encyklopedia.run.place

Ustawa o ochronie danych osobowych

Ustawa o ochronie danych osobowych – polskie prawo regulujące przetwarzanie danych osobowych, ich ochronę oraz prawa osób, których dane dotyczą. Akt prawny wszedł w życie w 1997 roku i od tego czasu wielokrotnie podlegał nowelizacjom, aby dostosować się do Rozporządzenia o ochronie danych osobowych (RODO) przyjętego w 2016 roku.

Historia

Podstawą polskiego systemu ochrony danych osobowych była Ustawa z dnia 29 sierpnia 1997 r.. Po wejściu w życie RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) w 2018 roku polska ustawa została nowelizowana, aby w pełni implementować przepisy unijne. Najważniejsze zmiany wprowadzone w nowelizacji 2018 r. to:

Zakres stosowania

Ustawa obowiązuje wszystkie podmioty – publiczne i prywatne – które przetwarzają dane osobowe osób fizycznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Do danych osobowych zalicza się:

  • Imię i nazwisko, numer PESEL, dowód osobisty, passport,
  • Dane kontaktowe (adres zamieszkania, e‑mail, numer telefonu),
  • Dane wrażliwe (zdrowotne, religijne, polityczne, seksualne),
  • Dane biometryczne i genetyczne.

Główne przepisy ustawy

  1. Legalność przetwarzania – przetwarzanie danych jest dopuszczalne tylko na podstawie zgody osoby, której dane dotyczą, lub innego prawnie uzasadnionego celu określonego w ustawie.
  2. Zasada minimalizacji – gromadzone dane muszą być adekwatne, istotne i ograniczone do tego, co niezbędne do realizacji celu.
  3. Transparentność – administrator danych musi informować osoby o sposobie i celu przetwarzania danych, zwykle poprzez politykę prywatności.
  4. Prawa osób, których dane dotyczą – prawo dostępu, sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania oraz prawo do przenoszenia danych.
  5. Obowiązek zabezpieczenia danych – stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka, w tym szyfrowania, pseudonimizacji i regularnych testów penetracyjnych.
  6. Zgłaszanie naruszeń – w przypadku naruszenia ochrony danych administrator ma obowiązek zgłosić incydent organowi nadzorczemu oraz, w niektórych przypadkach, osobom, których dane dotyczą, w ciągu 72 godzin.

Organ nadzorczy

Polskim organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Do jego kompetencji należą:

  • Kontrola zgodności przetwarzania danych z ustawą,
  • Wydawanie decyzji administracyjnych i nakazów,
  • Nałożenie kar pieniężnych (do 20 000 000 zł lub 4 % rocznego światowego obrotu, w zależności od tego, co jest wyższe),
  • Prowadzenie rejestru administratorów i podmiotów przetwarzających danych.

Kary i sankcje

W przypadku naruszenia przepisów ustawy, przewidziane są:

  • Kary administracyjne – grzywny nałożone przez UODO,
  • Kary karne – odpowiedzialność karna za nieuprawnione przetwarzanie danych, w tym pozbawienie wolności do 2 lat,
  • Odpowiedzialność cywilna – odszkodowanie dla poszkodowanych osób.

Nowelizacje i powiązane akty prawne

Ustawa jest powiązana z szeregiem innych aktów prawnych, m.in.:

Zobacz także

Rozporządzenie o ochronie danych osobowych (RODO) | Prezes Urzędu Ochrony Danych Osobowych | Inspektor Ochrony Danych | Polityka prywatności | Prawo telekomunikacyjne