Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r

Odnośnik do treści całego dokumentu

 

[…]

Art. 2.
1. Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych
oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane
w zbiorach danych.
2. Ustawę stosuje się do przetwarzania danych osobowych:
1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych,
2) w systemach informatycznych, także w przypadku przetwarzania danych
poza zbiorem danych.
3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie
ze względów technicznych, szkoleniowych lub w związku z dydaktyką w
szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych
anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
Opracowano na podstawie:
tj. Dz.U. z
2002 r. Nr 101, poz.
926, Nr 153, poz.
1271, z 2004 r. Nr 25,
poz. 219, Nr 33, poz.
285, z 2006 r. Nr 104,
poz. 708 i 711.
©Kancelaria Sejmu s. 2/21
2007-03-20
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.

[….]

Rozdział 3
Zasady przetwarzania danych osobowych
Art. 23.
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest
jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem
umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla
dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych
przez administratorów danych albo odbiorców danych, a przetwarzanie
nie narusza praw i wolności osoby, której dane dotyczą.
2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie
danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów
osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest
niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie
zgody będzie możliwe.
4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w
szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

[…]

Art. 36.
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych osobowych odpowiednią
do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien
zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy
oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

[…]

Art. 39a.
Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem
właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia
i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe
warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie
ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń
oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania
udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.