Akt prawny
obowiązujący
Wersja aktualna od 2001-10-03
Wersja aktualna od 2001-10-03
obowiązujący
USTAWA
z dnia 25 sierpnia 2001 r.
o zmianie ustawy o ochronie danych osobowych
Art. 1. [Ustawa o ochronie danych osobowych] W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z 2000 r. Nr 12, poz. 136, Nr 50, poz. 580 i Nr 116, poz. 1216 oraz z 2001 r. Nr 42, poz. 474 i Nr 49, poz. 509) wprowadza się następujące zmiany:
1) art. 6 otrzymuje brzmienie:
„Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”
2) w art. 7 po pkt 2 dodaje się pkt 2a i 2b w brzmieniu:
„2a) systemie informatycznym — rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
2b) zabezpieczeniu danych w systemie informatycznym — rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,”
3) w art. 14 w pkt 1 skreśla się wyraz „zarejestrowany”
4) w art. 15 dotychczasową treść oznacza się jako ust. 1 oraz dodaje się ust. 2 w brzmieniu:
„2. W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.”
5) w art. 18 po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.”
6) w art. 23:
a) w ust. 1:
— pkt 3 otrzymuje brzmienie:
„3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy,”
— pkt 5 otrzymuje brzmienie:
„5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane — a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.”,
b) po ust. 3 dodaje się ust. 4 w brzmieniu:
„4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.”
7) w art. 24 ust. 2 otrzymuje brzmienie:
„2. Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.”
8) w art. 25 w ust. 2 w pkt 4 na końcu kropkę zastępuje się przecinkiem i dodaje się pkt 5 i 6 w brzmieniu:
„5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1, na podstawie przepisów prawa,
6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.”
9) po art. 26 dodaje się art. 26a w brzmieniu:
„Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.
2. Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą.”
10) w art. 27:
a) w ust. 1 po wyrazach „życiu seksualnym” dodaje się wyrazy „oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”,
b) w ust. 2 w pkt 8 na końcu kropkę zastępuje się przecinkiem i dodaje pkt 9 i 10 w brzmieniu:
„9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.”
11) w art. 28 skreśla się ust. 1;
12) w art. 32:
a) w ust. 1 w pkt 8 na końcu kropkę zastępuje się przecinkiem i dodaje się pkt 9 w brzmieniu:
„9) wniesienia do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej z naruszeniem art. 26a ust. 1.”,
b) w ust. 2 wyraz „podejmuje” zastępuje się wyrazem „wydaje”,
c) w ust. 3 dodaje się zdanie drugie w brzmieniu:
„Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.”,
d) po ust. 3 dodaje się ust. 3a w brzmieniu:
„3a. W razie wniesienia żądania, o którym mowa w art. 32 ust. 1 pkt 9, administrator danych bez zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję.”
13) w art. 35 po ust. 2 dodaje się ust. 3 w brzmieniu:
„3. Administrator danych jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.”
14) w art. 36 po wyrazach „zabraniem przez osobę nieuprawnioną,” dodaje się wyrazy „przetwarzaniem z naruszeniem ustawy, zmianą, utratą,”
15) w art. 41 w ust. 1:
a) po pkt 4 dodaje się pkt 4a w brzmieniu:
„4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,”
b) w pkt 6 na końcu kropkę zastępuje się przecinkiem i dodaje się pkt 7 w brzmieniu:
„7) informację dotyczącą ewentualnego przekazywania danych za granicę.”
16) w art. 43:
a) w ust. 1 po pkt 1 dodaje się pkt 1a w brzmieniu:
„1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,”
b) w ust. 2 po wyrazach „o których mowa w ust. 1 pkt 1 i 3,” dodaje się wyrazy „oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez służby ochrony państwa w rozumieniu ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462 oraz z 2001 r. Nr 22, poz. 247, Nr 27, poz. 298 i Nr 56, poz. 580),”.
Art. 2. [Zgłoszenie zbioru danych do rejestracji] Obowiązek wynikający z art. 41 ust. 2 ustawy, o której mowa w art. 1, w odniesieniu do informacji wymienionych w art. 41 ust. 1 tej ustawy, zawartych w zbiorach zgłoszonych do rejestracji przed dniem wejścia w życie ustawy, należy wykonać w ciągu 6 miesięcy od dnia wejścia ustawy w życie.
Art. 3. [Wejście w życie] [1] Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
Prezydent Rzeczypospolitej Polskiej: A. Kwaśniewski
[1] Ustawa wchodzi w życie 3 października 2001 r.