Ustawa o zbiorowym zarządzaniu prawami autorskimi i prawami pokrewnymi

1. W celu realizacji zadań określonych w rozdziałach 2 i 10–12 minister przetwarza dane osobowe w zakresie i celu niezbędnym do realizacji tych zadań.
2. W celu wykonywania czynności zbiorowego zarządzania prawami autorskimi lub prawami pokrewnymi zgodnie z niniejszą ustawą oraz prowadzenia działalności o charakterze socjalnym, kulturalnym lub edukacyjnym organizacje zbiorowego zarządzania przetwarzają dane osobowe uprawnionych i użytkowników, w zakresie i celu niezbędnym do realizacji tych zadań.
3. W celu dokonania podziału i wypłaty przychodów z praw, organizacje zbiorowego zarządzania przetwarzają następujące dane osobowe uprawnionego: imię (imiona), nazwisko, nazwisko rodowe, pseudonim, imiona rodziców, datę i miejsce urodzenia, obywatelstwo, numer ewidencyjny PESEL, serię i numer dowodu osobistego, dane kontaktowe, w szczególności adres zameldowania, adres zamieszkania wykazywany w deklaracji podatkowej, adres poczty elektronicznej oraz numer telefonu, numer rachunku bankowego, kod SWIFT/BIC w przypadku zagranicznego numeru rachunku bankowego, NIP oraz tytuł utworu i udział procentowy w utworze, w szczególności mogą one ujawniać dane osobowe uprawnionych innym organizacjom zbiorowego zarządzania, zagranicznym organizacjom zbiorowego zarządzania oraz organizacjom międzynarodowym zajmującym się ochroną praw i interesów uprawnionych.
4. W celu zawarcia i wykonania umowy o korzystanie z utworów lub przedmiotów praw pokrewnych lub pobór wynagrodzenia za takie korzystanie, organizacje zbiorowego zarządzania przetwarzają następujące dane osobowe użytkowników:
1) imię (imiona), nazwisko, firmę, numer ewidencyjny PESEL oraz NIP;
2) dane kontaktowe, w szczególności adres poczty elektronicznej i numer telefonu.
5. W celu realizacji obowiązków, o których mowa w rozdziałach 5 i 6, użytkownik przetwarza następujące dane osobowe uprawnionych oraz innych użytkowników: imię (imiona), nazwisko, nazwisko rodowe, pseudonim, dane kontaktowe, w szczególności adres zameldowania, adres zamieszkania wykazywany w deklaracji podatkowej, adres poczty elektronicznej oraz numer telefonu. Użytkownicy przetwarzają dane osobowe w zakresie i celu niezbędnym do realizacji tych zadań.
6. W celu, o którym mowa w art. 48 uprawnienia organizacji zbiorowego zarządzania do uzyskiwania informacji i dokumentów, dane osobowe, o których mowa w ust. 4, przetwarzają:
1) organizacje zbiorowego zarządzania;
2) podmioty udzielające informacji lub udostępniające dokumenty, o których mowa w art. 48 uprawnienia organizacji zbiorowego zarządzania do uzyskiwania informacji i dokumentów.

1. W związku z przetwarzaniem danych osobowych, o których mowa w art. 120 przetwarzanie danych osobowych ust. 1, ogranicza się stosowanie przepisów art. 12 przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą i art. 15 prawo dostępu przysługujące osobie, której dane dotyczą rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), w ten sposób, że prawa osoby, której dane dotyczą, określone w tych przepisach realizowane są bezpłatnie raz na 6 miesięcy. W pozostałych przypadkach administrator ma prawo pobrać opłatę w wysokości odpowiadającej kosztom sporządzenia odpowiedzi lub kopii danych.
2. Do przetwarzania danych osobowych, o których mowa w art. 120 przetwarzanie danych osobowych ust. 1, przepisu art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą rozporządzenia, o którym mowa w ust. 1, nie stosuje się w zakresie, w jakim dane te są niezbędne do zapewnienia prawidłowej realizacji zadań określonych w rozdziałach 2 i 10–12.
3. Przepisu art. 34 zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych rozporządzenia, o którym mowa w ust. 1, nie stosuje się, jeśli administrator w terminie 72 godzin od stwierdzenia naruszenia ochrony danych osobowych wyda komunikat o naruszeniu i ogłosi go w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra.
4. Administrator ogłasza ograniczenia, o których mowa w ust. 1 i 2, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego ministra.
5. Dane osobowe, o których mowa w art. 120 przetwarzanie danych osobowych, podlegają zabezpieczeniom zapobiegającym przetwarzaniu ich niezgodnie z przepisami prawa oraz nadużyciom przy ich przetwarzaniu i są przechowywane wyłącznie przez okres niezbędny do realizacji albo wykonania:
1) zadań, o których mowa w rozdziałach 2 i 10–12, przez ministra;
2) czynności, o których mowa w art. 120 przetwarzanie danych osobowych ust. 2–4, przez organizację zbiorowego zarządzania;
3) obowiązków, o których mowa w rozdziałach 5 i 6, przez użytkownika;
4) celu, o którym mowa w art. 48 uprawnienia organizacji zbiorowego zarządzania do uzyskiwania informacji i dokumentów, przez organizacje zbiorowego zarządzania i podmioty udzielające informacji lub udostępniające dokumenty, o których mowa w art. 48 uprawnienia organizacji zbiorowego zarządzania do uzyskiwania informacji i dokumentów.
6. Zabezpieczenia, o których mowa w ust. 5, polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie nadane przez administratora;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.