USTAWA
z dnia 21 lutego 2019 r.
o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)1), 2)
Art. 1. [Kodeks postępowania administracyjnego] W ustawie z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60) wprowadza się następujące zmiany:
1) po art. 2 dodaje się art. 2a w brzmieniu:
„Art. 2a. § 1. Kodeks postępowania administracyjnego normuje również sposób wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.3)), zwanego dalej „rozporządzeniem 2016/679”, w postępowaniach wymienionych w art. 1 i art. 2.
§ 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie wpływa na tok i wynik postępowania.
§ 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik postępowania.”;
2) w art. 54 po § 1 dodaje się § 1a w brzmieniu:
„§ 1a. W wezwaniu zawiera się również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
3) w art. 61 dodaje się § 5 w brzmieniu:
„§ 5. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
4) w art. 61a w § 1 dodaje się zdanie drugie w brzmieniu:
„Przepis art. 61 § 5 stosuje się odpowiednio.”;
5) w art. 65 po § 1 dodaje się § 1a w brzmieniu:
„§ 1a. Zawiadomienie o przekazaniu sprawy zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
6) w art. 66 w § 1 dodaje się zdanie trzecie w brzmieniu:
„Do zawiadomienia stosuje się odpowiednio przepis art. 65 § 1a.”;
7) w art. 73 po § 1a dodaje się § 1b w brzmieniu:
„§ 1b. Wgląd w akta sprawy w przypadku, o którym mowa w art. 236 § 2, następuje z pominięciem danych osobowych osoby składającej skargę.”;
8) po art. 74 dodaje się art. 74a w brzmieniu:
„Art. 74a. Przepis art. 73 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.”;
9) po art. 122g dodaje się art. 122h w brzmieniu:
„Art. 122h. § 1. W sprawach załatwianych milcząco organ administracji publicznej udostępnia informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.
§ 2. Przekazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w sposób określony w § 1, nie zwalnia organu administracji publicznej z obowiązku ich przekazania przy pierwszej czynności skierowanej do strony.”;
10) po art. 217 dodaje się art. 217a w brzmieniu:
„Art. 217a. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
11) po art. 226 dodaje się art. 226a w brzmieniu:
„Art. 226a. Organy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób.”;
12) w art. 231 dotychczasową treść oznacza się jako § 1 i dodaje się § 2 w brzmieniu:
„§ 2. Informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący skargę, dołącza się do zawiadomienia o przekazaniu skargi.”;
13) w art. 236 dotychczasową treść oznacza się jako § 1 i dodaje się § 2 i 3 w brzmieniu:
„§ 2. W przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi, o której mowa w art. 233 zdanie drugie, art. 234 pkt 2 lub art. 235, w stosunku do strony i uczestnika postępowania przepisu art. 15 ust. 1 lit. g rozporządzenia 2016/679 nie stosuje się.
§ 3. Na każdym etapie postępowania, o którym mowa w § 2, skarżący może zezwolić organowi na udostępnienie swoich danych stronie postępowania.”.
Art. 2. [Ustawa o izbach morskich] W ustawie z dnia 1 grudnia 1961 r. o izbach morskich (Dz. U. z 2016 r. poz. 1207) w dziale I dodaje się rozdział III w brzmieniu:
„Rozdział III
Przetwarzanie danych osobowych przez izby morskie
Art. 19a. Izby morskie przekazują informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.4)), zwanego dalej „rozporządzeniem 2016/679”, przy pierwszej czynności skierowanej do osoby, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.
Art. 19b. 1. Nadzór nad przetwarzaniem danych osobowych w postępowaniach przed izbami morskimi sprawują:
1) w zakresie działalności Izby Morskiej w Gdańsku i Izby Morskiej w Szczecinie – Przewodniczący Odwoławczej Izby Morskiej;
2) w zakresie działalności Odwoławczej Izby Morskiej – Prezes Sądu Okręgowego w Gdańsku.
2. W ramach nadzoru, o którym mowa w ust. 1, właściwe organy:
1) rozpatrują skargi związane z przetwarzaniem danych osobowych;
2) podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów danych i podmiotów przetwarzających wiedzy o obowiązkach wynikających z rozporządzenia 2016/679;
3) współpracują z innymi organami sprawującymi nadzór nad przetwarzaniem danych osobowych w ramach postępowań prowadzonych przez sądy i trybunały oraz z organami nadzorczymi w rozumieniu art. 51 ust. 1 rozporządzenia 2016/679, w tym dzielą się informacjami oraz świadczą wzajemną pomoc, w celu zapewnienia spójnego stosowania rozporządzenia 2016/679.
3. Organy, o których mowa w ust. 1, są uprawnione do:
1) nakazywania administratorowi danych lub podmiotowi przetwarzającemu albo ich przedstawicielom dostarczenia wszelkich informacji potrzebnych do realizacji zadań tych organów;
2) zawiadamiania administratora danych lub podmiotu przetwarzającego o podejrzeniu naruszenia przepisów rozporządzenia 2016/679;
3) uzyskiwania od administratora danych lub podmiotu przetwarzającego dostępu do danych osobowych i informacji niezbędnych do realizacji zadań organu nadzorczego;
4) uzyskiwania dostępu do pomieszczeń administratora danych lub podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych;
5) wydawania ostrzeżeń administratorowi danych lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów rozporządzenia 2016/679;
6) udzielania upomnień administratorowi danych lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679;
7) wzywania administratora danych lub podmiotu przetwarzającego do dostosowania przetwarzania danych do przepisów rozporządzenia 2016/679.
4. Do przyjmowania i rozpatrywania skarg związanych z przetwarzaniem danych osobowych przez izby morskie stosuje się odpowiednio przepisy działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych.”.
Art. 3. [Ustawa o postępowaniu egzekucyjnym w administracji] W ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2018 r. poz. 1314, z późn. zm.5)) po art. 5 dodaje się art. 5a w brzmieniu:
„Art. 5a. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów;
6) zapewnieniu integralności danych w systemach informatycznych organów;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.”.
Art. 4. [Kodeks pracy] W ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.6)) wprowadza się następujące zmiany:
1) art. 221 otrzymuje brzmienie:
„Art. 221. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
§ 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.”;
2) po art. 221 dodaje się art. 221a i art. 221b w brzmieniu:
„Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.7)), zwanego dalej „rozporządzeniem 2016/679”.
§ 2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
§ 3. Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.
Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 221a § 2 stosuje się odpowiednio.
§ 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.”;
3) w art. 222:
a) po § 1 dodaje się § 11 w brzmieniu:
„§ 11. Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej.”,
b) § 2 otrzymuje brzmienie:
„§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa – uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.”,
c) § 10 otrzymuje brzmienie:
„§ 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia 2016/679.”;
4) w art. 229:
a) w § 11 pkt 2 otrzymuje brzmienie:
„2) przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych.”,
b) po § 12 dodaje się § 13 w brzmieniu:
„§ 13. Pracodawca żąda od osoby, o której mowa w § 11 pkt 2 oraz w § 12, aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na danym stanowisku oraz skierowania na badania będące podstawą wydania tego orzeczenia.”,
c) § 7 otrzymuje brzmienie:
„§ 7. Pracodawca przechowuje orzeczenia wydane na podstawie badań lekarskich, o których mowa w § 1, 2 i 5, orzeczenia i skierowania uzyskane na podstawie § 13 oraz skierowania, o których mowa w § 4a.”,
d) po § 7 dodaje się § 71 w brzmieniu:
„§ 71. W przypadku stwierdzenia, że warunki określone w skierowaniu, o którym mowa w § 13, nie odpowiadają warunkom występującym na danym stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania.”.
Art. 5. [Karta Nauczyciela] W ustawie z dnia 26 stycznia 1982 r. – Karta Nauczyciela (Dz. U. z 2018 r. poz. 967 i 2245) w art. 85w ust. 4 otrzymuje brzmienie:
„4. Administratorem danych zgromadzonych w rejestrze jest minister właściwy do spraw oświaty i wychowania.”.
Art. 6. [Prawo o adwokaturze] W ustawie z dnia 26 maja 1982 r. – Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184, 1467, 1669 i 2193) po dziale I dodaje się dział Ia w brzmieniu:
„Dział Ia
Przetwarzanie danych osobowych
Art. 16a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.8)) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez adwokata tajemnicy, o której mowa w art. 6.
2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez adwokata w związku z udzielaniem pomocy prawnej nie stosuje się.
Art. 16b. Obowiązek zachowania tajemnicy, o której mowa w art. 6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez adwokata w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych.
Art. 16c. 1. Okres przechowywania danych osobowych wynosi:
1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych przez organy adwokatury oraz organy izb adwokackich w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz danych osobowych przetwarzanych w ramach nadzoru nad adwokaturą;
2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych:
a) w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań:
– administracyjnych,
– w zakresie skarg i wniosków,
– innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu adwokackiego dotyczących adwokatów, aplikantów adwokackich lub osób ubiegających się o wpis na listę adwokatów lub listę aplikantów adwokackich, a także osób przystępujących do egzaminu wstępnego na aplikację adwokacką i egzaminu adwokackiego,
b) w ramach nadzoru nad postępowaniami, o których mowa w lit. a,
c) przez adwokatów w ramach wykonywania zawodu;
3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań dyscyplinarnych wobec adwokatów i aplikantów adwokackich oraz podczas wykonywania kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach adwokatów i aplikantów adwokackich.
2. Po upływie okresów, o których mowa w ust. 1, w przypadku danych osobowych przetwarzanych przez adwokatów w ramach wykonywania zawodu, dane osobowe ulegają usunięciu.”.
Art. 7. [Ustawa o radcach prawnych] W ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2018 r. poz. 2115 i 2193) po rozdziale 1 dodaje się rozdział 1a w brzmieniu:
„Rozdział 1a
Przetwarzanie danych osobowych
Art. 5a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.9)) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez radcę prawnego tajemnicy, o której mowa w art. 3.
2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej nie stosuje się.
Art. 5b. Obowiązek zachowania tajemnicy, o której mowa w art. 3 ust. 4–6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych.
Art. 5c. 1. Okres przechowywania danych osobowych wynosi:
1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych przez organy samorządu radców prawnych w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz danych osobowych przetwarzanych w ramach nadzoru nad działalnością samorządu radców prawnych;
2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych:
a) w toku prowadzonych przez organy samorządu radców prawnych postępowań:
– administracyjnych,
– w zakresie skarg i wniosków,
– innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radców prawnych dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego,
b) w ramach nadzoru nad tymi postępowaniami, o których mowa w lit. a,
c) przez radców prawnych w ramach wykonywania zawodu;
3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy samorządu radców prawnych postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich oraz podczas wykonywania przewidzianych przez ustawę kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach radców prawnych i aplikantów radcowskich.
2. Po upływie okresów, o których mowa w ust. 1, w przypadku danych osobowych przetwarzanych przez radców prawnych w ramach wykonywania zawodu, dane osobowe ulegają usunięciu.”.
Art. 8. [Ustawa o księgach wieczystych i hipotece] W ustawie z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece (Dz. U. z 2018 r. poz. 1916 i 2354) wprowadza się następujące zmiany:
1) w art. 25 dodaje się ust. 4 w brzmieniu:
„4. Wpis dotyczący osoby fizycznej uprawnionej według treści prawa lub roszczenia, lub osoby fizycznej, której roszczenie zostało zabezpieczone przez wpis ostrzeżenia, obejmuje jej imię (imiona) i nazwisko (nazwiska), numer PESEL, chyba że odrębne przepisy nie przewidują nadawania tego numeru, oraz imię ojca i imię matki.”;
2) w art. 682 po ust. 5 dodaje się ust. 51 w brzmieniu:
„51. W przypadku gdy administratorem hipoteki jest osoba fizyczna, w księdze wieczystej wpisuje się jej imię (imiona) i nazwisko (nazwiska), numer PESEL, chyba że odrębne przepisy nie przewidują nadawania tego numeru, oraz imię ojca i imię matki.”.
Art. 9. [Prawo spółdzielcze] W ustawie z dnia 16 września 1982 r. – Prawo spółdzielcze (Dz. U. z 2018 r. poz. 1285) po art. 93a dodaje się art. 93b i art. 93c w brzmieniu:
„Art. 93b. 1. W związku z przetwarzaniem przez ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa danych osobowych uzyskanych w toku prowadzenia postępowań na podstawie art. 93a prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.10)), przysługuje w zakresie, w jakim nie wpływa ono na ochronę praw i wolności osoby, od której dane pozyskano.
2. Minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa informuje o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
3. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa przechowuje dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
Art. 93c. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na przebieg i wynik postępowań, o których mowa w art. 93a.”.
Art. 10. [Ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi] W ustawie z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (Dz. U. z 2018 r. poz. 2137 i 2244) wprowadza się następujące zmiany:
1) po art. 25a dodaje się art. 25b w brzmieniu:
„Art. 25b. Wójt (burmistrz, prezydent miasta) jest administratorem danych, o których mowa w art. 25a ust. 1 i 2, przetwarzanych przez powołaną przez niego gminną komisję rozwiązywania problemów alkoholowych.”;
2) w art. 42 ust. 14 otrzymuje brzmienie:
„14. Dane utrwalone za pomocą urządzeń monitorujących są przetwarzane wyłącznie przez osoby posiadające pisemne upoważnienie wydane przez administratora danych w celu realizacji zadań określonych w ustawie. Osoby te są zobowiązane do zachowania tych danych w poufności.”.
Art. 11. [Ustawa o narodowym zasobie archiwalnym i archiwach] W ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553) wprowadza się następujące zmiany:
1) w art. 16d po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Zgłoszenie, o którym mowa w ust. 2 pkt 1, zawiera następujące dane zainteresowanego lub jego upoważnionego przedstawiciela:
1) imię i nazwisko;
2) adres zamieszkania;
3) adres korespondencyjny;
4) numer telefonu lub adres poczty elektronicznej, jeżeli zostały podane do wykorzystania;
5) rodzaj i numer dokumentu potwierdzającego tożsamość;
6) podpis własnoręczny, kwalifikowany podpis elektroniczny, podpis zaufany lub podpis osobisty.”;
2) w art. 21:
a) w ust. 1:
– pkt 10 otrzymuje brzmienie:
„10) koordynowanie zadań w dziedzinie informatyzacji, telekomunikacji i teleinformatyki oraz zarządzania informacją podległych mu archiwów państwowych, w szczególności w zakresie:
a) zakupu, projektowania, budowy, wdrażania, rozwoju, integracji i eksploatacji systemów informatycznych i teleinformatycznych wyposażonych w środki zabezpieczające dane osobowe przetwarzane w tych systemach, w tym udostępniania tych systemów archiwom państwowym oraz realizacji dostaw i robót budowlanych niezbędnych do wykonywania tych zadań,
b) wymiany danych pomiędzy systemami, o których mowa w lit. a;”,
– po pkt 10 dodaje się pkt 10a w brzmieniu:
„10a) zapewnienie utrzymania i serwisu systemów informatycznych i teleinformatycznych oraz zabezpieczanie danych osobowych przetwarzanych w tych systemach;”,
b) w ust. 1a wyrazy „ust. 1 pkt 1 i 4” zastępuje się wyrazami „ust. 1 pkt 1, 4 i 10”;
3) art. 22a otrzymuje brzmienie:
„Art. 22a. Podmioty, o których mowa w art. 22 ust. 1 pkt 2–3a oraz ust. 2, w zakresie prowadzonej działalności archiwalnej mogą, na podstawie umowy albo porozumienia zawartych z Naczelnym Dyrektorem Archiwów Państwowych lub właściwym archiwum państwowym, nieodpłatnie korzystać z systemów informatycznych i teleinformatycznych, o których mowa w art. 21 ust. 1 pkt 10 lit. a.”;
4) po art. 22a dodaje się art. 22b–22d w brzmieniu:
„Art. 22b. 1. Do przetwarzania danych osobowych przez jednostki, o których mowa w art. 22 ust. 1 pkt 1 i 2 oraz ust. 2, w zakresie ich działalności archiwalnej, a także w zakresie przechowywania przez jednostki, o których mowa w art. 22 ust. 1 pkt 1, dokumentacji określonej w art. 51a ust. 1 i art. 51r, ogranicza się stosowanie:
1) art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.11)), zwanego dalej „rozporządzeniem 2016/679”, w ten sposób, że przetwarzający przyjmują od osoby, której dane dotyczą, pisemne sprostowanie lub uzupełnienie dotyczące jej danych osobowych, nie dokonując ingerencji w materiały archiwalne;
2) art. 18 ust. 1 lit. a i b rozporządzenia 2016/679, w zakresie niezbędnym do zapewnienia korzystania z materiałów archiwalnych zgodnie z ustawą, bez naruszania istoty ochrony danych osobowych zawartych w tych materiałach, także w przypadku pierwotnego zbierania danych w sposób bezprawny albo w przypadku nieprawdziwości, nieścisłości lub niekompletności danych.
2. W przypadku, o którym mowa w ust. 1 pkt 1, sprostowanie lub uzupełnienie jest przechowywane i udostępniane odrębnie od materiałów archiwalnych, a informację o ich wniesieniu zamieszcza się w odpowiednich środkach ewidencyjnych.
3. Wykonanie obowiązku, o którym mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, następuje w zakresie, w jakim dane osobowe podlegające udostępnieniu mogą być ustalone za pomocą istniejących środków ewidencyjnych.
4. Administrator danych informuje o ograniczeniach, o których mowa w ust. 1 i 3, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.
5. Zabezpieczenia stosowane przez jednostki, o których mowa w art. 22, polegają co najmniej na:
1) dopuszczeniu do przetwarzania chronionych danych osobowych wyłącznie pracowników posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu pracowników, o których mowa w pkt 1, do zachowania przetwarzanych danych w poufności.
Art. 22c. 1. Jednostki, o których mowa w art. 22, w ramach działalności archiwalnej, wdrażają zabezpieczenia wolności i praw osób, których dotyczą dane zawarte w materiałach archiwalnych, w szczególności w trakcie ich udostępniania przez anonimizację danych osobowych, zawieranie z użytkownikami zasobu archiwalnego umów wyłączających dalsze przetwarzanie danych osobowych oraz przez pseudonimizację danych w systemach informatycznych i teleinformatycznych.
2. Stosowanie zabezpieczeń w postaci anonimizacji i pseudonimizacji nie jest obowiązkowe, jeżeli:
1) przetwarza się, w tym udostępnia, dane osobowe za zgodą osoby, której dane dotyczą, jej pełnomocnika, przedstawiciela ustawowego lub opiekuna prawnego;
2) osoba, której dane dotyczą, dobrowolnie i świadomie podała je uprzednio do publicznej wiadomości.
3. Zabezpieczenia wolności i praw, o których mowa w ust. 1, stosuje się odpowiednio do dokumentacji niestanowiącej materiałów archiwalnych, o ile nie sprzeciwia się to celom postępowania z tą dokumentacją.
Art. 22d. Jednostki wymienione w art. 22 ust. 1 pkt 1 i 2 oraz w ust. 2 pkt 2 przetwarzają dane osobowe, odpowiednio:
1) wieczyście;
2) przez okres wynikający z art. 5 ust. 1 pkt 2.”.
Art. 12. [Ustawa o drogach publicznych] W ustawie z dnia 21 marca 1985 r. o drogach publicznych (Dz. U. z 2018 r. poz. 2068 oraz z 2019 r. poz. 698) wprowadza się następujące zmiany:
1) w art. 4 w pkt 44 kropkę zastępuje się średnikiem i dodaje się pkt 45 w brzmieniu:
„45) rozporządzenie 2016/679 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.12)).”;
2) w art. 13b dodaje się ust. 8–11 w brzmieniu:
„8. Zarząd drogi albo zarządca drogi wykonuje obowiązek, o którym mowa w:
1) art. 13 ust. 1 lit. a–c rozporządzenia 2016/679 – pobierając opłatę, o której mowa w art. 13 ust. 1 pkt 1, w szczególności zamieszczając stosowne informacje w miejscu, w którym opłata ta jest wnoszona;
2) art. 13 ust. 1 lit. d–f i ust. 2 rozporządzenia 2016/679 – udostępniając informacje w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o czym informuje w sposób określony w pkt 1 osoby, których dane osobowe są przetwarzane.
9. Zarząd drogi albo zarządca drogi informuje o ograniczeniach, o których mowa w ust. 8, udostępniając stosowne informacje w miejscu, w którym opłata jest wnoszona, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej oraz w miejscu widocznym w siedzibie.
10. Dane osobowe przetwarzane w związku z poborem opłat, o których mowa w art. 13 ust. 1 pkt 1, przechowuje się przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).
11. Dane osobowe, o których mowa w ust. 10, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.”;
3) po art. 13b dodaje się art. 13ba w brzmieniu:
„Art. 13ba. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty, o której mowa w art. 13 ust. 1 pkt 1.”;
4) w art. 13f dodaje się ust. 4 i 5 w brzmieniu:
„4. W związku z poborem opłaty dodatkowej zarząd drogi albo zarządca drogi wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.
5. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty dodatkowej.”;
5) po art. 13hb dodaje się art. 13hba w brzmieniu:
„Art. 13hba. 1. W związku z poborem opłaty elektronicznej podmiot pobierający tę opłatę wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie, oraz za pośrednictwem strony internetowej zawierającej informacje dotyczące poboru opłaty elektronicznej.
2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty elektronicznej.”;
6) w art. 16i w ust. 1:
a) pkt 2 otrzymuje brzmienie:
„2) niezwłocznie informować podmiot pobierający opłaty, z którym zawarł umowę, o której mowa w art. 16e ust. 1 pkt 1 albo art. 16h pkt 1, o danych, w tym danych osobowych użytkownika EETS, koniecznych do realizacji tej umowy, w tym dostarczonych użytkownikom EETS urządzeniach, o których mowa w art. 16l ust. 1, oraz przypisaniu tych urządzeń do pojazdu samochodowego i użytkownika EETS;”,
b) pkt 4 otrzymuje brzmienie:
„4) współpracować z podmiotem uprawnionym do kontroli prawidłowości uiszczenia opłaty elektronicznej, o którym mowa w art. 13l ust. 1, w tym przekazywać temu podmiotowi dane osobowe użytkowników EETS naruszających obowiązki, o których mowa w art. 13 ust. 1 pkt 3, art. 13i ust. 4a lub 4b, na zasadach określonych w umowie, o której mowa w art. 16e ust. 1 pkt 1 albo art. 16h pkt 1;”;
7) po art. 20g dodaje się art. 20h w brzmieniu:
„Art. 20h. 1. Jeżeli przepisy odrębne nie stanowią inaczej, właściwy podmiot lub osoba przez niego upoważniona, na podstawie pisemnego wniosku, udostępnia nieodpłatnie dane osobowe przetwarzane w związku z poborem opłaty elektronicznej oraz wykonywaniem zadania, o którym mowa w art. 20 pkt 12:
1) Policji,
2) Inspekcji Transportu Drogowego,
3) Żandarmerii Wojskowej,
4) Straży Granicznej,
5) Biuru Nadzoru Wewnętrznego,
6) Agencji Bezpieczeństwa Wewnętrznego,
7) Agencji Wywiadu,
8) Centralnemu Biuru Antykorupcyjnemu,
9) Służbie Kontrwywiadu Wojskowego,
10) Służbie Wywiadu Wojskowego,
11) prokuratorowi,
12) sądom,
13) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,
14) Służbie Ochrony Państwa
– w zakresie niezbędnym do realizacji ich ustawowych zadań.
2. Wniosek, o którym mowa w ust. 1, wskazuje:
1) oznaczenie sprawy;
2) okoliczności, z których wynika konieczność pozyskania żądanych danych;
3) dane podlegające udostępnieniu.
3. Właściwy organ może wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych osobowych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1–5 i 7–14, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.
4. Udostępnianie danych osobowych, o których mowa w ust. 1, w sposób określony w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1–5 i 7–14, wniosku zawierającego:
1) określenie zakresu danych podlegających udostępnieniu;
2) określenie osób uprawnionych do przetwarzania danych, o których mowa w pkt 1;
3) oświadczenie, że podmioty te posiadają:
a) urządzenia umożliwiające odnotowanie w systemie kto, kiedy, w jakim celu i jakie dane uzyskał, oraz
b) zabezpieczenie techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania.
5. Właściwy organ udostępnia Agencji Bezpieczeństwa Wewnętrznego dane osobowe, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego, będąca odbiorcą danych, złoży oświadczenie, o którym mowa w ust. 4 pkt 3.
6. Właściwy organ nie udostępnia na podstawie ust. 1 i 3 danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.”;
8) w art. 24n po ust. 7 dodaje się ust. 7a w brzmieniu:
„7a. Rozpatrując wniosek, o którym mowa w ust. 6 i 7, minister właściwy do spraw transportu wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby składającej wniosek, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.”.
Art. 13. [Ustawa o rybactwie śródlądowym] W ustawie z dnia 18 kwietnia 1985 r. o rybactwie śródlądowym (Dz. U. z 2018 r. poz. 1476 oraz z 2019 r. poz. 125) w art. 6d po ust. 25 dodaje się ust. 25a w brzmieniu:
„25a. Dyrektor regionalnego zarządu gospodarki wodnej Państwowego Gospodarstwa Wodnego Wody Polskie zamieszcza i aktualizuje na swojej stronie internetowej:
1) wykaz obwodów rybackich;
2) imię i nazwisko albo nazwę uprawnionego do rybactwa w obwodzie rybackim;
3) wskazane przez uprawnionego do rybactwa dane kontaktowe uprawnionego;
4) okres obowiązywania umów użytkowania obwodu rybackiego.”.
Art. 14. [Ustawa o Rzeczniku Praw Obywatelskich] W ustawie z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (Dz. U. z 2018 r. poz. 2179) art. 17c otrzymuje brzmienie:
„Art. 17c. 1. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań.
2. Rzecznik może przetwarzać dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.13)), wyłącznie w celu ochrony wolności i praw człowieka i obywatela przy realizacji swoich ustawowych zadań.
3. Rzecznik dopuszcza do przetwarzania danych osobowych osoby posiadające pisemne upoważnienie. Warunkiem udzielenia upoważnienia jest pisemne zobowiązanie się osoby upoważnianej do zachowania przetwarzanych danych osobowych w poufności.”.
Art. 15. [Prawo geodezyjne i kartograficzne] W ustawie z dnia 17 maja 1989 r. – Prawo geodezyjne i kartograficzne (Dz. U. z 2019 r. poz. 725) po art. 5 dodaje się art. 5a i art. 5b w brzmieniu:
„Art. 5a. 1. W związku z przetwarzaniem przez Głównego Geodetę Kraju, marszałków województw, starostów albo prezydentów miast na prawach powiatu, wojewodów, organów i podmiotów tworzących i utrzymujących zintegrowany system informacji o nieruchomościach oraz wojewódzkich inspektorów nadzoru geodezyjnego i kartograficznego danych osobowych uzyskanych odpowiednio przy:
1) prowadzeniu państwowego zasobu geodezyjnego i kartograficznego,
2) przechowywaniu kopii zabezpieczających baz danych, o którym mowa w art. 7b ust. 1 pkt 4,
3) koordynacji usytuowania projektowanych sieci uzbrojenia terenu,
4) tworzeniu i utrzymywaniu zintegrowanego systemu informacji o nieruchomościach,
5) prowadzeniu postępowań kontrolnych, o których mowa w art. 9,
6) wydawaniu dzienników praktyki zawodowej, o których mowa w art. 44b ust. 5, oraz prowadzeniu rejestrów wydanych dzienników praktyki zawodowej,
7) nadawaniu uprawnień zawodowych w dziedzinie geodezji i kartografii oraz prowadzeniu centralnego rejestru osób posiadających uprawnienia zawodowe w dziedzinie geodezji i kartografii,
8) prowadzeniu postępowań dyscyplinarnych
– prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.14)), w zakresie wystąpień zawierających dane osobowe osób trzecich, które nie skutkują wszczęciem postępowania administracyjnego, przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.
2. Podmioty, o których mowa w ust. 1, informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane są przetwarzane.
3. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730) albo przepisów odrębnych, podmioty, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
Art. 5b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na realizację zadań wskazanych w art. 5a ust. 1 pkt 1–5, 7 i 8.”.
Art. 16. [Prawo o notariacie] W ustawie z dnia 14 lutego 1991 r. – Prawo o notariacie (Dz. U. z 2019 r. poz. 540) w dziale I dodaje się rozdział 8 w brzmieniu:
„Rozdział 8
Przetwarzanie danych osobowych
Art. 78b. § 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.15)) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez notariusza tajemnicy, o której mowa w art. 18.
§ 2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez notariusza przy dokonywaniu czynności notarialnych nie stosuje się.
Art. 78c. Obowiązek zachowania tajemnicy, o której mowa w art. 18, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przy dokonywaniu czynności notarialnych występuje Prezes Urzędu Ochrony Danych Osobowych.
Art. 78d. Okres przechowywania danych osobowych zgromadzonych przez Krajową Radę Notarialną, rady izb notarialnych oraz komisje kwalifikacyjne przy wykonywaniu zadań określonych w ustawie wynosi 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane zostały zgromadzone. Przepis art. 90 § 1 stosuje się odpowiednio.”.
Art. 17. [Ustawa o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej] W ustawie z dnia 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej (Dz. U. z 2018 r. poz. 2214 oraz z 2019 r. poz. 125) po art. 49 dodaje się art. 49a w brzmieniu:
„Art. 49a. 1. W przypadku niecierpiącym zwłoki dyrektor urzędu morskiego, realizując zadania określone w niniejszym rozdziale, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.16)), przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 tego rozporządzenia, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego tego dyrektora, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.
2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu morskiego zadań określonych w niniejszym rozdziale.”.
Art. 18. [Ustawa o rozwiązywaniu sporów zbiorowych] W ustawie z dnia 23 maja 1991 r. o rozwiązywaniu sporów zbiorowych (Dz. U. z 2019 r. poz. 174) w art. 11 po ust. 1 dodaje się ust. 11 i 12 w brzmieniu:
„11. Wpis na listę, o której mowa w ust. 1, obejmuje co najmniej:
1) imię (imiona) i nazwisko;
2) dane kontaktowe wskazane przez osobę ubiegającą się o wpis na listę.
12. Przetwarzanie danych osobowych innych niż wymienione w ust. 11 jest dopuszczalne za zgodą osoby ubiegającej się o uzyskanie wpisu na listę, o której mowa w ust. 1.”.
Art. 19. [Ustawa o Inspekcji Ochrony Środowiska] W ustawie z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska (Dz. U. z 2018 r. poz. 1471 i 1479 oraz z 2019 r. poz. 125) w art. 2 dodaje się ust. 4–8 w brzmieniu:
„4. W przypadku niecierpiącym zwłoki organy Inspekcji Ochrony Środowiska, realizując zadania, o których mowa w ust. 1, 1a i 3, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.17)), zwanego dalej „rozporządzeniem 2016/679”, przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.
5. W związku z przetwarzaniem przez organy Inspekcji Ochrony Środowiska danych osobowych w toku realizacji zadań określonych w ust. 1, 1a i 3 prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia 2016/679, przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osoby, od której dane pozyskano.
6. Organy Inspekcji Ochrony Środowiska informują o ograniczeniu, o którym mowa w ust. 5, odpowiednio przy pierwszej czynności skierowanej do osoby, której dane dotyczą, w formie publicznego obwieszczenia, w innej formie publicznego ogłoszenia zwyczajowo przyjętej w danej miejscowości lub przez udostępnienie pisma w Biuletynie Informacji Publicznej na stronie podmiotowej właściwego organu Inspekcji Ochrony Środowiska.
7. Dane osobowe, o których mowa w ust. 5, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
8. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez organy Inspekcji Ochrony Środowiska zadań, o których mowa w ust. 1, 1a i 3.”.
Art. 20. [Ustawa o ochronie przeciwpożarowej] W ustawie z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (Dz. U. z 2018 r. poz. 620 i 1669) wprowadza się następujące zmiany:
1) art. 14g i art. 14h otrzymują brzmienie:
„Art. 14g. 1. Komendant Główny Państwowej Straży Pożarnej zapewnia funkcjonowanie Systemu Wspomagania Decyzji Państwowej Straży Pożarnej, zwanego dalej „SWD PSP”, stanowiącego system teleinformatyczny wspierający:
1) wykonywanie zadań krajowego systemu ratowniczo-gaśniczego przez jednostki organizacyjne Państwowej Straży Pożarnej;
2) przyjmowanie zgłoszeń alarmowych z centrów powiadamiania ratunkowego, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (Dz. U. z 2018 r. poz. 867 i 1115 oraz z 2019 r. poz. 730).
2. Utrzymanie, rozbudowa i modyfikacje SWD PSP są finansowane z budżetu państwa z części, której dysponentem jest minister właściwy do spraw wewnętrznych, oraz z części, których dysponentami są właściwi wojewodowie.
3. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia:
1) minimalny zbiór funkcjonalności SWD PSP, w tym sposób funkcjonowania tego systemu w sytuacjach awaryjnych,
2) sposób przydzielania, zawieszania oraz uchylania dostępu do tego systemu użytkownikom Państwowej Straży Pożarnej oraz jednostkom ochrony przeciwpożarowej
– uwzględniając potrzebę zapewnienia optymalnego poziomu współpracy między tym systemem a systemem teleinformatycznym systemu powiadamiania ratunkowego.
Art. 14h. 1. Państwowa Straż Pożarna przetwarza dane osobowe w SWD PSP w celu ochrony życia, zdrowia, mienia lub środowiska przed pożarem, klęską żywiołową lub innym miejscowym zagrożeniem, w zakresie niezbędnym do realizacji zadań wynikających z ustawy, uzyskane w związku z prowadzeniem działań ratowniczych oraz obsługą zgłoszeń alarmowych, o których mowa w art. 2 pkt 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, w tym dane osobowe osoby zgłaszającej oraz osób, których zgłoszenie dotyczy.
2. Jednostka organizacyjna Państwowej Straży Pożarnej, w związku z przetwarzaniem danych osobowych w SWD PSP, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.18)), zwanego dalej „rozporządzeniem 2016/679”, przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej oraz w widocznym miejscu w siedzibie.
3. Osoba występująca z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
5. Dane osobowe, o których mowa w ust. 1, są przechowywane wyłącznie przez okres niezbędny do realizacji zadań wynikających z ustawy. Dane te podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.
6. Kierownicy jednostek organizacyjnych Państwowej Straży Pożarnej udostępniają informację o ograniczeniach, o których mowa w ust. 2 i 3, w Biuletynie Informacji Publicznej na swoich stronach podmiotowych lub na swoich stronach internetowych oraz w widocznym miejscu w siedzibach jednostek.”;
2) po art. 14h dodaje się art. 14ha w brzmieniu:
„Art. 14ha. 1. Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej są współadministratorami danych osobowych przetwarzanych w SWD PSP.
2. Komendant Główny Państwowej Straży Pożarnej ustala podział obowiązków współadministratorów, o których mowa w ust. 1, wynikających z przepisów rozporządzenia 2016/679.
3. Komendant Główny Państwowej Straży Pożarnej planuje i realizuje rozbudowę oraz modyfikację SWD PSP oraz podejmuje działania mające na celu:
1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PSP;
2) zapewnienie integralności danych w SWD PSP;
3) zapewnienie dostępności do SWD PSP dla podmiotów przetwarzających dane w tym systemie;
4) przeciwdziałanie uszkodzeniom SWD PSP;
5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;
7) zapewnienie rozliczalności działań dokonywanych na danych SWD PSP;
8) zapewnienie poprawności danych, w tym danych osobowych przetwarzanych w SWD PSP;
9) wykonywanie kopii bezpieczeństwa.
4. Komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej, w zakresie właściwości swojego działania, zapewniają utrzymanie SWD PSP oraz podejmują działania, o których mowa w ust. 3.
5. Współadministratorzy tworzą i aktualizują ewidencję osób upoważnionych do przetwarzania danych osobowych w SWD PSP, upoważniają do przetwarzania tych danych oraz prowadzą rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 rozporządzenia 2016/679.
6. Przepisy art. 14h oraz art. 14ha stosuje się odpowiednio do przetwarzania danych osobowych w SWD PSP przez jednostki ochrony przeciwpożarowej, o których mowa w art. 15 pkt 1a–8.”.
Art. 21. [Ustawa o Państwowej Straży Pożarnej] W ustawie z dnia 24 sierpnia 1991 r. o Państwowej Straży Pożarnej (Dz. U. z 2018 r. poz. 1313, 1592 i 1669) po art. 28a dodaje się art. 28b w brzmieniu:
„Art. 28b. 1. Państwowa Straż Pożarna jest uprawniona do przetwarzania informacji, w tym przetwarzania danych osobowych, w celu prowadzenia postępowań kwalifikacyjnych do służby w Państwowej Straży Pożarnej, przenoszenia do służby w Państwowej Straży Pożarnej oraz w zakresie wynikającym z przebiegu stosunku służbowego strażaków, także po jego ustaniu, w tym przetwarza dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.19)).
2. Administratorami danych osobowych, o których mowa w ust. 1, są Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej, komendanci szkół Państwowej Straży Pożarnej, Dyrektor Centrum Naukowo-Badawczego Ochrony Przeciwpożarowej i Dyrektor Centralnego Muzeum Pożarnictwa, zwani dalej „administratorami”, w zakresie, w jakim przetwarzają te dane.
3. Informacje, w tym dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratorów;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
4. Administratorzy dokonują przeglądu danych osobowych, o których mowa w ust. 1, nie rzadziej niż co 10 lat od dnia ich pozyskania, w celu potwierdzenia zasadności ich dalszego przetwarzania.
5. W ramach Państwowej Straży Pożarnej inspektorów ochrony danych, o których mowa w art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), wyznacza się w Komendzie Głównej Państwowej Straży Pożarnej, Szkole Głównej Służby Pożarniczej, szkołach Państwowej Straży Pożarnej, Centrum Naukowo-Badawczym Ochrony Przeciwpożarowej, Centralnym Muzeum Pożarnictwa, komendach wojewódzkich Państwowej Straży Pożarnej dla obszaru województwa oraz komendach miejskich Państwowej Straży Pożarnej I kategorii. Wyznaczając inspektora ochrony danych, uwzględnia się strukturę organizacyjną i wielkość jednostek organizacyjnych Państwowej Straży Pożarnej.”.
Art. 22. [Ustawa o systemie oświaty] W ustawie z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2018 r. poz. 1457, 1560, 1669 i 2245) wprowadza się następujące zmiany:
1) po art. 13a dodaje się art. 13b w brzmieniu:
„Art. 13b. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.
3. Przepisu ust. 2 nie stosuje się:
1) w przypadku zagrożenia zdrowia ucznia;
2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
3) w przypadku gdy przewidują to przepisy szczególne.”;
2) w art. 92k w ust. 2 w pkt 2 uchyla się lit. g.
Art. 23. [Ustawa o organizowaniu i prowadzeniu działalności kulturalnej] W ustawie z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (Dz. U. z 2018 r. poz. 1983 oraz z 2019 r. poz. 115) wprowadza się następujące zmiany:
1) w art. 6a po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Okres przechowywania danych osób, o których mowa w ust. 1, wynosi 80 lat.”;
2) w art. 7 po ust. 4 dodaje się ust. 4a w brzmieniu:
„4a. Okres przechowywania danych osób, o których mowa w ust. 1, wynosi 80 lat.”;
3) w art. 7a po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. W związku z przyznawaniem dorocznych nagród organy, o których mowa w ust. 1, przetwarzają dane osób, o których mowa w ust. 2, przez okres niezbędny do realizacji zadań, o których mowa w ust. 1. Organy, o których mowa w ust. 1, dokonują przeglądu tych danych co 5 lat.”;
4) w art. 7b po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. W związku z przyznawaniem stypendiów organy, o których mowa w ust. 1, przetwarzają dane osób, o których mowa w ust. 2, przez okres niezbędny do realizacji zadań, o których mowa w ust. 1. Organy, o których mowa w ust. 1, dokonują przeglądu tych danych co 5 lat.”;
5) w art. 14 po ust. 1 dodaje się ust. 1a w brzmieniu:
„1a. W rejestrze, o którym mowa w ust. 1, gromadzone są następujące dane:
1) oznaczenia instytucji kultury, w szczególności podmiotu, z którym organizator wspólnie prowadzi instytucję kultury, oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu;
2) organizacji instytucji kultury, w szczególności:
a) imię i nazwisko dyrektora instytucji kultury i jego zastępców albo oznaczenie osoby fizycznej, której powierzono pełnienie obowiązków dyrektora, albo której powierzono zarządzanie instytucją kultury,
b) imiona i nazwiska pełnomocników instytucji kultury uprawnionych do dokonywania czynności prawnych w imieniu instytucji oraz zakres ich upoważnień,
c) imię i nazwisko pełnomocnika organizatora dokonującego wpisu;
3) dotyczące mienia instytucji kultury, w szczególności imię i nazwisko pełnomocnika organizatora dokonującego wpisu;
4) połączenia, podziału i likwidacji instytucji kultury, w szczególności imię i nazwisko likwidatora oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu.”.
Art. 24. [Ustawa o orderach i odznaczeniach] W ustawie z dnia 16 października 1992 r. o orderach i odznaczeniach (Dz. U. z 2019 r. poz. 25) wprowadza się następujące zmiany:
1) po art. 32a dodaje się art. 32b w brzmieniu:
„Art. 32b. Przed podjęciem decyzji o nadaniu orderu lub odznaczenia Prezydent może zwrócić się do właściwych organów, organizacji lub instytucji o przekazanie informacji, które mogą mieć istotne znaczenie w sprawie o nadanie orderu lub odznaczenia.”;
2) uchyla się art. 37a.
Art. 25. [Ustawa o zaopatrzeniu emerytalnym żołnierzy zawodowych oraz ich rodzin] W ustawie z dnia 10 grudnia 1993 r. o zaopatrzeniu emerytalnym żołnierzy zawodowych oraz ich rodzin (Dz. U. z 2019 r. poz. 289) art. 35 otrzymuje brzmienie:
„Art. 35. 1. Organy administracji publicznej, pracodawcy, organy emerytalne i rentowe oraz szkoły i uczelnie wyższe są obowiązane udzielać wojskowemu organowi emerytalnemu pomocy i informacji, w tym udostępniać dane osobowe, w sprawach świadczeń przewidzianych w ustawie oraz wydawać bezpłatnie, na ich żądanie, wszelkie dokumenty, w tym zaświadczenia, niezbędne do ustalenia prawa do świadczeń lub ich wysokości albo potwierdzenia istnienia prawa do świadczeń.
2. Wojskowy organ emerytalny jest uprawniony do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości albo do potwierdzenia istnienia prawa do świadczeń od organów emerytalnych lub rentowych oraz z rejestrów publicznych, w szczególności z:
1) rejestru PESEL,
2) systemu informacji oświatowej,
3) Centralnego Wykazu Ubezpieczonych,
4) ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów
– w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.
3. Wojskowy organ emerytalny informacje, o których mowa w ust. 2, może uzyskiwać w drodze pisemnej wymiany informacji.”.
Art. 26. [Ustawa o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin] W ustawie z dnia 18 lutego 1994 r. o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin (Dz. U. z 2019 r. poz. 288) art. 36 otrzymuje brzmienie:
„Art. 36. 1. Organy administracji publicznej, pracodawcy, organy emerytalne i rentowe oraz szkoły i uczelnie wyższe są obowiązane udzielać organom emerytalnym pomocy i informacji, w tym udostępniać dane osobowe, w sprawach świadczeń przewidzianych w ustawie oraz wydawać bezpłatnie, na ich żądanie, wszelkie dokumenty, w tym zaświadczenia, niezbędne do ustalenia prawa do świadczeń lub ich wysokości albo potwierdzenia istnienia prawa do świadczeń.
2. Organy emerytalne są uprawnione do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości albo do potwierdzenia istnienia prawa do świadczeń od organów emerytalnych lub rentowych oraz z rejestrów publicznych, w szczególności z:
1) rejestru PESEL,
2) systemu informacji oświatowej,
3) Centralnego Wykazu Ubezpieczonych,
4) ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów
– w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.
3. W przypadku awarii systemów teleinformatycznych służących do pozyskiwania informacji drogą elektroniczną zgodnie z ust. 2, organy emerytalne uzyskują te informacje w drodze pisemnej wymiany informacji.”.
Art. 27. [Ustawa o zakładowym funduszu świadczeń socjalnych] W ustawie z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2018 r. poz. 1316, 1608, 1669 i 2435) w art. 8:
1) po ust. 1 dodaje się ust. 1a–1d w brzmieniu:
„1a. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.
1b. Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.20)), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.
1c. Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.
1d. Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w ust. 1a i 1c.”;
2) ust. 2 otrzymuje brzmienie:
„2. Zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu, z uwzględnieniem ust. 1–1b, oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie ustalanym zgodnie z art. 27 ust. 1 albo art. 30 ust. 6 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (Dz. U. z 2019 r. poz. 263). Pracodawca, u którego nie działa zakładowa organizacja związkowa, uzgadnia regulamin z pracownikiem wybranym przez załogę do reprezentowania jej interesów.”.
Art. 28. [Prawo budowlane] W ustawie z dnia 7 lipca 1994 r. – Prawo budowlane (Dz. U. z 2018 r. poz. 1202, z późn. zm.21)) po art. 84a dodaje się art. 84aa i art. 84ab w brzmieniu:
„Art. 84aa. 1. W związku z przetwarzaniem przez organy administracji architektoniczno-budowlanej i organy nadzoru budowlanego danych osobowych w toku realizacji zadań określonych w ustawie prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.22)), przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osoby, od której dane pozyskano.
2. Organy administracji architektoniczno-budowlanej informują o ograniczeniu, o którym mowa w ust. 1, odpowiednio przy pierwszej czynności skierowanej do osoby, której dane dotyczą, lub w trybie określonym w art. 49 Kodeksu postępowania administracyjnego.
3. Organy nadzoru budowlanego informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
4. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730) albo przepisów odrębnych, organy administracji architektoniczno-budowlanej i organy nadzoru budowlanego przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
5. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
Art. 84ab. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na:
1) prowadzenie rejestrów i ewidencji, o których mowa w art. 82b ust. 1 i 1a, art. 84 ust. 2 pkt 2–4 i art. 88a ust. 1 pkt 3;
2) przebieg i wynik postępowań, o których mowa w art. 97 ust. 1;
3) czynności związane z kontrolą przestrzegania i stosowania przepisów prawa budowlanego.”.
Art. 29. [Ustawa o ochronie zdrowia psychicznego] W ustawie z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. z 2018 r. poz. 1878) wprowadza się następujące zmiany:
1) w art. 10b:
a) ust. 1 otrzymuje brzmienie:
„1. Ochrona praw osób, o których mowa w art. 10a ust. 1, jest zadaniem Rzecznika Praw Pacjenta, które realizuje w szczególności przy pomocy Rzeczników Praw Pacjenta Szpitala Psychiatrycznego.”,
b) w ust. 4 pkt 3 otrzymuje brzmienie:
„3) dostępu do dokumentacji medycznej osoby, o której mowa w art. 10a ust. 1;”;
2) w art. 18e ust. 5 otrzymuje brzmienie:
„5. Dane utrwalone za pomocą urządzeń monitorujących mogą być przetwarzane wyłącznie przez osoby posiadające pisemne upoważnienie wydane przez administratora danych, w szczególności sędziów oraz Rzeczników Praw Pacjenta Szpitala Psychiatrycznego, w celu realizacji zadań określonych w ustawie. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w tajemnicy.”.
Art. 30. [Ustawa o autostradach płatnych oraz o Krajowym Funduszu Drogowym] W ustawie z dnia 27 października 1994 r. o autostradach płatnych oraz o Krajowym Funduszu Drogowym (Dz. U. z 2018 r. poz. 2014 i 2244) wprowadza się następujące zmiany:
1) po art. 37a dodaje się art. 37aa i art. 37ab w brzmieniu:
„Art. 37aa. 1. W związku z poborem opłat za przejazd autostradą podmioty wskazane w art. 37a ust. 1a wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.23)), zwanego dalej „rozporządzeniem 2016/679”, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie, oraz za pośrednictwem strony internetowej zawierającej informacje dotyczące poboru opłat za przejazd autostradą.
2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłat za przejazd autostradą.
Art. 37ab. 1. Jeżeli przepisy odrębne nie stanowią inaczej, podmioty, o których mowa w art. 37a ust. 1a, lub osoby przez nie upoważnione, na podstawie pisemnego wniosku, udostępniają nieodpłatnie dane osobowe przetwarzane w związku z poborem opłat za przejazd autostradą:
1) Policji,
2) Inspekcji Transportu Drogowego,
3) Żandarmerii Wojskowej,
4) Straży Granicznej,
5) Biuru Nadzoru Wewnętrznego,
6) Agencji Bezpieczeństwa Wewnętrznego,
7) Agencji Wywiadu,
8) Centralnemu Biuru Antykorupcyjnemu,
9) Służbie Kontrwywiadu Wojskowego,
10) Służbie Wywiadu Wojskowego,
11) prokuratorowi,
12) sądom,
13) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,
14) Służbie Ochrony Państwa
– w zakresie niezbędnym do realizacji ich ustawowych zadań.
2. Wniosek, o którym mowa w ust. 1, zawiera:
1) oznaczenie sprawy;
2) okoliczności, z których wynika konieczność pozyskania żądanych danych;
3) dane podlegające udostępnieniu.
3. Właściwy podmiot może wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych osobowych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1–5 i 7–14, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.
4. Udostępnianie danych osobowych, o których mowa w ust. 1, w sposób określony w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1–5 i 7–14, wniosku zawierającego:
1) określenie zakresu danych podlegających udostępnieniu;
2) określenie osób uprawnionych do przetwarzania danych, o których mowa w pkt 1;
3) oświadczenie, że podmioty te posiadają:
a) urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu i jakie dane uzyskał, oraz
b) zabezpieczenie techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania.
5. Właściwy podmiot udostępnia Agencji Bezpieczeństwa Wewnętrznego dane osobowe, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego będąca odbiorcą danych złoży oświadczenie, o którym mowa w ust. 4 pkt 3.
6. Właściwy podmiot nie udostępnia na podstawie ust. 1 i 3 danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.”;
2) w art. 63d dodaje się ust. 5 i 6 w brzmieniu:
„5. Generalny Dyrektor Dróg Krajowych i Autostrad lub drogowa spółka specjalnego przeznaczenia wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w stosunku do osoby, której dane osobowe są przetwarzane w związku z kontrolą, o której mowa w ust. 1, przy pierwszej czynności skierowanej do tej osoby, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.
6. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na wykonywanie uprawnień Generalnego Dyrektora Dróg Krajowych i Autostrad lub drogowej spółki specjalnego przeznaczenia, o których mowa w ust. 1–4.”.
Art. 31. [Ustawa o statystyce publicznej] W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2019 r. poz. 649) wprowadza się następujące zmiany:
1) w art. 2:
a) pkt 1a otrzymuje brzmienie:
„1a) dane statystyczne – dane dotyczące zjawisk, zdarzeń, obiektów i działalności podmiotów gospodarki narodowej oraz życia i sytuacji osób fizycznych, w tym dane osobowe, pozyskane bezpośrednio od respondentów albo z systemów informacyjnych administracji publicznej, rejestrów urzędowych lub niepublicznych systemów informacyjnych, od momentu ich zebrania na potrzeby wykonywania zadań statystyki publicznej;”,
b) pkt 8 otrzymuje brzmienie:
„8) operat do badań statystycznych – wykaz objętych badaniami statystycznymi podmiotów gospodarki narodowej, osób fizycznych oraz innych podmiotów podlegających obserwacji statystycznej uporządkowany według określonych cech, zawierający dane jednostkowe wraz z ich identyfikacją teleadresową;”,
c) po pkt 11a dodaje się pkt 11b w brzmieniu:
„11b) osoba fizyczna prowadząca działalność gospodarczą – osobę fizyczną będącą przedsiębiorcą w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), inną osobę fizyczną prowadzącą działalność na własny rachunek w celu osiągnięcia zysku oraz osobę fizyczną prowadzącą indywidualne gospodarstwo rolne;”,
d) w pkt 14 kropkę zastępuje się średnikiem i dodaje się pkt 15 w brzmieniu:
„15) niepubliczne systemy informacyjne – systemy zbierania, gromadzenia i przetwarzania informacji prowadzone przez podmioty inne niż organy i podmioty, o których mowa w pkt 13, w szczególności podmioty wykonujące działalność w zakresie:
a) sprzedaży lub dostawy energii elektrycznej,
b) zbiorowego odprowadzania ścieków i zbiorowego zaopatrzenia w wodę,
c) przesyłu, dystrybucji i obrotu paliwami gazowymi,
d) obrotu, przesyłu i wytwarzania energii cieplnej,
e) telekomunikacji,
f) ubezpieczeń,
g) transportu i leasingu,
h) zarządzania portami lotniczymi,
i) zarządzania i administrowania nieruchomościami.”;
2) w art. 5:
a) ust. 1 otrzymuje brzmienie:
„1. Służby statystyki publicznej:
1) zbierają, gromadzą i opracowują dane od podmiotów gospodarki narodowej i o tych podmiotach oraz ich działalności, a także dane od osób fizycznych i o tych osobach, ich życiu i sytuacji, oraz dane dotyczące zjawisk, zdarzeń i obiektów;
2) przechowują, łączą pozyskane dane i wtórnie je wykorzystują w celu realizacji zadań określonych w ustawie.”,
b) po ust. 1 dodaje się ust. 1a w brzmieniu:
„1a. Dostęp służb statystyki publicznej do danych oraz przekazywanie tym służbom danych następuje nieodpłatnie.”;
3) po art. 5 dodaje się art. 5a w brzmieniu:
„Art. 5a. 1. Służby statystyki publicznej zbierają dane, w tym dane osobowe, z dostępnych źródeł określonych w ustawie i wydanych na jej podstawie aktach wykonawczych albo odrębnych ustawach.
2. W celu realizacji zadań określonych w ustawie, w tym badań statystycznych, służby statystyki publicznej zbierają dane:
1) z rejestrów urzędowych;
2) z systemów informacyjnych administracji publicznej;
3) z niepublicznych systemów informacyjnych;
4) od respondentów.
3. Służby statystyki publicznej zbierają również dane powszechnie dostępne z innych źródeł niż określone w ust. 2.
4. Dane, o których mowa w ust. 2 i 3, są zbierane z wykorzystaniem dostępnych technik, w tym z wykorzystaniem zautomatyzowanych narzędzi elektronicznych lub informatycznych.
5. Dane ze źródeł, o których mowa w ust. 1 i ust. 2 pkt 1–3, są przekazywane lub udostępniane w formatach, o których mowa w art. 18a ust. 2 i 3.”;
4) w art. 6:
a) ust. 1 otrzymuje brzmienie:
„1. W ramach prowadzonych badań statystycznych dane od respondentów są zbierane metodą obserwacji pełnej lub metodą reprezentacyjną na wylosowanej próbie danej zbiorowości lub metodą doboru celowego.”,
b) dodaje się ust. 4 i 5 w brzmieniu:
„4. Udział osób fizycznych prowadzących działalność gospodarczą w badaniach statystycznych, dotyczących ich działalności gospodarczej, jest obowiązkowy.
5. Badania statystyczne, o których mowa w ust. 3, w których osoby fizyczne udzielają bezpośrednio odpowiedzi, są prowadzone po uprzednim ich poinformowaniu o podstawie prawnej badania, celu badania i gwarancjach zachowania tajemnicy, o której mowa w art. 10, oraz czy udział w badaniu jest obowiązkowy czy dobrowolny.”;
5) art. 8 otrzymuje brzmienie:
„Art. 8. Dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.24)), zwanego dalej „rozporządzeniem 2016/679”, nie mogą być zbierane na zasadzie obowiązku w badaniach statystycznych prowadzonych z udziałem osób fizycznych.”;
6) w art. 13:
a) ust. 1 otrzymuje brzmienie:
„1. Organy administracji publicznej, Zakład Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia, Komisja Nadzoru Finansowego, a także inne państwowe lub samorządowe osoby prawne, organy rejestrowe oraz inne podmioty prowadzące rejestry urzędowe lub niepubliczne systemy informacyjne, przekazują lub udostępniają nieodpłatnie służbom statystyki publicznej zgromadzone dane w szczegółowym zakresie, postaci i terminach, określonych w programie badań statystycznych statystyki publicznej, w szczególności w postaci zbiorów danych z systemów teleinformatycznych, w tym wyników pomiarów, danych monitoringu środowiska, a w przypadku braku systemu teleinformatycznego – w innej utrwalonej postaci.”,
b) w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Organy i podmioty, o których mowa w ust. 1, z wyłączeniem podmiotów prowadzących niepubliczne systemy informacyjne, są obowiązane do:”,
c) ust. 4 otrzymuje brzmienie:
„4. Prezes Głównego Urzędu Statystycznego jest uprawniony do zgłaszania organom i podmiotom, o których mowa w ust. 1, z wyłączeniem podmiotów prowadzących niepubliczne systemy informacyjne, wniosków dotyczących zawartości informacyjnej i wymogów jakości danych w nich zawartych w celu umożliwienia wykorzystania tych danych na potrzeby statystyki publicznej.”;
7) w art. 35a:
a) ust. 1 otrzymuje brzmienie:
„1. Służby statystyki publicznej przetwarzają dane osobowe określone w art. 35b ust. 1 w celu statystycznym, obejmującym w szczególności:
1) organizację i prowadzenie badań statystycznych, w tym spisów powszechnych, o których mowa w art. 18 lub odrębnych ustawach, oraz badań statystycznych, opracowań i analiz, o których mowa w art. 21 ust. 2;
2) opracowywanie i ogłaszanie prognoz demograficznych;
3) prowadzenie badań i analiz statystycznych, o których mowa w art. 25 ust. 1 pkt 11;
4) opracowywanie wyników badań statystycznych, w tym wyników spisów powszechnych;
5) prowadzenie analiz i opracowań statystycznych;
6) prowadzenie prac naukowych i badawczo-rozwojowych, o których mowa w art. 25 ust. 1 pkt 15;
7) prowadzenie i aktualizację operatu do badań statystycznych, o którym mowa w rozdziale 5a;
8) realizację zadań wynikających z uczestnictwa Rzeczypospolitej Polskiej w Europejskim Systemie Statystycznym (ESS), Europejskim Systemie Banków Centralnych (ESBC) i członkostwa w organizacjach międzynarodowych.”,
b) dodaje się ust. 3 w brzmieniu:
„3. Służby statystyki publicznej przetwarzają dane osobowe do celów prowadzenia i aktualizacji krajowego rejestru urzędowego podmiotów gospodarki narodowej.”;
8) po art. 35a dodaje się art. 35aa w brzmieniu:
„Art. 35aa. Dane osobowe od momentu ich zebrania bezpośrednio od respondentów albo z systemów informacyjnych administracji publicznej i rejestrów urzędowych lub niepublicznych systemów informacyjnych na potrzeby wykonywania zadań określonych w ustawie stają się danymi statystycznymi i objęte są tajemnicą statystyczną z wyłączeniem informacji zawartych w krajowym rejestrze urzędowym podmiotów gospodarki narodowej.”;
9) w art. 35b:
a) w ust. 1:
– wprowadzenie do wyliczenia otrzymuje brzmienie:
„Służby statystyki publicznej przetwarzają w celu statystycznym następujące dane osobowe:”,
– pkt 1 i 2 otrzymują brzmienie:
„1) imiona i nazwiska;
2) datę urodzenia;”,
– po pkt 2 dodaje się pkt 2a w brzmieniu:
„2a) kraj urodzenia i miejsce urodzenia;”,
– po pkt 5 dodaje się pkt 5a–5c w brzmieniu:
„5a) dane biometryczne;
5b) dane genetyczne;
5c) seksualność lub orientacja seksualna;”,
– po pkt 12 dodaje się pkt 12a w brzmieniu:
„12a) pozostawanie osób we wspólnym pożyciu;”,
– po pkt 14 dodaje się pkt 14a i 14b w brzmieniu:
„14a) dochód, w tym wynagrodzenie;
14b) składki na ubezpieczenia społeczne i ubezpieczenie zdrowotne;”,
– po pkt 16 dodaje się pkt 16a–16c w brzmieniu:
„16a) użytkowanie gospodarstwa rolnego;
16b) kierowanie gospodarstwem rolnym;
16c) adres miejsca pracy;”,
– pkt 20 otrzymuje brzmienie:
„20) adres zameldowania, adres zamieszkania lub adres miejsca pobytu;”,
– po pkt 20 dodaje się pkt 20a i 20b w brzmieniu:
„20a) kraj poprzedniego zamieszkania;
20b) kraj wyjazdu;”,
b) ust. 2 otrzymuje brzmienie:
„2. Dane osobowe, o których mowa w ust. 1, są przetwarzane przez służby statystyki publicznej w ramach badań statystycznych, które dostarczają informacji o życiu i sytuacji osób fizycznych lub wybranych aspektach życia i sytuacji tych osób, w następujących obszarach:
1) ludność, procesy demograficzne i migracje;
2) gospodarstwa domowe i rodziny;
3) aktywność obywatelska i społeczno-polityczna, członkostwo i wspieranie organizacji społecznych i politycznych;
4) pracujący, bezrobotni i bierni zawodowo, według cech społeczno-ekonomicznych;
5) prowadzenie działalności gospodarczej, rolnej i leśnej;
6) dojazdy do pracy;
7) warunki pracy, choroby zawodowe;
8) wypadki i poszkodowani;
9) czas pracy;
10) źródła utrzymania, w tym dochody, wynagrodzenia i ich struktura;
11) składki na ubezpieczenia społeczne i ubezpieczenie zdrowotne oraz okresy składkowe i wymiar etatu;
12) świadczenia z ubezpieczeń społecznych;
13) sytuacja finansowa i zamożność osób oraz gospodarstw domowych i rodzin;
14) wydatki i spożycie ilościowe przez osoby i gospodarstwa domowe;
15) warunki mieszkaniowe i wyposażenie gospodarstw domowych;
16) budżet czasu;
17) subiektywne oceny dotyczące jakości życia i sytuacji społeczno-ekonomicznej;
18) pomoc społeczna, w tym beneficjenci pomocy społecznej;
19) ubóstwo i wykluczenie społeczne;
20) wspieranie rodziny i piecza zastępcza;
21) świadczenia na rzecz rodziny;
22) opieka nad dziećmi i młodzieżą;
23) szkolnictwo wyższe, w tym nauczyciele akademiccy, studenci i doktoranci;
24) oświata i wychowanie, w tym uczniowie i nauczyciele;
25) aktywność edukacyjna, w tym kształcenie ustawiczne;
26) uczestnictwo ludności w sporcie, rekreacji, turystyce oraz kulturze, w tym wypoczynek dzieci i młodzieży;
27) zachorowania i leczenie, korzystanie z usług medycznych, zachowania prozdrowotne i antyzdrowotne;
28) ograniczenia wykonywania podstawowych czynności życiowych;
29) dostęp i korzystanie z usług społecznych i publicznych;
30) ruch graniczny osób i pojazdów;
31) kapitał ludzki i społeczny;
32) zachowania społeczno-religijne;
33) relacje społeczne;
34) społeczeństwo informacyjne;
35) bezpieczeństwo, zagrożenie przestępczością, przemoc;
36) udział w korzystaniu ze środowiska i ochronie środowiska.”,
c) po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Służby statystyki publicznej przetwarzają dane wywiedzione i dane wywnioskowane uzyskane w wyniku analizy danych osobowych, o których mowa w ust. 1, w obszarach określonych w ust. 2.”,
d) ust. 3 otrzymuje brzmienie:
„3. Dane, o których mowa w ust. 1, mogą być pozyskiwane bezpośrednio od osoby fizycznej, której dotyczą, lub pełnoletniego domownika albo z systemów informacyjnych administracji publicznej, rejestrów urzędowych lub niepublicznych systemów informacyjnych.”,
e) uchyla się ust. 4;
10) w art. 35c:
a) dotychczasową treść oznacza się jako ust. 1,
b) w ust. 1:
– w pkt 1 lit. a otrzymuje brzmienie:
„a) informatyzacji – z rejestru PESEL, centralnej ewidencji pojazdów i rejestru stanu cywilnego,”,
– po pkt 1 dodaje się pkt 1a w brzmieniu:
„1a) Ministra Sprawiedliwości – z centralnej bazy danych ksiąg wieczystych,”,
c) dodaje się ust. 2 i 3 w brzmieniu:
„2. Służby statystyki publicznej przetwarzają dane osobowe określone w art. 35b ust. 1 oraz informacje o życiu i sytuacji osób fizycznych lub wybranych aspektach życia i sytuacji tych osób, o których mowa w art. 35b ust. 2, pochodzące z niepublicznych systemów informacyjnych w szczegółowym zakresie określonym w programie badań statystycznych statystyki publicznej.
3. Służby statystyki publicznej przetwarzają dane osobowe, o których mowa w art. 8, zbierane z systemów informacyjnych administracji publicznej, rejestrów urzędowych i niepublicznych systemów informacyjnych, zapewniając gwarancje ich pełnej ochrony na zasadach określonych w ustawie.”;
11) art. 35d i art. 35e otrzymują brzmienie:
„Art. 35d. 1. Dane osobowe po ich zebraniu przez służby statystyki publicznej, jeżeli pozwala na to cel ich przetwarzania, są pseudonimizowane.
2. Pseudonimizacja dokonywana jest niezwłocznie, po określeniu niezbędnego zakresu podmiotowego i przedmiotowego, w sposób i zgodnie z trybem, o którym mowa w ust. 4.
3. Odwrócenie pseudonimizacji następuje wyłącznie w zakresie niezbędnym do uzyskania celu statystycznego.
4. Sposób i tryb pseudonimizacji danych osobowych określa, w drodze zarządzenia, Prezes Głównego Urzędu Statystycznego.
Art. 35e. 1. Dane osobowe, jeżeli jest to niezbędne do realizacji zadań określonych w ustawie, w zakresie dotyczącym celów statystycznych, są łączone z danymi pochodzącymi z różnych badań statystycznych, rejestrów urzędowych, systemów informacyjnych administracji publicznej i niepublicznych systemów informacyjnych.
2. Wykorzystywanie danych do celów innych niż określone w ustawie, w szczególności do podejmowania decyzji lub indywidualnych rozstrzygnięć wobec konkretnej osoby fizycznej, jest zabronione.”;
12) uchyla się art. 35f;
13) art. 35g otrzymuje brzmienie:
„Art. 35g. Przepisy art. 35a–35c, art. 35d ust. 1 i art. 35h stosuje się do innych organów i podmiotów prowadzących badania statystyczne, o których mowa w art. 20, w zakresie prowadzonych przez nie badań statystycznych.”;
14) po art. 35g dodaje się art. 35h w brzmieniu:
„Art. 35h. 1. Do przetwarzania danych osobowych w celu wykonywania zadań określonych w ustawie przez służby statystyki publicznej nie stosuje się przepisów art. 15, art. 16, art. 18 i art. 21 rozporządzenia 2016/679.
2. W związku z przetwarzaniem danych osobowych w celu realizacji zadań określonych w ustawie przez służby statystyki publicznej wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, następuje przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu i stronie internetowej Głównego Urzędu Statystycznego.
3. Informacja o sposobie wykonania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przekazywana jest razem z informacjami, o których mowa w art. 6 ust. 5.”;
15) art. 39 otrzymuje brzmienie:
„Art. 39. Prezes Głównego Urzędu Statystycznego zapewnia przechowywanie zgromadzonych danych zgodnie z zasadami określonymi w art. 10, art. 35d i rozdziale 5a.”;
16) po rozdziale 5 dodaje się rozdział 5a w brzmieniu:
„Rozdział 5a
Operat do badań statystycznych
Art. 39a. 1. W celu realizacji badań statystycznych Prezes Głównego Urzędu Statystycznego prowadzi operat do badań statystycznych, zwany dalej „OBS”, w którym zamieszcza informacje o podmiotach podlegających obserwacji statystycznej według określonych cech.
2. OBS prowadzony jest w systemie teleinformatycznym.
3. Dane osobowe, w zależności od podmiotu podlegającego obserwacji statystycznej, są przechowywane w OBS nie dłużej niż przez 100 lat.
Art. 39b. 1. OBS podlega stałej i bieżącej aktualizacji w celu umożliwienia prowadzenia obserwacji statystycznej podmiotu tej obserwacji w czasie i przestrzeni.
2. OBS jest aktualizowany z wykorzystaniem danych pochodzących z rejestrów urzędowych i systemów informacyjnych oraz badań statystycznych, w tym spisów powszechnych.
Art. 39c. 1. Dane gromadzone w OBS są wykorzystywane wyłącznie przez służby statystyki publicznej do prowadzenia badań statystycznych, w tym spisów powszechnych.
2. Dane gromadzone w OBS mogą być udostępniane wyłącznie w trybie, o którym mowa w art. 20 ust. 4.
3. Dane w OBS są gromadzone, opracowywane i przechowywane z zachowaniem szczególnych warunków bezpieczeństwa i bezwzględnej ochrony danych, o której mowa w art. 10.”;
17) w art. 42 uchyla się ust. 2;
18) w art. 53 ust. 1 otrzymuje brzmienie:
„1. Przekazywanie danych w formie i trybie określonych w programie badań statystycznych statystyki publicznej, a w przypadku spisów powszechnych – w odrębnej ustawie, odbywa się odpowiednio na koszt podmiotu obserwacji statystycznej lub gestora systemu informacyjnego administracji publicznej albo prowadzącego rejestr urzędowy albo niepubliczny system informacyjny.”.
Art. 32. [Ustawa o zasadach ewidencji i identyfikacji podatników i płatników] W ustawie z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (Dz. U. z 2019 r. poz. 63) po art. 15a dodaje się art. 15aa w brzmieniu:
„Art. 15aa. 1. W związku z przetwarzaniem danych osobowych w celu nadania NIP wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.25)), następuje przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2, tego rozporządzenia w miejscu publicznie dostępnym w siedzibie organu lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ oraz na jego stronie internetowej. W takim przypadku, pozyskując dane osobowe, organ przekazuje osobie, której dane dotyczą, informacje o sposobie wykonania tego obowiązku.
2. Organy, o których mowa w art. 14a, mogą upoważniać do przetwarzania danych osobowych osoby zatrudnione lub pełniące służbę w jednostkach organizacyjnych Krajowej Administracji Skarbowej, w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organy te prowadzą rejestr osób upoważnionych do przetwarzania danych osobowych.
3. Dane osobowe przetwarzane przez organy, o których mowa w art. 14a, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności przez pozyskiwanie i przekazywanie danych osobowych podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do CRP KEP;
6) zapewnieniu integralności danych w CRP KEP;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.”.
Art. 33. [Prawo łowieckie] W ustawie z dnia 13 października 1995 r. – Prawo łowieckie (Dz. U. z 2018 r. poz. 2033 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:
1) w art. 21 w ust. 3 uchyla się pkt 2;
2) po art. 21 dodaje się art. 21a w brzmieniu:
„Art. 21a. 1. Osoba ubiegająca się o przystąpienie do egzaminu, o którym mowa w art. 21 ust. 1, składa wniosek o dopuszczenie do egzaminu zawierający:
1) imię i nazwisko;
2) adres miejsca zamieszkania;
3) datę i miejsce urodzenia;
4) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
5) dane kontaktowe;
6) podpis.
2. W celu weryfikacji tożsamości osoba przystępująca do egzaminu, o którym mowa w art. 21 ust. 1, okazuje komisji egzaminacyjnej dowód osobisty lub inny dokument potwierdzający tożsamość.”.
Art. 34. [Ustawa o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i Związek Socjalistycznych Republik Radzieckich] W ustawie z dnia 31 maja 1996 r. o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i Związek Socjalistycznych Republik Radzieckich (Dz. U. z 2014 r. poz. 1001 oraz z 2018 r. poz. 1552) w art. 4:
1) ust. 1 otrzymuje brzmienie:
„1. Uprawnienie do świadczenia jest przyznawane decyzją Szefa Urzędu do Spraw Kombatantów i Osób Represjonowanych na podstawie wniosku zainteresowanej osoby i dokumentów oraz dowodów potwierdzających rodzaj i okres represji.”;
2) po ust. 1 dodaje się ust. 1a w brzmieniu:
„1a. Wniosek, o którym mowa w ust. 1, zawiera imię lub imiona oraz nazwisko, nazwisko rodowe, datę i miejsce urodzenia, imiona rodziców, aktualne obywatelstwo i obywatelstwo w czasie podlegania represjom, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny wnioskodawcy, numer telefonu lub adres poczty elektronicznej, o ile wnioskodawca je posiada.”;
3) uchyla się ust. 3.
Art. 35. [Ustawa o doradztwie podatkowym] W ustawie z dnia 5 lipca 1996 r. o doradztwie podatkowym (Dz. U. z 2019 r. poz. 283) wprowadza się następujące zmiany:
1) po art. 25 dodaje się art. 25a w brzmieniu:
„Art. 25a. 1. Minister właściwy do spraw finansów publicznych jest administratorem danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego.
2. Do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie.
3. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.”;
2) w art. 37 dodaje się ust. 5–7 w brzmieniu:
„5. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.26)) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez doradcę podatkowego lub osoby, o których mowa w ust. 3, tajemnicy zawodowej, o której mowa w ust. 1 i 3.
6. W przypadku danych osobowych pozyskanych przez doradcę podatkowego albo osoby, o których mowa w ust. 3, w związku z wykonywaniem doradztwa podatkowego nie stosuje się przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
7. Obowiązek zachowania tajemnicy zawodowej, o której mowa w ust. 1 i 3, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez doradcę podatkowego albo osoby, o których mowa w ust. 3, w związku z wykonywaniem doradztwa podatkowego występuje Prezes Urzędu Ochrony Danych Osobowych.”;
3) po art. 63 dodaje się art. 63a w brzmieniu:
„Art. 63a. 1. Krajowa Izba Doradców Podatkowych jest administratorem danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów.
2. Do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie.
3. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.”.
Art. 36. [Ustawa o Radzie Ministrów] W ustawie z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392, z 2015 r. poz. 1064, z 2018 r. poz. 1669 oraz z 2019 r. poz. 271) wprowadza się następujące zmiany:
1) w art. 7 w ust. 4 pkt 3 otrzymuje brzmienie:
„3) prowadzi konsultacje publiczne oraz współdziała z samorządem terytorialnym, organizacjami społecznymi i przedstawicielstwami środowisk zawodowych i twórczych;”;
2) po art. 39a dodaje się art. 39b w brzmieniu:
„Art. 39b. W zakresie niezbędnym do przygotowania projektu dokumentu rządowego, przygotowania i prowadzenia uzgodnień, konsultacji publicznych, opiniowania tego projektu oraz jego rozpatrywania Rada Ministrów, Prezes Rady Ministrów, członek Rady Ministrów, Szef Kancelarii Prezesa Rady Ministrów, inny podmiot, którego upoważnienie wynika z przepisów odrębnych, podmiot działający z upoważnienia Rady Ministrów, Prezesa Rady Ministrów albo członka Rady Ministrów oraz Rządowe Centrum Legislacji przetwarzają dane osobowe, w tym dane, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.27)).”.
Art. 37. [Ustawa o utrzymaniu czystości i porządku w gminach] W ustawie z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (Dz. U. z 2018 r. poz. 1454 i 1629) w art. 6n w ust. 1 pkt 1 otrzymuje brzmienie:
„1) wzór deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi składanej przez właścicieli nieruchomości, z uwzględnieniem art. 6m ust. 1a i 1b, obejmujący objaśnienia dotyczące sposobu jej wypełnienia, informacje wskazane w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.28)) oraz pouczenie, że deklaracja stanowi podstawę do wystawienia tytułu wykonawczego; uchwała zawiera także informację o terminach i miejscu składania deklaracji;”.
Art. 38. [Ustawa o zawodach lekarza i lekarza dentysty] W ustawie z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2019 r. poz. 537 i 577) wprowadza się następujące zmiany:
1) w art. 15 dodaje się ust. 11 i 12 w brzmieniu:
„11. Marszałek województwa, Minister Obrony Narodowej oraz wojewoda, w celu wykonywania zadań związanych z realizacją stażu podyplomowego lekarzy i lekarzy dentystów, przetwarzają zgodnie ze swoją właściwością dane lekarzy i lekarzy dentystów obejmujące:
1) stopień żołnierza w służbie czynnej;
2) imię i nazwisko;
3) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
4) datę urodzenia;
5) adres miejsca zamieszkania;
6) numer prawa wykonywania zawodu;
7) posiadane specjalizacje;
8) powody i okresy absencji w pracy;
9) przewidywany i faktyczny termin porodu;
10) informację o orzeczonej niepełnosprawności;
11) informacje o trybie rozwiązania umowy o pracę.
12. Dane, o których mowa w ust. 11 pkt 8–11, nie mogą być przetwarzane w celu innym niż finansowanie stażu podyplomowego, przedłużanie stażu podyplomowego i nadzór nad odbywaniem stażu podyplomowego, a dostęp do nich mogą mieć wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania tych danych wydane przez marszałka województwa, Ministra Obrony Narodowej lub wojewodę. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w poufności.”;
2) w art. 16h dodaje się ust. 10 i 11 w brzmieniu:
„10. Wojewoda, minister właściwy do spraw zdrowia, minister właściwy do spraw wewnętrznych i Minister Obrony Narodowej, w celu wykonywania zadań związanych z realizacją szkolenia specjalizacyjnego lekarzy i lekarzy dentystów, przetwarzają, zgodnie ze swoją właściwością, dane lekarzy i lekarzy dentystów obejmujące:
1) stopień żołnierza w służbie czynnej lub funkcjonariusza w stosunku służby;
2) imię i nazwisko;
3) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
4) datę urodzenia;
5) adres miejsca zamieszkania;
6) numer prawa wykonywania zawodu;
7) posiadane specjalizacje;
8) powody i okresy absencji w pracy;
9) przewidywany i faktyczny termin porodu;
10) informację o orzeczonej niepełnosprawności;
11) informacje o trybie rozwiązania umowy o pracę.
11. Dane, o których mowa w ust. 10 pkt 8–11, nie mogą być przetwarzane w celu innym niż finansowanie szkolenia specjalizacyjnego, przedłużanie szkolenia specjalizacyjnego i nadzór nad odbywaniem szkolenia specjalizacyjnego, a dostęp do nich mogą mieć wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania tych danych wydane przez wojewodę, ministra właściwego do spraw zdrowia, ministra właściwego do spraw wewnętrznych lub Ministra Obrony Narodowej. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w poufności.”.
Art. 39. [Prawo energetyczne] W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne (Dz. U. z 2018 r. poz. 755, z późn. zm.29)) wprowadza się następujące zmiany:
1) w art. 5d dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 i 3 w brzmieniu:
„2. Rada gminy określa, w drodze uchwały, wzór wniosku o wypłatę dodatku energetycznego.
3. Dane osobowe przetwarzane w zakresie niezbędnym do wypłacenia dodatku energetycznego przechowuje się przez okres nie dłuższy niż 5 lat od dnia zaprzestania wypłacania tego dodatku.”;
2) w art. 32d w ust. 4 wyraz „przekazuje” zastępuje się wyrazem „udostępnia”.
Art. 40. [Kodeks karny] W ustawie z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. z 2018 r. poz. 1600 i 2077) w art. 115 § 12 otrzymuje brzmienie:
„§ 12. Groźbą bezprawną jest zarówno groźba, o której mowa w art. 190, jak i groźba spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jak również rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.”.
Art. 41. [Prawo o ruchu drogowym] W ustawie z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym (Dz. U. z 2018 r. poz. 1990, 2244 i 2322 oraz z 2019 r. poz. 53 i 60) wprowadza się następujące zmiany:
1) w art. 80b uchyla się ust. 4;
2) w art. 100ab uchyla się ust. 2;
3) w art. 100g uchyla się ust. 7;
4) w art. 129h ust. 4 otrzymuje brzmienie:
„4. Do przetwarzania danych osobowych przez Głównego Inspektora Transportu Drogowego, w zakresie, o którym mowa w ust. 3, stosuje się przepis art. 26 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).”;
5) po dziale Vb dodaje się dział Vc w brzmieniu:
„Dział Vc
Przetwarzanie danych osobowych
Art. 140o. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.30)), nie wpływa na przebieg i wynik kontroli, o których mowa w art. 129 ust. 1, 4 i 4a, art. 129a ust. 1, art. 129b ust. 1, art. 129c ust. 1 oraz art. 129d ust. 1, ani na uprawnienie właściwego organu do nałożenia kary.”.
Art. 42. [Ustawa o publicznej służbie krwi] W ustawie z dnia 22 sierpnia 1997 r. o publicznej służbie krwi (Dz. U. z 2017 r. poz. 1371 oraz z 2018 r. poz. 1375) w art. 17 ust. 3 otrzymuje brzmienie:
„3. Administratorem danych gromadzonych w systemie e-krew jest minister właściwy do spraw zdrowia.”.
Art. 43. [Ustawa o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych] W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2018 r. poz. 511, 1000, 1076, 1925, 2192 i 2354) wprowadza się następujące zmiany:
1) po art. 2a dodaje się art. 2b w brzmieniu:
„Art. 2b. 1. Pracodawca przetwarza dane osobowe, w tym dane o stanie zdrowia osób:
1) pozostających z nim w stosunku pracy oraz niepracujących byłych pracowników,
2) niepełnosprawnych wykonujących pracę nakładczą,
3) uczestniczących w procesie rekrutacji, odbywających szkolenie, staż, przygotowanie zawodowe albo praktyki zawodowe lub absolwenckie,
4) należących do grup wymienionych w art. 5 załącznika nr 1 do rozporządzenia Komisji (WE) nr 800/2008 z dnia 6 sierpnia 2008 r. uznającego niektóre rodzaje pomocy za zgodne ze wspólnym rynkiem w zastosowaniu art. 87 i 88 Traktatu (ogólne rozporządzenie w sprawie wyłączeń blokowych) (Dz. Urz. WE L 214 z 09.08.2008, str. 3, z późn. zm.31)) oraz do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.32)),
5) będących członkami rodzin pracowników i niepracujących byłych pracowników,
6) o których mowa w art. 21 ust. 2c, i osób korzystających z usług jednostek organizacyjnych, o których mowa w art. 21 ust. 2e pkt 3
– dla celów określonych w ustawie.
2. Przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia jest dobrowolne.
3. W celu realizacji zadań, o których mowa w art. 25a, art. 25c, art. 25d i art. 26a–26c, działania mogą być podejmowane w oparciu o zautomatyzowane przetwarzanie danych.
4. Przetwarzanie, o którym mowa w ust. 3, może obejmować dane osobowe o stanie zdrowia.
5. W przypadku, o którym mowa w ust. 3 i 4, administrator danych zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym w szczególności zapewnia tej osobie prawo do uzyskania interwencji ludzkiej, prawo do wyrażenia własnego stanowiska oraz zakwestionowania decyzji podjętej w sposób zautomatyzowany.
6. Zabezpieczenia przetwarzania danych osobowych przez podmioty i osoby realizujące zadania wynikające z ustawy polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
7. Pracodawcy, o których mowa w ust. 1, podmioty i osoby realizujące zadania wynikające z ustawy przechowują dane osobowe wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat.
8. Okres przechowywania danych przetwarzanych przez podmioty, o których mowa w art. 6 ust. 1, wynosi 50 lat.”;
2) w art. 6 dodaje się ust. 5 i 6 w brzmieniu:
„5. Zespoły orzekające o niepełnosprawności przetwarzają dane osobowe, w tym dane o stanie zdrowia, wyłącznie dla celów realizacji zadań oraz w zakresie niezbędnym do ich wykonania.
6. Zabezpieczenia przetwarzania danych osobowych przez zespoły orzekające o niepełnosprawności polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich poufności.”;
3) w art. 6c w ust. 6 zdanie pierwsze otrzymuje brzmienie:
„Wojewoda pełni bezpośredni nadzór nad powiatowymi zespołami przy pomocy wojewódzkich zespołów.”;
4) w art. 6ca:
a) w ust. 1 zdanie pierwsze otrzymuje brzmienie:
„Powiatowy zespół, na wniosek osoby niepełnosprawnej lub jej przedstawiciela ustawowego, wystawia legitymację dokumentującą niepełnosprawność albo legitymację dokumentującą stopień niepełnosprawności.”,
b) po ust. 1 dodaje się ust. 1a w brzmieniu:
„1a. Wniosek o wystawienie legitymacji lub jej duplikatu zawiera dane osobowe osoby ubiegającej się o wydanie legitymacji lub jej duplikatu lub dane przedstawiciela ustawowego tej osoby obejmujące:
1) imię i nazwisko;
2) datę i miejsce urodzenia;
3) płeć;
4) numer PESEL;
5) adres miejsca zamieszkania, jeżeli jest inny niż adres miejsca zameldowania;
6) dane kontaktowe;
7) dane o dokumencie tożsamości.”,
c) dodaje się ust. 5 w brzmieniu:
„5. Minister właściwy do spraw zabezpieczenia społecznego może określić wzór wniosku o wydanie legitymacji dokumentującej niepełnosprawność albo stopień niepełnosprawności lub ich duplikatu i udostępnić te wzory w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.”;
5) w art. 6d w ust. 4 pkt 4 otrzymuje brzmienie:
„4) dane dotyczące imienia i nazwiska, numeru PESEL, płci i obywatelstwa osób, o których mowa w ust. 3 pkt 4, formy ich zatrudnienia i wymiaru czasu pracy;”.
Art. 44. [Ordynacja podatkowa] W ustawie z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2018 r. poz. 800, z późn. zm.33)) wprowadza się następujące zmiany:
1) po art. 1 dodaje się art. 1a w brzmieniu:
„Art. 1a. § 1. Ustawa normuje również sposób wykonywania przez organy podatkowe obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.34)), zwanego dalej „rozporządzeniem 2016/679”.
§ 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów podatkowych przewidzianych w ustawie i nie wpływa na tok i wynik procedur podatkowych.
§ 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik procedur podatkowych.”;
2) w art. 119zn:
a) § 2 otrzymuje brzmienie:
„§ 2. Wskaźnik ryzyka ustala izba rozliczeniowa w STIR nie rzadziej niż raz dziennie, opierając się na zautomatyzowanym przetwarzaniu, jeżeli zachowane są cele i warunki określone w niniejszym dziale.”,
b) dodaje się § 5 w brzmieniu:
„§ 5. Przetwarzanie, o którym mowa w § 2, może opierać się na danych osobowych ujawniających pochodzenie rasowe lub etniczne oraz danych biometrycznych, jeżeli zachowane są cele i warunki określone w niniejszym dziale.”;
3) w art. 159 po § 1a dodaje się § 1b w brzmieniu:
„§ 1b. Wezwanie zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
4) w art. 165 dodaje się § 9 w brzmieniu:
„§ 9. Organ podatkowy przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
5) w art. 165a w § 1 dodaje się zdanie drugie w brzmieniu:
„Przepis art. 165 § 9 stosuje się odpowiednio.”;
6) w art. 170 po § 1 dodaje się § 1a w brzmieniu:
„§ 1a. Zawiadomienie o przekazaniu podania zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.”;
7) w art. 171 w § 1 dodaje się zdanie trzecie w brzmieniu:
„Do zawiadomienia stosuje się odpowiednio przepis art. 170 § 1a.”;
8) po art. 179 dodaje się art. 179a w brzmieniu:
„Art. 179a. Przepis art. 178 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.”;
9) w art. 283 w § 2 w pkt 8 kropkę zastępuje się średnikiem i dodaje się pkt 9 w brzmieniu:
„9) wskazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679.”;
10) po art. 306a dodaje się art. 306aa w brzmieniu:
„Art. 306aa. Organ podatkowy przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do wnioskodawcy, chyba że wnioskodawca posiada te informacje, a ich zakres lub treść nie uległy zmianie.”.
Art. 45. [Ustawa o Narodowym Banku Polskim] W ustawie z dnia 29 sierpnia 1997 r. o Narodowym Banku Polskim (Dz. U. z 2017 r. poz. 1373, z 2018 r. poz. 2243 oraz z 2019 r. poz. 371) po art. 59 dodaje się art. 59a w brzmieniu:
„Art. 59a. 1. W przypadku przetwarzania danych osobowych w celu wykonywania zadań określonych w art. 3 ust. 2 pkt 6a i 7, realizację uprawnień, o których mowa w art. 15 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.35)), zapewniają podmioty, które przekazują dane do NBP w sposób określony w art. 23a ust. 1 i 2.
2. NBP informuje o ograniczeniach, o których mowa w ust. 1, przez udostępnienie tych informacji w miejscu powszechnie dostępnym w swojej siedzibie oraz w Biuletynie Informacji Publicznej na stronie podmiotowej NBP lub na stronie internetowej NBP.
3. Okres przechowywania danych osobowych, o których mowa w ust. 1, ustala administrator danych zgodnie z celami ich przetwarzania, biorąc pod uwagę przepisy odrębne dotyczące terminów. NBP dokonuje przeglądu tych danych osobowych co 5 lat.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, aby proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych NBP;
6) zapewnieniu integralności danych w systemach informatycznych NBP;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.
5. Prezesowi Urzędu Ochrony Danych Osobowych nie przysługuje prawo dostępu do danych jednostkowych, o których mowa w art. 23 ust. 2, 2a, 3 i 3a, oraz zestawień statystycznych, opracowań i ocen, o których mowa w art. 23 ust. 6.
6. Jeżeli jest to konieczne ze względu na wymagania bezpieczeństwa związane z kontrolą dostępu do informacji lub pomieszczeń, NBP żąda od osób świadczących usługi na rzecz NBP lub osób realizujących transporty wartości pieniężnych oraz ich pracowników danych biometrycznych w postaci odcisków palców, głosu, geometrii dłoni, układu naczyń krwionośnych palców lub dłoni. Dane biometryczne mogą być przechowywane wyłącznie przez czas realizacji usług świadczonych przez te osoby na rzecz NBP lub realizacji transportów pieniężnych.”.
Art. 46. [Prawo bankowe] W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2018 r. poz. 2187, 2243 i 2354 oraz z 2019 r. poz. 326) wprowadza się następujące zmiany:
1) w art. 4 w ust. 1 w pkt 46 kropkę zastępuje się średnikiem i dodaje się pkt 47 i 48 w brzmieniu:
„47) rozporządzenie 2016/679 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.36));
48) profilowanie – profilowanie osób fizycznych w rozumieniu art. 4 pkt 4 rozporządzenia 2016/679.”;
2) w art. 22aa:
a) w ust. 1 dodaje się zdanie drugie w brzmieniu:
„Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny.”,
b) dodaje się ust. 10–12 w brzmieniu:
„10. W celu zapewnienia ostrożnego i stabilnego zarządzania bankiem, bank identyfikuje inne niż wymienione w ust. 1 kluczowe funkcje w banku, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Bank zapewnia, że osoby pełniące te funkcje spełniają odpowiednio wymagania określone w ust. 1.
11. Bank żąda od kandydata na członka zarządu lub rady nadzorczej oraz od osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku przedłożenia:
1) dokumentów lub oświadczeń dotyczących:
a) zmiany imienia, nazwiska lub obywatelstwa,
b) sytuacji materialnej i stanu majątku;
2) informacji niezbędnych do oceny spełniania warunków określonych w ust. 1, dotyczących:
a) adresu zamieszkania lub pobytu,
b) wykształcenia, zawodu, umiejętności i doświadczenia zawodowego, w tym dotychczasowego przebiegu pracy zawodowej, ukończonych szkoleń zawodowych, miejsca i stanowiska pracy oraz funkcji pełnionych w organach podmiotów sektora finansowego,
c) postępowań karnych i postępowań w sprawach o przestępstwa skarbowe prowadzonych przeciwko kandydatowi na członka zarządu lub rady nadzorczej lub osobie ubiegającej się o pełnienie innej kluczowej funkcji w banku,
d) nałożonych sankcji administracyjnych,
e) sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku,
f) postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku, oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których występował lub występuje jako strona,
g) znajomości języka polskiego oraz języków obcych,
h) sposobu działania w życiu, środowisku i kontaktach zawodowych oraz sposobu zachowania się wobec osób pokrzywdzonych przez jego działania.
12. Dane osobowe, o których mowa w ust. 11, przechowuje się nie dłużej niż przez okres 25 lat.”;
3) w art. 70 uchyla się ust. 5 i 6;
4) po art. 70 dodaje się art. 70a w brzmieniu:
„Art. 70a. 1. Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego.
2. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
3. W przypadku przedsiębiorców bank i inna instytucja ustawowo upoważniona do udzielania kredytów może pobierać opłatę za sporządzenie wyjaśnienia, o którym mowa w ust. 1. Wysokość opłaty powinna być odpowiednia do wysokości kredytu.
4. Przepisy ust. 1–3 stosuje się odpowiednio do przedsiębiorcy ubiegającego się o pożyczkę pieniężną.”;
5) w art. 105 w ust. 1 w pkt 2 lit. u otrzymuje brzmienie:
„u) podmiotu, o którym mowa w art. 45 ust. 1 ustawy z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji, w zakresie niezbędnym do zapewnienia prawidłowej realizacji wypłat środków gwarantowanych,”;
6) w art. 105a po ust. 1 dodaje się ust. 1a–1c w brzmieniu:
„1a. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych – również stanowiących tajemnicę bankową – pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o następujące kategorie danych:
1) dane dotyczące osoby fizycznej:
a) imię (imiona) i nazwisko,
b) nazwisko rodowe,
c) imiona rodziców,
d) datę i miejsce urodzenia,
e) wiek,
f) płeć,
g) obywatelstwo,
h) stan cywilny,
i) serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
j) numer PESEL, o ile został nadany,
k) numer identyfikacji podatkowej, o ile został nadany,
l) adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji,
m) tytuł prawny do zajmowanego lokalu,
n) miejsce pracy,
o) zawód,
p) wykształcenie,
q) formę zatrudnienia,
r) sytuację finansową, w tym dochody i wydatki,
s) osoby pozostające na utrzymaniu,
t) ustrój majątkowy małżonków;
2) dane dotyczące zobowiązania:
a) źródło zobowiązania,
b) kwotę i walutę,
c) numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów,
d) datę powstania zobowiązania,
e) warunki spłaty zobowiązania,
f) ustanowione zabezpieczenia prawne,
g) przebieg realizacji zobowiązania,
h) stan zadłużenia z tytułu zobowiązania,
i) datę wygaśnięcia zobowiązania,
j) przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki, o której mowa w ust. 3,
k) przyczyny wygaśnięcia zobowiązania.
1c. Decyzje, o których mowa w ust. 1a, nie mogą być podejmowane w oparciu o dane, o których mowa w art. 9 rozporządzenia 2016/679.”;
7) art. 106d otrzymuje brzmienie:
„Art. 106d. 1. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.
2. Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.”;
8) po art. 106d dodaje się art. 106e w brzmieniu:
„Art. 106e. Do przetwarzania danych osobowych przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, przepisu art. 15 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zgodnie z art. 106, oraz zapobiegania przestępstwom, zgodnie z art. 106a i art. 106d.”.
Art. 47. [Ustawa o systemie ubezpieczeń społecznych] W ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2019 r. poz. 300 i 303) po art. 34 dodaje się art. 34a w brzmieniu:
„Art. 34a. 1. Zakład może wykonać obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.37)), zwanego dalej „rozporządzeniem 2016/679”, przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w miejscu publicznie dostępnym w centrali lub terenowych jednostkach organizacyjnych oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie podmiotowej Zakładu. W takim przypadku Zakład, podczas pozyskiwania danych osobowych, informuje osobę, której dane dotyczą, o miejscu udostępnienia tych informacji.
2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków Zakładu i nie wpływa na przebieg i wynik postępowań prowadzonych przez Zakład.”.
Art. 48. [Ustawa o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych] W ustawie z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2018 r. poz. 1270 i 2245 oraz z 2019 r. poz. 39) w art. 117 po ust. 4 dodaje się ust. 4a w brzmieniu:
„4a. Wniosek o potwierdzenie okresów, o których mowa w art. 6 ust. 1 pkt 10 i ust. 2 pkt 6a, zawiera imię lub imiona oraz nazwisko wnioskodawcy, datę i miejsce urodzenia, imiona rodziców, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny, numer telefonu lub adres poczty elektronicznej, o ile wnioskodawca je posiada.”.
Art. 49. [Ustawa o Rzeczniku Praw Dziecka] W ustawie z dnia 6 stycznia 2000 r. o Rzeczniku Praw Dziecka (Dz. U. z 2017 r. poz. 922) art. 10c otrzymuje brzmienie:
„Art. 10c. 1. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań.
2. Rzecznik może przetwarzać dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.38)), wyłącznie w celu ochrony wolności i praw człowieka i obywatela przy realizacji swoich ustawowych zadań.
3. Rzecznik dopuszcza do przetwarzania danych osobowych osoby posiadające pisemne upoważnienie. Warunkiem udzielenia upoważnienia jest pisemne zobowiązanie się osoby upoważnianej do zachowania przetwarzanych danych osobowych w poufności.”.
Art. 50. [Ustawa o Krajowym Rejestrze Karnym] W ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2018 r. poz. 1218 i 1544 oraz z 2019 r. poz. 60) w art. 4 ust. 2 otrzymuje brzmienie:
„2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze.”.
Art. 51. [Prawo atomowe] W ustawie z dnia 29 listopada 2000 r. – Prawo atomowe (Dz. U. z 2018 r. poz. 792, 1669 i 2227) w art. 86c dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2–5 w brzmieniu:
„2. W przypadku przyjmowania, weryfikacji i przetwarzania przez Prezesa Agencji informacji o zdarzeniach radiacyjnych, a także informacji o próbach nielegalnego przywozu na terytorium Rzeczypospolitej Polskiej lub wywozu z terytorium Rzeczypospolitej Polskiej substancji promieniotwórczych, obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.39)), są realizowane przez udostępnienie informacji w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Agencji, jego stronie internetowej oraz w miejscu powszechnie dostępnym w siedzibie Agencji.
3. Prezes Agencji informuje o ograniczeniach, o których mowa w ust. 2, udostępniając stosowne informacje w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Agencji, jego stronie internetowej oraz w miejscu powszechnie dostępnym w siedzibie Agencji.
4. Okres przechowywania danych, o których mowa w ust. 2, ustala się zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).
5. Dane osobowe, o których mowa w ust. 2, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.”.
Art. 52. [Ustawa o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających] W ustawie z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających (Dz. U. z 2018 r. poz. 613) w art. 22f po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Członkowie zarządu jednostki zarządzającej powinni mieć wiedzę, umiejętności i doświadczenie odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków oraz dawać rękojmię należytego wykonywania tych obowiązków. Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw jednostki zarządzającej w sposób ostrożny i stabilny. Do oceny rękojmi ostrożnego i stabilnego zarządzania jednostką zarządzającą stosuje się odpowiednio przepisy art. 22aa ust. 10–12 ustawy – Prawo bankowe.”.
Art. 53. [Ustawa o samorządach zawodowych architektów oraz inżynierów budownictwa] W ustawie z dnia 15 grudnia 2000 r. o samorządach zawodowych architektów oraz inżynierów budownictwa (Dz. U. z 2016 r. poz. 1725, z 2018 r. poz. 1669 oraz z 2019 r. poz. 577) po art. 8c dodaje się art. 8d i art. 8e w brzmieniu:
„Art. 8d. 1. W związku z przetwarzaniem przez właściwe organy krajowych i okręgowych izb samorządu zawodowego architektów i inżynierów budownictwa danych osobowych uzyskanych w toku realizacji zadań określonych w ustawie prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.40)), przysługuje, jeżeli nie wpływa na ochronę praw i wolności osoby, od której dane pozyskano.
2. Właściwe organy krajowych i okręgowych izb samorządu zawodowego architektów i inżynierów budownictwa informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
Art. 8e. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na:
1) prowadzenie postępowań kontrolnych;
2) prowadzenie list oraz rejestru, o których mowa w art. 8c, art. 19 ust. 1 pkt 10 oraz art. 39, w tym ich tworzenie, ewidencjonowanie i utrzymywanie oraz aktualizację i udostępnianie danych;
3) postępowania w sprawach świadczenia usług transgranicznych, o których mowa w art. 20a;
4) uznawanie kwalifikacji zawodowych, o których mowa w art. 33a, art. 33d i art. 33e;
5) prowadzenie postępowań dyscyplinarnych, o których mowa w rozdziale 5.”.
Art. 54. [Ustawa o żegludze śródlądowej] W ustawie z dnia 21 grudnia 2000 r. o żegludze śródlądowej (Dz. U. z 2017 r. poz. 2128, z 2018 r. poz. 1137 i 1694 oraz z 2019 r. poz. 125 i 642) w art. 9 po ust. 2g dodaje się ust. 2h i 2i w brzmieniu:
„2h. W przypadku niecierpiącym zwłoki dyrektor urzędu żeglugi śródlądowej, realizując zadania, o których mowa w ust. 2 pkt 1, 2, 4–8 i 10, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.41)), zwanego dalej „rozporządzeniem 2016/679”, przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.
2i. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu żeglugi śródlądowej zadań, o których mowa w ust. 2 pkt 1, 2, 4–8 i 10.”.
Art. 55. [Ustawa o ochronie dziedzictwa Fryderyka Chopina] W ustawie z dnia 3 lutego 2001 r. o ochronie dziedzictwa Fryderyka Chopina (Dz. U. poz. 168) art. 6 otrzymuje brzmienie:
„Art. 6. 1. Osobom fizycznym i jednostkom organizacyjnym wyróżniającym się w ochronie dziedzictwa Fryderyka Chopina, w szczególności w kultywowaniu wiedzy i pamięci o kompozytorze, prowadzeniu badań i współdziałaniu w rozwijaniu wiedzy o twórczości i osobie Fryderyka Chopina, popularyzowaniu jego twórczości, a także pozyskiwaniu, gromadzeniu, zabezpieczaniu i udostępnianiu przedmiotów oraz miejsc związanych z jego życiem i twórczością, nadaje się odznakę honorową „Zasłużony dla Ochrony Dziedzictwa Fryderyka Chopina”, zwaną dalej „Odznaką”.
2. Odznakę nadaje się tej samej osobie fizycznej albo jednostce organizacyjnej tylko raz.
3. Odznakę nadaje minister z własnej inicjatywy lub na wniosek:
1) innego ministra lub kierownika urzędu centralnego;
2) terenowego organu administracji rządowej albo organu jednostki samorządu terytorialnego;
3) kierownika placówki zagranicznej Rzeczypospolitej Polskiej w rozumieniu art. 4 pkt 2 ustawy z dnia 27 lipca 2001 r. o służbie zagranicznej (Dz. U. z 2018 r. poz. 2040 oraz z 2019 r. poz. 9);
4) podmiotu prowadzącego statutową działalność kulturalną, organizacji społecznej lub stowarzyszenia, działających na rzecz ochrony dziedzictwa Fryderyka Chopina;
5) kierownika publicznej albo niepublicznej szkoły artystycznej;
6) instytutu badawczego albo innej jednostki naukowej prowadzącej badania naukowe i poszerzającej wiedzę o życiu i twórczości Fryderyka Chopina.
4. Wniosek, o którym mowa w ust. 3, zawiera dane wnioskodawcy, w tym nazwę lub imię i nazwisko, adres do korespondencji, uzasadnienie wniosku oraz dane kandydata:
1) w przypadku gdy kandydatem jest osoba fizyczna:
a) imię i nazwisko,
b) datę i miejsce urodzenia,
c) obywatelstwo,
d) adres zamieszkania albo do korespondencji,
e) wykształcenie i posiadane tytuły naukowe,
f) numer telefonu lub adres poczty elektronicznej,
g) informacje w zakresie ochrony dziedzictwa Fryderyka Chopina;
2) w przypadku gdy kandydatem jest jednostka organizacyjna:
a) nazwę,
b) siedzibę i adres,
c) charakter prowadzonej działalności,
d) datę utworzenia,
e) osiągnięcia w zakresie ochrony dziedzictwa Fryderyka Chopina.
5. Okres przechowywania danych osobowych zawartych we wniosku, o którym mowa w ust. 3, wynosi 80 lat.
6. Wniosek, o którym mowa w ust. 3, podlega zaopiniowaniu przez komisję do spraw opiniowania wniosków o nadanie Odznaki, zwaną dalej „komisją”, która rekomenduje ministrowi osobę lub jednostkę organizacyjną do nadania Odznaki.
7. W skład komisji wchodzi od 5 do 9 osób, powoływanych przez ministra na okres roku, uznawanych za autorytety artystyczne i naukowe w dziedzinie badania życia i twórczości Fryderyka Chopina. Członkowie komisji pełnią swoje funkcje społecznie.
8. Członkowie Komisji wybierają spośród siebie Przewodniczącego Komisji oraz Sekretarza Komisji.
9. Informacje o nadanych Odznakach są udostępniane w Biuletynie Informacji Publicznej na stronie podmiotowej ministra i zawierają następujące dane osobowe:
1) imię i nazwisko;
2) posiadane tytuły naukowe;
3) informacje dotyczące działalności zawodowej z uwzględnieniem działalności w zakresie ochrony dziedzictwa Fryderyka Chopina.
10. Minister wydaje legitymację potwierdzającą nadanie Odznaki.
11. Minister określi, w drodze rozporządzenia, wzór i tryb rozpatrywania wniosku, o którym mowa w ust. 3, sposób wręczenia Odznaki i noszenia miniatury Odznaki, tryb działania komisji, wzór Odznaki i jej miniatury, wzór legitymacji potwierdzającej nadanie Odznaki, sposób postępowania w przypadku zagubienia albo zniszczenia Odznaki lub legitymacji potwierdzającej nadanie Odznaki, w tym wydawania ich duplikatu, uwzględniając wyeliminowanie możliwości ponownego składania wniosku o tej samej treści oraz ujednolicenie sposobu składania wniosków, sprawne przeprowadzenie postępowania o nadanie Odznaki, wzornictwo stosowane w polskiej falerystyce oraz godne i uroczyste uhonorowanie osób fizycznych oraz jednostek organizacyjnych, którym jest nadawana Odznaka.”.
Art. 56. [Ustawa o usługach detektywistycznych] W ustawie z dnia 6 lipca 2001 r. o usługach detektywistycznych (Dz. U. z 2018 r. poz. 2163 oraz z 2019 r. poz. 55) wprowadza się następujące zmiany:
1) uchyla się art. 8;
2) uchyla się art. 25a;
3) po rozdziale 3 dodaje się rozdział 3a w brzmieniu:
„Rozdział 3a
Przetwarzanie danych osobowych
Art. 28a. Detektyw lub zatrudniający go przedsiębiorca przetwarza dane osobowe zebrane w toku wykonywania czynności, o których mowa w art. 2 ust. 1, bez zgody osób, których dane dotyczą, wyłącznie w zakresie realizacji usługi detektywistycznej.
Art. 28b. 1. Po zrealizowaniu usługi detektywistycznej detektyw lub zatrudniający go przedsiębiorca obowiązany jest przekazać zleceniodawcy dane osobowe zebrane podczas wykonywania czynności, o których mowa w art. 2 ust. 1.
2. W przypadku rezygnacji zleceniodawcy z odbioru danych osobowych zebranych podczas wykonywania czynności, o których mowa w art. 2 ust. 1, albo nieodebrania ich w ustalonym terminie dane te podlegają zniszczeniu po upływie 5 lat od dnia zakończenia realizacji usługi detektywistycznej, nie później niż bezpośrednio po wykreśleniu przedsiębiorcy z rejestru.
3. Z czynności, o których mowa w ust. 1 i 2, detektyw lub zatrudniający go przedsiębiorca sporządza notatkę, którą dołącza do księgi realizacji umowy. Notatka zawiera:
1) informację o przekazaniu albo zniszczeniu przetwarzanych danych osobowych oraz opis tej czynności;
2) datę przekazania lub zniszczenia przetwarzanych danych osobowych;
3) podpis zleceniodawcy, w przypadku odebrania przetwarzanych danych osobowych, oraz podpis sporządzającego notatkę.
4. Niszczenie przetwarzanych danych osobowych przez detektywa odbywa się w obecności przedsiębiorcy lub wyznaczonej przez niego osoby. Przedsiębiorca lub wyznaczona przez niego osoba podpisuje notatkę, o której mowa w ust. 3.
5. Detektyw lub zatrudniający go przedsiębiorca może przekazać dane osobowe zebrane w toku wykonywania czynności, o których mowa w art. 2 ust. 1, wyłącznie innemu detektywowi wyznaczonemu przez przedsiębiorcę do współdziałania w ramach realizowanej usługi detektywistycznej albo do przejęcia dalszej realizacji usługi detektywistycznej.
Art. 28c. Do przetwarzania danych osobowych zebranych w toku wykonywania czynności, o których mowa w art. 2 ust. 1, nie stosuje się przepisów art. 13 ust. 1 i 2 oraz art. 15 ust. 1 lit. a, c i g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.42)).
Art. 28d. Przedsiębiorca realizujący usługi detektywistyczne informuje o ograniczeniach, o których mowa w art. 28c, na swojej stronie internetowej lub przez wywieszenie w stałym miejscu wykonywania swojej działalności.”.
Art. 57. [Ustawa o kuratorach sądowych] W ustawie z dnia 27 lipca 2001 r. o kuratorach sądowych (Dz. U. z 2018 r. poz. 1014) wprowadza się następujące zmiany:
1) po art. 9 dodaje się art. 9a i art. 9b w brzmieniu:
„Art. 9a. 1. W zakresie niezbędnym do wykonywania swoich ustawowych zadań kurator zawodowy, kierownik zespołu kuratorskiej służby sądowej oraz kurator okręgowy przetwarzają dane osób, których dotyczy postępowanie, obejmujące:
1) imię i nazwisko;
2) datę urodzenia;
3) nazwisko rodowe;
4) numer PESEL oraz numer i serię dokumentu potwierdzającego tożsamość;
5) czynniki określające fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, a w szczególności dotyczące osobistej postawy, zachowania, zainteresowań, zdrowia i usług opieki zdrowotnej, majątku, sytuacji materialnej i bytowej, zatrudnienia, wykształcenia, edukacji, nauki, oddziaływań wychowawczych, życia rodzinnego, funkcjonowania w środowisku, sposobu spędzania czasu wolnego, uzależnień, dysfunkcji i lokalizacji;
6) dane adresowe i kontaktowe;
7) biometryczne cechy fizyczne;
8) informacje o przestrzeganiu porządku prawnego, zarzutach i okolicznościach naruszeń prawa, wykonaniu obowiązków, prowadzonych postępowaniach sądowych i administracyjnych, skazaniach, ukaraniach i rozstrzygnięciach w postępowaniu sądowym lub administracyjnym.
2. W zakresie niezbędnym do wykonywania swoich ustawowych zadań kurator zawodowy, kierownik zespołu kuratorskiej służby sądowej oraz kurator okręgowy przetwarzają dane innych osób pozostających we wspólnym gospodarstwie domowym z osobami objętymi postępowaniem, obejmujące:
1) imię i nazwisko;
2) datę urodzenia;
3) nazwisko rodowe;
4) numer PESEL oraz numer i serię dokumentu potwierdzającego tożsamość;
5) informacje o osobistej postawie i zachowaniu;
6) informacje o zdrowiu;
7) informacje o majątku, sytuacji materialnej i bytowej;
8) informacje o zatrudnieniu;
9) informacje o wykształceniu;
10) informacje o oddziaływaniu wychowawczym, życiu rodzinnym i funkcjonowaniu w środowisku;
11) informacje o uzależnieniach;
12) informacje o dysfunkcjach;
13) dane adresowe i kontaktowe;
14) informacje o przestrzeganiu porządku prawnego, zarzutach i okolicznościach naruszeń prawa, prowadzonych postępowaniach sądowych i administracyjnych, skazaniach, ukaraniach i rozstrzygnięciach w postępowaniu sądowym lub administracyjnym.
3. Administrator danych osób, których dotyczy postępowanie, w tym Policja, Straż Graniczna, inne organy lub instytucje państwowe, organy samorządu terytorialnego, stowarzyszenia i inne organizacje społeczne, organy sądowych postępowań wykonawczych, instytucje pomocy społecznej i pieczy zastępczej, podmioty lecznicze w rozumieniu ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219 oraz z 2019 r. poz. 492 i 730), jednostki organizacyjne, o których mowa w art. 2 pkt 1–8 ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz. U. z 2018 r. poz. 996, z późn. zm.43)), oraz publiczne i niepubliczne uczelnie w rozumieniu ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce (Dz. U. poz. 1668, z późn. zm.44)) są obowiązane udostępnić kuratorowi zawodowemu, kierownikowi zespołu kuratorskiej służby sądowej, kuratorowi okręgowemu, w zakresie niezbędnym do wykonywania ich ustawowych zadań, dane osobowe, o których mowa w ust. 1 i 2.
4. Administrator danych udostępnia dane kuratorowi zawodowemu, kierownikowi zespołu kuratorskiej służby sądowej i kuratorowi okręgowemu nieodpłatnie.
Art. 9b. Administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator sądowy pełni obowiązki służbowe.”;
2) w art. 87 ust. 3 otrzymuje brzmienie:
„3. Kuratorowi społecznemu, w związku z wykonywaniem czynności zleconych przez sąd, sędziego lub kuratora zawodowego, przysługują uprawnienia, o których mowa w art. 9 i art. 9a.”.
Art. 58. [Ustawa o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu] W ustawie z dnia 11 sierpnia 2001 r. o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu (Dz. U. z 2018 r. poz. 1345) wprowadza się następujące zmiany:
1) w art. 13d dodaje się ust. 18 w brzmieniu:
„18. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.45)), zwanego dalej „rozporządzeniem 2016/679”, oraz informuje o ograniczeniu, o którym mowa w art. 13da ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 12 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w ogłoszeniu, o którym mowa w ust. 12;
2) ust. 13 i 14 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.”;
2) po art. 13d dodaje się art. 13da i art. 13db w brzmieniu:
„Art. 13da. 1. W związku z przetwarzaniem przez wójta, burmistrza, prezydenta miasta albo wojewodę danych osobowych uzyskanych w toku prowadzenia postępowań w przedmiocie uchwalania miejscowych planów odbudowy prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia 2016/679, przysługuje, o ile nie wpływa na ochronę praw i wolności osoby, od której dane pozyskano.
2. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), organy, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
Art. 13db. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik postępowań w przedmiocie uchwalania miejscowych planów odbudowy.”.
Art. 59. [Ustawa o Żandarmerii Wojskowej i wojskowych organach porządkowych] W ustawie z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (Dz. U. z 2019 r. poz. 518) wprowadza się następujące zmiany:
1) po art. 8 dodaje się art. 8a w brzmieniu:
„Art. 8a. 1. W stosunku do osób ubiegających się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej przeprowadza się postępowanie kwalifikacyjne.
2. Komendant Główny Żandarmerii Wojskowej organizuje i prowadzi postępowanie kwalifikacyjne w stosunku do kandydatów ubiegających się o przyjęcie do służby:
1) albo pracy w Komendzie Głównej Żandarmerii Wojskowej, Centrum Szkolenia Żandarmerii Wojskowej w Mińsku Mazowieckim i Oddziale Zabezpieczenia Żandarmerii Wojskowej w Warszawie;
2) w korpusie oficerów zawodowych w pozostałych jednostkach organizacyjnych Żandarmerii Wojskowej.
3. Komendant Główny Żandarmerii Wojskowej może upoważnić właściwego komendanta oddziału Żandarmerii Wojskowej do organizacji lub przeprowadzenia postępowania kwalifikacyjnego.
4. Komendant oddziału Żandarmerii Wojskowej organizuje i prowadzi postępowanie kwalifikacyjne w stosunku do innych niż wskazanych w ust. 2 pkt 2 kandydatów ubiegających się o przyjęcie do służby albo pracy w podległych mu jednostkach organizacyjnych.
5. Postępowanie kwalifikacyjne ma na celu ustalenie, czy kandydat posiada predyspozycje i spełnia warunki do pełnienia służby albo pracy w Żandarmerii Wojskowej.
6. Kandydat ubiegający się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej może być poddany badaniom psychologicznym lub psychofizjologicznym.
7. Kandydat ubiegający się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej wypełnia ankietę kwalifikacyjną i wniosek o przeprowadzenie postępowania kwalifikacyjnego.
8. Komendant Główny Żandarmerii Wojskowej lub osoby przez niego upoważnione w ramach postępowania kwalifikacyjnego przeprowadzają:
1) wobec kandydata do pracy:
a) rozmowę kwalifikacyjną,
b) sprawdzenie w Krajowym Rejestrze Karnym, Krajowym Systemie Informacyjnym Policji i Krajowym Centrum Informacji Kryminalnych oraz ewidencjach i kartotekach niedostępnych powszechnie, o których mowa w art. 25 ust. 1 pkt 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412, 650, 1000, 1083 i 1669 oraz z 2019 r. poz. 125),
c) wywiad o kandydacie w miejscu zamieszkania i pracy,
d) badania psychologiczne oraz badania psychofizjologiczne – w przypadku stanowisk wymagających szczególnych predyspozycji;
2) wobec kandydata do służby, czynności wymienione w pkt 1 lit. a–c oraz:
a) egzamin ze sprawności fizycznej,
b) egzamin z poziomu znajomości języków obcych,
c) badania psychologiczne,
d) badania psychofizjologiczne – w przypadku stanowisk wymagających szczególnych predyspozycji.
9. Żandarmeria Wojskowa, w celu przeprowadzenia postępowań kwalifikacyjnych, przetwarza następujące dane:
1) w przypadku kandydata do pracy:
a) wizerunek,
b) nazwisko, w tym nazwisko rodowe,
c) imię lub imiona,
d) imię ojca,
e) imię i nazwisko panieńskie matki,
f) stan cywilny,
g) datę urodzenia,
h) miejsce urodzenia,
i) obywatelstwo (obywatelstwa),
j) serię i numer dowodu osobistego,
k) numer PESEL,
l) posiadany stopień wojskowy lub inny stopień w formacji określonej w art. 17a ust. 1 ustawy z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (Dz. U. z 2019 r. poz. 330 i 730),
m) serię i numer książeczki wojskowej,
n) adres miejsca zamieszkania,
o) serię i numer paszportu,
p) miejsce pracy lub służby,
q) dochody,
r) dane dotyczące służby albo zatrudnienia,
s) wykształcenie,
t) wynik rozmowy kwalifikacyjnej,
u) wyniki wywiadu w miejscu zamieszkania i pracy,
v) wyniki sprawdzeń w kartotekach niedostępnych powszechnie, o których mowa w art. 25 ust. 1 pkt 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych,
w) wyniki sprawdzeń w Krajowym Rejestrze Karnym, Krajowym Systemie Informacyjnym Policji i Krajowym Centrum Informacji Kryminalnych,
x) wynik badania psychologicznego,
y) wynik badania psychofizjologicznego;
2) w przypadku kandydata do służby, dane wymienione w pkt 1 oraz wynik:
a) testu sprawnościowego,
b) sprawdzianu kwalifikacji językowych.
10. Przepis ust. 8 pkt 2 lit. d stosuje się do żołnierzy Żandarmerii Wojskowej przed wyznaczeniem na stanowiska służbowe, w przypadku stanowisk wymagających szczególnych predyspozycji.
11. Informacje, o których mowa w ust. 9, przetwarza się przez okres niezbędny do prowadzenia postępowania kwalifikacyjnego oraz pełnienia służby albo pracy w Żandarmerii Wojskowej, a także wykonywania ustawowych zadań przez Żandarmerię Wojskową.
12. Informacje, o których mowa w ust. 9, uzyskane podczas postępowania kwalifikacyjnego zakończonego wynikiem negatywnym przetwarza się przez okres 5 lat, licząc od dnia zakończenia tego postępowania.
13. Informacje, o których mowa w ust. 9, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych.
14. Minister Obrony Narodowej określi, w drodze rozporządzenia, sposób i tryb prowadzenia postępowania kwalifikacyjnego do Żandarmerii Wojskowej oraz wzór ankiety kwalifikacyjnej i wniosku o przeprowadzenie postępowania kwalifikacyjnego, mając na względzie zapewnienie sprawnego przebiegu postępowania kwalifikacyjnego oraz wyłonienia osób posiadających predyspozycje i warunki do pełnienia służby albo pracy w Żandarmerii Wojskowej.”;
2) w art. 9 uchyla się ust. 1a.
Art. 60. [Ustawa o transporcie drogowym] W ustawie z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2019 r. poz. 58, 60, 125 i 690) wprowadza się następujące zmiany:
1) w art. 55a:
a) uchyla się ust. 4–10,
b) dodaje się ust. 11–13 w brzmieniu:
„11. Inspekcja jest uprawniona do wydawania rozstrzygnięć w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie w związku z realizacją zadań, o których mowa w art. 129a ust. 1 pkt 3 lit. b i art. 129g ustawy z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym.
12. W związku z realizacją zadań, o których mowa w art. 50, Inspekcja wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.46)), zwanego dalej „rozporządzeniem 2016/679”, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.
13. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na wykonywanie przez Inspekcję zadań, o których mowa w art. 50.”;
2) w art. 55b:
a) ust. 1 otrzymuje brzmienie:
„1. Jeżeli przepisy odrębne nie stanowią inaczej, Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy lub osoby przez nich upoważnione udostępniają nieodpłatnie, na podstawie pisemnego wniosku, dane osobowe przetwarzane w związku z realizacją zadań określonych w ustawie:
1) Policji,
2) Żandarmerii Wojskowej,
3) Straży Granicznej,
4) Agencji Bezpieczeństwa Wewnętrznego,
5) Agencji Wywiadu,
6) Centralnemu Biuru Antykorupcyjnemu,
7) Służbie Kontrwywiadu Wojskowego,
8) Służbie Wywiadu Wojskowego,
9) prokuratorowi,
10) sądom,
11) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,
12) Biuru Nadzoru Wewnętrznego,
13) Służbie Ochrony Państwa
– w zakresie niezbędnym do realizacji ich ustawowych zadań.”,
b) ust. 3 otrzymuje brzmienie:
„3. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy mogą wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1–3 i 5–13, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.”,
c) w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Udostępnianie danych, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1–3 i 5–13, wniosku zawierającego:”,
d) ust. 5 i 6 otrzymują brzmienie:
„5. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy udostępniają Agencji Bezpieczeństwa Wewnętrznego dane, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego będąca odbiorcą danych złoży oświadczenie, o którym mowa w ust. 4 pkt 3.
6. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy nie udostępniają na podstawie ust. 1 i 3 danych osobowych wskazanych w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.”,
e) uchyla się ust. 7;
3) w art. 55c uchyla się ust. 5;
4) uchyla się art. 82;
5) w art. 82g uchyla się ust. 3;
6) po art. 89c dodaje się art. 89d w brzmieniu:
„Art. 89d. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg kontroli prowadzonych na podstawie przepisów niniejszego rozdziału ani na uprawnienie właściwego organu do nałożenia kary.”.
Art. 61. [Prawo lotnicze] W ustawie z dnia 3 lipca 2002 r. – Prawo lotnicze (Dz. U. z 2018 r. poz. 1183, 1629 i 1637 oraz z 2019 r. poz. 235) wprowadza się następujące zmiany:
1) po art. 21a dodaje się art. 21b w brzmieniu:
„Art. 21b. 1. W związku z przetwarzaniem przez Prezesa Urzędu danych osobowych uzyskanych w toku prowadzenia postępowań, o których mowa w ustawie, prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.47)), zwanego dalej „rozporządzeniem 2016/679”, przysługuje w zakresie, w jakim nie wpływa ono na ochronę praw i wolności osób, od których dane te pozyskano.
2. Prezes Urzędu informuje o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, a także w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.
3. Okres przechowywania danych osobowych przetwarzanych w toku postępowań, o których mowa w ustawie, ustala się zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).
4. Dane osobowe, o których mowa w ust. 3, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.”;
2) w art. 27 dodaje się ust. 8 w brzmieniu:
„8. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik kontroli prowadzonych przez Prezesa Urzędu na podstawie ustawy.”;
3) w art. 134 po ust. 1f dodaje się ust. 1g i 1h w brzmieniu:
„1g. W związku z badaniem okoliczności i przyczyn zdarzeń lotniczych Komisja oraz Komisja Badania Wypadków Lotniczych Lotnictwa Państwowego, o której mowa w art. 140, są uprawnione do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679.
1h. Komisja oraz Komisja Badania Wypadków Lotniczych Lotnictwa Państwowego, o której mowa w art. 140, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, są w posiadaniu tej osoby, a zakres tych informacji lub ich treść nie uległy zmianie.”.
Art. 62. [Ustawa o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej] W ustawie z dnia 5 lipca 2002 r. o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej (Dz. U. z 2016 r. poz. 1874) po dziale IV dodaje się dział IVa w brzmieniu:
„Dział IVa
Przetwarzanie danych osobowych
Art. 43a. Do przetwarzania danych osobowych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy stosuje się odpowiednio przepisy działu Ia ustawy z dnia 26 maja 1982 r. – Prawo o adwokaturze i rozdziału 1a ustawy z dnia 6 lipca 1982 r. o radcach prawnych.”.
Art. 63. [Ustawa o świadczeniu usług drogą elektroniczną] W ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123) wprowadza się następujące zmiany:
1) art. 4 otrzymuje brzmienie:
„Art. 4. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych.”;
2) uchyla się art. 16 i art. 17;
3) w art. 18 ust. 3 i 4 otrzymują brzmienie:
„3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.”;
4) w art. 19 uchyla się ust. 1, 2, 4 i 5;
5) uchyla się art. 20–22.
Art. 64. [Ustawa o planowaniu i zagospodarowaniu przestrzennym] W ustawie z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (Dz. U. z 2018 r. poz. 1945 oraz z 2019 r. poz. 60 i 235) wprowadza się następujące zmiany:
1) po art. 8 dodaje się art. 8a i art. 8b w brzmieniu:
„Art. 8a. 1. W związku z przetwarzaniem przez wójta, burmistrza, prezydenta miasta, marszałka województwa, wojewodę, zarząd województwa albo zarząd związku metropolitalnego danych osobowych, uzyskanych w toku prowadzenia postępowań dotyczących sporządzania aktów planistycznych, o których mowa w ustawie, prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.48)), zwanego dalej „rozporządzeniem 2016/679”, przysługuje, jeżeli nie wpływa na ochronę praw i wolności osoby, od której dane te pozyskano.
2. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), organy, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
Art. 8b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik postępowań dotyczących sporządzania aktów planistycznych.”;
2) po art. 11 dodaje się art. 11a w brzmieniu:
„Art. 11a. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) art. 11 pkt 3, 7 i 9 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) art. 11 pkt 1 i 8 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej i w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w art. 11 pkt 1, albo w ogłoszeniu, o którym mowa w art. 11 pkt 7.”;
3) po art. 17 dodaje się art. 17a w brzmieniu:
„Art. 17a. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) art. 17 pkt 4, 9 i 12–14 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) art. 17 pkt 1 i 11 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w art. 17 pkt 1, albo w ogłoszeniu, o którym mowa w art. 17 pkt 9.”;
4) w art. 37b dodaje się ust. 7 w brzmieniu:
„7. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 3 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) ust. 2 pkt 8 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 2 pkt 8.”;
5) w art. 38b dodaje się ust. 6 w brzmieniu:
„6. Zarząd województwa wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 2 pkt 5 i 6 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) ust. 2 pkt 4 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 2 pkt 4.”;
6) w art. 41 dodaje się ust. 3 w brzmieniu:
„3. Marszałek województwa wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 1 pkt 3 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) ust. 1 pkt 1 – przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 1 pkt 1.”.
Art. 65. [Ustawa o transporcie kolejowym] W ustawie z dnia 28 marca 2003 r. o transporcie kolejowym (Dz. U. z 2019 r. poz. 710) wprowadza się następujące zmiany:
1) w art. 15 dodaje się ust. 3 w brzmieniu:
„3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.49)), zwanego dalej „rozporządzeniem 2016/679”, przez osobę, której dane dotyczą, nie wpływa na przebieg kontroli prowadzonych przez Prezesa UTK ani na uprawnienie tego organu do nałożenia kary.”;
2) w art. 28h po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:
„1a. W związku z badaniem poważnych wypadków, wypadków lub incydentów Komisja jest uprawniona do przetwarzania danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, w zakresie danych dotyczących zdrowia.
1b. Komisja wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, są w posiadaniu tej osoby, a zakres tych informacji lub ich treść nie uległy zmianie.”.
Art. 66. [Ustawa o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych] W ustawie z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2018 r. poz. 473 i 2448 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:
1) po art. 98a dodaje się art. 98b–98d w brzmieniu:
„Art. 98b. Fundusz przetwarza dane osobowe dotyczące zdrowia w zakresie niezbędnym do realizacji zadań, o których mowa w art. 98 ust. 1–2 i art. 102a.
Art. 98c. Fundusz przetwarza dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa w zakresie niezbędnym do:
1) dochodzenia zwrotu odszkodowania, o którym mowa w art. 11 ust. 3, art. 43 i art. 58;
2) zaspokajania roszczeń, o których mowa w art. 98 ust. 1–2;
3) ustalenia okoliczności zdarzenia oraz rozmiaru szkody, o którym mowa w art. 16 ust. 3 i art. 102 ust. 3 i 4, oraz identyfikacji i weryfikacji zjawisk związanych z przestępczością ubezpieczeniową, o których mowa w art. 102 ust. 7;
4) kontroli spełnienia obowiązków zawarcia umowy obowiązkowego ubezpieczenia OC posiadaczy pojazdów mechanicznych i ubezpieczenia OC rolników, o której mowa w art. 84 ust. 2 pkt 2 lit. a i ust. 3 pkt 2 lit. b, oraz dochodzenia opłaty za niespełnienie tych obowiązków, o którym mowa w art. 90 i art. 91;
5) realizacji zadań, o których mowa w art. 102a;
6) dochodzenia zwrotu świadczenia i poniesionych kosztów, w przypadkach określonych w art. 110 ust. 1, a także określenia sytuacji materialnej i majątkowej, o którym mowa w art. 94 i art. 110 ust. 2;
7) wypłaty świadczeń, o których mowa w art. 111, oraz zaspokajania roszczeń, o których mowa w art. 113 i art. 114.
Art. 98d. W celu realizacji zadań, o których mowa w art. 84 ust. 2 pkt 2 lit. a i ust. 3 pkt 2 lit. b, art. 98, art. 98b, art. 98c, art. 102 i art. 102a, Fundusz może podejmować decyzje w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie.”;
2) w art. 102 ust. 7 otrzymuje brzmienie:
„7. Fundusz przetwarza dane, o których mowa w ust. 2–4 oraz art. 103, w celu kontroli spełnienia obowiązku zawarcia umowy ubezpieczenia obowiązkowego oraz w celu identyfikacji i weryfikacji zjawisk związanych z przestępczością ubezpieczeniową albo dla innych celów, po modyfikacji, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.”;
3) w art. 105:
a) uchyla się ust. 3,
b) ust. 3a otrzymuje brzmienie:
„3a. Dane do Funduszu są przekazywane bezpłatnie.”,
c) po ust. 4 dodaje się ust. 4a w brzmieniu:
„4a. Prawo, o którym mowa w art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.50)), w zakresie danych osobowych przekazanych do Funduszu, jest wykonywane przez sprostowanie tych danych po wniesieniu żądania do zakładu ubezpieczeń.”;
4) w art. 122 w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Do zadań Biura należy:”;
5) po art. 136 dodaje się art. 136a–136d w brzmieniu:
„Art. 136a. Biuro przetwarza dane osobowe dotyczące zdrowia w zakresie niezbędnym do realizacji zadań, o których mowa w art. 122 ust. 1 pkt 3 i 4 oraz art. 123 pkt 1 i 2.
Art. 136b. Biuro przetwarza dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, w zakresie niezbędnym do:
1) ustalenia okoliczności zdarzenia oraz rozmiaru szkody, o którym mowa w art. 16 ust. 3;
2) rozpatrzenia zgłoszonego żądania odszkodowawczego oraz podjęcia czynności w celu ustalenia odpowiedzialności za spowodowanie szkody i wysokości odszkodowania, o których mowa w art. 83–83b;
3) organizowania likwidacji szkód lub bezpośredniej likwidacji szkód, o których mowa w art. 122 ust. 1 pkt 3 i 4;
4) zaspokajania roszczeń, o których mowa w art. 123–125;
5) realizacji zadań, o których mowa w art. 124 i art. 133–136.
Art. 136c. W celu realizacji zadań, o których mowa w art. 122 ust. 1 pkt 3 i 4 oraz art. 123 pkt 1 i 2, Biuro może podjąć decyzje w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie.
Art. 136d. Biuro przechowuje otrzymane dane przez 21 lat.”.
Art. 67. [Ustawa o zatrudnieniu socjalnym] W ustawie z dnia 13 czerwca 2003 r. o zatrudnieniu socjalnym (Dz. U. z 2019 r. poz. 217) wprowadza się następujące zmiany:
1) po art. 8a dodaje się art. 8b w brzmieniu:
„Art. 8b. 1. Centrum przetwarza dane osobowe:
1) uczestników obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym,
2) członków rodziny lub przedstawiciela ustawowego uczestnika obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe
– w zakresie niezbędnym do realizacji usług określonych w art. 3 ust. 1.
2. W związku z przetwarzaniem danych osobowych w celu realizacji usług przez Centrum wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.51)), zwanego dalej „rozporządzeniem 2016/679”, następuje przez umieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w widocznym miejscu w budynku, w którym realizowane są usługi.
3. O ograniczeniu, o którym mowa w ust. 2, administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.
4. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
5. Dane osobowe, o których mowa w ust. 1, przechowuje się przez okres 10 lat, licząc od końca roku kalendarzowego, w którym zakończono realizację usług na rzecz osób, których dane dotyczą.
6. Centrum i osoby realizujące usługi określone w art. 3 ust. 1 obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji tych usług.”;
2) po art. 18e dodaje się art. 18f w brzmieniu:
„Art. 18f. 1. Podmioty, o których mowa w art. 18 ust. 1, przetwarzają dane uczestników klubów integracji społecznej, w tym dane obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym, imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe członków rodziny lub przedstawiciela ustawowego, w zakresie niezbędnym do prowadzenia reintegracji zawodowej i społecznej.
2. W związku z przetwarzaniem danych osobowych w celu reintegracji zawodowej i społecznej podmioty, o których mowa w art. 18 ust. 1, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przez umieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w widocznym miejscu w budynku, w którym prowadzone są działania w ramach reintegracji zawodowej i społecznej.
3. O ograniczeniu, o którym mowa w ust. 2, administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.
4. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
5. Podmioty, o których mowa w art. 18 ust. 1, obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy prowadzeniu działań w ramach reintegracji zawodowej i społecznej.”.
Art. 68. [Ustawa o ochronie zabytków i opiece nad zabytkami] W ustawie z dnia 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami (Dz. U. z 2018 r. poz. 2067 i 2245) wprowadza się następujące zmiany:
1) w art. 8 dodaje się ust. 3 w brzmieniu:
„3. Rejestr zawiera dane osobowe obejmujące imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub posiadacza zabytku lub użytkownika wieczystego gruntu, na którym znajduje się zabytek nieruchomy.”;
2) w art. 22 dodaje się ust. 7 w brzmieniu:
„7. Ewidencje, o których mowa w ust. 1, 2, 4 i 6, mogą zawierać dane osobowe obejmujące:
1) imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub użytkownika zabytku;
2) imię, nazwisko i podpis autora karty ewidencyjnej lub adresowej lub imię i nazwisko osoby, która wypełniła kartę ewidencyjną;
3) imię i nazwisko lub nazwę wykonawcy prac konserwatorskich, prac restauratorskich, badań konserwatorskich lub badań archeologicznych przy zabytku.”;
3) w art. 23 dodaje się ust. 3 w brzmieniu:
„3. Wykaz zawiera dane osobowe obejmujące imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub posiadacza zabytku.”.
Art. 69. [Ustawa o służbie wojskowej żołnierzy zawodowych] W ustawie z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (Dz. U. z 2019 r. poz. 330) w art. 58:
1) ust. 1 otrzymuje brzmienie:
„1. Oficerowie zawodowi, z wyjątkiem oficerów zajmujących stanowiska służbowe sędziów sądów wojskowych oraz stanowiska służbowe prokuratorów do spraw wojskowych, oraz podoficerowie pełniący zawodową służbę wojskową w organach finansowych i logistycznych są obowiązani do złożenia oświadczenia o swoim stanie majątkowym. Oświadczenie o stanie majątkowym dotyczy majątku osobistego oraz objętego małżeńską wspólnością majątkową.”;
2) po ust. 1 dodaje się ust. 1a w brzmieniu:
„1a. Oświadczenie, o którym mowa w ust. 1, zawiera informacje, w tym dane osobowe, obejmujące:
1) imię (imiona), nazwisko oraz nazwisko rodowe;
2) datę i miejsce urodzenia;
3) imiona i nazwiska ojca i matki oraz ich nazwiska rodowe;
4) numer PESEL oraz serię i numer dowodu osobistego;
5) obywatelstwo i płeć;
6) numer telefonu oraz adres poczty elektronicznej;
7) miejsce zatrudnienia, stanowisko lub funkcje;
8) posiadane nieruchomości oraz ich adresy;
9) posiadane zasoby pieniężne;
10) posiadane akcje lub udziały w spółkach handlowych;
11) nabyte mienie od Skarbu Państwa, innej państwowej osoby prawnej, jednostek samorządu terytorialnego oraz ich związków lub komunalnej osoby prawnej, które podlegało zbyciu w drodze przetargu;
12) członkostwo, zatrudnienie lub wykonywanie czynności w zarządzie, radzie nadzorczej, komisji rewizyjnej spółki handlowej, komisji rewizyjnej spółdzielni lub zarządu fundacji prowadzącej działalność gospodarczą;
13) prowadzone działalności gospodarcze;
14) składniki mienia ruchomego o wartości powyżej 10 000 zł;
15) zobowiązania pieniężne o wartości powyżej 10 000 zł;
16) wynagrodzenia za pracę i dochody z innej działalności zarobkowej;
17) dochody z majątku wspólnego oraz z majątku osobistego;
18) dane dotyczące prowadzenia działalności gospodarczej oraz pełnienia przez małżonka funkcji w spółkach handlowych lub spółdzielniach;
19) inne przychody i świadczenia.”.
Art. 70. [Ustawa o wykonywaniu prac podwodnych] W ustawie z dnia 17 października 2003 r. o wykonywaniu prac podwodnych (Dz. U. z 2017 r. poz. 1970 oraz z 2018 r. poz. 2245) po art. 6 dodaje się art. 6a w brzmieniu:
„Art. 6a. 1. W przypadku niecierpiącym zwłoki dyrektor urzędu morskiego albo dyrektor urzędu żeglugi śródlądowej, realizując zadania, o których mowa w art. 6 ust. 1 i 2, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.52)), zwanego dalej „rozporządzeniem 2016/679”, przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w siedzibie urzędu.
2. Wystąpienie przez osobę, której dane dotyczą, z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu morskiego albo dyrektora urzędu żeglugi śródlądowej zadań określonych w art. 6 ust. 1 i 2.”.
Art. 71. [Ustawa o świadczeniach rodzinnych] W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z 2018 r. poz. 2220 i 2354 oraz z 2019 r. poz. 60, 303 i 577) wprowadza się następujące zmiany:
1) w art. 22 w ust. 3 wyrazy „może przetwarzać” zastępuje się wyrazem „przetwarza”;
2) w art. 23:
a) ust. 9 otrzymuje brzmienie:
„9. Informacje, o których mowa w ust. 8, są przetwarzane przez ministra właściwego do spraw rodziny i wojewodów w celu monitorowania realizacji świadczeń rodzinnych oraz w celu umożliwienia organom właściwym i wojewodom weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione. Organy właściwe i wojewodowie przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.”,
b) w ust. 10b w zdaniu pierwszym wyrazy „może przetwarzać” zastępuje się wyrazem „przetwarza”;
3) w art. 29:
a) użyte w ust. 1 wyrazy „może gromadzić i przetwarzać” zastępuje się wyrazem „przetwarza”,
b) po ust. 1 dodaje się ust. 1a–1c w brzmieniu:
„1a. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
1b. Dane osobowe, o których mowa w ust. 1, zabezpiecza się w sposób odpowiedni do zagrożeń i ryzyka wystąpienia sytuacji, o których mowa w ust. 1a, w tym w szczególności biorąc pod uwagę, czy dane osobowe przetwarzane są w sposób zautomatyzowany czy też w inny sposób niż zautomatyzowany, oraz z uwzględnieniem zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo były przetwarzane.
1c. Osoby przetwarzające dane osobowe, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.”.
Art. 72. [Prawo zamówień publicznych] W ustawie z dnia 29 stycznia 2004 r. – Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986 i 2215 oraz z 2019 r. poz. 53) wprowadza się następujące zmiany:
1) w art. 8 dodaje się ust. 5 w brzmieniu:
„5. Zamawiający udostępnia dane osobowe, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.53)), zwanego dalej „rozporządzeniem 2016/679”, w celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w dziale VI, do upływu terminu do ich wniesienia.”;
2) po art. 8 dodaje się art. 8a w brzmieniu:
„Art. 8a. 1. Zamawiający realizuje obowiązki, o których mowa w art. 13 ust. 1–3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy.
2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu.
3. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, o którym mowa w art. 16 rozporządzenia 2016/679, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą.
4. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu.
5. Zamawiający informuje o ograniczeniach, o których mowa w ust. 2 i 4 oraz art. 97 ust. 1a, na stronie internetowej prowadzonego postępowania lub konkursu, w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub w inny sposób dostępny dla osoby, której dane dotyczą.
6. Zamawiający przetwarza dane osobowe zebrane w postępowaniu o udzielenie zamówienia publicznego lub konkursie w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem.
7. Do przetwarzania danych osobowych, o których mowa w art. 10 rozporządzenia 2016/679, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w poufności.”;
3) w art. 11 po ust. 6 dodaje się ust. 6a i 6b w brzmieniu:
„6a. W przypadku danych osobowych zamieszczonych przez zamawiającego w Biuletynie Zamówień Publicznych, prawa, o których mowa w art. 15 i art. 16 rozporządzenia 2016/679, są wykonywane w drodze żądania skierowanego do zamawiającego.
6b. Prezes Urzędu Zamówień Publicznych zapewnia techniczne utrzymanie systemu teleinformatycznego, przy użyciu którego udostępniany jest Biuletyn Zamówień Publicznych, oraz określa okres przechowywania danych osobowych zamieszczanych w Biuletynie Zamówień Publicznych.”;
4) w art. 96 po ust. 3 dodaje się ust. 3a i 3b w brzmieniu:
„3a. Zasada jawności, o której mowa w ust. 3, ma zastosowanie do wszystkich danych osobowych, z wyjątkiem danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, zebranych w toku postępowania o udzielenie zamówienia publicznego lub konkursu. Ograniczenia zasady jawności, o których mowa w art. 8 ust. 3–5, stosuje się odpowiednio.
3b. Od dnia zakończenia postępowania o udzielenie zamówienia, w przypadku gdy wniesienie żądania, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, spowoduje ograniczenie przetwarzania danych osobowych zawartych w protokole i załącznikach do protokołu, zamawiający nie udostępnia tych danych zawartych w protokole i w załącznikach do protokołu, chyba że zachodzą przesłanki, o których mowa w art. 18 ust. 2 rozporządzenia 2016/679.”;
5) w art. 97 po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:
„1a. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia.
1b. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 rozporządzenia 2016/679, nie może naruszać integralności protokołu oraz jego załączników.”;
6) po art. 143d dodaje się art. 143e w brzmieniu:
„Art. 143e. 1. W przypadku, o którym mowa w art. 29 ust. 3a, umowa zawiera postanowienia dotyczące sposobu dokumentowania zatrudnienia oraz kontroli spełniania przez wykonawcę lub podwykonawcę wymagań dotyczących zatrudnienia na podstawie umowy o pracę oraz postanowienia dotyczące sankcji z tytułu niespełnienia wymagań, o których mowa w art. 29 ust. 3a.
2. W celu weryfikacji zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia umowa przewiduje możliwość żądania przez zamawiającego w szczególności:
1) oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,
2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,
3) innych dokumentów
– zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę oraz zakres obowiązków pracownika.”.
Art. 73. [Ustawa o pomocy społecznej] W ustawie z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2018 r. poz. 1508, z późn. zm.54)) wprowadza się następujące zmiany:
1) w art. 23 ust. 4a otrzymuje brzmienie:
„4a. Minister właściwy do spraw zabezpieczenia społecznego prowadzi i rozwija rejestr centralny obejmujący dane dotyczące jednostek organizacyjnych pomocy społecznej, a także dane dotyczące osób i rodzin ubiegających się o świadczenia z pomocy społecznej lub korzystających z tych świadczeń oraz form udzielonej pomocy społecznej, gromadzone przez jednostki organizacyjne pomocy społecznej na podstawie przepisów ustawy, oraz przetwarza te dane w celu realizacji zadań, o których mowa w ust. 1. Jednostki organizacyjne pomocy społecznej przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 4.”;
2) w art. 25 dodaje się ust. 7 w brzmieniu:
„7. Podmioty uprawnione, którym zlecono realizację zadania z zakresu pomocy społecznej, a w przypadku wykonywania zleconego zadania poprzez jednostki organizacyjne pomocy społecznej – te jednostki, są administratorami danych osobowych przetwarzanych w celu udzielania świadczeń z pomocy społecznej przez te podmioty i jednostki.”;
3) w art. 100:
a) ust. 2 otrzymuje brzmienie:
„2. Podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w ustawie przetwarzają dane osobowe osób, do których stosuje się ustawę, oraz członków ich rodzin w zakresie i celu niezbędnych do realizacji zadań wynikających z ustawy.”,
b) dodaje się ust. 3–7 w brzmieniu:
„3. W związku z przetwarzaniem danych osobowych w celu udzielenia świadczeń, o których mowa w art. 106 ust. 2, oraz w celu świadczenia usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej, wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.55)), następuje przez zamieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 tego rozporządzenia, w widocznym miejscu w budynku, w którym udzielane są świadczenia lub świadczone usługi.
4. Administrator danych informuje o ograniczeniu, o którym mowa w ust. 3, najpóźniej przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
5. Jednostki organizacyjne, o których mowa w art. 110 ust. 1, art. 111, art. 112 ust. 1, 2 i 8 oraz art. 113 ust. 1 i 3, realizujące zadania w zakresie pomocy społecznej określone w ustawie są administratorami danych osobowych przetwarzanych w celu przyznawania i udzielania świadczeń z pomocy społecznej.
6. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
7. Podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w niniejszej ustawie obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy wykonywaniu tych zadań.”;
4) po art. 134l dodaje się art. 134m w brzmieniu:
„Art. 134m. 1. Organizacje partnerskie oraz Krajowy Ośrodek przetwarzają dane osobowe osób korzystających z pomocy określonej w Programie Operacyjnym obejmujące:
1) imię i nazwisko, liczbę osób wchodzących w skład gospodarstwa domowego, w tym w podziale na płeć, wiek i przynależność do grupy docelowej Programu Operacyjnego;
2) dochód osoby lub rodziny;
3) powody udzielenia pomocy na podstawie art. 7.
2. Wypełnienie obowiązków informacyjnych określonych w przepisach o ochronie danych osobowych, w toku udzielania pomocy określonej w Programie Operacyjnym, następuje przez udostępnienie informacji o przetwarzaniu danych osobowych:
1) w przypadku organizacji partnerskich – w widocznym miejscu w budynku, w którym udzielana jest pomoc;
2) w przypadku Krajowego Ośrodka – w Biuletynie Informacji Publicznej na stronie podmiotowej Krajowego Ośrodka lub na jego stronie internetowej.
3. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
4. Podmioty i osoby realizujące zadania określone w Programie Operacyjnym obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji zadań.”.
Art. 74. [Ustawa o wyrobach budowlanych] W ustawie z dnia 16 kwietnia 2004 r. o wyrobach budowlanych (Dz. U. z 2019 r. poz. 266) po art. 3 dodaje się art. 3a w brzmieniu:
„Art. 3a. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.56)), przez osobę, której dane są przetwarzane w związku z realizacją przez Głównego Inspektora Nadzoru Budowlanego oraz wojewódzkich inspektorów nadzoru budowlanego zadań w zakresie:
1) gromadzenia informacji o wynikach zleconych badań próbek wyrobów budowlanych, przeprowadzonych kontrolach wyrobów budowlanych wprowadzonych do obrotu lub udostępnianych na rynku krajowym, wydanych postanowieniach, decyzjach i opiniach,
2) prowadzenia krajowego wykazu zakwestionowanych wyrobów budowlanych, o którym mowa w art. 15
– nie wpływa na realizację zadań w tym zakresie.”.
Art. 75. [Ustawa o promocji zatrudnienia i instytucjach rynku pracy] W ustawie z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (Dz. U. z 2018 r. poz. 1265, z późn. zm.57)) wprowadza się następujące zmiany:
1) w art. 4:
a) uchyla się ust. 4,
b) po ust. 4 dodaje się ust. 4a i 4b w brzmieniu:
„4a. Minister właściwy do spraw pracy prowadzi w systemie teleinformatycznym centralny rejestr danych osobowych osób fizycznych ubiegających się o pomoc określoną w ustawie lub korzystających z tej pomocy oraz innych osób, zwany dalej „rejestrem centralnym”.
4b. Minister właściwy do spraw pracy przetwarza w rejestrze centralnym dane osobowe osób fizycznych w celu realizacji przez publiczne służby zatrudnienia zadań ustawowych, w tym weryfikacji uprawnień i danych, rejestracji i ustalania statusu, zapewnienia pomocy określonej w ustawie, wydawania decyzji w zakresie statusu i świadczeń, prowadzenia postępowań kontrolnych, realizacji obowiązków sprawozdawczych i obowiązków w zakresie statystyki publicznej oraz określania planów dalszych działań.”,
c) uchyla się ust. 5,
d) po ust. 5 dodaje się ust. 5a–5k w brzmieniu:
„5a. W rejestrze centralnym minister właściwy do spraw pracy przetwarza dane osobowe:
1) bezrobotnych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia, w tym pozyskane od agencji zatrudnienia w ramach realizacji działań, o których mowa w art. 66d;
2) poszukujących pracy korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia;
3) osób niezarejestrowanych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia;
4) cudzoziemców zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej;
5) poręczycieli pomocy określonej w ustawie;
6) przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212);
7) innych podmiotów korzystających z pomocy określonej w ustawie;
8) zamierzających powierzyć lub powierzających wykonywanie pracy;
9) będących podmiotami powierzającymi wykonywanie pracy cudzoziemcowi;
10) osób ubezpieczonych;
11) płatników składek;
12) pracowników publicznych służb zatrudnienia;
13) pracowników Ochotniczych Hufców Pracy, korzystających z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy.
5b. W rejestrze centralnym są przetwarzane następujące kategorie danych osobowych bezrobotnych:
1) imię (imiona) i nazwisko;
2) obywatelstwo albo obywatelstwa;
3) numer PESEL, a w przypadku jego braku – rodzaj, seria i numer dokumentu potwierdzającego tożsamość;
4) imiona rodziców;
5) data i miejsce urodzenia;
6) nazwisko rodowe;
7) płeć;
8) stan cywilny;
9) informacje o sytuacji rodzinnej obejmujące:
a) dane osobowe małżonka: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku – rodzaj, seria i numer dokumentu potwierdzającego tożsamość oraz informacja o jego pozostawaniu albo niepozostawaniu w rejestrze bezrobotnych i poszukujących pracy,
b) dane osobowe dzieci pozostających na utrzymaniu: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku – rodzaj, seria i numer dokumentu potwierdzającego tożsamość, datę i miejsce urodzenia,
c) w przypadku opiekuna osób niepełnosprawnych opiekującego się osobą niepełnosprawną ze znacznym stopniem niepełnosprawności lub dzieckiem z orzeczeniem o niepełnosprawności łącznie ze wskazaniami: konieczności stałej lub długotrwałej opieki lub pomocy innej osoby w związku ze znacznie ograniczoną możliwością samodzielnej egzystencji oraz konieczności stałego współudziału na co dzień opiekuna dziecka w procesie jego leczenia, rehabilitacji i edukacji – dane osobowe każdej osoby niepełnosprawnej lub każdego dziecka: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku – rodzaj, seria i numer dokumentu potwierdzającego tożsamość,
d) dane osobowe osoby lub osób zależnych obejmujące dla każdej osoby: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku – rodzaj, seria i numer dokumentu potwierdzającego tożsamość;
10) adres zameldowania na pobyt stały lub czasowy oraz adres do korespondencji;
11) adres poczty elektronicznej lub numer telefonu lub inne dane kontaktowe, o ile je posiadają;
12) informacje dotyczące wykształcenia, zainteresowania podjęciem szkolenia i pracy;
13) informacje dotyczące rodzaju i stopnia niepełnosprawności oraz przeciwskazań do wykonywania zawodu, jeżeli ich dotyczą;
14) informacje o byciu dłużnikiem alimentacyjnym w rozumieniu przepisów o pomocy osobom uprawnionym do alimentów, jeżeli ich dotyczą;
15) dane dotyczące doświadczenia zawodowego;
16) informacje niezbędne do ustalenia statusu lub udzielenia pomocy określonej w ustawie;
17) informacje dotyczące:
a) oddalenia od rynku pracy – oznaczającego informacje o umiejętnościach, czasie pozostawania bez pracy, miejscu zamieszkania pod względem oddalenia od potencjalnych miejsc pracy i dostępności do nowoczesnych form komunikowania się z powiatowym urzędem pracy i pracodawcami oraz
b) gotowości do podjęcia pracy – oznaczającej informacje o zaangażowaniu w samodzielne poszukiwanie pracy, gotowości do dostosowania się do wymagań rynku pracy, dyspozycyjności, powodach skłaniających do podjęcia pracy, powodach rejestracji w powiatowym urzędzie pracy, dotychczasowej oraz aktualnej gotowości do współpracy z powiatowym urzędem pracy, innymi instytucjami rynku pracy lub pracodawcami;
18) informacje o pomocy udzielonej na podstawie ustawy, jej przyjęciu albo odmowie jej przyjęcia;
19) informacje o pomocy udzielonej przez:
a) jednostki organizacyjne pomocy społecznej w zakresie określonym w przepisach o pomocy społecznej, przekazywane przez ministra właściwego do spraw zabezpieczenia społecznego,
b) jednostki obsługujące świadczenia rodzinne w zakresie określonym w przepisach o świadczeniach rodzinnych, przekazywane przez ministra właściwego do spraw rodziny,
c) ośrodki pomocy społecznej w związku z realizacją działań, o których mowa w art. 50 ust. 2 pkt 2,
d) agencje zatrudnienia w związku z realizacją działań, o których mowa w art. 61b i art. 66n,
e) podmioty realizujące działania z zakresu reintegracji społecznej w ramach Programu Aktywizacja i Integracja, o którym mowa w art. 62a,
f) podmioty realizujące programy specjalne, o których mowa w art. 66a;
20) informacje o gotowości do wyrażenia zgody albo jej braku na:
a) udział w badaniach rynku pracy prowadzonych przez publiczne służby zatrudnienia, organy administracji rządowej, samorządowej lub na ich zlecenie,
b) przetwarzanie danych osobowych wraz z ich zakresem na podstawie przepisów Unii Europejskiej o sieci EURES;
21) informacje przekazywane przez Państwową Inspekcję Pracy w zakresie określonym w przepisach o Państwowej Inspekcji Pracy.
5c. W rejestrze centralnym są przetwarzane, w przypadku:
1) poszukujących pracy – kategorie danych, o których mowa w ust. 5b pkt 1–13, 15, 16 i 18–20;
2) osób niezarejestrowanych korzystających z pomocy określonej w ustawie – kategorie danych, o których mowa w ust. 5b pkt 1–11, 16, 18 i 20, a w przypadku osób biorących udział w kształceniu ustawicznym finansowanym ze środków KFS – kategorie danych, o których mowa w ust. 5b pkt 1–11, 15, 16, 18 i pkt 20 lit. a;
3) poręczycieli pomocy określonej w ustawie – kategorie danych, o których mowa w ust. 5b pkt 1, 3 i 10;
4) cudzoziemców, zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej – dane, o których mowa w art. 90c ust. 8 i 9;
5) przedsiębiorców – kategorie danych, o których mowa w ust. 5b pkt 1–11, 16, 18 i pkt 20 lit. a, oraz:
a) numer identyfikacji podatkowej NIP,
b) numer identyfikacyjny REGON,
c) adres prowadzenia działalności gospodarczej,
d) numer faksu i adres strony internetowej, o ile je posiadają,
e) informacje określone w art. 18e ust. 1 i art. 18g, w przypadku gdy przedsiębiorca jest agencją zatrudnienia,
f) informacje dotyczące prowadzonej działalności szkoleniowej, w przypadku gdy przedsiębiorca jest instytucją szkoleniową w rozumieniu ustawy,
g) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,
h) dane określone w art. 50 ust. 14a–16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2019 r. poz. 300, 303 i 730),
i) informacje o pomocy udzielanej przez publiczne służby zatrudnienia,
j) dane dotyczące doświadczenia zawodowego, w przypadku przedsiębiorców biorących udział w kształceniu ustawicznym finansowanym ze środków KFS;
6) innych podmiotów korzystających z pomocy określonej w ustawie – kategorie danych, o których mowa w ust. 5b pkt 1–11, 16, 18 i pkt 20 lit. a, oraz:
a) numer identyfikacji podatkowej NIP, o ile go posiadają,
b) numer identyfikacyjny REGON, o ile go posiadają,
c) adres prowadzenia działalności,
d) numer faksu i adres strony internetowej, o ile je posiadają,
e) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,
f) dane określone w art. 50 ust. 14a–16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych,
g) informacje o pomocy udzielanej przez publiczne służby zatrudnienia,
h) dane dotyczące doświadczenia zawodowego, w przypadku osób biorących udział w kształceniu ustawicznym finansowanym ze środków KFS;
7) osób fizycznych powierzających lub zamierzających powierzyć wykonywanie pracy – kategorie danych, o których mowa w ust. 5b pkt 1–11, 16 i pkt 20 lit. a, oraz:
a) numer identyfikacji podatkowej NIP, o ile go posiadają,
b) numer identyfikacyjny REGON, o ile go posiadają,
c) numer faksu i adres strony internetowej, o ile je posiadają,
d) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,
e) dane określone w art. 50 ust. 14a–16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych,
f) informacje o pomocy udzielanej przez publiczne służby zatrudnienia;
8) osób fizycznych będących podmiotami powierzającymi wykonywanie pracy cudzoziemcowi – dane, o których mowa w art. 90c ust. 7;
9) osób ubezpieczonych – dane zgromadzone na koncie ubezpieczonego oraz osób ubezpieczonych, przekazywane przez Zakład Ubezpieczeń Społecznych zgodnie z przepisami o systemie ubezpieczeń społecznych w zakresie określonym w tych przepisach;
10) płatników składek – dane zgromadzone na koncie płatnika składek, przekazywane przez Zakład Ubezpieczeń Społecznych zgodnie z przepisami o systemie ubezpieczeń społecznych w zakresie określonym w tych przepisach;
11) pracowników publicznych służb zatrudnienia – kategorie danych, o których mowa w ust. 5b pkt 1, oraz:
a) miejsce pracy i dane teleadresowe wykorzystywane do użytku służbowego,
b) nazwa i opis zajmowanego stanowiska,
c) ukończone szkolenia, a w przypadku szkoleń inicjowanych przez pracodawcę lub finansowanych albo współfinansowanych ze środków Funduszu Pracy, także koszt szkolenia oraz źródło finansowania,
d) login, informacje o haśle, informacje o aktywności konta pracownika i nadane uprawnienia do systemów teleinformatycznych, jeżeli ich dotyczą;
12) pracowników Ochotniczych Hufców Pracy korzystających z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy – kategorie danych, o których mowa w ust. 5b pkt 1, oraz:
a) miejsce pracy i dane teleadresowe wykorzystywane do użytku służbowego,
b) nazwa i opis zajmowanego stanowiska,
c) ukończone szkolenia z zakresu korzystania z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy,
d) login, informacje o haśle, informacje o aktywności konta pracownika i nadane uprawnienia do systemów teleinformatycznych, jeżeli ich dotyczą.
5d. Dane osobowe przetwarzane przez publiczne służby zatrudnienia w rejestrze centralnym podlegają zabezpieczeniom polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
5e. Dane osobowe, o których mowa w ust. 5a, są przetwarzane w rejestrze centralnym przez okres 50 lat, licząc od końca roku kalendarzowego, w którym zakończono udzielanie pomocy.
5f. Rejestr centralny jest zbiorem danych pozyskiwanych:
1) z rejestrów danych wojewódzkich urzędów pracy;
2) z rejestrów danych powiatowych urzędów pracy;
3) od osób fizycznych ubiegających się, za pośrednictwem ministra właściwego do spraw pracy, o pomoc określoną w ustawie świadczoną przez wojewódzkie urzędy pracy i powiatowe urzędy pracy.
5g. Wojewódzki urząd pracy przekazuje do rejestru centralnego kategorie danych, o których mowa w ust. 5a pkt 1–3, 6–8, 10 i 12, w zakresie określonym w ust. 5b i 5c.
5h. Powiatowy urząd pracy przekazuje do rejestru centralnego kategorie danych, o których mowa w ust. 5a, w zakresie określonym w ust. 5b i ust. 5c pkt 1–11.
5i. W celu zapewnienia prawidłowej realizacji zadań przez publiczne służby zatrudnienia oraz ministra właściwego do spraw zabezpieczenia społecznego ministrowi właściwemu do spraw pracy udostępniane są następujące kategorie danych, w tym danych osobowych, w zakresie niezbędnym do realizacji tych zadań, przetwarzane przez:
1) ministra właściwego do spraw zabezpieczenia społecznego – dane osób fizycznych, o których mowa w ust. 5a pkt 1, 2, 7, 10 i 11, w zakresie określonym w ust. 5b pkt 1–6, 8–12, 15, 16 i pkt 19 lit. a;
2) ministra właściwego do spraw rodziny – dane osób fizycznych, o których mowa w ust. 5a pkt 1, 2, 10 i 11, w zakresie określonym w ust. 5b pkt 1–6, 8–11, 14, 16 i pkt 19 lit. b;
3) Zakład Ubezpieczeń Społecznych – dane określone w art. 50 ust. 14–16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych;
4) Państwową Inspekcję Pracy – informacje przekazywane przez Państwową Inspekcję Pracy w zakresie określonym w przepisach o Państwowej Inspekcji Pracy.
5j. Do udostępniania danych, o którym mowa w ust. 5i, przepis ust. 6f stosuje się odpowiednio.
5k. Spełnienie zabezpieczeń, o których mowa w ust. 5d, zapewniają w przypadku pracowników:
1) urzędu obsługującego ministra właściwego do spraw pracy – minister właściwy do spraw pracy;
2) wojewódzkiego urzędu pracy – dyrektor wojewódzkiego urzędu pracy;
3) powiatowego urzędu pracy – dyrektor powiatowego urzędu pracy;
4) jednostek organizacyjnych pomocy społecznej i jednostek obsługujących świadczenia rodzinne, o których mowa w ust. 6c i 6d – administratorzy danych właściwi dla tych jednostek.”,
e) ust. 6 otrzymuje brzmienie:
„6. Dane z rejestru centralnego mogą być udostępniane w trybie i na zasadach określonych w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne innym podmiotom realizującym zadania publiczne na podstawie odrębnych przepisów.”,
f) po ust. 6 dodaje się ust. 6a–6h w brzmieniu:
„6a. Minister właściwy do spraw pracy udostępnia wojewódzkim urzędom pracy, a także ministrowi właściwemu do spraw zabezpieczenia społecznego w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1–3, 6–8, 10 i 12, w zakresie określonym w ust. 5b i 5c.
6b. Minister właściwy do spraw pracy udostępnia powiatowym urzędom pracy w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, dane z rejestru centralnego, o których mowa w ust. 5a, w zakresie określonym w ust. 5b i ust. 5c pkt 1–11, oraz dane osób fizycznych, o których mowa w ust. 5f pkt 3, w zakresie określonym w ust. 5b pkt 1, 3, 10, 11 i 16.
6c. Minister właściwy do spraw pracy udostępnia jednostkom organizacyjnym pomocy społecznej w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w odrębnych przepisach, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1, 2, 7, 10 i 11, w zakresie określonym w ust. 5b pkt 1–6, 8–12, 15, 16 i 18.
6d. Minister właściwy do spraw pracy udostępnia jednostkom obsługującym świadczenia rodzinne w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w odrębnych przepisach, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1, 2, 10 i 11, w zakresie określonym w ust. 5b pkt 1–6, 8–11, 14, 16 i 18.
6e. Dane, o których mowa w ust. 6a i 6b, są udostępniane w drodze ich wymiany pomiędzy systemem teleinformatycznym, w którym prowadzony jest rejestr centralny, oraz systemem teleinformatycznym, udostępnianym przez ministra właściwego do spraw pracy i wykorzystywanym przez:
1) wojewódzki urząd pracy, oraz ministra właściwego do spraw zabezpieczenia społecznego do realizacji zadań określonych w ustawie;
2) powiatowy urząd pracy do realizacji zadań określonych w ustawie.
6f. Dane, o których mowa w ust. 6c i 6d, są udostępniane w drodze ich wymiany pomiędzy systemem teleinformatycznym, w którym prowadzony jest rejestr centralny, oraz systemem teleinformatycznym, w którym prowadzony jest rejestr ministra właściwego do spraw:
1) zabezpieczenia społecznego;
2) rodziny.
6g. Dane, o których mowa w ust. 6a–6d, są udostępniane na wniosek dotyczący określonej osoby fizycznej, złożony z wykorzystaniem systemów teleinformatycznych, o których mowa w ust. 6e i 6f.
6h. Przepisy ust. 6a–6g stosuje się do podmiotów w nich wymienionych, które spełniają łącznie następujące warunki:
1) zapewniają możliwość identyfikacji osoby uzyskującej informacje oraz zakresu, daty i celu ich uzyskania;
2) zapewniają zabezpieczenia uniemożliwiające wykorzystanie informacji niezgodnie z celem ich uzyskania;
3) zapewniają, że dostęp do danych jest nadzorowany i rejestrowany zgodnie z przepisami o ochronie danych osobowych.”;
2) po art. 4 dodaje się art. 4a w brzmieniu:
„Art. 4a. 1. Wojewódzkie urzędy pracy i powiatowe urzędy pracy, w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, pozyskują dane z Zakładu Ubezpieczeń Społecznych w zakresie, o którym mowa w art. 50 ust. 14–16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych.
2. Dane, o których mowa w ust. 1, są przekazywane w drodze ich wymiany odpowiednio pomiędzy systemami teleinformatycznymi, o których mowa w art. 4 ust. 6e.”;
3) w art. 8:
a) w ust. 1 pkt 18 otrzymuje brzmienie:
„18) współpraca z ministrem właściwym do spraw pracy w zakresie tworzenia rejestru centralnego;”,
b) po ust. 1b dodaje się ust. 1ba–1bc w brzmieniu:
„1ba. W celu realizacji zadań ustawowych wojewódzki urząd pracy prowadzi rejestr danych o rynku pracy w województwie, w tym rejestr danych osobowych osób fizycznych, zwany dalej „rejestrem danych wojewódzkiego urzędu pracy”.
1bb. W rejestrze danych wojewódzkiego urzędu pracy są przetwarzane dane osobowe:
1) bezrobotnych, w tym pozyskane od agencji zatrudnienia w ramach realizacji działań, o których mowa w art. 66d, korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,
2) poszukujących pracy korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,
3) osób niezarejestrowanych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,
4) przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców,
5) innych podmiotów korzystających z pomocy określonej w ustawie,
6) osób fizycznych powierzających lub zamierzających powierzyć wykonywanie pracy,
7) osób ubezpieczonych,
8) pracowników publicznych służb zatrudnienia
– o których mowa odpowiednio w art. 4 ust. 5b i 5c.
1bc. Przepisy art. 4 ust. 5d i 5e oraz ust. 6a–6h dotyczące zabezpieczeń, okresu przetwarzania i usuwania oraz dostępu do danych stosuje się odpowiednio do rejestru danych wojewódzkiego urzędu pracy.”;
4) w art. 9 w ust. 1 pkt 23 otrzymuje brzmienie:
„23) współpraca z ministrem właściwym do spraw pracy w zakresie tworzenia rejestru centralnego;”;
5) w art. 33:
a) po ust. 2d dodaje się ust. 2e i 2f w brzmieniu:
„2e. Profil pomocy dla bezrobotnego ustalany jest przez pracownika powiatowego urzędu pracy na podstawie wywiadu przeprowadzonego z bezrobotnym, wspieranego systemem teleinformatycznym udostępnianym przez ministra właściwego do spraw pracy.
2f. Pracownik powiatowego urzędu pracy nie może ustalać profilu pomocy dla bezrobotnego wyłącznie w sposób polegający na zautomatyzowanym przetwarzaniu informacji o bezrobotnym, w tym jego danych osobowych.”,
b) po ust. 5 dodaje się ust. 5a–5d w brzmieniu:
„5a. W celu realizacji zadań ustawowych powiatowy urząd pracy prowadzi rejestr danych o rynku pracy w powiecie, w tym rejestr danych osobowych osób fizycznych, zwany dalej „rejestrem danych powiatowego urzędu pracy”.
5b. W rejestrze danych powiatowego urzędu pracy są przetwarzane dane osobowe osób fizycznych, o których mowa w art. 4 ust. 5a, 5b i ust. 5c pkt 1–11.
5c. Przepisy art. 4 ust. 5d i 5e oraz ust. 6a–6h dotyczące zabezpieczeń, okresu przetwarzania i usuwania oraz dostępu do danych stosuje się odpowiednio do rejestru danych powiatowego urzędu pracy.
5d. Pozyskiwanie i udostępnianie danych bezrobotnych i poszukujących pracy, o których mowa w art. 4 ust. 5a pkt 1 i 2, w zakresie określonym w ust. 5b i ust. 5c pkt 1, między powiatowymi urzędami pracy oraz jednostkami organizacyjnymi pomocy społecznej lub jednostkami obsługującymi świadczenia rodzinne realizującymi zadania na obszarze tego samego powiatu, jest dokonywane w drodze wymiany danych pomiędzy systemem teleinformatycznym, udostępnianym przez ministra właściwego do spraw pracy i wykorzystywanym przez powiatowy urząd pracy do realizacji zadań określonych w ustawie oraz systemami wykorzystywanymi przez te jednostki do realizacji zadań z zakresu pomocy społecznej i świadczeń rodzinnych. Przepis art. 4 ust. 6g stosuje się odpowiednio.”,
c) uchyla się ust. 6–9;
6) w art. 46 uchyla się ust. 5a.
Art. 76. [Ustawa o świadczeniach przedemerytalnych] W ustawie z dnia 30 kwietnia 2004 r. o świadczeniach przedemerytalnych (Dz. U. z 2017 r. poz. 2148 oraz z 2019 r. poz. 39) w art. 11 w pkt 1 wyrazy „art. 117 ust. 1–4” zastępuje się wyrazami „art. 117 ust. 1–4a”.
Art. 77. [Ustawa o postępowaniu w sprawach dotyczących pomocy publicznej] W ustawie z dnia 30 kwietnia 2004 r. o postępowaniu w sprawach dotyczących pomocy publicznej (Dz. U. z 2018 r. poz. 362) po art. 11 dodaje się art. 11a w brzmieniu:
„Art. 11a. 1. W celu realizacji zadań i obowiązków związanych z postępowaniami w sprawach dotyczących pomocy publicznej administratorem danych jest:
1) Prezes Urzędu – w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie;
2) minister właściwy do spraw rolnictwa – w sprawach dotyczących pomocy publicznej w rolnictwie lub rybołówstwie;
3) minister właściwy do spraw finansów publicznych – w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie udzielonej przez naczelników urzędów skarbowych i dyrektorów izb administracji skarbowej;
4) podmiot udzielający pomocy w postępowaniach związanych z udzielaniem pomocy publicznej.
2. Dane beneficjentów pomocy lub podmiotów udzielających pomocy obejmujące numer identyfikacji podatkowej, nazwę, podstawę prawną udzielenia pomocy, dzień udzielenia pomocy, wielkość przedsiębiorcy, informacje o siedzibie, miejscu zamieszkania i rodzaju prowadzonej działalności, wartość pomocy, formę oraz przeznaczenie pomocy, udostępnia się na stronie internetowej Prezesa Urzędu lub ministra właściwego do spraw rolnictwa.”.
Art. 78. [Ustawa o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi] W ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2018 r. poz. 1355, 2215, 2243 i 2244) wprowadza się następujące zmiany:
1) w art. 2 po pkt 2e dodaje się pkt 2f w brzmieniu:
„2f) rozporządzeniu 2016/679 – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.58));”;
2) po art. 13a dodaje się art. 13b w brzmieniu:
„Art. 13b. Fundusz inwestycyjny, towarzystwo, alternatywna spółka inwestycyjna i zarządzający ASI, a także podmioty, o których mowa w art. 32 ust. 1 i 2, w zakresie ich działalności, o której mowa w tych przepisach oraz w art. 32 ust. 2b, będące administratorami przetwarzającymi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679, nie są obowiązane do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia 2016/679, w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.”;
3) art. 193 otrzymuje brzmienie:
„Art. 193. Fundusz sekurytyzacyjny oraz podmiot, z którym towarzystwo zawarło umowę o zarządzanie sekurytyzowanymi wierzytelnościami, zbierają i przetwarzają dane osobowe dłużników sekurytyzowanych wierzytelności jedynie w celach związanych z zarządzaniem wierzytelnościami sekurytyzowanymi.”;
4) w art. 281 w ust. 1 w pkt 15 kropkę zastępuje się średnikiem i dodaje się pkt 16 w brzmieniu:
„16) Prezesa Urzędu Ochrony Danych Osobowych w związku z toczącym się postępowaniem przed tym organem, jeżeli jest to niezbędne w toczącym się postępowaniu.”;
5) w art. 286b ust. 16 otrzymuje brzmienie:
„16. Komisja może przekazać organowi nadzoru państwa trzeciego informacje dotyczące sprawy indywidualnej prowadzonej przez Komisję, jeżeli spełnione są warunki, o których mowa w rozporządzeniu 2016/679 – w przypadku danych osobowych, oraz jeżeli ich przekazanie jest niezbędne dla realizacji zadań określonych ustawą. Komisja może również, jeżeli są spełnione warunki, o których mowa w rozporządzeniu 2016/679, wyrazić zgodę na dalsze przekazanie tych informacji organowi nadzoru innego państwa trzeciego.”.
Art. 79. [Prawo telekomunikacyjne] W ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354 oraz z 2019 r. poz. 643) wprowadza się następujące zmiany:
1) w art. 57 w ust. 1 w pkt 2 średnik zastępuje się kropką i uchyla się pkt 3;
2) w art. 78 w ust. 2 pkt 1 otrzymuje brzmienie:
„1) w przypadku abonenta będącego konsumentem:
a) dane, o których mowa w art. 169 ust. 1,
b) adres miejsca zamieszkania i adres korespondencyjny – jeżeli jest on inny niż adres miejsca zamieszkania,
c) numer PESEL – w przypadku obywatela Rzeczypospolitej Polskiej,
d) nazwę, serię i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu,”;
3) w art. 159 w ust. 1 pkt 1 otrzymuje brzmienie:
„1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2;”;
4) w art. 161 ust. 2 otrzymuje brzmienie:
„2. Przetwarzanie danych osobowych użytkownika – innych niż wskazane w art. 159 ust. 1 pkt 2–5 – będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.”;
5) art. 174 otrzymuje brzmienie:
„Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.”;
6) po art. 174 dodaje się art. 1741 w brzmieniu:
„Art. 1741. Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.59)), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:
1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych, oraz
2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.”;
7) w art. 174a:
a) ust. 1 otrzymuje brzmienie:
„1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.”,
b) po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Prezes Urzędu Ochrony Danych Osobowych zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.”,
c) ust. 3 otrzymuje brzmienie:
„3. W przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5.”,
d) po ust. 3 dodaje się ust. 3a w brzmieniu:
„3a. Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes Urzędu Ochrony Danych Osobowych wydaje w drodze decyzji.”,
e) ust. 5 otrzymuje brzmienie:
„5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.”,
f) po ust. 5 dodaje się ust. 5a w brzmieniu:
„5a. Dostawca publicznie dostępnych usług telekomunikacyjnych wykazuje spełnienie warunków, o których mowa w ust. 5, przekazując niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych odpowiednią dokumentację.”,
g) ust. 6 otrzymuje brzmienie:
„6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.”,
h) uchyla się ust. 7 i 8,
i) dodaje się ust. 9 w brzmieniu:
„9. W przypadku gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes Urzędu Ochrony Danych Osobowych informuje inne zainteresowane organy z państw członkowskich.”;
8) art. 174b i art. 174c otrzymują brzmienie:
„Art. 174b. Do sprawowanej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 1741, art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669 oraz z 2019 r. poz. 730).
Art. 174c. Prezes Urzędu Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes Urzędu Ochrony Danych Osobowych może udostępniać wystąpienia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.”;
9) w art. 174d w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, zawierający w szczególności:”;
10) po art. 210 dodaje się art. 210a w brzmieniu:
„Art. 210a. 1. Kto nie wypełnia obowiązku:
1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741,
2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1,
3) informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3,
4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 174d ust. 1
– podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.
2. Do kar nakładanych na podstawie ust. 1 stosuje się odpowiednio przepisy art. 209 ust. 1a–3 oraz art. 210. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych.”.
Art. 80. [Ustawa o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych] W ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2018 r. poz. 1510, z późn. zm.60)) wprowadza się następujące zmiany:
1) w art. 188:
a) w ust. 1:
– wprowadzenie do wyliczenia otrzymuje brzmienie:
„Fundusz przetwarza dane osobowe ubezpieczonych w celu:”,
– po pkt 10 dodaje się pkt 10a w brzmieniu:
„10a) prowadzenia prac analitycznych i prognostycznych związanych z realizacją świadczeń opieki zdrowotnej.”,
b) w ust. 1a wprowadzenie do wyliczenia otrzymuje brzmienie:
„Fundusz przetwarza dane osobowe osób, o których mowa w art. 2 ust. 1 pkt 2, w celu:”,
c) ust. 1b otrzymuje brzmienie:
„1b. Fundusz przetwarza dane osobowe osób, o których mowa w art. 2 ust. 1 pkt 3 i 4, w celu rozliczania kosztów refundacji leków.”,
d) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Fundusz przetwarza dane osobowe osób uprawnionych do świadczeń opieki zdrowotnej na podstawie przepisów o koordynacji oraz umów międzynarodowych w celu:”,
e) ust. 2a otrzymuje brzmienie:
„2a. Fundusz przetwarza dane osobowe w celu realizacji zadań określonych w art. 97 ust. 3 pkt 2 i 3a.”,
f) w ust. 2b wprowadzenie do wyliczenia otrzymuje brzmienie:
„Fundusz przetwarza następujące dane osobowe pacjentów z innych niż Rzeczpospolita Polska państw członkowskich Unii Europejskiej w celu realizacji zadań, o których mowa w art. 97a ust. 2 i 5:”,
g) ust. 2c otrzymuje brzmienie:
„2c. Fundusz przetwarza dane osobowe związane z wystawianiem recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne oraz z ich realizacją w aptece lub wystawianiem zlecenia na zaopatrzenie w wyroby medyczne, o których mowa w przepisach wydanych na podstawie art. 38 ust. 4 ustawy o refundacji.”,
h) w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Minister właściwy do spraw zdrowia przetwarza dane osobowe:”,
i) w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:
„W celu realizacji zadań, o których mowa w ust. 1–3, minister właściwy do spraw zdrowia i Fundusz przetwarzają następujące dane:”;
2) w art. 188a wprowadzenie do wyliczenia otrzymuje brzmienie:
„W celu realizacji zadań określonych w ustawie Fundusz przetwarza następujące dane osobowe osób wystawiających recepty na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne, osób wystawiających zlecenie na zaopatrzenie w wyroby medyczne, o których mowa w przepisach wydanych na podstawie art. 38 ust. 4 ustawy o refundacji, osób udzielających świadczeń na podstawie umów o udzielanie świadczeń opieki zdrowotnej oraz ubiegających się o zawarcie takich umów:”;
3) w art. 188b wprowadzenie do wyliczenia otrzymuje brzmienie:
„W celu realizacji zadań określonych w art. 97a ust. 2 pkt 3 Fundusz przetwarza następujące dane dotyczące osób wykonujących zawody medyczne:”;
4) w art. 188ba:
a) ust. 1 otrzymuje brzmienie:
„1. Fundusz przetwarza dane osobowe osób ubiegających się o nadanie dostępu lub korzystających z aplikacji udostępnianych przez Fundusz świadczeniodawcom oraz niebędącym świadczeniodawcami osobom uprawnionym i osobom przez nie upoważnionym, w celu korzystania z usług informatycznych i komunikacji z Funduszem.”,
b) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
„W celu realizacji zadań, o których mowa w ust. 1, Fundusz przetwarza następujące dane:”;
5) w art. 188c ust. 6 otrzymuje brzmienie:
„6. Fundusz przetwarza dane w zakresie realizacji programów lekowych, o których mowa w ustawie o refundacji.”;
6) w art. 188d wprowadzenie do wyliczenia otrzymuje brzmienie:
„Jednostka samorządu terytorialnego, w celu realizacji zadań, o których mowa w art. 9a i art. 9b, przetwarza dane dotyczące:”;
7) w art. 191:
a) ust. 1 otrzymuje brzmienie:
„1. Minister właściwy do spraw zdrowia przetwarza dane dotyczące ubezpieczenia zdrowotnego w zakresie niezbędnym do realizacji zadań wynikających z ustawy.”,
b) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Fundusz przetwarza dane osobowe świadczeniobiorców innych niż ubezpieczeni, w celu:”,
c) po ust. 2 dodaje się ust. 2a w brzmieniu:
„2a. Minister właściwy do spraw zdrowia przetwarza dane osobowe świadczeniobiorców innych niż ubezpieczeni, w celu:
1) finansowania świadczeń opieki zdrowotnej;
2) kontroli:
a) rodzaju, zakresu i przyczyn udzielanych świadczeń opieki zdrowotnej,
b) przestrzegania zasad legalności, gospodarności, rzetelności i celowości finansowania udzielanych świadczeń opieki zdrowotnej;
3) monitorowania stanu zdrowia i zapotrzebowania świadczeniobiorców innych niż ubezpieczeni na świadczenia opieki zdrowotnej, leki i wyroby medyczne.”,
d) w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:
„W celu realizacji zadań, o których mowa w ust. 1, minister właściwy do spraw zdrowia oraz Fundusz przetwarzają następujące dane:”,
e) ust. 4 otrzymuje brzmienie:
„4. Minister Obrony Narodowej, Minister Sprawiedliwości, minister właściwy do spraw wewnętrznych, minister właściwy do spraw finansów publicznych oraz minister właściwy do spraw zdrowia przetwarzają informacje niezbędne do realizacji zadań wynikających z ustawy.”.
Art. 81. [Ustawa o zawodzie tłumacza przysięgłego] W ustawie z dnia 25 listopada 2004 r. o zawodzie tłumacza przysięgłego (Dz. U. z 2017 r. poz. 1505 oraz z 2018 r. poz. 1669) po rozdziale 4 dodaje się rozdział 4a w brzmieniu:
„Rozdział 4a
Przetwarzanie danych osobowych
Art. 29a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.61)), stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez tłumacza przysięgłego tajemnicy zawodowej, o której mowa w art. 14 ust. 1 pkt 2.
2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w przypadku danych osobowych pozyskanych przez tłumacza przysięgłego w związku z tłumaczeniem, nie stosuje się.
Art. 29b. Obowiązek zachowania tajemnicy, o której mowa w art. 14 ust. 1 pkt 2, nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych w związku z tłumaczeniem występuje Prezes Urzędu Ochrony Danych Osobowych.
Art. 29c. Okres przechowywania danych osobowych zgromadzonych przez tłumacza przysięgłego w związku z tłumaczeniem wynosi 4 lata od zakończenia roku kalendarzowego, w którym dane zostały zgromadzone. Po upływie tego okresu dane osobowe podlegają usunięciu, chyba że dalsze ich przechowywanie jest niezbędne dla ochrony praw lub dochodzenia roszczeń.”.
Art. 82. [Ustawa o odpowiedzialności za naruszenie dyscypliny finansów publicznych] W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2018 r. poz. 1458, 1669, 1693 i 2192) wprowadza się następujące zmiany:
1) po art. 3 dodaje się art. 3a w brzmieniu:
„Art. 3a. 1. Podmioty zapewniające organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych siedzibę, obsługę prawną i administracyjno-techniczną są administratorami danych przetwarzanych przez te organy.
2. Administratorzy danych upoważniają do przetwarzania danych osobowych osoby zapewniające obsługę prawną i administracyjno-techniczną organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych w zakresie niezbędnym do realizacji powierzonych zadań. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej.
3. Administratorzy danych prowadzą rejestr osób uprawnionych do przetwarzania danych osobowych na podstawie upoważnień lub w związku z pełnieniem funkcji w organach właściwych w sprawach o naruszenie dyscypliny finansów publicznych.
4. Jeżeli przepisy szczególne nie stanowią inaczej, osoby przetwarzające dane są obowiązane zachować w poufności dane osobowe oraz sposoby ich zabezpieczenia.
5. Przekazywanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.62)), zwanego dalej „rozporządzeniem 2016/679”, odbywa się niezależnie od obowiązków organów przewidzianych w ustawie i nie wpływa na przebieg i wynik prowadzonych postępowań.
6. Administrator danych przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności organu skierowanej do osoby, której dane dotyczą, chyba że osoba posiada te informacje, a ich zakres lub treść nie uległy zmianie.
7. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje, ani nie ogranicza wykonywania przez organy właściwe w sprawach o naruszenie dyscypliny finansów publicznych realizacji zadań wynikających z przepisów prawa.”;
2) po art. 173 dodaje się art. 173a w brzmieniu:
„Art. 173a. Przepis art. 173 ust. 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.”.
Art. 83. [Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne] W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700) wprowadza się następujące zmiany:
1) po art. 15a dodaje się art. 15b w brzmieniu:
„Art. 15b. 1. Podmiot publiczny w celu ochrony interesu prawnego lub faktycznego osoby fizycznej, w szczególności w związku z realizowanymi na jej rzecz usługami, może wykorzystywać jej dane kontaktowe gromadzone w rejestrze publicznym lub systemach teleinformatycznych. Brak odpowiedzi osoby fizycznej na próbę nawiązania przez podmiot publiczny kontaktu z wykorzystaniem danych kontaktowych nie może negatywnie wpłynąć na jej sytuację prawną lub faktyczną.
2. Podmiot publiczny, wykorzystując dane kontaktowe osoby fizycznej, informuje ją o podstawie prawnej nawiązania kontaktu.”;
2) w art. 19f:
a) w ust. 1 uchyla się pkt 2,
b) w ust. 3 skreśla się wyrazy „oraz wycofać zgodę na przetwarzanie danych osobowych”;
3) w art. 19g dodaje się ust. 4 w brzmieniu:
„4. Porozumienie, o którym mowa w ust. 1 i 2, opatruje się podpisem zaufanym, podpisem osobistym lub kwalifikowanym podpisem elektronicznym.”;
4) w art. 19h dodaje się zdanie drugie w brzmieniu:
„Dane przetwarzane są przez okres 6 lat od dnia ostatniej aktywności użytkownika w systemie.”.
Art. 84. [Ustawa o opłatach abonamentowych] W ustawie z dnia 21 kwietnia 2005 r. o opłatach abonamentowych (Dz. U. z 2014 r. poz. 1204, z 2015 r. poz. 1324, z 2018 r. poz. 1717 oraz z 2019 r. poz. 572) w art. 5 dodaje się ust. 5–7 w brzmieniu:
„5. Osoba fizyczna lub podmiot posiadający zarejestrowany odbiornik radiofoniczny lub telewizyjny może dokonać zgłoszenia zaprzestania używania tych urządzeń. Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. – Prawo pocztowe dokonuje wyrejestrowania odbiorników radiofonicznych lub telewizyjnych.
6. Po wyrejestrowaniu odbiornika usunięcie danych osobowych osób, o których mowa w ust. 5, następuje po upływie 5 lat, licząc od końca roku kalendarzowego, w którym dokonano wyrejestrowania odbiornika, pod warunkiem że osoby te nie są zadłużone w uiszczaniu opłat abonamentowych oraz nie toczą się przeciwko nim postępowania w sprawie zaległości w uiszczaniu opłat abonamentowych albo postępowania egzekucyjne.
7. W przypadku spłaty zadłużenia w opłatach abonamentowych lub zakończenia toczących się postępowań, o których mowa w ust. 6, po dacie wyrejestrowania odbiornika, usunięcie danych osobowych następuje po upływie 5 lat, licząc od końca roku kalendarzowego, w którym nastąpiło wygaśnięcie zobowiązania.”.
Art. 85. [Ustawa o przeciwdziałaniu przemocy w rodzinie] W ustawie z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (Dz. U. z 2015 r. poz. 1390) w art. 9c:
1) ust. 1 otrzymuje brzmienie:
„1. Członkowie zespołu interdyscyplinarnego oraz grup roboczych w zakresie niezbędnym do realizacji zadań, o których mowa w art. 9b, przetwarzają dane:
1) osób, co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie, oraz osób dotkniętych przemocą w rodzinie:
a) imię i nazwisko,
b) imiona rodziców,
c) wiek,
d) adres miejsca zamieszkania lub pobytu,
e) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada,
f) informacje o stanie zdrowia,
g) informacje o nałogach,
h) informacje o skazaniach, orzeczeniach o ukaraniu, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,
i) informacje o sytuacji rodzinnej,
j) informacje o sytuacji zawodowej i źródłach utrzymania,
k) informacje o sytuacji mieszkaniowej;
2) innych osób pozostających we wspólnym gospodarstwie z osobą, wobec której istnieje podejrzenie, że stosuje przemoc w rodzinie, lub z osobą stosującą przemoc w rodzinie:
a) imię i nazwisko,
b) stosunek pokrewieństwa z osobą, co do której istnieje podejrzenie, że stosuje przemoc w rodzinie, lub z osobą stosującą przemoc w rodzinie,
c) wiek,
d) informacje o sytuacji zawodowej i źródłach utrzymania,
e) w przypadku dzieci – dane szkoły i klasy, do której uczęszcza dziecko;
3) osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie, oraz osób stosujących przemoc w rodzinie:
a) imię i nazwisko,
b) wiek,
c) stan cywilny,
d) adres miejsca zamieszkania lub pobytu,
e) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada,
f) stosunek pokrewieństwa z osobą, co do której istnieje podejrzenie, że jest dotknięta przemocą w rodzinie lub z osobą dotkniętą przemocą w rodzinie,
g) informacje o stanie zdrowia,
h) informacje o nałogach,
i) informacje o skazaniach, orzeczeniach o ukaraniu, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,
j) informacje o sytuacji zawodowej i źródłach utrzymania;
4) osób zgłaszających podejrzenie stosowania przemocy w rodzinie oraz świadków przemocy:
a) imię i nazwisko,
b) adres miejsca zamieszkania,
c) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada.”;
2) dodaje się ust. 4–7 w brzmieniu:
„4. Poza przypadkami wskazanymi w ustawie do dokumentacji wytworzonej przy realizacji zadań, o których mowa w art. 9b, dostęp mają wyłącznie członkowie zespołu interdyscyplinarnego oraz grup roboczych oraz osoby wskazane w ust. 1 pkt 1 i 3.
5. Osoby, o których mowa w ust. 1 pkt 3, mają dostęp do dokumentacji, z wyłączeniem dostępu do dokumentacji zawierającej dane osób dotkniętych przemocą w rodzinie oraz osób zgłaszających podejrzenie stosowania przemocy w rodzinie, których udostępnienie mogłoby spowodować zagrożenie życia, zdrowia lub bezpieczeństwa osób dotkniętych przemocą w rodzinie lub osób zgłaszających podejrzenie stosowania przemocy w rodzinie, w szczególności z wyłączeniem dostępu do:
1) formularzy „Niebieska Karta” zawierających dane osób dotkniętych przemocą w rodzinie;
2) protokołów z posiedzeń zespołu interdyscyplinarnego oraz grup roboczych, chyba że dotyczą wyłącznie działań podejmowanych wobec osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie, oraz osób stosujących przemoc w rodzinie;
3) notatek i dokumentów wytworzonych przy realizacji zadań, o których mowa w art. 9b, chyba że dokumenty te dotyczą wyłącznie działań podejmowanych wobec osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie, oraz osób stosujących przemoc w rodzinie;
4) innych dokumentów zgromadzonych przy realizacji zadań, o których mowa w art. 9b, których udostępnienie mogłoby spowodować zagrożenie życia, zdrowia lub bezpieczeństwa osób dotkniętych przemocą w rodzinie lub osób zgłaszających podejrzenie stosowania przemocy w rodzinie.
6. Administratorem danych przetwarzanych na podstawie przepisów niniejszego artykułu jest ośrodek pomocy społecznej zapewniający obsługę organizacyjno-techniczną zespołu interdyscyplinarnego.
7. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.”.
Art. 86. [Ustawa o obrocie instrumentami finansowymi] W ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2018 r. poz. 2286, 2243 i 2244) wprowadza się następujące zmiany:
1) w art. 3 po pkt 4w dodaje się pkt 4x w brzmieniu:
„4x) rozporządzeniu 2016/679 – rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.63));”;
2) po art. 83j dodaje się art. 83k w brzmieniu:
„Art. 83k. Firmy inwestycyjne będące administratorami przetwarzającymi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679 nie są obowiązane do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia 2016/679, w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.”;
3) w art. 149 w pkt 13 kropkę zastępuje się średnikiem i dodaje się pkt 14 w brzmieniu:
„14) Prezesa Urzędu Ochrony Danych Osobowych – w zakresie niezbędnym do realizacji przez niego ustawowych zadań.”.
Art. 87. [Ustawa o dokumentach paszportowych] W ustawie z dnia 13 lipca 2006 r. o dokumentach paszportowych (Dz. U. z 2018 r. poz. 1919) wprowadza się następujące zmiany:
1) po art. 13 dodaje się art. 13a w brzmieniu:
„Art. 13a. 1. Wnioski o wydanie dokumentu paszportowego zawierają:
1) numer PESEL;
2) nazwisko;
3) nazwisko rodowe oraz inne nazwiska, jeżeli były zmieniane;
4) imię (imiona);
5) imiona rodziców i nazwisko rodowe matki;
6) datę i miejsce urodzenia;
7) płeć;
8) podpis osoby, dla której ma być wydany dokument paszportowy, z wyjątkiem przypadków, o których mowa w art. 18 ust. 2 i 3;
9) imię, nazwisko, rodzaj, serie i numery dokumentów tożsamości, podpisy rodziców lub ustanowionych przez sąd opiekunów albo jednego z rodziców lub ustanowionych przez sąd opiekunów wyrażających zgodę na wydanie dokumentu paszportowego osobie małoletniej oraz datę ich złożenia;
10) opcjonalnie numer telefonu lub adres poczty elektronicznej;
11) pouczenie o odpowiedzialności karnej za podanie nieprawdziwych danych lub zatajenie danych;
12) miejscowość, datę i podpis osoby składającej wniosek;
13) datę i podpis osoby odbierającej dokument paszportowy;
14) adnotacje urzędowe.
2. Wniosek o wydanie paszportu albo paszportu tymczasowego składany do wojewody i ministra właściwego do spraw wewnętrznych, oprócz danych wskazanych w ust. 1, zawiera także adres do korespondencji, datę i podpis osoby odbierającej anulowany, posiadany dotychczas, dokument paszportowy, a wniosek o wydanie paszportu tymczasowego w przypadku, o którym mowa w art. 23 ust. 1 pkt 3, zawiera także adres miejsca stałego pobytu.
3. Wniosek o wydanie paszportu albo paszportu tymczasowego składany do konsula, oprócz danych wskazanych w ust. 1, zawiera także adres do korespondencji za granicą, datę i podpis osoby odbierającej anulowany, posiadany dotychczas, dokument paszportowy, a wniosek o wydanie paszportu tymczasowego w przypadku, o którym mowa w art. 23 ust. 1 pkt 3, zawiera także adres miejsca stałego pobytu.
4. Wniosek o wydanie paszportu dyplomatycznego lub paszportu służbowego Ministerstwa Spraw Zagranicznych, oprócz danych wskazanych w ust. 1, zawiera także:
1) adres do korespondencji;
2) aktualne miejsce pracy i stanowisko;
3) zobowiązanie posiadacza dokumentu paszportowego do zwrotu dokumentu paszportowego niezwłocznie po wykorzystaniu lub w przypadku utraty prawa do korzystania z tego dokumentu.”;
2) w art. 46:
a) uchyla się ust. 2,
b) dodaje się ust. 3 i 4 w brzmieniu:
„3. W centralnej ewidencji przetwarza się:
1) dane, o których mowa w art. 18 ust. 1 pkt 1–5 i 9 oraz art. 25;
2) nazwisko rodowe;
3) imiona i nazwiska rodowe rodziców;
4) podpis posiadacza;
5) dane biometryczne w postaci odcisków palców;
6) dane biometryczne w postaci wizerunku twarzy;
7) serię, numer i datę ważności dowodu osobistego oraz oznaczenie organu, który go wydał;
8) adres i datę zameldowania na pobyt stały;
9) kraj miejsca zamieszkania;
10) kraj poprzedniego miejsca zamieszkania;
11) datę wymeldowania z miejsca pobytu stałego;
12) adres i datę zameldowania na pobyt czasowy;
13) datę wymeldowania z miejsca pobytu czasowego;
14) datę zgonu;
15) dane dotyczące wniosku o wydanie dokumentu paszportowego:
a) numer wniosku,
b) nazwę organu realizującego wniosek,
c) status wniosku oraz datę jego aktualizacji;
16) dane dotyczące dokumentu paszportowego:
a) dane, o których mowa w art. 18 ust. 1 pkt 7, 8 i 10,
b) status dokumentu paszportowego oraz datę jego aktualizacji,
c) dane dotyczące wniosku, o którym mowa w art. 17 ust. 1, art. 38 ust. 1 pkt 1 i ust. 3:
– dane dotyczące tożsamości osoby, której wniosek dotyczy,
– dane dotyczące organu, który wniosek złożył,
– sygnaturę i podstawę prawną wniosku,
– datę wpływu wniosku,
– datę wycofania wniosku przez uprawniony organ,
d) informacje o zastosowaniu oraz uchyleniu lub zmianie przez uprawniony organ środka zapobiegawczego w postaci zakazu opuszczania kraju połączonego z zatrzymaniem dokumentu paszportowego lub o tymczasowym zatrzymaniu dokumentu paszportowego przez uprawniony organ:
– dane dotyczące tożsamości osoby, wobec której zastosowano środek zapobiegawczy lub tymczasowe zatrzymanie dokumentu paszportowego,
– dane dotyczące organu, który zastosował środek zapobiegawczy lub zawiadomił o tymczasowym zatrzymaniu dokumentu paszportowego,
– datę wpływu i sygnaturę akt sprawy,
– datę wydania oraz dane dotyczące organu, który uchylił lub zmienił środek zapobiegawczy,
e) informacje o decyzji wydanej na podstawie art. 39 ust. 1:
– datę i przyczynę wydania decyzji,
– nazwę organu wydającego decyzję,
– sygnaturę akt;
17) dane dotyczące książeczek paszportowych paszportów tymczasowych oraz naklejek personalizacyjnych do paszportów tymczasowych utraconych przed spersonalizowaniem lub wybrakowanych w procesie sporządzania:
a) serię i numer książeczki paszportowej paszportu tymczasowego,
b) serię i numer naklejki personalizacyjnej do paszportu tymczasowego,
c) datę i przyczynę utraty książeczki paszportowej paszportu tymczasowego lub naklejki personalizacyjnej do paszportu tymczasowego,
d) datę i przyczynę wybrakowania książeczki paszportowej paszportu tymczasowego lub naklejki personalizacyjnej do paszportu tymczasowego;
18) dane dotyczące dokumentów paszportowych utraconych przed odbiorem przez obywatela polskiego:
a) serię i numer dokumentu paszportowego,
b) datę i przyczynę utraty dokumentu paszportowego;
19) dane dotyczące książeczek paszportowych wybrakowanych w procesie sporządzania:
a) serię i numer książeczki paszportowej,
b) datę i przyczynę wybrakowania książeczki paszportowej w czasie sporządzania;
20) dane dotyczące utraconych niespersonalizowanych książeczek paszportowych:
a) serię i numer książeczki paszportowej,
b) datę i przyczynę utraty książeczki paszportowej.
4. Dane do centralnej ewidencji są przekazywane:
1) z ewidencji wydanych i unieważnionych dokumentów paszportowych, zwanych dalej „ewidencjami paszportowymi”, w zakresie danych, o których mowa w ust. 3 pkt 1–18;
2) bezpośrednio przez ministra właściwego do spraw wewnętrznych, w zakresie danych, o których mowa w ust. 3 pkt 19 i 20.”;
3) w art. 47:
a) ust. 1 otrzymuje brzmienie:
„1. Organy paszportowe prowadzą, w zakresie swoich zadań, ewidencje paszportowe.”,
b) uchyla się ust. 2,
c) dodaje się ust. 3 w brzmieniu:
„3. W ewidencjach paszportowych przetwarza się dane, o których mowa w art. 46 ust. 3 pkt 1–19, oraz adres do korespondencji.”;
4) po art. 47 dodaje się art. 47a i art. 47b w brzmieniu:
„Art. 47a. 1. Danych przetwarzanych w centralnej ewidencji i ewidencjach paszportowych nie usuwa się, z wyjątkiem danych, o których mowa w art. 46 ust. 3 pkt 5.
2. Dane biometryczne w postaci odcisków palców przechowuje się w centralnej ewidencji i ewidencjach paszportowych do czasu wpisania przez organ paszportowy do ewidencji paszportowej potwierdzenia przyjęcia sporządzonego dokumentu paszportowego.
3. W przypadku wydania przez organ paszportowy decyzji o odmowie wydania dokumentu paszportowego dane biometryczne w postaci odcisków palców przechowuje się w centralnej ewidencji i ewidencjach paszportowych do czasu wpisania przez organ do ewidencji paszportowej informacji o odmowie wydania dokumentu paszportowego z powodów, o których mowa w art. 17 ust. 1, oraz numeru akt sprawy o wydanie dokumentu paszportowego.
Art. 47b. 1. Organ paszportowy przyjmujący wniosek o wydanie dokumentu paszportowego dokonuje z urzędu sprawdzenia danych w ewidencjach paszportowych, w centralnej ewidencji oraz w rejestrze PESEL, o którym mowa w ustawie z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 i 1544 oraz z 2019 r. poz. 60 i 730), porównuje dane w nich zamieszczone z danymi zawartymi we wniosku o wydanie dokumentu paszportowego oraz w przedkładanej dokumentacji.
2. W przypadku stwierdzenia niezgodności danych, o których mowa w art. 18 ust. 1 pkt 1–5 i 9 oraz w art. 46 ust. 3 pkt 2, 3 i 7–14, w ewidencjach i rejestrze, o których mowa w ust. 1, z danymi zawartymi we wniosku o wydanie dokumentu paszportowego oraz przedkładanej dokumentacji organ, który stwierdził niezgodność, podejmuje działania celem usunięcia niezgodności, zgodnie z art. 11 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności.
3. W przypadku braku bezpośredniego dostępu do rejestru PESEL, o niezgodności, o której mowa w ust. 2, konsulowie niezwłocznie zawiadamiają ministra właściwego do spraw informatyzacji.”;
5) uchyla się art. 48;
6) w art. 49:
a) ust. 1 otrzymuje brzmienie:
„1. Centralna ewidencja i ewidencje paszportowe są prowadzone w systemie teleinformatycznym, w którym jest prowadzony zbiór danych o osobie i wszystkich sporządzonych dla tej osoby dokumentach paszportowych.”,
b) ust. 3 otrzymuje brzmienie:
„3. Organy paszportowe przekazują, w formie elektronicznej, za pośrednictwem ewidencji paszportowych do centralnej ewidencji, dane z ewidencji paszportowych niezwłocznie po rozpatrzeniu wniosku o wydanie dokumentu paszportowego lub wydaniu decyzji o odmowie wydania lub unieważnieniu dokumentu paszportowego.”;
7) po art. 49 dodaje się art. 49a–49c w brzmieniu:
„Art. 49a. 1. Utrzymanie i rozwój centralnej ewidencji, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym:
1) zapewnia ochronę przed nieuprawnionym dostępem do centralnej ewidencji;
2) zapewnia integralność danych w centralnej ewidencji;
3) zapewnia dostępność systemu teleinformatycznego, w którym prowadzona jest centralna ewidencja, dla podmiotów przetwarzających dane w tej ewidencji;
4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym prowadzona jest centralna ewidencja;
5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określa zasady zgłaszania naruszenia ochrony danych osobowych;
7) zapewnia rozliczalność działań dokonywanych na danych centralnej ewidencji;
8) zapewnia poprawność danych przetwarzanych w centralnej ewidencji.
2. Minister właściwy do spraw informatyzacji wykonuje obowiązki, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.64)), zwanego dalej „rozporządzeniem 2016/679”.
Art. 49b. 1. Utrzymanie i rozwój systemu teleinformatycznego, za pomocą którego organy paszportowe prowadzą ewidencje paszportowe, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw wewnętrznych, w tym:
1) zapewnia ochronę przed nieuprawnionym dostępem do ewidencji paszportowych;
2) zapewnia integralność danych w ewidencjach paszportowych;
3) zapewnia dostępność systemu teleinformatycznego, w którym prowadzone są ewidencje paszportowe, dla podmiotów przetwarzających dane w tych ewidencjach;
4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym prowadzone są ewidencje paszportowe;
5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określa zasady zgłaszania naruszenia ochrony danych osobowych;
7) zapewnia rozliczalność działań dokonywanych na danych ewidencji paszportowych.
2. Minister właściwy do spraw wewnętrznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej łączność elektroniczną między centralną ewidencją a ewidencjami paszportowymi.
3. Minister właściwy do spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej łączność elektroniczną między centralną ewidencją a ewidencjami paszportowymi prowadzonymi przez konsulów.
4. Organy paszportowe wykonują obowiązki, o których mowa w art. 15 rozporządzenia 2016/679.
Art. 49c. Minister właściwy do spraw wewnętrznych, minister właściwy do spraw informatyzacji, minister właściwy do spraw zagranicznych, konsul oraz wojewoda posiadają dostęp do centralnej ewidencji.”;
8) uchyla się art. 50–52;
9) w art. 53 dodaje się ust. 3 w brzmieniu:
„3. Dokumentację, o której mowa w ust. 1, przechowuje się na zasadach i w trybie określonych w przepisach wydanych na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).”;
10) po rozdziale 6 dodaje się rozdział 6a w brzmieniu:
„Rozdział 6a
Udostępnianie danych
Art. 54a. Minister właściwy do spraw informatyzacji udostępnia dane zgromadzone w centralnej ewidencji, z wyłączeniem danych biometrycznych w postaci odcisków palców:
1) Policji,
2) Straży Granicznej,
3) Biuru Nadzoru Wewnętrznego,
4) Agencji Bezpieczeństwa Wewnętrznego,
5) Agencji Wywiadu,
6) Centralnemu Biuru Antykorupcyjnemu,
7) ministrowi właściwemu do spraw finansów publicznych,
8) prokuratorowi,
9) sądom,
10) Służbie Więziennej,
11) Służbie Kontrwywiadu Wojskowego,
12) Służbie Wywiadu Wojskowego,
13) Żandarmerii Wojskowej,
14) Szefowi Krajowego Centrum Informacji Kryminalnych,
15) Służbie Ochrony Państwa
– w zakresie niezbędnym do realizacji ich ustawowych zadań.
Art. 54b. 1. Dane z centralnej ewidencji udostępnia się w trybie:
1) pełnej teletransmisji danych;
2) jednostkowym.
2. Dane z centralnej ewidencji udostępnia się nieodpłatnie.
Art. 54c. 1. Minister właściwy do spraw informatyzacji może wyrazić zgodę, w drodze decyzji administracyjnej, na udostępnienie danych zgromadzonych w centralnej ewidencji, podmiotom, o których mowa w art. 54a, za pomocą urządzeń teletransmisji danych, po złożeniu jednorazowego, uproszczonego wniosku, jeżeli spełniają łącznie następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu oraz jakie dane uzyskał;
2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem ustawowo określonych zadań.
2. Minister właściwy do spraw informatyzacji, w drodze decyzji administracyjnej, odmawia udostępnienia danych w trybie pełnej teletransmisji danych, jeżeli podmioty uprawnione nie spełniają wymogów określonych w ust. 1.
Art. 54d. W trybie jednostkowym z centralnej ewidencji minister właściwy do spraw informatyzacji udostępnia dane dotyczące dokumentu lub jego posiadacza z wyłączeniem danych biometrycznych w postaci odcisków palców, na jednorazowy wniosek podmiotów, o których mowa w art. 54a, złożony w formie pisemnej lub w formie dokumentu elektronicznego przy wykorzystaniu środków komunikacji elektronicznej.
Art. 54e. 1. Organy paszportowe udostępniają dokumentację, o której mowa w art. 53 ust. 1, znajdującą się w ich posiadaniu.
2. Dokumentację paszportową, o której mowa w art. 53 ust. 1, udostępnia się na uzasadniony wniosek złożony przez osobę, której ta dokumentacja dotyczy albo przez podmiot, o którym mowa w art. 54a, jeżeli uzyskanie danych przez ten podmiot jest uzasadnione zakresem wykonywanych zadań określonych w ustawach szczególnych.
3. Dokumentację paszportową udostępnia się nieodpłatnie.
Art. 54f. 1. Organy paszportowe na wniosek osoby, której dane dotyczą, złożony w formie pisemnej lub w formie dokumentu elektronicznego przy wykorzystaniu środków komunikacji elektronicznej, wydają zaświadczenie zawierające pełny odpis danych dotyczących tej osoby przetwarzanych w prowadzonych przez nie ewidencjach paszportowych, z wyłączeniem danych biometrycznych w postaci odcisków palców.
2. Zaświadczenie sporządza się, w zależności od żądania wnioskodawcy, w formie pisemnej lub w formie dokumentu elektronicznego, który podlega przekazaniu przy wykorzystaniu środków komunikacji elektronicznej. Zaświadczenia wydawane w formie dokumentu elektronicznego opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym.
3. Zaświadczenie może mieć formę wydruku z systemu teleinformatycznego.
Art. 54g. 1. Organ paszportowy udostępnia z ewidencji paszportowej dane dotyczące dokumentu lub jego posiadacza, z wyłączeniem danych biometrycznych w postaci odcisków palców, na jednorazowy wniosek podmiotu, o którym mowa w art. 54a, złożony w formie pisemnej lub w formie dokumentu elektronicznego przy wykorzystaniu środków komunikacji elektronicznej.
2. W trybie, o którym mowa w ust. 1, dane udostępnia się nieodpłatnie.
Art. 54h. Minister właściwy do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw wewnętrznych określi, w drodze rozporządzenia wzór wniosku o:
1) udostępnienie danych z ewidencji paszportowych i z centralnej ewidencji w trybie jednostkowym,
2) udostępnianie danych z centralnej ewidencji w trybie pełnej teletransmisji danych,
3) udostępnienie dokumentacji, o której mowa w art. 53 ust. 1
– uwzględniając potrzebę zapewnienia sprawności i bezpieczeństwa udostępniania danych oraz dokumentacji, o której mowa w art. 53 ust. 1.”.
Art. 88. [Ustawa o nadzorze nad rynkiem finansowym] W ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2019 r. poz. 298 i 326) po art. 4 dodaje się art. 4a w brzmieniu:
„Art. 4a. 1. Dla realizacji celu, o którym mowa w art. 2, Komisja przetwarza dane osobowe, w tym dane, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (