Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych – polskie prawo regulujące przetwarzanie danych osobowych, ich ochronę oraz prawa osób, których dane dotyczą. Akt prawny wszedł w życie w 1997 roku i od tego czasu wielokrotnie podlegał nowelizacjom, aby dostosować się do Rozporządzenia o ochronie danych osobowych (RODO) przyjętego w 2016 roku.
Historia
Podstawą polskiego systemu ochrony danych osobowych była Ustawa z dnia 29 sierpnia 1997 r.. Po wejściu w życie RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679) w 2018 roku polska ustawa została nowelizowana, aby w pełni implementować przepisy unijne. Najważniejsze zmiany wprowadzone w nowelizacji 2018 r. to:
- Rozszerzenie definicji danych osobowych o informacje biometryczne i genetyczne,
- Utworzenie organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (UODO),
- Wprowadzenie obowiązku wyznaczania Inspektora Ochrony Danych (IOD) w wybranych podmiotach,
- Uregulowanie zasad przenoszenia danych oraz prawa do bycia zapomnianym.
Zakres stosowania
Ustawa obowiązuje wszystkie podmioty – publiczne i prywatne – które przetwarzają dane osobowe osób fizycznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Do danych osobowych zalicza się:
- Imię i nazwisko, numer PESEL, dowód osobisty, passport,
- Dane kontaktowe (adres zamieszkania, e‑mail, numer telefonu),
- Dane wrażliwe (zdrowotne, religijne, polityczne, seksualne),
- Dane biometryczne i genetyczne.
Główne przepisy ustawy
- Legalność przetwarzania – przetwarzanie danych jest dopuszczalne tylko na podstawie zgody osoby, której dane dotyczą, lub innego prawnie uzasadnionego celu określonego w ustawie.
- Zasada minimalizacji – gromadzone dane muszą być adekwatne, istotne i ograniczone do tego, co niezbędne do realizacji celu.
- Transparentność – administrator danych musi informować osoby o sposobie i celu przetwarzania danych, zwykle poprzez politykę prywatności.
- Prawa osób, których dane dotyczą – prawo dostępu, sprostowania, usunięcia (prawo do bycia zapomnianym), ograniczenia przetwarzania oraz prawo do przenoszenia danych.
- Obowiązek zabezpieczenia danych – stosowanie środków technicznych i organizacyjnych adekwatnych do ryzyka, w tym szyfrowania, pseudonimizacji i regularnych testów penetracyjnych.
- Zgłaszanie naruszeń – w przypadku naruszenia ochrony danych administrator ma obowiązek zgłosić incydent organowi nadzorczemu oraz, w niektórych przypadkach, osobom, których dane dotyczą, w ciągu 72 godzin.
Organ nadzorczy
Polskim organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO). Do jego kompetencji należą:
- Kontrola zgodności przetwarzania danych z ustawą,
- Wydawanie decyzji administracyjnych i nakazów,
- Nałożenie kar pieniężnych (do 20 000 000 zł lub 4 % rocznego światowego obrotu, w zależności od tego, co jest wyższe),
- Prowadzenie rejestru administratorów i podmiotów przetwarzających danych.
Kary i sankcje
W przypadku naruszenia przepisów ustawy, przewidziane są:
- Kary administracyjne – grzywny nałożone przez UODO,
- Kary karne – odpowiedzialność karna za nieuprawnione przetwarzanie danych, w tym pozbawienie wolności do 2 lat,
- Odpowiedzialność cywilna – odszkodowanie dla poszkodowanych osób.
Nowelizacje i powiązane akty prawne
Ustawa jest powiązana z szeregiem innych aktów prawnych, m.in.:
- Rozporządzenie o ochronie danych osobowych (RODO),
- Prawo telekomunikacyjne,
- Ustawa o prawie administracyjnym,
- Ustawa o prawie autorskim i prawach pokrewnych.
Zobacz także
Rozporządzenie o ochronie danych osobowych (RODO) | Prezes Urzędu Ochrony Danych Osobowych | Inspektor Ochrony Danych | Polityka prywatności | Prawo telekomunikacyjne