Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Art. 1 Zakres regulacji Ustawy
1. Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 materialny zakres stosowania i art. 3 terytorialny zakres stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”.
2. Ustawa określa:
1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego kodeks postępowania oraz certyfikacji;
3) tryb zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych;
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) tryb europejskiej współpracy administracyjnej;
7) kontrolę przestrzegania przepisów o ochronie danych osobowych;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.
Art. 2 Wyłączenie stosowania przepisów Rozporządzenia
1. Do działalności polegającej na redagowaniu, przygotowywaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy z dnia 26 stycznia 1984 r. − Prawo prasowe (Dz. U. z 2018 r. poz. 1914), a także do wypowiedzi w ramach działalności literackiej lub artystycznej nie stosuje się przepisów art 5–9, art. 11 przetwarzanie niewymagające identyfikacji, art 13–16, art 18–22, art. 27 przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii, art. 28 podmiot przetwarzający ust. 2–10 oraz art. 30 rejestrowanie czynności przetwarzania rozporządzenia 2016/679.
2. Do wypowiedzi akademickiej nie stosuje się przepisów art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 3 i 4, art. 18 prawo do ograniczenia przetwarzania danych, art. 27 przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii, art. 28 podmiot przetwarzający ust. 2–10 oraz art. 30 rejestrowanie czynności przetwarzania rozporządzenia 2016/679.
Art. 3 Wyłączenie obowiązku przekazywania informacji przez Administratora wykonującego zadanie publiczne
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą ust. 3 rozporządzenia 2016/679, jeżeli zmiana celu przetwarzania służy realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą ust. 3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ograniczenia ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 13 informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą ust. 3 rozporządzenia 2016/679.
Art. 4 Wyłączenie obowiązku przekazywania informacji przez administratora pozyskującego dane osobowe w sposób inny niż od osoby, której dotyczą.
1. W zakresie nieuregulowanym w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 5 rozporządzenia 2016/679 administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 1, 2 i 4 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązku, o którym mowa w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 1, 2 i 4 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 wykaz podmiotów, którym udzielono certyfikacji lub cofnięto certyfikację ust. 1 tego rozporządzenia, oraz przekazanie tych informacji:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku, o którym mowa w ust. 1, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
3. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie nieprzekazania informacji, o których mowa w art. 14 informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą ust. 1, 2 i 4 rozporządzenia 2016/679.
Art. 5 Wyłączenie obowiązku przekazywania informacji przez administratora o prawie dostępu do danych
1. Administrator wykonujący zadanie publiczne nie przekazuje informacji, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679, jeżeli służy to realizacji zadania publicznego i niewykonanie obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679, jest niezbędne dla realizacji celów, o których mowa w art. 23 ograniczenia ust. 1 tego rozporządzenia, oraz wykonanie tych obowiązków:
1) uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego lub
2) naruszy ochronę informacji niejawnych.
2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1 i 3 rozporządzenia 2016/679, wymaga niewspółmiernie dużego wysiłku związanego z wyszukaniem danych osobowych, administrator wykonujący zadanie publiczne wzywa osobę, której dane dotyczą, do udzielenia informacji pozwalających na wyszukanie tych danych. Przepis art. 64 braki formalne podania ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133) stosuje się odpowiednio.
3. W przypadkach, o których mowa w ust. 1 i 2, administrator zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.
4. Administrator jest obowiązany poinformować osobę, której dane dotyczą, na jej wniosek, bez zbędnej zwłoki, nie później jednak niż w terminie miesiąca od dnia otrzymania wniosku, o podstawie niewykonania obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679.
Art. 5a Realizacja prawa dostępu do danych osoby, której dane dotyczą Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 prawo dostępu przysługujące osobie, której dane dotyczą ust. 1–3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:
1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;
2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:
a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,
b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,
c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,
d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,
e) prowadzenie kontroli, w tym kontroli celno-skarbowych.
2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 prawo dostępu przysługujące osobie, której dane dotyczą rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.
Art. 6 Wyłączenie stosowania przepisów ustawy i rozporządzenia
1. Ustawy oraz rozporządzenia 2016/679 nie stosuje się do:
1) przetwarzania danych osobowych przez jednostki sektora finansów publicznych, o których mowa w art. 9 podmioty wchodzące w skład sektora finansów publicznych pkt 1, 3, 5, 6 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 i 1622), w zakresie, w jakim przetwarzanie to jest konieczne do realizacji zadań mających na celu zapewnienie bezpieczeństwa narodowego, jeżeli przepisy szczególne przewidują niezbędne środki ochrony praw i wolności osoby, której dane dotyczą;
2) działalności służb specjalnych w rozumieniu art. 11 Kolegium do Spraw Służb Specjalnych ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2018 r. poz. 2387, 2245 i 2399 oraz z 2019 r. poz. 53, 125 i 1091).
Art. 6a Przetwarzanie danych osobowych w ramach wykonywania kompetencji Prezydenta RP
1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art 4–7, art. 11 przetwarzanie niewymagające identyfikacji, art. 12 przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą, art. 16 prawo do sprostowania danych, art. 17 prawo do usunięcia danych („prawo do bycia zapomnianym”), art. 24 obowiązki administratora ust. 1 i 2, art. 25 uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych ust. 1 i 2, art 28–30, art. 32 bezpieczeństwo przetwarzania, art. 34 zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, art. 35 ocena skutków dla ochrony danych, art 37–39 i art. 86 przetwarzanie a publiczny dostęp do dokumentów urzędowych rozporządzenia 2016/679 oraz przepisy art. 6 wyłączenie stosowania przepisów ustawy i rozporządzenia i art. 11 udostępnianie danych inspektora ochrony danych ustawy.
2. Przetwarzanie danych, o których mowa w art. 9 przetwarzanie szczególnych kategorii danych osobowych i art. 10 przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.
Art. 7 Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych
1. W sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, zwanym dalej „Prezesem Urzędu”, o których mowa w rozdziałach 4–7 i 11, stosuje się ustawę z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
2. Postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym.
3. Do postanowień wydanych w postępowaniach, o których mowa w ust. 1, na które zgodnie z ustawą z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się.
4. Na postanowienia, o których mowa w ust. 3, służy skarga do sądu administracyjnego.
Art. 8 Obowiązek wyznaczenia Inspektora Ochrony Danych
Administrator i podmiot przetwarzający są obowiązani do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, w przypadkach i na zasadach określonych w art. 37 wyznaczenie inspektora ochrony danych rozporządzenia 2016/679.
Art. 9. Podmioty zobowiązane do wyznaczenia inspektora ochrony danych
Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 wyznaczenie inspektora ochrony danych ust. 1 lit. a rozporządzenia 2016/679, rozumie się:
1) jednostki sektora finansów publicznych;
2) instytuty badawcze;
3) Narodowy Bank Polski.
Art. 10. Zawiadomienie o wyznaczeniu inspektora ochrony danych
1. Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.
2. Zawiadomienie może zostać dokonane przez pełnomocnika podmiotu, o którym mowa w ust. 1. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.
3. W zawiadomieniu oprócz danych, o których mowa w ust. 1, wskazuje się:
1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;
2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;
3) pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2;
4) numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.
4. Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o każdej zmianie danych, o których mowa w ust. 1 i 3, oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.
5. W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust. 1 i 4.
6. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Art. 11. Udostępnianie danych inspektora ochrony danych
Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 zawiadomienie o wyznaczeniu inspektora ochrony danych ust. 1, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Art. 11a. Zastępowanie inspektora ochrony danych w czasie jego nieobecności
1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 wyznaczenie inspektora ochrony danych ust. 5 i 6 rozporządzenia 2016/679.
2. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora.
3. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie określonym w art. 10 zawiadomienie o wyznaczeniu inspektora ochrony danych oraz udostępnia jej dane zgodnie z art. 11 udostępnianie danych inspektora ochrony danych.
Art. 12 Zasady udzielania akredytacji podmiotowi certyfikującemu
1. Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych, o której mowa w art. 43 podmiot certyfikujący rozporządzenia 2016/679, zwanej dalej „akredytacją”, udziela Polskie Centrum Akredytacji.
2. Akredytacja jest udzielana na zasadach określonych w art. 43 podmiot certyfikujący ust. 1–7 rozporządzenia 2016/679.
3. Do udzielania akredytacji stosuje się przepisy rozdziału 1727_4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2019 r. poz. 544), z wyjątkiem art. 24 czynności sprawdzające ust. 4–7 oraz art. 25 uprawnienia osoby przeprowadzającej czynności sprawdzające ust. 1 i 2 w zakresie dotyczącym ograniczenia zakresu akredytacji oraz jej zawieszenia.
Art. 13 Udostępnianie kryteriów akredytacji
Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej kryteria akredytacji, o których mowa w art. 43 podmiot certyfikujący ust. 3 rozporządzenia 2016/679.
Art. 14. Informacja o udzielonej akredytacji
1. Polskie Centrum Akredytacji informuje Prezesa Urzędu o udzielonej akredytacji.
2. Informacja o udzielonej akredytacji zawiera:
1) oznaczenie podmiotu, któremu udzielono akredytacji;
2) wskazanie zakresu udzielonej akredytacji oraz okresu jej ważności.
3. Polskie Centrum Akredytacji informuje Prezesa Urzędu o cofnięciu akredytacji.
4. Informacja o cofnięciu akredytacji zawiera:
1) oznaczenie podmiotu, któremu cofnięto akredytację;
2) wskazanie przyczyny uzasadniającej cofnięcie akredytacji.
5. Prezes Urzędu i Polskie Centrum Akredytacji mogą zawrzeć porozumienie o współpracy w zakresie monitorowania działalności podmiotów certyfikujących i wzajemnym przekazywaniu informacji dotyczących tych podmiotów.
Art. 15. Tryb dokonywania certyfikacji
1. Certyfikacji, o której mowa w art. 42 certyfikacja rozporządzenia 2016/679, zwanej dalej „certyfikacją”, dokonuje Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek.
2. Certyfikacja jest dokonywana na zasadach określonych w rozporządzeniu 2016/679.
3. W sprawach dokonywania certyfikacji przez podmiot certyfikujący nieuregulowanych w rozporządzeniu 2016/679 i ustawie stosuje się postanowienia umowy cywilnoprawnej zawartej między podmiotem certyfikującym a podmiotem ubiegającym się o certyfikację.
Art. 16. Udostępnianie kryteriów certyfikacji
Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej kryteria certyfikacji, o których mowa w art. 42 certyfikacja ust. 5 rozporządzenia 2016/679.
Art. 17. Wniosek o certyfikację
1. Wniosek o certyfikację zawiera co najmniej:
1) nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania;
2) informacje potwierdzające spełnianie kryteriów certyfikacji;
3) wskazanie zakresu wnioskowanej certyfikacji.
2. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów certyfikacji albo ich kopie oraz, w przypadku certyfikacji dokonywanej przez Prezesa Urzędu, dowód wniesienia opłaty, o której mowa w art. 26 opłata za czynności związane z certyfikacją.
3. Wniosek składa się pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym. Wniosek składany do Prezesa Urzędu w postaci elektronicznej opatruje się kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Art. 18. Rozpatrywanie wniosku o certyfikację
1. Prezes Urzędu albo podmiot certyfikujący rozpatruje wniosek o certyfikację i w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku zgodnego z art. 17 wniosek o certyfikację, po zbadaniu spełniania kryteriów certyfikacji, zawiadamia wnioskodawcę o dokonaniu albo odmowie dokonania certyfikacji.
2. Wniosek złożony do Prezesa Urzędu, niezawierający informacji, o których mowa w art. 17 wniosek o certyfikację ust. 1 pkt 1, pozostawia się bez rozpoznania. Jeżeli wniosek nie zawiera informacji, o których mowa w art. 17 wniosek o certyfikację ust. 1 pkt 2 lub 3, lub nie spełnia wymagań, o których mowa w art. 17 wniosek o certyfikację ust. 2 lub 3, Prezes Urzędu wzywa wnioskodawcę do ich uzupełnienia wraz z pouczeniem, że ich nieuzupełnienie w terminie 7 dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.
Art. 19. Informacja o planowanym dokonaniu albo planowanej odmowie dokonania certyfikacji
Przed dokonaniem certyfikacji albo odmową dokonania certyfikacji podmiot certyfikujący informuje Prezesa Urzędu o planowanym dokonaniu albo planowanej odmowie dokonania certyfikacji.
Art. 20. Odmowa dokonania certyfikacji
1. W przypadku stwierdzenia, że podmiot ubiegający się o certyfikację nie spełnia kryteriów certyfikacji, Prezes Urzędu albo podmiot certyfikujący odmawia jej dokonania.
2. Odmowa dokonania certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.
3. Podmiot certyfikujący opracowuje i udostępnia zainteresowanym podmiotom procedurę postępowania w przypadku odmowy dokonania certyfikacji.
Art. 21. Treść certyfikatu
1. Dokumentem potwierdzającym certyfikację jest certyfikat.
2. Certyfikat zawiera co najmniej:
1) oznaczenie podmiotu, który otrzymał certyfikat;
2) nazwę podmiotu dokonującego certyfikacji oraz wskazanie adresu jego siedziby;
3) numer lub oznaczenie certyfikatu;
4) zakres, w tym okres, na jaki została dokonana certyfikacja;
5) datę wydania i podpis podmiotu dokonującego certyfikacji lub osoby przez niego upoważnionej.
Art. 22. Cofnięcie certyfikacji
1. W okresie, na jaki została dokonana certyfikacja, podmiot, któremu udzielono certyfikacji, jest obowiązany spełniać kryteria certyfikacji obowiązujące na dzień jego wydania.
2. Prezes Urzędu albo podmiot certyfikujący cofa certyfikację w przypadku stwierdzenia, że podmiot, któremu udzielono certyfikacji, nie spełnia lub przestał spełniać kryteria certyfikacji.
3. Cofnięcie certyfikacji przez Prezesa Urzędu następuje w drodze decyzji.
Art. 23. Wykaz podmiotów, którym udzielono certyfikacji lub cofnięto certyfikację
1. Podmiot certyfikujący przekazuje Prezesowi Urzędu dane podmiotu, któremu udzielono certyfikacji, oraz podmiotu, któremu cofnięto certyfikację, wraz ze wskazaniem przyczyny jej cofnięcia.
2. Prezes Urzędu prowadzi publicznie dostępny wykaz podmiotów, o których mowa w ust. 1.
3. Prezes Urzędu dokonuje wpisu do wykazu niezwłocznie po dokonaniu certyfikacji albo otrzymaniu informacji o dokonaniu certyfikacji przez podmiot certyfikujący.
4. Prezes Urzędu udostępnia wykaz na swojej stronie podmiotowej w Biuletynie Informacji Publicznej i dokonuje jego aktualizacji.
Art. 24. Czynności sprawdzające
1. Prezes Urzędu w terminie, o którym mowa w art. 18 rozpatrywanie wniosku o certyfikację ust. 1, a także po dokonaniu certyfikacji jest uprawniony, w celu oceny spełniania przez podmiot kryteriów certyfikacji, do przeprowadzenia czynności sprawdzających u administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek.
2. Prezes Urzędu zawiadamia podmiot, o którym mowa w ust. 1, o zamiarze przeprowadzenia czynności sprawdzających.
3. Czynności sprawdzające przeprowadza się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia podmiotowi, o którym mowa w ust. 1, zawiadomienia o zamiarze ich przeprowadzenia. Jeżeli czynności sprawdzające nie zostaną przeprowadzone w terminie 30 dni od dnia doręczenia zawiadomienia, ich przeprowadzenie wymaga ponownego zawiadomienia.
4. Czynności sprawdzające przeprowadza się na podstawie imiennego upoważnienia wydanego przez Prezesa Urzędu, które zawiera:
1) imię i nazwisko osoby przeprowadzającej czynności sprawdzające;
2) oznaczenie administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek;
3) wskazanie podstawy prawnej przeprowadzenia czynności sprawdzających;
4) zakres czynności sprawdzających;
5) datę i miejsce jego wystawienia;
6) podpis osoby uprawnionej do wydania upoważnienia w imieniu Prezesa Urzędu.
Art. 25. Uprawnienia osoby przeprowadzającej czynności sprawdzające
1. Osoba przeprowadzająca czynności sprawdzające jest uprawniona do:
1) wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń w dniach i godzinach pracy administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek;
2) wglądu do dokumentów i informacji mających bezpośredni związek z działalnością objętą certyfikacją;
3) oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
4) żądania ustnych lub pisemnych wyjaśnień w sprawach związanych z działalnością objętą certyfikacją.
2. Czynności sprawdzających dokonuje się w obecności administratora, podmiotu przetwarzającego, producenta lub podmiotu wprowadzającego usługę lub produkt na rynek lub osoby przez niego upoważnionej.
3. Z czynności sprawdzających sporządza się protokół i przedstawia go administratorowi, podmiotowi przetwarzającemu, producentowi albo podmiotowi wprowadzającemu usługę lub produkt na rynek. Przepis art. 88 protokół kontroli stosuje się odpowiednio.
Art. 26. Opłata za czynności związane z certyfikacją
1. Prezes Urzędu pobiera za czynności związane z certyfikacją opłatę, której wysokość odpowiada przewidywanym kosztom poniesionym z tytułu wykonywania tych czynności.
2. Prezes Urzędu, ustalając wysokość opłaty, bierze pod uwagę zakres certyfikacji, przewidywany przebieg i długość postępowania certyfikującego oraz koszt pracy pracownika wykonującego czynności związane z certyfikacją.
3. Maksymalna wysokość opłaty nie może przekroczyć czterokrotności przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok złożenia wniosku o certyfikację, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 20 ogłoszenie w „Monitorze Polskim” pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2018 r. poz. 1270, z późn. zm.).
4. Prezes Urzędu na swojej stronie podmiotowej w Biuletynie Informacji Publicznej podaje wysokość opłaty, którą podmiot, o którym mowa w art. 15 tryb dokonywania certyfikacji, obowiązany jest ponieść z tytułu czynności związanych z certyfikacją.
5. Opłata stanowi dochód budżetu państwa.
Art. 27. Opracowywanie i zatwierdzanie kodeksu postępowania
1. Kodeks postępowania jest opracowywany, opiniowany i zatwierdzany na zasadach określonych w rozporządzeniu 2016/679.
2. Kodeks postępowania przed przekazaniem do zatwierdzenia Prezesowi Urzędu podlega konsultacjom z zainteresowanymi podmiotami.
3. Informację o przeprowadzonych konsultacjach oraz ich wyniku przekazuje się Prezesowi Urzędu wraz z kodeksem postępowania.
4. W przypadku uznania przez Prezesa Urzędu zakresu konsultacji za niewystarczający, wzywa on podmiot do przeprowadzenia ponownych konsultacji, wskazując ich zakres.
5. Stroną postępowania w sprawie zatwierdzenia kodeksu postępowania jest wyłącznie wnioskodawca występujący o zatwierdzenie tego kodeksu. Przepisu art. 31 uprawnienia organizacji społecznych ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego nie stosuje się.
6. Do zmiany zatwierdzonego kodeksu postępowania lub jego rozszerzenia stosuje się ust. 1–5.
Art. 28. Monitorowanie przestrzegania kodeksu postępowania
Przestrzeganie zatwierdzonego kodeksu postępowania monitoruje podmiot akredytowany przez Prezesa Urzędu na zasadach określonych w art. 41 monitorowanie zatwierdzonych kodeksów postępowania rozporządzenia 2016/679.
Art. 29. Wniosek podmiotu monitorującego przestrzeganie kodeksu postępowania o akredytację
1. Akredytacja podmiotu, o którym mowa w art. 28 monitorowanie przestrzegania kodeksu postępowania, jest udzielana na wniosek, który zawiera co najmniej:
1) nazwę podmiotu ubiegającego się o akredytację oraz adres jego siedziby;
2) informacje potwierdzające spełnianie kryteriów, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679.
2. Do wniosku dołącza się dokumenty potwierdzające spełnianie kryteriów, o których mowa w art. 41 ust. 1 i 2 rozporządzenia 2016/679, albo ich kopie.
3. Wniosek składa się pisemnie w postaci papierowej opatrzonej własnoręcznym podpisem albo w postaci elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Art. 30. Rozpatrywanie wniosku o akredytację
1. Prezes Urzędu rozpatruje wniosek, o którym mowa w art. 29 wniosek podmiotu monitorującego przestrzeganie kodeksu postępowania o akredytację ust. 1, i w terminie nie dłuższym niż 3 miesiące od dnia złożenia wniosku zgodnego z art. 29 wniosek podmiotu monitorującego przestrzeganie kodeksu postępowania o akredytację, po zbadaniu spełniania kryteriów, o których mowa w art. 41 monitorowanie zatwierdzonych kodeksów postępowania ust. 1 i 2 rozporządzenia 2016/679, zawiadamia podmiot ubiegający się o akredytację o udzieleniu lub odmowie udzielenia akredytacji.
2. Wniosek złożony do Prezesa Urzędu niezawierający informacji, o których mowa w art. 29 wniosek podmiotu monitorującego przestrzeganie kodeksu postępowania o akredytację ust. 1 pkt 1, pozostawia się bez rozpoznania. Jeżeli wniosek nie zawiera informacji, o których mowa w art. 29 wniosek podmiotu monitorującego przestrzeganie kodeksu postępowania o akredytację ust. 1 pkt 2, lub nie spełnia wymagań, o których mowa w ust. 2 lub 3, Prezes Urzędu wzywa wnioskodawcę do ich uzupełnienia wraz z pouczeniem, że ich nieuzupełnienie w terminie 7 dni od dnia doręczenia wezwania spowoduje pozostawienie wniosku bez rozpoznania.
3. W przypadku stwierdzenia, że podmiot ubiegający się o akredytację nie spełnia kryteriów, o których mowa w art. 41 monitorowanie zatwierdzonych kodeksów postępowania ust. 1 i 2 rozporządzenia 2016/679, Prezes Urzędu odmawia udzielenia akredytacji. Odmowa udzielenia akredytacji następuje w drodze decyzji.
Art. 31. Certyfikat akredytacyjny
1. Dokumentem potwierdzającym akredytację jest certyfikat akredytacyjny.
2. Certyfikat akredytacyjny zawiera co najmniej:
1) oznaczenie podmiotu akredytowanego i adres jego siedziby;
2) numer lub oznaczenie certyfikatu akredytacyjnego;
3) datę wydania i podpis Prezesa Urzędu albo osoby przez niego upoważnionej.
Art. 32. Cofnięcie akredytacji
1. W okresie, na jaki akredytacja została udzielona, podmiot akredytowany jest obowiązany spełniać kryteria, o których mowa w art. 41 monitorowanie zatwierdzonych kodeksów postępowania ust. 1 i 2 rozporządzenia 2016/679, obowiązujące na dzień wydania certyfikatu akredytacyjnego.
2. Prezes Urzędu cofa, w drodze decyzji, akredytację w przypadku stwierdzenia, że podmiot akredytowany:
1) nie spełnia lub przestał spełniać kryteria akredytacji, o których mowa w art. 41 monitorowanie zatwierdzonych kodeksów postępowania ust. 1 i 2 rozporządzenia 2016/679;
2) podejmuje działania niezgodne z rozporządzeniem 2016/679.
Art. 33. Wykaz podmiotów akredytowanych
1. Prezes Urzędu prowadzi publicznie dostępny wykaz podmiotów akredytowanych.
2. Prezes Urzędu dokonuje wpisu do wykazu niezwłocznie po udzieleniu akredytacji.
3. Prezes Urzędu udostępnia wykaz na swojej stronie podmiotowej w Biuletynie Informacji Publicznej i dokonuje jego aktualizacji.
Art. 34. Prezes Urzędu Ochrony Danych Osobowych
1. Prezes Urzędu jest orgnem właściwym w sprawie ochrony danych osobowych.
2. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679, w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89) oraz w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępującego i uchylającego decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz. Urz. UE L 135 z 24.05.2016, str. 53).
3. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu Rzeczypospolitej Polskiej.
4. Na stanowisko Prezesa Urzędu może być powołana osoba, która:
1) jest obywatelem polskim;
2) posiada wyższe wykształcenie;
3) wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
4) korzysta z pełni praw publicznych;
5) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
6) posiada nieposzlakowaną opinię.
5. Prezes Urzędu w zakresie wykonywania swoich zadań podlega tylko ustawie.
6. Kadencja Prezesa Urzędu trwa 4 lata, licząc od dnia złożenia ślubowania. Prezes Urzędu po upływie kadencji wykonuje swoje obowiązki do czasu objęcia stanowiska przez nowego Prezesa Urzędu.
7. Ta sama osoba nie może być Prezesem Urzędu więcej niż przez dwie kadencje.
8. Kadencja Prezesa Urzędu wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego.
9. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:
1) zrzekł się stanowiska;
2) stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;
3) sprzeniewierzył się ślubowaniu;
4) został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;
5) został pozbawiony praw publicznych.
10. W przypadku wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Marszałka Sejmu.
Art. 35. ślubowanie Prezesa Urzędu
1. Przed przystąpieniem do wykonywania obowiązków Prezes Urzędu składa przed Sejmem Rzeczypospolitej Polskiej ślubowanie o następującej treści:
„Obejmując stanowisko Prezesa Urzędu Ochrony Danych Osobowych, uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i bezstronnie”.
2. Ślubowanie może zostać złożone z dodaniem słów „Tak mi dopomóż Bóg”.
Art. 36. Zastępcy Prezesa Urzędu
1. Prezes Urzędu może powołać do trzech zastępców.
2. Na zastępcę Prezesa Urzędu może być powołana osoba, która:
1) jest obywatelem polskim;
2) posiada wyższe wykształcenie;
3) wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
4) korzysta z pełni praw publicznych;
5) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
6) posiada nieposzlakowaną opinię.
Art. 37. Ograniczenia działalności pozazawodowej Prezesa i zastępców Prezesa Urzędu
1. Prezes Urzędu oraz jego zastępcy nie mogą zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu.
2. Prezes Urzędu oraz jego zastępcy nie mogą należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.
Art. 38. Immunitet Prezesa Urzędu
1. Prezes Urzędu nie może być bez uprzedniej zgody Sejmu Rzeczypospolitej Polskiej pociągnięty do odpowiedzialności karnej ani pozbawiony wolności.
2. Prezes Urzędu może wyrazić zgodę na pociągnięcie go do odpowiedzialności karnej za wykroczenia, o których mowa w ust. 3, w trybie określonym w tym przepisie.
3. W przypadku popełnienia przez Prezesa Urzędu wykroczenia, o którym mowa w rozdziale XI ustawy z dnia 20 maja 1971 r. – Kodeks wykroczeń (Dz. U. z 2019 r. poz. 821 i 1238), przyjęcie przez Prezesa Urzędu mandatu karnego albo uiszczenie grzywny, w przypadku ukarania mandatem karnym zaocznym, o którym mowa w art. 98 rodzaje mandatów karnych § 1 pkt 3 ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (Dz. U. z 2019 r. poz. 1120, 1123 i 1556), stanowi oświadczenie o wyrażeniu przez niego zgody na pociągnięcie go do odpowiedzialności w tej formie.
4. Prezes Urzędu nie może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.
Art. 39. Bieg przedawnienia w postępowaniu karnym czynu objętego immunitetem
Przedawnienie w postępowaniu karnym czynu objętego immunitetem nie biegnie w okresie korzystania z immunitetu.
Art. 40. Wnioski o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej
1. Wniosek o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia publicznego składa się za pośrednictwem Prokuratora Generalnego.
2. Wniosek o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej w sprawie o przestępstwo ścigane z oskarżenia prywatnego składa oskarżyciel prywatny, po wniesieniu oskarżenia do sądu.
3. Wniosek, o którym mowa w ust. 2, sporządza i podpisuje adwokat lub radca prawny, z wyjątkiem wniosków składanych w swoich sprawach przez sędziów, prokuratorów, adwokatów, radców prawnych, notariuszy oraz profesorów i doktorów habilitowanych nauk prawnych.
4. Wnioski, o których mowa w ust. 1 i 2, zawierają:
1) oznaczenie wnioskodawcy oraz pełnomocnika, o ile został ustanowiony;
2) imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
3) wskazanie podstawy prawnej wniosku;
4) dokładne określenie czynu, którego dotyczy wniosek, ze wskazaniem czasu, miejsca, sposobu i okoliczności jego popełnienia oraz skutków, a zwłaszcza charakteru powstałej szkody;
5) uzasadnienie.
Art. 41. Tryb postępowania w sprawie wniosku o pociągnięcie Prezesa Urzędu do odpowiedzialności karnej
1. Wniosek o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej składa się Marszałkowi Sejmu.
2. Jeżeli wniosek nie spełnia wymogów formalnych, o których mowa w art. 40 wnioski o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej ust. 3 lub 4, Marszałek Sejmu wzywa wnioskodawcę do poprawienia lub uzupełnienia wniosku w terminie 14 dni, wskazując niezbędny zakres poprawienia lub uzupełnienia. W przypadku niepoprawienia lub nieuzupełnienia wniosku we wskazanym terminie i zakresie Marszałek Sejmu postanawia o pozostawieniu wniosku bez biegu.
3. Jeżeli wniosek spełnia wymogi formalne, o których mowa w art. 40 wnioski o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej ust. 3 i 4, Marszałek Sejmu kieruje go do organu Sejmu Rzeczypospolitej Polskiej właściwego do rozpatrzenia wniosku, zawiadamiając jednocześnie Prezesa Urzędu o treści wniosku.
4. Organ właściwy do rozpatrzenia wniosku powiadamia Prezesa Urzędu o terminie jego rozpatrzenia. Między doręczeniem powiadomienia a terminem rozpatrzenia wniosku, o ile nie zachodzi przypadek niecierpiący zwłoki, nie może upłynąć mniej niż 7 dni.
5. Na żądanie organu właściwego do rozpatrzenia wniosku sąd albo odpowiedni organ, przed którym toczy się postępowanie wobec Prezesa Urzędu, udostępnia akta postępowania.
6. Prezes Urzędu przedstawia organowi właściwemu do rozpatrzenia wniosku wyjaśnienia i własne wnioski w tej sprawie w formie pisemnej lub ustnej.
7. Po rozpatrzeniu sprawy organ właściwy do rozpatrzenia wniosku uchwala sprawozdanie wraz z propozycją przyjęcia lub odrzucenia wniosku.
8. W trakcie rozpatrywania przez Sejm Rzeczypospolitej Polskiej sprawozdania, o którym mowa w ust. 7, Prezesowi Urzędu przysługuje prawo zabrania głosu.
9. Sejm Rzeczypospolitej Polskiej wyraża zgodę na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej.
Art. 42. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu
1. Zakaz zatrzymania, o którym mowa w art. 38 immunitet Prezesa Urzędu ust. 4, obejmuje wszelkie formy pozbawienia lub ograniczenia wolności osobistej Prezesa Urzędu przez organy uprawnione do stosowania środków przymusu.
2. Wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu składa się za pośrednictwem Prokuratora Generalnego.
3. Wniosek, o którym mowa w ust. 2, zawiera:
1) oznaczenie wnioskodawcy;
2) imię i nazwisko oraz datę i miejsce urodzenia Prezesa Urzędu;
3) dokładne określenie czynu oraz jego kwalifikację prawną;
4) podstawę prawną zastosowania określonego środka;
5) uzasadnienie, wskazujące w szczególności na konieczność zastosowania określonego środka.
4. Do postępowania z wnioskiem, o którym mowa w ust. 2, przepisy art. 41 tryb postępowania w sprawie wniosku o pociągnięcie Prezesa Urzędu do odpowiedzialności karnej ust. 1–8 stosuje się odpowiednio.
5. Sejm Rzeczypospolitej Polskiej wyraża zgodę na zatrzymanie lub aresztowanie Prezesa Urzędu w drodze uchwały podjętej bezwzględną większością ustawowej liczby posłów. Nieuzyskanie wymaganej większości głosów oznacza podjęcie uchwały o niewyrażeniu zgody na zatrzymanie lub aresztowanie Prezesa Urzędu.
6. Wymóg uzyskania zgody Sejmu Rzeczypospolitej Polskiej nie dotyczy wykonania kary pozbawienia wolności orzeczonej prawomocnym wyrokiem sądu.
Art. 43. Uchwała w sprawie wyrażenia zgody na zatrzymanie lub aresztowanie Prezesa Urzędu
1. Marszałek Sejmu przesyła wnioskodawcy niezwłocznie uchwałę, o której mowa w art. 41 tryb postępowania w sprawie wniosku o pociągnięcie Prezesa Urzędu do odpowiedzialności karnej ust. 9 i art. 42 wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu ust. 5.
2. Uchwały, o których mowa w art. 41 tryb postępowania w sprawie wniosku o pociągnięcie Prezesa Urzędu do odpowiedzialności karnej ust. 9 i art. 42 wniosek o wyrażenie zgody na zatrzymanie lub aresztowanie Prezesa Urzędu ust. 5, podlegają ogłoszeniu w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.
Art. 44. Odpowiedzialność Prezesa Urzędu za wykroczenia
Przepisy ustawy dotyczące odpowiedzialności karnej Prezesa Urzędu stosuje się odpowiednio do odpowiedzialności za wykroczenia.
Art. 45. Urząd Ochrony Danych Osobowych
1. Prezes Urzędu wykonuje swoje zadania przy pomocy Urzędu Ochrony Danych Osobowych, zwanego dalej „Urzędem”.
2. W przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie Prezes Urzędu może w ramach Urzędu tworzyć jednostki zamiejscowe Urzędu.
3. Prezes Urzędu, w drodze zarządzenia, nadaje statut Urzędowi, określając:
1) organizację wewnętrzną Urzędu,
2) zakres zadań swoich zastępców,
3) zakres zadań i tryb pracy komórek organizacyjnych Urzędu – mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Urzędu.
Art. 46. Obowiązek zachowania tajemnicy
1. Prezes Urzędu, zastępcy Prezesa Urzędu, a także pracownicy Urzędu są obowiązani zachować w tajemnicy informacje, o których dowiedzieli się w związku z wykonywaniem czynności służbowych.
2. Obowiązek zachowania w tajemnicy informacji, o których mowa w ust. 1, trwa także po zakończeniu kadencji albo zatrudnienia.
Art. 47. Rozporządzenie w sprawie wzoru legitymacji służbowej pracownika Urzędu
Rada Ministrów określi, w drodze rozporządzenia, wzór legitymacji służbowej pracownika Urzędu, mając na względzie potrzebę zapewnienia możliwości identyfikacji osób uprawnionych do przeprowadzania kontroli oraz wykonywania innych czynności służbowych.
Art. 48. Rada do Spraw Ochrony Danych Osobowych
1. Przy Prezesie Urzędu działa Rada do Spraw Ochrony Danych Osobowych, zwana dalej „Radą”, która jest organem opiniodawczo-doradczym Prezesa Urzędu.
2. Do zadań Rady należy:
1) opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
2) opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
3) opracowywanie propozycji kryteriów certyfikacji, o których mowa w art. 42 certyfikacja ust. 5 rozporządzenia 2016/679;
4) opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
5) inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
6) wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
7) wykonywanie innych zadań zleconych przez Prezesa Urzędu.
3. Rada wyraża opinię w terminie 21 dni od dnia otrzymania projektów lub dokumentów, o których mowa w ust. 2.
4. Opinie, protokoły posiedzeń oraz inne dokumenty Rady są udostępniane na stronie podmiotowej w Biuletynie Informacji Publicznej Prezesa Urzędu.
5. Rada przedstawia Prezesowi Urzędu sprawozdanie z działalności za każdy rok kalendarzowy w terminie do dnia 31 marca następnego roku.
6. Rada składa się z 8 członków.
7. Kandydatów na członków Rady zgłasza:
1) Rada Ministrów;
2) Rzecznik Praw Obywatelskich;
3) izby gospodarcze;
4) podmioty, o których mowa w art. 7 system szkolnictwa wyższego i nauki ust. 1 pkt 1, 2 i 4–6 ustawy z dnia 20 lipca 2018 r. – Prawo o szkolnictwie wyższym i nauce (Dz. U. poz. 1668, z późn. zm. );
5) fundacje i stowarzyszenia wpisane do Krajowego Rejestru Sądowego, których celem statutowym jest działalność na rzecz ochrony danych osobowych.
8. Członkiem Rady może być osoba, która:
1) posiada wykształcenie wyższe;
2) nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
3) korzysta z pełni praw publicznych;
4) wyraziła zgodę na kandydowanie.
9. Członek Rady jest obowiązany do zachowania w tajemnicy informacji, o których dowiedział się w związku z wykonywaniem funkcji członka Rady. Prezes Urzędu może zwolnić z obowiązku zachowania tajemnicy w zakresie przez niego określonym.
10. Prezes Urzędu powołuje skład Rady, na dwuletnią kadencję, spośród kandydatów zgłoszonych przez podmioty, o których mowa w ust. 7, w tym 5 członków spośród kandydatów zgłoszonych przez podmioty, o których mowa w ust. 7 pkt 1 i 2, oraz 3 członków spośród kandydatów zgłoszonych przez podmioty, o których mowa w ust. 7 pkt 3–5.
11. Przed upływem kadencji członkostwo w Radzie wygasa z powodu:
1) rezygnacji złożonej na piśmie przewodniczącemu Rady;
2) śmierci;
3) niemożności sprawowania funkcji z powodu długotrwałej choroby stwierdzonej zaświadczeniem lekarskim;
4) skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
5) pozbawienia praw publicznych.
12. W przypadku, o którym mowa w ust. 11, Prezes Urzędu powołuje nowego członka Rady na okres pozostały do końca kadencji, spośród pozostałych zgłoszonych kandydatów, po potwierdzeniu aktualności zgłoszenia, z uwzględnieniem ust. 10.
13. Prezes Urzędu powołuje i odwołuje przewodniczącego Rady i wiceprzewodniczącego Rady spośród jej członków.
14. Przewodniczący Rady kieruje jej pracami i reprezentuje ją na zewnątrz. W przypadku nieobecności zastępuje go wiceprzewodniczący Rady.
15. Obsługę Rady zapewnia Urząd.
16. Na posiedzenie Rady mogą być zapraszane, przez Prezesa Urzędu oraz przewodniczącego Rady, inne osoby, o ile jest to uzasadnione zadaniami Rady. Przepis ust. 9 stosuje się odpowiednio.
17. Szczegółowy tryb działania Rady określa regulamin ustanawiany na wniosek Rady przez Prezesa Urzędu.
Art. 49. Wynagrodzenie za udział w pracach Rady do Spraw Ochrony Danych Osobowych
1. Za udział w pracach Rady członkowi Rady przysługuje wynagrodzenie. Wysokość wynagrodzenia uzależniona jest od zakresu obowiązków związanych z funkcją pełnioną w Radzie oraz liczby posiedzeń, w których uczestniczył.
2. Wynagrodzenie członka Rady za udział w jednym posiedzeniu stanowi co najmniej 5% przeciętnego wynagrodzenia w gospodarce narodowej w roku kalendarzowym poprzedzającym rok powołania Rady, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 20 ogłoszenie w „Monitorze Polskim” pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, i nie może przekroczyć 25% tego wynagrodzenia.
3. Rada Ministrów określi, w drodze rozporządzenia, wysokość wynagrodzenia członka Rady za udział w posiedzeniu oraz liczbę posiedzeń Rady w ciągu roku kalendarzowego, uwzględniając zakres obowiązków związanych z funkcją pełnioną w Radzie oraz prawidłową realizację zadań Rady.
4. Członkom Rady mającym miejsce zamieszkania w innej miejscowości niż siedziba Urzędu przysługują diety oraz zwrot kosztów podróży i zakwaterowania na warunkach określonych w przepisach wykonawczych wydanych na podstawie art. 775 należności z tytułu podróży służbowej § 2 ustawy z dnia 26 czerwca 1974 r. − Kodeks pracy (Dz. U. z 2019 r. poz. 1040, 1043 i 1495).
Art. 50. Roczne sprawozdanie Prezesa Urzędu
1. Prezes Urzędu raz w roku do dnia 31 sierpnia przedstawia Sejmowi Rzeczypospolitej Polskiej, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu sprawozdanie ze swojej działalności, zawierające w szczególności informację o liczbie i rodzaju prawomocnych orzeczeń sądowych uwzględniających skargi na decyzje lub postanowienia Prezesa Urzędu oraz wnioski wynikające ze stanu przestrzegania przepisów o ochronie danych osobowych.
2. Prezes Urzędu udostępnia sprawozdanie, o którym mowa w ust. 1, na swojej stronie podmiotowej w Biuletynie Informacji Publicznej.
Art. 51. Opiniowanie założeń i projektów aktów prawnych dotyczących danych osobowych
Założenia i projekty aktów prawnych dotyczące danych osobowych są przedstawiane do zaopiniowania Prezesowi Urzędu.
Art. 52. Wystąpienia Prezesa Urzędu
1. Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych.
2. Prezes Urzędu może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.
3. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, o których mowa w ust. 1 i 2, jest obowiązany ustosunkować się do tego wystąpienia lub wniosku na piśmie w terminie 30 dni od daty jego otrzymania.
Art. 53. Informacje udostępniane przez Prezesa Urzędu w Biuletynie Informacji Publicznej
1. Prezes Urzędu udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej:
1) standardowe klauzule umowne, o których mowa w art. 28 podmiot przetwarzający ust. 8 rozporządzenia 2016/679;
2) zatwierdzone kodeksy postępowania, o których mowa w art. 40 kodeksy postępowania rozporządzenia 2016/679, a także zmiany tych kodeksów.
3) przyjęte standardowe klauzule ochrony danych, o których mowa w art. 46 przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń ust. 2 lit. d rozporządzenia 2016/679;
4) rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
2. Rekomendacje, o których mowa w ust. 1 pkt 4, sporządzane są z uwzględnieniem specyfiki danego rodzaju działalności i podlegają okresowej aktualizacji.
3. Projekt rekomendacji, o których mowa w ust. 1 pkt 4, Prezes Urzędu konsultuje z zainteresowanymi podmiotami, których zakresu działania dotyczy dany projekt.
Art. 54. Komunikaty Prezesa Urzędu
1. Prezes Urzędu:
1) ogłasza w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, o którym mowa w art. 35 ocena skutków dla ochrony danych ust. 4 rozporządzenia 2016/679;
2) może ogłosić w komunikacie wykaz rodzajów operacji przetwarzania danych osobowych niewymagających oceny skutków przetwarzania dla ich ochrony, o którym mowa w art. 35 ocena skutków dla ochrony danych ust. 5 rozporządzenia 2016/679.
2. Komunikaty, o których mowa w ust. 1, ogłasza się w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski”.
Art. 55. System teleinformatyczny do zgłoszeń naruszeń ochrony danych osobowych
Prezes Urzędu może prowadzić system teleinformatyczny umożliwiający administratorom dokonywanie zgłoszenia naruszenia ochrony danych osobowych, o którym mowa w art. 33 zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu rozporządzenia 2016/679.
Art. 56. Decyzje Prezesa Urzędu
Prezes Urzędu, w drodze decyzji:
1) zatwierdza wiążące reguły korporacyjne, o których mowa w art. 47 wiążące reguły korporacyjnych rozporządzenia 2016/679;
2) udziela zezwolenia, o którym mowa w art. 46 przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń ust. 3 rozporządzenia 2016/679.
Art. 57. Wniosek o przeprowadzenie konsultacji
1. Administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 uprzednie konsultacje rozporządzenia 2016/679.
2. Do wniosku stosuje się odpowiednio przepis art. 63 formy wnoszenia podań ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
3. Jeżeli wniosek nie spełnia wymogów określonych w art. 36 ust. 3 rozporządzenia 2016/679 oraz art. 63 formy wnoszenia podań ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, Prezes Urzędu informuje o nieudzieleniu konsultacji, wskazując przyczyny ich nieudzielenia.
Art. 58. Uprawnienie do żądania wszczęcia postępowania
Jeżeli Prezes Urzędu, na podstawie posiadanych informacji, uzna, że doszło do naruszenia przepisów dotyczących przetwarzania danych osobowych, może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń, i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Art. 59. Współpraca Prezesa Urzędu z niezależnymi organami nadzorczymi
1. Prezes Urzędu w sprawach ochrony danych osobowych współpracuje z niezależnymi organami nadzorczymi powołanymi na podstawie art. 91 istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe rozporządzenia 2016/679.
2. Prezes Urzędu może zawrzeć z organami, o których mowa w ust. 1, porozumienie o współpracy i wzajemnym przekazywaniu informacji.
Art. 60. Właściwość organu w sprawach prowadzenia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych
Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej „postępowaniem”, jest prowadzone przez Prezesa Urzędu.
Art. 61. Udział organizacji społecznej w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych
Organizacja społeczna, o której mowa w art. 31 uprawnienia organizacji społecznych § 1 ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, może również występować w postępowaniu za zgodą osoby, której dane dotyczą, w jej imieniu i na jej rzecz.
Art. 62. Zawiadomienie strony o niezałatwieniu sprawy w terminie
W przypadku, o którym mowa w art. 36 obowiązek zawiadomienia o przyczynie zwłoki w załatwieniu sprawy ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego, Prezes Urzędu, zawiadamiając strony o niezałatwieniu sprawy w terminie, jest obowiązany również poinformować o stanie sprawy i przeprowadzonych w jej toku czynnościach.
Art. 63. Tłumaczenie na język polski przedłożonej przez stronę dokumentacji
Prezes Urzędu może żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenie dokumentacji strona jest obowiązana wykonać na własny koszt.
Art. 64. Dostęp Prezesa Urzędu do informacji objętych tajemnicą prawnie chronioną
W celu realizacji swoich zadań Prezes Urzędu ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.
Art. 65. Zastrzeżenie informacji lub dokumentów stanowiących tajemnicę przedsiębiorstwa
1. Strona może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa, przedstawiane Prezesowi Urzędu. W takim przypadku strona jest obowiązana przedstawić Prezesowi Urzędu również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem.
2. W przypadku nieprzedstawienia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za nieskuteczne.
3. Prezes Urzędu może uchylić zastrzeżenie, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa.
4. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego przestrzegania.
Art. 66. Wyłączenie prawa do wglądu w akta sprawy
Prezes Urzędu wydaje postanowienie, o którym mowa w art. 74 wyłączenie prawa strony do wglądu w akta sprawy § 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, również w przypadku, gdy udostępnienie informacji i dokumentów, o których mowa w art. 65 zastrzeżenie informacji lub dokumentów stanowiących tajemnicę przedsiębiorstwa ust. 1, grozi ujawnieniem tajemnic prawnie chronionych albo ujawnieniem tajemnicy przedsiębiorstwa, jeżeli o ograniczenie wglądu do akt dla stron postępowania wnosi przedsiębiorca, od którego informacja pochodzi.
Art. 67. Zawiadamianie stron przez publiczne ogłoszenia
Jeżeli liczba stron w postępowaniu przekracza 20, Prezes Urzędu może zastosować przepis art. 49 zawiadamianie stron przez publiczne ogłoszenia ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
Art. 68. Postępowanie kontrolne
1. Jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.
2. Okresu postępowania kontrolnego nie wlicza się do terminów, o których mowa w art. 35 terminy załatwiania spraw przez organy ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
Art. 69. Kara grzywny
1. W przypadku, o którym mowa w art. 88 ukaranie grzywną świadka lub biegłego ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego, Prezes Urzędu wymierza karę grzywny w wysokości od 500 złotych do 5000 złotych.
2. Wymierzając karę grzywny, Prezes Urzędu bierze pod uwagę:
1) w przypadku osoby fizycznej – sytuację osobistą wezwanego i stopień zrozumienia powagi ciążących na nim obowiązków wynikających z wezwania lub
2) potrzebę dostosowania wysokości kary grzywny do celu, jakim jest przymuszenie wezwanego do zadośćuczynienia wezwaniu.
3. Kara grzywny, o której mowa w ust. 1, może być nałożona także w przypadku, gdy strona odmówiła przedstawienia tłumaczenia na język polski dokumentacji sporządzonej w języku obcym.
Art. 70. Zobowiązanie do ograniczenia przetwarzania danych osobowych
1. Jeżeli w toku postępowania zostanie uprawdopodobnione, że przetwarzanie danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, Prezes Urzędu, w celu zapobieżenia tym skutkom, może, w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania.
2. W postanowieniu, o którym mowa w ust. 1, Prezes Urzędu określa termin obowiązywania ograniczenia przetwarzania danych osobowych nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie.
3. Na postanowienie, o którym mowa w ust. 1, służy skarga do sądu administracyjnego.
Art. 71. Wniosek o wystąpienie z pytaniem prawnym w sprawie ważności decyzji Komisji Europejskiej
1. Jeżeli w toku postępowania Prezes Urzędu uzna, że istnieją uzasadnione wątpliwości co do zgodności z prawem Unii Europejskiej decyzji Komisji Europejskiej, o której mowa w art. 40 wnioski o wyrażenie zgody na pociągnięcie Prezesa Urzędu do odpowiedzialności karnej ust. 9 w sprawie kodeksu postępowania, o którym mowa w art. 46 przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń ust. 2 lit. e, oraz decyzji, o której mowa w art. 45 przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony ust. 3 i 5 i art. 46 przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń ust. 2 lit. c rozporządzenia 2016/679, Prezes Urzędu występuje do sądu administracyjnego z wnioskiem o wystąpienie z pytaniem prawnym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej w sprawie ważności decyzji Komisji Europejskiej.
2. Wniosek, o którym mowa w ust. 1, poza spełnianiem wymagań dotyczących skargi, o których mowa w art. 64 dostęp Prezesa Urzędu do informacji objętych tajemnicą prawnie chronioną § 2 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302, z późn. zm.), zawiera w szczególności:
1) wskazanie decyzji Komisji Europejskiej, której wniosek dotyczy;
2) omówienie powodów, dla których Prezes Urzędu powziął wątpliwości w kwestii ważności decyzji Komisji Europejskiej i jej niezgodności z przepisami prawa;
3) treść pytania lub pytań, które sąd administracyjny przedstawia Trybunałowi Sprawiedliwości Unii Europejskiej, zawierającą:
a) przedmiot sporu oraz ustalenia co do okoliczności faktycznych, w tym stanowisko strony podniesione w postępowaniu przed organem, jeżeli zostało przedstawione przez stronę,
b) wskazanie przepisów prawa mających zastosowanie w sprawie,
c) proponowaną do przedstawienia Trybunałowi Sprawiedliwości Unii Europejskiej przez sąd administracyjny sentencję pytania lub pytań;
4) oświadczenie o zgodności treści załącznika, o którym mowa w ust. 3, z wnioskiem złożonym w postaci papierowej.
3. Do wniosku, o którym mowa w ust. 1, dołącza się załącznik zawierający treść wniosku w formie dokumentu elektronicznego zapisanego na informatycznym nośniku danych w formacie danych pozwalającym na edycję jego treści.
4. Stroną postępowania przed sądem administracyjnym w sprawie wniosku, o którym mowa w ust. 1, jest Prezes Urzędu.
5. Sąd administracyjny rozpoznaje wniosek, o którym mowa w ust. 1, na posiedzeniu niejawnym, w składzie 3 sędziów.
6. Sąd administracyjny, uznając wniosek, o którym mowa w ust. 1, za uzasadniony, występuje do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem prejudycjalnym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej.
7. W przypadku uznania przez sąd administracyjny, że wniosek, o którym mowa w ust. 1, nie zawiera wystarczającego uzasadnienia dla wystąpienia z pytaniem prejudycjalnym do Trybunału Sprawiedliwości Unii Europejskiej, wydaje się postanowienie o odmowie wystąpienia z pytaniem.
8. Na postanowienie, o którym mowa w ust. 7, nie służy środek odwoławczy.
9. Sąd administracyjny sporządza uzasadnienie postanowienia, o którym mowa w ust. 7, w terminie 21 dni.
10. Od wniosku, o którym mowa w ust. 1, nie pobiera się opłaty sądowej.
Art. 72. Uzasadnienie nałożonych administracyjnych kar pieniężnych
W uzasadnieniu decyzji kończącej postępowanie w sprawie wskazuje się dodatkowo przesłanki określone w art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych ust. 2 rozporządzenia 2016/679, na których Prezes Urzędu oparł się, nakładając administracyjną karę pieniężną oraz ustalając jej wysokość.
Art. 73. Informacja w Biuletynie Informacji Publicznej o wydaniu decyzji stwierdzającej naruszenie
1. Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, po zakończeniu postępowania informuje o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie Informacji Publicznej.
2. Jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski, w stosunku do których Prezes Urzędu wydał prawomocną decyzję stwierdzającą naruszenie, niezwłocznie podają do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej w Biuletynie Informacji Publicznej, informację o działaniach podjętych w celu wykonania decyzji.
Art. 74. Wstrzymanie wykonania decyzji w zakresie administracyjnej kary pieniężnej
Wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
Art. 75. Postanowienie o zastosowaniu środka tymczasowego
1. W przypadkach, o których mowa w art. 61 wzajemna pomoc ust. 8, art. 62 wspólne operacje organów nadzorczych ust. 7 i art. 66 tryb pilny ust. 1 rozporządzenia 2016/679, Prezes Urzędu może wydać postanowienie o zastosowaniu środka tymczasowego, o którym mowa w art. 70 zobowiązanie do ograniczenia przetwarzania danych osobowych ust. 1.
2. W postanowieniu Prezes Urzędu określa termin obowiązywania środka tymczasowego, o którym mowa w art. 70 zobowiązanie do ograniczenia przetwarzania danych osobowych ust. 1, nie dłuższy niż 3 miesiące.
3. Na postanowienie służy skarga do sądu administracyjnego.
Art. 76. Tłumaczenie informacji kierowanych do organów nadzorczych w ramach europejskiej współpracy administracyjnej
Wszelkie informacje kierowane przez Prezesa Urzędu do organów nadzorczych innych państw członkowskich w ramach europejskiej współpracy administracyjnej podlegają tłumaczeniu na jeden z języków urzędowych tego państwa członkowskiego lub na język angielski.
Art. 77. Wspólne operacje organów nadzorczych
W przypadku otrzymania przez Prezesa Urzędu wniosku organu nadzorczego innego państwa członkowskiego Unii Europejskiej dotyczącego uczestnictwa we wspólnej operacji, o której mowa w art. 62 wspólne operacje organów nadzorczych ust. 1 rozporządzenia 2016/679, albo wystąpienia przez Prezesa Urzędu z takim wnioskiem, Prezes Urzędu dokonuje z organem nadzorczym innego państwa członkowskiego Unii Europejskiej ustaleń dotyczących wspólnej operacji i niezwłocznie sporządza wykaz ustaleń.
Art. 78. Kontrola przestrzegania przepisów o ochronie danych osobowych
1. Prezes Urzędu przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych.
2. Kontrolę prowadzi się zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.
Art. 79. Uprawnienie do przeprowadzania kontroli
1. Kontrolę przeprowadza upoważniony przez Prezesa Urzędu:
1) pracownik Urzędu,
2) członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 wspólne operacje organów nadzorczych rozporządzenia 2016/679 – zwany dalej „kontrolującym”.
2. Kontrolujący, o którym mowa w ust. 1 pkt 2, jest obowiązany do zachowania w tajemnicy informacji, o których dowiedział się w toku kontroli.
Art. 80. Wyłączenie kontrolującego z udziału w kontroli
1. Kontrolujący podlega wyłączeniu z udziału w kontroli, na wniosek lub z urzędu, jeżeli:
1) wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli;
2) zachodzą uzasadnione wątpliwości co do jego bezstronności.
2. Powody wyłączenia, o których mowa w ust. 1 pkt 1, trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.
3. O przyczynach powodujących wyłączenie kontrolujący lub podmiot objęty kontrolą, zwany dalej „kontrolowanym”, niezwłocznie zawiadamia Prezesa Urzędu.
4. O wyłączeniu kontrolującego rozstrzyga Prezes Urzędu.
5. Do czasu wydania postanowienia kontrolujący podejmuje czynności niecierpiące zwłoki.
Art. 81. Upoważnienie do przeprowadzenia kontroli
1. Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, o którym mowa w art. 79 uprawnienie do przeprowadzania kontroli ust. 1 pkt 2, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość.
2. Imienne upoważnienie do przeprowadzenia kontroli zawiera:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu;
3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, o którym mowa w art. 79 uprawnienie do przeprowadzania kontroli ust. 1 pkt 2, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;
4) określenie zakresu przedmiotowego kontroli;
5) oznaczenie kontrolowanego;
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
7) podpis Prezesa Urzędu;
8) pouczenie kontrolowanego o jego prawach i obowiązkach;
9) datę i miejsce jego wystawienia.
Art. 82. Upoważnienie do udziału w kontroli specjalisty
1. Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. Przepisy art. 80 wyłączenie kontrolującego z udziału w kontroli i art. 81 upoważnienie do przeprowadzenia kontroli ust. 2 stosuje się.
2. Zakres uprawnień osoby, o której mowa w ust. 1, Prezes Urzędu określa w upoważnieniu.
3. Osoba, o której mowa w ust. 1, jest obowiązana do zachowania w tajemnicy informacji, o których dowiedziała się w toku kontroli.
Art. 83. Udział w kontroli i obowiązki kontrolowanego
1. Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej.
2. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli.
3. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub dokument potwierdzający tożsamość mogą być okazane:
1) osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 domniemanie umocowania osoby znajdującej się w lokalu przedsiębiorstwa ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 i 1495) lub
2) przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art. 115 czyn zabroniony § 13 ustawy z dnia 6 czerwca 1997 r. − Kodeks karny (Dz. U. z 2018 r. poz. 1600, z późn. zm.), niebędącemu pracownikiem Urzędu albo osobą, o której mowa w art. 80 wyłączenie kontrolującego z udziału w kontroli ust. 1.
Art. 84. Prawa kontrolującego
1. Kontrolujący ma prawo:
1) wstępu w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń;
2) wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
3) przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
4) żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
5) zlecać sporządzanie ekspertyz i opinii.
2. Kontrolowany zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach, o których mowa w ust. 1 pkt 3.
3. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, o których mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.
4. W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700, 730, 848 i 1590), na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.
Art. 85. Pomoc Policji przy wykonywaniu czynności kontrolnych
1. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych.
2. Policja udziela pomocy przy wykonywaniu czynności kontrolnych, po otrzymaniu pisemnego wezwania na co najmniej 7 dni przed terminem tych czynności.
3. W pilnych przypadkach, w szczególności gdy kontrolujący trafi na opór uniemożliwiający lub utrudniający wykonywanie czynności kontrolnych, udzielenie pomocy następuje również na ustne wezwanie Prezesa Urzędu lub kontrolującego, po okazaniu imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej kontrolującego.
4. W przypadku, o którym mowa w ust. 3, Prezes Urzędu przekazuje potwierdzenie wezwania na piśmie, nie później niż w terminie 3 dni po zakończeniu czynności kontrolnych.
5. Udzielenie pomocy Policji przy wykonywaniu czynności kontrolnych polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku w tym miejscu.
6. Policja, udzielając pomocy kontrolującemu przy wykonywaniu czynności kontrolnych, zapewnia bezpieczeństwo również innym osobom uczestniczącym przy wykonywaniu czynności kontrolnych, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli.
7. Koszty poniesione przez Policję z tytułu udzielonej pomocy przy wykonywaniu czynności kontrolnych rozlicza się według stawki zryczałtowanej w wysokości 1,5% przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw bez wypłat nagród z zysku za ubiegły rok, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 60 rozporządzenie w sprawie Krajowej Rady i udzielania akredytacji pkt 5 ustawy z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U. z 2018 r. poz. 123, z późn. zm.).
Art. 86. Przesłuchanie pracownika kontrolowanego w charakterze świadka
1. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka.
2. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej.
3. Do przesłuchania pracownika kontrolowanego stosuje się przepis art. 83 prawo odmowy zeznań i odmowy odpowiedzi na pytania ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego.
Art. 87. Ustalanie stanu faktycznego przez kontrolującego
Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
Art. 88. Protokół kontroli
1. Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.
2. Protokół kontroli zawiera:
1) wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
2) imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
3) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku kontrolującego, o którym mowa w art. 79 uprawnienie do przeprowadzania kontroli ust. 1 pkt 2, imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia;
4) datę rozpoczęcia i zakończenia czynności kontrolnych;
5) określenie zakresu przedmiotowego kontroli;
6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) wyszczególnienie załączników;
8) omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;
9) pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
10) datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.
3. Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania.
4. Kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go albo składa pisemne zastrzeżenia do jego treści.
5. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli.
6. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.
7. Brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w terminie, o którym mowa w ust. 4, uznaje się za odmowę podpisania protokołu kontroli.
8. O odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w tym protokole, zawierającą datę jej dokonania. W przypadku, o którym mowa w ust. 7, wzmianki dokonuje się po upływie terminu, o którym mowa w ust. 4.
9. Protokół kontroli sporządza się w postaci elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Protokół kontroli kontrolujący doręcza kontrolowanemu.
Art. 89. Okres trwania kontroli
1. Kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.
2. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki, o której mowa w art. 88 protokół kontroli ust. 8.
Art. 90. Obowiązek wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych
Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania, o którym mowa w art. 60 właściwość organu w sprawach prowadzenia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.
Art. 91. Odpowiednie stosowanie przepisów ustawy
Przepisy art 63–65 stosuje się odpowiednio.
Art. 92. Odesłanie do przepisów ustawy – Kodeks cywilny
W zakresie nieuregulowanym rozporządzeniem 2016/679, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu i art. 82 prawo do odszkodowania i odpowiedzialność tego rozporządzenia, stosuje się przepisy ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny.
Art. 93. Właściwość sądu w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych
W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu i art. 82 prawo do odszkodowania i odpowiedzialność rozporządzenia 2016/679, właściwy jest sąd okręgowy.
Art. 94. Zawiadomienie Prezesa Urzędu o postępowaniu w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych
1. O wniesieniu pozwu oraz prawomocnym orzeczeniu kończącym postępowanie w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o którym mowa w art. 79 prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu lub art. 82 prawo do odszkodowania i odpowiedzialność rozporządzenia 2016/679, sąd zawiadamia niezwłocznie Prezesa Urzędu.
2. Prezes Urzędu zawiadomiony o toczącym się postępowaniu niezwłocznie informuje sąd o każdej sprawie dotyczącej tego samego naruszenia przepisów o ochronie danych osobowych, która toczy się przed Prezesem Urzędu lub sądem administracyjnym albo została zakończona. Prezes Urzędu niezwłocznie informuje sąd również o wszczęciu każdego postępowania w sprawie dotyczącej tego samego naruszenia.
Art. 95. Zawieszenie postępowania w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych
Sąd zawiesza postępowanie, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed Prezesem Urzędu.
Art. 96. Umorzenie postępowania w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych
Sąd umarza postępowanie w zakresie, w jakim prawomocna decyzja Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocny wyrok wydany w wyniku wniesienia skargi, o której mowa w art. 145 a § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, uwzględnia roszczenie dochodzone przed sądem.
Art. 97. Związanie sądu ustaleniami decyzji Prezesa Urzędu
Ustalenia prawomocnej decyzji Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi, o której mowa w art. 145 a zobowiązanie organu do załatwienia sprawy lub jej rozstrzygnięcia § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów.
Art. 98. Uprawnienia Prezesa Urzędu w postępowaniu przed sądem
1. W sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, które mogą być dochodzone wyłącznie w postępowaniu przed sądem, Prezes Urzędu może wytaczać powództwa na rzecz osoby, której dane dotyczą, za jej zgodą, a także wstępować, za zgodą powoda, do postępowania w każdym jego stadium.
2. W pozostałych sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych Prezes Urzędu może wstępować, za zgodą powoda, do postępowania przed sądem w każdym jego stadium, chyba że toczy się przed nim postępowanie dotyczące tego samego naruszenia przepisów o ochronie danych osobowych.
3. W przypadkach, o których mowa w ust. 1 i 2, do Prezesa Urzędu stosuje się odpowiednio przepisy ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2019 r. poz. 1460, 1469 i 1495) o prokuratorze.
Art. 99. Przedstawianie przez Prezesa Urzędu poglądów w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych
Prezes Urzędu, jeżeli uzna, że przemawia za tym interes publiczny, przedstawia sądowi istotny dla sprawy pogląd w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.
Art. 100. Odesłanie do przepisów ustawy – Kodeks postępowania cywilnego
Do postępowania w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu i art. 82 prawo do odszkodowania i odpowiedzialność rozporządzenia 2016/679, w zakresie nieuregulowanym niniejszą ustawą stosuje się przepisy ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego.
Art. 101. Nakładanie przez Prezesa Urzędu administracyjnych kar pieniężnych
Prezes Urzędu może nałożyć na podmiot obowiązany do przestrzegania przepisów rozporządzenia 2016/679, inny niż:
1) jednostka sektora finansów publicznych,
2) instytut badawczy,
3) Narodowy Bank Polski – w drodze decyzji, administracyjną karę pieniężną na podstawie i na warunkach określonych w art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych rozporządzenia 2016/679.
Art. 101 a. Obowiązek dostarczenia danych Prezesowi Urzędu
1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, o którym mowa w art. 101 nakładanie przez Prezesa Urzędu administracyjnych kar pieniężnych, jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.
2. W przypadku niedostarczenia danych przez podmiot, o którym mowa w art. 101 nakładanie przez Prezesa Urzędu administracyjnych kar pieniężnych, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.
Art. 102. Wysokość nakładanych przez Prezesa Urzędu administracyjnych kar pieniężnych
1. Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych, na:
1) jednostki sektora finansów publicznych, o których mowa w art. 9 podmioty wchodzące w skład sektora finansów publicznych pkt 1–12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;
2) instytut badawczy;
3) Narodowy Bank Polski.
2. Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10 000 złotych na jednostki sektora finansów publicznych, o których mowa w art. 9 podmioty wchodzące w skład sektora finansów publicznych pkt 13 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.
3. Administracyjne kary pieniężne, o których mowa w ust. 1 i 2, Prezes Urzędu nakłada na podstawie i na warunkach określonych w art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych rozporządzenia 2016/679.
Art. 103. Obliczanie równowartości kwot wyrażonych w euro
Równowartość wyrażonych w euro kwot, o których mowa w art. 83 ogólne warunki nakładania administracyjnych kar pieniężnych rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Art. 104. Przeznaczenie środków z administracyjnej kary pieniężnej
Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.
Art. 105. Uiszczanie administracyjnej kary pieniężnej
1. Administracyjną karę pieniężną uiszcza się w terminie 14 dni od dnia upływu terminu na wniesienie skargi, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego.
2. Prezes Urzędu może, na wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty, ze względu na ważny interes wnioskodawcy.
3. Do wniosku, o którym mowa w ust. 2, dołącza się uzasadnienie.
4. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56 d ogłaszanie stawek odsetek za zwłokę ustawy z dnia 29 sierpnia 1997 r. − Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.
5. W przypadku rozłożenia administracyjnej kary pieniężnej na raty, odsetki, o których mowa w ust. 4, są naliczane odrębnie dla każdej raty.
6. W przypadku niedotrzymania odroczonego terminu uiszczenia administracyjnej kary pieniężnej albo terminu uiszczenia jej rat, odsetki są naliczane za okres od dnia upływu odroczonego terminu uiszczenia kary albo terminu uiszczenia poszczególnych rat.
7. Prezes Urzędu może uchylić odroczenie terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenie jej na raty, jeżeli ujawniły się nowe lub uprzednio nieznane okoliczności istotne dla rozstrzygnięcia lub jeżeli rata nie została uiszczona w terminie.
8. Rozstrzygnięcie Prezesa Urzędu w przedmiocie odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty następuje w drodze postanowienia.
9. Prezes Urzędu, na wniosek podmiotu ukaranego prowadzącego działalność gospodarczą, może udzielić ulgi w wykonaniu administracyjnej kary pieniężnej określonej w ust. 2, która:
1) nie stanowi pomocy publicznej;
2) stanowi pomoc de minimis albo pomoc de minimis w rolnictwie lub rybołówstwie – w zakresie i na zasadach określonych w bezpośrednio obowiązujących przepisach prawa Unii Europejskiej dotyczących pomocy w ramach zasady de minimis;
3) stanowi pomoc publiczną zgodną z zasadami rynku wewnętrznego Unii Europejskiej, której dopuszczalność została określona przez właściwe organy Unii Europejskiej.
Art. 106. Wyłączenie stosowania niektórych przepisów ustawy – Kodeks postępowania administracyjnego
Przepisów art 189 d–189 f i art. 189 k ulgi w wykonaniu administracyjnej kary pieniężnej ustawy z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego nie stosuje się.
Art. 107. Przepis karny
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.
Art. 108. Przepis karny
1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.
Art. 109. Zmiana ustawy – Kodeks postępowania cywilnego
W ustawie z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2018 r. poz. 155, z późn. zm.): (zmiany pominięte).
Art. 110. Zmiana ustawy o postępowaniu egzekucyjnym w administracji
W ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2017 r. poz. 1201, 1475, 1954 i 2491 oraz z 2018 r. poz. 138 i 398) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 111. Zmiana ustawy – Kodeks pracy
W ustawie z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2018 r. poz. 917): (zmiany pominięte).
Art. 112. Zmiana ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe
W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. z 2017 r. poz. 1998 oraz z 2018 r. poz. 650): (zmiany pominięte).
Art. 113. Zmiana ustawy o pracownikach urzędów państwowych
W ustawie z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2017 r. poz. 2142 i 2203 oraz z 2018 r. poz. 106 i 650): (zmiany pominięte).
Art. 114. Zmiana ustawy o samorządzie gminnym
W ustawie z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2018 r. poz. 994) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 115. Zmiana ustawy o Najwyższej Izbie Kontroli
W ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U. z 2017 r. poz. 524) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 116. Zmiana ustawy o statystyce publicznej
W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2018 r. poz. 997): (zmiany pominięte).
Art. 117. Zmiana ustawy – Prawo energetyczne
W ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne (Dz. U. z 2018 r. poz. 755, 650, 685 i 771): (zmiany pominięte).
Art. 118. Zmiana ustawy o gospodarce nieruchomościami
W ustawie z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2018 r. poz. 121, 50 i 650): (zmiany pominięte).
Art. 119. Zmiana ustawy o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych
W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2018 r. poz. 511): (zmiany pominięte).
Art. 120. Zmiana ustawy – Ordynacja podatkowa
W ustawie z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2018 r. poz. 800, 650, 723 i 771) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 121. Zmiana ustawy – Prawo bankowe
W ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2017 r. poz. 1876, z późn. zm.): (zmiany pominięte).
Art. 122. Zmiana ustawy o samorządzie województwa
W ustawie z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2018 r. poz. 913): (zmiany pominięte).
Art. 123. Zmiana ustawy o samorządzie powiatowym
W ustawie z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2018 r. poz. 995) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 124. Zmiana ustawy o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu
W ustawie z dnia 18 grudnia 1998 r. o Instytucie Pamięci Narodowej – Komisji Ścigania Zbrodni przeciwko Narodowi Polskiemu (Dz. U. z 2016 r. poz. 1575 oraz z 2018 r. poz. 5 i 369) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 125. Zmiana ustawy o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości
W ustawie z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości (Dz. U. z 2018 r. poz. 110 i 650): (zmiany pominięte).
Art. 126. Zmiana ustawy o zawodzie psychologa i samorządzie zawodowym psychologów
W ustawie z dnia 8 czerwca 2001 r. o zawodzie psychologa i samorządzie zawodowym psychologów (Dz. U. poz. 763 i 1798 oraz z 2009 r. poz. 120 i 753): (zmiany pominięte).
Art. 127. Zmiana ustawy – Prawo o ustroju sądów powszechnych
W ustawie z dnia 27 lipca 2001 r. – Prawo o ustroju sądów powszechnych (Dz. U. z 2018 r. poz. 23, z późn. zm.) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 128. Zmiana ustawy o świadczeniach rodzinnych
W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z 2017 r. poz. 1952 oraz z 2018 r. poz. 107, 138, 650, 730 i 912): (zmiany pominięte).
Art. 129. Zmiana ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi
W ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2018 r. poz. 56, z późn. zm.): (zmiany pominięte).
Art. 130. Zmiana ustawy o odpowiedzialności za naruszenie dyscypliny finansów publicznych
W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2017 r. poz. 1311 i 2110): (zmiany pominięte).
Art. 131. Zmiana ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne
W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2017 r. poz. 570) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 132. Zmiana ustawy – Prawo o szkolnictwie wyższym
W ustawie z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (Dz. U. z 2017 r. poz. 2183, z późn. zm.): (zmiany pominięte).
Art. 133. Zmiana ustawy o ujawnianiu informacji o dokumentach organów bezpieczeństwa państwa z lat 1944–1990 oraz treści tych dokumentów
W ustawie z dnia 18 października 2006 r. o ujawnianiu informacji o dokumentach organów bezpieczeństwa państwa z lat 1944–1990 oraz treści tych dokumentów (Dz. U. z 2017 r. poz. 2186 oraz z 2018 r. poz. 538, 650, 651 i 730): (zmiany pominięte).
Art. 134. Zmiana ustawy o pomocy osobom uprawnionym do alimentów
W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (z. U. z 2018 r. poz. 554 i 650): (zmiany pominięte).
Art. 135. Zmiana ustawy o finansach publicznych
W ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2017 r. poz. 2077 oraz z 2018 r. poz. 62): (zmiany pominięte).
Art. 136. Zmiana ustawy o spółdzielczych kasach oszczędnościowo-kredytowych
W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2017 r. poz. 2065, z późn. zm.): (zmiany pominięte).
Art. 137. Zmiana ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2018 r. poz. 470, 650, 723, 730 i 771): (zmiany pominięte).
Art. 138. Zmiana ustawy o Służbie Więziennej
W ustawie z dnia 9 kwietnia 2010 r. o Służbie Więziennej (Dz. U. z 2017 r. poz. 631 i 1321 oraz z 2018 r. poz. 138, 730 i 912): (zmiany pominięte).
Art. 139. Zmiana ustawy o ochronie informacji niejawnych
W ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412 i 650): (zmiany pominięte).
Art. 140. Zmiana ustawy – Kodeks wyborczy
W ustawie z dnia 5 stycznia 2011 r. – Kodeks wyborczy (Dz. U. z 2018 r. poz. 754): (zmiany pominięte).
Art. 141. Zmiana ustawy o zawodach pielęgniarki i położnej
W ustawie z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz. U. z 2018 r. poz. 123 i 650): (zmiany pominięte).
Art. 142. Zmiana ustawy o usługach płatniczych
W ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2017 r. poz. 2003 oraz z 2018 r. poz. 62, 650, 723 i 864): (zmiany pominięte).
Art. 143. Zmiana ustawy o odpadach
W ustawie z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2018 r. poz. 992): (zmiany pominięte).
Art. 144. Zmiana ustawy o odnawialnych źródłach energii
W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U. z 2017 r. poz. 1148, 1213 i 1593 oraz z 2018 r. poz. 9 i 650): (zmiany pominięte).
Art. 145. Zmiana ustawy – Prawo o zgromadzeniach
W ustawie z dnia 24 lipca 2015 r. – Prawo o zgromadzeniach (Dz. U. z 2018 r. poz. 408): (zmiany pominięte).
Art. 146. Zmiana ustawy o działalności ubezpieczeniowej i reasekuracyjnej
W ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2018 r. poz. 999): (zmiany pominięte).
Art. 147. Zmiana ustawy o zawodzie fizjoterapeuty
W ustawie z dnia 25 września 2015 r. o zawodzie fizjoterapeuty (Dz. U. z 2018 r. poz. 505): (zmiany pominięte).
Art. 148. Zmiana ustawy o produktach biobójczych
W ustawie z dnia 9 października 2015 r. o produktach biobójczych (Dz. U. z 2018 r. poz. 122, 138 i 650): (zmiany pominięte).
Art. 149. Zmiana ustawy – Prawo o prokuraturze
W ustawie z dnia 28 stycznia 2016 r. – Prawo o prokuraturze (Dz. U. z 2017 r. poz. 1767 oraz z 2018 r. poz. 5) wprowadza się następujące zmiany: (zmiany pominięte).
Art. 150. Zmiana ustawy o pomocy państwa w wychowywaniu dzieci
W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. z 2017 r. poz. 1851 oraz z 2018 r. poz. 107, 138 i 650): (zmiany pominięte).
Art. 151. Zmiana ustawy o ponownym wykorzystywaniu informacji sektora publicznego
W ustawie z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. poz. 352 oraz z 2017 r. poz. 60): (zmiany pominięte).
Art. 152. Zmiana ustawy o bezpieczeństwie obrotu prekursorami materiałów wybuchowych
W ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych (Dz. U. z 2018 r. poz. 410): (zmiany pominięte).
Art. 153. Zmiana ustawy o Krajowej Administracji Skarbowej
W ustawie z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2018 r. poz. 508, 650 i 723): (zmiany pominięte).
Art. 154. Zmiana ustawy – Prawo oświatowe
W ustawie z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz. U. z 2018 r. poz. 996): (zmiany pominięte).
Art. 155. Zmiana ustawy o zasadach zarządzania mieniem państwowym
W ustawie z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (Dz. U. poz. 2259, z 2017 r. poz. 624, 1491 i 1529 oraz z 2018 r. poz. 538 i 702): (zmiany pominięte).
Art. 156. Zmiana ustawy o systemie monitorowania drogowego przewozu towarów
W ustawie z dnia 9 marca 2017 r. o systemie monitorowania drogowego przewozu towarów (Dz. U. poz. 708 oraz z 2018 r. poz. 138): (zmiany pominięte).
Art. 157. Zmiana ustawy o podstawowej opiece zdrowotnej
W ustawie z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. poz. 2217): (zmiany pominięte).
Art. 158. Przepisy przejściowe i dostosowujące
1. Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, o którym mowa w ustawie uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych, staje się inspektorem ochrony danych i pełni swoją funkcję do dnia 1 września 2018 r., chyba że przed tym dniem administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony w art. 10 zawiadomienie o wyznaczeniu inspektora ochrony danych ust. 1.
2. Osoba, która stała się inspektorem ochrony danych na podstawie ust. 1, pełni swoją funkcję także po dniu 1 września 2018 r., jeżeli do tego dnia administrator zawiadomi Prezesa Urzędu o jej wyznaczeniu w sposób określony w art. 10 zawiadomienie o wyznaczeniu inspektora ochrony danych ust. 1.
3. Osoba, o której mowa w ust. 1, może zostać odwołana przez administratora bez zawiadomienia Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy administrator nie jest obowiązany do wyznaczenia inspektora ochrony danych.
4. Administrator, który przed dniem wejścia w życie niniejszej ustawy nie powołał administratora bezpieczeństwa informacji, o którym mowa w ustawie uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych, jest obowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 wyznaczenie inspektora ochrony danych rozporządzenia 2016/679 i zawiadomienia Prezesa Urzędu o jego wyznaczeniu, w terminie do dnia 31 lipca 2018 r.
5. Podmiot przetwarzający, obowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 wyznaczenie inspektora ochrony danych rozporządzenia 2016/679, wyznacza inspektora ochrony danych i zawiadamia Prezesa Urzędu o jego wyznaczeniu, w sposób określony w art. 10 zawiadomienie o wyznaczeniu inspektora ochrony danych ust. 1, w terminie do dnia 31 lipca 2018 r.
Art. 159. Przepisy przejściowe i dostosowujące
1. Do kontroli wszczętych na podstawie ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych i niezakończonych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.
2. Upoważnienia oraz legitymacje służbowe wydane przed dniem wejścia w życie niniejszej ustawy zachowują ważność do czasu zakończenia kontroli, o których mowa w ust. 1.
Art. 160. Przepisy przejściowe i dostosowujące
1. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu.
2. Postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. − Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60, 730 i 1133).
3. Czynności dokonane w postępowaniach, o których mowa w ust. 1, pozostają skuteczne.
4. Postępowania prowadzone na podstawie rozdziału 6 ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych umarza się. Decyzji o umorzeniu postępowania nie wydaje się.
Art. 161. Przepisy przejściowe i dostosowujące
Podmiot, do którego przed dniem wejścia w życie niniejszej ustawy zostało skierowane wystąpienie lub wniosek, o którym mowa w art. 19 a utracił moc ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych, jest obowiązany przekazać Prezesowi Urzędu odpowiedź na wystąpienie lub wniosek w terminie 30 dni od dnia wejścia w życie niniejszej ustawy.
Art. 162. Przepisy przejściowe i dostosowujące
1. W przypadku postępowań egzekucyjnych prowadzonych na podstawie tytułu wykonawczego wystawionego przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem wejścia w życie niniejszej ustawy i niezakończonych przed dniem wejścia w życie niniejszej ustawy, wierzycielem staje się Prezes Urzędu.
2. Czynności dokonane przez Generalnego Inspektora Ochrony Danych Osobowych w postępowaniu, o którym mowa w ust. 1, pozostają skuteczne.
Art. 163. Przepisy przejściowe i dostosowujące
W postępowaniach egzekucyjnych wszczętych na podstawie przepisów ustawy zmienianej w art. 110 zmiana ustawy o postępowaniu egzekucyjnym w administracji i niezakończonych przed dniem wejścia w życie niniejszej ustawy, wysłane upomnienia, tytuły wykonawcze, postanowienia zawierające stanowisko Generalnego Inspektora Ochrony Danych Osobowych oraz inne czynności dokonane przez Generalnego Inspektora Ochrony Danych Osobowych, jako wierzyciela, pozostają skuteczne.
Art. 164. Przepisy przejściowe i dostosowujące
Postępowania w sprawie stanowiska Generalnego Inspektora Ochrony Danych Osobowych, jako wierzyciela, wszczęte na podstawie art. 34 rozpoznawanie zarzutu w sprawach prowadzenia egzekucji ustawy zmienianej w art. 110 zmiana ustawy o postępowaniu egzekucyjnym w administracji i niezakończone przed dniem wejścia w życie niniejszej ustawy są prowadzone przez Prezesa Urzędu.
Art. 165. Przepisy przejściowe i dostosowujące
Dotychczasowe przepisy wykonawcze wydane na podstawie art. 22 a uchylony ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 47 rozporządzenie w sprawie wzoru legitymacji służbowej pracownika Urzędu niniejszej ustawy, jednak nie dłużej niż 12 miesięcy od dnia jej wejścia w życie.
Art. 166. Przepisy przejściowe i dostosowujące
1. Z dniem wejścia w życie niniejszej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu.
2. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych, pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.
3. Zastępca Generalnego Inspektora Ochrony Danych Osobowych powołany przed dniem wejścia w życie niniejszej ustawy staje się z dniem wejścia w życie niniejszej ustawy zastępcą Prezesa Urzędu, o którym mowa w art. 36 zastępcy Prezesa Urzędu ust. 1.
Art. 167. Przepisy przejściowe i dostosowujące
1. Z dniem wejścia w życie niniejszej ustawy Biuro Generalnego Inspektora Ochrony Danych Osobowych staje się Urzędem.
2. Z dniem wejścia w życie niniejszej ustawy pracownicy zatrudnieni w Biurze Generalnego Inspektora Ochrony Danych Osobowych stają się pracownikami Urzędu. Przepis art. 231 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (Dz. U. z 2019 r. poz. 1040, 1043 i 1495) stosuje się odpowiednio.
Art. 168. Przepisy przejściowe i dostosowujące
Z dniem wejścia w życie niniejszej ustawy mienie Skarbu Państwa będące we władaniu Biura Generalnego Inspektora Ochrony Danych Osobowych staje się mieniem będącym we władaniu Urzędu.
Art. 169. Przepisy przejściowe i dostosowujące
Należności i zobowiązania Biura Generalnego Inspektora Ochrony Danych Osobowych z dniem wejścia w życie niniejszej ustawy stają się należnościami i zobowiązaniami Urzędu.
Art. 170. Przepisy przejściowe i dostosowujące
W przypadku gdy Generalny Inspektor Ochrony Danych Osobowych do dnia wejścia w życie niniejszej ustawy nie złoży sprawozdania, o którym mowa w art. 20 zasada jednakowego traktowania posiadaczy papierów wartościowych ustawy uchylanej w art. 175 utrata mocy niektórych przepisów ustawy o ochronie danych osobowych, sprawozdanie składa Prezes Urzędu w terminie do dnia 31 lipca 2018 r.
Art. 171. Przepisy przejściowe i dostosowujące
1. W sprawach sądowych, sądowo-administracyjnych lub administracyjnych, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, w których stroną lub uczestnikiem był Generalny Inspektor Ochrony Danych Osobowych, z dniem wejścia w życie niniejszej ustawy stroną lub uczestnikiem staje się Prezes Urzędu.
2. W sprawach sądowych, sądowo-administracyjnych lub administracyjnych, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, w których stroną lub uczestnikiem było Biuro Generalnego Inspektora Ochrony Danych Osobowych, z dniem wejścia w życie niniejszej ustawy stroną lub uczestnikiem staje się Urząd.
Art. 172. Przepisy przejściowe i dostosowujące
Prezes Urzędu wyda pierwszy komunikat, o którym mowa w art. 54 komunikaty Prezesa Urzędu ust. 1 pkt 1, w terminie 3 miesięcy od dnia wejścia w życie niniejszej ustawy.
Art. 173. Przepisy przejściowe i dostosowujące
Tworzy się Radę.
Art. 174. Przepisy przejściowe i dostosowujące
1. Maksymalny limit wydatków z budżetu państwa przeznaczonych na wykonywanie zadań wynikających z niniejszej ustawy wynosi w roku:
1) 2018 – 19 639 000 złotych;
2) 2019 – 13 541 000 złotych;
3) 2020 – 13 860 000 złotych;
4) 2021 – 13 860 000 złotych;
5) 2022 – 13 860 000 złotych;
6) 2023 – 13 860 000 złotych;
7) 2024 – 13 860 000 złotych;
8) 2025 – 13 860 000 złotych;
9) 2026 – 13 860 000 złotych;
10) 2027 – 13 860 000 złotych.
2. Prezes Urzędu monitoruje wykorzystanie limitu wydatków, o których mowa w ust. 1, i dokonuje oceny wykorzystania tego limitu według stanu na koniec każdego kwartału.
3. W przypadku przekroczenia lub zagrożenia przekroczeniem przyjętego na dany rok budżetowy maksymalnego limitu wydatków określonego w ust. 1 oraz w przypadku, gdy w okresie od początku roku kalendarzowego do dnia dokonania ostatniej oceny, o której mowa w ust. 2, część limitu rocznego przypadającego proporcjonalnie na ten okres zostanie przekroczona co najmniej o 10%, stosuje się mechanizm korygujący polegający na zmniejszeniu wydatków budżetu państwa będących skutkiem finansowym niniejszej ustawy.
4. Organem właściwym do wdrożenia mechanizmu korygującego, o którym mowa w ust. 3, jest Prezes Urzędu.
Art. 175. Utrata mocy niektórych przepisów ustawy o ochronie danych osobowych
Traci moc ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) z wyjątkiem art. 1 zakres regulacji ustawy, art. 2 wyłączenie stosowania przepisów rozporządzenia, art. 3 wyłączenie obowiązku przekazywania informacji przez administratora wykonującego zadanie publiczne ust. 1, art. 4 wyłączenie obowiązku przekazywania informacji przez administratora pozyskującego dane osobowe w sposób inny niż od osoby, której dotyczą–7, art 14–22, art 23–28, art. 31 certyfikat akredytacyjny oraz rozdziałów 4, 5 i 7, które zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).
Art. 176. Wejście ustawy w życie
Ustawa wchodzi w życie z dniem 25 maja 2018 r.