Ustawa z dnia 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)1)
o przepisie
art./§
aktu prawnego
pełną treść
widoczną część
powiązane
powiązane
Art. 1. W ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60) wprowadza się następujące zmiany:
1) po art. 2 dodaje się art. 2a w brzmieniu:
"Art. 2a. § 1. Kodeks postępowania administracyjnego normuje również sposób wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w postępowaniach wymienionych w art. 1 i art. 2.
§ 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie wpływa na tok i wynik postępowania.
§ 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik postępowania.";
2) w art. 54 po § 1 dodaje się § 1a w brzmieniu:
"§ 1a. W wezwaniu zawiera się również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
3) w art. 61 dodaje się § 5 w brzmieniu:
"§ 5. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
4) w art. 61a w § 1 dodaje się zdanie drugie w brzmieniu:
"Przepis art. 61 § 5 stosuje się odpowiednio.";
5) w art. 65 po § 1 dodaje się § 1a w brzmieniu:
"§ 1a. Zawiadomienie o przekazaniu sprawy zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
6) w art. 66 w § 1 dodaje się zdanie trzecie w brzmieniu:
"Do zawiadomienia stosuje się odpowiednio przepis art. 65 § 1a.";
7) w art. 73 po § 1a dodaje się § 1b w brzmieniu:
"§ 1b. Wgląd w akta sprawy w przypadku, o którym mowa w art. 236 § 2, następuje z pominięciem danych osobowych osoby składającej skargę.";
8) po art. 74 dodaje się art. 74a w brzmieniu:
"Art. 74a. Przepis art. 73 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.";
9) po art. 122g dodaje się art. 122h w brzmieniu:
"Art. 122h. § 1. W sprawach załatwianych milcząco organ administracji publicznej udostępnia informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.
§ 2. Przekazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w sposób określony w § 1, nie zwalnia organu administracji publicznej z obowiązku ich przekazania przy pierwszej czynności skierowanej do strony.";
10) po art. 217 dodaje się art. 217a w brzmieniu:
"Art. 217a. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
11) po art. 226 dodaje się art. 226a w brzmieniu:
"Art. 226a. Organy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób.";
12) w art. 231 dotychczasową treść oznacza się jako § 1 i dodaje się § 2 w brzmieniu:
"§ 2. Informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący skargę, dołącza się do zawiadomienia o przekazaniu skargi.";
13) w art. 236 dotychczasową treść oznacza się jako § 1 i dodaje się § 2 i 3 w brzmieniu:
"§ 2. W przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi, o której mowa w art. 233 zdanie drugie, art. 234 pkt 2 lub art. 235, w stosunku do strony i uczestnika postępowania przepisu art. 15 ust. 1 lit. g rozporządzenia 2016/679 nie stosuje się.
§ 3. Na każdym etapie postępowania, o którym mowa w § 2, skarżący może zezwolić organowi na udostępnienie swoich danych stronie postępowania.".
Art. 2. W ustawie z dnia 1 grudnia 1961 r. o izbach morskich (Dz. U. z 2016 r. poz. 1207) w dziale I dodaje się rozdział III w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 3. W ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2018 r. poz. 1314, z późn. zm.) po art. 5 dodaje się art. 5a w brzmieniu:
"Art. 5a. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów;
6) zapewnieniu integralności danych w systemach informatycznych organów;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".
Art. 4. W ustawie z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.) wprowadza się następujące zmiany:
1) art. 221 otrzymuje brzmienie:
"Art. 221. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.
§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:
1) adres zamieszkania;
2) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;
3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.
§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
§ 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.";
2) po art. 221 dodaje się art. 221a i art. 221b w brzmieniu:
"Art. 221a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".
§ 2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
§ 3. Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.
Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 221a § 2 stosuje się odpowiednio.
§ 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.
§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.";
3) w art. 222:
a) po § 1 dodaje się § 11 w brzmieniu:
"§ 11. Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej.",
b) § 2 otrzymuje brzmienie:
"§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa - uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.",
c) § 10 otrzymuje brzmienie:
"§ 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia 2016/679.";
4) w art. 229:
a) w § 11 pkt 2 otrzymuje brzmienie:
"2) przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych.",
b) po § 12 dodaje się § 13 w brzmieniu:
"§ 13. Pracodawca żąda od osoby, o której mowa w § 11 pkt 2 oraz w § 12, aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na danym stanowisku oraz skierowania na badania będące podstawą wydania tego orzeczenia.",
c) § 7 otrzymuje brzmienie:
"§ 7. Pracodawca przechowuje orzeczenia wydane na podstawie badań lekarskich, o których mowa w § 1, 2 i 5, orzeczenia i skierowania uzyskane na podstawie § 13 oraz skierowania, o których mowa w § 4a.",
d) po § 7 dodaje się § 71 w brzmieniu:
"§ 71. W przypadku stwierdzenia, że warunki określone w skierowaniu, o którym mowa w § 13, nie odpowiadają warunkom występującym na danym stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania.".
Art. 5. W ustawie z dnia 26 stycznia 1982 r. - Karta Nauczyciela (Dz. U. z 2018 r. poz. 967 i 2245) w art. 85w ust. 4 otrzymuje brzmienie:
"4. Administratorem danych zgromadzonych w rejestrze jest minister właściwy do spraw oświaty i wychowania.".
Art. 6. W ustawie z dnia 26 maja 1982 r. - Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184, 1467, 1669 i 2193) po dziale I dodaje się dział Ia w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 7. W ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2018 r. poz. 2115 i 2193) po rozdziale 1 dodaje się rozdział 1a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 8. W ustawie z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece (Dz. U. z 2018 r. poz. 1916 i 2354) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 9. W ustawie z dnia 16 września 1982 r. - Prawo spółdzielcze (Dz. U. z 2018 r. poz. 1285) po art. 93a dodaje się art. 93b i art. 93c w brzmieniu:
"Art. 93b. 1. W związku z przetwarzaniem przez ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa danych osobowych uzyskanych w toku prowadzenia postępowań na podstawie art. 93a prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przysługuje w zakresie, w jakim nie wpływa ono na ochronę praw i wolności osoby, od której dane pozyskano.
2. Minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa informuje o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
3. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa przechowuje dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
Art. 93c. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na przebieg i wynik postępowań, o których mowa w art. 93a.".
Art. 10. W ustawie z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (Dz. U. z 2018 r. poz. 2137 i 2244) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 11. W ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 12. W ustawie z dnia 21 marca 1985 r. o drogach publicznych (Dz. U. z 2018 r. poz. 2068 oraz z 2019 r. poz. 698) wprowadza się następujące zmiany:
1) w art. 4 w pkt 44 kropkę zastępuje się średnikiem i dodaje się pkt 45 w brzmieniu:
"45) rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).";
2) w art. 13b dodaje się ust. 8-11 w brzmieniu:
"8. Zarząd drogi albo zarządca drogi wykonuje obowiązek, o którym mowa w:
1) art. 13 ust. 1 lit. a-c rozporządzenia 2016/679 - pobierając opłatę, o której mowa w art. 13 ust. 1 pkt 1, w szczególności zamieszczając stosowne informacje w miejscu, w którym opłata ta jest wnoszona;
2) art. 13 ust. 1 lit. d-f i ust. 2 rozporządzenia 2016/679 - udostępniając informacje w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o czym informuje w sposób określony w pkt 1 osoby, których dane osobowe są przetwarzane.
9. Zarząd drogi albo zarządca drogi informuje o ograniczeniach, o których mowa w ust. 8, udostępniając stosowne informacje w miejscu, w którym opłata jest wnoszona, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej oraz w miejscu widocznym w siedzibie.
10. Dane osobowe przetwarzane w związku z poborem opłat, o których mowa w art. 13 ust. 1 pkt 1, przechowuje się przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).
11. Dane osobowe, o których mowa w ust. 10, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.";
3) po art. 13b dodaje się art. 13ba w brzmieniu:
"Art. 13ba. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty, o której mowa w art. 13 ust. 1 pkt 1.";
4) w art. 13f dodaje się ust. 4 i 5 w brzmieniu:
"4. W związku z poborem opłaty dodatkowej zarząd drogi albo zarządca drogi wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.
5. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty dodatkowej.";
5) po art. 13hb dodaje się art. 13hba w brzmieniu:
"Art. 13hba. 1. W związku z poborem opłaty elektronicznej podmiot pobierający tę opłatę wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie, oraz za pośrednictwem strony internetowej zawierającej informacje dotyczące poboru opłaty elektronicznej.
2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty elektronicznej.";
6) w art. 16i w ust. 1:
a) pkt 2 otrzymuje brzmienie:
"2) niezwłocznie informować podmiot pobierający opłaty, z którym zawarł umowę, o której mowa w art. 16e ust. 1 pkt 1 albo art. 16h pkt 1, o danych, w tym danych osobowych użytkownika EETS, koniecznych do realizacji tej umowy, w tym dostarczonych użytkownikom EETS urządzeniach, o których mowa w art. 16l ust. 1, oraz przypisaniu tych urządzeń do pojazdu samochodowego i użytkownika EETS;",
b) pkt 4 otrzymuje brzmienie:
"4) współpracować z podmiotem uprawnionym do kontroli prawidłowości uiszczenia opłaty elektronicznej, o którym mowa w art. 13l ust. 1, w tym przekazywać temu podmiotowi dane osobowe użytkowników EETS naruszających obowiązki, o których mowa w art. 13 ust. 1 pkt 3, art. 13i ust. 4a lub 4b, na zasadach określonych w umowie, o której mowa w art. 16e ust. 1 pkt 1 albo art. 16h pkt 1;";
7) po art. 20g dodaje się art. 20h w brzmieniu:
"Art. 20h. 1. Jeżeli przepisy odrębne nie stanowią inaczej, właściwy podmiot lub osoba przez niego upoważniona, na podstawie pisemnego wniosku, udostępnia nieodpłatnie dane osobowe przetwarzane w związku z poborem opłaty elektronicznej oraz wykonywaniem zadania, o którym mowa w art. 20 pkt 12:
1) Policji,
2) Inspekcji Transportu Drogowego,
3) Żandarmerii Wojskowej,
4) Straży Granicznej,
5) Biuru Nadzoru Wewnętrznego,
6) Agencji Bezpieczeństwa Wewnętrznego,
7) Agencji Wywiadu,
8) Centralnemu Biuru Antykorupcyjnemu,
9) Służbie Kontrwywiadu Wojskowego,
10) Służbie Wywiadu Wojskowego,
11) prokuratorowi,
12) sądom,
13) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,
14) Służbie Ochrony Państwa
- w zakresie niezbędnym do realizacji ich ustawowych zadań.
2. Wniosek, o którym mowa w ust. 1, wskazuje:
1) oznaczenie sprawy;
2) okoliczności, z których wynika konieczność pozyskania żądanych danych;
3) dane podlegające udostępnieniu.
3. Właściwy organ może wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych osobowych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1-5 i 7-14, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.
4. Udostępnianie danych osobowych, o których mowa w ust. 1, w sposób określony w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1-5 i 7-14, wniosku zawierającego:
1) określenie zakresu danych podlegających udostępnieniu;
2) określenie osób uprawnionych do przetwarzania danych, o których mowa w pkt 1;
3) oświadczenie, że podmioty te posiadają:
a) urządzenia umożliwiające odnotowanie w systemie kto, kiedy, w jakim celu i jakie dane uzyskał, oraz
b) zabezpieczenie techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania.
5. Właściwy organ udostępnia Agencji Bezpieczeństwa Wewnętrznego dane osobowe, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego, będąca odbiorcą danych, złoży oświadczenie, o którym mowa w ust. 4 pkt 3.
6. Właściwy organ nie udostępnia na podstawie ust. 1 i 3 danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.";
8) w art. 24n po ust. 7 dodaje się ust. 7a w brzmieniu:
"7a. Rozpatrując wniosek, o którym mowa w ust. 6 i 7, minister właściwy do spraw transportu wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby składającej wniosek, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.".
Art. 13. W ustawie z dnia 18 kwietnia 1985 r. o rybactwie śródlądowym (Dz. U. z 2018 r. poz. 1476 oraz z 2019 r. poz. 125) w art. 6d po ust. 25 dodaje się ust. 25a w brzmieniu:
(zmiany pominięto przez redakcję)
Art. 14. W ustawie z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (Dz. U. z 2018 r. poz. 2179) art. 17c otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 15. W ustawie z dnia 17 maja 1989 r. - Prawo geodezyjne i kartograficzne (Dz. U. z 2019 r. poz. 725) po art. 5 dodaje się art. 5a i art. 5b w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 16. W ustawie z dnia 14 lutego 1991 r. - Prawo o notariacie (Dz. U. z 2019 r. poz. 540) w dziale I dodaje się rozdział 8 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 17. W ustawie z dnia 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej (Dz. U. z 2018 r. poz. 2214 oraz z 2019 r. poz. 125) po art. 49 dodaje się art. 49a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 18. W ustawie z dnia 23 maja 1991 r. o rozwiązywaniu sporów zbiorowych (Dz. U. z 2019 r. poz. 174) w art. 11 po ust. 1 dodaje się ust. 11 i 12 w brzmieniu:
"11. Wpis na listę, o której mowa w ust. 1, obejmuje co najmniej:
1) imię (imiona) i nazwisko;
2) dane kontaktowe wskazane przez osobę ubiegającą się o wpis na listę.
12. Przetwarzanie danych osobowych innych niż wymienione w ust. 11 jest dopuszczalne za zgodą osoby ubiegającej się o uzyskanie wpisu na listę, o której mowa w ust. 1.".
Art. 19. W ustawie z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska (Dz. U. z 2018 r. poz. 1471 i 1479 oraz z 2019 r. poz. 125) w art. 2 dodaje się ust. 4-8 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 20. W ustawie z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (Dz. U. z 2018 r. poz. 620 i 1669) wprowadza się następujące zmiany:
1) art. 14g i art. 14h otrzymują brzmienie:
"Art. 14g. 1. Komendant Główny Państwowej Straży Pożarnej zapewnia funkcjonowanie Systemu Wspomagania Decyzji Państwowej Straży Pożarnej, zwanego dalej "SWD PSP", stanowiącego system teleinformatyczny wspierający:
1) wykonywanie zadań krajowego systemu ratowniczo-gaśniczego przez jednostki organizacyjne Państwowej Straży Pożarnej;
2) przyjmowanie zgłoszeń alarmowych z centrów powiadamiania ratunkowego, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (Dz. U. z 2018 r. poz. 867 i 1115 oraz z 2019 r. poz. 730).
2. Utrzymanie, rozbudowa i modyfikacje SWD PSP są finansowane z budżetu państwa z części, której dysponentem jest minister właściwy do spraw wewnętrznych, oraz z części, których dysponentami są właściwi wojewodowie.
3. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia:
1) minimalny zbiór funkcjonalności SWD PSP, w tym sposób funkcjonowania tego systemu w sytuacjach awaryjnych,
2) sposób przydzielania, zawieszania oraz uchylania dostępu do tego systemu użytkownikom Państwowej Straży Pożarnej oraz jednostkom ochrony przeciwpożarowej
- uwzględniając potrzebę zapewnienia optymalnego poziomu współpracy między tym systemem a systemem teleinformatycznym systemu powiadamiania ratunkowego.
Art. 14h. 1. Państwowa Straż Pożarna przetwarza dane osobowe w SWD PSP w celu ochrony życia, zdrowia, mienia lub środowiska przed pożarem, klęską żywiołową lub innym miejscowym zagrożeniem, w zakresie niezbędnym do realizacji zadań wynikających z ustawy, uzyskane w związku z prowadzeniem działań ratowniczych oraz obsługą zgłoszeń alarmowych, o których mowa w art. 2 pkt 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, w tym dane osobowe osoby zgłaszającej oraz osób, których zgłoszenie dotyczy.
2. Jednostka organizacyjna Państwowej Straży Pożarnej, w związku z przetwarzaniem danych osobowych w SWD PSP, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej oraz w widocznym miejscu w siedzibie.
3. Osoba występująca z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.
4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
5. Dane osobowe, o których mowa w ust. 1, są przechowywane wyłącznie przez okres niezbędny do realizacji zadań wynikających z ustawy. Dane te podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.
6. Kierownicy jednostek organizacyjnych Państwowej Straży Pożarnej udostępniają informację o ograniczeniach, o których mowa w ust. 2 i 3, w Biuletynie Informacji Publicznej na swoich stronach podmiotowych lub na swoich stronach internetowych oraz w widocznym miejscu w siedzibach jednostek.";
2) po art. 14h dodaje się art. 14ha w brzmieniu:
"Art. 14ha. 1. Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej są współadministratorami danych osobowych przetwarzanych w SWD PSP.
2. Komendant Główny Państwowej Straży Pożarnej ustala podział obowiązków współadministratorów, o których mowa w ust. 1, wynikających z przepisów rozporządzenia 2016/679.
3. Komendant Główny Państwowej Straży Pożarnej planuje i realizuje rozbudowę oraz modyfikację SWD PSP oraz podejmuje działania mające na celu:
1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PSP;
2) zapewnienie integralności danych w SWD PSP;
3) zapewnienie dostępności do SWD PSP dla podmiotów przetwarzających dane w tym systemie;
4) przeciwdziałanie uszkodzeniom SWD PSP;
5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;
7) zapewnienie rozliczalności działań dokonywanych na danych SWD PSP;
8) zapewnienie poprawności danych, w tym danych osobowych przetwarzanych w SWD PSP;
9) wykonywanie kopii bezpieczeństwa.
4. Komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej, w zakresie właściwości swojego działania, zapewniają utrzymanie SWD PSP oraz podejmują działania, o których mowa w ust. 3.
5. Współadministratorzy tworzą i aktualizują ewidencję osób upoważnionych do przetwarzania danych osobowych w SWD PSP, upoważniają do przetwarzania tych danych oraz prowadzą rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 rozporządzenia 2016/679.
6. Przepisy art. 14h oraz art. 14ha stosuje się odpowiednio do przetwarzania danych osobowych w SWD PSP przez jednostki ochrony przeciwpożarowej, o których mowa w art. 15 pkt 1a-8.".
Art. 21. W ustawie z dnia 24 sierpnia 1991 r. o Państwowej Straży Pożarnej (Dz. U. z 2018 r. poz. 1313, 1592 i 1669) po art. 28a dodaje się art. 28b w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 22. W ustawie z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2018 r. poz. 1457, 1560, 1669 i 2245) wprowadza się następujące zmiany:
1) po art. 13a dodaje się art. 13b w brzmieniu:
"Art. 13b. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.
3. Przepisu ust. 2 nie stosuje się:
1) w przypadku zagrożenia zdrowia ucznia;
2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
3) w przypadku gdy przewidują to przepisy szczególne.";
2) w art. 92k w ust. 2 w pkt 2 uchyla się lit. g.
Art. 23. W ustawie z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (Dz. U. z 2018 r. poz. 1983 oraz z 2019 r. poz. 115) wprowadza się następujące zmiany:
1) w art. 6a po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. Okres przechowywania danych osób, o których mowa w ust. 1, wynosi 80 lat.";
2) w art. 7 po ust. 4 dodaje się ust. 4a w brzmieniu:
"4a. Okres przechowywania danych osób, o których mowa w ust. 1, wynosi 80 lat.";
3) w art. 7a po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. W związku z przyznawaniem dorocznych nagród organy, o których mowa w ust. 1, przetwarzają dane osób, o których mowa w ust. 2, przez okres niezbędny do realizacji zadań, o których mowa w ust. 1. Organy, o których mowa w ust. 1, dokonują przeglądu tych danych co 5 lat.";
4) w art. 7b po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. W związku z przyznawaniem stypendiów organy, o których mowa w ust. 1, przetwarzają dane osób, o których mowa w ust. 2, przez okres niezbędny do realizacji zadań, o których mowa w ust. 1. Organy, o których mowa w ust. 1, dokonują przeglądu tych danych co 5 lat.";
5) w art. 14 po ust. 1 dodaje się ust. 1a w brzmieniu:
"1a. W rejestrze, o którym mowa w ust. 1, gromadzone są następujące dane:
1) oznaczenia instytucji kultury, w szczególności podmiotu, z którym organizator wspólnie prowadzi instytucję kultury, oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu;
2) organizacji instytucji kultury, w szczególności:
a) imię i nazwisko dyrektora instytucji kultury i jego zastępców albo oznaczenie osoby fizycznej, której powierzono pełnienie obowiązków dyrektora, albo której powierzono zarządzanie instytucją kultury,
b) imiona i nazwiska pełnomocników instytucji kultury uprawnionych do dokonywania czynności prawnych w imieniu instytucji oraz zakres ich upoważnień,
c) imię i nazwisko pełnomocnika organizatora dokonującego wpisu;
3) dotyczące mienia instytucji kultury, w szczególności imię i nazwisko pełnomocnika organizatora dokonującego wpisu;
4) połączenia, podziału i likwidacji instytucji kultury, w szczególności imię i nazwisko likwidatora oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu.".
Art. 24. W ustawie z dnia 16 października 1992 r. o orderach i odznaczeniach (Dz. U. z 2019 r. poz. 25) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 25. W ustawie z dnia 10 grudnia 1993 r. o zaopatrzeniu emerytalnym żołnierzy zawodowych oraz ich rodzin (Dz. U. z 2019 r. poz. 289) art. 35 otrzymuje brzmienie:
(zmiany pominięto przez redakcję)
Art. 26. W ustawie z dnia 18 lutego 1994 r. o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin (Dz. U. z 2019 r. poz. 288) art. 36 otrzymuje brzmienie:
"Art. 36. 1. Organy administracji publicznej, pracodawcy, organy emerytalne i rentowe oraz szkoły i uczelnie wyższe są obowiązane udzielać organom emerytalnym pomocy i informacji, w tym udostępniać dane osobowe, w sprawach świadczeń przewidzianych w ustawie oraz wydawać bezpłatnie, na ich żądanie, wszelkie dokumenty, w tym zaświadczenia, niezbędne do ustalenia prawa do świadczeń lub ich wysokości albo potwierdzenia istnienia prawa do świadczeń.
2. Organy emerytalne są uprawnione do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości albo do potwierdzenia istnienia prawa do świadczeń od organów emerytalnych lub rentowych oraz z rejestrów publicznych, w szczególności z:
1) rejestru PESEL,
2) systemu informacji oświatowej,
3) Centralnego Wykazu Ubezpieczonych,
4) ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów
- w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.
3. W przypadku awarii systemów teleinformatycznych służących do pozyskiwania informacji drogą elektroniczną zgodnie z ust. 2, organy emerytalne uzyskują te informacje w drodze pisemnej wymiany informacji.".
Art. 27. W ustawie z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2018 r. poz. 1316, 1608, 1669 i 2435) w art. 8:
1) po ust. 1 dodaje się ust. 1a-1d w brzmieniu:
"1a. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.
1b. Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.
1c. Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.
1d. Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w ust. 1a i 1c.";
2) ust. 2 otrzymuje brzmienie:
"2. Zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu, z uwzględnieniem ust. 1-1b, oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie ustalanym zgodnie z art. 27 ust. 1 albo art. 30 ust. 6 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (Dz. U. z 2019 r. poz. 263). Pracodawca, u którego nie działa zakładowa organizacja związkowa, uzgadnia regulamin z pracownikiem wybranym przez załogę do reprezentowania jej interesów.".
Art. 28. W ustawie z dnia 7 lipca 1994 r. - Prawo budowlane (Dz. U. z 2018 r. poz. 1202, z późn. zm.) po art. 84a dodaje się art. 84aa i art. 84ab w brzmieniu:
"Art. 84aa. 1. W związku z przetwarzaniem przez organy administracji architektoniczno-budowlanej i organy nadzoru budowlanego danych osobowych w toku realizacji zadań określonych w ustawie prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osoby, od której dane pozyskano.
2. Organy administracji architektoniczno-budowlanej informują o ograniczeniu, o którym mowa w ust. 1, odpowiednio przy pierwszej czynności skierowanej do osoby, której dane dotyczą, lub w trybie określonym w art. 49 Kodeksu postępowania administracyjnego.
3. Organy nadzoru budowlanego informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
4. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730) albo przepisów odrębnych, organy administracji architektoniczno-budowlanej i organy nadzoru budowlanego przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
5. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
Art. 84ab. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na:
1) prowadzenie rejestrów i ewidencji, o których mowa w art. 82b ust. 1 i 1a, art. 84 ust. 2 pkt 2-4 i art. 88a ust. 1 pkt 3;
2) przebieg i wynik postępowań, o których mowa w art. 97 ust. 1;
3) czynności związane z kontrolą przestrzegania i stosowania przepisów prawa budowlanego.".
Art. 29. W ustawie z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. z 2018 r. poz. 1878) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 30. W ustawie z dnia 27 października 1994 r. o autostradach płatnych oraz o Krajowym Funduszu Drogowym (Dz. U. z 2018 r. poz. 2014 i 2244) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 31. W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2019 r. poz. 649) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 32. W ustawie z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (Dz. U. z 2019 r. poz. 63) po art. 15a dodaje się art. 15aa w brzmieniu:
"Art. 15aa. 1. W związku z przetwarzaniem danych osobowych w celu nadania NIP wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), następuje przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2, tego rozporządzenia w miejscu publicznie dostępnym w siedzibie organu lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ oraz na jego stronie internetowej. W takim przypadku, pozyskując dane osobowe, organ przekazuje osobie, której dane dotyczą, informacje o sposobie wykonania tego obowiązku.
2. Organy, o których mowa w art. 14a, mogą upoważniać do przetwarzania danych osobowych osoby zatrudnione lub pełniące służbę w jednostkach organizacyjnych Krajowej Administracji Skarbowej, w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organy te prowadzą rejestr osób upoważnionych do przetwarzania danych osobowych.
3. Dane osobowe przetwarzane przez organy, o których mowa w art. 14a, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności przez pozyskiwanie i przekazywanie danych osobowych podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do CRP KEP;
6) zapewnieniu integralności danych w CRP KEP;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".
Art. 33. W ustawie z dnia 13 października 1995 r. - Prawo łowieckie (Dz. U. z 2018 r. poz. 2033 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 34. W ustawie z dnia 31 maja 1996 r. o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i Związek Socjalistycznych Republik Radzieckich (Dz. U. z 2014 r. poz. 1001 oraz z 2018 r. poz. 1552) w art. 4:
(zmiany pominięto przez redakcję)
Art. 35. W ustawie z dnia 5 lipca 1996 r. o doradztwie podatkowym (Dz. U. z 2019 r. poz. 283) wprowadza się następujące zmiany:
1) po art. 25 dodaje się art. 25a w brzmieniu:
"Art. 25a. 1. Minister właściwy do spraw finansów publicznych jest administratorem danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego.
2. Do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie.
3. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.";
2) w art. 37 dodaje się ust. 5-7 w brzmieniu:
"5. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez doradcę podatkowego lub osoby, o których mowa w ust. 3, tajemnicy zawodowej, o której mowa w ust. 1 i 3.
6. W przypadku danych osobowych pozyskanych przez doradcę podatkowego albo osoby, o których mowa w ust. 3, w związku z wykonywaniem doradztwa podatkowego nie stosuje się przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
7. Obowiązek zachowania tajemnicy zawodowej, o której mowa w ust. 1 i 3, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez doradcę podatkowego albo osoby, o których mowa w ust. 3, w związku z wykonywaniem doradztwa podatkowego występuje Prezes Urzędu Ochrony Danych Osobowych.";
3) po art. 63 dodaje się art. 63a w brzmieniu:
"Art. 63a. 1. Krajowa Izba Doradców Podatkowych jest administratorem danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów.
2. Do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie.
3. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.".
Art. 36. W ustawie z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392, z 2015 r. poz. 1064, z 2018 r. poz. 1669 oraz z 2019 r. poz. 271) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 37. W ustawie z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (Dz. U. z 2018 r. poz. 1454 i 1629) w art. 6n w ust. 1 pkt 1 otrzymuje brzmienie:
"1) wzór deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi składanej przez właścicieli nieruchomości, z uwzględnieniem art. 6m ust. 1a i 1b, obejmujący objaśnienia dotyczące sposobu jej wypełnienia, informacje wskazane w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) oraz pouczenie, że deklaracja stanowi podstawę do wystawienia tytułu wykonawczego; uchwała zawiera także informację o terminach i miejscu składania deklaracji;".
Art. 38. W ustawie z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2019 r. poz. 537 i 577) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 39. W ustawie z dnia 10 kwietnia 1997 r. - Prawo energetyczne (Dz. U. z 2018 r. poz. 755, z późn. zm.) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 40. W ustawie z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. z 2018 r. poz. 1600 i 2077) w art. 115 § 12 otrzymuje brzmienie:
"§ 12. Groźbą bezprawną jest zarówno groźba, o której mowa w art. 190, jak i groźba spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jak również rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.".
Art. 41. W ustawie z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (Dz. U. z 2018 r. poz. 1990, 2244 i 2322 oraz z 2019 r. poz. 53 i 60) wprowadza się następujące zmiany:
1) w art. 80b uchyla się ust. 4;
2) w art. 100ab uchyla się ust. 2;
3) w art. 100g uchyla się ust. 7;
4) w art. 129h ust. 4 otrzymuje brzmienie:
"4. Do przetwarzania danych osobowych przez Głównego Inspektora Transportu Drogowego, w zakresie, o którym mowa w ust. 3, stosuje się przepis art. 26 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).";
5) po dziale Vb dodaje się dział Vc w brzmieniu:
"Dział Vc
Przetwarzanie danych osobowych
Art. 140o. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), nie wpływa na przebieg i wynik kontroli, o których mowa w art. 129 ust. 1, 4 i 4a, art. 129a ust. 1, art. 129b ust. 1, art. 129c ust. 1 oraz art. 129d ust. 1, ani na uprawnienie właściwego organu do nałożenia kary.".
Art. 42. W ustawie z dnia 22 sierpnia 1997 r. o publicznej służbie krwi (Dz. U. z 2017 r. poz. 1371 oraz z 2018 r. poz. 1375) w art. 17 ust. 3 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 43. W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2018 r. poz. 511, 1000, 1076, 1925, 2192 i 2354) wprowadza się następujące zmiany:
1) po art. 2a dodaje się art. 2b w brzmieniu:
"Art. 2b. 1. Pracodawca przetwarza dane osobowe, w tym dane o stanie zdrowia osób:
1) pozostających z nim w stosunku pracy oraz niepracujących byłych pracowników,
2) niepełnosprawnych wykonujących pracę nakładczą,
3) uczestniczących w procesie rekrutacji, odbywających szkolenie, staż, przygotowanie zawodowe albo praktyki zawodowe lub absolwenckie,
4) należących do grup wymienionych w art. 5 załącznika nr 1 do rozporządzenia Komisji (WE) nr 800/2008 z dnia 6 sierpnia 2008 r. uznającego niektóre rodzaje pomocy za zgodne ze wspólnym rynkiem w zastosowaniu art. 87 i 88 Traktatu (ogólne rozporządzenie w sprawie wyłączeń blokowych) (Dz. Urz. WE L 214 z 09.08.2008, str. 3, z późn. zm.) oraz do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.),
5) będących członkami rodzin pracowników i niepracujących byłych pracowników,
6) o których mowa w art. 21 ust. 2c, i osób korzystających z usług jednostek organizacyjnych, o których mowa w art. 21 ust. 2e pkt 3
- dla celów określonych w ustawie.
2. Przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia jest dobrowolne.
3. W celu realizacji zadań, o których mowa w art. 25a, art. 25c, art. 25d i art. 26a-26c, działania mogą być podejmowane w oparciu o zautomatyzowane przetwarzanie danych.
4. Przetwarzanie, o którym mowa w ust. 3, może obejmować dane osobowe o stanie zdrowia.
5. W przypadku, o którym mowa w ust. 3 i 4, administrator danych zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym w szczególności zapewnia tej osobie prawo do uzyskania interwencji ludzkiej, prawo do wyrażenia własnego stanowiska oraz zakwestionowania decyzji podjętej w sposób zautomatyzowany.
6. Zabezpieczenia przetwarzania danych osobowych przez podmioty i osoby realizujące zadania wynikające z ustawy polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
7. Pracodawcy, o których mowa w ust. 1, podmioty i osoby realizujące zadania wynikające z ustawy przechowują dane osobowe wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat.
8. Okres przechowywania danych przetwarzanych przez podmioty, o których mowa w art. 6 ust. 1, wynosi 50 lat.";
2) w art. 6 dodaje się ust. 5 i 6 w brzmieniu:
"5. Zespoły orzekające o niepełnosprawności przetwarzają dane osobowe, w tym dane o stanie zdrowia, wyłącznie dla celów realizacji zadań oraz w zakresie niezbędnym do ich wykonania.
6. Zabezpieczenia przetwarzania danych osobowych przez zespoły orzekające o niepełnosprawności polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich poufności.";
3) w art. 6c w ust. 6 zdanie pierwsze otrzymuje brzmienie:
"Wojewoda pełni bezpośredni nadzór nad powiatowymi zespołami przy pomocy wojewódzkich zespołów.";
4) w art. 6ca:
a) w ust. 1 zdanie pierwsze otrzymuje brzmienie:
"Powiatowy zespół, na wniosek osoby niepełnosprawnej lub jej przedstawiciela ustawowego, wystawia legitymację dokumentującą niepełnosprawność albo legitymację dokumentującą stopień niepełnosprawności.",
b) po ust. 1 dodaje się ust. 1a w brzmieniu:
"1a. Wniosek o wystawienie legitymacji lub jej duplikatu zawiera dane osobowe osoby ubiegającej się o wydanie legitymacji lub jej duplikatu lub dane przedstawiciela ustawowego tej osoby obejmujące:
1) imię i nazwisko;
2) datę i miejsce urodzenia;
3) płeć;
4) numer PESEL;
5) adres miejsca zamieszkania, jeżeli jest inny niż adres miejsca zameldowania;
6) dane kontaktowe;
7) dane o dokumencie tożsamości.",
c) dodaje się ust. 5 w brzmieniu:
"5. Minister właściwy do spraw zabezpieczenia społecznego może określić wzór wniosku o wydanie legitymacji dokumentującej niepełnosprawność albo stopień niepełnosprawności lub ich duplikatu i udostępnić te wzory w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.";
5) w art. 6d w ust. 4 pkt 4 otrzymuje brzmienie:
"4) dane dotyczące imienia i nazwiska, numeru PESEL, płci i obywatelstwa osób, o których mowa w ust. 3 pkt 4, formy ich zatrudnienia i wymiaru czasu pracy;".
Art. 44. W ustawie z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2018 r. poz. 800, z późn. zm.) wprowadza się następujące zmiany:
1) po art. 1 dodaje się art. 1a w brzmieniu:
"Art. 1a. § 1. Ustawa normuje również sposób wykonywania przez organy podatkowe obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".
§ 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów podatkowych przewidzianych w ustawie i nie wpływa na tok i wynik procedur podatkowych.
§ 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik procedur podatkowych.";
2) w art. 119zn:
a) § 2 otrzymuje brzmienie:
"§ 2. Wskaźnik ryzyka ustala izba rozliczeniowa w STIR nie rzadziej niż raz dziennie, opierając się na zautomatyzowanym przetwarzaniu, jeżeli zachowane są cele i warunki określone w niniejszym dziale.",
b) dodaje się § 5 w brzmieniu:
"§ 5. Przetwarzanie, o którym mowa w § 2, może opierać się na danych osobowych ujawniających pochodzenie rasowe lub etniczne oraz danych biometrycznych, jeżeli zachowane są cele i warunki określone w niniejszym dziale.";
3) w art. 159 po § 1a dodaje się § 1b w brzmieniu:
"§ 1b. Wezwanie zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
4) w art. 165 dodaje się § 9 w brzmieniu:
"§ 9. Organ podatkowy przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
5) w art. 165a w § 1 dodaje się zdanie drugie w brzmieniu:
"Przepis art. 165 § 9 stosuje się odpowiednio.";
6) w art. 170 po § 1 dodaje się § 1a w brzmieniu:
"§ 1a. Zawiadomienie o przekazaniu podania zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.";
7) w art. 171 w § 1 dodaje się zdanie trzecie w brzmieniu:
"Do zawiadomienia stosuje się odpowiednio przepis art. 170 § 1a.";
8) po art. 179 dodaje się art. 179a w brzmieniu:
"Art. 179a. Przepis art. 178 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.";
9) w art. 283 w § 2 w pkt 8 kropkę zastępuje się średnikiem i dodaje się pkt 9 w brzmieniu:
"9) wskazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679.";
10) po art. 306a dodaje się art. 306aa w brzmieniu:
"Art. 306aa. Organ podatkowy przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do wnioskodawcy, chyba że wnioskodawca posiada te informacje, a ich zakres lub treść nie uległy zmianie.".
Art. 45. W ustawie z dnia 29 sierpnia 1997 r. o Narodowym Banku Polskim (Dz. U. z 2017 r. poz. 1373, z 2018 r. poz. 2243 oraz z 2019 r. poz. 371) po art. 59 dodaje się art. 59a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 46. W ustawie z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2018 r. poz. 2187, 2243 i 2354 oraz z 2019 r. poz. 326) wprowadza się następujące zmiany:
1) w art. 4 w ust. 1 w pkt 46 kropkę zastępuje się średnikiem i dodaje się pkt 47 i 48 w brzmieniu:
"47) rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.);
48) profilowanie - profilowanie osób fizycznych w rozumieniu art. 4 pkt 4 rozporządzenia 2016/679.";
2) w art. 22aa:
a) w ust. 1 dodaje się zdanie drugie w brzmieniu:
"Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny.",
b) dodaje się ust. 10-12 w brzmieniu:
"10. W celu zapewnienia ostrożnego i stabilnego zarządzania bankiem, bank identyfikuje inne niż wymienione w ust. 1 kluczowe funkcje w banku, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Bank zapewnia, że osoby pełniące te funkcje spełniają odpowiednio wymagania określone w ust. 1.
11. Bank żąda od kandydata na członka zarządu lub rady nadzorczej oraz od osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku przedłożenia:
1) dokumentów lub oświadczeń dotyczących:
a) zmiany imienia, nazwiska lub obywatelstwa,
b) sytuacji materialnej i stanu majątku;
2) informacji niezbędnych do oceny spełniania warunków określonych w ust. 1, dotyczących:
a) adresu zamieszkania lub pobytu,
b) wykształcenia, zawodu, umiejętności i doświadczenia zawodowego, w tym dotychczasowego przebiegu pracy zawodowej, ukończonych szkoleń zawodowych, miejsca i stanowiska pracy oraz funkcji pełnionych w organach podmiotów sektora finansowego,
c) postępowań karnych i postępowań w sprawach o przestępstwa skarbowe prowadzonych przeciwko kandydatowi na członka zarządu lub rady nadzorczej lub osobie ubiegającej się o pełnienie innej kluczowej funkcji w banku,
d) nałożonych sankcji administracyjnych,
e) sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku,
f) postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku, oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których występował lub występuje jako strona,
g) znajomości języka polskiego oraz języków obcych,
h) sposobu działania w życiu, środowisku i kontaktach zawodowych oraz sposobu zachowania się wobec osób pokrzywdzonych przez jego działania.
12. Dane osobowe, o których mowa w ust. 11, przechowuje się nie dłużej niż przez okres 25 lat.";
3) w art. 70 uchyla się ust. 5 i 6;
4) po art. 70 dodaje się art. 70a w brzmieniu:
"Art. 70a. 1. Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego.
2. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
3. W przypadku przedsiębiorców bank i inna instytucja ustawowo upoważniona do udzielania kredytów może pobierać opłatę za sporządzenie wyjaśnienia, o którym mowa w ust. 1. Wysokość opłaty powinna być odpowiednia do wysokości kredytu.
4. Przepisy ust. 1-3 stosuje się odpowiednio do przedsiębiorcy ubiegającego się o pożyczkę pieniężną.";
5) w art. 105 w ust. 1 w pkt 2 lit. u otrzymuje brzmienie:
"u) podmiotu, o którym mowa w art. 45 ust. 1 ustawy z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji, w zakresie niezbędnym do zapewnienia prawidłowej realizacji wypłat środków gwarantowanych,";
6) w art. 105a po ust. 1 dodaje się ust. 1a-1c w brzmieniu:
"1a. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych - również stanowiących tajemnicę bankową - pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.
1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o następujące kategorie danych:
1) dane dotyczące osoby fizycznej:
a) imię (imiona) i nazwisko,
b) nazwisko rodowe,
c) imiona rodziców,
d) datę i miejsce urodzenia,
e) wiek,
f) płeć,
g) obywatelstwo,
h) stan cywilny,
i) serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
j) numer PESEL, o ile został nadany,
k) numer identyfikacji podatkowej, o ile został nadany,
l) adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji,
m) tytuł prawny do zajmowanego lokalu,
n) miejsce pracy,
o) zawód,
p) wykształcenie,
q) formę zatrudnienia,
r) sytuację finansową, w tym dochody i wydatki,
s) osoby pozostające na utrzymaniu,
t) ustrój majątkowy małżonków;
2) dane dotyczące zobowiązania:
a) źródło zobowiązania,
b) kwotę i walutę,
c) numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów,
d) datę powstania zobowiązania,
e) warunki spłaty zobowiązania,
f) ustanowione zabezpieczenia prawne,
g) przebieg realizacji zobowiązania,
h) stan zadłużenia z tytułu zobowiązania,
i) datę wygaśnięcia zobowiązania,
j) przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki, o której mowa w ust. 3,
k) przyczyny wygaśnięcia zobowiązania.
1c. Decyzje, o których mowa w ust. 1a, nie mogą być podejmowane w oparciu o dane, o których mowa w art. 9 rozporządzenia 2016/679.";
7) art. 106d otrzymuje brzmienie:
"Art. 106d. 1. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.
2. Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.";
8) po art. 106d dodaje się art. 106e w brzmieniu:
"Art. 106e. Do przetwarzania danych osobowych przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, przepisu art. 15 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zgodnie z art. 106, oraz zapobiegania przestępstwom, zgodnie z art. 106a i art. 106d.".
Art. 47. W ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2019 r. poz. 300 i 303) po art. 34 dodaje się art. 34a w brzmieniu:
"Art. 34a. 1. Zakład może wykonać obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w miejscu publicznie dostępnym w centrali lub terenowych jednostkach organizacyjnych oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie podmiotowej Zakładu. W takim przypadku Zakład, podczas pozyskiwania danych osobowych, informuje osobę, której dane dotyczą, o miejscu udostępnienia tych informacji.
2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków Zakładu i nie wpływa na przebieg i wynik postępowań prowadzonych przez Zakład.".
Art. 48. W ustawie z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2018 r. poz. 1270 i 2245 oraz z 2019 r. poz. 39) w art. 117 po ust. 4 dodaje się ust. 4a w brzmieniu:
"4a. Wniosek o potwierdzenie okresów, o których mowa w art. 6 ust. 1 pkt 10 i ust. 2 pkt 6a, zawiera imię lub imiona oraz nazwisko wnioskodawcy, datę i miejsce urodzenia, imiona rodziców, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny, numer telefonu lub adres poczty elektronicznej, o ile wnioskodawca je posiada.".
Art. 49. W ustawie z dnia 6 stycznia 2000 r. o Rzeczniku Praw Dziecka (Dz. U. z 2017 r. poz. 922) art. 10c otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 50. W ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2018 r. poz. 1218 i 1544 oraz z 2019 r. poz. 60) w art. 4 ust. 2 otrzymuje brzmienie:
"2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze.".
Art. 51. W ustawie z dnia 29 listopada 2000 r. - Prawo atomowe (Dz. U. z 2018 r. poz. 792, 1669 i 2227) w art. 86c dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2-5 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 52. W ustawie z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających (Dz. U. z 2018 r. poz. 613) w art. 22f po ust. 2 dodaje się ust. 2a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 53. W ustawie z dnia 15 grudnia 2000 r. o samorządach zawodowych architektów oraz inżynierów budownictwa (Dz. U. z 2016 r. poz. 1725, z 2018 r. poz. 1669 oraz z 2019 r. poz. 577) po art. 8c dodaje się art. 8d i art. 8e w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 54. W ustawie z dnia 21 grudnia 2000 r. o żegludze śródlądowej (Dz. U. z 2017 r. poz. 2128, z 2018 r. poz. 1137 i 1694 oraz z 2019 r. poz. 125 i 642) w art. 9 po ust. 2g dodaje się ust. 2h i 2i w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 55. W ustawie z dnia 3 lutego 2001 r. o ochronie dziedzictwa Fryderyka Chopina (Dz. U. poz. 168) art. 6 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 56. W ustawie z dnia 6 lipca 2001 r. o usługach detektywistycznych (Dz. U. z 2018 r. poz. 2163 oraz z 2019 r. poz. 55) wprowadza się następujące zmiany:
(zmianę pominięto przez redakcję)
Art. 57. W ustawie z dnia 27 lipca 2001 r. o kuratorach sądowych (Dz. U. z 2018 r. poz. 1014) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 58. W ustawie z dnia 11 sierpnia 2001 r. o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu (Dz. U. z 2018 r. poz. 1345) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 59. W ustawie z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (Dz. U. z 2019 r. poz. 518) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 60. W ustawie z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2019 r. poz. 58, 60, 125 i 690) wprowadza się następujące zmiany:
1) w art. 55a:
a) uchyla się ust. 4-10,
b) dodaje się ust. 11-13 w brzmieniu:
"11. Inspekcja jest uprawniona do wydawania rozstrzygnięć w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie w związku z realizacją zadań, o których mowa w art. 129a ust. 1 pkt 3 lit. b i art. 129g ustawy z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym.
12. W związku z realizacją zadań, o których mowa w art. 50, Inspekcja wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.
13. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na wykonywanie przez Inspekcję zadań, o których mowa w art. 50.";
2) w art. 55b:
a) ust. 1 otrzymuje brzmienie:
"1. Jeżeli przepisy odrębne nie stanowią inaczej, Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy lub osoby przez nich upoważnione udostępniają nieodpłatnie, na podstawie pisemnego wniosku, dane osobowe przetwarzane w związku z realizacją zadań określonych w ustawie:
1) Policji,
2) Żandarmerii Wojskowej,
3) Straży Granicznej,
4) Agencji Bezpieczeństwa Wewnętrznego,
5) Agencji Wywiadu,
6) Centralnemu Biuru Antykorupcyjnemu,
7) Służbie Kontrwywiadu Wojskowego,
8) Służbie Wywiadu Wojskowego,
9) prokuratorowi,
10) sądom,
11) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,
12) Biuru Nadzoru Wewnętrznego,
13) Służbie Ochrony Państwa
- w zakresie niezbędnym do realizacji ich ustawowych zadań.",
b) ust. 3 otrzymuje brzmienie:
"3. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy mogą wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1-3 i 5-13, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.",
c) w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Udostępnianie danych, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1-3 i 5-13, wniosku zawierającego:",
d) ust. 5 i 6 otrzymują brzmienie:
"5. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy udostępniają Agencji Bezpieczeństwa Wewnętrznego dane, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego będąca odbiorcą danych złoży oświadczenie, o którym mowa w ust. 4 pkt 3.
6. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy nie udostępniają na podstawie ust. 1 i 3 danych osobowych wskazanych w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.",
e) uchyla się ust. 7;
3) w art. 55c uchyla się ust. 5;
4) uchyla się art. 82;
5) w art. 82g uchyla się ust. 3;
6) po art. 89c dodaje się art. 89d w brzmieniu:
"Art. 89d. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg kontroli prowadzonych na podstawie przepisów niniejszego rozdziału ani na uprawnienie właściwego organu do nałożenia kary.".
Art. 61. W ustawie z dnia 3 lipca 2002 r. - Prawo lotnicze (Dz. U. z 2018 r. poz. 1183, 1629 i 1637 oraz z 2019 r. poz. 235) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 62. W ustawie z dnia 5 lipca 2002 r. o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej (Dz. U. z 2016 r. poz. 1874) po dziale IV dodaje się dział IVa w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 63. W ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123) wprowadza się następujące zmiany:
1) art. 4 otrzymuje brzmienie:
"Art. 4. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych.";
2) uchyla się art. 16 i art. 17;
3) w art. 18 ust. 3 i 4 otrzymują brzmienie:
"3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.";
4) w art. 19 uchyla się ust. 1, 2, 4 i 5;
5) uchyla się art. 20-22.
Art. 64. W ustawie z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (Dz. U. z 2018 r. poz. 1945 oraz z 2019 r. poz. 60 i 235) wprowadza się następujące zmiany:
1) po art. 8 dodaje się art. 8a i art. 8b w brzmieniu:
"Art. 8a. 1. W związku z przetwarzaniem przez wójta, burmistrza, prezydenta miasta, marszałka województwa, wojewodę, zarząd województwa albo zarząd związku metropolitalnego danych osobowych, uzyskanych w toku prowadzenia postępowań dotyczących sporządzania aktów planistycznych, o których mowa w ustawie, prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przysługuje, jeżeli nie wpływa na ochronę praw i wolności osoby, od której dane te pozyskano.
2. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), organy, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.
3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
Art. 8b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik postępowań dotyczących sporządzania aktów planistycznych.";
2) po art. 11 dodaje się art. 11a w brzmieniu:
"Art. 11a. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) art. 11 pkt 3, 7 i 9 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) art. 11 pkt 1 i 8 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej i w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w art. 11 pkt 1, albo w ogłoszeniu, o którym mowa w art. 11 pkt 7.";
3) po art. 17 dodaje się art. 17a w brzmieniu:
"Art. 17a. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) art. 17 pkt 4, 9 i 12-14 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) art. 17 pkt 1 i 11 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w art. 17 pkt 1, albo w ogłoszeniu, o którym mowa w art. 17 pkt 9.";
4) w art. 37b dodaje się ust. 7 w brzmieniu:
"7. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 3 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) ust. 2 pkt 8 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 2 pkt 8.";
5) w art. 38b dodaje się ust. 6 w brzmieniu:
"6. Zarząd województwa wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 2 pkt 5 i 6 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) ust. 2 pkt 4 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 2 pkt 4.";
6) w art. 41 dodaje się ust. 3 w brzmieniu:
"3. Marszałek województwa wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:
1) ust. 1 pkt 3 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;
2) ust. 1 pkt 1 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 1 pkt 1.".
Art. 65. W ustawie z dnia 28 marca 2003 r. o transporcie kolejowym (Dz. U. z 2019 r. poz. 710) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 66. W ustawie z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2018 r. poz. 473 i 2448 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 67. W ustawie z dnia 13 czerwca 2003 r. o zatrudnieniu socjalnym (Dz. U. z 2019 r. poz. 217) wprowadza się następujące zmiany:
1) po art. 8a dodaje się art. 8b w brzmieniu:
"Art. 8b. 1. Centrum przetwarza dane osobowe:
1) uczestników obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym,
2) członków rodziny lub przedstawiciela ustawowego uczestnika obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe
- w zakresie niezbędnym do realizacji usług określonych w art. 3 ust. 1.
2. W związku z przetwarzaniem danych osobowych w celu realizacji usług przez Centrum wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", następuje przez umieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w widocznym miejscu w budynku, w którym realizowane są usługi.
3. O ograniczeniu, o którym mowa w ust. 2, administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.
4. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
5. Dane osobowe, o których mowa w ust. 1, przechowuje się przez okres 10 lat, licząc od końca roku kalendarzowego, w którym zakończono realizację usług na rzecz osób, których dane dotyczą.
6. Centrum i osoby realizujące usługi określone w art. 3 ust. 1 obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji tych usług.";
2) po art. 18e dodaje się art. 18f w brzmieniu:
"Art. 18f. 1. Podmioty, o których mowa w art. 18 ust. 1, przetwarzają dane uczestników klubów integracji społecznej, w tym dane obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym, imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe członków rodziny lub przedstawiciela ustawowego, w zakresie niezbędnym do prowadzenia reintegracji zawodowej i społecznej.
2. W związku z przetwarzaniem danych osobowych w celu reintegracji zawodowej i społecznej podmioty, o których mowa w art. 18 ust. 1, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przez umieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w widocznym miejscu w budynku, w którym prowadzone są działania w ramach reintegracji zawodowej i społecznej.
3. O ograniczeniu, o którym mowa w ust. 2, administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.
4. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
5. Podmioty, o których mowa w art. 18 ust. 1, obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy prowadzeniu działań w ramach reintegracji zawodowej i społecznej.".
Art. 68. W ustawie z dnia 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami (Dz. U. z 2018 r. poz. 2067 i 2245) wprowadza się następujące zmiany:
1) w art. 8 dodaje się ust. 3 w brzmieniu:
"3. Rejestr zawiera dane osobowe obejmujące imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub posiadacza zabytku lub użytkownika wieczystego gruntu, na którym znajduje się zabytek nieruchomy.";
2) w art. 22 dodaje się ust. 7 w brzmieniu:
"7. Ewidencje, o których mowa w ust. 1, 2, 4 i 6, mogą zawierać dane osobowe obejmujące:
1) imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub użytkownika zabytku;
2) imię, nazwisko i podpis autora karty ewidencyjnej lub adresowej lub imię i nazwisko osoby, która wypełniła kartę ewidencyjną;
3) imię i nazwisko lub nazwę wykonawcy prac konserwatorskich, prac restauratorskich, badań konserwatorskich lub badań archeologicznych przy zabytku.";
3) w art. 23 dodaje się ust. 3 w brzmieniu:
"3. Wykaz zawiera dane osobowe obejmujące imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub posiadacza zabytku.".
Art. 69. W ustawie z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (Dz. U. z 2019 r. poz. 330) w art. 58:
(zmianę pominięto przez redakcję)
Art. 70. W ustawie z dnia 17 października 2003 r. o wykonywaniu prac podwodnych (Dz. U. z 2017 r. poz. 1970 oraz z 2018 r. poz. 2245) po art. 6 dodaje się art. 6a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 71. W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z 2018 r. poz. 2220 i 2354 oraz z 2019 r. poz. 60, 303 i 577) wprowadza się następujące zmiany:
1) w art. 22 w ust. 3 wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
2) w art. 23:
a) ust. 9 otrzymuje brzmienie:
"9. Informacje, o których mowa w ust. 8, są przetwarzane przez ministra właściwego do spraw rodziny i wojewodów w celu monitorowania realizacji świadczeń rodzinnych oraz w celu umożliwienia organom właściwym i wojewodom weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione. Organy właściwe i wojewodowie przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.",
b) w ust. 10b w zdaniu pierwszym wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
3) w art. 29:
a) użyte w ust. 1 wyrazy "może gromadzić i przetwarzać" zastępuje się wyrazem "przetwarza",
b) po ust. 1 dodaje się ust. 1a-1c w brzmieniu:
"1a. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
1b. Dane osobowe, o których mowa w ust. 1, zabezpiecza się w sposób odpowiedni do zagrożeń i ryzyka wystąpienia sytuacji, o których mowa w ust. 1a, w tym w szczególności biorąc pod uwagę, czy dane osobowe przetwarzane są w sposób zautomatyzowany czy też w inny sposób niż zautomatyzowany, oraz z uwzględnieniem zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo były przetwarzane.
1c. Osoby przetwarzające dane osobowe, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.".
Art. 72. W ustawie z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986 i 2215 oraz z 2019 r. poz. 53) wprowadza się następujące zmiany:
1) w art. 8 dodaje się ust. 5 w brzmieniu:
"5. Zamawiający udostępnia dane osobowe, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w dziale VI, do upływu terminu do ich wniesienia.";
2) po art. 8 dodaje się art. 8a w brzmieniu:
"Art. 8a. 1. Zamawiający realizuje obowiązki, o których mowa w art. 13 ust. 1-3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy.
2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu.
3. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, o którym mowa w art. 16 rozporządzenia 2016/679, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą.
4. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu.
5. Zamawiający informuje o ograniczeniach, o których mowa w ust. 2 i 4 oraz art. 97 ust. 1a, na stronie internetowej prowadzonego postępowania lub konkursu, w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub w inny sposób dostępny dla osoby, której dane dotyczą.
6. Zamawiający przetwarza dane osobowe zebrane w postępowaniu o udzielenie zamówienia publicznego lub konkursie w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem.
7. Do przetwarzania danych osobowych, o których mowa w art. 10 rozporządzenia 2016/679, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w poufności.";
3) w art. 11 po ust. 6 dodaje się ust. 6a i 6b w brzmieniu:
"6a. W przypadku danych osobowych zamieszczonych przez zamawiającego w Biuletynie Zamówień Publicznych, prawa, o których mowa w art. 15 i art. 16 rozporządzenia 2016/679, są wykonywane w drodze żądania skierowanego do zamawiającego.
6b. Prezes Urzędu Zamówień Publicznych zapewnia techniczne utrzymanie systemu teleinformatycznego, przy użyciu którego udostępniany jest Biuletyn Zamówień Publicznych, oraz określa okres przechowywania danych osobowych zamieszczanych w Biuletynie Zamówień Publicznych.";
4) w art. 96 po ust. 3 dodaje się ust. 3a i 3b w brzmieniu:
"3a. Zasada jawności, o której mowa w ust. 3, ma zastosowanie do wszystkich danych osobowych, z wyjątkiem danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, zebranych w toku postępowania o udzielenie zamówienia publicznego lub konkursu. Ograniczenia zasady jawności, o których mowa w art. 8 ust. 3-5, stosuje się odpowiednio.
3b. Od dnia zakończenia postępowania o udzielenie zamówienia, w przypadku gdy wniesienie żądania, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, spowoduje ograniczenie przetwarzania danych osobowych zawartych w protokole i załącznikach do protokołu, zamawiający nie udostępnia tych danych zawartych w protokole i w załącznikach do protokołu, chyba że zachodzą przesłanki, o których mowa w art. 18 ust. 2 rozporządzenia 2016/679.";
5) w art. 97 po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:
"1a. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia.
1b. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 rozporządzenia 2016/679, nie może naruszać integralności protokołu oraz jego załączników.";
6) po art. 143d dodaje się art. 143e w brzmieniu:
"Art. 143e. 1. W przypadku, o którym mowa w art. 29 ust. 3a, umowa zawiera postanowienia dotyczące sposobu dokumentowania zatrudnienia oraz kontroli spełniania przez wykonawcę lub podwykonawcę wymagań dotyczących zatrudnienia na podstawie umowy o pracę oraz postanowienia dotyczące sankcji z tytułu niespełnienia wymagań, o których mowa w art. 29 ust. 3a.
2. W celu weryfikacji zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia umowa przewiduje możliwość żądania przez zamawiającego w szczególności:
1) oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,
2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,
3) innych dokumentów
- zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę oraz zakres obowiązków pracownika.".
Art. 73. W ustawie z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2018 r. poz. 1508, z późn. zm.) wprowadza się następujące zmiany:
1) w art. 23 ust. 4a otrzymuje brzmienie:
"4a. Minister właściwy do spraw zabezpieczenia społecznego prowadzi i rozwija rejestr centralny obejmujący dane dotyczące jednostek organizacyjnych pomocy społecznej, a także dane dotyczące osób i rodzin ubiegających się o świadczenia z pomocy społecznej lub korzystających z tych świadczeń oraz form udzielonej pomocy społecznej, gromadzone przez jednostki organizacyjne pomocy społecznej na podstawie przepisów ustawy, oraz przetwarza te dane w celu realizacji zadań, o których mowa w ust. 1. Jednostki organizacyjne pomocy społecznej przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 4.";
2) w art. 25 dodaje się ust. 7 w brzmieniu:
"7. Podmioty uprawnione, którym zlecono realizację zadania z zakresu pomocy społecznej, a w przypadku wykonywania zleconego zadania poprzez jednostki organizacyjne pomocy społecznej - te jednostki, są administratorami danych osobowych przetwarzanych w celu udzielania świadczeń z pomocy społecznej przez te podmioty i jednostki.";
3) w art. 100:
a) ust. 2 otrzymuje brzmienie:
"2. Podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w ustawie przetwarzają dane osobowe osób, do których stosuje się ustawę, oraz członków ich rodzin w zakresie i celu niezbędnych do realizacji zadań wynikających z ustawy.",
b) dodaje się ust. 3-7 w brzmieniu:
"3. W związku z przetwarzaniem danych osobowych w celu udzielenia świadczeń, o których mowa w art. 106 ust. 2, oraz w celu świadczenia usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej, wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), następuje przez zamieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 tego rozporządzenia, w widocznym miejscu w budynku, w którym udzielane są świadczenia lub świadczone usługi.
4. Administrator danych informuje o ograniczeniu, o którym mowa w ust. 3, najpóźniej przy pierwszej czynności skierowanej do osoby, której dane dotyczą.
5. Jednostki organizacyjne, o których mowa w art. 110 ust. 1, art. 111, art. 112 ust. 1, 2 i 8 oraz art. 113 ust. 1 i 3, realizujące zadania w zakresie pomocy społecznej określone w ustawie są administratorami danych osobowych przetwarzanych w celu przyznawania i udzielania świadczeń z pomocy społecznej.
6. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
7. Podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w niniejszej ustawie obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy wykonywaniu tych zadań.";
4) po art. 134l dodaje się art. 134m w brzmieniu:
"Art. 134m. 1. Organizacje partnerskie oraz Krajowy Ośrodek przetwarzają dane osobowe osób korzystających z pomocy określonej w Programie Operacyjnym obejmujące:
1) imię i nazwisko, liczbę osób wchodzących w skład gospodarstwa domowego, w tym w podziale na płeć, wiek i przynależność do grupy docelowej Programu Operacyjnego;
2) dochód osoby lub rodziny;
3) powody udzielenia pomocy na podstawie art. 7.
2. Wypełnienie obowiązków informacyjnych określonych w przepisach o ochronie danych osobowych, w toku udzielania pomocy określonej w Programie Operacyjnym, następuje przez udostępnienie informacji o przetwarzaniu danych osobowych:
1) w przypadku organizacji partnerskich - w widocznym miejscu w budynku, w którym udzielana jest pomoc;
2) w przypadku Krajowego Ośrodka - w Biuletynie Informacji Publicznej na stronie podmiotowej Krajowego Ośrodka lub na jego stronie internetowej.
3. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.
4. Podmioty i osoby realizujące zadania określone w Programie Operacyjnym obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji zadań.".
Art. 74. W ustawie z dnia 16 kwietnia 2004 r. o wyrobach budowlanych (Dz. U. z 2019 r. poz. 266) po art. 3 dodaje się art. 3a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 75. W ustawie z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (Dz. U. z 2018 r. poz. 1265, z późn. zm.) wprowadza się następujące zmiany:
1) w art. 4:
a) uchyla się ust. 4,
b) po ust. 4 dodaje się ust. 4a i 4b w brzmieniu:
"4a. Minister właściwy do spraw pracy prowadzi w systemie teleinformatycznym centralny rejestr danych osobowych osób fizycznych ubiegających się o pomoc określoną w ustawie lub korzystających z tej pomocy oraz innych osób, zwany dalej "rejestrem centralnym".
4b. Minister właściwy do spraw pracy przetwarza w rejestrze centralnym dane osobowe osób fizycznych w celu realizacji przez publiczne służby zatrudnienia zadań ustawowych, w tym weryfikacji uprawnień i danych, rejestracji i ustalania statusu, zapewnienia pomocy określonej w ustawie, wydawania decyzji w zakresie statusu i świadczeń, prowadzenia postępowań kontrolnych, realizacji obowiązków sprawozdawczych i obowiązków w zakresie statystyki publicznej oraz określania planów dalszych działań.",
c) uchyla się ust. 5,
d) po ust. 5 dodaje się ust. 5a-5k w brzmieniu:
"5a. W rejestrze centralnym minister właściwy do spraw pracy przetwarza dane osobowe:
1) bezrobotnych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia, w tym pozyskane od agencji zatrudnienia w ramach realizacji działań, o których mowa w art. 66d;
2) poszukujących pracy korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia;
3) osób niezarejestrowanych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia;
4) cudzoziemców zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej;
5) poręczycieli pomocy określonej w ustawie;
6) przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212);
7) innych podmiotów korzystających z pomocy określonej w ustawie;
8) zamierzających powierzyć lub powierzających wykonywanie pracy;
9) będących podmiotami powierzającymi wykonywanie pracy cudzoziemcowi;
10) osób ubezpieczonych;
11) płatników składek;
12) pracowników publicznych służb zatrudnienia;
13) pracowników Ochotniczych Hufców Pracy, korzystających z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy.
5b. W rejestrze centralnym są przetwarzane następujące kategorie danych osobowych bezrobotnych:
1) imię (imiona) i nazwisko;
2) obywatelstwo albo obywatelstwa;
3) numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość;
4) imiona rodziców;
5) data i miejsce urodzenia;
6) nazwisko rodowe;
7) płeć;
8) stan cywilny;
9) informacje o sytuacji rodzinnej obejmujące:
a) dane osobowe małżonka: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość oraz informacja o jego pozostawaniu albo niepozostawaniu w rejestrze bezrobotnych i poszukujących pracy,
b) dane osobowe dzieci pozostających na utrzymaniu: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość, datę i miejsce urodzenia,
c) w przypadku opiekuna osób niepełnosprawnych opiekującego się osobą niepełnosprawną ze znacznym stopniem niepełnosprawności lub dzieckiem z orzeczeniem o niepełnosprawności łącznie ze wskazaniami: konieczności stałej lub długotrwałej opieki lub pomocy innej osoby w związku ze znacznie ograniczoną możliwością samodzielnej egzystencji oraz konieczności stałego współudziału na co dzień opiekuna dziecka w procesie jego leczenia, rehabilitacji i edukacji - dane osobowe każdej osoby niepełnosprawnej lub każdego dziecka: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość,
d) dane osobowe osoby lub osób zależnych obejmujące dla każdej osoby: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość;
10) adres zameldowania na pobyt stały lub czasowy oraz adres do korespondencji;
11) adres poczty elektronicznej lub numer telefonu lub inne dane kontaktowe, o ile je posiadają;
12) informacje dotyczące wykształcenia, zainteresowania podjęciem szkolenia i pracy;
13) informacje dotyczące rodzaju i stopnia niepełnosprawności oraz przeciwskazań do wykonywania zawodu, jeżeli ich dotyczą;
14) informacje o byciu dłużnikiem alimentacyjnym w rozumieniu przepisów o pomocy osobom uprawnionym do alimentów, jeżeli ich dotyczą;
15) dane dotyczące doświadczenia zawodowego;
16) informacje niezbędne do ustalenia statusu lub udzielenia pomocy określonej w ustawie;
17) informacje dotyczące:
a) oddalenia od rynku pracy - oznaczającego informacje o umiejętnościach, czasie pozostawania bez pracy, miejscu zamieszkania pod względem oddalenia od potencjalnych miejsc pracy i dostępności do nowoczesnych form komunikowania się z powiatowym urzędem pracy i pracodawcami oraz
b) gotowości do podjęcia pracy - oznaczającej informacje o zaangażowaniu w samodzielne poszukiwanie pracy, gotowości do dostosowania się do wymagań rynku pracy, dyspozycyjności, powodach skłaniających do podjęcia pracy, powodach rejestracji w powiatowym urzędzie pracy, dotychczasowej oraz aktualnej gotowości do współpracy z powiatowym urzędem pracy, innymi instytucjami rynku pracy lub pracodawcami;
18) informacje o pomocy udzielonej na podstawie ustawy, jej przyjęciu albo odmowie jej przyjęcia;
19) informacje o pomocy udzielonej przez:
a) jednostki organizacyjne pomocy społecznej w zakresie określonym w przepisach o pomocy społecznej, przekazywane przez ministra właściwego do spraw zabezpieczenia społecznego,
b) jednostki obsługujące świadczenia rodzinne w zakresie określonym w przepisach o świadczeniach rodzinnych, przekazywane przez ministra właściwego do spraw rodziny,
c) ośrodki pomocy społecznej w związku z realizacją działań, o których mowa w art. 50 ust. 2 pkt 2,
d) agencje zatrudnienia w związku z realizacją działań, o których mowa w art. 61b i art. 66n,
e) podmioty realizujące działania z zakresu reintegracji społecznej w ramach Programu Aktywizacja i Integracja, o którym mowa w art. 62a,
f) podmioty realizujące programy specjalne, o których mowa w art. 66a;
20) informacje o gotowości do wyrażenia zgody albo jej braku na:
a) udział w badaniach rynku pracy prowadzonych przez publiczne służby zatrudnienia, organy administracji rządowej, samorządowej lub na ich zlecenie,
b) przetwarzanie danych osobowych wraz z ich zakresem na podstawie przepisów Unii Europejskiej o sieci EURES;
21) informacje przekazywane przez Państwową Inspekcję Pracy w zakresie określonym w przepisach o Państwowej Inspekcji Pracy.
5c. W rejestrze centralnym są przetwarzane, w przypadku:
1) poszukujących pracy - kategorie danych, o których mowa w ust. 5b pkt 1-13, 15, 16 i 18-20;
2) osób niezarejestrowanych korzystających z pomocy określonej w ustawie - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16, 18 i 20, a w przypadku osób biorących udział w kształceniu ustawicznym finansowanym ze środków KFS - kategorie danych, o których mowa w ust. 5b pkt 1-11, 15, 16, 18 i pkt 20 lit. a;
3) poręczycieli pomocy określonej w ustawie - kategorie danych, o których mowa w ust. 5b pkt 1, 3 i 10;
4) cudzoziemców, zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej - dane, o których mowa w art. 90c ust. 8 i 9;
5) przedsiębiorców - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16, 18 i pkt 20 lit. a, oraz:
a) numer identyfikacji podatkowej NIP,
b) numer identyfikacyjny REGON,
c) adres prowadzenia działalności gospodarczej,
d) numer faksu i adres strony internetowej, o ile je posiadają,
e) informacje określone w art. 18e ust. 1 i art. 18g, w przypadku gdy przedsiębiorca jest agencją zatrudnienia,
f) informacje dotyczące prowadzonej działalności szkoleniowej, w przypadku gdy przedsiębiorca jest instytucją szkoleniową w rozumieniu ustawy,
g) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,
h) dane określone w art. 50 ust. 14a-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2019 r. poz. 300, 303 i 730),
i) informacje o pomocy udzielanej przez publiczne służby zatrudnienia,
j) dane dotyczące doświadczenia zawodowego, w przypadku przedsiębiorców biorących udział w kształceniu ustawicznym finansowanym ze środków KFS;
6) innych podmiotów korzystających z pomocy określonej w ustawie - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16, 18 i pkt 20 lit. a, oraz:
a) numer identyfikacji podatkowej NIP, o ile go posiadają,
b) numer identyfikacyjny REGON, o ile go posiadają,
c) adres prowadzenia działalności,
d) numer faksu i adres strony internetowej, o ile je posiadają,
e) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,
f) dane określone w art. 50 ust. 14a-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych,
g) informacje o pomocy udzielanej przez publiczne służby zatrudnienia,
h) dane dotyczące doświadczenia zawodowego, w przypadku osób biorących udział w kształceniu ustawicznym finansowanym ze środków KFS;
7) osób fizycznych powierzających lub zamierzających powierzyć wykonywanie pracy - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16 i pkt 20 lit. a, oraz:
a) numer identyfikacji podatkowej NIP, o ile go posiadają,
b) numer identyfikacyjny REGON, o ile go posiadają,
c) numer faksu i adres strony internetowej, o ile je posiadają,
d) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,
e) dane określone w art. 50 ust. 14a-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych,
f) informacje o pomocy udzielanej przez publiczne służby zatrudnienia;
8) osób fizycznych będących podmiotami powierzającymi wykonywanie pracy cudzoziemcowi - dane, o których mowa w art. 90c ust. 7;
9) osób ubezpieczonych - dane zgromadzone na koncie ubezpieczonego oraz osób ubezpieczonych, przekazywane przez Zakład Ubezpieczeń Społecznych zgodnie z przepisami o systemie ubezpieczeń społecznych w zakresie określonym w tych przepisach;
10) płatników składek - dane zgromadzone na koncie płatnika składek, przekazywane przez Zakład Ubezpieczeń Społecznych zgodnie z przepisami o systemie ubezpieczeń społecznych w zakresie określonym w tych przepisach;
11) pracowników publicznych służb zatrudnienia - kategorie danych, o których mowa w ust. 5b pkt 1, oraz:
a) miejsce pracy i dane teleadresowe wykorzystywane do użytku służbowego,
b) nazwa i opis zajmowanego stanowiska,
c) ukończone szkolenia, a w przypadku szkoleń inicjowanych przez pracodawcę lub finansowanych albo współfinansowanych ze środków Funduszu Pracy, także koszt szkolenia oraz źródło finansowania,
d) login, informacje o haśle, informacje o aktywności konta pracownika i nadane uprawnienia do systemów teleinformatycznych, jeżeli ich dotyczą;
12) pracowników Ochotniczych Hufców Pracy korzystających z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy - kategorie danych, o których mowa w ust. 5b pkt 1, oraz:
a) miejsce pracy i dane teleadresowe wykorzystywane do użytku służbowego,
b) nazwa i opis zajmowanego stanowiska,
c) ukończone szkolenia z zakresu korzystania z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy,
d) login, informacje o haśle, informacje o aktywności konta pracownika i nadane uprawnienia do systemów teleinformatycznych, jeżeli ich dotyczą.
5d. Dane osobowe przetwarzane przez publiczne służby zatrudnienia w rejestrze centralnym podlegają zabezpieczeniom polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
5e. Dane osobowe, o których mowa w ust. 5a, są przetwarzane w rejestrze centralnym przez okres 50 lat, licząc od końca roku kalendarzowego, w którym zakończono udzielanie pomocy.
5f. Rejestr centralny jest zbiorem danych pozyskiwanych:
1) z rejestrów danych wojewódzkich urzędów pracy;
2) z rejestrów danych powiatowych urzędów pracy;
3) od osób fizycznych ubiegających się, za pośrednictwem ministra właściwego do spraw pracy, o pomoc określoną w ustawie świadczoną przez wojewódzkie urzędy pracy i powiatowe urzędy pracy.
5g. Wojewódzki urząd pracy przekazuje do rejestru centralnego kategorie danych, o których mowa w ust. 5a pkt 1-3, 6-8, 10 i 12, w zakresie określonym w ust. 5b i 5c.
5h. Powiatowy urząd pracy przekazuje do rejestru centralnego kategorie danych, o których mowa w ust. 5a, w zakresie określonym w ust. 5b i ust. 5c pkt 1-11.
5i. W celu zapewnienia prawidłowej realizacji zadań przez publiczne służby zatrudnienia oraz ministra właściwego do spraw zabezpieczenia społecznego ministrowi właściwemu do spraw pracy udostępniane są następujące kategorie danych, w tym danych osobowych, w zakresie niezbędnym do realizacji tych zadań, przetwarzane przez:
1) ministra właściwego do spraw zabezpieczenia społecznego - dane osób fizycznych, o których mowa w ust. 5a pkt 1, 2, 7, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-12, 15, 16 i pkt 19 lit. a;
2) ministra właściwego do spraw rodziny - dane osób fizycznych, o których mowa w ust. 5a pkt 1, 2, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-11, 14, 16 i pkt 19 lit. b;
3) Zakład Ubezpieczeń Społecznych - dane określone w art. 50 ust. 14-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych;
4) Państwową Inspekcję Pracy - informacje przekazywane przez Państwową Inspekcję Pracy w zakresie określonym w przepisach o Państwowej Inspekcji Pracy.
5j. Do udostępniania danych, o którym mowa w ust. 5i, przepis ust. 6f stosuje się odpowiednio.
5k. Spełnienie zabezpieczeń, o których mowa w ust. 5d, zapewniają w przypadku pracowników:
1) urzędu obsługującego ministra właściwego do spraw pracy - minister właściwy do spraw pracy;
2) wojewódzkiego urzędu pracy - dyrektor wojewódzkiego urzędu pracy;
3) powiatowego urzędu pracy - dyrektor powiatowego urzędu pracy;
4) jednostek organizacyjnych pomocy społecznej i jednostek obsługujących świadczenia rodzinne, o których mowa w ust. 6c i 6d - administratorzy danych właściwi dla tych jednostek.",
e) ust. 6 otrzymuje brzmienie:
"6. Dane z rejestru centralnego mogą być udostępniane w trybie i na zasadach określonych w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne innym podmiotom realizującym zadania publiczne na podstawie odrębnych przepisów.",
f) po ust. 6 dodaje się ust. 6a-6h w brzmieniu:
"6a. Minister właściwy do spraw pracy udostępnia wojewódzkim urzędom pracy, a także ministrowi właściwemu do spraw zabezpieczenia społecznego w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1-3, 6-8, 10 i 12, w zakresie określonym w ust. 5b i 5c.
6b. Minister właściwy do spraw pracy udostępnia powiatowym urzędom pracy w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, dane z rejestru centralnego, o których mowa w ust. 5a, w zakresie określonym w ust. 5b i ust. 5c pkt 1-11, oraz dane osób fizycznych, o których mowa w ust. 5f pkt 3, w zakresie określonym w ust. 5b pkt 1, 3, 10, 11 i 16.
6c. Minister właściwy do spraw pracy udostępnia jednostkom organizacyjnym pomocy społecznej w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w odrębnych przepisach, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1, 2, 7, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-12, 15, 16 i 18.
6d. Minister właściwy do spraw pracy udostępnia jednostkom obsługującym świadczenia rodzinne w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w odrębnych przepisach, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1, 2, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-11, 14, 16 i 18.
6e. Dane, o których mowa w ust. 6a i 6b, są udostępniane w drodze ich wymiany pomiędzy systemem teleinformatycznym, w którym prowadzony jest rejestr centralny, oraz systemem teleinformatycznym, udostępnianym przez ministra właściwego do spraw pracy i wykorzystywanym przez:
1) wojewódzki urząd pracy, oraz ministra właściwego do spraw zabezpieczenia społecznego do realizacji zadań określonych w ustawie;
2) powiatowy urząd pracy do realizacji zadań określonych w ustawie.
6f. Dane, o których mowa w ust. 6c i 6d, są udostępniane w drodze ich wymiany pomiędzy systemem teleinformatycznym, w którym prowadzony jest rejestr centralny, oraz systemem teleinformatycznym, w którym prowadzony jest rejestr ministra właściwego do spraw:
1) zabezpieczenia społecznego;
2) rodziny.
6g. Dane, o których mowa w ust. 6a-6d, są udostępniane na wniosek dotyczący określonej osoby fizycznej, złożony z wykorzystaniem systemów teleinformatycznych, o których mowa w ust. 6e i 6f.
6h. Przepisy ust. 6a-6g stosuje się do podmiotów w nich wymienionych, które spełniają łącznie następujące warunki:
1) zapewniają możliwość identyfikacji osoby uzyskującej informacje oraz zakresu, daty i celu ich uzyskania;
2) zapewniają zabezpieczenia uniemożliwiające wykorzystanie informacji niezgodnie z celem ich uzyskania;
3) zapewniają, że dostęp do danych jest nadzorowany i rejestrowany zgodnie z przepisami o ochronie danych osobowych.";
2) po art. 4 dodaje się art. 4a w brzmieniu:
"Art. 4a. 1. Wojewódzkie urzędy pracy i powiatowe urzędy pracy, w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, pozyskują dane z Zakładu Ubezpieczeń Społecznych w zakresie, o którym mowa w art. 50 ust. 14-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych.
2. Dane, o których mowa w ust. 1, są przekazywane w drodze ich wymiany odpowiednio pomiędzy systemami teleinformatycznymi, o których mowa w art. 4 ust. 6e.";
3) w art. 8:
a) w ust. 1 pkt 18 otrzymuje brzmienie:
"18) współpraca z ministrem właściwym do spraw pracy w zakresie tworzenia rejestru centralnego;",
b) po ust. 1b dodaje się ust. 1ba-1bc w brzmieniu:
"1ba. W celu realizacji zadań ustawowych wojewódzki urząd pracy prowadzi rejestr danych o rynku pracy w województwie, w tym rejestr danych osobowych osób fizycznych, zwany dalej "rejestrem danych wojewódzkiego urzędu pracy".
1bb. W rejestrze danych wojewódzkiego urzędu pracy są przetwarzane dane osobowe:
1) bezrobotnych, w tym pozyskane od agencji zatrudnienia w ramach realizacji działań, o których mowa w art. 66d, korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,
2) poszukujących pracy korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,
3) osób niezarejestrowanych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,
4) przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców,
5) innych podmiotów korzystających z pomocy określonej w ustawie,
6) osób fizycznych powierzających lub zamierzających powierzyć wykonywanie pracy,
7) osób ubezpieczonych,
8) pracowników publicznych służb zatrudnienia
- o których mowa odpowiednio w art. 4 ust. 5b i 5c.
1bc. Przepisy art. 4 ust. 5d i 5e oraz ust. 6a-6h dotyczące zabezpieczeń, okresu przetwarzania i usuwania oraz dostępu do danych stosuje się odpowiednio do rejestru danych wojewódzkiego urzędu pracy.";
4) w art. 9 w ust. 1 pkt 23 otrzymuje brzmienie:
"23) współpraca z ministrem właściwym do spraw pracy w zakresie tworzenia rejestru centralnego;";
5) w art. 33:
a) po ust. 2d dodaje się ust. 2e i 2f w brzmieniu:
"2e. Profil pomocy dla bezrobotnego ustalany jest przez pracownika powiatowego urzędu pracy na podstawie wywiadu przeprowadzonego z bezrobotnym, wspieranego systemem teleinformatycznym udostępnianym przez ministra właściwego do spraw pracy.
2f. Pracownik powiatowego urzędu pracy nie może ustalać profilu pomocy dla bezrobotnego wyłącznie w sposób polegający na zautomatyzowanym przetwarzaniu informacji o bezrobotnym, w tym jego danych osobowych.",
b) po ust. 5 dodaje się ust. 5a-5d w brzmieniu:
"5a. W celu realizacji zadań ustawowych powiatowy urząd pracy prowadzi rejestr danych o rynku pracy w powiecie, w tym rejestr danych osobowych osób fizycznych, zwany dalej "rejestrem danych powiatowego urzędu pracy".
5b. W rejestrze danych powiatowego urzędu pracy są przetwarzane dane osobowe osób fizycznych, o których mowa w art. 4 ust. 5a, 5b i ust. 5c pkt 1-11.
5c. Przepisy art. 4 ust. 5d i 5e oraz ust. 6a-6h dotyczące zabezpieczeń, okresu przetwarzania i usuwania oraz dostępu do danych stosuje się odpowiednio do rejestru danych powiatowego urzędu pracy.
5d. Pozyskiwanie i udostępnianie danych bezrobotnych i poszukujących pracy, o których mowa w art. 4 ust. 5a pkt 1 i 2, w zakresie określonym w ust. 5b i ust. 5c pkt 1, między powiatowymi urzędami pracy oraz jednostkami organizacyjnymi pomocy społecznej lub jednostkami obsługującymi świadczenia rodzinne realizującymi zadania na obszarze tego samego powiatu, jest dokonywane w drodze wymiany danych pomiędzy systemem teleinformatycznym, udostępnianym przez ministra właściwego do spraw pracy i wykorzystywanym przez powiatowy urząd pracy do realizacji zadań określonych w ustawie oraz systemami wykorzystywanymi przez te jednostki do realizacji zadań z zakresu pomocy społecznej i świadczeń rodzinnych. Przepis art. 4 ust. 6g stosuje się odpowiednio.",
c) uchyla się ust. 6-9;
6) w art. 46 uchyla się ust. 5a.
Art. 76. W ustawie z dnia 30 kwietnia 2004 r. o świadczeniach przedemerytalnych (Dz. U. z 2017 r. poz. 2148 oraz z 2019 r. poz. 39) w art. 11 w pkt 1 wyrazy "art. 117 ust. 1-4" zastępuje się wyrazami "art. 117 ust. 1-4a".
Art. 77. W ustawie z dnia 30 kwietnia 2004 r. o postępowaniu w sprawach dotyczących pomocy publicznej (Dz. U. z 2018 r. poz. 362) po art. 11 dodaje się art. 11a w brzmieniu:
"Art. 11a. 1. W celu realizacji zadań i obowiązków związanych z postępowaniami w sprawach dotyczących pomocy publicznej administratorem danych jest:
1) Prezes Urzędu - w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie;
2) minister właściwy do spraw rolnictwa - w sprawach dotyczących pomocy publicznej w rolnictwie lub rybołówstwie;
3) minister właściwy do spraw finansów publicznych - w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie udzielonej przez naczelników urzędów skarbowych i dyrektorów izb administracji skarbowej;
4) podmiot udzielający pomocy w postępowaniach związanych z udzielaniem pomocy publicznej.
2. Dane beneficjentów pomocy lub podmiotów udzielających pomocy obejmujące numer identyfikacji podatkowej, nazwę, podstawę prawną udzielenia pomocy, dzień udzielenia pomocy, wielkość przedsiębiorcy, informacje o siedzibie, miejscu zamieszkania i rodzaju prowadzonej działalności, wartość pomocy, formę oraz przeznaczenie pomocy, udostępnia się na stronie internetowej Prezesa Urzędu lub ministra właściwego do spraw rolnictwa.".
Art. 78. W ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2018 r. poz. 1355, 2215, 2243 i 2244) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 79. W ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354 oraz z 2019 r. poz. 643) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 80. W ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2018 r. poz. 1510, z późn. zm.) wprowadza się następujące zmiany:
1) w art. 188:
a) w ust. 1:
- wprowadzenie do wyliczenia otrzymuje brzmienie:
"Fundusz przetwarza dane osobowe ubezpieczonych w celu:",
- po pkt 10 dodaje się pkt 10a w brzmieniu:
"10a) prowadzenia prac analitycznych i prognostycznych związanych z realizacją świadczeń opieki zdrowotnej.",
b) w ust. 1a wprowadzenie do wyliczenia otrzymuje brzmienie:
"Fundusz przetwarza dane osobowe osób, o których mowa w art. 2 ust. 1 pkt 2, w celu:",
c) ust. 1b otrzymuje brzmienie:
"1b. Fundusz przetwarza dane osobowe osób, o których mowa w art. 2 ust. 1 pkt 3 i 4, w celu rozliczania kosztów refundacji leków.",
d) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Fundusz przetwarza dane osobowe osób uprawnionych do świadczeń opieki zdrowotnej na podstawie przepisów o koordynacji oraz umów międzynarodowych w celu:",
e) ust. 2a otrzymuje brzmienie:
"2a. Fundusz przetwarza dane osobowe w celu realizacji zadań określonych w art. 97 ust. 3 pkt 2 i 3a.",
f) w ust. 2b wprowadzenie do wyliczenia otrzymuje brzmienie:
"Fundusz przetwarza następujące dane osobowe pacjentów z innych niż Rzeczpospolita Polska państw członkowskich Unii Europejskiej w celu realizacji zadań, o których mowa w art. 97a ust. 2 i 5:",
g) ust. 2c otrzymuje brzmienie:
"2c. Fundusz przetwarza dane osobowe związane z wystawianiem recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne oraz z ich realizacją w aptece lub wystawianiem zlecenia na zaopatrzenie w wyroby medyczne, o których mowa w przepisach wydanych na podstawie art. 38 ust. 4 ustawy o refundacji.",
h) w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Minister właściwy do spraw zdrowia przetwarza dane osobowe:",
i) w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:
"W celu realizacji zadań, o których mowa w ust. 1-3, minister właściwy do spraw zdrowia i Fundusz przetwarzają następujące dane:";
2) w art. 188a wprowadzenie do wyliczenia otrzymuje brzmienie:
"W celu realizacji zadań określonych w ustawie Fundusz przetwarza następujące dane osobowe osób wystawiających recepty na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne, osób wystawiających zlecenie na zaopatrzenie w wyroby medyczne, o których mowa w przepisach wydanych na podstawie art. 38 ust. 4 ustawy o refundacji, osób udzielających świadczeń na podstawie umów o udzielanie świadczeń opieki zdrowotnej oraz ubiegających się o zawarcie takich umów:";
3) w art. 188b wprowadzenie do wyliczenia otrzymuje brzmienie:
"W celu realizacji zadań określonych w art. 97a ust. 2 pkt 3 Fundusz przetwarza następujące dane dotyczące osób wykonujących zawody medyczne:";
4) w art. 188ba:
a) ust. 1 otrzymuje brzmienie:
"1. Fundusz przetwarza dane osobowe osób ubiegających się o nadanie dostępu lub korzystających z aplikacji udostępnianych przez Fundusz świadczeniodawcom oraz niebędącym świadczeniodawcami osobom uprawnionym i osobom przez nie upoważnionym, w celu korzystania z usług informatycznych i komunikacji z Funduszem.",
b) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
"W celu realizacji zadań, o których mowa w ust. 1, Fundusz przetwarza następujące dane:";
5) w art. 188c ust. 6 otrzymuje brzmienie:
"6. Fundusz przetwarza dane w zakresie realizacji programów lekowych, o których mowa w ustawie o refundacji.";
6) w art. 188d wprowadzenie do wyliczenia otrzymuje brzmienie:
"Jednostka samorządu terytorialnego, w celu realizacji zadań, o których mowa w art. 9a i art. 9b, przetwarza dane dotyczące:";
7) w art. 191:
a) ust. 1 otrzymuje brzmienie:
"1. Minister właściwy do spraw zdrowia przetwarza dane dotyczące ubezpieczenia zdrowotnego w zakresie niezbędnym do realizacji zadań wynikających z ustawy.",
b) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Fundusz przetwarza dane osobowe świadczeniobiorców innych niż ubezpieczeni, w celu:",
c) po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. Minister właściwy do spraw zdrowia przetwarza dane osobowe świadczeniobiorców innych niż ubezpieczeni, w celu:
1) finansowania świadczeń opieki zdrowotnej;
2) kontroli:
a) rodzaju, zakresu i przyczyn udzielanych świadczeń opieki zdrowotnej,
b) przestrzegania zasad legalności, gospodarności, rzetelności i celowości finansowania udzielanych świadczeń opieki zdrowotnej;
3) monitorowania stanu zdrowia i zapotrzebowania świadczeniobiorców innych niż ubezpieczeni na świadczenia opieki zdrowotnej, leki i wyroby medyczne.",
d) w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:
"W celu realizacji zadań, o których mowa w ust. 1, minister właściwy do spraw zdrowia oraz Fundusz przetwarzają następujące dane:",
e) ust. 4 otrzymuje brzmienie:
"4. Minister Obrony Narodowej, Minister Sprawiedliwości, minister właściwy do spraw wewnętrznych, minister właściwy do spraw finansów publicznych oraz minister właściwy do spraw zdrowia przetwarzają informacje niezbędne do realizacji zadań wynikających z ustawy.".
Art. 81. W ustawie z dnia 25 listopada 2004 r. o zawodzie tłumacza przysięgłego (Dz. U. z 2017 r. poz. 1505 oraz z 2018 r. poz. 1669) po rozdziale 4 dodaje się rozdział 4a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 82. W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2018 r. poz. 1458, 1669, 1693 i 2192) wprowadza się następujące zmiany:
1) po art. 3 dodaje się art. 3a w brzmieniu:
"Art. 3a. 1. Podmioty zapewniające organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych siedzibę, obsługę prawną i administracyjno-techniczną są administratorami danych przetwarzanych przez te organy.
2. Administratorzy danych upoważniają do przetwarzania danych osobowych osoby zapewniające obsługę prawną i administracyjno-techniczną organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych w zakresie niezbędnym do realizacji powierzonych zadań. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej.
3. Administratorzy danych prowadzą rejestr osób uprawnionych do przetwarzania danych osobowych na podstawie upoważnień lub w związku z pełnieniem funkcji w organach właściwych w sprawach o naruszenie dyscypliny finansów publicznych.
4. Jeżeli przepisy szczególne nie stanowią inaczej, osoby przetwarzające dane są obowiązane zachować w poufności dane osobowe oraz sposoby ich zabezpieczenia.
5. Przekazywanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", odbywa się niezależnie od obowiązków organów przewidzianych w ustawie i nie wpływa na przebieg i wynik prowadzonych postępowań.
6. Administrator danych przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności organu skierowanej do osoby, której dane dotyczą, chyba że osoba posiada te informacje, a ich zakres lub treść nie uległy zmianie.
7. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje, ani nie ogranicza wykonywania przez organy właściwe w sprawach o naruszenie dyscypliny finansów publicznych realizacji zadań wynikających z przepisów prawa.";
2) po art. 173 dodaje się art. 173a w brzmieniu:
"Art. 173a. Przepis art. 173 ust. 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.".
Art. 83. W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 84. W ustawie z dnia 21 kwietnia 2005 r. o opłatach abonamentowych (Dz. U. z 2014 r. poz. 1204, z 2015 r. poz. 1324, z 2018 r. poz. 1717 oraz z 2019 r. poz. 572) w art. 5 dodaje się ust. 5-7 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 85. W ustawie z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (Dz. U. z 2015 r. poz. 1390) w art. 9c:
(zmianę pominięto przez redakcję)
Art. 86. W ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2018 r. poz. 2286, 2243 i 2244) wprowadza się następujące zmiany:
1) w art. 3 po pkt 4w dodaje się pkt 4x w brzmieniu:
"4x) rozporządzeniu 2016/679 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.);";
2) po art. 83j dodaje się art. 83k w brzmieniu:
"Art. 83k. Firmy inwestycyjne będące administratorami przetwarzającymi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679 nie są obowiązane do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia 2016/679, w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.";
3) w art. 149 w pkt 13 kropkę zastępuje się średnikiem i dodaje się pkt 14 w brzmieniu:
"14) Prezesa Urzędu Ochrony Danych Osobowych - w zakresie niezbędnym do realizacji przez niego ustawowych zadań.".
Art. 87. W ustawie z dnia 13 lipca 2006 r. o dokumentach paszportowych (Dz. U. z 2018 r. poz. 1919) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 88. W ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2019 r. poz. 298 i 326) po art. 4 dodaje się art. 4a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 89. W ustawie z dnia 25 sierpnia 2006 r. o biokomponentach i biopaliwach ciekłych (Dz. U. z 2018 r. poz. 1344, 1356 i 1629) w art. 15 ust. 3 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 90. W ustawie z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (Dz. U. z 2017 r. poz. 2195, z późn. zm.) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 91. W ustawie z dnia 12 stycznia 2007 r. o drogowych spółkach specjalnego przeznaczenia (Dz. U. z 2017 r. poz. 2093 oraz z 2018 r. poz. 12 i 1693) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 92. W ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2018 r. poz. 1401 i 1560) po art. 6c dodaje się art. 6d w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 93. W ustawie z dnia 15 czerwca 2007 r. o licencji doradcy restrukturyzacyjnego (Dz. U. z 2016 r. poz. 883 oraz z 2019 r. poz. 55) po art. 20 dodaje się art. 20a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 94. W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (Dz. U. z 2019 r. poz. 670) wprowadza się następujące zmiany:
1) w art. 15:
a) w ust. 8b w zdaniu pierwszym wyrazy "mogą być przetwarzane" zastępuje się wyrazami "są przetwarzane",
b) w ust. 8cb w zdaniu pierwszym wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
2) w art. 22 w ust. 1 wyrazy "mogą gromadzić i przetwarzać" zastępuje się wyrazem "przetwarzają";
3) po art. 22 dodaje się art. 22a w brzmieniu:
"Art. 22a. 1. Dane osobowe, o których mowa w art. 22 ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.".
Art. 95. W ustawie z dnia 17 października 2008 r. o zmianie imienia i nazwiska (Dz. U. z 2016 r. poz. 10) po art. 11 dodaje się art. 11a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 96. W ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 97. W ustawie z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. z 2018 r. poz. 1559) w art. 15 ust. 5 otrzymuje brzmienie:
"5. Szef Służby Cywilnej przetwarza dane osobowe członków korpusu służby cywilnej oraz zbiera, wykorzystuje i przetwarza inne informacje w celu realizacji ustawowych zadań.".
Art. 98. W ustawie z dnia 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (Dz. U. z 2018 r. poz. 624, 1045, 1443 i 1669) art. 56 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 99. W ustawie z dnia 2 kwietnia 2009 r. o obywatelstwie polskim (Dz. U. z 2018 r. poz. 1829) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 100. W ustawie z dnia 7 maja 2009 r. o zadośćuczynieniu rodzinom ofiar zbiorowych wystąpień wolnościowych w latach 1956-1989 (Dz. U. poz. 741, z 2011 r. poz. 622 oraz z 2014 r. poz. 496) w art. 4 w ust. 2:
(zmianę pominięto przez redakcję)
Art. 101. W ustawie z dnia 25 czerwca 2009 r. o rolnictwie ekologicznym (Dz. U. z 2017 r. poz. 1054 oraz z 2018 r. poz. 1616 i 1633) w art. 17:
(zmianę pominięto przez redakcję)
Art. 103. W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2018 r. poz. 2386 i 2243 oraz z 2019 r. poz. 326) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 104. W ustawie z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2018 r. poz. 1472) w art. 10 ust. 1 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 105. W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2019 r. poz. 681) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 106. W ustawie z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. z 2019 r. poz. 653) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 107. W ustawie z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 i 1544 oraz z 2019 r. poz. 60) wprowadza się następujące zmiany:
1) art. 6 otrzymuje brzmienie:
"Art. 6. 1. Rejestr PESEL jest centralnym zbiorem danych, o których mowa w art. 8, prowadzonym w systemie teleinformatycznym.
2. Utrzymanie i rozwój rejestru PESEL, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym:
1) zapewnia ochronę przed nieuprawnionym dostępem do rejestru PESEL;
2) zapewnia integralność danych w rejestrze PESEL;
3) zapewnia dostępność systemu teleinformatycznego, w którym rejestr PESEL jest prowadzony, dla podmiotów przetwarzających dane w tym rejestrze;
4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym rejestr PESEL jest prowadzony;
5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
6) określa zasady zgłaszania naruszenia ochrony danych osobowych;
7) zapewnia rozliczalność działań dokonywanych na danych rejestru PESEL;
8) zapewnia poprawność danych przetwarzanych w rejestrze PESEL.
3. Minister właściwy do spraw wewnętrznych na wniosek ministra właściwego do spraw informatyzacji może uczestniczyć w realizacji zadań związanych z rozwojem rejestru PESEL oraz zapewnieniem poprawności danych w tym rejestrze.
4. Minister właściwy do spraw wewnętrznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp do rejestru PESEL organom, o których mowa w ust. 7, z wyłączeniem konsulów.
5. Minister właściwy do spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej konsulom dostęp do rejestru PESEL.
6. Minister właściwy do spraw informatyzacji wykonuje obowiązki, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).
7. W celu realizacji zadań określonych w ustawie organ gminy, kierownik urzędu stanu cywilnego, organy paszportowe, wojewoda, minister właściwy do spraw wewnętrznych oraz minister właściwy do spraw informatyzacji posiadają dostęp do rejestru.";
2) po art. 6 dodaje się art. 6a w brzmieniu:
"Art. 6a. 1. Rejestr mieszkańców jest prowadzony zgodnie z właściwością miejscową przez wójta (burmistrza, prezydenta miasta), zwanego dalej "organem gminy".
2. Utrzymanie i rozwój rejestru mieszkańców zapewnia organ właściwy do jego prowadzenia, który w zakresie tego rejestru podejmuje działania wskazane w art. 6 ust. 2.";
3) w art. 10 po ust. 6 dodaje się ust. 6a w brzmieniu:
"6a. Zapisy w dziennikach systemów (logach) przechowywane są przez 5 lat od dnia ich utworzenia.";
4) w art. 11 po ust. 2a dodaje się ust. 2b i 2c w brzmieniu:
"2b. Usunięcie niezgodności może polegać w szczególności na sprostowaniu danych nieprawidłowych lub uzupełnieniu danych.
2c. Wniosek, o którym mowa w ust. 1, zawiera imię (imiona) i nazwisko, numer PESEL, adres do korespondencji - jeżeli korespondencja ma być prowadzona drogą pocztową, oraz uzasadnienie.";
5) po art. 12 dodaje się art. 12a w brzmieniu:
"Art. 12a. Danych i zapisów zgromadzonych w rejestrze PESEL i rejestrach mieszkańców nie usuwa się, z zastrzeżeniem art. 10 ust. 6 i 6a.";
6) uchyla się art. 45a;
7) w art. 47 ust. 3a otrzymuje brzmienie:
"3a. Organ, który otrzymał wniosek w formie, o której mowa w ust. 1, skierowany przez podmiot zobowiązany na podstawie art. 48 do korzystania z urządzeń teletransmisji danych, odmawia, w drodze postanowienia, wszczęcia postępowania.";
8) w art. 48 ust. 2 otrzymuje brzmienie:
"2. Podmiotom, o których mowa w art. 46 ust. 1, które nie posiadają decyzji o wyrażeniu zgody na udostępnienie danych za pomocą urządzeń teletransmisji danych, o której mowa w art. 51 ust. 1 pkt 1, dane z rejestru PESEL albo rejestru mieszkańców udostępnia się w sposób określony w art. 47 w liczbie nieprzekraczającej trzystu danych jednostkowych w roku kalendarzowym.".
Art. 108. W ustawie z dnia 16 grudnia 2010 r. o publicznym transporcie zbiorowym (Dz. U. z 2018 r. poz. 2016 i 2435) po art. 6 dodaje się art. 6a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 109. W ustawie z dnia 4 lutego 2011 r. o opiece nad dziećmi w wieku do lat 3 (Dz. U. z 2019 r. poz. 409) w art. 3a w ust. 2 wyrazy "mogą przetwarzać" zastępuje się wyrazem "przetwarzają".
Art. 110. W ustawie z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219 oraz z 2019 r. poz. 492) wprowadza się następujące zmiany:
1) w art. 23 ust. 2 otrzymuje brzmienie:
"2. Przepisu ust. 1 nie stosuje się do praktyk zawodowych, o których mowa w art. 18 ust. 4 i 6, art. 19 ust. 4 i 6 oraz art. 19a ust. 3, jeżeli w ramach tych praktyk nie prowadzi się obserwacji pomieszczeń, o której mowa w art. 23a ust. 1.";
2) po art. 23 dodaje się art. 23a w brzmieniu:
"Art. 23a. 1. Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
1) ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,
2) w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych
- za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).
2. Nagrania obrazu uzyskane w wyniku monitoringu, o którym mowa w ust. 1 pkt 1, zawierające dane osobowe, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
3. Po upływie okresu, o którym mowa w ust. 2, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.";
3) w art. 24 ust. 2 otrzymuje brzmienie:
"2. Aktualne informacje, o których mowa w ust. 1 pkt 4, 9, 11 i 12 oraz art. 23a ust. 1, podaje się do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia.".
Art. 111. W ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2019 r. poz. 408) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 112. W ustawie z dnia 12 maja 2011 r. o Krajowej Radzie Sądownictwa (Dz. U. z 2019 r. poz. 84 i 609) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 113. W ustawie z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2018 r. poz. 993 i 1075) w art. 10 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 114. W ustawie z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (Dz. U. z 2018 r. poz. 998, 1076, 1544 i 2245) wprowadza się następujące zmiany:
1) w art. 7:
a) w ust. 1 wyrazy "mogą przetwarzać" zastępuje się wyrazem "przetwarzają",
b) uchyla się ust. 2,
c) dodaje się ust. 4 w brzmieniu:
"4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.";
2) w art. 161 dodaje się ust. 5 w brzmieniu:
"5. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.".
Art. 115. W ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. poz. 1092) w art. 55 w ust. 2 po wyrazach "Kontroler udostępnia akta kontroli po anonimizacji" dodaje się wyrazy "lub pseudonimizacji".
Art. 116. W ustawie z dnia 18 sierpnia 2011 r. o bezpieczeństwie osób przebywających na obszarach wodnych (Dz. U. z 2018 r. poz. 1482) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 117. W ustawie z dnia 18 sierpnia 2011 r. o bezpieczeństwie i ratownictwie w górach i na zorganizowanych terenach narciarskich (Dz. U. poz. 1241, z 2013 r. poz. 7 oraz z 2018 r. poz. 1115) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 118. W ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2019 r. poz. 659) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 119. W ustawie z dnia 19 sierpnia 2011 r. o weteranach działań poza granicami państwa (Dz. U. z 2018 r. poz. 937 i 2018) po art. 38 dodaje się art. 38a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 120. W ustawie z dnia 19 sierpnia 2011 r. o przewozie towarów niebezpiecznych (Dz. U. z 2019 r. poz. 382 i 534) po art. 14 dodaje się art. 14a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 121. W ustawie z dnia 28 czerwca 2012 r. o spłacie niektórych niezaspokojonych należności przedsiębiorców, wynikających z realizacji udzielonych zamówień publicznych (Dz. U. z 2019 r. poz. 580) po art. 12 dodaje się art. 12a w brzmieniu:
"Art. 12a. 1. Generalny Dyrektor, realizując zadania określone w ustawie, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przy pierwszej czynności skierowanej do wykonawcy lub przedsiębiorcy, chyba że posiadają oni te informacje, a ich zakres lub treść nie uległy zmianie.
2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na prawa i obowiązki Generalnego Dyrektora wynikające z ustawy, w tym na dokonywanie weryfikacji, o której mowa w art. 5 ust. 3, wypłatę kwot, o których mowa w art. 7 ust. 1, oraz prawo do roszczeń, o których mowa w art. 11 ust. 1 i 2.".
Art. 122. W ustawie z dnia 31 sierpnia 2012 r. o Państwowej Komisji Badania Wypadków Morskich (Dz. U. z 2018 r. poz. 925 i 1669) po art. 34 dodaje się art. 34a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 123. W ustawie z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2019 r. poz. 701) wprowadza się następujące zmiany:
1) w art. 80 po ust. 1 dodaje się ust. 1a-1c w brzmieniu:
"1a. Marszałek województwa w celu realizacji zadań związanych z prowadzeniem BDO przetwarza dane osobowe i jest administratorem tych danych.
1b. Dane osobowe, o których mowa w ust. 1a, przechowuje się:
1) w przypadku ewidencji odpadów - przez okres 5 lat od końca roku kalendarzowego, w którym zostały sporządzone dokumenty ewidencji odpadów;
2) w przypadku pozostałych danych - przez okres 100 lat od końca roku kalendarzowego, w którym zostały sporządzone dokumenty zawierające te dane.
1c. Dane osobowe, o których mowa w ust. 1a, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.";
2) w art. 81 po ust. 1 dodaje się ust. 1a w brzmieniu:
"1a. Administratorem danych osobowych przetwarzanych w systemie BDO jest minister właściwy do spraw środowiska.".
Art. 124. W ustawie z dnia 11 października 2013 r. o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych (Dz. U. z 2018 r. poz. 425) po art. 11 dodaje się art. 11a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 125. W ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (Dz. U. z 2018 r. poz. 867 i 1115) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 126. W ustawie z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2019 r. poz. 134) po art. 4 dodaje się art. 4a w brzmieniu:
"Art. 4a. 1. Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.
2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679.
3. Przepisu ust. 1 nie stosuje się do administratora danych, który:
1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub
2) udostępnia dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, innym administratorom, z wyjątkiem przypadku gdy:
a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo
b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.".
Art. 127. W ustawie z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (Dz. U. z 2018 r. poz. 1431 i 1544 oraz z 2019 r. poz. 60) w art. 71 ust. 1 otrzymuje brzmienie:
"1. Minister właściwy do spraw rozwoju regionalnego jest administratorem danych osobowych gromadzonych w centralnym systemie teleinformatycznym.".
Art. 128. W ustawie z dnia 29 sierpnia 2014 r. o charakterystyce energetycznej budynków (Dz. U. z 2018 r. poz. 1984) po art. 38 dodaje się art. 38a i art. 38b w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 129. W ustawie z dnia 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (Dz. U. z 2018 r. poz. 2224) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 130. W ustawie z dnia 28 listopada 2014 r. o komisjach lekarskich podległych ministrowi właściwemu do spraw wewnętrznych (Dz. U. z 2019 r. poz. 345) po art. 4 dodaje się art. 4a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 131. W ustawie z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny (Dz. U. z 2017 r. poz. 1832, z późn. zm.) w art. 21:
(zmianę pominięto przez redakcję)
Art. 132. W ustawie z dnia 19 grudnia 2014 r. o rybołówstwie morskim (Dz. U. z 2019 r. poz. 586 i 642) po art. 114 dodaje się art. 114a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 133. W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U. z 2018 r. poz. 2389 i 2245 oraz z 2019 r. poz. 42 i 60) w art. 159 uchyla się ust. 1.
Art. 134. W ustawie z dnia 20 marca 2015 r. o działaczach opozycji antykomunistycznej oraz osobach represjonowanych z powodów politycznych (Dz. U. z 2018 r. poz. 690) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 135. W ustawie z dnia 12 czerwca 2015 r. o systemie handlu uprawnieniami do emisji gazów cieplarnianych (Dz. U. z 2018 r. poz. 1201 i 2538) w art. 7 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 136. W ustawie z dnia 25 czerwca 2015 r. o leczeniu niepłodności (Dz. U. z 2017 r. poz. 865) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 137. W ustawie z dnia 10 lipca 2015 r. o wspieraniu zrównoważonego rozwoju sektora rybackiego z udziałem Europejskiego Funduszu Morskiego i Rybackiego (Dz. U. z 2017 r. poz. 1267) w art. 25 po ust. 1 dodaje się ust. 1a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 138. W ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r. poz. 381) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 139. W ustawie z dnia 9 października 2015 r. o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA (Dz. U. z 2017 r. poz. 1858 oraz z 2019 r. poz. 694) w art. 11 dodaje się ust. 3 w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 140. W ustawie z dnia 9 października 2015 r. o rewitalizacji (Dz. U. z 2018 r. poz. 1398) wprowadza się następujące zmiany:
(zmianę pominięto przez redakcję)
Art. 141. W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. z 2018 r. poz. 2134 i 2354 oraz z 2019 r. poz. 60, 303 i 577) wprowadza się następujące zmiany:
1) w art. 12 w ust. 3 wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
2) w art. 14:
a) w ust. 3 zdanie pierwsze otrzymuje brzmienie:
"Informacje, o których mowa w ust. 2, są przetwarzane przez ministra właściwego do spraw rodziny i wojewodę w celu monitorowania realizacji świadczeń wychowawczych oraz w celu umożliwienia organom właściwym i wojewodom weryfikacji prawa do świadczeń wychowawczych oraz przez podmioty wymienione w ust. 4 w celu, w jakim informacje te zostały im udostępnione.",
b) w ust. 4a w zdaniu pierwszym wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
3) po art. 14 dodaje się art. 14a w brzmieniu:
"Art. 14a. 1. Bank krajowy oraz spółdzielcza kasa oszczędnościowo-kredytowa, o których mowa w art. 13 ust. 5 pkt 3, oraz Zakład Ubezpieczeń Społecznych, na potrzeby złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, składanych w postaci elektronicznej za pomocą systemu, o którym mowa odpowiednio w art. 13 ust. 5 pkt 2 lub 3, w imieniu organu właściwego, przetwarzają następujące dane osobowe dotyczące osób ubiegających się o świadczenie wychowawcze oraz członków ich rodzin:
1) imię i nazwisko;
2) datę urodzenia;
3) adres miejsca zamieszkania;
4) stan cywilny;
5) obywatelstwo;
6) płeć;
7) numer PESEL, a w przypadku gdy nie nadano numeru PESEL - numer i serię dokumentu potwierdzającego tożsamość;
8) adres poczty elektronicznej i numer telefonu - w przypadku osoby występującej o przyznanie świadczenia wychowawczego - o ile je posiada;
9) dochód;
10) informacje wynikające z zaświadczeń i oświadczeń, o których mowa w art. 13 ust. 4 pkt 3.
2. Osoby upoważnione przez bank krajowy, spółdzielczą kasę oszczędnościowo-kredytową albo Zakład Ubezpieczeń Społecznych do przetwarzania danych osobowych, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.
3. Bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa oraz Zakład Ubezpieczeń Społecznych zapewniające możliwość złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, za pomocą systemu, o którym mowa odpowiednio w art. 13 ust. 5 pkt 2 lub 3, zapewniają niezbędne środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa przetwarzanych danych osobowych, o których mowa w ust. 1, oraz środki określone w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).
4. Bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa oraz Zakład Ubezpieczeń Społecznych zapewniające możliwość złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, za pomocą systemu, o którym mowa odpowiednio w art. 13 ust. 5 pkt 2 lub 3, udostępniają organowi właściwemu informacje służące potwierdzeniu spełniania obowiązków określonych w art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a także umożliwiają organowi właściwemu przeprowadzenie audytów i inspekcji.
5. W przypadku gdy bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa lub Zakład Ubezpieczeń Społecznych, w celu umożliwienia złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, za pomocą systemu, o którym mowa w art. 13 ust. 5 pkt 2 lub 3, korzystają z usług innego podmiotu, który będzie przetwarzał dane osobowe, o których mowa w ust. 1, podmiot ten przetwarza dane osobowe w imieniu organu właściwego. Przepisy ust. 2-4 oraz art. 13 ust. 21 stosuje się odpowiednio.";
4) w art. 24:
a) w ust. 1 wyrazy "mogą przetwarzać" zastępuje się wyrazem "przetwarzają",
b) po ust. 1 dodaje się ust. 1a-1c w brzmieniu:
"1a. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:
1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych lub podmiot przetwarzający;
2) pisemnym obowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.
1b. Osoby przetwarzające dane osobowe, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.
1c. W przypadku określonym w art. 14a pisemne upoważnienie, o którym mowa w ust. 1a pkt 1, wydaje odpowiednio bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa albo Zakład Ubezpieczeń Społecznych.".
Art. 142. W ustawie z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2018 r. poz. 1243 i 1669) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 143. W ustawie z dnia 29 kwietnia 2016 r. o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji działalności organów Krajowej Administracji Skarbowej (Dz. U. z 2017 r. poz. 2192 oraz z 2019 r. poz. 492) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 144. W ustawie z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym (Dz. U. z 2018 r. poz. 405) w art. 5 ust. 2 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 145. W ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji (Dz. U. z 2017 r. poz. 1937, z późn. zm.) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 146. W ustawie z dnia 21 października 2016 r. o umowie koncesji na roboty budowlane lub usługi (Dz. U. poz. 1920 oraz z 2018 r. poz. 1669 i 1693) wprowadza się następujące zmiany:
1) w art. 13 po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. Zamawiający udostępnia dane osobowe, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w rozdziale 10, do upływu terminu na ich wniesienie.";
2) po art. 13 dodaje się art. 13a w brzmieniu:
"Art. 13a. Zamawiający przechowuje dokumentację postępowania, w tym umowę koncesji, przez okres 5 lat od dnia zakończenia postępowania o zawarcie umowy koncesji, w sposób gwarantujący jej nienaruszalność. Jeżeli czas trwania umowy koncesji przekracza 5 lat, zamawiający przechowuje umowę przez cały czas jej trwania.";
3) po art. 16 dodaje się art. 16a w brzmieniu:
"Art. 16a. 1. Zamawiający realizuje obowiązki, o których mowa w art. 13 ust. 1-3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji, w dokumentach koncesji lub przy pierwszej czynności skierowanej do wykonawcy.
2. W przypadku gdy w postępowaniu o zawarcie umowy koncesji albo po jego zakończeniu wykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności nazwy lub daty postępowania o zawarcie umowy koncesji.
3. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 rozporządzenia 2016/679, nie może skutkować zmianą wyniku postępowania o zawarcie umowy koncesji ani zmianą postanowień umowy koncesji w zakresie niezgodnym z ustawą oraz naruszeniem integralności przechowywanej dokumentacji postępowania.
4. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o zawarcie umowy koncesji.
5. Zamawiający informuje o ograniczeniach stosowania przepisów rozporządzenia 2016/679, o których mowa w ust. 2 i 4, na stronie internetowej prowadzonego postępowania, w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji, w dokumentach koncesji lub w inny sposób dostępny dla osoby, której dane dotyczą.";
4) po art. 18 dodaje się art. 18a w brzmieniu:
"Art. 18a. 1. W przypadku danych osobowych zamieszczonych przez zamawiającego w Biuletynie Zamówień Publicznych prawa, o których mowa w art. 15 i art. 16 rozporządzenia 2016/679, są wykonywane w drodze żądania skierowanego do zamawiającego.
2. Prezes Urzędu Zamówień Publicznych zapewnia techniczne utrzymanie systemu teleinformatycznego, przy użyciu którego udostępniany jest Biuletyn Zamówień Publicznych, oraz określa okres przechowywania danych osobowych zamieszczanych w Biuletynie Zamówień Publicznych.";
5) w art. 26 dodaje się ust. 8 w brzmieniu:
"8. Sposób dokumentowania zatrudnienia oraz uprawnienia zamawiającego, o których mowa w ust. 7 pkt 1 i 2, uwzględniają możliwość żądania przez zamawiającego:
1) oświadczenia koncesjonariusza lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,
2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,
3) innych dokumentów
- zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności: imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę, zakres obowiązków pracownika.";
6) w art. 29 dodaje się ust. 7 w brzmieniu:
"7. Zamawiający przetwarza dane osobowe zebrane w toku oraz po zakończeniu postępowania o zawarcie umowy koncesji w sposób gwarantujący ich zabezpieczenie przed ich bezprawnym rozpowszechnianiem.";
7) w art. 30 dodaje się ust. 6 w brzmieniu:
"6. Do przetwarzania danych osobowych, o których mowa w art. 10 rozporządzenia 2016/679, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w poufności.".
Art. 147. W ustawie z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2018 r. poz. 508, z późn. zm.) wprowadza się następujące zmiany:
1) po art. 34 dodaje się art. 34a w brzmieniu:
"Art. 34a. 1. Organ KAS może upoważnić do przetwarzania danych osobowych osoby zatrudnione lub funkcjonariuszy pełniących służbę w jednostkach organizacyjnych KAS w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organ KAS prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych.
2. Przepis ust. 1 stosuje się odpowiednio do Krajowej Szkoły Skarbowości.";
2) w art. 35:
a) w ust. 3 w pkt 1 lit. d otrzymuje brzmienie:
"d) innych dokumentów i informacji przekazanych organom KAS w celu realizacji zadań ustawowych;",
b) ust. 4 otrzymuje brzmienie:
"4. Szef Krajowej Administracji Skarbowej, dyrektor Krajowej Informacji Skarbowej, dyrektor izby administracji skarbowej, naczelnik urzędu skarbowego oraz naczelnik urzędu celno-skarbowego wprowadzają do CRDP dane zawarte w dokumentach i informacjach, o których mowa w ust. 3 pkt 1.";
3) w art. 47:
a) w ust. 1 część wspólna otrzymuje brzmienie:
"- mogą przetwarzać niezbędne informacje zawierające dane osobowe.",
b) ust. 2 otrzymuje brzmienie:
"2. Dane, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", mogą być przetwarzane przez organy KAS wyłącznie, gdy jest to niezbędne ze względu na zakres lub charakter prowadzonego postępowania lub przeprowadzanych czynności.";
4) po art. 47a dodaje się art. 47b-47e w brzmieniu:
"Art. 47b. Organy KAS przetwarzają dane osobowe, w tym w CRDP, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów.
Art. 47c. Prowadzenie działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk pozostających we właściwości KAS oraz dokonywanie analizy ryzyka, o których mowa w art. 2 ust. 1 pkt 10 i 12a, może polegać na zautomatyzowanym przetwarzaniu danych lub na zautomatyzowanym podejmowaniu decyzji w tym profilowaniu, wywołującym skutki prawne wobec osoby profilowanej lub której dane podlegają zautomatyzowanemu przetwarzaniu.
Art. 47d. 1. W celu wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, organy KAS mogą udostępniać informacje o przetwarzaniu danych osobowych w miejscu publicznie dostępnym w siedzibie organu KAS oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ. W takim przypadku organ KAS podczas pozyskiwania danych osobowych przekazuje osobie, której dane dotyczą, informacje o miejscu udostępnienia tych informacji.
2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów KAS i nie wpływa na przebieg i wynik procedur, o których mowa w działach IV i V.
Art. 47e. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych KAS;
6) zapewnieniu integralności danych w systemach informatycznych KAS;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.";
5) po art. 145 dodaje się art. 145a w brzmieniu:
"Art. 145a. 1. Przetwarzanie danych osobowych, o których mowa w:
1) art. 9 ust. 1 rozporządzenia 2016/679, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe oraz danych genetycznych,
2) art. 10 rozporządzenia 2016/679
- dotyczących funkcjonariuszy, jest dopuszczalne wyłącznie w zakresie, w jakim jest to niezbędne do realizacji zadania ministra właściwego do spraw finansów publicznych, Szefa Krajowej Administracji Skarbowej lub dyrektora izby administracji skarbowej nałożonego przepisem prawa.
2. Przetwarzanie danych biometrycznych funkcjonariusza jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony lub szczególnie ważnych informacji, których ujawnienie może narazić na szkodę organy, o których mowa w ust. 1.
3. Do przetwarzania danych osobowych, o których mowa w ust. 1, mogą być dopuszczeni wyłącznie funkcjonariusze posiadający pisemne upoważnienie do przetwarzania takich danych wydane przez Szefa Krajowej Administracji Skarbowej lub dyrektora izby administracji skarbowej. Funkcjonariusze dopuszczeni do przetwarzania takich danych są obowiązani do zachowania ich w tajemnicy.
4. W zakresie nieuregulowanym ustawą do spraw związanych z przetwarzaniem danych osobowych przepisy art. 222 i art. 223 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.), zwanej dalej "Kodeksem pracy", stosuje się odpowiednio.";
6) art. 214 otrzymuje brzmienie:
"Art. 214. Do funkcjonariusza stosuje się przepisy Kodeksu pracy dotyczące uprawnień pracowników związanych z rodzicielstwem, chyba że przepisy ustawy są korzystniejsze.".
Art. 148. W ustawie z dnia 14 grudnia 2016 r. - Prawo oświatowe (Dz. U. z 2018 r. poz. 996, 1000, 1290, 1669 i 2245 oraz z 2019 r. poz. 534) wprowadza się następujące zmiany:
1) po art. 30 dodaje się art. 30a w brzmieniu:
"Art. 30a. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.
2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.
3. Przepisu ust. 2 nie stosuje się:
1) w przypadku zagrożenia zdrowia ucznia;
2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;
3) w przypadku gdy przewidują to przepisy szczególne.";
2) w art. 68 w ust. 1 w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12 w brzmieniu:
"12) wdraża odpowiednie środki techniczne i organizacyjne zapewniające zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.".
Art. 149. W ustawie z dnia 15 grudnia 2016 r. o Prokuratorii Generalnej Rzeczypospolitej Polskiej (Dz. U. poz. 2261, z 2018 r. poz. 723, 1544 i 1669 oraz z 2019 r. poz. 60) po art. 6 dodaje się art. 6a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 150. W ustawie z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (Dz. U. z 2018 r. poz. 1182, z późn. zm.) po art. 8 dodaje się art. 8a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 151. W ustawie z dnia 16 grudnia 2016 r. - Przepisy wprowadzające ustawę o zasadach zarządzania mieniem państwowym (Dz. U. poz. 2260 oraz z 2018 r. poz. 1669 i 2159) po art. 109 dodaje się art. 109a w brzmieniu:
(zmianę pominięto przez redakcję)
Art. 152. W ustawie z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz. U. z 2019 r. poz. 648 i 694) wprowadza się następujące zmiany:
1) w art. 6 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
"2. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;
6) zapewnieniu integralności danych w systemach informatycznych;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.";
2) w art. 30 ust. 1 otrzymuje brzmienie:
"1. Raportująca instytucja finansowa wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w terminie pozwalającym na zrealizowanie przez osobę raportowaną jej uprawnień, określonych w art. 15-20 tego rozporządzenia, przed przekazaniem informacji, o których mowa w art. 33 ust. 1 oraz art. 36 ust. 1.".
Art. 153. W ustawie z dnia 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów (Dz. U. z 2018 r. poz. 2332) w art. 4 uchyla się ust. 6.
Art. 154. W ustawie z dnia 21 kwietnia 2017 r. o zwalczaniu dopingu w sporcie (Dz. U. poz. 1051 oraz z 2018 r. poz. 2245 i 2320) wprowadza się następujące zmiany:
(zmiany pominięto przez redakcję)
Art. 155. W ustawie z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (Dz. U. poz. 1089 oraz z 2018 r. poz. 398, 1669, 2193 i 2243) wprowadza się następujące zmiany:
1) po art. 2 dodaje się art. 2a i art. 2b w brzmieniu:
"Art. 2a. Polska Izba Biegłych Rewidentów jest administratorem danych przetwarzanych w celach realizacji zadań lub obowiązków przez organy samorządu biegłych rewidentów, związanych z działalnością Komisji Egzaminacyjnej, zwanej dalej "Komisją", oraz organizacją egzaminów dla kandydatów na biegłych rewidentów.
Art. 2b. 1. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014 podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.
2. Dane osobowe podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:
1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;
2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;
3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;
4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych;
5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;
6) zapewnieniu integralności danych w systemach informatycznych;
7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.
3. Obowiązek zachowania tajemnicy, o której mowa w art. 78 i art. 95, nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych w związku z wykonywaniem zawodu biegłego rewidenta albo wykonywaniem zadań przez podmioty, o których mowa w tych przepisach, występuje Prezes Urzędu Ochrony Danych Osobowych.";
2) w art. 4 w ust. 2 w pkt 5 w części wspólnej skreśla się wyrazy "Egzaminacyjną, zwaną dalej "Komisją" ".
Art. 156. W ustawie z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. z 2019 r. poz. 357) art. 20 otrzymuje brzmienie:
(zmianę pominięto przez redakcję)
Art. 157. W ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. poz. 723, 1075, 1499 i 2215 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:
1) w art. 34 uchyla się ust. 6;
2) art. 66 otrzymuje brzmienie:
"Art. 66. Do przetwarzania danych osobowych zgromadzonych w Rejestrze nie stosuje się przepisów art. 15 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).".
Art. 158. W ustawie z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz. U. poz. 647, 1544, 1629 i 2244 oraz z 2019 r. poz. 60) uchyla się art. 50.
Art. 159. W ustawie z dnia 22 marca 2018 r. o komornikach sądowych (Dz. U. poz. 771, 1443, 1669 i 2244 oraz z 2019 r. poz. 55) wprowadza się następujące zmiany:
1) w art. 158 ust. 3 otrzymuje brzmienie:
"3. Minister Sprawiedliwości jest administratorem systemu teleinformatycznego służącego do przetwarzania danych osobowych zawartych w dokumentacji, o której mowa w art. 155 ust. 1 i art. 156.";
2) po art. 159 dodaje się art. 159a w brzmieniu:
"Art. 159a. 1. Dane osobowe zawarte w systemie teleinformatycznym, utworzonym do dnia 1 stycznia 2021 r., o którym mowa w art. 158 ust. 1, podlegają z dniem uruchomienia systemu zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu, w szczególności poprzez stosowanie proporcjonalnych środków technicznych i organizacyjnych gwarantujących zapewnienie ochrony przed nieuprawnionym dostępem do systemu teleinformatycznego.
2. Administratorami danych znajdujących się w systemie są komornicy w zakresie, w jakim dane te dotyczą prowadzonych przez nich spraw.";
3) po art. 164 dodaje się art. 164a w brzmieniu:
"Art. 164a. 1. Wykonując obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.102)), zwanego dalej "rozporządzeniem 2016/679", komornik:
1) przekazuje osobie, której dane dotyczą, informacje, o których mowa w art. 13 ust. 1 lit. a i c rozporządzenia 2016/679, podczas pozyskiwania od niej tych danych;
2) udostępnia w miejscu publicznie dostępnym w siedzibie kancelarii lub na stronie internetowej kancelarii pozostałe podlegające udostępnieniu informacje, o czym informuje osobę, której dane dotyczą, podczas pozyskiwania od niej danych osobowych.
2. Obowiązki wynikające z art. 15 rozporządzenia 2016/679 realizowane są na zasadach określonych w art. 9 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego i wyłącznie w zakresie, w jakim nie narusza to obowiązku zachowania przez komornika tajemnicy zawodowej, o której mowa w art. 27.
3. W zakresie prowadzonych postępowań lub czynności podejmowanych przez komornika na podstawie art. 3 ust. 3 i ust. 4 pkt 1 i 2 ustawy, przepis art. 16 rozporządzenia 2016/679 stosuje się wyłącznie w zakresie i na zasadach przewidzianych w ustawie z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego.
4. W ramach wykonywania przez komornika zadań, o których mowa w art. 3 ust. 3 i ust. 4 pkt 1 i 2, skorzystanie przez daną osobę z prawa do ograniczenia przetwarzania danych osobowych, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, odbywa się wyłącznie w sposób przewidziany w art. 767 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego.".
Art. 160. W ustawie z dnia 9 maja 2018 r. o zmianie ustawy - Prawo o ruchu drogowym oraz niektórych innych ustaw (Dz. U. poz. 957) po art. 16 dodaje się art. 16a w brzmieniu:
"Art. 16a. Do dnia wskazanego w komunikacie, o którym mowa w art. 16 ust. 2, policjant zatrzyma prawo jazdy za pokwitowaniem w razie przekroczenia przez kierującego pojazdem liczby 24 punktów otrzymanych za naruszenia, o których mowa w art. 130 ustawy zmienianej w art. 1. Przepisy art. 135 ust. 2, art. 136 ust. 1 i 1a oraz art. 139 ustawy zmienianej w art. 1 stosuje się odpowiednio.".
Art. 161. W ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669) wprowadza się następujące zmiany:
1) po art. 5 dodaje się art. 5a w brzmieniu:
"Art. 5a. 1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:
1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;
2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:
a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,
b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,
c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,
d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,
e) prowadzenie kontroli, w tym kontroli celno-skarbowych.
2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.";
2) po art. 6 dodaje się art. 6a w brzmieniu:
"Art. 6a. 1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4-7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28-30, art. 32, art. 34, art. 35, art. 37-39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy.
2. Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.";
3) po art. 11 dodaje się art. 11a w brzmieniu:
"Art. 11a. 1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 rozporządzenia 2016/679.
2. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora.
3. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie określonym w art. 10 oraz udostępnia jej dane zgodnie z art. 11.";
4) w art. 57 ust. 1 otrzymuje brzmienie:
"1. Administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 rozporządzenia 2016/679.";
5) po art. 101 dodaje się art. 101a w brzmieniu:
"Art. 101a. 1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, o którym mowa w art. 101, jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.
2. W przypadku niedostarczenia danych przez podmiot, o którym mowa w art. 101, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.";
6) w art. 108 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
"2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.".
Art. 162. W ustawie z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz. U. poz. 1668, z późn. zm.) wprowadza się następujące zmiany:
1) w art. 176 pkt 1 otrzymuje brzmienie:
"1) art. 24 ust. 9, art. 177-180, art. 182-226, art. 259-262, art. 264, art. 266, art. 267 ust. 1, art. 268-270, art. 322, art. 343, art. 345, art. 346, art. 348-350, art. 351 ust. 4, art. 354, art. 355, art. 360-362, art. 408, art. 409 ust. 2-5, art. 410, art. 411, art. 420, art. 423, art. 425-428, art. 432, art. 469a i art. 469b;";
2) w art. 258 uchyla się ust. 3;
3) po dziale XIV dodaje się dział XIVa w brzmieniu:
"Dział XIVa
Przetwarzanie danych osobowych
Art. 469a. Obowiązek wynikający z realizacji żądania zgłoszonego na podstawie art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", wykonuje podmiot, który pozyskał dane od osoby, której dane dotyczą.
Art. 469b. 1. Do przetwarzania danych osobowych przez podmioty, o których mowa w art. 7 ust. 1 pkt 1 i 4-7, do celów badań naukowych i prac rozwojowych wyłącza się stosowanie przepisów art. 15, art. 16, art. 18 i art. 21 rozporządzenia 2016/679, jeżeli zachodzi prawdopodobieństwo, że prawa określone w tych przepisach uniemożliwią lub poważnie utrudnią realizację celów badań naukowych i prac rozwojowych, i jeżeli wyłączenia te są konieczne do realizacji tych celów.
2. W zakresie niezbędnym do prowadzenia badań naukowych i prac rozwojowych dopuszcza się przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, pod warunkiem że publikowanie wyników tych badań i prac następuje w sposób uniemożliwiający identyfikację osoby fizycznej, której dane zostały przetworzone.
3. Przy przetwarzaniu danych osobowych, o których mowa w ust. 1 i 2, administrator danych wdraża odpowiednie zabezpieczenia techniczne i organizacyjne praw i wolności osób fizycznych, których dane osobowe są przetwarzane, zgodnie z rozporządzeniem 2016/679, w szczególności przez pseudonimizację albo szyfrowanie danych, nadawanie uprawnień do ich przetwarzania minimalnej liczbie osób niezbędnych do prowadzenia badań naukowych i prac rozwojowych, kontrolę dostępu do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, oraz opracowanie procedury określającej sposób zabezpieczenia danych.
4. Dane osobowe, o których mowa w ust. 1 i 2, poddaje się anonimizacji niezwłocznie po osiągnięciu celu badań naukowych lub prac rozwojowych. Do tego czasu dane, które można wykorzystać do identyfikacji danej osoby fizycznej, zapisuje się osobno. Można je łączyć z informacjami szczegółowymi dotyczącymi danej osoby fizycznej wyłącznie, jeżeli wymaga tego cel badań naukowych lub prac rozwojowych.
5. Do przetwarzania danych osobowych w celu przygotowania pracy dyplomowej lub rozprawy doktorskiej wymaganej do uzyskania odpowiednio dyplomu ukończenia studiów lub stopnia naukowego przepisy ust. 1-4 stosuje się.".
Art. 163. 1. Pracodawca, który w dniu wejścia w życie niniejszej ustawy stosuje monitoring pomieszczeń udostępnianych zakładowej organizacji związkowej, o którym mowa w art. 222 § 2 ustawy zmienianej w art. 4 w brzmieniu dotychczasowym, w terminie 14 dni od dnia wejścia w życie niniejszej ustawy zaprzestaje stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową.
2. Pracodawca, który w dniu wejścia w życie niniejszej ustawy stosuje monitoring pomieszczeń sanitarnych, o którym mowa w art. 222 § 2 ustawy zmienianej w art. 4 w brzmieniu dotychczasowym, jest zobowiązany do uzyskania zgody na dalsze stosowanie monitoringu zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa - zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy, nie później niż w terminie 30 dni od dnia wejścia w życie niniejszej ustawy. W terminie 3 dni od dnia odmowy udzielenia zgody albo od dnia upływu 30-dniowego terminu na jej udzielenie, pracodawca zaprzestaje stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową albo przedstawicieli pracowników.
Art. 164. Dotychczasowe przepisy wykonawcze wydane na podstawie:
1) art. 14g ust. 5 ustawy zmienianej w art. 20 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 14g ust. 3 ustawy zmienianej w art. 20, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 24 miesięcy od dnia wejścia w życie niniejszej ustawy;
2) art. 21 ust. 3 ustawy zmienianej w art. 33 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 21 ust. 3 ustawy zmienianej w art. 33, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
3) art. 6 ust. 3 ustawy zmienianej w art. 55 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 6 ust. 11 ustawy zmienianej w art. 55, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
4) art. 33 ust. 5 ustawy zmienianej w art. 75 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 33 ust. 5 ustawy zmienianej w art. 75, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
5) art. 38 ust. 9 ustawy zmienianej w art. 138 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 38 ust. 9 ustawy zmienianej w art. 138, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy.
Art. 165. Uchwały wydane przed dniem wejścia w życie niniejszej ustawy na podstawie art. 6n ustawy zmienianej w art. 37 zachowują moc do czasu wydania uchwał na podstawie art. 6n ustawy zmienianej w art. 37, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy.
Art. 166. Przepis art. 143e ustawy zmienianej w art. 72 stosuje się do postępowań o udzielenie zamówienia publicznego wszczętych po wejściu w życie niniejszej ustawy.
Art. 167. Sprawy wszczęte i niezakończone przed dniem wejścia w życie art. 13a ustawy zmienianej w art. 87 niniejszej ustawy prowadzi się na podstawie przepisów dotychczasowych.
Art. 168. Przepisy art. 130a i art. 131 ustawy zmienianej w art. 129, w brzmieniu nadanym niniejszą ustawą, stosuje się odpowiednio do aktów urodzenia i aktów małżeństwa sporządzonych w księdze stanu cywilnego dotyczących osób, dla których nie sporządzono aktu zgonu lub nie zarejestrowano informacji o zgonie, jeżeli księgi urodzeń i księgi małżeństw, w których sporządzono te akty, zostały przekazane do właściwego archiwum państwowego na podstawie art. 128 ustawy zmienianej w art. 129, w brzmieniu dotychczasowym.
Art. 169. W sprawach wszczętych na podstawie art. 57 ustawy zmienianej w art. 161, w brzmieniu dotychczasowym, i niezakończonych przed dniem wejścia w życie niniejszej ustawy, uprzednich konsultacji nie udziela się, a wszczęte postępowania umarza się.
Art. 170. Rejestr centralny utworzony na podstawie art. 4 ust. 4 ustawy zmienianej w art. 75, zawierający dane osób, o których mowa w art. 4 ust. 5a ustawy zmienianej w art. 75, staje się rejestrem centralnym, o którym mowa w art. 4 ust. 4a ustawy zmienianej w art. 75.
Art. 171. Podmioty, o których mowa w art. 4 ust. 5k ustawy zmienianej w art. 75, spełnią zabezpieczenia określone w art. 4 ust. 5d ustawy zmienianej w art. 75 w terminie 6 miesięcy od dnia wejścia w życie niniejszej ustawy.
Art. 172. 1. Biuro informacji gospodarczej prowadzące działalność w dniu wejścia w życie niniejszej ustawy, którego obowiązujący regulamin zarządzania danymi został zatwierdzony przez ministra właściwego do spraw gospodarki przed dniem 25 maja 2018 r., dostosuje regulamin zarządzania danymi do przepisów ustawy zmienianej w art. 105, w brzmieniu nadanym niniejszą ustawą, w terminie 3 miesięcy od dnia wejścia w życie niniejszej ustawy i przekaże nie później niż w terminie 14 dni od dnia jego uchwalenia ministrowi właściwemu do spraw gospodarki do zatwierdzenia.
2. W razie nieprzekazania przez biuro informacji gospodarczej, o którym mowa w ust. 1, ministrowi właściwemu do spraw gospodarki do zatwierdzenia regulaminu zarządzania danymi w terminie, o którym mowa w ust. 1, minister właściwy do spraw gospodarki wydaje decyzję o zakazie wykonywania działalności gospodarczej przez biuro.
3. Prawomocna decyzja o zakazie wykonywania działalności gospodarczej przez biuro informacji gospodarczej powoduje rozwiązanie spółki akcyjnej, w formie której jest prowadzone biuro.
4. Regulamin zarządzania danymi przekazany i niezatwierdzony do dnia wejścia w życie niniejszej ustawy zwraca się w celu dostosowania do przepisów ustawy zmienianej w art. 105, chyba że przed dniem wejścia w życie niniejszej ustawy Prezes Urzędu Ochrony Danych Osobowych wydał w stosunku do tego regulaminu pozytywną opinię, o której mowa w art. 11 ust. 2 ustawy zmienianej w art. 105.
Art. 173. Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia*), z wyjątkiem:
1) art. 87 pkt 1, który wchodzi w życie po upływie 90 dni od dnia ogłoszenia*);
2) art. 107 pkt 7 i 8, które wchodzą w życie z dniem 1 maja 2019 r.;
3) art. 157 pkt 2, który wchodzi w życie z dniem 13 października 2019 r.
_________________
1) Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2).
*) Uwaga od redakcji: ustawa została ogłoszona w dniu 19.04.2019 r.