1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 materialny zakres stosowania i art. 3 terytorialny zakres stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.
2. Ustawa określa:
1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego kodeks postępowania oraz certyfikacji;
3) tryb zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych;
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) tryb europejskiej współpracy administracyjnej;
7) kontrolę przestrzegania przepisów o ochronie danych osobowych;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
1. Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U. z 2018 r. poz. 1914), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art 5–9, art. 11 przetwarzanie niewymagające identyfikacji, art 13–16, art 18–22, art. 27 przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii, art. 28 podmiot przetwarzający ust. 2–10 oraz art. 30 rejestrowanie czynności przetwarzania rozporządzenia 2016/679.
2. Do wypowiedzi akademickiej nie stosuje się przepisów art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 3 i 4, art. 18 prawo do ograniczenia przetwarzania danych, art. 27 przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii, art. 28 podmiot przetwarzający ust. 2–10 oraz art. 30 rejestrowanie czynności przetwarzania rozporządzenia 2016/679.
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ograniczenia ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą ust. 3 rozporządzenia 2016/679.
1. W zakresie nieuregulowanym w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 wykaz podmiotów, którym udzielono certyfikacji lub cofnięto certyfikację ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 1, 2 i 4 rozporządzenia 2016/679.
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ograniczenia ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1 i 3 rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 braki formalne podania ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133) stosuje się odpowiednio.
3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679.
1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:
1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;
2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:
a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,
b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,
c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,
d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,
e) prowadzenie kontroli, w tym kontroli celno-skarbowych.
2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 prawo dostępu przysługujące osobie, której dane dotyczą rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.
Ustawy oraz rozporządzenia 2016/679 nie stosuje się do:
1) przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 podmioty wchodzące w skład sektora finansów publicznych pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 i 1622), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą;
2) działalności służb specjalnych w rozumieniu art. 11 Kolegium do Spraw Służb Specjalnych ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2018 r. poz. 2387, 2245 i 2399 oraz z 2019 r. poz. 53, 125 i 1091).
1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art 4–7, art. 11 przetwarzanie niewymagające identyfikacji, art. 12 przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą, art. 16 prawo do sprostowania danych, art. 17 prawo do usunięcia danych („prawo do bycia zapomnianym”), art. 24 obowiązki administratora ust. 1 i 2, art. 25 uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych ust. 1 i 2, art 28–30, art. 32 bezpieczeństwo przetwarzania, art. 34 zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, art. 35 ocena skutków dla ochrony danych, art 37–39 i art. 86 przetwarzanie a publiczny dostęp do dokumentów urzędowych rozporządzenia 2016/679 oraz przepisy art. 6 wyłączenie stosowania przepisów ustawy i rozporządzenia i art. 11 udostępnianie danych inspektora ochrony danych ustawy.
2. Przetwarzanie danych, o których mowa w art. 9 przetwarzanie szczególnych kategorii danych osobowych i art. 10 przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.
1. W sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej „Prezesem Urzędu”, o których mowa w rozdziałach 4–7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
2. Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym.
3. Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się.
4. Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administracyjnego.
