 r. – Prawo o ustroju sądów powszechnych, ustawę z dnia 28 listopada 2003 r. o świadczeniach
7
rodzinnych, ustawę z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywny-
mi funduszami inwestycyjnymi, ustawę z dnia 17 grudnia 2004 r. o odpowiedzialności za narusze-
nie dyscypliny finansów publicznych, ustawę z dnia 17 lutego 2005 r. o informatyzacji działalności
podmiotów realizujących zadania publiczne, ustawę z dnia 27 lipca 2005 r. – Prawo o szkolnictwie
wyższym, ustawę z dnia 18 października 2006 r. o ujawnianiu informacji o dokumentach organów
bezpieczeństwa państwa z lat 1944–1990 oraz treści tych dokumentów, ustawę z dnia 7 września
2007 r. o pomocy osobom uprawnionym do alimentów, ustawę z dnia 27 sierpnia 2009 r. o finansach
publicznych, ustawę z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredyto-
wych, ustawę z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych
gospodarczych, ustawę z dnia 9 kwietnia 2010 r. o Służbie Więziennej, ustawę z dnia 5 sierpnia 2010 r.
o ochronie informacji niejawnych, ustawę z dnia 5 stycznia 2011 r. – Kodeks wyborczy, ustawę z dnia
15 lipca 2011 r. o zawodach pielęgniarki i położnej, ustawę z dnia 19 sierpnia 2011 r. o usługach płat-
niczych, ustawę z dnia 14 grudnia 2012 r. o odpadach, ustawę z dnia 20 lutego 2015 r. o odnawialnych
źródłach energii, ustawę z dnia 24 lipca 2015 r. – Prawo o zgromadzeniach, ustawę z dnia 11 września
2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, ustawę z dnia 25 września 2015 r. o za-
wodzie fizjoterapeuty, ustawę z dnia 9 października 2015 r. o produktach biobójczych, ustawę z dnia
28 stycznia 2016 r. – Prawo o prokuraturze, ustawę z dnia 11 lutego 2016 r. o pomocy państwa w wy-
chowywaniu dzieci, ustawę z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora
publicznego, ustawę z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów
wybuchowych, ustawę z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej, ustawę z dnia
14 grudnia 2016 r. – Prawo oświatowe, ustawę z dnia 16 grudnia 2016 r. o zasadach zarządzania mie-
niem państwowym, ustawę z dnia 9 marca 2017 r. o systemie monitorowania drogowego przewozu
towarów i ustawę z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej oraz uchyla się
ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
8
Rozdział 1
Przepisy ogólne
Art. 1. [Zakres regulacji]*
1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem da-
nych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swo-
bodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 04.05.2016, str. 1), zwane-
go dalej „rozporządzeniem 2016/679”.
2. Ustawa określa:
1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych
oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie
ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji,
zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego kodeks
postępowania oraz certyfikacji;
3) tryb zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych;
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) tryb europejskiej współpracy administracyjnej;
7) kontrolę przestrzegania przepisów o ochronie danych osobowych;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobo-
wych i postępowanie przed sądem;
9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepi-
sów o ochronie danych osobowych.
* Hasła w klamrach pochodzą od redakcji
9
Rozdział 1. Przepisy ogólne
Art. 2. [Stosowanie Prawa prasowego]
4)
10
Art. 3. [Informacje, o których mowa w art. 13 ust.
3 rozporządzenia RODO]
1. Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub
publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia
1984 r. − Prawo prasowe (Dz.U. poz. 24, z późn. zm.4)), a także do wypowiedzi w ra-
mach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5–9,
art. 11, art. 13–16, art. 18–22, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia
2016/679.
2. Do wypowiedzi akademickiej nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4,
art. 18, art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679.
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których
mowa w art. 13 ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania
służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa
w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o któ-
rych mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego,
a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są
nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania pu-
blicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie
środki służące ochronie interesu lub podstawowych praw i wolności osoby, której
dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej
wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia
otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa
w art. 13 ust. 3 rozporządzenia 2016/679.
1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 admini-
strator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa
Zmiany wymienionej ustawy zostały ogłoszone w Dz.U. z 1988 r. poz. 324, z 1989 r. poz. 187, z 1990 r.
poz. 173, z 1991 r. poz. 442, z 1996 r. poz. 542, z 1997 r. poz. 554 i 770, z 1999 r. poz. 999, z 2001 r.
poz. 1198, z 2002 r. poz. 1271, z 2004 r. poz. 1181, z 2005 r. poz. 377, z 2007 r. poz. 590, z 2010 r. poz.
1228 i 1551, z 2011 r. poz. 459, 934, 1204 i 1660, z 2012 r. poz. 1136, z 2013 r. poz. 771 oraz z 2017 r.
poz. 2173.
Art. 4. [Informacje, o których mowa w art. 14
ust. 1, 2 i 4 rozporządzenia RODO]
Rozdział 1. Przepisy ogólne
Art. 5. [Informacje, o których mowa w art. 15
ust. 1–3 rozporządzenia RODO]
w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania pu-
blicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozpo-
rządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23
ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego,
a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są
nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania pu-
blicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie
środki służące ochronie interesu lub podstawowych praw i wolności osoby, której
dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej
wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia
otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa
w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o któ-
rych mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, jeżeli służy to realiza-
cji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15
ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których
mowa w art. 23 ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego,
a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są
nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania pu-
blicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3
rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego
z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne
wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wy-
szukanie tych danych. Przepis art. 64 ustawy z dnia 14 czerwca 1960 r. – Kodeks
postępowania administracyjnego (Dz.U. z 2017 r. poz. 1257 oraz z 2018 r. poz. 149
i 650) stosuje się odpowiednio.
3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowied-
nie środki służące ochronie interesu lub podstawowych praw i wolności osoby, któ-
rej dane dotyczą.
11
Rozdział 1. Przepisy ogólne
Art. 6. [Wyłączenie stosowania ustawy
oraz rozporządzenia RODO]
4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej
wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia
otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa
w art. 15 ust. 1–3 rozporządzenia 2016/679.
Ustawy oraz rozporządzenia 2016/679 nie stosuje się do:
1) przetwarzania danych osobowych przez jednostki sektora finansów publicz-
nych, o których mowa w art. 9 pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r.
o finansach publicznych (Dz.U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62 i 1000),
w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mają-
cych na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szcze-
gólne przewidują niezbędne środki ochrony praw i wolności osoby, której dane
dotyczą;
2) działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja
2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz.U.
z 2017 r. poz. 1920 i 2405 oraz z 2018 r. poz. 138, 650, 723 i 730).
1. W sprawach nieuregulowanych w ustawie do postępowań administracyjnych
przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej „Prezesem
Urzędu”, o których mowa w rozdziałach 4–7 i 11, stosuje się ustawę z dnia 14 czerw-
ca 1960 r. – Kodeks postępowania administracyjnego.
2. Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym.
3. Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które
zgodnie z ustawą z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyj-
nego służy zażalenie, przepisów o zażaleniu nie stosuje się.
4. Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administra-
cyjnego.
Opracowanie projektu nowej ustawy o ochronie danych osobowych wynika z koniecz-
ności zapewnienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE)
2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
Treść uzasadnienia rządowego dotycząca rozdziału 1
ustawy
Art. 7. [Stosowanie przepisów Kodeksu
postępowania administracyjnego]
12
Pobierz darmowy fragment (pdf)