Akty prawne Dz.U.97.133.883 USTAWA z
dnia 29 sierpnia 1997 r. o
ochronie danych osobowych. (Dz. U. z dnia 29
października 1997 r.) Rozdział 3 Zasady przetwarzania danych osobowych Art. 23. 1. Przetwarzanie danych
jest dopuszczalne tylko wtedy, gdy: 1) osoba,
której dane dotyczą, wyrazi na to zgodę, chyba że
chodzi o usunięcie dotyczących jej danych, 2) zezwalają
na to przepisy prawa, 3) jest
niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której
jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed
zawarciem umowy, 4) jest
niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego, 5) jest
niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o
których mowa w art. 3 ust. 2, a przetwarzanie danych
nie narusza praw i wolności osoby, której dane dotyczą. 2. Zgoda, o której mowa w ust. 1 pkt
1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie
zmienia się cel przetwarzania. 3. Jeżeli przetwarzanie danych jest
niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a
spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można
przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie
możliwe. Art. 24. 1. W przypadku
zbierania danych osobowych od osoby, której one dotyczą, administrator danych
jest obowiązany poinformować tę osobę o: 1) adresie
swojej siedziby i pełnej nazwie, a w przypadku gdy
administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania
oraz imieniu i nazwisku, 2) celu
zbierania danych, a w szczególności o znanych mu w czasie udzielania
informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie
wglądu do swoich danych oraz ich poprawiania, 4) dobrowolności
albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego
podstawie prawnej. 2. Przepisu ust. 1 nie stosuje się, jeżeli
ustawa zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich
zbierania. Art. 25. 1. W przypadku
zbierania danych osobowych nie od osoby, której one dotyczą, administrator
danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu
zebranych danych, o: 1) adresie
swojej siedziby i pełnej nazwie, a w przypadku gdy
administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania
oraz imieniu i nazwisku, 2) celu
i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach
odbiorców danych, 3) źródle
danych, 4) prawie
wglądu do swoich danych oraz ich poprawiania, 5) o
uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8. 2. Przepisu ust. 1 nie stosuje się,
jeżeli: 1) przepis
innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy
osoby, której dane dotyczą, 2) dane
przewidziane do zebrania są ogólnie dostępne, 3) dane
te są niezbędne do badań naukowych, dydaktycznych, historycznych,
statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie
wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby
realizacji celu badania, 4) administrator
danych nie przetwarza dalej zebranych danych po ich jednorazowym
wykorzystaniu. Art. 26. 1. Administrator
danych przetwarzający dane powinien dołożyć szczególnej staranności w celu
ochrony interesów osób, których dane dotyczą, a w szczególności jest
obowiązany zapewnić, aby dane te były: 1) przetwarzane
zgodnie z prawem, 2) zbierane
dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie
poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane
w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż
jest to niezbędne do osiągnięcia celu przetwarzania. 2. Przetwarzanie danych w celu innym
niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz
następuje: 1) w
celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z
zachowaniem przepisów art. 23 i 25. Art. 27. 1. Zabrania się
przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym. 2. Przetwarzanie danych, o których
mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba,
której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że
chodzi o usunięcie dotyczących jej danych, 2) przepis
szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby,
której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie
takich danych jest niezbędne do ochrony żywotnych interesów osoby, której
dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest
fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora, 4) jest
to niezbędne do wykonania statutowych zadań kościołów i innych związków
wyznaniowych, stowarzyszeń, fundacji lub innych
niezarobkowych organizacji lub instytucji o celach politycznych,
naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że
przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub
instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich
działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie
dotyczy danych, które są niezbędne do dochodzenia praw
przed sądem, 6) przetwarzanie
jest niezbędne do wykonania zadań administratora danych odnoszących się do
zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest
określony w ustawie, 7) przetwarzanie
jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych
lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub
świadczeniem innych usług medycznych, zarządzania udzielaniem usług
medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie
dotyczy danych, które zostały podane do wiadomości publicznej przez osobę,
której dane dotyczą. Art. 28. 1. Przetwarzanie
danych dotyczących skazań, orzeczeń o ukaraniu,
mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym można prowadzić wyłącznie na podstawie ustawy. 2. Numery porządkowe stosowane w
ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer
nadania oraz liczbę kontrolną. 3. Zabronione jest nadawanie ukrytych
znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby
fizyczne. Art. 29. 1. W przypadku
udostępniania danych osobowych w celach innych niż włączenie do zbioru,
administrator danych, o którym mowa w art. 3 ust. 1, udostępnia posiadane w
zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy
przepisów prawa. 2. Dane osobowe, z wyłączeniem danych,
o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych
niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1,
jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich
udostępnienie nie naruszy praw i wolności osób,
których dane dotyczą. 3. Dane osobowe udostępnia się na
pisemny, umotywowany wniosek, chyba że przepis innej
ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające
wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i
przeznaczenie. 4. Udostępnione dane osobowe można
wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały
udostępnione. Art. 30. Administrator danych
odmawia udostępnienia danych osobowych ze zbioru danych podmiotom i osobom
innym niż wymienione w art. 29 ust. 1, jeżeli spowodowałoby to: 1) ujawnienie
wiadomości stanowiących tajemnicę państwową, 2) zagrożenie
dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi, mienia lub
bezpieczeństwa i porządku publicznego, 3) zagrożenie
dla podstawowego interesu gospodarczego lub finansowego państwa, 4) istotne
naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Art. 31. 1. Administrator
danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie,
przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1,
może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1,
jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków
zabezpieczających zbiór danych, o których mowa w art. 36-39. 4. W przypadkach, o których mowa w
ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy
spoczywa na administratorze danych, co nie wyłącza odpowiedzialności
podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Rozdział 5 Zabezpieczenie zbiorów danych osobowych Art. 36. Administrator danych
jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych, a w szczególności powinien
zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem
przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 37. Do obsługi systemu
informatycznego oraz urządzeń wchodzących w jego skład, służących do
przetwarzania danych, mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie wydane przez administratora danych. Art. 38. Administrator danych
przetwarzanych w systemie informatycznym jest obowiązany zapewnić kontrolę
nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone
oraz komu są przekazywane, zwłaszcza gdy przekazuje
się je za pomocą urządzeń teletransmisji danych. Art. 39. 1. Administrator
danych prowadzi ewidencję osób zatrudnionych przy ich przetwarzaniu. 2. Osoby, o których mowa w ust. 1,
mające dostęp do danych osobowych, obowiązane są do zachowania ich w
tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia. |