Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Witaj na Platformie MM.
Zaloguj się, aby korzystać z dostępu do zakupionych serwisów.
Możesz również swobodnie przeglądać zasoby Platformy bez logowania, ale tylko w ograniczonej wersji demonstracyjnej.
Chcesz sprawdzić zawartość niezbędników i czasopism? Zyskaj 14 dni pełnego dostępu całkowicie za darmo i bez zobowiązań.
DZIENNIK USTAW
RZECZYPOSPOLITEJ POLSKIEJ
Warszawa, dnia 19 września 2019 r.
Poz. 1781
OBWIESZCZENIE
MARSZAŁKA SEJMU RZECZYPOSPOLITEJ POLSKIEJ
z dnia 30 sierpnia 2019 r.
w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych
1. Na podstawie art. 16 ust. 1 zdanie pierwsze ustawy z dnia 20 lipca 2000 r. o ogłaszaniu aktów normatywnych
i niektórych innych aktów prawnych (Dz. U. z 2019 r. poz. 1461) ogłasza się w załączniku do niniejszego obwieszczenia
jednolity tekst ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z uwzględnieniem zmian
wprowadzonych:
1) ustawą z dnia 3 lipca 2018 r. – Przepisy wprowadzające ustawę – Prawo o szkolnictwie wyższym i nauce (Dz. U.
poz. 1669),
2) ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730)
oraz zmian wynikających z przepisów ogłoszonych przed dniem 29 sierpnia 2019 r.
2. Podany w załączniku do niniejszego obwieszczenia tekst jednolity ustawy nie obejmuje:
1) art. 109–157 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), które stanowią:
„Art. 109. W ustawie z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 155,
z późn. zm.a)) w art. 17 w pkt 44 kropkę zastępuje się średnikiem i dodaje się pkt 45 w brzmieniu:
„45) o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych.”.
Art. 110. W ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2017 r.
poz. 1201, 1475, 1954 i 2491 oraz z 2018 r. poz. 138 i 398) wprowadza się następujące zmiany:
1) użyte w art. 2 w § 1 w pkt 12 i w art. 20 w § 2 w różnym przypadku wyrazy „Generalny Inspektor Ochrony
Danych Osobowych” zastępuje się użytymi w odpowiednim przypadku wyrazami „Prezes Urzędu Ochrony
Danych Osobowych”;
2) w art. 18i § 12 otrzymuje brzmienie:
„§ 12. Postępowanie w sprawie sprzeciwu nie wyłącza odpowiedzialności za naruszenie obowiązków wynikających
z przepisów o ochronie danych osobowych.”.
a) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2491 oraz z 2018 r. poz. 5, 138,
398, 416, 650, 730, 756, 770 i 771.
Dziennik Ustaw – 2 – Poz. 1781
Art. 111. W ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917) po art. 221 dodaje się
art. 222 i art. 223 w brzmieniu:
„Art. 222. § 1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia
lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę
na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu
pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring).
§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń
udostępnianych zakładowej organizacji związkowej, chyba że stosowanie monitoringu w tych pomieszczeniach
jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika,
a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie
technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.
§ 3. Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje
przez okres nieprzekraczający 3 miesięcy od dnia nagrania.
§ 4. W przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie
prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu, termin określony
w § 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.
§ 5. Po upływie okresów, o których mowa w § 3 lub 4, uzyskane w wyniku monitoringu nagrania obrazu
zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.
§ 6. Cele, zakres oraz sposób zastosowania monitoringu ustala się w układzie zbiorowym pracy lub
w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie
jest obowiązany do ustalenia regulaminu pracy.
§ 7. Pracodawca informuje pracowników o wprowadzeniu monitoringu, w sposób przyjęty u danego pracodawcy,
nie później niż 2 tygodnie przed jego uruchomieniem.
§ 8. Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których
mowa w § 6.
§ 9. W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany
w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż
jeden dzień przed jego uruchomieniem.
§ 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1).
Art. 223. § 1. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie
czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może
wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej).
§ 2. Monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych
pracownika.
§ 3. Przepisy art. 222 § 6–10 stosuje się odpowiednio.
§ 4. Przepisy § 1–3 stosuje się odpowiednio do innych form monitoringu niż określone w § 1, jeśli ich zastosowanie
jest konieczne do realizacji celów określonych w § 1.”.
Art. 112. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe
(Dz. U. z 2017 r. poz. 1998 oraz z 2018 r. poz. 650) użyte w art. 2 w pkt 2 i 4 wyrazy „Generalnego Inspektora
Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 113. W ustawie z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2017 r.
poz. 2142 i 2203 oraz z 2018 r. poz. 106 i 650) użyte w art. 1 w ust. 1 w pkt 13, w art. 36 w ust. 5 w pkt 1 oraz art. 48
w ust. 2, w różnym przypadku, wyrazy „Biuro Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się
użytymi w odpowiednim przypadku wyrazami „Urząd Ochrony Danych Osobowych”.
Dziennik Ustaw – 3 – Poz. 1781
Art. 114. W ustawie z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2018 r. poz. 994) wprowadza się
następujące zmiany:
1) po art. 9 dodaje się art. 9a w brzmieniu:
„Art. 9a. 1. Gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony
przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu
(monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego
tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie
gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych,
jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub
ochrony przeciwpożarowej i przeciwpowodziowej.
2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych.
3. Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały
zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie
stanowią inaczej.
4. Po upływie okresu, o którym mowa w ust. 3, uzyskane w wyniku monitoringu nagrania obrazu zawierające
dane osobowe, podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone,
zgodnie z odrębnymi przepisami.
5. Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny
informacją o monitoringu, w szczególności za pomocą odpowiednich znaków.
6. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania
środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne
rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.”;
2) w art. 50 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
„2. Ochrona mienia obejmuje w szczególności monitoring na terenie nieruchomości i w obiektach budowlanych
stanowiących mienie gminy i na terenie wokół takich nieruchomości i obiektów budowlanych. Przepisy
art. 9a ust. 2–6 stosuje się odpowiednio.”.
Art. 115. W ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U. z 2017 r. poz. 524) wprowadza
się następujące zmiany:
1) użyte w art. 4 w ust. 1 i 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami
„Prezesa Urzędu Ochrony Danych Osobowych”;
2) w art. 29 w ust. 1 w pkt 2 lit. i otrzymuje brzmienie:
„i) przetwarzania danych osobowych, z wyjątkiem danych ujawniających poglądy polityczne, przekonania religijne
lub światopoglądowe, jak również danych genetycznych, o nałogach, o seksualności lub o orientacji
seksualnej.”.
Art. 116. W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2018 r. poz. 997) użyte w art. 44
w ust. 2 w pkt 2 wyrazy „Generalnemu Inspektorowi Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesowi
Urzędu Ochrony Danych Osobowych”.
Art. 117. W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne (Dz. U. z 2018 r. poz. 755, 650, 685 i 771)
w art. 9c ust. 5a otrzymuje brzmienie:
„5a. Operatorzy systemów dystrybucyjnych instalujący u odbiorców końcowych przyłączonych do ich sieci
liczniki zdalnego odczytu są obowiązani chronić dane pomiarowe dotyczące tych odbiorców na zasadach określonych
w przepisach o ochronie danych osobowych.”.
Art. 118. W ustawie z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2018 r. poz. 121, 50
i 650) użyte w art. 60 w ust. 1 w pkt 1 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się
wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 119. W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób
niepełnosprawnych (Dz. U. z 2018 r. poz. 511) w art. 6d ust. 4b otrzymuje brzmienie:
„4b. Podmioty wymienione w ust. 4a przetwarzają dane udostępnione z systemu w celu, w którym te dane
zostały im udostępnione, na zasadach określonych w przepisach o ochronie danych osobowych.”.
Dziennik Ustaw – 4 – Poz. 1781
Art. 120. W ustawie z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2018 r. poz. 800, 650, 723
i 771) wprowadza się następujące zmiany:
1) w art. 14 § 4 otrzymuje brzmienie:
„§ 4. Minister właściwy do spraw finansów publicznych zapewnia funkcjonowanie portalu podatkowego
i jest administratorem danych podatników, płatników, inkasentów, ich następców prawnych oraz osób trzecich
korzystających z tego portalu.”;
2) w art. 119zt pkt 4 otrzymuje brzmienie:
„4) Prezesa Urzędu Ochrony Danych Osobowych – w zakresie niezbędnym do realizacji ustawowych zadań
określonych w przepisach o ochronie danych osobowych;”;
3) w art. 119zzg wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się wyrazami „Prezes
Urzędu Ochrony Danych Osobowych”.
Art. 121. W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.b))
w art. 105 w ust. 1 w pkt 2 lit. n otrzymuje brzmienie:
„n) Prezesa Urzędu Ochrony Danych Osobowych w zakresie niezbędnym do realizacji ustawowych zadań,”.
Art. 122. W ustawie z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2018 r. poz. 913) po art. 60
dodaje się art. 60a w brzmieniu:
„Art. 60a. 1. Obowiązkiem osób uczestniczących w zarządzaniu mieniem województwa jest zachowanie
szczególnej staranności przy wykonywaniu zarządu zgodnie z przeznaczeniem tego mienia i jego ochrona.
2. Ochrona mienia obejmuje w szczególności możliwość korzystania ze środków technicznych umożliwiających
rejestrację obrazu (monitoring) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie
województwa, a także na terenie wokół takich nieruchomości i obiektów budowlanych.
3. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych.
4. Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały
zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie
stanowią inaczej.
5. Po upływie okresu, o którym mowa w ust. 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające
dane osobowe podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone,
zgodnie z odrębnymi przepisami.
6. Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny
informacją o monitoringu, w szczególności za pomocą odpowiednich znaków.
7. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania
środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne
rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.”.
Art. 123. W ustawie z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2018 r. poz. 995) wprowadza
się następujące zmiany:
1) po art. 4a dodaje się art. 4b w brzmieniu:
„Art. 4b. 1. Powiat w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony
przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu
(monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego
tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie
powiatu lub jednostek organizacyjnych powiatu, a także na terenie wokół takich nieruchomości i obiektów
budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub
ochrony przeciwpożarowej i przeciwpowodziowej.
2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych.
3. Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały
zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie
stanowią inaczej.
b) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2361 i 2491 oraz z 2018 r. poz. 62,
106, 138, 650, 685, 723 i 864.
Dziennik Ustaw – 5 – Poz. 1781
4. Po upływie okresu, o którym mowa w ust. 3, uzyskane w wyniku monitoringu nagrania obrazu zawierające
dane osobowe podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone,
zgodnie z odrębnymi przepisami.
5. Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny
informacją o monitoringu, w szczególności za pomocą odpowiednich znaków.
6. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania
środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne
rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.”;
2) w art. 50 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
„2. Ochrona mienia obejmuje w szczególności monitoring na terenie nieruchomości i w obiektach budowlanych
stanowiących mienie powiatu i na terenie wokół takich nieruchomości i obiektów budowlanych. Przepisy
art. 4b ust. 2–6 stosuje się odpowiednio.”.
Art. 124. W ustawie z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko
Narodowi Polskiemu (Dz. U. z 2016 r. poz. 1575 oraz z 2018 r. poz. 5 i 369) wprowadza się następujące zmiany:
1) w art. 53f ust. 1 otrzymuje brzmienie:
„1. W celu prowadzenia prac poszukiwawczych oraz identyfikacji tożsamości osób, o których mowa
w art. 53b, w Instytucie Pamięci tworzy się Bazę Materiału Genetycznego, zwaną dalej „Bazą”, której administratorem
jest Prezes Instytutu Pamięci.”;
2) w art. 53h ust. 3 otrzymuje brzmienie:
„3. Podmiot, o którym mowa w ust. 1, przekazuje do Instytutu Pamięci informacje i dane, o których mowa
w ust. 1, oraz posiadane próbki materiału genetycznego i biologicznego w przypadku zakończenia działalności
związanej z identyfikacją tożsamości osób, o których mowa w art. 53b.”;
3) art. 71 otrzymuje brzmienie:
„Art. 71. W działalności Instytutu Pamięci określonej w art. 1 przepisy rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) stosuje się
do prowadzenia Bazy.”.
Art. 125. W ustawie z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości
(Dz. U. z 2018 r. poz. 110 i 650) w art. 6aa ust. 5 otrzymuje brzmienie:
„5. Agencja pełni funkcję administratora danych, o których mowa w ust. 2 i 3.”.
Art. 126. W ustawie z dnia 8 czerwca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów
(Dz. U. poz. 763 i 1798 oraz z 2009 r. poz. 120 i 753) w art. 13 ust. 2 otrzymuje brzmienie:
„2. Jeżeli wyniki badań mają służyć nie tylko do informacji klienta, stosuje się przepisy o ochronie danych
osobowych.”.
Art. 127. W ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych (Dz. U. z 2018 r. poz. 23,
z późn. zm.c)) wprowadza się następujące zmiany:
1) w art. 175a uchyla się § 2;
2) w art. 175c w § 1 uchyla się zdanie drugie.
Art. 128. W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z 2017 r. poz. 1952 oraz
z 2018 r. poz. 107, 138, 650, 730 i 912) w art. 23 ust. 9 otrzymuje brzmienie:
„9. Informacje, o których mowa w ust. 8, mogą być przetwarzane przez ministra właściwego do spraw
rodziny i wojewodę w celu monitorowania realizacji świadczeń rodzinnych oraz w celu umożliwienia organom
właściwym i wojewodzie weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10
w celu, w którym informacje te zostały im udostępnione, na zasadach określonych w przepisach o ochronie
danych osobowych. Organy właściwe i wojewoda przekazują dane do rejestru centralnego, wykorzystując
oprogramowanie, o którym mowa w ust. 7.”.
c) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 3, 5, 106, 138, 771 i 848.
Dziennik Ustaw – 6 – Poz. 1781
Art. 129. W ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami
inwestycyjnymi (Dz. U. z 2018 r. poz. 56, z późn. zm.d)) w art. 286b ust. 16 otrzymuje brzmienie:
„16. Komisja może przekazać organowi nadzoru państwa trzeciego informacje dotyczące sprawy indywidualnej
prowadzonej przez Komisję, jeżeli spełnione są warunki, o których mowa w rozporządzeniu Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) – w przypadku
danych osobowych, oraz jeżeli ich przekazanie jest niezbędne dla realizacji zadań określonych ustawą.
Komisja może w takim przypadku wyrazić zgodę na dalsze przekazanie tych informacji organowi nadzoru innego
państwa trzeciego.”.
Art. 130. W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych
(Dz. U. z 2017 r. poz. 1311 i 2110) użyte w art. 47 w ust. 1 w pkt 11 i w art. 52 w pkt 8, w różnym przypadku,
wyrazy „Generalny Inspektor Ochrony Danych Osobowych” zastępuje się użytymi w odpowiednim przypadku wyrazami
„Prezes Urzędu Ochrony Danych Osobowych”.
Art. 131. W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania
publiczne (Dz. U. z 2017 r. poz. 570) wprowadza się następujące zmiany:
1) w art. 2 w ust. 4 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa
Urzędu Ochrony Danych Osobowych”;
2) w art. 4 pkt 1 otrzymuje brzmienie:
„1) przepisów o ochronie danych osobowych;”;
3) w art. 19a ust. 2 otrzymuje brzmienie:
„2. Minister właściwy do spraw informatyzacji jest administratorem danych użytkowników ePUAP.”.
Art. 132. W ustawie z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (Dz. U. z 2017 r. poz. 2183,
z późn. zm.e)) w art. 88 uchyla się ust. 5.
Art. 133. W ustawie z dnia 18 października 2006 r. o ujawnianiu informacji o dokumentach organów bezpieczeństwa
państwa z lat 1944–1990 oraz treści tych dokumentów (Dz. U. z 2017 r. poz. 2186 oraz z 2018 r. poz. 538,
650, 651 i 730) w art. 22 w ust. 1 w pkt 8c wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje
się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 134. W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (Dz. U. z 2018 r.
poz. 554 i 650) w art. 15 ust. 8b otrzymuje brzmienie:
„8b. Informacje zawarte w rejestrze centralnym, o którym mowa w ust. 8a, mogą być przetwarzane przez
ministra właściwego do spraw rodziny i wojewodę w celu monitorowania realizacji świadczeń z funduszu alimentacyjnego
oraz w celu umożliwienia organom właściwym dłużnika i organom właściwym wierzyciela weryfikacji
prawa do świadczeń z funduszu alimentacyjnego oraz przez podmioty wymienione w ust. 8c w celu,
w którym informacje te zostały im udostępnione, na zasadach określonych w przepisach o ochronie danych osobowych.
Organy właściwe wierzyciela oraz organy właściwe dłużnika przekazują dane do rejestru centralnego,
wykorzystując oprogramowanie, o którym mowa w ust. 8.”.
Art. 135. W ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz
z 2018 r. poz. 62) w art. 139 w ust. 2 wyrazy „Generalnego Inspektora Ochrony Danych Osobowych” zastępuje się
wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 136. W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U.
z 2017 r. poz. 2065, z późn. zm.f)) w art. 9f w ust. 1 pkt 18 otrzymuje brzmienie:
„18) na żądanie Prezesa Urzędu Ochrony Danych Osobowych, w zakresie wykonywania przez niego zadań
określonych w przepisach o ochronie danych osobowych;”.
d) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2491 oraz z 2018 r. poz. 106, 138,
650, 685 i 771.
e) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2201 oraz z 2018 r. poz. 138, 398,
650, 730 i 912.
f) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2017 r. poz. 2486 i 2491 oraz z 2018 r. poz. 62,
106, 138, 650, 723, 771 i 864.
Dziennik Ustaw – 7 – Poz. 1781
Art. 137. W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych
gospodarczych (Dz. U. z 2018 r. poz. 470, 650, 723, 730 i 771) w art. 11 w ust. 2 wyrazy „Generalnego Inspektora
Ochrony Danych Osobowych” zastępuje się wyrazami „Prezesa Urzędu Ochrony Danych Osobowych”.
Art. 138. W ustawie z dnia 9 kwietnia 2010 r. o Służbie Więziennej (Dz. U. z 2017 r. poz. 631 i 1321 oraz
z 2018 r. poz. 138, 730 i 912) w art. 18 w ust. 2 pkt 6 otrzymuje brzmienie:
„6) Prezes Urzędu Ochrony Danych Osobowych;”.
Art. 139. W ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412 i 650)
w art. 34 w ust. 10 pkt 9 otrzymuje brzmienie:
„9) Prezesa Urzędu Ochrony Danych Osobowych;”.
Art. 140. W ustawie z dnia 5 stycznia 2011 r. – Kodeks wyborczy (Dz. U. z 2018 r. poz. 754) w art. 143 § 4
otrzymuje brzmienie:
„§ 4. Wykaz wpłat obywateli polskich na rzecz komitetu wyborczego organizacji i komitetu wyborczego
wyborców Państwowa Komisja Wyborcza i komisarz wyborczy udostępniają do wglądu na wniosek, w trybie
i na zasadach określonych w przepisach o ochronie danych osobowych.”.
Art. 141. W ustawie z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U. z 2018 r. poz. 123 i 650)
w art. 27 ust. 9 otrzymuje brzmienie:
„9. Postępowanie w sprawach określonych w ust. 1–6 jest poufne i odbywa się z zachowaniem przepisów
o ochronie danych osobowych.”.
Art. 142. W ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2017 r. poz. 2003 oraz z 2018 r.
poz. 62, 650, 723 i 864) art. 10 otrzymuje brzmienie:
„Art. 10. Dostawcy i podmioty prowadzące systemy płatności mogą przetwarzać dane osobowe w zakresie
niezbędnym do zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi lub prowadzeniem
systemu płatności oraz dochodzenia i wykrywania tego rodzaju oszustw przez właściwe organy, z wyjątkiem danych,
o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1).”.
Art. 143. W ustawie z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2018 r. poz. 992) w art. 80 w ust. 1 pkt 3
otrzymuje brzmienie:
„3) zapewnia bezpieczeństwo przetwarzanych danych, informacji oraz dokumentów, które otrzymał w związku
z prowadzeniem BDO, zgodnie z przepisami o ochronie danych osobowych.”.
Art. 144. W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U. z 2017 r. poz. 1148, 1213
i 1593 oraz z 2018 r. poz. 9 i 650) w art. 159 ust. 1 otrzymuje brzmienie:
„1. Prezes UDT administruje i przetwarza dane zawarte w rejestrach, o których mowa w art. 158 ust. 1,
zgodnie z przepisami o ochronie danych osobowych.”.
Art. 145. W ustawie z dnia 24 lipca 2015 r. – Prawo o zgromadzeniach (Dz. U. z 2018 r. poz. 408) w art. 15
ust. 3 otrzymuje brzmienie:
„3. Decyzję o zakazie zgromadzenia udostępnia się w Biuletynie Informacji Publicznej z uwzględnieniem
przepisów o ochronie danych osobowych przez 3 miesiące od dnia jej wydania.”.
Art. 146. W ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U.
z 2018 r. poz. 999) w art. 35 w ust. 2 pkt 10 otrzymuje brzmienie:
„10) Prezesa Urzędu Ochrony Danych Osobowych, w zakresie wykonywania przez niego zadań określonych
w przepisach o ochronie danych osobowych;”.
Art. 147. W ustawie z dnia 25 września 2015 r. o zawodzie fizjoterapeuty (Dz. U. z 2018 r. poz. 505)
w art. 12 ust. 9 otrzymuje brzmienie:
„9. Postępowanie w sprawach określonych w ust. 1–7 jest poufne i odbywa się z zachowaniem przepisów
o ochronie danych osobowych.”.
Dziennik Ustaw – 8 – Poz. 1781
Art. 148. W ustawie z dnia 9 października 2015 r. o produktach biobójczych (Dz. U. z 2018 r. poz. 122, 138
i 650) w art. 42 ust. 2 otrzymuje brzmienie:
„2. Raport oraz dane, o których mowa w ust. 1, nie mogą obejmować danych podlegających ochronie na
podstawie przepisów o ochronie danych osobowych.”.
Art. 149. W ustawie z dnia 28 stycznia 2016 r. – Prawo o prokuraturze (Dz. U. z 2017 r. poz. 1767 oraz
z 2018 r. poz. 5) wprowadza się następujące zmiany:
1) w art. 13:
a) § 5 otrzymuje brzmienie:
„§ 5. Prokuratura Krajowa jest administratorem danych przetwarzanych w ogólnokrajowych systemach
teleinformatycznych powszechnych jednostek organizacyjnych prokuratury.”,
b) dodaje się § 6 i 7 w brzmieniu:
„§ 6. Powszechne jednostki organizacyjne prokuratury są administratorami danych przetwarzanych
w ramach realizowanych zadań, z wyłączeniem danych, o których mowa w § 5.
§ 7. Do przetwarzania danych osobowych w postępowaniach lub systemach teleinformatycznych
w ramach realizacji zadań, o których mowa w art. 2, przepisów art. 12–16, art. 18–22 rozporządzenia Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119
z 04.05.2016, str. 1) nie stosuje się.”;
2) w art. 191 uchyla się § 2.
Art. 150. W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. z 2017 r.
poz. 1851 oraz z 2018 r. poz. 107, 138 i 650) w art. 14 ust. 3 otrzymuje brzmienie:
„3. Informacje, o których mowa w ust. 2, mogą być przetwarzane przez ministra właściwego do spraw rodziny
i wojewodę w celu monitorowania realizacji świadczeń wychowawczych oraz w celu umożliwienia organom
właściwym i wojewodom weryfikacji prawa do świadczeń wychowawczych oraz przez podmioty wymienione
w ust. 4 w celu, w jakim informacje te zostały im udostępnione, na zasadach określonych w przepisach
o ochronie danych osobowych. Organy właściwe i wojewodowie przekazują dane do rejestru centralnego, wykorzystując
systemy teleinformatyczne, o których mowa w ust. 1.”.
Art. 151. W ustawie z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego
(Dz. U. poz. 352 oraz z 2017 r. poz. 60) w art. 7 ust. 2 otrzymuje brzmienie:
„2. Przepisy ustawy nie naruszają przepisów o ochronie danych osobowych.”.
Art. 152. W ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych
(Dz. U. z 2018 r. poz. 410) art. 9 otrzymuje brzmienie:
„Art. 9. Do danych osobowych zgromadzonych w systemie zgłaszania stosuje się przepisy o ochronie danych
osobowych.”.
Art. 153. W ustawie z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2018 r. poz. 508,
650 i 723) w art. 45 ust. 1 otrzymuje brzmienie:
„1. Organy KAS, w celu realizacji ustawowych zadań w zakresie, o którym mowa w art. 2 ust. 1 pkt 1, 2, 6 i 8,
mogą zbierać i wykorzystywać informacje, w tym dane osobowe, od osób prawnych, jednostek organizacyjnych
niemających osobowości prawnej oraz osób fizycznych prowadzących działalność gospodarczą, o zdarzeniach
mających bezpośredni wpływ na powstanie lub wysokość zobowiązania podatkowego lub należności celnych
oraz przetwarzać je, a także występować do tych podmiotów o udostępnienie dokumentów zawierających informacje,
w tym dane osobowe, także bez wiedzy i zgody osoby, której dane te dotyczą.”.
Art. 154. W ustawie z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz. U. z 2018 r. poz. 996) po art. 108 dodaje
się art. 108a w brzmieniu:
„Art. 108a. 1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony
mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu
konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić
szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci
środków technicznych umożliwiających rejestrację obrazu (monitoring).
Dziennik Ustaw – 9 – Poz. 1781
2. Monitoring nie powinien stanowić środka nadzoru nad jakością wykonywania pracy przez pracowników
szkoły lub placówki.
3. Monitoring nie obejmuje pomieszczeń, w których odbywają się zajęcia dydaktyczne, wychowawcze
i opiekuńcze, pomieszczeń, w których uczniom jest udzielana pomoc psychologiczno-pedagogiczna, pomieszczeń
przeznaczonych do odpoczynku i rekreacji pracowników, pomieszczeń sanitarnohigienicznych, gabinetu
profilaktyki zdrowotnej, szatni i przebieralni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne
ze względu na istniejące zagrożenie dla realizacji celu określonego w ust. 1 i nie naruszy to godności
oraz innych dóbr osobistych uczniów, pracowników i innych osób, w szczególności zostaną zastosowane techniki
uniemożliwiające rozpoznanie przebywających w tych pomieszczeniach osób.
4. Nagrania obrazu zawierające dane osobowe uczniów, pracowników i innych osób, których w wyniku
tych nagrań można zidentyfikować, szkoła lub placówka przetwarza wyłącznie do celów, dla których zostały zebrane,
i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
5. Po upływie okresu, o którym mowa w ust. 4, uzyskane w wyniku monitoringu nagrania obrazu zawierające
dane osobowe uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować,
podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.
6. Dyrektor szkoły lub placówki informuje uczniów i pracowników szkoły lub placówki o wprowadzeniu
monitoringu, w sposób przyjęty w danej szkole lub placówce, nie później niż 14 dni przed uruchomieniem monitoringu.
7. Dyrektor szkoły lub placówki przed dopuszczeniem osoby do wykonywania obowiązków służbowych
informuje ją na piśmie o stosowaniu monitoringu.
8. W przypadku wprowadzenia monitoringu dyrektor szkoły lub placówki oznacza pomieszczenia i teren
monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie
później niż dzień przed jego uruchomieniem.
9. Dyrektor szkoły lub placówki uzgadnia z organem prowadzącym szkołę lub placówkę odpowiednie
środki techniczne i organizacyjne w celu ochrony przechowywanych nagrań obrazu oraz danych osobowych
uczniów, pracowników i innych osób, których w wyniku tych nagrań można zidentyfikować, uzyskanych
w wyniku monitoringu.”.
Art. 155. W ustawie z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (Dz. U. poz. 2259,
z 2017 r. poz. 624, 1491 i 1529 oraz z 2018 r. poz. 538 i 702) po art. 5 dodaje się art. 5a w brzmieniu:
„Art. 5a. 1. Zarządzanie mieniem państwowym obejmuje także zapewnienie bezpieczeństwa mienia,
w ramach którego możliwe jest stosowanie zabezpieczeń, w tym zabezpieczeń fizycznych oraz środków technicznych
umożliwiających rejestrację obrazu (monitoring) na terenie nieruchomości i w obiektach budowlanych
stanowiących mienie państwowe, a także na terenie wokół takich nieruchomości i obiektów, jeżeli jest to konieczne
do zapewnienia bezpieczeństwa zarządzanym mieniem państwowym.
2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek, palarni oraz obiektów socjalnych.
3. Nagrania obrazu zawierające dane osobowe przetwarza się wyłącznie do celów, dla których zostały zebrane,
i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania, o ile przepisy odrębne nie stanowią
inaczej.
4. Po upływie okresu, o którym mowa w ust. 3, uzyskane w wyniku monitoringu nagrania obrazu zawierające
dane osobowe podlegają zniszczeniu, z wyjątkiem sytuacji, w których nagrania zostały zabezpieczone,
zgodnie z odrębnymi przepisami.
5. Nieruchomości i obiekty budowlane objęte monitoringiem oznacza się w sposób widoczny i czytelny
informacją o monitoringu, w szczególności za pomocą odpowiednich znaków.
6. Monitoring, w ramach którego dochodzi do przetwarzania danych osobowych, wymaga stosowania
środków zabezpieczających przetwarzanie tych danych, w szczególności uniemożliwiających ich utratę lub bezprawne
rozpowszechnienie, a także uniemożliwienie dostępu do danych osobom nieuprawnionym.”.
Art. 156. W ustawie z dnia 9 marca 2017 r. o systemie monitorowania drogowego przewozu towarów (Dz. U.
poz. 708 oraz z 2018 r. poz. 138) w art. 4 ust. 3 otrzymuje brzmienie:
„3. Rejestr prowadzi Szef Krajowej Administracji Skarbowej, który jest administratorem danych przetwarzanych
w rejestrze.”.
Dziennik Ustaw – 10 – Poz. 1781
Art. 157. W ustawie z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. poz. 2217)
w art. 10 ust. 5 otrzymuje brzmienie:
„5. Wypełnione deklaracje wyboru, o których mowa w ust. 1 pkt 1, świadczeniodawca przechowuje
w swojej siedzibie albo w miejscu udzielania świadczeń z zakresu podstawowej opieki zdrowotnej, zapewniając
ich dostępność świadczeniobiorcom, którzy je złożyli, z zachowaniem wymagań wynikających z przepisów
o ochronie danych osobowych.”.”;
2) art. 350 ustawy z dnia 3 lipca 2018 r. – Przepisy wprowadzające ustawę – Prawo o szkolnictwie wyższym i nauce
(Dz. U. poz. 1669), który stanowi:
„Art. 350. Ustawa wchodzi w życie z dniem 1 października 2018 r., z wyjątkiem:
1) art. 1 pkt 1, art. 42 pkt 2 lit. b oraz art. 334 ust. 2, które wchodzą w życie z dniem następującym po dniu ogłoszenia;
2) art. 19 pkt 3 lit. b w zakresie dodawanego w art. 21 w ust. 1 pkt 39c, art. 120 pkt 1, art. 127 pkt 33–36 i 39 oraz
art. 167, które wchodzą w życie z dniem 1 stycznia 2019 r.”;
3) odnośnika nr 1 oraz art. 169 i art. 173 ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku
z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U.
poz. 730), które stanowią:
„1) Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia
27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2).”
„Art. 169. W sprawach wszczętych na podstawie art. 57 ustawy zmienianej w art. 161, w brzmieniu dotychczasowym,
i niezakończonych przed dniem wejścia w życie niniejszej ustawy, uprzednich konsultacji nie udziela się,
a wszczęte postępowania umarza się.”
„Art. 173. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z wyjątkiem:
1) art. 87 pkt 1, który wchodzi w życie po upływie 90 dni od dnia ogłoszenia;
2) art. 107 pkt 7 i 8, które wchodzą w życie z dniem 1 maja 2019 r.;
3) art. 157 pkt 2, który wchodzi w życie z dniem 13 października 2019 r.”.
Marszałek Sejmu: E. Witek
Dziennik Ustaw – 11 – Poz. 1781
Załącznik do obwieszczenia Marszałka Sejmu Rzeczypospolitej
Polskiej z dnia 30 sierpnia 2019 r. (poz. 1781)
USTAWA
z dnia 10 maja 2018 r.
o ochronie danych osobowych1), 2)
Rozdział 1
Przepisy ogólne
Art. 1. 1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie
określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu
takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119
z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.
2. Ustawa określa:
1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego
przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego
kodeks postępowania oraz certyfikacji;
3) tryb zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych;
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) tryb europejskiej współpracy administracyjnej;
7) kontrolę przestrzegania przepisów o ochronie danych osobowych;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Art. 2. 1. Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów
prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U. z 2018 r. poz. 1914), a także do wypowiedzi
w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art. 5–9, art. 11, art. 13–16, art. 18–22,
art. 27, art. 28 ust. 2–10 oraz art. 30 rozporządzenia 2016/679.
2. Do wypowiedzi akademickiej nie stosuje się przepisów art. 13, art. 15 ust. 3 i 4, art. 18, art. 27, art. 28 ust. 2–10
oraz art. 30 rozporządzenia 2016/679.
Art. 3. 1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 ust. 3
rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku,
o którym mowa w art. 13 ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23
ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub
wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania
publicznego lub
2) naruszy ochronę informacji niejawnych.
1) Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich
danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2) Niniejsza ustawa w zakresie swojej regulacji wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania
przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania
kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW.
Dziennik Ustaw – 12 – Poz. 1781
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub
podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie
później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których
mowa w art. 13 ust. 3 rozporządzenia 2016/679.
Art. 4. 1. W zakresie nieuregulowanym w art. 14 ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie
publiczne nie przekazuje informacji, o których mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji
zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679, jest
niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub
wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania
publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub
podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie
później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których
mowa w art. 14 ust. 1, 2 i 4 rozporządzenia 2016/679.
Art. 5. 1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 ust. 1–3
rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa
w art. 15 ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 tego rozporządzenia,
oraz wykonanie tych obowiązków:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub
wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania
publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, wymaga
niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne
wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis
art. 64 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz
z 2019 r. poz. 60, 730 i 1133) stosuje się odpowiednio.
3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu
lub podstawowych praw i wolności osoby, której dane dotyczą.
4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie
później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których
mowa w art. 15 ust. 1–3 rozporządzenia 2016/679.
Art. 5a.3) 1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje
obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane
osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego
mającego na celu:
1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę
przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;
2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:
a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,
3) Dodany przez art. 161 pkt 1 ustawy z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania
rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy
95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730), która weszła w życie z dniem 4 maja 2019 r.
Dziennik Ustaw – 13 – Poz. 1781
b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia
należności pieniężnych i niepieniężnych,
c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek
z wyłudzeniami skarbowymi,
d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,
e) prowadzenie kontroli, w tym kontroli celno-skarbowych.
2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie
art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe
otrzymane od podmiotu wykonującego zadanie publiczne.
Art. 6. Ustawy oraz rozporządzenia 2016/679 nie stosuje się do:
1) przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1, 3, 5,
6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 i 1622), w zakresie,
w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego,
jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą;
2) działalności służb specjalnych w rozumieniu art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa
Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2018 r. poz. 2387, 2245 i 2399 oraz z 2019 r. poz. 53, 125 i 1091).
Art. 6a.4) 1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji
Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio
przepisy art. 4–7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28–30, art. 32, art. 34, art. 35,
art. 37–39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy.
2. Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym
do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności
osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.
Art. 7. 1. W sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu
Ochrony Danych Osobowych, zwanym dalej „Prezesem Urzędu”, o których mowa w rozdziałach 4–7 i 11, stosuje się
ustawę z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
2. Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym.
3. Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które zgodnie z ustawą z dnia
14 czerwca 1960 r. − Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się.
4. Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administracyjnego.
Rozdział 2
Wyznaczanie inspektora ochrony danych
Art. 8. Administrator i podmiot przetwarzający są obowiązani do wyznaczenia inspektora ochrony danych, zwanego
dalej „inspektorem”, w przypadkach i na zasadach określonych w art. 37 rozporządzenia 2016/679.
Art. 9. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1
lit. a rozporządzenia 2016/679, rozumie się:
1) jednostki sektora finansów publicznych;
2) instytuty badawcze;
3) Narodowy Bank Polski.
Art. 10. 1. Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni
od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.
2. Zawiadomienie może zostać dokonane przez pełnomocnika podmiotu, o którym mowa w ust. 1. Do zawiadomienia
dołącza się pełnomocnictwo udzielone w formie elektronicznej.
4) Dodany przez art. 161 pkt 2 ustawy, o której mowa w odnośniku 3.
Dziennik Ustaw – 14 – Poz. 1781
3. W zawiadomieniu oprócz danych, o których mowa w ust. 1, wskazuje się:
1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest
osoba fizyczna;
2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem
lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;
3) pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot
inny niż wskazany w pkt 1 i 2;
4) numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.
4. Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o każdej zmianie danych, o których mowa
w ust. 1 i 3, oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.
5. W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorców,
każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust. 1 i 4.
6. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym
podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Art. 11. Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1, niezwłocznie
po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej,
w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Art. 11a.5) 1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności,
z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 rozporządzenia 2016/679.
2. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje
się odpowiednio przepisy dotyczące inspektora.
3. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie
określonym w art. 10 oraz udostępnia jej dane zgodnie z art. 11.
Rozdział 3
Warunki i tryb udzielania akredytacji podmiotowi certyfikującemu
Art. 12. 1. Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych,
o której mowa w art. 43 rozporządzenia 2016/679, zwanej dalej „akredytacją”, udziela Polskie Centrum Akredytacji.
2. Akredytacja jest udzielana na zasadach określonych w art. 43 ust. 1–7 rozporządzenia 2016/679.
3. Do udzielania akredytacji stosuje się przepisy rozdziału 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny
zgodności i nadzoru rynku (Dz. U. z 2019 r. poz. 544), z wyjątkiem art. 24 ust. 4–7 oraz art. 25 ust. 1 i 2 w zakresie dotyczącym
ograniczenia zakresu akredytacji oraz jej zawieszenia.
Art. 13. Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej kryteria akredytacji,
o których mowa w art. 43 ust. 3 rozporządzenia 2016/679.
Art. 14. 1. Polskie Centrum Akredytacji informuje Prezesa Urzędu o udzielonej akredytacji.
2. Informacja o udzielonej akredytacji zawiera:
1) oznaczenie podmiotu, któremu udzielono akredytacji;
2) wskazanie zakresu udzielonej akredytacji oraz okresu jej ważności.
3. Polskie Centrum Akredytacji informuje Prezesa Urzędu o cofnięciu akredytacji.
4. Informacja o cofnięciu akredytacji zawiera:
1) oznaczenie podmiotu, któremu cofnięto akredytację;
2) wskazanie przyczyny uzasadniającej cofnięcie akredytacji.
5. Prezes Urzędu i Polskie Centrum Akredytacji mogą zawrzeć porozumienie o współpracy w zakresie monitorowania
działalności podmiotów certyfikujących i wzajemnym przekazywaniu informacji dotyczących tych podmiotów.
5) Dodany przez art. 161 pkt 3 ustawy, o której mowa w odnośniku 3.
Dziennik Ustaw – 15 – Poz. 1781
Rozdział 4
Warunki i tryb dokonywania certyfikacji
Art. 15. 1. Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, zwanej dalej „certyfikacją”, dokonuje
Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu
wprowadzającego usługę lub produkt na rynek.
2. Certyfikacja jest dokonywana na zasadach określonych w rozporządzeniu 2016/679.
3. W sprawach dokonywania certyfikacji przez podmiot certyfikujący nieuregulowanych w rozporządzeniu 2016/679
i ustawie stosuje się postanowienia umowy cywilnoprawnej zawartej między podmiotem certyfikującym a podmiotem
ubiegającym się o certyfikację.
Art. 16. Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej kryteria certyfikacji,
o których mowa w art. 42 ust. 5 rozporządzenia 2016/679.
Art. 17. 1. Wniosek o certyfikację zawiera co najmniej:
1) nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu
miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania;
2) informacje potwierdzające spełnianie kryteriów certyfikacji;
3) wskazanie zakresu wnioskowanej certyfikacji.
2. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie oraz,
w przypadku certyfikacji dokonywanej przez Prezesa Urzędu, dowód wniesienia opłaty, o której mowa w art. 26.
3. Wniosek składa się pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej
opatrzonej kwalifikowanym podpisem elektronicznym. Wniosek składany do Prezesa Urzędu w postaci elektronicznej
opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Art. 18. 1. Prezes Urzędu albo podmiot certyfikujący rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż
3 miesiące od dnia złożenia wniosku zgodnego z art. 17, po zbadaniu spełniania kryteriów certyfikacji, zawiadamia wnioskodawcę
o dokonaniu albo odmowie dokonania certyfikacji.
2. Wniosek złożony do Prezesa Urzędu, niezawierający informacji, o których mowa w art. 17 ust. 1 pkt 1, pozostawia
się bez rozpoznania. Jeżeli wniosek nie zawiera informacji, o których mowa w art. 17 ust. 1 pkt 2 lub 3, lub nie spełnia
wymagań, o których mowa w art. 17 ust. 2 lub 3, Prezes Urzędu wzywa wnioskodawcę do ich uzupełnienia wraz z pouczeniem,
że ich nieuzupełnienie w terminie 7 dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.
Art. 19. Przed dokonaniem certyfikacji albo odmową dokonania certyfikacji podmiot certyfikujący informuje Prezesa
Urzędu o planowanym dokonaniu albo planowanej odmowie dokonania certyfikacji.
Art. 20. 1. W przypadku stwierdzenia, że podmiot ubiegający się o certyfikację nie spełnia kryteriów certyfikacji,
Prezes Urzędu albo podmiot certyfikujący odmawia jej dokonania.
2. Odmowa dokonania certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.
3. Podmiot certyfikujący opracowuje i udostępnia zainteresowanym podmiotom procedurę postępowania w przypadku
odmowy dokonania certyfikacji.
Art. 21. 1. Dokumentem potwierdzającym certyfikację jest certyfikat.
2. Certyfikat zawiera co najmniej:
1) oznaczenie podmiotu, który otrzymał certyfikat;
2) nazwę podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby;
3) numer lub oznaczenie certyfikatu;
4) zakres, w tym okres, na jaki została dokonana certyfikacja;
5) datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.
Dziennik Ustaw – 16 – Poz. 1781
Art. 22. 1. W okresie, na jaki została dokonana certyfikacja, podmiot, któremu udzielono certyfikacji, jest obowiązany
spełniać kryteria certyfikacji obowiązujące na dzień jego wydania.
2. Prezes Urzędu albo podmiot certyfikujący cofa certyfikację w przypadku stwierdzenia, że podmiot, któremu udzielono
certyfikacji, nie spełnia lub przestał spełniać kryteria certyfikacji.
3. Cofnięcie certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.
Art. 23. 1. Podmiot certyfikujący przekazuje Prezesowi Urzędu dane podmiotu, któremu udzielono certyfikacji, oraz
podmiotu, któremu cofnięto certyfikację, wraz ze wskazaniem przyczyny jej cofnięcia.
2. Prezes Urzędu prowadzi publicznie dostępny wykaz podmiotów, o których mowa w ust. 1.
3. Prezes Urzędu dokonuje wpisu do wykazu niezwłocznie po dokonaniu certyfikacji albo otrzymaniu informacji
o dokonaniu certyfikacji przez podmiot certyfikujący.
4. Prezes Urzędu udostępnia wykaz na swojej stronie podmiotowej w Biuletynie Informacji Publicznej i dokonuje jego
aktualizacji.
Art. 24. 1. Prezes Urzędu w terminie, o którym mowa w art. 18 ust. 1, a także po dokonaniu certyfikacji jest uprawniony,
w celu oceny spełniania przez podmiot kryteriów certyfikacji, do przeprowadzenia czynności sprawdzających
u administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek.
2. Prezes Urzędu zawiadamia podmiot, o którym mowa w ust. 1, o zamiarze przeprowadzenia czynności sprawdzających.
3. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem
30 dni od dnia doręczenia podmiotowi, o którym mowa w ust. 1, zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli
czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie
wymaga ponownego zawiadomienia.
4. Czynności sprawdzające przeprowadza się na podstawie imiennego upoważnienia wydanego przez Prezesa Urzędu,
które zawiera:
1) imię i nazwisko osoby przeprowadzającej czynności sprawdzające;
2) oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt
na rynek;
3) wskazanie podstawy prawnej przeprowadzenia czynności sprawdzających;
4) zakres czynności sprawdzających;
5) datę i miejsce jego wystawienia;
6) podpis osoby uprawnionej do wydania upoważnienia w imieniu Prezesa Urzędu.
Art. 25. 1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:
1) wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń w dniach i godzinach pracy administratora, podmiotu
przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek;
2) wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;
3) oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania
danych;
4) żądania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.
2. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego, producenta lub
podmiotu wprowadzającego usługę lub produkt na rynek lub osoby przez niego upoważnionej.
3. Z czynności sprawdzających sporządza się protokół i przedstawia go administratorowi, podmiotowi przetwarzającemu,
producentowi albo podmiotowi wprowadzającemu usługę lub produkt na rynek. Przepis art. 88 stosuje się odpowiednio.
Art. 26. 1. Prezes Urzędu pobiera za czynności związane z certyfikacją opłatę, której wysokość odpowiada przewidywanym
kosztom poniesionym z tytułu wykonywania tych czynności.
2. Prezes Urzędu, ustalając wysokość opłaty, bierze pod uwagę zakres certyfikacji, przewidywany przebieg i długość
postępowania certyfikującego oraz koszt pracy pracownika wykonującego czynności związane z certyfikacją.
3. Maksymalna wysokość opłaty nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce
narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa Głównego
Urzędu Statystycznego na podstawie art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach
z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2018 r. poz. 1270, z późn. zm.6)).
6) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2018 r. poz. 2245 oraz z 2019 r. poz. 39, 539, 730,
752 i 1622.
Dziennik Ustaw – 17 – Poz. 1781
4. Prezes Urzędu na swojej stronie podmiotowej w B
