Закон Польши о защите персональных данных

ЗАКОН ПОЛЬШИ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОТ 29 АВГУСТА 1997 Г.
(Закон впервые опубликован в Journal of Laws № 133 от 29 октября 1997 г. Закон с новейшими поправками опубликован в Journal of Laws № 101 от 6 июля 2002 г.

Глава 1. Общие положения
Глава 2. Орган надзора за защитой персональных данных
Глава 3. Принципы обработки персональных данных
Глава 4. Права субъекта данных
Глава 5. Защита персональных данных
Глава 6. Регистрация систем хранения персональных данных
Глава 7. Передача персональных данных в другую страну
Глава 8. Санкции
Глава 9. Поправки к обязательным постановлениям, временным и заключительным положениям

ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1.

  1. Каждый человек имеет право на защиту своих персональных данных.
  2. Обработка персональных данных можно осуществляться в общественных интересах, интересах субъекта данных или в интересах любой третьей стороны, в границах и при условии соблюдения процедур, предусмотренных данным законом.
    Статья 2.
  3. Закон определяет принципы обработки персональных данных и права физических лиц, чьи персональные данные обрабатываются или могут быть обработаны как часть системы хранения данных.
  4. Закон применяется в отношении обработки персональных данных:
    1) в файлах, каталогах, книгах, списках и других регистрах,
    2) в компьютерных системах, включая те случаи, когда данные обрабатываются вне системы хранения данных.
  5. В отношении персональных данных, подготовленных исключительно для технических, учебных целей или для целей высшего образования, где данные после их использования немедленно удаляются или анонимно передаются, применяются только положения главы 5.
    Статья 3.
  6. Закон применяется как в отношении государственных органов власти, территориальных органов самоуправления, так и в отношении государственных и муниципальных образований.
  7. Закон также применяется:
    1) к негосударственным организациям, выполняющим государственные задачи,
    2) к физическим и юридическим лицам и не являющимися юридическими лицами образованиям, если они по роду своей деловой или профессиональной деятельности или для выполнения установленных целей связаны с обработкой персональных данных
  • постоянно или временно проживающих на территории Республики Польша или третьей страны, если они связаны с обработкой персональных данных техническими устройствами, расположенными на территории Республики Польша.
    Статья 3a.
  1. Закон не применяется:
    1) к физическим лицам, связанным с обработкой персональных данных исключительно для личных или семейных целей,
    2) к субъектам, временно или постоянно проживающим в третьей стране, использующим расположенные на территории Республики Польши технические устройства исключительно для передачи данных.
  2. За исключением положений статей 14 – 19 и пункта 1 статьи 36, закон также применяется в отношении журналистской деятельности в пределах, установленных законом от 26 января 1984 г. о прессе (Journal of Laws № 5, пункт 24, с более поздними поправками), и в отношении литературной и артистической деятельности, если свобода самовыражения и распространения информации значительно не нарушает права и свободы субъекта данных.
    Статья 4.
    Положения закона применяются во всех случаях, где иное не предусмотрено международными соглашениями, подписанными Республикой Польша.
    Статья 5.
    Если положения каких-либо отдельных законов об обработке персональных данных предоставляют более эффективную защиту данных, чем положения настоящего закона, то следует применять положения этих отдельных законов.
    Статья 6.
  3. В пределах установленного законом смысла персональные данные представляют собой любую информацию, касающуюся идентифицированного или опознаваемого физического лица.
  4. Опознаваемое лицо – это любой человек, который может быть прямо или косвенно идентифицирован, в частности, ссылкой на его идентификационный номер или на один или несколько факторов, специфичных для его или ее физических, физиологических, умственных, экономических, культурных или социальных особенностей.
  5. Сообщение не считается идентифицирующим, если идентификация требует непомерно высоких издержек, затрат времени и людских ресурсов.
    Статья 7.
    В тексте настоящего закона упоминаются следующие понятия:
    1) система хранения данных – любая структурированная совокупность персональных данных, которые доступны в соответствии с определенным критерием (централизованная, децентрализованная или распределенная на функциональные компоненты),
    2) обработка данных – любое действие, совершаемое над персональными данными, например, сбор, запись, хранение, структурирование, изменение, раскрытие и удаление и, в особенности, действия, совершаемые в компьютерных системах,
    2a) компьютерная система – совокупность работающих вместе устройств, утилит, процедур обработки данных и программных средств, которые применяются для обработки персональных данных,
    2b) безопасность данных в компьютерных системах – проведение соответствующих технических и организационных мероприятий, применяемых для защиты данных от несанкционированной обработки,
    3) уничтожение данных – разрушение персональных данных или такое их изменение, которое делает невозможным идентификацию субъекта данных,
    4) оператор – физическое лицо, организация, учреждение или человек, указанные в статье 3, который выбирает цели и средства обработки персональных данных,
    5) согласие субъекта данных – заявление, в котором субъект данных выражает свое согласие на обработку его персональных данных; это согласие не может быть утверждено или считаться доказанным на основе волеизъявления другого согласия,
    6) получатель данных – любой субъект, которому раскрыты данные, за исключением:
    a) субъекта данных,
    b) субъекта, уполномоченного обрабатывать персональные данные,
    c) представителя, указанного в статье 31a,
    d) субъекта, указанного в статье 31,
    e) государственных органов власти или территориальных органов самоуправления, которым в связи с ведущимися делами раскрыты данные,
    7) третья страна – страна, не являющаяся членом Европейского экономического пространства.
    ГЛАВА 2 ОРГАН НАДЗОРА ЗА ЗАЩИТОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
    Статья 8.
  6. Органом надзора за защитой персональных данных является Главный инспектор по защите персональных данных, ниже называемый «Главный инспектор».
  7. Главный инспектор назначается и освобождается от должности Сеймом Республики Польша с согласия Сената.
  8. На должность Главного инспектора может быть назначено только лицо, удовлетворяющее следующим требованиям:
    1) он или она является гражданином или гражданкой Республики Польша и постоянно проживает на ее территории,
    2) он или она известен(на) своими моральными принципами,
    3) он или она имеет юридическое образование и соответствующий профессиональный опыт,
    4) он или она несудимы.
  9. Что касается выполнения обязанностей Главного инспектора, то он должны подчиняться исключительно положениям настоящего закона.
  10. Срок назначения Главного инспектора составляет 4 года с момента принятия им присяги. После истечения этого срока Главный инспектор продолжает выполнять свои обязанности до вступления в должность нового Главного инспектора.
  11. Один и тот же человек не может занимать должность Главного инспектора более двух сроков.
  12. Срок полномочий Главного инспектора теряет силу с его смертью, освобождения от должности или потери польского гражданства.
  13. Сейм с согласия Сената освобождает Главного инспектора от должности в случае:
    1) его заявления об отставке,
    2) невозможности выполнения им своих обязанностей по состоянию здоровья,
    3) нарушения им присяги,
    4) его осуждения за совершение преступления в соответствии со вступившим в законную силу приговором суда.
    Статья 9
    До принятия своих обязанностей Главный инспектор должен принять следующую присягу перед Сеймом Республики Польши:
    «Вступая в должность Главного инспектора по защите персональных данных, я тем самым торжественно клянусь соблюдать положения Конституции Республики Польша для защиты приватности персональных данных и добросовестно и беспристрастно выполнять вверенные мне обязанности».
    В присягу можно добавить слова: «Господи, помоги мне».
    Статья 10.
  14. Главный инспектор не может занимать никакой другой должности, за исключением должности профессора в высшем учебном учреждении, и не может выполнять никаких других профессиональных обязанностей.
  15. Главный инспектор не может быть членом никакой политический партии или торгового союза. Главный инспектор не может быть вовлечен в какую-либо общественную деятельность, несовместимую с честью должности Главного инспектора.
    Статья 11.
    Главный инспектор не может быть привлечен к уголовной ответственности или лишен свободы без предварительного согласия Сейма. Главный инспектор не может быть задержан или арестован, исключая flagrante delicto (момент совершения преступления), или если его или ее задержание необходимо безопасности надлежащей процедуры судопроизводства. В таком случае спикер Сейма должен быть незамедлительно извещен о задержании и может отдать приказ о немедленном освобождении.
    Статья 12.
    Обязанности Главного инспектора включают, в частности:
    1) контроль над обеспечением соответствия обработки данных положениям о защите персональных данных,
    2) издание административных решений и рассмотрение жалоб, касающихся применения положений о защите персональных данных,
    3) ведение реестра систем регистрации данных и предоставление информации о зарегистрированных файлах данных,
    4) оценку законопроектов и постановлений, касающихся защиты персональных данных,
    5) инициирование и проведение мероприятий для совершенствования защиты персональных данных,
    6) участие в работе международных организаций и институтов, связанных с защитой персональных данных.
    Статья 12a.
  16. По ходатайству Главного инспектора спикер Сейма может назначить заместителя Главного инспектора. Заместитель Главного инспектора освобождается от должности аналогичным образом.
  17. Главный инспектор должен определить границы области задач своего заместителя.
  18. Заместитель Главного инспектора должен удовлетворять перечисленным в подпунктах 1, 2 и 4 пункта 1 статьи 8 требованиям и иметь высшее образование и соответствующий профессиональный опыт.
    Статья 13.
  19. Главный инспектор должен выполнять свои обязанности при содействии Бюро главного инспектора по защите персональных данных (Bureau of the Inspector General for Personal Data Protection, далее именуется «Бюро»).
  20. Исключена
  21. Принципы организации и функционирования Бюро должны быть определены в его уставе согласно постановлению Президента Республики Польша.
    Статья 14.
    Для выполнения задач, указанных в пунктах 1 и 2 статьи 12, Главный инспектор, заместитель Главного инспектора или работники Бюро, в дальнейшем называемые «инспекторы», уполномоченные им, должны иметь право, в частности:
    1) проходить с 6-00 до 22-00 по предъявлению персонального разрешения и служебного удостоверения личности в любые здания, где находятся системы хранения данных или производится обработка данных без применения систем хранения данных, и проводить необходимый осмотр или другую проверочную деятельность для оценки соответствия обработки данных закону,
    2) требовать письменных или устных объяснений, а также вызывать в суд и допрашивать любое лицо в пределах, необходимых для определения обстоятельств дела,
    3) обсуждать любые документы, имеющие прямое отношение к субъекту проверки, а также делать копии этих документов,
    4) выполнять проверку любых устройств, носителей данных и компьютерных систем, использующихся для обработки данных,
    5) поручать подготовку экспертизы и заключений специалистов.
    Статья 15.
  22. Начальник подразделения и любое физическое лицо, действующее как оператор подвергаемых осмотру персональных данных, обязаны разрешить инспектору выполнять его инспекционные функции, и, в частности, действия и требования, указанные в пунктах с 1 по 4 статьи 14.
  23. Инспектор, проводящий проверку систем регистрации данных, как указано в подпункте 1а пункта 1 статьи 43, уполномочен обсуждать любой файл, в котором хранятся персональные данные только с надлежащим образом уполномоченным представителем проверяемого подразделения.
    Статья 16.
  24. Осуществляющий контроль инспектор должен подготовить официальный отчет об инспектировании. Одна копия такого официального отчета передается контролируемому оператору.
  25. Официальный отчет должен быть подписан инспектором и контролируемым оператором. Последний может обратиться с просьбой о включении в отчет своих обоснованных возражений и комментариев.
  26. Если контролируемый оператор отказывается подписать официальный отчет, то инспектор должен с делать соответствующую запись об отказе в официальном отчете. Оператор в течение 7 дней может представить свою позицию Главн ому инспектору в письменной форме .
    Статья 17.
  27. Если на основании результатов проверки инспектор обнаруживает какое-либо нарушение положений по защите персональных данных, то он должен просить Главного инспектора применить меры, предусмотренные статьей 18.
  28. По результатам проверки инспектор может потребовать, чтобы к людям, виновным в небрежности в отношении персональных данных, были примененены дисциплинарные меры или любое другое предусмотренное законом действие, а инспектор в пределах предписанного времени должен быть уведомлен о результатах принятия мер.
    Статья 18.
  29. В случае любого нарушения положений о защите персональных данных Главный инспектор самостоятельно или по обращению заинтересованного лица посредством административного решения должен отдать распоряжение для восстановления законного статуса, и в частности:
    1) исправить небрежность,
    2) пополнить, обновить, исправить, раскрыть или не раскрывать персональные данные,
    3) принять дополнительные меры защиты собранных данных,
    4) приостановить передачу персональных данных третьей стране,
    5) защитить данные или передать их другим субъектам,
    6) удалить персональные данные.
  30. Указанные в пункте 1 статьи 18 решения Главного инспектора не могут ограничивать свободу субъекта, который предлагает кандидатов или представляет на рассмотрение список кандидатов как на выборы Президента Республики Польша, выборы в Сейм, Сенат и территориальные органы самоуправления, так и на выборы в Европейский Парламент в период от дня объявления о выборах до дня голосования.
    2a. Решения Главного инспектора, как указано в пункте 1 статьи 18, касающиеся указанных в пункте 1а пункта 1 статьи 43 систем хранения данных, не могут являться приказом об уничтожении персональных данных, собранных в результате выполненных на законных основаниях запросов.
  31. Если указанные в статье 18 действия регулируются положениями других законов иным образом, то применяются положения других законов.
    Статья 19.
    Если проверка показывает, что действие или небрежность выполнения обязанностей главы организации, ее служащего или любого другого лица, исполняющего обязанности оператора физического лица, являются нарушениями в смысле данного закона, то Главный инспектор должен сообщить об этом в надлежащий следственный орган с приложением доказательств, подтверждающих подозрения.
    Статья 20.
    Ежегодно Главный инспектор должен представлять на рассмотрение Сейма отчет о своей деятельности, включающий выводы относительно соблюдений положений о защите персональных данных.
    Статья 21.
  32. Каждая из сторон может обратиться к Главному инспектору за пересмотром ее дела.
  33. Решение Главного инспектора о пересмотре дела может быть опротестовано административным судом.
    Статья 22.
    Слушания по регулируемым этим законом вопросам проводятся в соответствии с положениями Административно-процессуального кодекса, если другими положениями закона не установлено иное.
    Статья 22a.
    Министр, ответственный за вопросы государственного управления, посредством постановления, касающегося персонального признака работающего в Бюро инспектора, должен определить форму разрешения и служебного удостоверения личности, указанных в пункте 1 статьи 14.

ГЛАВА 3 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 23.

  1. Обработка персональных данных разрешается только если:
    1) субъект данных дал свое письменное согласие, кроме случаев, когда обработка заключается в удалении персональных данных,
    2) обработка необходима для осуществления прав и обязанностей, вытекающих из законных оснований,
    3) обработка необходима для выполнения договора, в котором субъект данных является одной из сторон, или для принятия мер по требованию субъекта данных до заключения договора,
    4) обработка необходима для выполнения предусмотренных законом задач в государственных интересах,
    5) обработка следует законным интересам операторов или получателей данных, при условии, что обработка не нарушает права и свободы субъекта данных.
  2. Указанное в подпункте 1 пункта 1 может также применяться к обработке будущих данных, при условии, что цели обработки остаются прежними.
  3. Если обработка данных необходима для защиты жизненных интересов субъекта данных, а условие, упомянутое в подпункте 1 пункта 1, не может быть выполнено, то данные могут быть обработаны без согласия субъекта данных, пока такое согласие не может быть получено.
  4. Законными интересами, указанными в пункте 1, в частности, в подпункте 5, считаются:
    1) прямой маркетинг собственных изделий или услуг оператора,
    2) защита требований, вытекающих из экономической деятельности.
    Статья 24.
  5. Если персональные данные получены от субъекта данных, то оператор обязан предоставить этому субъекту следующую информацию:
    1) адрес регистрации и свое полное наименование, а если оператор является физическим лицом, то его адрес и полное имя,
    2) цель сбора данных, информацию о получателях данных или категориях получателей, если это известно на момент сбора данных,
    3) наличие права субъекта данных на доступ к его данным и права исправления этих данных,
    4) являются ли ответы на вопросы обязательными или добровольными, и в случае обязательности – информацию о законных основаниях.
  6. Пункт 1 не применяется, если:
    1) какое-либо положение другого закона разрешает обработку персональных данных без раскрытия действительной цели, для которой эти данные собраны,
    2) субъект данных уже обладает упомянутой в пункте 1 информацией.

Статья 25.

  1. Если данные не были получены от субъекта данных, то оператор обязан предоставить субъекту данных сразу после записи его или ее персональных данных следующую информацию:
    1) адрес его регистрации и его полное наименование, а если оператор является физическим лицом, то адрес его местожительства и его или ее полное имя,
    2) цель и границы сбора данных, и в частности, информацию о получателях данных или категориях получателей,
    3) источник данных,
    4) существование права субъекта данных на доступ к его или ее данным и право на исправление этих данных,
    5) права, вытекающие из подпунктов 7 и 8 пункта 1 статьи 32.
  2. Положения пункта 1 не применяются там, где:
    1) положения других законов предусматривают или разрешают сбор персональных данных без необходимости уведомления субъекта данных,
    2) исключено,
    3) данные необходимы для научного, дидактического, исторического, статистического исследования или исследования общественного мнения, обработка таких данных не нарушает права или свободы субъектов данных, а выполнение условий и положений, определенных пунктом 1, потребовало бы несоразмерных усилий или подвергнуло бы опасности успех исследования,
    4) исключено,
    5) данные обрабатываются оператором, упомянутым в пункте 1 статьи 3 и подпункте 1 пункта 2 статьи 3 на законных основаниях,
    6) субъект данных уже обладает указанной в пункте 1 информацией.
    Статья 26.
  3. Оператор, выполняющий обработку данных, должен защищать интересы субъекта данных с должной тщательностью, и в частности, гарантировать, что:
    1) данные обрабатываются на законном основании,
    2) данные собраны для определенных и законных целей и не обрабатываются несовместимыми с этими целями способами, при условии выполнения положений пункта 2 ниже,
    3) данные релевантны и адекватны целям, для которых выполняется их обработка,
    4) данные хранятся в форме, позволяющей идентификацию субъекта данных не более, чем это необходимо для целей, ради которых выполняется обработка данных.
  4. Обработка данных для целей, отличных от предполагавшихся на момент сбора данных разрешается при условии, что это не нарушает права и свободы субъекта данных и делается:
    1) для целей научного, дидактического, исторического или статистического исследования,
    2) при условии выполнении статьи 23 и статьи 25.

Статья 26a.

  1. Недопустимо, чтобы окончательное решение при рассмотрении индивидуального случая субъекта данных принималось исключительно на основе автоматизированной обработки персональных данных в компьютерной системе.
  2. Положение пункта 1 не применяется, если решение принимается в ходе заключения или выполнения контракта, и поданный субъектом данных запрос удовлетворен.
    Статья 27.
  3. Обработка персональных данных, раскрывающая расовое или этническое происхождение, политические убеждения, религиозные или философские верования, членство в религиозных организациях, партиях, профсоюзах, как и обработка данных, касающихся здоровья, генетического кода, склонностей или сексуальной жизни, а также данных, имеющих отношение к признанию виновности, наложению взысканий, штрафов и другим решениям, вынесенных судом или в результате административного производства, должна быть запрещена.
  4. Обработка данных упомянутых выше в пункте 1 не является нарушением закона, если:
    1) субъект данных дал свое письменное согласие, исключая случай, когда обработка заключается в удалении персональных данных,
    2) специальные положения другого законодательного акта предусматривают обработку таких данных без согласия субъекта данных и предусматривают меры безопасности,
    3) обработка необходима для защиты жизненных интересов субъекта данных или другого лица, когда субъект данных физически или юридически неспособен дать свое согласие до назначения опекуна или попечителя,
    4) обработка необходима для выполнения установленных законом целей существования церквей и других религиозных союзов, ассоциаций, фондов и других некоммерческих организаций или учреждений с политической, научной, религиозной, философской или профсоюзной целью и при условии, что обработка имеет отношение исключительно к этих членам организаций или учреждений или людям, имеющими с ними регулярный контакт в связи со своей деятельностью, и при условии обеспечения соответствующих мер безопасности по отношению к обрабатываемым данным,
    5) обработка имеет отношение к данным, необходимым для выполнения законного требования,
    6) обработка необходима для выполнения обязательств оператора по отношению к его работникам и других лицам, и область обработки предусмотрена законом,
    7) обработка требуется для целей профилактической медицины, обеспечения ухода или лечения, когда данные обрабатываются работником здравоохранения, связанным с предоставлением лечения и других услуг здравоохранения или с управлением такими услугами и при условии обеспечения соответствующих мер безопасности,
    8) обработка касается тех данных, которые субъект данных сделал общедоступными,
    9) необходимо провести научные исследования, включая подготовку квалификационной работы, требующейся для получения университетского диплома или научной степени; все результаты научных исследований публикуются только в виде, исключающем возможность идентификации личности субъектов данных,
    10) обработка данных проводится стороной для осуществления права и обязанностей, вытекающих из решений, принятого судом или в результате административного производства.
    Статья 28.
  5. Исключено
  6. Применяемые при переписи регистрационные номера могут включать только такие признаки, как: пол, дата рождения, последовательный номер и контрольное число.
  7. Назначение в системах хранения данных какого-либо скрытого значения элементам регистрационных номеров, касающихся физических лиц, запрещено.
    Статья 29.
  8. В случае предоставления доступа к данным для целей, отличных от включения в систему хранения, оператор должен раскрыть хранящиеся в системе данные уполномоченным законом лицам и субъектам.
  9. Персональные данные, за исключением указанных в пункте 1 статьи 27, могут быть раскрыты для целей, отличных от включения в систему хранения данных, лицам и субъектам, не указанным выше в пункте 1, при условии, что эти лица или субъекты предоставят достоверные основания для получения доступа к данным, и что разрешение такого доступа не нарушит права и свободы субъектов данных.
  10. Персональные данные раскрываются по письменным и обоснованным запросам, если положениями других законов не установлено иное. Такие запросы должны содержать информацию, позволяющую идентифицировать затребованные персональные данные в рамках системы хранения данных и указывающую их цель.
  11. Раскрытые персональные данные должны использоваться только в соответствии с целями, для которых они были раскрыты.
    Статья 30.
    Оператор отказывает в доступе к персональным данным системы хранения данных субъектам, не указанным в пункте 1 статьи 29, если это может:
    1) привести к раскрытию информации, составляющей государственную тайну,
    2) поставить под угрозу национальную безопасность, человеческую жизнь и здоровье или общественный порядок,
    3) поставить под угрозу фундаментальные экономические или финансовые интересы государства,
    4) привести к существенному нарушению личных интересов субъектом данных или других лиц.
    Статья 31.
  12. Оператор может уполномочить другого субъекта на выполнение обработки персональных данных в соответствии с заключенным в письменной форме соглашением.
  13. Указанный выше в пункте 1 субъект может обрабатывать данные исключительно в границах и для целей, определенных в соглашении.
  14. Указанный в пункте 1 субъект до обработки данных обязан обеспечить меры безопасности, защищающие систему хранения данных, как определено в статьях 36 – 39, и удовлетворить требования, определенные положениями статьи 39a. Что касается соблюдения этих положений субъектом данных, то здесь его ответственность аналогична ответственности оператора.
  15. В указанных в пунктах с 1 по 3 случаях обязанность соответствия положениям из этого закона накладывается за оператора, несмотря на то, что договаривающаяся сторона не освобождается от ответственности, если данные обрабатываются не соответствующим соглашению образом.
  16. Положения статей 14 – 19 соответствующим образом применяются к контролю за соответствием положениям о защите персональных данных, проводимым указанным в пункте 1 субъектом данных обработки данных.
    Статья 31a.
    В случае обработки персональных данных субъектами, временно или постоянно проживающими в третьей стране, оператор должен быть обязан назначить его представителя в Республике Польша.
    ГЛАВА 4 ПРАВА СУБЪЕКТА ДАННЫХ
    Статья 32.
  17. Субъект данных имеет право контролировать обработку его персональных данных, включенных в системы хранения данных. В частности, он имеет право:
    1) получать исчерпывающую о том, существует ли такая система, идентифицировать оператора, адрес его регистрации и его полное наименование, а если оператором является физическое лицо, то получать его или ее адрес и его или ее полное имя,
    2) получать информацию о цели, масштабе и средствах обработки содержащихся в системе данных,
    3) получать в четкой форме информацию о содержимом данных, начиная с момента их обработки,
    4) получать информацию относительно источника его или ее персональных данных, если оператор не должен хранить это как государственную, коммерческую или профессиональную тайну,
    5) получать информацию о возможностях раскрытия данных, в частности, о получателях или категориях получателей данных, 5a) получать информацию о предпосылках принятия указанного в пункте 2 статьи 26a решения,
    6) требовать пополнения, обновления, исправления данных, временного или постоянного приостановления доступа к ним или их удаления, если они неполны, устарели, ошибочны или собраны с нарушением закона, или если они больше не требуются для целей, для которых они были собраны,
    7) обоснованно в письменной форме требовать в указанных в подпунктах 4 и 5 пункта 1 статьи 23 случаях блокировки обработки данных вследствие возникновения исключительной ситуации,
    8) возражать против обработки его или ее персональных данных в указанных в подпунктах 4 и 5 пункта 1 статьи 23 случаях, если оператор намеревается обрабатывать данные в маркетинговых целях, или возражать против передачи данных другому оператору,
    9) требовать у оператора пересмотра индивидуального случая, возникшего в нарушение пункта 1 статьи 26a.
  18. В случае, предусмотренном подпунктом 7 пункта 1, оператор должен немедленно остановить обработку подвергнутых сомнению данных или своевременно передать требование Главному инспектору, который должен принять соответствующее решение.
  19. В случае, предусмотренном подпунктом 8 пункта 1, дальнейшая обработка подвергнутых сомнению данных должна быть запрещена. Однако оператору разрешается оставить в системе хранения данных имя и фамилию лица с идентификационным номером PESEL или адресом исключительно во избежание повторного использования данных в целях, относительно которых возражал субъект данных.
    3a. В случае, предусмотренном подпунктом 9 пункта 1 статьи 32, оператор должен своевременно рассмотреть случай или передать его вместе с его или ее аргументированной точкой зрения Главному Инспектору, который должен принять соответствующее решение.
  20. Если обработка данных ведется для научных, дидактических, исторических, статистических или архивных целей, оператор может не уведомлять субъект данных об обработке его или ее персональных данных, если это уведомление требует непропорциональных усилий.
  21. Заинтересованная сторона может осуществлять свое право на получение указанной в подпунктах 1 – 5 пункта 1 информации каждые шесть месяцев.
    Статья 33.
  22. По запросу субъекта данных в течение 30 дней оператор обязан предоставить субъекту данных информацию о его правах и обеспечить его указанными в подпунктах 1 — 5а пункта 1 статьи 32 сведениями, касающимися его персональных данных, и, в частности, четко определить:
    1) категорию персональных данных, включенных в файл,
    2) средства сбора данных,
    3) цель обработки данных,
    4) получателей данных и границы их доступа.
  23. По запросу субъекта данных перечисленная в пункте 1 информация должна быть предоставлена в письменной форме.
    Статья 34.
    Положения статьи 30 следует применять во всех случаях, имеющих отношение к регистрации и раскрытию данных субъекту данных.
    Статья 35.
  24. Если субъект данных удостоверяет, что касающиеся его персональные данные неполны, устарели, не соответствуют действительности или собраны с нарушением закона, или если они больше не требуются для той цели, для которой они были собраны, то оператор обязан своевременно исправить или обновить данные, или временно или постоянно приостановить обработку подвергнутых сомнению данных, или удалить их из системы хранения данных, если вышеупомянутое не относится к персональным данным, которые должны быть исправлены или обновлены в соответствии с принципами, определенными согласно другим законам.
  25. Если оператор не в состоянии выполнить указанную выше в пункте 1 обязанность, то субъект данных может обратиться к Главному инспектору, чтобы тот дал соответствующий приказ оператору.
  26. Оператор обязан своевременно уведомлять об обновлении или исправлении данных других инспекторов, которым он или она раскрыл файл с данными.
    ГЛАВА 5 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
    Статья 36.
  27. Оператор обязан осуществлять соответствующие рискам и категории защищаемых данных технические и организационные меры для защиты обрабатываемых персональных данных, в частности, защищать данные от несанкционированного доступа, обработки с нарушением закона, любого изменения, потери, повреждения или разрушения.
  28. Оператор должен хранить документацию, описывающую методы обработки данных и меры, упомянутые в пункте 1.
  29. Оператор должен назначить администратора по информационной безопасности, который контролирует соблюдение принципов обеспечения безопасности согласно п.1, если оператор не делает это сам.
    Статья 37.
    Выполнять обработку данных разрешено только лицам, уполномоченным оператором.
    Статья 38.
    Оператор обязан обеспечить контроль над тем, какие данные, когда и кем были введены в систему хранения данных и кому они передаются.
    Статья 39.
  30. Оператор должен хранить список лиц, уполномоченных обрабатывать данные, содержащий следующую информацию:
    1) полное имя уполномоченного лица,
    2) дата начала срока действия полномочий и границы доступа к персональным данным,
    3) идентификатор, если данные обрабатываются в компьютерной системе.
  31. Лица, уполномоченные обрабатывать данные, должны хранить персональные данные и способы их защиты в тайне.
    Статья 39a.
    Министр, ответственный за административные вопросы, после консультации с министром по информатизации, должен определить как способ хранения и область действия указанных в пункте 2 статьи 36 документов, так и основные технические и организационные условия, которым должны удовлетворять устройства и компьютерные системы, использующиеся для обработки персональных данных с учетом обеспечения защиты, соответствующей рискам, категории защищаемых данных и требованиям относительно ведения учета раскрытия персональных данных и безопасности обрабатываемых данных.
    ГЛАВА 6 РЕГИСТРАЦИЯ СИСТЕМ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
    Статья 40.
    Оператор обязан представить систему хранения данных на регистрацию Главному инспектору. Вышесказанное не относится к случаям, перечисленным в пункте 1 статьи 43.
    Статья 41.
  32. Уведомление, касающееся представленной на регистрацию системы хранения данных, должно содержать следующее:
    1) заявление на включение системы хранения персональных данных в реестр,
    2) указание субъекта, работающего с системой хранения данных, и адрес его местонахождения или местожительства, включая идентификационный номер в реестре предприятий (если есть) и законные основания, по которым он или она уполномочен работать с системой хранения данных; в случае, предусмотренном статьей 31a, указание субъекта и адрес его местонахождения или местожительства,
    3) цель обработки данных,
    3a) описание категорий субъектов данных и возможности обработанных данных,
    4) информацию о способах и средствах сбора и обнаружения данных,
    4a) информацию о получателях или категориях получателей, которым могут быть переданы данные,
    5) описание технических и организационных мероприятий, применявшихся в указанных в статьях с 36 по 39 целях,
    6) информацию о способах и средствах выполнения технических и организационных условий, определенных в положениях статьи 39a,
    7) информацию, касающуюся возможной передачи данных третьей стране.
  33. Оператор должен быть обязан уведомлять Главного инспектора о любых изменениях, затрагивающих указанную в параграфе 1 информацию, в течение 30 дней после даты изменения, внесенного в систему хранения данных. Положения о регистрации систем хранения персональных данных соответствующим образом применяются к уведомлению об изменениях.
    Статья 42.
  34. Главный инспектор должен вести государственный открытый реестр систем хранения персональных данных. Реестр должен содержать указанную в подпунктах 1-4а и 7 пункта 1 статьи 41 информацию.
  35. Указанный в пункте 1 реестр может быть просмотрен любым лицом.
  36. По запросу, оператор может получить свидетельство о регистрации заявленной им системы хранения данных согласно положениям пункта 4.
  37. Главный инспектор должен выдать указанному в пункте 1 статьи 27 оператору свидетельство о регистрации системы хранения данных сразу после регистрации.
    Статья 43.
  38. Не обязаны регистрировать системы хранения данных операторы таких данных, которые:
    1) по причине государственной защиты или безопасности, защиты человеческой жизни и здоровья, собственности, безопасности, или общественного порядка составляют государственную тайну,
    1a) были собраны в результате запросов, сделанных уполномоченными на это должностными лицами,
    2) обработаны соответствующими органами для судебных дел и на основании положений о Национальном регистре преступлений,
    2a) обработаны Главным инспектором финансовой информации,
    3) имеют отношение к членам церквей или других религиозных союзов с установленным юридическим статусом и обрабатываются для целей этих церквей или религиозных союзов,
    4) обработаны в связи с родом занятий оператора или предоставлением оператору услуг на основаниях договоров гражданского права, и также относятся к членам и стажерам оператора,
    5) относятся к людям, воспользовавшихся медицинскими услугами, нотариальным или юридического советом, услугами патентного поверенного, налогового консультанта или аудитора,
    6) созданы на основе выборных постановлений, касающихся Сейма, Сената, Европейского Парламента, церковных соборов, повятских советов и региональных воеводских советов, Президента Республики Польша, главы коммуны, мэра или председателя городского избиркома, и законов о национальном референдуме и муниципальном референдуме,
    7) имеют отношение к людям, лишенным свободы согласно соответствующему закону в пределах, требующихся для выполнения предварительного заключения под стражу или лишения свободы,
    8) обработаны для выписки фактуры, счета или для целей бухгалтерского учета,
    9) находятся в открытом доступе,
    10) обработаны для подготовки диссертации, необходимой для окончания университета или получения степени,
    11) их обработка связана с незначительными текущими каждодневными делами.
  39. Что касается указанных в подпунктах 1 и 3 пункта 1 статьи 43 и подпункте 1а пункта 1 статьи 43 систем хранения данных, обработанных Внутренней службой безопасности, Разведывательным агентством и Агентством военной информации, то Главный инспектор не имеет полномочий, предусмотренных в пункте 2 статьи 12 и пунктах 1, с 3 по 5 статьи 14 и статьями 15-18.
    Статья 44.
  40. Главный Инспектор административным решением отказывает в регистрации системы хранения данных, если:
    1) не выполнены требования, определенные в пункте 1 статьи 41,
    2) обработка может нарушить положения, предусмотренные статьями с 23 по 30,
    3) устройства и компьютерные системы, использующиеся для обработки данных представленной на регистрацию системы, не соответствуют основным техническим и организационным условиям, определенным в статье 39a.
  41. Если Главный инспектор отказывает в регистрации системы, то он или она должен отдать распоряжение посредством административного решения:
    1) ограничить обработку всех или некоторых категорий данных исключительно хранением данных, или
    2) применить другие меры, упомянутые в пункте 1 статьи 18.
  42. Исключено.
  43. После устранения недостатков, приведших к отказу от регистрации системы хранения данных, инспектор может снова представить систему на регистрацию.
  44. Если система хранения данных перепредставлена для регистрации, то диспетчер может начать обработку данных после ее регистрации.
    Статья 44a.
    Исключение внесения в реестр систем хранения данных должно быть сделано посредством административного решения в случае, если:
    1) данные уже не обрабатываются в зарегистрированной системе хранения данных,
    2) регистрация была проведена с нарушением закона.
    Статья 45.
    Исключена.
    Статья 46.
  45. Оператор может при условии выполнения положений пункта 2 начать обработку данных в системе хранения данных после регистрации системы у Главного инспектора, если на основании закона оператор не освобожден от этой обязанности.
  46. Оператор упомянутых в пункте 1 статьи 27 данных может начать обработку этих данных в системе хранения данных после регистрации файла, если на основании закона инспектор не освобожден от обязанности представления системы на регистрацию.
    Статья 46a.
    Министр по вопросам государственного управления должен постановлением определить форму упомянутого в пункте 1 статьи 41 уведомления, принимая во внимание обязательность включения информации, необходимой для поддержания соответствия обработки данных требованиям настоящего закона.

ГЛАВА 7 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ В ДРУГУЮ СТРАНУ
Статья 47.

  1. Передача персональных данных в другую страну может осуществляться только в том случае, если страна назначения гарантирует, по меньшей мере, такой же уровень защиты персональных данных, как на территории Республики Польша.
  2. Положение вышеупомянутого пункта 1 не применяется в отношении передачи персональных данных, требуемой на законных основаниях или необходимой по условиям любого ратифицированного международного соглашения.
  3. Однако оператор может передать персональные данные в другую страну при условии, что:
    1) субъект данных предоставил свое письменное согласие,
    2) передача необходима для выполнения договора между субъектом данных и оператором или происходит по заявлению субъекта данных,
    3) передача необходима для выполнения договора, заключенного в интересах субъекта данных между оператором и другим субъектом,
    4) передача необходима или требуется в государственных интересах или организаций, обладающих правами требования,
    5) передача необходима для защиты жизненных интересов субъекта данных,
    6) передача касается данных, находящихся в открытом доступе.
    Статья 48.
    В случаях, отличных от упомянутых в пунктах 2 и 3 статьи 47, для передачи персональных данных в страну, которая не гарантирует, по меньшей мере, такой же, как на территории Республики Польша, уровень защиты персональных данных, может требоваться предварительное согласие Главного инспектора, при условии, что оператор обеспечивает адекватные меры защиты приватности, прав и свобод субъекта данных.
    ГЛАВА 8 САНКЦИИ
    Статья 49.
  4. Лицо, обрабатывающее персональные данные в системе хранения данных, в которой такая обработка запрещена, или в которой он или она не уполномочен выполнять такую обработку, должно быть наказано частичным ограничением свободы или тюремным заключением на срок до 2 лет.
  5. В тех случаях, когда упомянутое в пункте 1 этой статьи нарушение касается информации о расовом или этническом происхождении, политических убеждений, религиозных или философских верований, религиозного, партийного или профсоюзного членства, информации о здоровье, генетическом коде, склонностях или сексуальной жизни, лицо, обрабатывающее данные, должно быть наказано частичным ограничением свободы или тюремным заключением на срок до 3 лет.

Статья 50.
Лицо, которое, являясь оператором системы хранения данных, хранит персональные данные образом, несовместимым с целью, во имя которой была создана система, должно быть наказано ограничением или лишением свободы на срок до 1 года.
Статья 51.

  1. Лицо, которое, являясь оператором системы хранения данных или будучи обязанным защищать персональные данные, раскрывает их или предоставляет неуполномоченным людям к ним доступ, должно быть наказано ограничением или лишением свободы на срок до 2 лет.
  2. Если нарушение имело непреднамеренный характер, нарушитель должен быть наказан ограничением или лишением свободы на срок до 1 года.
    Статья 52.
    Лицо, которое, являясь оператором системы хранения данных, умышленно или неумышленно нарушает свой долг защищать данные от несанкционированного доступа, повреждения или разрушения, должно быть наказано ограничением или лишением свободы на срок до 1 года.
    Статья 53.
    Лицо, которое, невзирая на свою обязанность, не предоставляет информацию для регистрации в системе хранения данных, должно быть наказано ограничением или лишением свободы на срок до 1 года.
    Статья 54.
    Лицо, которое, являясь оператором, не информирует субъекта данных о его правах или не обеспечивает его информацией, которая сделала бы возможным извлечение им выгоды из положений настоящего закона, должно быть наказано частичным ограничением свободы или тюремным заключением на срок до 1 года.
    ГЛАВА 9 ПОПРАВКИ К ОБЯЗАТЕЛЬНЫМ ПОСТАНОВЛЕНИЯМ, ВРЕМЕННЫМ И ЗАКЛЮЧИТЕЛЬНЫМ ПОЛОЖЕНИЯМ
    Статья 55.
    Исключена.
    Статья 56.
    Исключена.
    Статья 57.
    Исключена.
    Статья 58.
    Исключена.
    Статья 59.
    Исключена.
    Статья 60.
    Исключена.
    Статья 61.
  3. Указанные в статье 3 стороны, являющиеся на момент вступления в силу данного закона операторами автоматизированных систем хранения данных, обязаны подать заявление на регистрацию систем в соответствии с положениями статьи 41 в течение 18 месяцев с момента вступления закона в силу, если они не освобождены законом от этой обязанности.
  4. До тех пор, пока системы хранения персональных данных не зарегистрированы в соответствии с положениями статьи 41, указанные в параграфе 1 субъекты могут эксплуатировать системы без регистрации.
    Статья 62.
    Настоящий закон вступает в силу через 6 месяцев после его опубликования, за исключением:
    1) статей с 8 по 11, статьи 13 и статьи 45, которые вступают в силу через 2 месяца после его опубликования,
    2) статей с 55 по 59, которые вступают в силу через 14 дней после его опубликования.