Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

USTAWA
z dnia 21 lutego 2019 r.
o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 1

Art.  1. 

W ustawie z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 oraz z 2019 r. poz. 60) wprowadza się następujące zmiany:

1)
po art. 2 dodaje się art. 2a w brzmieniu:

"Art. 2a. § 1. Kodeks postępowania administracyjnego normuje również sposób wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w postępowaniach wymienionych w art. 1 i art. 2.

§ 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie wpływa na tok i wynik postępowania.

§ 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik postępowania.";

2)
w art. 54 po § 1 dodaje się § 1a w brzmieniu:

"§ 1a. W wezwaniu zawiera się również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

3)
w art. 61 dodaje się § 5 w brzmieniu:

"§ 5. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

4)
w art. 61a w § 1 dodaje się zdanie drugie w brzmieniu:

"Przepis art. 61 § 5 stosuje się odpowiednio.";

5)
w art. 65 po § 1 dodaje się § 1a w brzmieniu:

"§ 1a. Zawiadomienie o przekazaniu sprawy zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

6)
w art. 66 w § 1 dodaje się zdanie trzecie w brzmieniu:

"Do zawiadomienia stosuje się odpowiednio przepis art. 65 § 1a.";

7)
w art. 73 po § 1a dodaje się § 1b w brzmieniu:

"§ 1b. Wgląd w akta sprawy w przypadku, o którym mowa w art. 236 § 2, następuje z pominięciem danych osobowych osoby składającej skargę.";

8)
po art. 74 dodaje się art. 74a w brzmieniu:

"Art. 74a. Przepis art. 73 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.";

9)
po art. 122g dodaje się art. 122h w brzmieniu:

"Art. 122h. § 1. W sprawach załatwianych milcząco organ administracji publicznej udostępnia informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.

§ 2. Przekazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w sposób określony w § 1, nie zwalnia organu administracji publicznej z obowiązku ich przekazania przy pierwszej czynności skierowanej do strony.";

10)
po art. 217 dodaje się art. 217a w brzmieniu:

"Art. 217a. Organ administracji publicznej przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

11)
po art. 226 dodaje się art. 226a w brzmieniu:

"Art. 226a. Organy właściwe w sprawach skarg i wniosków przekazują informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, skarżącemu lub wnioskodawcy przy pierwszej czynności skierowanej do tych osób.";

12)
w art. 231 dotychczasową treść oznacza się jako § 1 i dodaje się § 2 w brzmieniu:

"§ 2. Informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący skargę, dołącza się do zawiadomienia o przekazaniu skargi.";

13)
w art. 236 dotychczasową treść oznacza się jako § 1 i dodaje się § 2 i 3 w brzmieniu:

"§ 2. W przypadku wszczęcia albo wznowienia postępowania, stwierdzenia nieważności decyzji, jej uchylenia albo zmiany na skutek skargi, o której mowa w art. 233 zdanie drugie, art. 234 pkt 2 lub art. 235, w stosunku do strony i uczestnika postępowania przepisu art. 15 ust. 1 lit. g rozporządzenia 2016/679 nie stosuje się.

§ 3. Na każdym etapie postępowania, o którym mowa w § 2, skarżący może zezwolić organowi na udostępnienie swoich danych stronie postępowania.".

Art.  2. 

W ustawie z dnia 1 grudnia 1961 r. o izbach morskich (Dz. U. z 2016 r. poz. 1207) w dziale I dodaje się rozdział III w brzmieniu:

"Rozdział III

Przetwarzanie danych osobowych przez izby morskie

Art. 19a. Izby morskie przekazują informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przy pierwszej czynności skierowanej do osoby, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.

Art. 19b. 1. Nadzór nad przetwarzaniem danych osobowych w postępowaniach przed izbami morskimi sprawują:

1) w zakresie działalności Izby Morskiej w Gdańsku i Izby Morskiej w Szczecinie - Przewodniczący Odwoławczej Izby Morskiej;

2) w zakresie działalności Odwoławczej Izby Morskiej - Prezes Sądu Okręgowego w Gdańsku.

2. W ramach nadzoru, o którym mowa w ust. 1, właściwe organy:

1) rozpatrują skargi związane z przetwarzaniem danych osobowych;

2) podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów danych i podmiotów przetwarzających wiedzy o obowiązkach wynikających z rozporządzenia 2016/679;

3) współpracują z innymi organami sprawującymi nadzór nad przetwarzaniem danych osobowych w ramach postępowań prowadzonych przez sądy i trybunały oraz z organami nadzorczymi w rozumieniu art. 51 ust. 1 rozporządzenia 2016/679, w tym dzielą się informacjami oraz świadczą wzajemną pomoc, w celu zapewnienia spójnego stosowania rozporządzenia 2016/679.

3. Organy, o których mowa w ust. 1, są uprawnione do:

1) nakazywania administratorowi danych lub podmiotowi przetwarzającemu albo ich przedstawicielom dostarczenia wszelkich informacji potrzebnych do realizacji zadań tych organów;

2) zawiadamiania administratora danych lub podmiotu przetwarzającego o podejrzeniu naruszenia przepisów rozporządzenia 2016/679;

3) uzyskiwania od administratora danych lub podmiotu przetwarzającego dostępu do danych osobowych i informacji niezbędnych do realizacji zadań organu nadzorczego;

4) uzyskiwania dostępu do pomieszczeń administratora danych lub podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych;

5) wydawania ostrzeżeń administratorowi danych lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia przepisów rozporządzenia 2016/679;

6) udzielania upomnień administratorowi danych lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679;

7) wzywania administratora danych lub podmiotu przetwarzającego do dostosowania przetwarzania danych do przepisów rozporządzenia 2016/679.

4. Do przyjmowania i rozpatrywania skarg związanych z przetwarzaniem danych osobowych przez izby morskie stosuje się odpowiednio przepisy działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych.".

Art.  3. 

W ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2018 r. poz. 1314, z późn. zm.) po art. 5 dodaje się art. 5a w brzmieniu:

"Art. 5a. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności;

3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów;

6) zapewnieniu integralności danych w systemach informatycznych organów;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".

Art.  4. 

W ustawie z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.) wprowadza się następujące zmiany:

1)
art. 221 otrzymuje brzmienie:

"Art. 221. § 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4-6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;

5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

§ 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.";

2)
po art. 221 dodaje się art. 221a i art. 221b w brzmieniu:

"Art.21a. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 221 § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".

§ 2. Brak zgody, o której mowa w § 1, lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.

§ 3. Przetwarzanie, o którym mowa w § 1, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Art. 221b. § 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Przepis art. 221a § 2 stosuje się odpowiednio.

§ 2. Przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.";

3)
w art. 222:
a)
po § 1 dodaje się § 11 w brzmieniu:

"§ 11. Monitoring nie obejmuje pomieszczeń udostępnianych zakładowej organizacji związkowej.",

b)
§ 2 otrzymuje brzmienie:

"§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne do realizacji celu określonego w § 1 i nie naruszy to godności oraz innych dóbr osobistych pracownika, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób. Monitoring pomieszczeń sanitarnych wymaga uzyskania uprzedniej zgody zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa - uprzedniej zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy.",

c)
§ 10 otrzymuje brzmienie:

"§ 10. Przepis § 9 nie narusza przepisów art. 12 i art. 13 rozporządzenia 2016/679.";

4)
w art. 229:
a)
w § 11 pkt 2 otrzymuje brzmienie:

"2) przyjmowane do pracy u innego pracodawcy na dane stanowisko w ciągu 30 dni po rozwiązaniu lub wygaśnięciu poprzedniego stosunku pracy, jeżeli posiadają aktualne orzeczenie lekarskie stwierdzające brak przeciwwskazań do pracy w warunkach pracy opisanych w skierowaniu na badania lekarskie i pracodawca ten stwierdzi, że warunki te odpowiadają warunkom występującym na danym stanowisku pracy, z wyłączeniem osób przyjmowanych do wykonywania prac szczególnie niebezpiecznych.",

b)
po § 12 dodaje się § 13 w brzmieniu:

"§ 13. Pracodawca żąda od osoby, o której mowa w § 11 pkt 2 oraz w § 12, aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na danym stanowisku oraz skierowania na badania będące podstawą wydania tego orzeczenia.",

c)
§ 7 otrzymuje brzmienie:

"§ 7. Pracodawca przechowuje orzeczenia wydane na podstawie badań lekarskich, o których mowa w § 1, 2 i 5, orzeczenia i skierowania uzyskane na podstawie § 13 oraz skierowania, o których mowa w § 4a.",

d)
po § 7 dodaje się § 71 w brzmieniu:

"§ 71. W przypadku stwierdzenia, że warunki określone w skierowaniu, o którym mowa w § 13, nie odpowiadają warunkom występującym na danym stanowisku pracy, pracodawca zwraca osobie przyjmowanej do pracy to skierowanie oraz orzeczenie lekarskie wydane w wyniku tego skierowania.".

Art.  5. 

W ustawie z dnia 26 stycznia 1982 r. - Karta Nauczyciela (Dz. U. z 2018 r. poz. 967 i 2245) w art. 85 w ust. 4 otrzymuje brzmienie:

"4. Administratorem danych zgromadzonych w rejestrze jest minister właściwy do spraw oświaty i wychowania.".

Art.  6. 

W ustawie z dnia 26 maja 1982 r. - Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184, 1467, 1669 i 2193) po dziale I dodaje się dział 1a w brzmieniu:

"Dział Ia

Przetwarzanie danych osobowych

Art. 16a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez adwokata tajemnicy, o której mowa w art. 6.

2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez adwokata w związku z udzielaniem pomocy prawnej nie stosuje się.

Art. 16b. Obowiązek zachowania tajemnicy, o której mowa w art. 6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez adwokata w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych.

Art. 16c. 1. Okres przechowywania danych osobowych wynosi:

1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone -

w przypadku danych osobowych przetwarzanych przez organy adwokatury oraz organy izb adwokackich w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz danych osobowych przetwarzanych w ramach nadzoru nad adwokaturą;

2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych:

a) w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań:

– administracyjnych,

– w zakresie skarg i wniosków,

– innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu adwokackiego dotyczących adwokatów, aplikantów adwokackich lub osób ubiegających się o wpis na listę adwokatów lub listę aplikantów adwokackich, a także osób przystępujących do egzaminu wstępnego na aplikację adwokacką i egzaminu adwokackiego,

b) w ramach nadzoru nad postępowaniami, o których mowa w lit. a,

c) przez adwokatów w ramach wykonywania zawodu;

3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy adwokatury oraz organy izb adwokackich postępowań dyscyplinarnych wobec adwokatów i aplikantów adwokackich oraz podczas wykonywania kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach adwokatów i aplikantów adwokackich.

2. Po upływie okresów, o których mowa w ust. 1, w przypadku danych osobowych przetwarzanych przez adwokatów w ramach wykonywania zawodu, dane osobowe ulegają usunięciu.".

Art.  7. 

W ustawie z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2018 r. poz. 2115 i 2193) po rozdziale 1 dodaje się rozdział 1a w brzmieniu:

"Rozdział 1a

Przetwarzanie danych osobowych

Art. 5a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez radcę prawnego tajemnicy, o której mowa w art. 3.

2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej nie stosuje się.

Art. 5b. Obowiązek zachowania tajemnicy, o której mowa w art. 3 ust. 4-6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych.

Art. 5c. 1. Okres przechowywania danych osobowych wynosi:

1) 5 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych przez organy samorządu radców prawnych w zakresie niezbędnym do prawidłowej realizacji zadań publicznych określonych w ustawie oraz danych osobowych przetwarzanych w ramach nadzoru nad działalnością samorządu radców prawnych;

2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone - w przypadku danych osobowych przetwarzanych:

a) w toku prowadzonych przez organy samorządu radców prawnych postępowań:

– administracyjnych,

– w zakresie skarg i wniosków,

– innych przewidzianych przez ustawę lub wydane na podstawie ustawy akty prawne organów samorządu radców prawnych dotyczących radców prawnych, aplikantów radcowskich lub osób ubiegających się o wpis na listę radców prawnych lub listę aplikantów radcowskich, a także osób przystępujących do egzaminu wstępnego na aplikację radcowską i egzaminu radcowskiego,

b) w ramach nadzoru nad tymi postępowaniami, o których mowa w lit. a,

c) przez radców prawnych w ramach wykonywania zawodu;

3) 15 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone -

w przypadku danych osobowych przetwarzanych w toku prowadzonych przez organy samorządu radców prawnych postępowań dyscyplinarnych wobec radców prawnych i aplikantów radcowskich oraz podczas wykonywania przewidzianych przez ustawę kompetencji nadzorczych nad postępowaniami dyscyplinarnymi w sprawach radców prawnych i aplikantów radcowskich.

2. Po upływie okresów, o których mowa w ust. 1, w przypadku danych osobowych przetwarzanych przez radców prawnych w ramach wykonywania zawodu, dane osobowe ulegają usunięciu.".

Art.  8. 

W ustawie z dnia 6 lipca 1982 r. o księgach wieczystych i hipotece (Dz. U. z 2018 r. poz. 1916 i 2354) wprowadza się następujące zmiany:

1)
w art. 25 dodaje się ust. 4 w brzmieniu:

"4. Wpis dotyczący osoby fizycznej uprawnionej według treści prawa lub roszczenia, lub osoby fizycznej, której roszczenie zostało zabezpieczone przez wpis ostrzeżenia, obejmuje jej imię (imiona) i nazwisko (nazwiska), numer PESEL, chyba że odrębne przepisy nie przewidują nadawania tego numeru, oraz imię ojca i imię matki.";

2)
w art. 682 po ust. 5 dodaje się ust. 51 w brzmieniu:

"51. W przypadku gdy administratorem hipoteki jest osoba fizyczna, w księdze wieczystej wpisuje się jej imię (imiona) i nazwisko (nazwiska), numer PESEL, chyba że odrębne przepisy nie przewidują nadawania tego numeru, oraz imię ojca i imię matki.".

Art.  9. 

W ustawie z dnia 16 września 1982 r. - Prawo spółdzielcze (Dz. U. z 2018 r. poz. 1285) po art. 93a dodaje się art. 93b i art. 93c w brzmieniu:

"Art. 93b. 1. W związku z przetwarzaniem przez ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa danych osobowych uzyskanych w toku prowadzenia postępowań na podstawie art. 93a prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przysługuje w zakresie, w jakim nie wpływa ono na ochronę praw i wolności osoby, od której dane pozyskano.

2. Minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa informuje o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

3. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa przechowuje dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Art. 93c. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na przebieg i wynik postępowań, o których mowa w art. 93a.".

Art.  10. 

W ustawie z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (Dz. U. z 2018 r. poz. 2137 i 2244) wprowadza się następujące zmiany:

1)
po art. 25a dodaje się art. 25b w brzmieniu:

"Art. 25b. Wójt (burmistrz, prezydent miasta) jest administratorem danych, o których mowa w art. 25a ust. 1 i 2, przetwarzanych przez powołaną przez niego gminną komisję rozwiązywania problemów alkoholowych.";

2)
w art. 42 ust. 14 otrzymuje brzmienie:

"14. Dane utrwalone za pomocą urządzeń monitorujących są przetwarzane wyłącznie przez osoby posiadające pisemne upoważnienie wydane przez administratora danych w celu realizacji zadań określonych w ustawie. Osoby te są zobowiązane do zachowania tych danych w poufności.".

Art.  11. 

W ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553) wprowadza się następujące zmiany:

1)
w art. 16d po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Zgłoszenie, o którym mowa w ust. 2 pkt 1, zawiera następujące dane zainteresowanego lub jego upoważnionego przedstawiciela:

1) imię i nazwisko;

2) adres zamieszkania;

3) adres korespondencyjny;

4) numer telefonu lub adres poczty elektronicznej, jeżeli zostały podane do wykorzystania;

5) rodzaj i numer dokumentu potwierdzającego tożsamość;

6) podpis własnoręczny, kwalifikowany podpis elektroniczny, podpis zaufany lub podpis osobisty.";

2)
w art. 21:
a)
w ust. 1:
pkt 10 otrzymuje brzmienie:

"10) koordynowanie zadań w dziedzinie informatyzacji, telekomunikacji i teleinformatyki oraz zarządzania informacją podległych mu archiwów państwowych, w szczególności w zakresie:

a) zakupu, projektowania, budowy, wdrażania, rozwoju, integracji i eksploatacji systemów informatycznych i teleinformatycznych wyposażonych w środki zabezpieczające dane osobowe przetwarzane w tych systemach, w tym udostępniania tych systemów archiwom państwowym oraz realizacji dostaw i robót budowlanych niezbędnych do wykonywania tych zadań,

b) wymiany danych pomiędzy systemami, o których mowa w lit. a;",

po pkt 10 dodaje się pkt 10a w brzmieniu:

"10a) zapewnienie utrzymania i serwisu systemów informatycznych i teleinformatycznych oraz zabezpieczanie danych osobowych przetwarzanych w tych systemach;",

b)
w ust. 1a wyrazy "ust. 1 pkt 1 i 4" zastępuje się wyrazami "ust. 1 pkt 1, 4 i 10";
3)
art. 22a otrzymuje brzmienie:

"Art. 22a. Podmioty, o których mowa w art. 22 ust. 1 pkt 2-3a oraz ust. 2, w zakresie prowadzonej działalności archiwalnej mogą, na podstawie umowy albo porozumienia zawartych z Naczelnym Dyrektorem Archiwów Państwowych lub właściwym archiwum państwowym, nieodpłatnie korzystać z systemów informatycznych i teleinformatycznych, o których mowa w art. 21 ust. 1 pkt 10 lit. a.";

4)
po art. 22a dodaje się art. 22b-22d w brzmieniu:

"Art. 22b. 1. Do przetwarzania danych osobowych przez jednostki, o których mowa w art. 22 ust. 1 pkt 1 i 2 oraz ust. 2, w zakresie ich działalności archiwalnej, a także w zakresie przechowywania przez jednostki, o których mowa w art. 22 ust. 1 pkt 1, dokumentacji określonej w art. 51a ust. 1 i art. 51r, ogranicza się stosowanie:

1) art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w ten sposób, że przetwarzający przyjmują od osoby, której dane dotyczą, pisemne sprostowanie lub uzupełnienie dotyczące jej danych osobowych, nie dokonując ingerencji w materiały archiwalne;

2) art. 18 ust. 1 lit. a i b rozporządzenia 2016/679, w zakresie niezbędnym do zapewnienia korzystania z materiałów archiwalnych zgodnie z ustawą, bez naruszania istoty ochrony danych osobowych zawartych w tych materiałach, także w przypadku pierwotnego zbierania danych w sposób bezprawny albo w przypadku nieprawdziwości, nieścisłości lub niekompletności danych.

2. W przypadku, o którym mowa w ust. 1 pkt 1. sprostowanie lub uzupełnienie jest przechowywane i udostępniane odrębnie od materiałów archiwalnych, a informację o ich wniesieniu zamieszcza się w odpowiednich środkach ewidencyjnych.

3. Wykonanie obowiązku, o którym mowa w art. 15 ust. 1 i 3 rozporządzenia 2016/679, następuje w zakresie, w jakim dane osobowe podlegające udostępnieniu mogą być ustalone za pomocą istniejących środków ewidencyjnych.

4. Administrator danych informuje o ograniczeniach, o których mowa w ust. 1 i 3, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.

5. Zabezpieczenia stosowane przez jednostki, o których mowa w art. 22, polegają co najmniej na:

1) dopuszczeniu do przetwarzania chronionych danych osobowych wyłącznie pracowników posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu pracowników, o których mowa w pkt 1, do zachowania przetwarzanych danych w poufności.

Art. 22c. 1. Jednostki, o których mowa w art. 22, w ramach działalności archiwalnej, wdrażają zabezpieczenia wolności i praw osób, których dotyczą dane zawarte w materiałach archiwalnych, w szczególności w trakcie ich udostępniania przez anonimizację danych osobowych, zawieranie z użytkownikami zasobu archiwalnego umów wyłączających dalsze przetwarzanie danych osobowych oraz przez pseudonimizację danych w systemach informatycznych i teleinformatycznych.

2. Stosowanie zabezpieczeń w postaci anonimizacji i pseudonimizacji nie jest obowiązkowe, jeżeli:

1) przetwarza się, w tym udostępnia, dane osobowe za zgodą osoby, której dane dotyczą, jej pełnomocnika, przedstawiciela ustawowego lub opiekuna prawnego;

2) osoba, której dane dotyczą, dobrowolnie i świadomie podała je uprzednio do publicznej wiadomości.

3. Zabezpieczenia wolności i praw, o których mowa w ust. 1, stosuje się odpowiednio do dokumentacji niestanowiącej materiałów archiwalnych, o ile nie sprzeciwia się to celom postępowania z tą dokumentacją.

Art. 22d. Jednostki wymienione w art. 22 ust. 1 pkt 1 i 2 oraz w ust. 2 pkt 2 przetwarzają dane osobowe, odpowiednio:

1) wieczyście;

2) przez okres wynikający z art. 5 ust. 1 pkt 2.".

Art.  12. 

W ustawie z dnia 21 marca 1985 r. o drogach publicznych (Dz. U. z 2018 r. poz. 2068 oraz z 2019 r. poz. 698) wprowadza się następujące zmiany:

1)
w art. 4 w pkt 44 kropkę zastępuje się średnikiem i dodaje się pkt 45 w brzmieniu:

"45) rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).";

2)
w art. 13b dodaje się ust. 8-11 w brzmieniu:

"8. Zarząd drogi albo zarządca drogi wykonuje obowiązek, o którym mowa w:

1) art. 13 ust. 1 lit. a-c rozporządzenia 2016/679- pobierając opłatę, o której mowa w art. 13 ust. 1 pkt 1, w szczególności zamieszczając stosowne informacje w miejscu, w którym opłata ta jest wnoszona;

2) art. 13 ust. 1 lit. d-f i ust. 2 rozporządzenia 2016/679- udostępniając informacje w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o czym informuje w sposób określony w pkt 1 osoby, których dane osobowe są przetwarzane.

9. Zarząd drogi albo zarządca drogi informuje o ograniczeniach, o których mowa w ust. 8, udostępniając stosowne informacje w miejscu, w którym opłata jest wnoszona, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej oraz w miejscu widocznym w siedzibie.

10. Dane osobowe przetwarzane w związku z poborem opłat, o których mowa w art. 13 ust. 1 pkt 1, przechowuje się przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).

11. Dane osobowe, o których mowa w ust. 10, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.";

3)
po art. 13b dodaje się art. 13ba w brzmieniu:

"Art. 13ba. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty, o której mowa w art. 13 ust. 1 pkt 1.";

4)
w art. 13f dodaje się ust. 4 i 5 w brzmieniu:

"4. W związku z poborem opłaty dodatkowej zarząd drogi albo zarządca drogi wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.

5. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty dodatkowej.";

5)
po art. 13hb dodaje się art. 13hba w brzmieniu:

"Art. 13hba. 1. W związku z poborem opłaty elektronicznej podmiot pobierający tę opłatę wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie, oraz za pośrednictwem strony internetowej zawierającej informacje dotyczące poboru opłaty elektronicznej.

2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłaty elektronicznej.";

6)
w art. 16i w ust. 1:
a)
pkt 2 otrzymuje brzmienie:

"2) niezwłocznie informować podmiot pobierający opłaty, z którym zawarł umowę, o której mowa w art. 16e ust. 1 pkt 1 albo art. 16h pkt 1, o danych, w tym danych osobowych użytkownika EETS, koniecznych do realizacji tej umowy, w tym dostarczonych użytkownikom EETS urządzeniach, o których mowa w art. 161 ust. 1, oraz przypisaniu tych urządzeń do pojazdu samochodowego i użytkownika EETS;",

b)
pkt 4 otrzymuje brzmienie:

"4) współpracować z podmiotem uprawnionym do kontroli prawidłowości uiszczenia opłaty elektronicznej, o którym mowa w art. 13l ust. 1, w tym przekazywać temu podmiotowi dane osobowe użytkowników EETS naruszających obowiązki, o których mowa w art. 13 ust. 1 pkt 3, art. 13i ust. 4a lub 4b, na zasadach określonych w umowie, o której mowa w art. 16e ust. 1 pkt 1 albo art. 16h pkt 1;";

7)
po art. 20g dodaje się art. 20h w brzmieniu:

"Art. 20h. 1. Jeżeli przepisy odrębne nie stanowią inaczej, właściwy podmiot lub osoba przez niego upoważniona, na podstawie pisemnego wniosku, udostępnia nieodpłatnie dane osobowe przetwarzane w związku z poborem opłaty elektronicznej oraz wykonywaniem zadania, o którym mowa w art. 20 pkt 12:

1) Policji,

2) Inspekcji Transportu Drogowego,

3) Żandarmerii Wojskowej,

4) Straży Granicznej,

5) Biuru Nadzoru Wewnętrznego,

6) Agencji Bezpieczeństwa Wewnętrznego,

7) Agencji Wywiadu,

8) Centralnemu Biuru Antykorupcyjnemu,

9) Służbie Kontrwywiadu Wojskowego,

10) Służbie Wywiadu Wojskowego,

11) prokuratorowi,

12) sądom,

13) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,

14) Służbie Ochrony Państwa

– w zakresie niezbędnym do realizacji ich ustawowych zadań.

2. Wniosek, o którym mowa w ust. 1, wskazuje:

1) oznaczenie sprawy;

2) okoliczności, z których wynika konieczność pozyskania żądanych danych;

3) dane podlegające udostępnieniu.

3. Właściwy organ może wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych osobowych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1-5 i 7-14, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.

4. Udostępnianie danych osobowych, o których mowa w ust. 1, w sposób określony w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1-5 i 7-14, wniosku zawierającego:

1) określenie zakresu danych podlegających udostępnieniu;

2) określenie osób uprawnionych do przetwarzania danych, o których mowa w pkt 1;

3) oświadczenie, że podmioty te posiadają:

a) urządzenia umożliwiające odnotowanie w systemie kto, kiedy, w jakim celu i jakie dane uzyskał, oraz

b) zabezpieczenie techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania.

5. Właściwy organ udostępnia Agencji Bezpieczeństwa Wewnętrznego dane osobowe, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego, będąca odbiorcą danych, złoży oświadczenie, o którym mowa w ust. 4 pkt 3.

6. Właściwy organ nie udostępnia na podstawie ust. 1 i 3 danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.";

8)
w art. 24n po ust. 7 dodaje się ust. 7a w brzmieniu:

"7a. Rozpatrując wniosek, o którym mowa w ust. 6 i 7, minister właściwy do spraw transportu wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby składającej wniosek, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.".

Art.  13. 

W ustawie z dnia 18 kwietnia 1985 r. o rybactwie śródlądowym (Dz. U. z 2018 r. poz. 1476 oraz z 2019 r. poz. 125) w art. 6d po ust. 25 dodaje się ust. 25a w brzmieniu:

"25a. Dyrektor regionalnego zarządu gospodarki wodnej Państwowego Gospodarstwa Wodnego Wody Polskie zamieszcza i aktualizuje na swojej stronie internetowej:

1) wykaz obwodów rybackich;

2) imię i nazwisko albo nazwę uprawnionego do rybactwa w obwodzie rybackim;

3) wskazane przez uprawnionego do rybactwa dane kontaktowe uprawnionego;

4) okres obowiązywania umów użytkowania obwodu rybackiego.".

Art.  14. 

W ustawie z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich (Dz. U. z 2018 r. poz. 2179) art. 17c otrzymuje brzmienie:

"Art. 17c. 1. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań.

2. Rzecznik może przetwarzać dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), wyłącznie w celu ochrony wolności i praw człowieka i obywatela przy realizacji swoich ustawowych zadań.

3. Rzecznik dopuszcza do przetwarzania danych osobowych osoby posiadające pisemne upoważnienie. Warunkiem udzielenia upoważnienia jest pisemne zobowiązanie się osoby upoważnianej do zachowania przetwarzanych danych osobowych w poufności.".

Art.  15. 

W ustawie z dnia 17 maja 1989 r. - Prawo geodezyjne i kartograficzne (Dz. U. z 2019 r. poz. 725) po art. 5 dodaje się art. 5a i art. 5b w brzmieniu:

"Art. 5a. 1. W związku z przetwarzaniem przez Głównego Geodetę Kraju, marszałków województw, starostów albo prezydentów miast na prawach powiatu, wojewodów, organów i podmiotów tworzących i utrzymujących zintegrowany system informacji o nieruchomościach oraz wojewódzkich inspektorów nadzoru geodezyjnego i kartograficznego danych osobowych uzyskanych odpowiednio przy:

1) prowadzeniu państwowego zasobu geodezyjnego i kartograficznego,

2) przechowywaniu kopii zabezpieczających baz danych, o którym mowa w art. 7b ust. 1 pkt 4,

3) koordynacji usytuowania projektowanych sieci uzbrojenia terenu,

4) tworzeniu i utrzymywaniu zintegrowanego systemu informacji o nieruchomościach,

5) prowadzeniu postępowań kontrolnych, o których mowa w art. 9,

6) wydawaniu dzienników praktyki zawodowej, o których mowa w art. 44b ust. 5, oraz prowadzeniu rejestrów wydanych dzienników praktyki zawodowej,

7) nadawaniu uprawnień zawodowych w dziedzinie geodezji i kartografii oraz prowadzeniu centralnego rejestru osób posiadających uprawnienia zawodowe w dziedzinie geodezji i kartografii,

8) prowadzeniu postępowań dyscyplinarnych

– prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w zakresie wystąpień zawierających dane osobowe osób trzecich, które nie skutkują wszczęciem postępowania administracyjnego, przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osób, od których dane pozyskano.

2. Podmioty, o których mowa w ust. 1, informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane są przetwarzane.

3. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730) albo przepisów odrębnych, podmioty, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Art. 5b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na realizację zadań wskazanych w art. 5a ust. 1 pkt 1-5, 7 i 8.".

Art.  16. 

W ustawie z dnia 14 lutego 1991 r. - Prawo o notariacie (Dz. U. z 2019 r. poz. 540) w dziale I dodaje się rozdział 8 w brzmieniu:

"Rozdział 8

Przetwarzanie danych osobowych

Art. 78b. § 1. Przepisy art. 15 ust. 1 i 3. art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez notariusza tajemnicy, o której mowa w art. 18.

§ 2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w przypadku danych osobowych pozyskanych przez notariusza przy dokonywaniu czynności notarialnych nie stosuje się.

Art. 78c. Obowiązek zachowania tajemnicy, o której mowa w art. 18, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przy dokonywaniu czynności notarialnych występuje Prezes Urzędu Ochrony Danych Osobowych.

Art. 78d. Okres przechowywania danych osobowych zgromadzonych przez Krajową Radę Notarialną, rady izb notarialnych oraz komisje kwalifikacyjne przy wykonywaniu zadań określonych w ustawie wynosi 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane zostały zgromadzone. Przepis art. 90 § 1 stosuje się odpowiednio.".

Art.  17. 

W ustawie z dnia 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej (Dz. U. z 2018 r. poz. 2214 oraz z 2019 r. poz. 125) po art. 49 dodaje się art. 49a w brzmieniu:

"Art. 49a. 1. W przypadku niecierpiącym zwłoki dyrektor urzędu morskiego, realizując zadania określone w niniejszym rozdziale, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 tego rozporządzenia, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu obsługującego tego dyrektora, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu morskiego zadań określonych w niniejszym rozdziale.".

Art.  18. 

W ustawie z dnia 23 maja 1991 r. o rozwiązywaniu sporów zbiorowych (Dz. U. z 2019 r. poz. 174) w art. 11 po ust. 1 dodaje się ust. 11 i 12 w brzmieniu:

"11. Wpis na listę, o której mowa w ust. 1, obejmuje co najmniej:

1) imię (imiona) i nazwisko;

2) dane kontaktowe wskazane przez osobę ubiegającą się o wpis na listę.

12. Przetwarzanie danych osobowych innych niż wymienione w ust. 11 jest dopuszczalne za zgodą osoby ubiegającej się o uzyskanie wpisu na listę, o której mowa w ust. 1.".

Art.  19. 

W ustawie z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska (Dz. U. z 2018 r. poz. 1471 i 1479 oraz z 2019 r. poz. 125) w art. 2 dodaje się ust. 4-8 w brzmieniu:

"4. W przypadku niecierpiącym zwłoki organy Inspekcji Ochrony Środowiska, realizując zadania, o których mowa w ust. 1, 1a i 3, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

5. W związku z przetwarzaniem przez organy Inspekcji Ochrony Środowiska danych osobowych w toku realizacji zadań określonych w ust. 1, 1a i 3 prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia 2016/679, przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osoby, od której dane pozyskano.

6. Organy Inspekcji Ochrony Środowiska informują o ograniczeniu, o którym mowa w ust. 5, odpowiednio przy pierwszej czynności skierowanej do osoby, której dane dotyczą, w formie publicznego obwieszczenia, w innej formie publicznego ogłoszenia zwyczajowo przyjętej w danej miejscowości lub przez udostępnienie pisma w Biuletynie Informacji Publicznej na stronie podmiotowej właściwego organu Inspekcji Ochrony Środowiska.

7. Dane osobowe, o których mowa w ust. 5, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

8. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez organy Inspekcji Ochrony Środowiska zadań, o których mowa w ust. 1, 1a i 3.".

Art.  20. 

W ustawie z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (Dz. U. z 2018 r. poz. 620 i 1669) wprowadza się następujące zmiany:

1)
art. 14g i art. 14h otrzymują brzmienie:

"Art. 14g. 1. Komendant Główny Państwowej Straży Pożarnej zapewnia funkcjonowanie Systemu Wspomagania Decyzji Państwowej Straży Pożarnej, zwanego dalej "SWD PSP", stanowiącego system teleinformatyczny wspierający:

1) wykonywanie zadań krajowego systemu ratowniczo-gaśniczego przez jednostki organizacyjne Państwowej Straży Pożarnej;

2) przyjmowanie zgłoszeń alarmowych z centrów powiadamiania ratunkowego, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (Dz. U. z 2018 r. poz. 867 i 1115 oraz z 2019 r. poz. 730).

2. Utrzymanie, rozbudowa i modyfikacje SWD PSP są finansowane z budżetu państwa z części, której dysponentem jest minister właściwy do spraw wewnętrznych, oraz z części, których dysponentami są właściwi wojewodowie.

3. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia:

1) minimalny zbiór funkcjonalności SWD PSP, w tym sposób funkcjonowania tego systemu w sytuacjach awaryjnych,

2) sposób przydzielania, zawieszania oraz uchylania dostępu do tego systemu użytkownikom Państwowej Straży Pożarnej oraz jednostkom ochrony przeciwpożarowej

– uwzględniając potrzebę zapewnienia optymalnego poziomu współpracy między tym systemem a systemem teleinformatycznym systemu powiadamiania ratunkowego.

Art. 14h. 1. Państwowa Straż Pożarna przetwarza dane osobowe w SWD PSP w celu ochrony życia, zdrowia, mienia lub środowiska przed pożarem, klęską żywiołową lub innym miejscowym zagrożeniem, w zakresie niezbędnym do realizacji zadań wynikających z ustawy, uzyskane w związku z prowadzeniem działań ratowniczych oraz obsługą zgłoszeń alarmowych, o których mowa w art. 2 pkt 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, w tym dane osobowe osoby zgłaszającej oraz osób, których zgłoszenie dotyczy.

2. Jednostka organizacyjna Państwowej Straży Pożarnej, w związku z przetwarzaniem danych osobowych w SWD PSP, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej oraz w widocznym miejscu w siedzibie.

3. Osoba występująca z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.

4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

5. Dane osobowe, o których mowa w ust. 1, są przechowywane wyłącznie przez okres niezbędny do realizacji zadań wynikających z ustawy. Dane te podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.

6. Kierownicy jednostek organizacyjnych Państwowej Straży Pożarnej udostępniają informację o ograniczeniach, o których mowa w ust. 2 i 3, w Biuletynie Informacji Publicznej na swoich stronach podmiotowych lub na swoich stronach internetowych oraz w widocznym miejscu w siedzibach jednostek.";

2)
po art. 14h dodaje się art. 14ha w brzmieniu:

"Art. 14ha. 1. Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej są współadministratorami danych osobowych przetwarzanych w SWD PSP.

2. Komendant Główny Państwowej Straży Pożarnej ustala podział obowiązków współadministratorów, o których mowa w ust. 1, wynikających z przepisów rozporządzenia 2016/679.

3. Komendant Główny Państwowej Straży Pożarnej planuje i realizuje rozbudowę oraz modyfikację SWD PSP oraz podejmuje działania mające na celu:

1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PSP;

2) zapewnienie integralności danych w SWD PSP;

3) zapewnienie dostępności do SWD PSP dla podmiotów przetwarzających dane w tym systemie;

4) przeciwdziałanie uszkodzeniom SWD PSP;

5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;

7) zapewnienie rozliczalności działań dokonywanych na danych SWD PSP;

8) zapewnienie poprawności danych, w tym danych osobowych przetwarzanych w SWD PSP;

9) wykonywanie kopii bezpieczeństwa.

4. Komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej, w zakresie właściwości swojego działania, zapewniają utrzymanie SWD PSP oraz podejmują działania, o których mowa w ust. 3.

5. Współadministratorzy tworzą i aktualizują ewidencję osób upoważnionych do przetwarzania danych osobowych w SWD PSP, upoważniają do przetwarzania tych danych oraz prowadzą rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 rozporządzenia 2016/679.

6. Przepisy art. 14h oraz art. 14ha stosuje się odpowiednio do przetwarzania danych osobowych w SWD PSP przez jednostki ochrony przeciwpożarowej, o których mowa w art. 15 pkt 1a-8.".

Art.  21. 

W ustawie z dnia 24 sierpnia 1991 r. o Państwowej Straży Pożarnej (Dz. U. z 2018 r. poz. 1313, 1592 i 1669) po art. 28a dodaje się art. 28b w brzmieniu:

"Art. 28b. 1. Państwowa Straż Pożarna jest uprawniona do przetwarzania informacji, w tym przetwarzania danych osobowych, w celu prowadzenia postępowań kwalifikacyjnych do służby w Państwowej Straży Pożarnej, przenoszenia do służby w Państwowej Straży Pożarnej oraz w zakresie wynikającym z przebiegu stosunku służbowego strażaków, także po jego ustaniu, w tym przetwarza dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

2. Administratorami danych osobowych, o których mowa w ust. 1, są Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej, komendanci szkół Państwowej Straży Pożarnej, Dyrektor Centrum Naukowo-Badawczego Ochrony Przeciwpożarowej i Dyrektor Centralnego Muzeum Pożarnictwa, zwani dalej "administratorami", w zakresie, w jakim przetwarzają te dane.

3. Informacje, w tym dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratorów;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

4. Administratorzy dokonują przeglądu danych osobowych, o których mowa w ust. 1, nie rzadziej niż co 10 lat od dnia ich pozyskania, w celu potwierdzenia zasadności ich dalszego przetwarzania.

5. W ramach Państwowej Straży Pożarnej inspektorów ochrony danych, o których mowa w art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), wyznacza się w Komendzie Głównej Państwowej Straży Pożarnej, Szkole Głównej Służby Pożarniczej, szkołach Państwowej Straży Pożarnej, Centrum Naukowo- -Badawczym Ochrony Przeciwpożarowej, Centralnym Muzeum Pożarnictwa, komendach wojewódzkich Państwowej Straży Pożarnej dla obszaru województwa oraz komendach miejskich Państwowej Straży Pożarnej I kategorii. Wyznaczając inspektora ochrony danych, uwzględnia się strukturę organizacyjną i wielkość jednostek organizacyjnych Państwowej Straży Pożarnej.".

Art.  22. 

W ustawie z dnia 7 września 1991 r. o systemie oświaty (Dz. U. z 2018 r. poz. 1457, 1560, 1669 i 2245) wprowadza się następujące zmiany:

1)
po art. 13a dodaje się art. 13b w brzmieniu:

"Art. 13b. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.

2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

3. Przepisu ust. 2 nie stosuje się:

1) w przypadku zagrożenia zdrowia ucznia;

2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;

3) w przypadku gdy przewidują to przepisy szczególne.";

2)
w art. 92k w ust. 2 w pkt 2 uchyla się lit. g.
Art.  23. 

W ustawie z dnia 25 października 1991 r. o organizowaniu i prowadzeniu działalności kulturalnej (Dz. U. z 2018 r. poz. 1983 oraz z 2019 r. poz. 115) wprowadza się następujące zmiany:

1)
w art. 6a po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Okres przechowywania danych osób, o których mowa w ust. 1, wynosi 80 lat.";

2)
w art. 7 po ust. 4 dodaje się ust. 4a w brzmieniu:

"4a. Okres przechowywania danych osób, o których mowa w ust. 1, wynosi 80 lat.";

3)
w art. 7a po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. W związku z przyznawaniem dorocznych nagród organy, o których mowa w ust. 1, przetwarzają dane osób, o których mowa w ust. 2, przez okres niezbędny do realizacji zadań, o których mowa w ust. 1. Organy, o których mowa w ust. 1, dokonują przeglądu tych danych co 5 lat.";

4)
w art. 7b po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. W związku z przyznawaniem stypendiów organy, o których mowa w ust. 1, przetwarzają dane osób, o których mowa w ust. 2, przez okres niezbędny do realizacji zadań, o których mowa w ust. 1. Organy, o których mowa w ust. 1, dokonują przeglądu tych danych co 5 lat.";

5)
w art. 14 po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. W rejestrze, o którym mowa w ust. 1, gromadzone są następujące dane:

1) oznaczenia instytucji kultury, w szczególności podmiotu, z którym organizator wspólnie prowadzi instytucję kultury, oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu;

2) organizacji instytucji kultury, w szczególności:

a) imię i nazwisko dyrektora instytucji kultury i jego zastępców albo oznaczenie osoby fizycznej, której powierzono pełnienie obowiązków dyrektora, albo której powierzono zarządzanie instytucją kultury,

b) imiona i nazwiska pełnomocników instytucji kultury uprawnionych do dokonywania czynności prawnych w imieniu instytucji oraz zakres ich upoważnień,

c) imię i nazwisko pełnomocnika organizatora dokonującego wpisu;

3) dotyczące mienia instytucji kultury, w szczególności imię i nazwisko pełnomocnika organizatora dokonującego wpisu;

4) połączenia, podziału i likwidacji instytucji kultury, w szczególności imię i nazwisko likwidatora oraz imię i nazwisko pełnomocnika organizatora dokonującego wpisu.".

Art.  24. 

W ustawie z dnia 16 października 1992 r. o orderach i odznaczeniach (Dz. U. z 2019 r. poz. 25) wprowadza się następujące zmiany:

1)
po art. 32a dodaje się art. 32b w brzmieniu:

"Art. 32b. Przed podjęciem decyzji o nadaniu orderu lub odznaczenia Prezydent może zwrócić się do właściwych organów, organizacji lub instytucji o przekazanie informacji, które mogą mieć istotne znaczenie w sprawie o nadanie orderu lub odznaczenia.";

2)
uchyla się art. 37a.
Art.  25. 

W ustawie z dnia 10 grudnia 1993 r. o zaopatrzeniu emerytalnym żołnierzy zawodowych oraz ich rodzin (Dz. U. z 2019 r. poz. 289) art. 35 otrzymuje brzmienie:

"Art. 35. 1. Organy administracji publicznej, pracodawcy, organy emerytalne i rentowe oraz szkoły i uczelnie wyższe są obowiązane udzielać wojskowemu organowi emerytalnemu pomocy i informacji, w tym udostępniać dane osobowe, w sprawach świadczeń przewidzianych w ustawie oraz wydawać bezpłatnie, na ich żądanie, wszelkie dokumenty, w tym zaświadczenia, niezbędne do ustalenia prawa do świadczeń lub ich wysokości albo potwierdzenia istnienia prawa do świadczeń.

2. Wojskowy organ emerytalny jest uprawniony do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości albo do potwierdzenia istnienia prawa do świadczeń od organów emerytalnych lub rentowych oraz z rejestrów publicznych, w szczególności z:

1) rejestru PESEL,

2) systemu informacji oświatowej,

3) Centralnego Wykazu Ubezpieczonych,

4) ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów

– w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.

3. Wojskowy organ emerytalny informacje, o których mowa w ust. 2, może uzyskiwać w drodze pisemnej wymiany informacji.".

Art.  26. 

W ustawie z dnia 18 lutego 1994 r. o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin (Dz. U. z 2019 r. poz. 288) art. 36 otrzymuje brzmienie:

"Art. 36. 1. Organy administracji publicznej, pracodawcy, organy emerytalne i rentowe oraz szkoły i uczelnie wyższe są obowiązane udzielać organom emerytalnym pomocy i informacji, w tym udostępniać dane osobowe, w sprawach świadczeń przewidzianych w ustawie oraz wydawać bezpłatnie, na ich żądanie, wszelkie dokumenty, w tym zaświadczenia, niezbędne do ustalenia prawa do świadczeń lub ich wysokości albo potwierdzenia istnienia prawa do świadczeń.

2. Organy emerytalne są uprawnione do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do ustalenia prawa do świadczeń lub ich wysokości albo do potwierdzenia istnienia prawa do świadczeń od organów emerytalnych lub rentowych oraz z rejestrów publicznych, w szczególności z:

1) rejestru PESEL,

2) systemu informacji oświatowej,

3) Centralnego Wykazu Ubezpieczonych,

4) ogólnopolskiego wykazu studentów i ogólnopolskiego wykazu doktorantów

– w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia weryfikacji prawa do świadczeń.

3. W przypadku awarii systemów teleinformatycznych służących do pozyskiwania informacji drogą elektroniczną zgodnie z ust. 2, organy emerytalne uzyskują te informacje w drodze pisemnej wymiany informacji.".

Art.  27. 

W ustawie z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (Dz. U. z 2018 r. poz. 1316, 1608, 1669 i 2435) w art. 8:

1)
po ust. 1 dodaje się ust. 1a-1d w brzmieniu:

"1a. Udostępnienie pracodawcy danych osobowych osoby uprawnionej do korzystania z Funduszu, w celu przyznania ulgowej usługi i świadczenia oraz dopłaty z Funduszu i ustalenia ich wysokości, następuje w formie oświadczenia. Pracodawca może żądać udokumentowania danych osobowych w zakresie niezbędnym do ich potwierdzenia. Potwierdzenie może odbywać się w szczególności na podstawie oświadczeń i zaświadczeń o sytuacji życiowej (w tym zdrowotnej), rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.

1b. Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

1c. Pracodawca przetwarza dane osobowe, o których mowa w ust. 1a, przez okres niezbędny do przyznania ulgowej usługi i świadczenia, dopłaty z Funduszu oraz ustalenia ich wysokości, a także przez okres niezbędny do dochodzenia praw lub roszczeń.

1d. Pracodawca dokonuje przeglądu danych osobowych, o których mowa w ust. 1a, nie rzadziej niż raz w roku kalendarzowym w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w ust. 1a i lc.";

2)
ust. 2 otrzymuje brzmienie:

"2. Zasady i warunki korzystania z usług i świadczeń finansowanych z Funduszu, z uwzględnieniem ust. 1-1b, oraz zasady przeznaczania środków Funduszu na poszczególne cele i rodzaje działalności socjalnej określa pracodawca w regulaminie ustalanym zgodnie z art. 27 ust. 1 albo art. 30 ust. 6 ustawy z dnia 23 maja 1991 r. o związkach zawodowych (Dz. U. z 2019 r. poz. 263). Pracodawca, u którego nie działa zakładowa organizacja związkowa, uzgadnia regulamin z pracownikiem wybranym przez załogę do reprezentowania jej interesów.".

Art.  28. 

W ustawie z dnia 7 lipca 1994 r. - Prawo budowlane (Dz. U. z 2018 r. poz. 1202, z późn. zm.) po art. 84a dodaje się art. 84aa i art. 84ab w brzmieniu:

"Art. 84aa. 1. W związku z przetwarzaniem przez organy administracji architektoniczno-budowlanej i organy nadzoru budowlanego danych osobowych w toku realizacji zadań określonych w ustawie prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przysługuje w zakresie, w jakim nie ma wpływu na ochronę praw i wolności osoby, od której dane pozyskano.

2. Organy administracji architektoniczno-budowlanej informują o ograniczeniu, o którym mowa w ust. 1, odpowiednio przy pierwszej czynności skierowanej do osoby, której dane dotyczą, lub w trybie określonym w art. 49 Kodeksu postępowania administracyjnego.

3. Organy nadzoru budowlanego informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

4. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730) albo przepisów odrębnych, organy administracji architektoniczno-budowlanej i organy nadzoru budowlanego przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

5. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

Art. 84ab. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na:

1) prowadzenie rejestrów i ewidencji, o których mowa w art. 82b ust. 1 i 1a, art. 84 ust. 2 pkt 2-4 i art. 88a ust. 1 pkt 3;

2) przebieg i wynik postępowań, o których mowa w art. 97 ust. 1;

3) czynności związane z kontrolą przestrzegania i stosowania przepisów prawa budowlanego.".

Art.  29. 

W ustawie z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. z 2018 r. poz. 1878) wprowadza się następujące zmiany:

1)
w art. 10b:
a)
ust. 1 otrzymuje brzmienie:

"1. Ochrona praw osób, o których mowa w art. 10a ust. 1, jest zadaniem Rzecznika Praw Pacjenta, które realizuje w szczególności przy pomocy Rzeczników Praw Pacjenta Szpitala Psychiatrycznego.",

b)
w ust. 4 pkt 3 otrzymuje brzmienie:

"3) dostępu do dokumentacji medycznej osoby, o której mowa w art. 10a ust. 1;";

2)
w art. 18e ust. 5 otrzymuje brzmienie:

"5. Dane utrwalone za pomocą urządzeń monitorujących mogą być przetwarzane wyłącznie przez osoby posiadające pisemne upoważnienie wydane przez administratora danych, w szczególności sędziów oraz Rzeczników Praw Pacjenta Szpitala Psychiatrycznego, w celu realizacji zadań określonych w ustawie. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w tajemnicy.".

Art.  30. 

W ustawie z dnia 27 października 1994 r. o autostradach płatnych oraz o Krajowym Funduszu Drogowym (Dz. U. z 2018 r. poz. 2014 i 2244) wprowadza się następujące zmiany:

1)
po art. 37a dodaje się art. 37aa i art. 37ab w brzmieniu:

"Art. 37aa. 1. W związku z poborem opłat za przejazd autostradą podmioty wskazane w art. 37a ust. 1a wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie, oraz za pośrednictwem strony internetowej zawierającej informacje dotyczące poboru opłat za przejazd autostradą.

2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na obowiązek wniesienia opłat za przejazd autostradą.

Art. 37ab. 1. Jeżeli przepisy odrębne nie stanowią inaczej, podmioty, o których mowa w art. 37a ust. 1a, lub osoby przez nie upoważnione, na podstawie pisemnego wniosku, udostępniają nieodpłatnie dane osobowe przetwarzane w związku z poborem opłat za przejazd autostradą:

1) Policji,

2) Inspekcji Transportu Drogowego,

3) Żandarmerii Wojskowej,

4) Straży Granicznej,

5) Biuru Nadzoru Wewnętrznego,

6) Agencji Bezpieczeństwa Wewnętrznego,

7) Agencji Wywiadu,

8) Centralnemu Biuru Antykorupcyjnemu,

9) Służbie Kontrwywiadu Wojskowego,

10) Służbie Wywiadu Wojskowego,

11) prokuratorowi,

12) sądom,

13) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,

14) Służbie Ochrony Państwa

– w zakresie niezbędnym do realizacji ich ustawowych zadań.

2. Wniosek, o którym mowa w ust. 1, zawiera:

1) oznaczenie sprawy;

2) okoliczności, z których wynika konieczność pozyskania żądanych danych;

3) dane podlegające udostępnieniu.

3. Właściwy podmiot może wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych osobowych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1-5 i 7-14, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.

4. Udostępnianie danych osobowych, o których mowa w ust. 1, w sposób określony w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1-5 i 7-14, wniosku zawierającego:

1) określenie zakresu danych podlegających udostępnieniu;

2) określenie osób uprawnionych do przetwarzania danych, o których mowa w pkt 1;

3) oświadczenie, że podmioty te posiadają:

a) urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu i jakie dane uzyskał, oraz

b) zabezpieczenie techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania.

5. Właściwy podmiot udostępnia Agencji Bezpieczeństwa Wewnętrznego dane osobowe, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego będąca odbiorcą danych złoży oświadczenie, o którym mowa w ust. 4 pkt 3.

6. Właściwy podmiot nie udostępnia na podstawie ust. 1 i 3 danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.";

2)
w art. 63d dodaje się ust. 5 i 6 w brzmieniu:

"5. Generalny Dyrektor Dróg Krajowych i Autostrad lub drogowa spółka specjalnego przeznaczenia wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w stosunku do osoby, której dane osobowe są przetwarzane w związku z kontrolą, o której mowa w ust. 1, przy pierwszej czynności skierowanej do tej osoby, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.

6. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na wykonywanie uprawnień Generalnego Dyrektora Dróg Krajowych i Autostrad lub drogowej spółki specjalnego przeznaczenia, o których mowa w ust. 1-4.".

Art.  31. 

W ustawie z dnia 29 czerwca 1995 r. o statystyce publicznej (Dz. U. z 2019 r. poz. 649) wprowadza się następujące zmiany:

1)
w art. 2:
a)
pkt 1 a otrzymuj e brzmienie:

"1a) dane statystyczne - dane dotyczące zjawisk, zdarzeń, obiektów i działalności podmiotów gospodarki narodowej oraz życia i sytuacji osób fizycznych, w tym dane osobowe, pozyskane bezpośrednio od respondentów albo z systemów informacyjnych administracji publicznej, rejestrów urzędowych lub niepublicznych systemów informacyjnych, od momentu ich zebrania na potrzeby wykonywania zadań statystyki publicznej;",

b)
pkt 8 otrzymuje brzmienie:

"8) operat do badań statystycznych - wykaz objętych badaniami statystycznymi podmiotów gospodarki narodowej, osób fizycznych oraz innych podmiotów podlegających obserwacji statystycznej uporządkowany według określonych cech, zawierający dane jednostkowe wraz z ich identyfikacją teleadresową;",

c)
po pkt 11a dodaje się pkt 11b w brzmieniu:

"11b) osoba fizyczna prowadząca działalność gospodarczą - osobę fizyczną będącą przedsiębiorcą w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), inną osobę fizyczną prowadzącą działalność na własny rachunek w celu osiągnięcia zysku oraz osobę fizyczną prowadzącą indywidualne gospodarstwo rolne;",

d)
w pkt 14 kropkę zastępuje się średnikiem i dodaje się pkt 15 w brzmieniu:

"15) niepubliczne systemy informacyjne - systemy zbierania, gromadzenia i przetwarzania informacji prowadzone przez podmioty inne niż organy i podmioty, o których mowa w pkt 13, w szczególności podmioty wykonujące działalność w zakresie:

a) sprzedaży lub dostawy energii elektrycznej,

b) zbiorowego odprowadzania ścieków i zbiorowego zaopatrzenia w wodę,

c) przesyłu, dystrybucji i obrotu paliwami gazowymi,

d) obrotu, przesyłu i wytwarzania energii cieplnej,

e) telekomunikacji,

f) ubezpieczeń,

g) transportu i leasingu,

h) zarządzania portami lotniczymi,

i) zarządzania i administrowania nieruchomościami.";

2)
w art. 5:
a)
ust. 1 otrzymuje brzmienie:

"1. Służby statystyki publicznej:

1) zbierają, gromadzą i opracowują dane od podmiotów gospodarki narodowej i o tych podmiotach oraz ich działalności, a także dane od osób fizycznych i o tych osobach, ich życiu i sytuacji, oraz dane dotyczące zjawisk, zdarzeń i obiektów;

2) przechowują, łączą pozyskane dane i wtórnie je wykorzystują w celu realizacji zadań określonych w ustawie.",

b)
po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Dostęp służb statystyki publicznej do danych oraz przekazywanie tym służbom danych następuje nieodpłatnie.";

3)
po art. 5 dodaje się art. 5a w brzmieniu:

"Art. 5a. 1. Służby statystyki publicznej zbierają dane, w tym dane osobowe, z dostępnych źródeł określonych w ustawie i wydanych na jej podstawie aktach wykonawczych albo odrębnych ustawach.

2. W celu realizacji zadań określonych w ustawie, w tym badań statystycznych, służby statystyki publicznej zbierają dane:

1) z rejestrów urzędowych;

2) z systemów informacyjnych administracji publicznej;

3) z niepublicznych systemów informacyjnych;

4) od respondentów.

3. Służby statystyki publicznej zbierają również dane powszechnie dostępne z innych źródeł niż określone w ust. 2.

4. Dane, o których mowa w ust. 2 i 3, są zbierane z wykorzystaniem dostępnych technik, w tym z wykorzystaniem zautomatyzowanych narzędzi elektronicznych lub informatycznych.

5. Dane ze źródeł, o których mowa w ust. 1 i ust. 2 pkt 1-3, są przekazywane lub udostępniane w formatach, o których mowa w art. 18a ust. 2 i 3.";

4)
w art. 6:
a)
ust. 1 otrzymuje brzmienie:

"1. W ramach prowadzonych badań statystycznych dane od respondentów są zbierane metodą obserwacji pełnej lub metodą reprezentacyjną na wylosowanej próbie danej zbiorowości lub metodą dobom celowego.",

b)
dodaje się ust. 4 i 5 w brzmieniu:

"4. Udział osób fizycznych prowadzących działalność gospodarczą w badaniach statystycznych, dotyczących ich działalności gospodarczej, jest obowiązkowy.

5. Badania statystyczne, o których mowa w ust. 3, w których osoby fizyczne udzielają bezpośrednio odpowiedzi, są prowadzone po uprzednim ich poinformowaniu o podstawie prawnej badania, celu badania i gwarancjach zachowania tajemnicy, o której mowa w art. 10, oraz czy udział w badaniu jest obowiązkowy czy dobrowolny.";

5)
art. 8 otrzymuje brzmienie:

"Art. 8. Dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", nie mogą być zbierane na zasadzie obowiązku w badaniach statystycznych prowadzonych z udziałem osób fizycznych.";

6)
w art. 13:
a)
ust. 1 otrzymuje brzmienie:

"1. Organy administracji publicznej, Zakład Ubezpieczeń Społecznych, Narodowy Fundusz Zdrowia, Komisja Nadzoru Finansowego, a także inne państwowe lub samorządowe osoby prawne, organy rejestrowe oraz inne podmioty prowadzące rejestry urzędowe lub niepubliczne systemy informacyjne, przekazują lub udostępniają nieodpłatnie służbom statystyki publicznej zgromadzone dane w szczegółowym zakresie, postaci i terminach, określonych w programie badań statystycznych statystyki publicznej, w szczególności w postaci zbiorów danych z systemów teleinformatycznych, w tym wyników pomiarów, danych monitoringu środowiska, a w przypadku braku systemu teleinformatycznego - w innej utrwalonej postaci.",

b)
w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Organy i podmioty, o których mowa w ust. 1, z wyłączeniem podmiotów prowadzących niepubliczne systemy informacyjne, są obowiązane do:",

c)
ust. 4 otrzymuje brzmienie:

"4. Prezes Głównego Urzędu Statystycznego jest uprawniony do zgłaszania organom i podmiotom, o których mowa w ust. 1, z wyłączeniem podmiotów prowadzących niepubliczne systemy informacyjne, wniosków dotyczących zawartości informacyjnej i wymogów jakości danych w nich zawartych w celu umożliwienia wykorzystania tych danych na potrzeby statystyki publicznej.";

7)
w art. 35a:
a)
ust. 1 otrzymuje brzmienie:

"1. Służby statystyki publicznej przetwarzają dane osobowe określone w art. 35b ust. 1 w celu statystycznym, obejmującym w szczególności:

1) organizację i prowadzenie badań statystycznych, w tym spisów powszechnych, o których mowa w art. 18 lub odrębnych ustawach, oraz badań statystycznych, opracowań i analiz, o których mowa w art. 21 ust. 2;

2) opracowywanie i ogłaszanie prognoz demograficznych;

3) prowadzenie badań i analiz statystycznych, o których mowa w art. 25 ust. 1 pkt 11;

4) opracowywanie wyników badań statystycznych, w tym wyników spisów powszechnych;

5) prowadzenie analiz i opracowań statystycznych;

6) prowadzenie prac naukowych i badawczo-rozwojowych, o których mowa w art. 25 ust. 1 pkt 15;

7) prowadzenie i aktualizację operatu do badań statystycznych, o którym mowa w rozdziale 5a;

8) realizację zadań wynikających z uczestnictwa Rzeczypospolitej Polskiej w Europejskim Systemie Statystycznym (ESS), Europejskim Systemie Banków Centralnych (ESBC) i członkostwa w organizacjach międzynarodowych.",

b)
dodaje się ust. 3 w brzmieniu:

"3. Służby statystyki publicznej przetwarzają dane osobowe do celów prowadzenia i aktualizacji krajowego rejestru urzędowego podmiotów gospodarki narodowej.";

8)
po art. 35a dodaje się art. 35aa w brzmieniu:

"Art. 35aa. Dane osobowe od momentu ich zebrania bezpośrednio od respondentów albo z systemów informacyjnych administracji publicznej i rejestrów urzędowych lub niepublicznych systemów informacyjnych na potrzeby wykonywania zadań określonych w ustawie stają się danymi statystycznymi i objęte są tajemnicą statystyczną z wyłączeniem informacji zawartych w krajowym rejestrze urzędowym podmiotów gospodarki narodowej.";

9)
w art. 35b:
a)
w ust. 1:
wprowadzenie do wyliczenia otrzymuje brzmienie:

"Służby statystyki publicznej przetwarzają w celu statystycznym następujące dane osobowe:",

pkt 1 i 2 otrzymują brzmienie:

"1) imiona i nazwiska;

2) datę urodzenia;",

po pkt 2 dodaje się pkt 2a w brzmieniu:

"2a) kraj urodzenia i miejsce urodzenia;",

po pkt 5 dodaje się pkt 5a-5c w brzmieniu:

"5a) dane biometryczne;

5b) dane genetyczne;

5c) seksualność lub orientacja seksualna;",

po pkt 12 dodaje się pkt 12a w brzmieniu:

"12a) pozostawanie osób we wspólnym pożyciu;",

po pkt 14 dodaje się pkt 14a i 14b w brzmieniu:

"14a) dochód, w tym wynagrodzenie;

14b) składki na ubezpieczenia społeczne i ubezpieczenie zdrowotne;",

po pkt 16 dodaje się pkt 16a-16c w brzmieniu:

"16a) użytkowanie gospodarstwa rolnego;

16b) kierowanie gospodarstwem rolnym;

16c) adres miejsca pracy;",

pkt 20 otrzymuje brzmienie:

"20) adres zameldowania, adres zamieszkania lub adres miejsca pobytu;",

po pkt 20 dodaje się pkt 20a i 20b w brzmieniu:

"20a) kraj poprzedniego zamieszkania;

20b) kraj wyjazdu;", b) ust. 2 otrzymuje brzmienie:

"2. Dane osobowe, o których mowa w ust. 1, są przetwarzane przez służby statystyki publicznej w ramach badań statystycznych, które dostarczają informacji o życiu i sytuacji osób fizycznych lub wybranych aspektach życia i sytuacji tych osób, w następujących obszarach:

1) ludność, procesy demograficzne i migracje;

2) gospodarstwa domowe i rodziny;

3) aktywność obywatelska i społeczno-polityczna, członkostwo i wspieranie organizacji społecznych i politycznych;

4) pracujący, bezrobotni i bierni zawodowo, według cech społeczno-ekonomicznych;

5) prowadzenie działalności gospodarczej, rolnej i leśnej;

6) dojazdy do pracy;

7) warunki pracy, choroby zawodowe;

8) wypadki i poszkodowani;

9) czas pracy;

10) źródła utrzymania, w tym dochody, wynagrodzenia i ich struktura;

11) składki na ubezpieczenia społeczne i ubezpieczenie zdrowotne oraz okresy składkowe i wymiar etatu;

12) świadczenia z ubezpieczeń społecznych;

13) sytuacja finansowa i zamożność osób oraz gospodarstw domowych i rodzin;

14) wydatki i spożycie ilościowe przez osoby i gospodarstwa domowe;

15) warunki mieszkaniowe i wyposażenie gospodarstw domowych;

16) budżet czasu;

17) subiektywne oceny dotyczące jakości życia i sytuacji społeczno-ekonomicznej;

18) pomoc społeczna, w tym beneficjenci pomocy społecznej;

19) ubóstwo i wykluczenie społeczne;

20) wspieranie rodziny i piecza zastępcza;

21) świadczenia na rzecz rodziny;

22) opieka nad dziećmi i młodzieżą;

23) szkolnictwo wyższe, w tym nauczyciele akademiccy, studenci i doktoranci;

24) oświata i wychowanie, w tym uczniowie i nauczyciele;

25) aktywność edukacyjna, w tym kształcenie ustawiczne;

26) uczestnictwo ludności w sporcie, rekreacji, turystyce oraz kulturze, w tym wypoczynek dzieci i młodzieży;

27) zachorowania i leczenie, korzystanie z usług medycznych, zachowania prozdrowotne i antyzdrowotne;

28) ograniczenia wykonywania podstawowych czynności życiowych;

29) dostęp i korzystanie z usług społecznych i publicznych;

30) ruch graniczny osób i pojazdów;

31) kapitał ludzki i społeczny;

32) zachowania społeczno-religijne;

33) relacje społeczne;

34) społeczeństwo informacyjne;

35) bezpieczeństwo, zagrożenie przestępczością, przemoc;

36) udział w korzystaniu ze środowiska i ochronie środowiska.",

c)
po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Służby statystyki publicznej przetwarzają dane wywiedzione i dane wywnioskowane uzyskane w wyniku analizy danych osobowych, o których mowa w ust. 1, w obszarach określonych w ust. 2.",

d)
ust. 3 otrzymuje brzmienie:

"3. Dane, o których mowa w ust. 1, mogą być pozyskiwane bezpośrednio od osoby fizycznej, której dotyczą, lub pełnoletniego domownika albo z systemów informacyjnych administracji publicznej, rejestrów urzędowych lub niepublicznych systemów informacyjnych.",

e)
uchyla się ust. 4;
10)
w art. 35c:
a)
dotychczasową treść oznacza się jako ust. 1,
b)
w ust. 1:
w pkt 1 lit. a otrzymuje brzmienie:

"a) informatyzacji - z rejestru PESEL, centralnej ewidencji pojazdów i rejestru stanu cywilnego,",

po pkt 1 dodaje się pkt 1a w brzmieniu:

"1a) Ministra Sprawiedliwości - z centralnej bazy danych ksiąg wieczystych,",

c)
dodaje się ust. 2 i 3 w brzmieniu:

"2. Służby statystyki publicznej przetwarzają dane osobowe określone w art. 35b ust. 1 oraz informacje o życiu i sytuacji osób fizycznych lub wybranych aspektach życia i sytuacji tych osób, o których mowa w art. 35b ust. 2, pochodzące z niepublicznych systemów informacyjnych w szczegółowym zakresie określonym w programie badań statystycznych statystyki publicznej.

3. Służby statystyki publicznej przetwarzają dane osobowe, o których mowa w art. 8, zbierane z systemów informacyjnych administracji publicznej, rejestrów urzędowych i niepublicznych systemów informacyjnych, zapewniając gwarancje ich pełnej ochrony na zasadach określonych w ustawie.";

11)
art. 35d i art. 35e otrzymują brzmienie:

"Art. 35d. 1. Dane osobowe po ich zebraniu przez służby statystyki publicznej, jeżeli pozwala na to cel ich przetwarzania, są pseudonimizowane.

2. Pseudonimizacja dokonywana jest niezwłocznie, po określeniu niezbędnego zakresu podmiotowego i przedmiotowego, w sposób i zgodnie z trybem, o którym mowa w ust. 4.

3. Odwrócenie pseudonimizacji następuje wyłącznie w zakresie niezbędnym do uzyskania celu statystycznego.

4. Sposób i tryb pseudonimizacji danych osobowych określa, w drodze zarządzenia, Prezes Głównego Urzędu Statystycznego.

Art. 35e. 1. Dane osobowe, jeżeli jest to niezbędne do realizacji zadań określonych w ustawie, w zakresie dotyczącym celów statystycznych, są łączone z danymi pochodzącymi z różnych badań statystycznych, rejestrów urzędowych, systemów informacyjnych administracji publicznej i niepublicznych systemów informacyjnych.

2. Wykorzystywanie danych do celów innych niż określone w ustawie, w szczególności do podejmowania decyzji lub indywidualnych rozstrzygnięć wobec konkretnej osoby fizycznej, jest zabronione.";

12)
uchyla się art. 35f;
13)
art. 35g otrzymuje brzmienie:

"Art. 35g. Przepisy art. 35a-35c, art. 35d ust. 1 i art. 35h stosuje się do innych organów i podmiotów prowadzących badania statystyczne, o których mowa w art. 20, w zakresie prowadzonych przez nie badań statystycznych.";

14)
po art. 35g dodaje się art. 35h w brzmieniu:

"Art. 35h. 1. Do przetwarzania danych osobowych w celu wykonywania zadań określonych w ustawie przez służby statystyki publicznej nie stosuje się przepisów art. 15, art. 16, art. 18 i art. 21 rozporządzenia 2016/679.

2. W związku z przetwarzaniem danych osobowych w celu realizacji zadań określonych w ustawie przez służby statystyki publicznej wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, następuje przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na stronie podmiotowej urzędu i stronie internetowej Głównego Urzędu Statystycznego.

3. Informacja o sposobie wykonania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przekazywana jest razem z informacjami, o których mowa w art. 6 ust. 5.";

15)
art. 39 otrzymuje brzmienie:

"Art. 39. Prezes Głównego Urzędu Statystycznego zapewnia przechowywanie zgromadzonych danych zgodnie z zasadami określonymi w art. 10, art. 35d i rozdziale 5a.";

16)
po rozdziale 5 dodaje się rozdział 5a w brzmieniu:

"Rozdział 5a

Operat do badań statystycznych

Art. 39a. 1. W celu realizacji badań statystycznych Prezes Głównego Urzędu Statystycznego prowadzi operat do badań statystycznych, zwany dalej "OBS", w którym zamieszcza informacje o podmiotach podlegających obserwacji statystycznej według określonych cech.

2. OBS prowadzony jest w systemie teleinformatycznym.

3. Dane osobowe, w zależności od podmiotu podlegającego obserwacji statystycznej, są przechowywane w OBS nie dłużej niż przez 100 lat.

Art. 39b. 1. OBS podlega stałej i bieżącej aktualizacji w celu umożliwienia prowadzenia obserwacji statystycznej podmiotu tej obserwacji w czasie i przestrzeni.

2. OBS jest aktualizowany z wykorzystaniem danych pochodzących z rejestrów urzędowych i systemów informacyjnych oraz badań statystycznych, w tym spisów powszechnych.

Art. 39c. 1. Dane gromadzone w OBS są wykorzystywane wyłącznie przez służby statystyki publicznej do prowadzenia badań statystycznych, w tym spisów powszechnych.

2. Dane gromadzone w OBS mogą być udostępniane wyłącznie w trybie, o którym mowa w art. 20 ust. 4.

3. Dane w OBS są gromadzone, opracowywane i przechowywane z zachowaniem szczególnych warunków bezpieczeństwa i bezwzględnej ochrony danych, o której mowa w art. 10.";

17)
w art. 42 uchyla się ust. 2;
18)
w art. 53 ust. 1 otrzymuje brzmienie:

"1. Przekazywanie danych w formie i trybie określonych w programie badań statystycznych statystyki publicznej, a w przypadku spisów powszechnych - w odrębnej ustawie, odbywa się odpowiednio na koszt podmiotu obserwacji statystycznej lub gestora systemu informacyjnego administracji publicznej albo prowadzącego rejestr urzędowy albo niepubliczny system informacyjny.".

Art.  32. 

W ustawie z dnia 13 października 1995 r. o zasadach ewidencji i identyfikacji podatników i płatników (Dz. U. z 2019 r. poz. 63) po art. 15a dodaje się art. 15aa w brzmieniu:

"Art. 15aa. 1. W związku z przetwarzaniem danych osobowych w celu nadania NIP wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), następuje przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2, tego rozporządzenia w miejscu publicznie dostępnym w siedzibie organu lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ oraz na jego stronie internetowej. W takim przypadku, pozyskując dane osobowe, organ przekazuje osobie, której dane dotyczą, informacje o sposobie wykonania tego obowiązku.

2. Organy, o których mowa w art. 14a, mogą upoważniać do przetwarzania danych osobowych osoby zatrudnione lub pełniące służbę w jednostkach organizacyjnych Krajowej Administracji Skarbowej, w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organy te prowadzą rejestr osób upoważnionych do przetwarzania danych osobowych.

3. Dane osobowe przetwarzane przez organy, o których mowa w art. 14a, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności przez pozyskiwanie i przekazywanie danych osobowych podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do CRP KEP;

6) zapewnieniu integralności danych w CRP KEP;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".

Art.  33. 

W ustawie z dnia 13 października 1995 r. - Prawo łowieckie (Dz. U. z 2018 r. poz. 2033 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:

1)
w art. 21 w ust. 3 uchyla się pkt 2;
2)
po art. 21 dodaje się art. 21a w brzmieniu:

"Art. 21a. 1. Osoba ubiegająca się o przystąpienie do egzaminu, o którym mowa w art. 21 ust. 1, składa wniosek o dopuszczenie do egzaminu zawierający:

1) imię i nazwisko;

2) adres miejsca zamieszkania;

3) datę i miejsce urodzenia;

4) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

5) dane kontaktowe;

6) podpis.

2. W celu weryfikacji tożsamości osoba przystępująca do egzaminu, o którym mowa w art. 21 ust. 1, okazuje komisji egzaminacyjnej dowód osobisty lub inny dokument potwierdzający tożsamość.".

Art.  34. 

W ustawie z dnia 31 maja 1996 r. o osobach deportowanych do pracy przymusowej oraz osadzonych w obozach pracy przez III Rzeszę i Związek Socjalistycznych Republik Radzieckich (Dz. U. z 2014 r. poz. 1001 oraz z 2018 r. poz. 1552) w art. 4:

1)
ust. 1 otrzymuje brzmienie:

"1. Uprawnienie do świadczenia jest przyznawane decyzją Szefa Urzędu do Spraw Kombatantów i Osób Represjonowanych na podstawie wniosku zainteresowanej osoby i dokumentów oraz dowodów potwierdzających rodzaj i okres represji.";

2)
po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Wniosek, o którym mowa w ust. 1, zawiera imię lub imiona oraz nazwisko, nazwisko rodowe, datę i miejsce urodzenia, imiona rodziców, aktualne obywatelstwo i obywatelstwo w czasie podlegania represjom, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny wnioskodawcy, numer telefonu lub adres poczty elektronicznej, o ile wnioskodawca je posiada.";

3)
uchyla się ust. 3.
Art.  35. 

W ustawie z dnia 5 lipca 1996 r. o doradztwie podatkowym (Dz. U. z 2019 r. poz. 283) wprowadza się następujące zmiany:

1)
po art. 25 dodaje się art. 25a w brzmieniu:

"Art. 25a. 1. Minister właściwy do spraw finansów publicznych jest administratorem danych przetwarzanych w celach związanych z działalnością Państwowej Komisji Egzaminacyjnej do Spraw Doradztwa Podatkowego oraz organizacją egzaminu na doradcę podatkowego.

2. Do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie.

3. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.";

2)
w art. 37 dodaje się ust. 5-7 w brzmieniu:

"5. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez doradcę podatkowego lub osoby, o których mowa w ust. 3, tajemnicy zawodowej, o której mowa w ust. 1 i 3.

6. W przypadku danych osobowych pozyskanych przez doradcę podatkowego albo osoby, o których mowa w ust. 3, w związku z wykonywaniem doradztwa podatkowego nie stosuje się przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

7. Obowiązek zachowania tajemnicy zawodowej, o której mowa w ust. 1 i 3, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez doradcę podatkowego albo osoby, o których mowa w ust. 3, w związku z wykonywaniem doradztwa podatkowego występuje Prezes Urzędu Ochrony Danych Osobowych.";

3)
po art. 63 dodaje się art. 63a w brzmieniu:

"Art. 63a. 1. Krajowa Izba Doradców Podatkowych jest administratorem danych przetwarzanych przez organy samorządu doradców podatkowych w celu realizacji zadań lub obowiązków tych organów.

2. Do przetwarzania danych osobowych administrator danych dopuszcza osoby posiadające pisemne upoważnienie.

3. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.".

Art.  36. 

W ustawie z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392, z 2015 r. poz. 1064, z 2018 r. poz. 1669 oraz z 2019 r. poz. 271) wprowadza się następujące zmiany:

1)
w art. 7 w ust. 4 pkt 3 otrzymuje brzmienie:

"3) prowadzi konsultacje publiczne oraz współdziała z samorządem terytorialnym, organizacjami społecznymi i przedstawicielstwami środowisk zawodowych i twórczych;";

2)
po art. 39a dodaje się art. 39b w brzmieniu:

"Art. 39b. W zakresie niezbędnym do przygotowania projektu dokumentu rządowego, przygotowania i prowadzenia uzgodnień, konsultacji publicznych, opiniowania tego projektu oraz jego rozpatrywania Rada Ministrów, Prezes Rady Ministrów, członek Rady Ministrów, Szef Kancelarii Prezesa Rady Ministrów, inny podmiot, którego upoważnienie wynika z przepisów odrębnych, podmiot działający z upoważnienia Rady Ministrów, Prezesa Rady Ministrów albo członka Rady Ministrów oraz Rządowe Centrum Legislacji przetwarzają dane osobowe, w tym dane, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).".

Art.  37. 

W ustawie z dnia 13 września 1996 r. o utrzymaniu czystości i porządku w gminach (Dz. U. z 2018 r. poz. 1454 i 1629) w art. 6n w ust. 1 pkt 1 otrzymuje brzmienie:

"l) wzór deklaracji o wysokości opłaty za gospodarowanie odpadami komunalnymi składanej przez właścicieli nieruchomości, z uwzględnieniem art. 6m ust. 1a i 1b, obejmujący objaśnienia dotyczące sposobu jej wypełnienia, informacje wskazane w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) oraz pouczenie, że deklaracja stanowi podstawę do wystawienia tytułu wykonawczego; uchwała zawiera także informację o terminach i miejscu składania deklaracji;".

Art.  38. 

W ustawie z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2019 r. poz. 537 i 577) wprowadza się następujące zmiany:

1)
w art. 15 dodaje się ust. 11 i 12 w brzmieniu:

"11. Marszałek województwa, Minister Obrony Narodowej oraz wojewoda, w celu wykonywania zadań związanych z realizacją stażu podyplomowego lekarzy i lekarzy dentystów, przetwarzają zgodnie ze swoją właściwością dane lekarzy i lekarzy dentystów obejmujące:

1) stopień żołnierza w służbie czynnej;

2) imię i nazwisko;

3) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

4) datę urodzenia;

5) adres miejsca zamieszkania;

6) numer prawa wykonywania zawodu;

7) posiadane specjalizacje;

8) powody i okresy absencji w pracy;

9) przewidywany i faktyczny termin porodu;

10) informację o orzeczonej niepełnosprawności;

11) informacje o trybie rozwiązania umowy o pracę.

12. Dane, o których mowa w ust. 11 pkt 8-11, nie mogą być przetwarzane w celu innym niż finansowanie stażu podyplomowego, przedłużanie stażu podyplomowego i nadzór nad odbywaniem stażu podyplomowego, a dostęp do nich mogą mieć wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania tych danych wydane przez marszałka województwa, Ministra Obrony Narodowej lub wojewodę. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w poufności.";

2)
w art. 16h dodaje się ust. 10 i 11 w brzmieniu:

"10. Wojewoda, minister właściwy do spraw zdrowia, minister właściwy do spraw wewnętrznych i Minister Obrony Narodowej, w celu wykonywania zadań związanych z realizacją szkolenia specjalizacyjnego lekarzy i lekarzy dentystów, przetwarzają, zgodnie ze swoją właściwością, dane lekarzy i lekarzy dentystów obejmujące:

1) stopień żołnierza w służbie czynnej lub funkcjonariusza w stosunku służby;

2) imię i nazwisko;

3) numer PESEL, a w przypadku jego braku - rodzaj i numer dokumentu potwierdzającego tożsamość;

4) datę urodzenia;

5) adres miejsca zamieszkania;

6) numer prawa wykonywania zawodu;

7) posiadane specjalizacje;

8) powody i okresy absencji w pracy;

9) przewidywany i faktyczny termin porodu;

10) informację o orzeczonej niepełnosprawności;

11) informacje o trybie rozwiązania umowy o pracę.

11. Dane, o których mowa w ust. 10 pkt 8-11, nie mogą być przetwarzane w celu innym niż finansowanie szkolenia specjalizacyjnego, przedłużanie szkolenia specjalizacyjnego i nadzór nad odbywaniem szkolenia specjalizacyjnego, a dostęp do nich mogą mieć wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania tych danych wydane przez wojewodę, ministra właściwego do spraw zdrowia, ministra właściwego do spraw wewnętrznych lub Ministra Obrony Narodowej. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w poufności.".

Art.  39. 

W ustawie z dnia 10 kwietnia 1997 r. - Prawo energetyczne (Dz. U. z 2018 r. poz. 755, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 5d dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 i 3 w brzmieniu:

"2. Rada gminy określa, w drodze uchwały, wzór wniosku o wypłatę dodatku energetycznego.

3. Dane osobowe przetwarzane w zakresie niezbędnym do wypłacenia dodatku energetycznego przechowuje się przez okres nie dłuższy niż 5 lat od dnia zaprzestania wypłacania tego dodatku.";

2)
w art. 32d w ust. 4 wyraz "przekazuje" zastępuje się wyrazem "udostępnia".
Art.  40. 

W ustawie z dnia 6 czerwca 1997 r. - Kodeks karny (Dz. U. z 2018 r. poz. 1600 i 2077) w art. 115 § 12 otrzymuje brzmienie:

"§ 12. Groźbą bezprawną jest zarówno groźba, o której mowa w art. 190, jak i groźba spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jak również rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego lub innego postępowania, w którym może zostać nałożona administracyjna kara pieniężna, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem lub zachowaniem zagrożonym administracyjną karą pieniężną.".

Art.  41. 

W ustawie z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (Dz. U. z 2018 r. poz. 1990, 2244 i 2322 oraz z 2019 r. poz. 53 i 60) wprowadza się następujące zmiany:

1)
w art. 80b uchyla się ust. 4;
2)
w art. 100ab uchyla się ust. 2;
3)
w art. 100g uchyla się ust. 7;
4)
w art. 129h ust. 4 otrzymuje brzmienie:

"4. Do przetwarzania danych osobowych przez Głównego Inspektora Transportu Drogowego, w zakresie, o którym mowa w ust. 3, stosuje się przepis art. 26 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).";

5)
po dziale Vb dodaje się dział Vc w brzmieniu:

"Dział Vc

Przetwarzanie danych osobowych

Art. 140o. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), nie wpływa na przebieg i wynik kontroli, o których mowa w art. 129 ust. 1, 4 i 4a, art. 129a ust. 1, art. 129b ust. 1, art. 129c ust. 1 oraz art. 129d ust. 1, ani na uprawnienie właściwego organu do nałożenia kary.".

Art.  42. 

W ustawie z dnia 22 sierpnia 1997 r. o publicznej służbie krwi (Dz. U. z 2017 r. poz. 1371 oraz z 2018 r. poz. 1375) w art. 17 ust. 3 otrzymuje brzmienie:

"3. Administratorem danych gromadzonych w systemie e-krew jest minister właściwy do spraw zdrowia.".

Art.  43. 

W ustawie z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz. U. z 2018 r. poz. 511, 1000, 1076, 1925, 2192 i 2354) wprowadza się następujące zmiany:

1)
po art. 2a dodaje się art. 2b w brzmieniu:

"Art. 2b. 1. Pracodawca przetwarza dane osobowe, w tym dane o stanie zdrowia osób:

1) pozostających z nim w stosunku pracy oraz niepracujących byłych pracowników,

2) niepełnosprawnych wykonujących pracę nakładczą,

3) uczestniczących w procesie rekrutacji, odbywających szkolenie, staż, przygotowanie zawodowe albo praktyki zawodowe lub absolwenckie,

4) należących do grup wymienionych w art. 5 załącznika nr 1 do rozporządzenia Komisji (WE) nr 800/2008 z dnia 6 sierpnia 2008 r. uznającego niektóre rodzaje pomocy za zgodne ze wspólnym rynkiem w zastosowaniu art. 87 i 88 Traktatu (ogólne rozporządzenie w sprawie wyłączeń blokowych) (Dz. Urz. WE L 214 z 09.08.2008, str. 3, z późn. zm.) oraz do rozporządzenia Komisji (UE) nr 651/2014 z dnia 17 czerwca 2014 r. uznającego niektóre rodzaje pomocy za zgodne z rynkiem wewnętrznym w zastosowaniu art. 107 i 108 Traktatu (Dz. Urz. UE L 187 z 26.06.2014, str. 1, z późn. zm.),

5) będących członkami rodzin pracowników i niepracujących byłych pracowników,

6) o których mowa w art. 21 ust. 2c, i osób korzystających z usług jednostek organizacyjnych, o których mowa w art. 21 ust. 2e pkt 3

– dla celów określonych w ustawie.

2. Przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia jest dobrowolne.

3. W celu realizacji zadań, o których mowa w art. 25a, art. 25c, art. 25d i art. 26a-26c. działania mogą być podejmowane w oparciu o zautomatyzowane przetwarzanie danych.

4. Przetwarzanie, o którym mowa w ust. 3, może obejmować dane osobowe o stanie zdrowia.

5. W przypadku, o którym mowa w ust. 3 i 4, administrator danych zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym w szczególności zapewnia tej osobie prawo do uzyskania interwencji ludzkiej, prawo do wyrażenia własnego stanowiska oraz zakwestionowania decyzji podjętej w sposób zautomatyzowany.

6. Zabezpieczenia przetwarzania danych osobowych przez podmioty i osoby realizujące zadania wynikające z ustawy polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

7. Pracodawcy, o których mowa w ust. 1, podmioty i osoby realizujące zadania wynikające z ustawy przechowują dane osobowe wyłącznie przez okres nie dłuższy niż jest to niezbędne i w zakresie koniecznym do realizacji celów przetwarzania danych osobowych oraz dokonują przeglądu przydatności przetwarzania danych osobowych nie rzadziej niż co 5 lat.

8. Okres przechowywania danych przetwarzanych przez podmioty, o których mowa w art. 6 ust. 1, wynosi 50 lat.";

2)
w art. 6 dodaje się ust. 5 i 6 w brzmieniu:

"5. Zespoły orzekające o niepełnosprawności przetwarzają dane osobowe, w tym dane o stanie zdrowia, wyłącznie dla celów realizacji zadań oraz w zakresie niezbędnym do ich wykonania.

6. Zabezpieczenia przetwarzania danych osobowych przez zespoły orzekające o niepełnosprawności polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich poufności.";

3)
w art. 6c w ust. 6 zdanie pierwsze otrzymuje brzmienie:

"Wojewoda pełni bezpośredni nadzór nad powiatowymi zespołami przy pomocy wojewódzkich zespołów.";

4)
w art. 6ca:
a)
w ust. 1 zdanie pierwsze otrzymuje brzmienie:

"Powiatowy zespół, na wniosek osoby niepełnosprawnej lub jej przedstawiciela ustawowego, wystawia legitymację dokumentującą niepełnosprawność albo legitymację dokumentującą stopień niepełnosprawności.",

b)
po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Wniosek o wystawienie legitymacji lub jej duplikatu zawiera dane osobowe osoby ubiegającej się o wydanie legitymacji lub jej duplikatu lub dane przedstawiciela ustawowego tej osoby obejmujące:

1) imię i nazwisko;

2) datę i miejsce urodzenia;

3) płeć;

4) numer PESEL;

5) adres miejsca zamieszkania, jeżeli jest inny niż adres miejsca zameldowania;

6) dane kontaktowe;

7) dane o dokumencie tożsamości.",

c)
dodaje się ust. 5 w brzmieniu:

"5. Minister właściwy do spraw zabezpieczenia społecznego może określić wzór wniosku o wydanie legitymacji dokumentującej niepełnosprawność albo stopień niepełnosprawności lub ich duplikatu i udostępnić te wzory w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.";

5)
w art. 6d w ust. 4 pkt 4 otrzymuje brzmienie:

"4) dane dotyczące imienia i nazwiska, numeru PESEL, płci i obywatelstwa osób, o których mowa w ust. 3 pkt 4, formy ich zatrudnienia i wymiaru czasu pracy;".

Art.  44. 

W ustawie z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2018 r. poz. 800, z późn. zm.) wprowadza się następujące zmiany:

1)
po art. 1 dodaje się art. 1a w brzmieniu:

"Art. 1a. § 1. Ustawa normuje również sposób wykonywania przez organy podatkowe obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".

§ 2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów podatkowych przewidzianych w ustawie i nie wpływa na tok i wynik procedur podatkowych.

§ 3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na tok i wynik procedur podatkowych.";

2)
w art. 119zn:
a)
§ 2 otrzymuje brzmienie:

"§ 2. Wskaźnik ryzyka ustala izba rozliczeniowa w STIR nie rzadziej niż raz dziennie, opierając się na zautomatyzowanym przetwarzaniu, jeżeli zachowane są cele i warunki określone w niniejszym dziale.",

b)
dodaje się § 5 w brzmieniu:

"§ 5. Przetwarzanie, o którym mowa w § 2, może opierać się na danych osobowych ujawniających pochodzenie rasowe lub etniczne oraz danych biometrycznych, jeżeli zachowane są cele i warunki określone w niniejszym dziale.";

3)
w art. 159 po § 1a dodaje się § 1b w brzmieniu:

"§ 1b. Wezwanie zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, chyba że wezwany posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

4)
w art. 165 dodaje się § 9 w brzmieniu:

"§ 9. Organ podatkowy przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do strony, chyba że strona posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

5)
w art. 165a w § 1 dodaje się zdanie drugie w brzmieniu:

"Przepis art. 165 § 9 stosuje się odpowiednio.";

6)
w art. 170 po § 1 dodaje się § 1a w brzmieniu:

"§ 1a. Zawiadomienie o przekazaniu podania zawiera również informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w zakresie danych przetwarzanych przez organ przekazujący, chyba że wnoszący podanie posiada te informacje, a ich zakres lub treść nie uległy zmianie.";

7)
w art. 171 w § 1 dodaje się zdanie trzecie w brzmieniu:

"Do zawiadomienia stosuje się odpowiednio przepis art. 170 § 1a.";

8)
po art. 179 dodaje się art. 179a w brzmieniu:

"Art. 179a. Przepis art. 178 § 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.";

9)
w art. 283 w § 2 w pkt 8 kropkę zastępuje się średnikiem i dodaje się pkt 9 w brzmieniu:

"9) wskazanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679.";

10)
po art. 306a dodaje się art. 306aa w brzmieniu:

"Art. 306aa. Organ podatkowy przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do wnioskodawcy, chyba że wnioskodawca posiada te informacje, a ich zakres lub treść nie uległy zmianie.".

Art.  45. 

W ustawie z dnia 29 sierpnia 1997 r. o Narodowym Banku Polskim (Dz. U. z 2017 r. poz. 1373, z 2018 r. poz. 2243 oraz z 2019 r. poz. 371) po art. 59 dodaje się art. 59a w brzmieniu:

"Art. 59a. 1. W przypadku przetwarzania danych osobowych w celu wykonywania zadań określonych w art. 3 ust. 2 pkt 6a i 7, realizację uprawnień, o których mowa w art. 15 ust. 1 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zapewniają podmioty, które przekazują dane do NBP w sposób określony w art. 23a ust. 1 i 2.

2. NBP informuje o ograniczeniach, o których mowa w ust. 1, przez udostępnienie tych informacji w miejscu powszechnie dostępnym w swojej siedzibie oraz w Biuletynie Informacji Publicznej na stronie podmiotowej NBP lub na stronie internetowej NBP.

3. Okres przechowywania danych osobowych, o których mowa w ust. 1, ustala administrator danych zgodnie z celami ich przetwarzania, biorąc pod uwagę przepisy odrębne dotyczące terminów. NBP dokonuje przeglądu tych danych osobowych co 5 lat.

4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, aby proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych NBP;

6) zapewnieniu integralności danych w systemach informatycznych NBP;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

5. Prezesowi Urzędu Ochrony Danych Osobowych nie przysługuje prawo dostępu do danych jednostkowych, o których mowa w art. 23 ust. 2, 2a, 3 i 3a, oraz zestawień statystycznych, opracowań i ocen, o których mowa w art. 23 ust. 6.

6. Jeżeli jest to konieczne ze względu na wymagania bezpieczeństwa związane z kontrolą dostępu do informacji lub pomieszczeń, NBP żąda od osób świadczących usługi na rzecz NBP lub osób realizujących transporty wartości pieniężnych oraz ich pracowników danych biometrycznych w postaci odcisków palców, głosu, geometrii dłoni, układu naczyń krwionośnych palców lub dłoni. Dane biometryczne mogą być przechowywane wyłącznie przez czas realizacji usług świadczonych przez te osoby na rzecz NBP lub realizacji transportów pieniężnych.".

Art.  46. 

W ustawie z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2018 r. poz. 2187, 2243 i 2354 oraz z 2019 r. poz. 326) wprowadza się następujące zmiany:

1)
w art. 4 w ust. 1 w pkt 46 kropkę zastępuje się średnikiem i dodaje się pkt 47 i 48 w brzmieniu:

"47) rozporządzenie 2016/679 - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.);

48) profilowanie - profilowanie osób fizycznych w rozumieniu art. 4 pkt 4 rozporządzenia 2016/679.";

2)
w art. 22aa:
a)
w ust. 1 dodaje się zdanie drugie w brzmieniu:

"Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw banku w sposób ostrożny i stabilny.",

b)
dodaje się ust. 10-12 w brzmieniu:

"10. W celu zapewnienia ostrożnego i stabilnego zarządzania bankiem, bank identyfikuje inne niż wymienione w ust. 1 kluczowe funkcje w banku, z którymi związany jest zakres obowiązków, uprawnień i odpowiedzialności umożliwiający wywieranie znaczącego wpływu na kierowanie bankiem. Bank zapewnia, że osoby pełniące te funkcje spełniają odpowiednio wymagania określone w ust. 1.

11. Bank żąda od kandydata na członka zarządu lub rady nadzorczej oraz od osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku przedłożenia:

1) dokumentów lub oświadczeń dotyczących:

a) zmiany imienia, nazwiska lub obywatelstwa,

b) sytuacji materialnej i stanu majątku;

2) informacji niezbędnych do oceny spełniania warunków określonych w ust. 1, dotyczących:

a) adresu zamieszkania lub pobytu,

b) wykształcenia, zawodu, umiejętności i doświadczenia zawodowego, w tym dotychczasowego przebiegu pracy zawodowej, ukończonych szkoleń zawodowych, miejsca i stanowiska pracy oraz funkcji pełnionych w organach podmiotów sektora finansowego,

c) postępowań karnych i postępowań w sprawach o przestępstwa skarbowe prowadzonych przeciwko kandydatowi na członka zarządu lub rady nadzorczej lub osobie ubiegającej się o pełnienie innej kluczowej funkcji w banku,

d) nałożonych sankcji administracyjnych,

e) sankcji administracyjnych nałożonych na inne podmioty w związku z zakresem odpowiedzialności kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku,

f) postępowań sądowych, które mogą mieć negatywny wpływ na reputację kandydata na członka zarządu lub rady nadzorczej lub osoby ubiegającej się o pełnienie innej kluczowej funkcji w banku, oraz postępowań administracyjnych, dyscyplinarnych lub egzekucyjnych, w których występował lub występuje jako strona,

g) znajomości języka polskiego oraz języków obcych,

h) sposobu działania w życiu, środowisku i kontaktach zawodowych oraz sposobu zachowania się wobec osób pokrzywdzonych przez jego działania.

12. Dane osobowe, o których mowa w ust. 11, przechowuje się nie dłużej niż przez okres 25 lat.";

3)
w art. 70 uchyla się ust. 5 i 6;
4)
po art. 70 dodaje się art. 70a w brzmieniu:

"Art. 70a. 1. Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego.

2. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.

3. W przypadku przedsiębiorców bank i inna instytucja ustawowo upoważniona do udzielania kredytów może pobierać opłatę za sporządzenie wyjaśnienia, o którym mowa w ust. 1. Wysokość opłaty powinna być odpowiednia do wysokości kredytu.

4. Przepisy ust. 1-3 stosuje się odpowiednio do przedsiębiorcy ubiegającego się o pożyczkę pieniężną.";

5)
w art. 105 w ust. 1 w pkt 2 lit. u otrzymuje brzmienie:

"u) podmiotu, o którym mowa w art. 45 ust. 1 ustawy z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji, w zakresie niezbędnym do zapewnienia prawidłowej realizacji wypłat środków gwarantowanych,";

6)
w art. 105a po ust. 1 dodaje się ust. 1a-1c w brzmieniu:

"1a. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych - również stanowiących tajemnicę bankową - pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska.

1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o dane niezbędne z uwagi na cel i rodzaj kredytu, w szczególności w oparciu o następujące kategorie danych:

1) dane dotyczące osoby fizycznej:

a) imię (imiona) i nazwisko,

b) nazwisko rodowe,

c) imiona rodziców,

d) datę i miejsce urodzenia,

e) wiek,

f) płeć,

g) obywatelstwo,

h) stan cywilny,

i) serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,

j) numer PESEL, o ile został nadany,

k) numer identyfikacji podatkowej, o ile został nadany,

l) adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji,

m) tytuł prawny do zajmowanego lokalu,

n) miejsce pracy,

o) zawód,

p) wykształcenie,

q) formę zatrudnienia,

r) sytuację finansową, w tym dochody i wydatki,

s) osoby pozostające na utrzymaniu,

t) ustrój majątkowy małżonków;

2) dane dotyczące zobowiązania:

a) źródło zobowiązania,

b) kwotę i walutę,

c) numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów,

d) datę powstania zobowiązania,

e) warunki spłaty zobowiązania,

f) ustanowione zabezpieczenia prawne,

g) przebieg realizacji zobowiązania,

h) stan zadłużenia z tytułu zobowiązania,

i) datę wygaśnięcia zobowiązania,

j) przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki, o której mowa w ust. 3,

k) przyczyny wygaśnięcia zobowiązania.

1c) Decyzje, o których mowa w ust. 1a, nie mogą być podejmowane w oparciu o dane, o których mowa w art. 9 rozporządzenia 2016/679.";

7)
art. 106d otrzymuje brzmienie:

"Art. 106d. 1. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:

1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;

2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.

2. Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom.";

8)
po art. 106d dodaje się art. 106e w brzmieniu:

"Art. 106e. Do przetwarzania danych osobowych przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, przepisu art. 15 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zgodnie z art. 106, oraz zapobiegania przestępstwom, zgodnie z art. 106a i art. 106d.".

Art.  47. 

W ustawie z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2019 r. poz. 300 i 303) po art. 34 dodaje się art. 34a w brzmieniu:

"Art. 34a. 1. Zakład może wykonać obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w miejscu publicznie dostępnym w centrali lub terenowych jednostkach organizacyjnych oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie podmiotowej Zakładu. W takim przypadku Zakład, podczas pozyskiwania danych osobowych, informuje osobę, której dane dotyczą, o miejscu udostępnienia tych informacji.

2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków Zakładu i nie wpływa na przebieg i wynik postępowań prowadzonych przez Zakład.".

Art.  48. 

W ustawie z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2018 r. poz. 1270 i 2245 oraz z 2019 r. poz. 39) w art. 117 po ust. 4 dodaje się ust. 4a w brzmieniu:

"4a. Wniosek o potwierdzenie okresów, o których mowa w art. 6 ust. 1 pkt 10 i ust. 2 pkt 6a, zawiera imię lub imiona oraz nazwisko wnioskodawcy, datę i miejsce urodzenia, imiona rodziców, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny, numer telefonu lub adres poczty elektronicznej, o ile wnioskodawca je posiada.".

Art.  49. 

W ustawie z dnia 6 stycznia 2000 r. o Rzeczniku Praw Dziecka (Dz. U. z 2017 r. poz. 922) art. 10c otrzymuje brzmienie:

"Art. 10c. 1. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe, niezbędne do realizacji swoich ustawowych zadań.

2. Rzecznik może przetwarzać dane osobowe, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), wyłącznie w celu ochrony wolności i praw człowieka i obywatela przy realizacji swoich ustawowych zadań.

3. Rzecznik dopuszcza do przetwarzania danych osobowych osoby posiadające pisemne upoważnienie. Warunkiem udzielenia upoważnienia jest pisemne zobowiązanie się osoby upoważnianej do zachowania przetwarzanych danych osobowych w poufności.".

Art.  50. 

W ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2018 r. poz. 1218 i 1544 oraz z 2019 r. poz. 60) w art. 4 ust. 2 otrzymuje brzmienie:

"2. Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze.".

Art.  51. 

W ustawie z dnia 29 listopada 2000 r. - Prawo atomowe (Dz. U. z 2018 r. poz. 792, 1669 i 2227) w art. 86c dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2-5 w brzmieniu:

"2. W przypadku przyjmowania, weryfikacji i przetwarzania przez Prezesa Agencji informacji o zdarzeniach radiacyjnych, a także informacji o próbach nielegalnego przywozu na terytorium Rzeczypospolitej Polskiej lub wywozu z terytorium Rzeczypospolitej Polskiej substancji promieniotwórczych, obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), są realizowane przez udostępnienie informacji w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Agencji, jego stronie internetowej oraz w miejscu powszechnie dostępnym w siedzibie Agencji.

3. Prezes Agencji informuje o ograniczeniach, o których mowa w ust. 2, udostępniając stosowne informacje w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa Agencji, jego stronie internetowej oraz w miejscu powszechnie dostępnym w siedzibie Agencji.

4. Okres przechowywania danych, o których mowa w ust. 2, ustala się zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).

5. Dane osobowe, o których mowa w ust. 2, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.".

Art.  52. 

W ustawie z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających (Dz. U. z 2018 r. poz. 613) w art. 22f po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Członkowie zarządu jednostki zarządzającej powinni mieć wiedzę, umiejętności i doświadczenie odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków oraz dawać rękojmię należytego wykonywania tych obowiązków. Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw jednostki zarządzającej w sposób ostrożny i stabilny. Do oceny rękojmi ostrożnego i stabilnego zarządzania jednostką zarządzającą stosuje się odpowiednio przepisy art. 22aa ust. 10-12 ustawy - Prawo bankowe.".

Art.  53. 

W ustawie z dnia 15 grudnia 2000 r. o samorządach zawodowych architektów oraz inżynierów budownictwa (Dz. U. z 2016 r. poz. 1725, z 2018 r. poz. 1669 oraz z 2019 r. poz. 577) po art. 8c dodaje się art. 8d i art. 8e w brzmieniu:

"Art. 8d. 1. W związku z przetwarzaniem przez właściwe organy krajowych i okręgowych izb samorządu zawodowego architektów i inżynierów budownictwa danych osobowych uzyskanych w toku realizacji zadań określonych w ustawie prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przysługuje, jeżeli nie wpływa na ochronę praw i wolności osoby, od której dane pozyskano.

2. Właściwe organy krajowych i okręgowych izb samorządu zawodowego architektów i inżynierów budownictwa informują o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Art. 8e. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na:

1) prowadzenie postępowań kontrolnych;

2) prowadzenie list oraz rejestru, o których mowa w art. 8c, art. 19 ust. 1 pkt 10 oraz art. 39, w tym ich tworzenie, ewidencjonowanie i utrzymywanie oraz aktualizację i udostępnianie danych;

3) postępowania w sprawach świadczenia usług transgranicznych, o których mowa w art. 20a;

4) uznawanie kwalifikacji zawodowych, o których mowa w art. 33a. art. 33d i art. 33c:

5) prowadzenie postępowań dyscyplinarnych, o których mowa w rozdziale 5.".

Art.  54. 

W ustawie z dnia 21 grudnia 2000 r. o żegludze śródlądowej (Dz. U. z 2017 r. poz. 2128, z 2018 r. poz. 1137 i 1694 oraz z 2019 r. poz. 125 i 642) w art. 9 po ust. 2g dodaje się ust. 2h i 2i w brzmieniu:

"2h. W przypadku niecierpiącym zwłoki dyrektor urzędu żeglugi śródlądowej, realizując zadania, o których mowa w ust. 2 pkt 1, 2, 4-8 i 10, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

2i. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu żeglugi śródlądowej zadań, o których mowa w ust. 2 pkt 1, 2, 4-8 i 10.".

Art.  55. 

W ustawie z dnia 3 lutego 2001 r. o ochronie dziedzictwa Fryderyka Chopina (Dz. U. poz. 168) art. 6 otrzymuje brzmienie:

"Art. 6. 1. Osobom fizycznym i jednostkom organizacyjnym wyróżniającym się w ochronie dziedzictwa Fryderyka Chopina, w szczególności w kultywowaniu wiedzy i pamięci o kompozytorze, prowadzeniu badań i współdziałaniu w rozwijaniu wiedzy o twórczości i osobie Fryderyka Chopina, popularyzowaniu jego twórczości, a także pozyskiwaniu, gromadzeniu, zabezpieczaniu i udostępnianiu przedmiotów oraz miejsc związanych z jego życiem i twórczością, nadaje się odznakę honorową "Zasłużony dla Ochrony Dziedzictwa Fryderyka Chopina", zwaną dalej "Odznaką".

2. Odznakę nadaje się tej samej osobie fizycznej albo jednostce organizacyjnej tylko raz.

3. Odznakę nadaje minister z własnej inicjatywy lub na wniosek:

1) innego ministra lub kierownika urzędu centralnego;

2) terenowego organu administracji rządowej albo organu jednostki samorządu terytorialnego;

3) kierownika placówki zagranicznej Rzeczypospolitej Polskiej w rozumieniu art. 4 pkt 2 ustawy z dnia 27 lipca 2001 r. o służbie zagranicznej (Dz. U. z 2018 r. poz. 2040 oraz z 2019 r. poz. 9);

4) podmiotu prowadzącego statutową działalność kulturalną, organizacji społecznej lub stowarzyszenia, działających na rzecz ochrony dziedzictwa Fryderyka Chopina;

5) kierownika publicznej albo niepublicznej szkoły artystycznej;

6) instytutu badawczego albo innej jednostki naukowej prowadzącej badania naukowe i poszerzającej wiedzę o życiu i twórczości Fryderyka Chopina.

4. Wniosek, o którym mowa w ust. 3, zawiera dane wnioskodawcy, w tym nazwę lub imię i nazwisko, adres do korespondencji, uzasadnienie wniosku oraz dane kandydata:

1) w przypadku gdy kandydatem jest osoba fizyczna:

a) imię i nazwisko,

b) datę i miejsce urodzenia,

c) obywatelstwo,

d) adres zamieszkania albo do korespondencji,

e) wykształcenie i posiadane tytuły naukowe,

f) numer telefonu lub adres poczty elektronicznej,

g) informacje w zakresie ochrony dziedzictwa Fryderyka Chopina;

2) w przypadku gdy kandydatem jest jednostka organizacyjna:

a) nazwę,

b) siedzibę i adres,

c) charakter prowadzonej działalności,

d) datę utworzenia,

e) osiągnięcia w zakresie ochrony dziedzictwa Fryderyka Chopina.

5. Okres przechowywania danych osobowych zawartych we wniosku, o którym mowa w ust. 3, wynosi 80 lat.

6. Wniosek, o którym mowa w ust. 3, podlega zaopiniowaniu przez komisję do spraw opiniowania wniosków o nadanie Odznaki, zwaną dalej "komisją", która rekomenduje ministrowi osobę lub jednostkę organizacyjną do nadania Odznaki.

7. W skład komisji wchodzi od 5 do 9 osób, powoływanych przez ministra na okres roku, uznawanych za autorytety artystyczne i naukowe w dziedzinie badania życia i twórczości Fryderyka Chopina. Członkowie komisji pełnią swoje funkcje społecznie.

8. Członkowie Komisji wybierają spośród siebie Przewodniczącego Komisji oraz Sekretarza Komisji.

9. Informacje o nadanych Odznakach są udostępniane w Biuletynie Informacji Publicznej na stronie podmiotowej ministra i zawierają następujące dane osobowe:

1) imię i nazwisko;

2) posiadane tytuły naukowe;

3) informacje dotyczące działalności zawodowej z uwzględnieniem działalności w zakresie ochrony dziedzictwa Fryderyka Chopina.

10. Minister wydaje legitymację potwierdzającą nadanie Odznaki.

11. Minister określi, w drodze rozporządzenia, wzór i tryb rozpatrywania wniosku, o którym mowa w ust. 3, sposób wręczenia Odznaki i noszenia miniatury Odznaki, tryb działania komisji, wzór Odznaki i jej miniatury, wzór legitymacji potwierdzającej nadanie Odznaki, sposób postępowania w przypadku zagubienia albo zniszczenia Odznaki lub legitymacji potwierdzającej nadanie Odznaki, w tym wydawania ich duplikatu, uwzględniając wyeliminowanie możliwości ponownego składania wniosku o tej samej treści oraz ujednolicenie sposobu składania wniosków, sprawne przeprowadzenie postępowania o nadanie Odznaki, wzornictwo stosowane w polskiej falerystyce oraz godne i uroczyste uhonorowanie osób fizycznych oraz jednostek organizacyjnych, którym jest nadawana Odznaka.".

Art.  56. 

W ustawie z dnia 6 lipca 2001 r. o usługach detektywistycznych (Dz. U. z 2018 r. poz. 2163 oraz z 2019 r. poz. 55) wprowadza się następujące zmiany:

1)
uchyla się art. 8;
2)
uchyla się art. 25a;
3)
po rozdziale 3 dodaje się rozdział 3a w brzmieniu:

"Rozdział 3a

Przetwarzanie danych osobowych

Art. 28a. Detektyw lub zatrudniający go przedsiębiorca przetwarza dane osobowe zebrane w toku wykonywania czynności, o których mowa w art. 2 ust. 1, bez zgody osób, których dane dotyczą, wyłącznie w zakresie realizacji usługi detektywistycznej.

Art. 28b. 1. Po zrealizowaniu usługi detektywistycznej detektyw lub zatrudniający go przedsiębiorca obowiązany jest przekazać zleceniodawcy dane osobowe zebrane podczas wykonywania czynności, o których mowa w art. 2 ust. 1.

2. W przypadku rezygnacji zleceniodawcy z odbioru danych osobowych zebranych podczas wykonywania czynności, o których mowa w art. 2 ust. 1, albo nieodebrania ich w ustalonym terminie dane te podlegają zniszczeniu po upływie 5 lat od dnia zakończenia realizacji usługi detektywistycznej, nie później niż bezpośrednio po wykreśleniu przedsiębiorcy z rejestru.

3. Z czynności, o których mowa w ust. 1 i 2, detektyw lub zatrudniający go przedsiębiorca sporządza notatkę, którą dołącza do księgi realizacji umowy. Notatka zawiera:

1) informację o przekazaniu albo zniszczeniu przetwarzanych danych osobowych oraz opis tej czynności;

2) datę przekazania lub zniszczenia przetwarzanych danych osobowych;

3) podpis zleceniodawcy, w przypadku odebrania przetwarzanych danych osobowych, oraz podpis sporządzającego notatkę.

4. Niszczenie przetwarzanych danych osobowych przez detektywa odbywa się w obecności przedsiębiorcy lub wyznaczonej przez niego osoby. Przedsiębiorca lub wyznaczona przez niego osoba podpisuje notatkę, o której mowa w ust. 3.

5. Detektyw lub zatrudniający go przedsiębiorca może przekazać dane osobowe zebrane w toku wykonywania czynności, o których mowa w art. 2 ust. 1, wyłącznie innemu detektywowi wyznaczonemu przez przedsiębiorcę do współdziałania w ramach realizowanej usługi detektywistycznej albo do przejęcia dalszej realizacji usługi detektywistycznej.

Art. 28c. Do przetwarzania danych osobowych zebranych w toku wykonywania czynności, o których mowa w art. 2 ust. 1, nie stosuje się przepisów art. 13 ust. 1 i 2 oraz art. 15 ust. 1 lit. a. c i g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

Art. 28d. Przedsiębiorca realizujący usługi detektywistyczne informuje o ograniczeniach, o których mowa w art. 28c, na swojej stronie internetowej lub przez wywieszenie w stałym miejscu wykonywania swojej działalności.".

Art.  57. 

W ustawie z dnia 27 lipca 2001 r. o kuratorach sądowych (Dz. U. z 2018 r. poz. 1014) wprowadza się następujące zmiany:

1)
po art. 9 dodaje się art. 9a i art. 9b w brzmieniu:

"Art. 9a. 1. W zakresie niezbędnym do wykonywania swoich ustawowych zadań kurator zawodowy, kierownik zespołu kuratorskiej służby sądowej oraz kurator okręgowy przetwarzają dane osób, których dotyczy postępowanie, obejmujące:

1) imię i nazwisko;

2) datę urodzenia;

3) nazwisko rodowe;

4) numer PESEL oraz numer i serię dokumentu potwierdzającego tożsamość;

5) czynniki określające fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość, a w szczególności dotyczące osobistej postawy, zachowania, zainteresowań, zdrowia i usług opieki zdrowotnej, majątku, sytuacji materialnej i bytowej, zatrudnienia, wykształcenia, edukacji, nauki, oddziaływań wychowawczych, życia rodzinnego, funkcjonowania w środowisku, sposobu spędzania czasu wolnego, uzależnień, dysfunkcji i lokalizacji;

6) dane adresowe i kontaktowe;

7) biometryczne cechy fizyczne;

8) informacje o przestrzeganiu porządku prawnego, zarzutach i okolicznościach naruszeń prawa, wykonaniu obowiązków, prowadzonych postępowaniach sądowych i administracyjnych, skazaniach, ukaraniach i rozstrzygnięciach w postępowaniu sądowym lub administracyjnym.

2. W zakresie niezbędnym do wykonywania swoich ustawowych zadań kurator zawodowy, kierownik zespołu kuratorskiej służby sądowej oraz kurator okręgowy przetwarzają dane innych osób pozostających we wspólnym gospodarstwie domowym z osobami objętymi postępowaniem, obejmujące:

1) imię i nazwisko;

2) datę urodzenia;

3) nazwisko rodowe;

4) numer PESEL oraz numer i serię dokumentu potwierdzającego tożsamość;

5) informacje o osobistej postawie i zachowaniu;

6) informacje o zdrowiu;

7) informacje o majątku, sytuacji materialnej i bytowej;

8) informacje o zatrudnieniu;

9) informacje o wykształceniu;

10) informacje o oddziaływaniu wychowawczym, życiu rodzinnym i funkcjonowaniu w środowisku;

11) informacje o uzależnieniach;

12) informacje o dysfunkcjach;

13) dane adresowe i kontaktowe;

14) informacje o przestrzeganiu porządku prawnego, zarzutach i okolicznościach naruszeń prawa, prowadzonych postępowaniach sądowych i administracyjnych, skazaniach, ukaraniach i rozstrzygnięciach w postępowaniu sądowym lub administracyjnym.

3. Administrator danych osób, których dotyczy postępowanie, w tym Policja, Straż Graniczna, inne organy lub instytucje państwowe, organy samorządu terytorialnego, stowarzyszenia i inne organizacje społeczne, organy sądowych postępowań wykonawczych, instytucje pomocy społecznej i pieczy zastępczej, podmioty lecznicze w rozumieniu ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219 oraz z 2019 r. poz. 492 i 730), jednostki organizacyjne, o których mowa w art. 2 pkt 1-8 ustawy z dnia 14 grudnia 2016 r. - Prawo oświatowe (Dz. U. z 2018 r. poz. 996, z późn. zm.), oraz publiczne i niepubliczne uczelnie w rozumieniu ustawy z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz. U. poz. 1668, z późn. zm.) są obowiązane udostępnić kuratorowi zawodowemu, kierownikowi zespołu kuratorskiej służby sądowej, kuratorowi okręgowemu, w zakresie niezbędnym do wykonywania ich ustawowych zadań, dane osobowe, o których mowa w ust. 1 i 2.

4. Administrator danych udostępnia dane kuratorowi zawodowemu, kierownikowi zespołu kuratorskiej służby sądowej i kuratorowi okręgowemu nieodpłatnie.

Art. 9b. Administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu, w którym kurator sądowy pełni obowiązki służbowe.";

2)
w art. 87 ust. 3 otrzymuje brzmienie:

"3. Kuratorowi społecznemu, w związku z wykonywaniem czynności zleconych przez sąd, sędziego lub kuratora zawodowego, przysługują uprawnienia, o których mowa w art. 9 i art. 9a.".

Art.  58. 

W ustawie z dnia 11 sierpnia 2001 r. o szczególnych zasadach odbudowy, remontów i rozbiórek obiektów budowlanych zniszczonych lub uszkodzonych w wyniku działania żywiołu (Dz. U. z 2018 r. poz. 1345) wprowadza się następujące zmiany:

1)
w art. 13d dodaje się ust. 18 w brzmieniu:

"18. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", oraz informuje o ograniczeniu, o którym mowa w art. 13da ust. 1, w związku z realizacją czynności, o których mowa w:

1) ust. 12 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w ogłoszeniu, o którym mowa w ust. 12;

2) ust. 13 i 14 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie.";

2)
po art. 13d dodaje się art. 13da i art. 13db w brzmieniu:

"Art. 13da. 1. W związku z przetwarzaniem przez wójta, burmistrza, prezydenta miasta albo wojewodę danych osobowych uzyskanych w toku prowadzenia postępowań w przedmiocie uchwalania miejscowych planów odbudowy prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia 2016/679, przysługuje, o ile nie wpływa na ochronę praw i wolności osoby, od której dane pozyskano.

2. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), organy, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Art. 13db. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik postępowań w przedmiocie uchwalania miejscowych planów odbudowy.".

Art.  59. 

W ustawie z dnia 24 sierpnia 2001 r. o Żandarmerii Wojskowej i wojskowych organach porządkowych (Dz. U. z 2019 r. poz. 518) wprowadza się następujące zmiany:

1)
po art. 8 dodaje się art. 8a w brzmieniu:

"Art. 8a. 1. W stosunku do osób ubiegających się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej przeprowadza się postępowanie kwalifikacyjne.

2. Komendant Główny Żandarmerii Wojskowej organizuje i prowadzi postępowanie kwalifikacyjne w stosunku do kandydatów ubiegających się o przyjęcie do służby:

1) albo pracy w Komendzie Głównej Żandarmerii Wojskowej, Centrum Szkolenia Żandarmerii Wojskowej w Mińsku Mazowieckim i Oddziale Zabezpieczenia Żandarmerii Wojskowej w Warszawie;

2) w korpusie oficerów zawodowych w pozostałych jednostkach organizacyjnych Żandarmerii Wojskowej.

3. Komendant Główny Żandarmerii Wojskowej może upoważnić właściwego komendanta oddziału Żandarmerii Wojskowej do organizacji lub przeprowadzenia postępowania kwalifikacyjnego.

4. Komendant oddziału Żandarmerii Wojskowej organizuje i prowadzi postępowanie kwalifikacyjne w stosunku do innych niż wskazanych w ust. 2 pkt 2 kandydatów ubiegających się o przyjęcie do służby albo pracy w podległych mu jednostkach organizacyjnych.

5. Postępowanie kwalifikacyjne ma na celu ustalenie, czy kandydat posiada predyspozycje i spełnia warunki do pełnienia służby albo pracy w Żandarmerii Wojskowej.

6. Kandydat ubiegający się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej może być poddany badaniom psychologicznym lub psychofizjologicznym.

7. Kandydat ubiegający się o przyjęcie do służby albo pracy w Żandarmerii Wojskowej wypełnia ankietę kwalifikacyjną i wniosek o przeprowadzenie postępowania kwalifikacyjnego.

8. Komendant Główny Żandarmerii Wojskowej lub osoby przez niego upoważnione w ramach postępowania kwalifikacyjnego przeprowadzają:

1) wobec kandydata do pracy:

a) rozmowę kwalifikacyjną,

b) sprawdzenie w Krajowym Rejestrze Karnym, Krajowym Systemie Informacyjnym Policji i Krajowym Centrum Informacji Kryminalnych oraz ewidencjach i kartotekach niedostępnych powszechnie, o których mowa w art. 25 ust. 1 pkt 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412, 650, 1000, 1083 i 1669 oraz z 2019 r. poz. 125),

c) wywiad o kandydacie w miejscu zamieszkania i pracy,

d) badania psychologiczne oraz badania psychofizjologiczne - w przypadku stanowisk wymagających szczególnych predyspozycji;

2) wobec kandydata do służby, czynności wymienione w pkt 1 lit. a-c oraz:

a) egzamin ze sprawności fizycznej,

b) egzamin z poziomu znajomości języków obcych,

c) badania psychologiczne,

d) badania psychofizjologiczne - w przypadku stanowisk wymagających szczególnych predyspozycji.

9. Żandarmeria Wojskowa, w celu przeprowadzenia postępowań kwalifikacyjnych, przetwarza następujące dane:

1) w przypadku kandydata do pracy:

a) wizerunek,

b) nazwisko, w tym nazwisko rodowe,

c) imię lub imiona,

d) imię ojca,

e) imię i nazwisko panieńskie matki,

f) stan cywilny,

g) datę urodzenia,

h) miejsce urodzenia,

i) obywatelstwo (obywatelstwa),

j) serię i numer dowodu osobistego,

k) numer PESEL,

l) posiadany stopień wojskowy lub inny stopień w formacji określonej w art. 17a ust. 1 ustawy z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (Dz. U. z 2019 r. poz. 330 i 730),

m) serię i numer książeczki wojskowej,

n) adres miejsca zamieszkania,

o) serię i numer paszportu,

p) miejsce pracy lub służby,

q) dochody,

r) dane dotyczące służby albo zatrudnienia,

s) wykształcenie,

t) wynik rozmowy kwalifikacyjnej,

u) wyniki wywiadu w miejscu zamieszkania i pracy,

v) wyniki sprawdzeń w kartotekach niedostępnych powszechnie, o których mowa w art. 25 ust. 1 pkt 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych,

w) wyniki sprawdzeń w Krajowym Rejestrze Karnym, Krajowym Systemie Informacyjnym Policji i Krajowym Centrum Informacji Kryminalnych,

x) wynik badania psychologicznego,

y) wynik badania psychofizjologicznego;

2) w przypadku kandydata do służby, dane wymienione w pkt 1 oraz wynik:

a) testu sprawnościowego,

b) sprawdzianu kwalifikacji językowych.

10. Przepis ust. 8 pkt 2 lit. d stosuje się do żołnierzy Żandarmerii Wojskowej przed wyznaczeniem na stanowiska służbowe, w przypadku stanowisk wymagających szczególnych predyspozycji.

11. Informacje, o których mowa w ust. 9, przetwarza się przez okres niezbędny do prowadzenia postępowania kwalifikacyjnego oraz pełnienia służby albo pracy w Żandarmerii Wojskowej, a także wykonywania ustawowych zadań przez Żandarmerię Wojskową.

12. Informacje, o których mowa w ust. 9, uzyskane podczas postępowania kwalifikacyjnego zakończonego wynikiem negatywnym przetwarza się przez okres 5 lat, licząc od dnia zakończenia tego postępowania.

13. Informacje, o których mowa w ust. 9, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych.

14. Minister Obrony Narodowej określi, w drodze rozporządzenia, sposób i tryb prowadzenia postępowania kwalifikacyjnego do Żandarmerii Wojskowej oraz wzór ankiety kwalifikacyjnej i wniosku o przeprowadzenie postępowania kwalifikacyjnego, mając na względzie zapewnienie sprawnego przebiegu postępowania kwalifikacyjnego oraz wyłonienia osób posiadających predyspozycje i warunki do pełnienia służby albo pracy w Żandarmerii Wojskowej.";

2)
w art. 9 uchyla się ust. 1a.
Art.  60. 

W ustawie z dnia 6 września 2001 r. o transporcie drogowym (Dz. U. z 2019 r. poz. 58, 60, 125 i 690) wprowadza się następujące zmiany:

1)
w art. 55a:
a)
uchyla się ust. 4-10,
b)
dodaje się ust. 11-13 w brzmieniu:

"11. Inspekcja jest uprawniona do wydawania rozstrzygnięć w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie w związku z realizacją zadań, o których mowa w art. 129a ust. 1 pkt 3 lit. b i art. 129g ustawy z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym.

12. W związku z realizacją zadań, o których mowa w art. 50, Inspekcja wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.

13. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na wykonywanie przez Inspekcję zadań, o których mowa w art. 50.";

2)
w art. 55b:
a)
ust. 1 otrzymuje brzmienie:

"1. Jeżeli przepisy odrębne nie stanowią inaczej, Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy lub osoby przez nich upoważnione udostępniają nieodpłatnie, na podstawie pisemnego wniosku, dane osobowe przetwarzane w związku z realizacją zadań określonych w ustawie:

1) Policji,

2) Żandarmerii Wojskowej,

3) Straży Granicznej,

4) Agencji Bezpieczeństwa Wewnętrznego,

5) Agencji Wywiadu,

6) Centralnemu Biuru Antykorupcyjnemu,

7) Służbie Kontrwywiadu Wojskowego,

8) Służbie Wywiadu Wojskowego,

9) prokuratorowi,

10) sądom,

11) Szefowi Krajowej Administracji Skarbowej, dyrektorowi izby administracji skarbowej, naczelnikowi urzędu celno-skarbowego,

12) Biuru Nadzoru Wewnętrznego,

13) Służbie Ochrony Państwa

– w zakresie niezbędnym do realizacji ich ustawowych zadań.",

b)
ust. 3 otrzymuje brzmienie:

"3. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy mogą wyrazić zgodę na udostępnienie za pomocą środków komunikacji elektronicznej danych, o których mowa w ust. 1, podmiotom, o których mowa w ust. 1 pkt 1-3 i 5-13, bez konieczności składania pisemnych wniosków, jeżeli jest to uzasadnione rodzajem lub zakresem wykonywanych zadań.",

c)
w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Udostępnianie danych, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, następuje po złożeniu przez podmioty, o których mowa w ust. 1 pkt 1-3 i 5-13, wniosku zawierającego:",

d)
ust. 5 i 6 otrzymują brzmienie:

"5. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy udostępniają Agencji Bezpieczeństwa Wewnętrznego dane, o których mowa w ust. 1, w sposób, o którym mowa w ust. 3, jeżeli jednostka organizacyjna Agencji Bezpieczeństwa Wewnętrznego będąca odbiorcą danych złoży oświadczenie, o którym mowa w ust. 4 pkt 3.

6. Główny Inspektor Transportu Drogowego oraz wojewódzcy inspektorzy nie udostępniają na podstawie ust. 1 i 3 danych osobowych wskazanych w art. 9 ust. 1 rozporządzenia 2016/679, chyba że podmiot, o którym mowa w ust. 1, jest ustawowo upoważniony do przetwarzania tych danych.",

e)
uchyla się ust. 7;
3)
w art. 55c uchyla się ust. 5;
4)
uchyla się art. 82;
5)
w art. 82g uchyla się ust. 3;
6)
po art. 89c dodaje się art. 89d w brzmieniu:

"Art. 89d. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg kontroli prowadzonych na podstawie przepisów niniejszego rozdziału ani na uprawnienie właściwego organu do nałożenia kary.".

Art.  61. 

W ustawie z dnia 3 lipca 2002 r. - Prawo lotnicze (Dz. U. z 2018 r. poz. 1183, 1629 i 1637 oraz z 2019 r. poz. 235) wprowadza się następujące zmiany:

1)
po art. 21a dodaje się art. 21b w brzmieniu:

"Art. 21b. 1. W związku z przetwarzaniem przez Prezesa Urzędu danych osobowych uzyskanych w toku prowadzenia postępowań, o których mowa w ustawie, prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przysługuje w zakresie, w jakim nie wpływa ono na ochronę praw i wolności osób, od których dane te pozyskano.

2. Prezes Urzędu informuje o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, a także w Biuletynie Informacji Publicznej na swojej stronie podmiotowej.

3. Okres przechowywania danych osobowych przetwarzanych w toku postępowań, o których mowa w ustawie, ustala się zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).

4. Dane osobowe, o których mowa w ust. 3, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.";

2)
w art. 27 dodaje się ust. 8 w brzmieniu:

"8. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik kontroli prowadzonych przez Prezesa Urzędu na podstawie ustawy.";

3)
w art. 134 po ust. 1f dodaje się ust. 1g i 1h w brzmieniu:

"1g. W związku z badaniem okoliczności i przyczyn zdarzeń lotniczych Komisja oraz Komisja Badania Wypadków Lotniczych Lotnictwa Państwowego, o której mowa w art. 140, są uprawnione do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679.

1h. Komisja oraz Komisja Badania Wypadków Lotniczych Lotnictwa Państwowego, o której mowa w art. 140, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, są w posiadaniu tej osoby, a zakres tych informacji lub ich treść nie uległy zmianie.".

Art.  62. 

W ustawie z dnia 5 lipca 2002 r. o świadczeniu przez prawników zagranicznych pomocy prawnej w Rzeczypospolitej Polskiej (Dz. U. z 2016 r. poz. 1874) po dziale IV dodaje się dział IVa w brzmieniu:

"Dział IVa

Przetwarzanie danych osobowych

Art. 43a. Do przetwarzania danych osobowych w celu realizacji zadań, obowiązków lub uprawnień wynikających z ustawy stosuje się odpowiednio przepisy działu 1a ustawy z dnia 26 maja 1982 r. - Prawo o adwokaturze i rozdziału 1a ustawy z dnia 6 lipca 1982 r. o radcach prawnych.".

Art.  63. 

W ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123) wprowadza się następujące zmiany:

1)
art. 4 otrzymuje brzmienie:

"Art. 4. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych.";

2)
uchyla się art. 16 i art. 17;
3)
w art. 18 ust. 3 i 4 otrzymują brzmienie:

"3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.

4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.";

4)
w art. 19 uchyla się ust. 1, 2, 4 i 5;
5)
uchyla się art. 20-22.
Art.  64. 

W ustawie z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (Dz. U. z 2018 r. poz. 1945 oraz z 2019 r. poz. 60 i 235) wprowadza się następujące zmiany:

1)
po art. 8 dodaje się art. 8a i art. 8b w brzmieniu:

"Art. 8a. 1. W związku z przetwarzaniem przez wójta, burmistrza, prezydenta miasta, marszałka województwa, wojewodę, zarząd województwa albo zarząd związku metropolitalnego danych osobowych, uzyskanych w toku prowadzenia postępowań dotyczących sporządzania aktów planistycznych, o których mowa w ustawie, prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przysługuje, jeżeli nie wpływa na ochronę praw i wolności osoby, od której dane te pozyskano.

2. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), organy, o których mowa w ust. 1, przechowują dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Art. 8b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik postępowań dotyczących sporządzania aktów planistycznych.";

2)
po art. 11 dodaje się art. 11a w brzmieniu:

Art. 11a. Wójt. burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:

1) art. 11 pkt 3, 7 i 9 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;

2) art. 11 pkt 1 i 8 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej i w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w art. 11 pkt 1, albo w ogłoszeniu, o którym mowa w art. 11 pkt 7.";

3)
po art. 17 dodaje się art. 17a w brzmieniu:

"Art. 17a. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:

1) art. 17 pkt 4, 9 i 12-14 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;

2) art. 17 pkt 1 i 11 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w art. 17 pkt 1, albo w ogłoszeniu, o którym mowa w art. 17 pkt 9.";

4)
w art. 37b dodaje się ust. 7 w brzmieniu:

"7. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:

1) ust. 3 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;

2) ust. 2 pkt 8 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 2 pkt 8.";

5)
w art. 38b dodaje się ust. 6 w brzmieniu:

"6. Zarząd województwa wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:

1) ust. 2 pkt 5 i 6 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;

2) ust. 2 pkt 4 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 2 pkt 4.";

6)
w art. 41 dodaje się ust. 3 w brzmieniu:

"3. Marszałek województwa wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, oraz informuje o ograniczeniu, o którym mowa w art. 8a ust. 1, w związku z realizacją czynności, o których mowa w:

1) ust. 1 pkt 3 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie;

2) ust. 1 pkt 1 - przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej, w widocznym miejscu w swojej siedzibie oraz w obwieszczeniu, o którym mowa w ust. 1 pkt 1.".

Art.  65. 

W ustawie z dnia 28 marca 2003 r. o transporcie kolejowym (Dz. U. z 2019 r. poz. 710) wprowadza się następujące zmiany:

1)
w art. 15 dodaje się ust. 3 w brzmieniu:

"3. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez osobę, której dane dotyczą, nie wpływa na przebieg kontroli prowadzonych przez Prezesa UTK ani na uprawnienie tego organu do nałożenia kary.";

2)
w art. 28h po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:

"1a. W związku zbadaniem poważnych wypadków, wypadków lub incydentów Komisja jest uprawniona do przetwarzania danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, w zakresie danych dotyczących zdrowia.

1b) Komisja wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, są w posiadaniu tej osoby, a zakres tych informacji lub ich treść nie uległy zmianie.".

Art.  66. 

W ustawie z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2018 r. poz. 473 i 2448 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:

1)
po art. 98a dodaje się art. 98b-98d w brzmieniu:

"Art. 98b. Fundusz przetwarza dane osobowe dotyczące zdrowia w zakresie niezbędnym do realizacji zadań, o których mowa w art. 98 ust. 1-2 i art. 102a.

Art. 98c. Fundusz przetwarza dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa w zakresie niezbędnym do:

1) dochodzenia zwrotu odszkodowania, o którym mowa w art. 11 ust. 3, art. 43 i art. 58;

2) zaspokajania roszczeń, o których mowa w art. 98 ust. 1-2;

3) ustalenia okoliczności zdarzenia oraz rozmiaru szkody, o którym mowa w art. 16 ust. 3 i art. 102 ust. 3 i 4, oraz identyfikacji i weryfikacji zjawisk związanych z przestępczością ubezpieczeniową, o których mowa w art. 102 ust. 7;

4) kontroli spełnienia obowiązków zawarcia umowy obowiązkowego ubezpieczenia OC posiadaczy pojazdów mechanicznych i ubezpieczenia OC rolników, o której mowa w art. 84 ust. 2 pkt 2 lit. a i ust. 3 pkt 2 lit. b, oraz dochodzenia opłaty za niespełnienie tych obowiązków, o którym mowa w art. 90 i art. 91;

5) realizacji zadań, o których mowa w art. 102a;

6) dochodzenia zwrotu świadczenia i poniesionych kosztów, w przypadkach określonych w art. 110 ust. 1, a także określenia sytuacji materialnej i majątkowej, o którym mowa w art. 94 i art. 110 ust. 2;

7) wypłaty świadczeń, o których mowa w art. 111, oraz zaspokajania roszczeń, o których mowa w art. 113 i art. 114.

Art. 98d. W celu realizacji zadań, o których mowa w art. 84 ust. 2 pkt 2 lit. a i ust. 3 pkt 2 lit. b, art. 98, art. 98b, art. 98c, art. 102 i art. 102a, Fundusz może podejmować decyzje w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie.";

2)
w art. 102 ust. 7 otrzymuje brzmienie:

"7. Fundusz przetwarza dane, o których mowa w ust. 2-4 oraz art. 103, w celu kontroli spełnienia obowiązku zawarcia umowy ubezpieczenia obowiązkowego oraz w celu identyfikacji i weryfikacji zjawisk związanych z przestępczością ubezpieczeniową albo dla innych celów, po modyfikacji, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.";

3)
w art. 105:
a)
uchyla się ust. 3,
b)
ust. 3a otrzymuje brzmienie:

"3a. Dane do Funduszu są przekazywane bezpłatnie.",

c)
po ust. 4 dodaje się ust. 4a w brzmieniu:

"4a. Prawo, o którym mowa w art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w zakresie danych osobowych przekazanych do Funduszu, jest wykonywane przez sprostowanie tych danych po wniesieniu żądania do zakładu ubezpieczeń";

4)
w art. 122 w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Do zadań Biura należy:";

5)
po art. 136 dodaje się art. 136a-136d w brzmieniu:

"Art. 136a. Biuro przetwarza dane osobowe dotyczące zdrowia w zakresie niezbędnym do realizacji zadań, o których mowa w art. 122 ust. 1 pkt 3 i 4 oraz art. 123 pkt 1 i 2.

Art. 136b. Biuro przetwarza dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, w zakresie niezbędnym do:

1) ustalenia okoliczności zdarzenia oraz rozmiaru szkody, o którym mowa w art. 16 ust. 3;

2) rozpatrzenia zgłoszonego żądania odszkodowawczego oraz podjęcia czynności w celu ustalenia odpowiedzialności za spowodowanie szkody i wysokości odszkodowania, o których mowa w art. 83-83b;

3) organizowania likwidacji szkód lub bezpośredniej likwidacji szkód, o których mowa w art. 122 ust. 1 pkt 3 i 4;

4) zaspokajania roszczeń, o których mowa w art. 123-125;

5) realizacji zadań, o których mowa w art. 124 i art. 133-136.

Art. 136c. W celu realizacji zadań, o których mowa w art. 122 ust. 1 pkt 3 i 4 oraz art. 123 pkt 1 i 2, Biuro może podjąć decyzje w indywidualnych przypadkach w oparciu o zautomatyzowane przetwarzanie danych, w tym profilowanie.

Art. 136d. Biuro przechowuje otrzymane dane przez 21 lat.".

Art.  67. 

W ustawie z dnia 13 czerwca 2003 r. o zatrudnieniu socjalnym (Dz. U. z 2019 r. poz. 217) wprowadza się następujące zmiany:

1)
po art. 8a dodaje się art. 8b w brzmieniu:

"Art. 8b. 1. Centrum przetwarza dane osobowe:

1) uczestników obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym,

2) członków rodziny lub przedstawiciela ustawowego uczestnika obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe

– w zakresie niezbędnym do realizacji usług określonych w art. 3 ust. 1.

2. W związku z przetwarzaniem danych osobowych w celu realizacji usług przez Centrum wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", następuje przez umieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w widocznym miejscu w budynku, w którym realizowane są usługi.

3. O ograniczeniu, o którym mowa w ust. 2, administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.

4. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

5. Dane osobowe, o których mowa w ust. 1, przechowuje się przez okres 10 lat, licząc od końca roku kalendarzowego, w którym zakończono realizację usług na rzecz osób, których dane dotyczą.

6. Centrum i osoby realizujące usługi określone w art. 3 ust. 1 obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji tych usług.";

2)
po art. 18e dodaje się art. 18f w brzmieniu:

"Art. 18f. 1. Podmioty, o których mowa w art. 18 ust. 1, przetwarzają dane uczestników klubów integracji społecznej, w tym dane obejmujące imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe, stan cywilny, wykształcenie, doświadczenie lub kwalifikacje zawodowe, pochodzenie etniczne, stan zdrowia, nałogi, skazania, orzeczenia o ukaraniu, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym, imię i nazwisko, numer PESEL, datę urodzenia, dane adresowe członków rodziny lub przedstawiciela ustawowego, w zakresie niezbędnym do prowadzenia reintegracji zawodowej i społecznej.

2. W związku z przetwarzaniem danych osobowych w celu reintegracji zawodowej i społecznej podmioty, o których mowa w art. 18 ust. 1, wykonują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przez umieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w widocznym miejscu w budynku, w którym prowadzone są działania w ramach reintegracji zawodowej i społecznej.

3. O ograniczeniu, o którym mowa w ust. 2, administrator danych informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.

4. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

5. Podmioty, o których mowa w art. 18 ust. 1, obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy prowadzeniu działań w ramach reintegracji zawodowej i społecznej.".

Art.  68. 

W ustawie z dnia 23 lipca 2003 r. o ochronie zabytków i opiece nad zabytkami (Dz. U. z 2018 r. poz. 2067 i 2245) wprowadza się następujące zmiany:

1)
w art. 8 dodaje się ust. 3 w brzmieniu:

"3. Rejestr zawiera dane osobowe obejmujące imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub posiadacza zabytku lub użytkownika wieczystego gruntu, na którym znajduje się zabytek nieruchomy.";

2)
w art. 22 dodaje się ust. 7 w brzmieniu:

"7. Ewidencje, o których mowa w ust. 1, 2, 4 i 6, mogą zawierać dane osobowe obejmujące:

1) imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub użytkownika zabytku;

2) imię, nazwisko i podpis autora karty ewidencyjnej lub adresowej lub imię i nazwisko osoby, która wypełniła kartę ewidencyjną;

3) imię i nazwisko lub nazwę wykonawcy prac konserwatorskich, prac restauratorskich, badań konserwatorskich lub badań archeologicznych przy zabytku.";

3)
w art. 23 dodaje się ust. 3 w brzmieniu:

"3. Wykaz zawiera dane osobowe obejmujące imię, nazwisko i adres zamieszkania lub nazwę i adres siedziby właściciela lub posiadacza zabytku.".

Art.  69. 

W ustawie z dnia 11 września 2003 r. o służbie wojskowej żołnierzy zawodowych (Dz. U. z 2019 r. poz. 330) w art. 58:

1)
ust. 1 otrzymuje brzmienie:

"1. Oficerowie zawodowi, z wyjątkiem oficerów zajmujących stanowiska służbowe sędziów sądów wojskowych oraz stanowiska służbowe prokuratorów do spraw wojskowych, oraz podoficerowie pełniący zawodową służbę wojskową w organach finansowych i logistycznych są obowiązani do złożenia oświadczenia o swoim stanie majątkowym. Oświadczenie o stanie majątkowym dotyczy majątku osobistego oraz objętego małżeńską wspólnością majątkową.";

2)
po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Oświadczenie, o którym mowa w ust. 1, zawiera informacje, w tym dane osobowe, obejmujące:

1) imię (imiona), nazwisko oraz nazwisko rodowe;

2) datę i miejsce urodzenia;

3) imiona i nazwiska ojca i matki oraz ich nazwiska rodowe;

4) numer PESEL oraz serię i numer dowodu osobistego;

5) obywatelstwo i płeć;

6) numer telefonu oraz adres poczty elektronicznej;

7) miejsce zatrudnienia, stanowisko lub funkcje;

8) posiadane nieruchomości oraz ich adresy;

9) posiadane zasoby pieniężne;

10) posiadane akcje lub udziały w spółkach handlowych;

11) nabyte mienie od Skarbu Państwa, innej państwowej osoby prawnej, jednostek samorządu terytorialnego oraz ich związków lub komunalnej osoby prawnej, które podlegało zbyciu w drodze przetargu;

12) członkostwo, zatrudnienie lub wykonywanie czynności w zarządzie, radzie nadzorczej, komisji rewizyjnej spółki handlowej, komisji rewizyjnej spółdzielni lub zarządu fundacji prowadzącej działalność gospodarczą;

13) prowadzone działalności gospodarcze;

14) składniki mienia ruchomego o wartości powyżej 10 000 zł;

15) zobowiązania pieniężne o wartości powyżej 10 000 zł;

16) wynagrodzenia za pracę i dochody z innej działalności zarobkowej;

17) dochody z majątku wspólnego oraz z majątku osobistego;

18) dane dotyczące prowadzenia działalności gospodarczej oraz pełnienia przez małżonka funkcji w spółkach handlowych lub spółdzielniach;

19) inne przychody i świadczenia.".

Art.  70. 

W ustawie z dnia 17 października 2003 r. o wykonywaniu prac podwodnych (Dz. U. z 2017 r. poz. 1970 oraz z 2018 r. poz. 2245) po art. 6 dodaje się art. 6a w brzmieniu:

"Art. 6a. 1. W przypadku niecierpiącym zwłoki dyrektor urzędu morskiego albo dyrektor urzędu żeglugi śródlądowej, realizując zadania, o których mowa w art. 6 ust. 1 i 2, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w siedzibie urzędu.

2. Wystąpienie przez osobę, której dane dotyczą, z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez dyrektora urzędu morskiego albo dyrektora urzędu żeglugi śródlądowej zadań określonych w art. 6 ust. 1 i 2.".

Art.  71. 

W ustawie z dnia 28 listopada 2003 r. o świadczeniach rodzinnych (Dz. U. z 2018 r. poz. 2220 i 2354 oraz z 2019 r. poz. 60, 303 i 577) wprowadza się następujące zmiany:

1)
w art. 22 w ust. 3 wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
2)
w art. 23:
a)
ust. 9 otrzymuje brzmienie:

"9. Informacje, o których mowa w ust. 8, są przetwarzane przez ministra właściwego do spraw rodziny i wojewodów w celu monitorowania realizacji świadczeń rodzinnych oraz w celu umożliwienia organom właściwym i wojewodom weryfikacji prawa do świadczeń rodzinnych oraz przez podmioty wymienione w ust. 10 w celu, w którym informacje te zostały im udostępnione. Organy właściwe i wojewodowie przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 7.",

b)
w ust. 10b w zdaniu pierwszym wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
3)
w art. 29:
a)
użyte w ust. 1 wyrazy "może gromadzić i przetwarzać" zastępuje się wyrazem "przetwarza",
b)
po ust. 1 dodaje się ust. 1a-1c w brzmieniu:

"1a. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

1b) Dane osobowe, o których mowa w ust. 1, zabezpiecza się w sposób odpowiedni do zagrożeń i ryzyka wystąpienia sytuacji, o których mowa w ust. 1a, w tym w szczególności biorąc pod uwagę, czy dane osobowe przetwarzane są w sposób zautomatyzowany czy też w inny sposób niż zautomatyzowany, oraz z uwzględnieniem zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo były przetwarzane.

1c) Osoby przetwarzające dane osobowe, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.".

Art.  72. 

W ustawie z dnia 29 stycznia 2004 r. - Prawo zamówień publicznych (Dz. U. z 2018 r. poz. 1986 i 2215 oraz z 2019 r. poz. 53) wprowadza się następujące zmiany:

1)
w art. 8 dodaje się ust. 5 w brzmieniu:

"5. Zamawiający udostępnia dane osobowe, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w dziale VI, do upływu terminu do ich wniesienia.";

2)
po art. 8 dodaje się art. 8a w brzmieniu:

"Art. 8a. 1. Zamawiający realizuje obowiązki, o których mowa w art. 13 ust. 1-3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub przy pierwszej czynności skierowanej do wykonawcy.

2. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności podania nazwy lub daty postępowania o udzielenie zamówienia publicznego lub konkursu.

3. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia danych osobowych, o którym mowa w art. 16 rozporządzenia 2016/679, nie może skutkować zmianą wyniku postępowania o udzielenie zamówienia publicznego lub konkursu ani zmianą postanowień umowy w zakresie niezgodnym z ustawą.

4. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o udzielenie zamówienia publicznego lub konkursu.

5. Zamawiający informuje o ograniczeniach, o których mowa w ust. 2 i 4 oraz art. 97 ust. 1a, na stronie internetowej prowadzonego postępowania lub konkursu, w ogłoszeniu o zamówieniu, ogłoszeniu o konkursie, specyfikacji istotnych warunków zamówienia, regulaminie konkursu lub w inny sposób dostępny dla osoby, której dane dotyczą.

6. Zamawiający przetwarza dane osobowe zebrane w postępowaniu o udzielenie zamówienia publicznego lub konkursie w sposób gwarantujący zabezpieczenie przed ich bezprawnym rozpowszechnianiem.

7. Do przetwarzania danych osobowych, o których mowa w art. 10 rozporządzenia 2016/679, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w poufności.";

3)
w art. 11 po ust. 6 dodaje się ust. 6a i 6b w brzmieniu:

"6a. W przypadku danych osobowych zamieszczonych przez zamawiającego w Biuletynie Zamówień Publicznych, prawa, o których mowa w art. 15 i art. 16 rozporządzenia 2016/679, są wykonywane w drodze żądania skierowanego do zamawiającego.

6b. Prezes Urzędu Zamówień Publicznych zapewnia techniczne utrzymanie systemu teleinformatycznego, przy użyciu którego udostępniany jest Biuletyn Zamówień Publicznych, oraz określa okres przechowywania danych osobowych zamieszczanych w Biuletynie Zamówień Publicznych.";

4)
w art. 96 po ust. 3 dodaje się ust. 3a i 3b w brzmieniu:

"3a. Zasada jawności, o której mowa w ust. 3, ma zastosowanie do wszystkich danych osobowych, z wyjątkiem danych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, zebranych w toku postępowania o udzielenie zamówienia publicznego lub konkursu. Ograniczenia zasady jawności, o których mowa w art. 8 ust. 3-5, stosuje się odpowiednio.

3b. Od dnia zakończenia postępowania o udzielenie zamówienia, w przypadku gdy wniesienie żądania, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, spowoduje ograniczenie przetwarzania danych osobowych zawartych w protokole i załącznikach do protokołu, zamawiający nie udostępnia tych danych zawartych w protokole i w załącznikach do protokołu, chyba że zachodzą przesłanki, o których mowa w art. 18 ust. 2 rozporządzenia 2016/679.";

5)
w art. 97 po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:

"1a. W przypadku gdy wykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających w szczególności na celu sprecyzowanie nazwy lub daty zakończonego postępowania o udzielenie zamówienia.

1b) Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 rozporządzenia 2016/679, nie może naruszać integralności protokołu oraz jego załączników.";

6)
po art. 143d dodaje się art. 143e w brzmieniu:

"Art. 143e. 1. W przypadku, o którym mowa w art. 29 ust. 3a, umowa zawiera postanowienia dotyczące sposobu dokumentowania zatrudnienia oraz kontroli spełniania przez wykonawcę lub podwykonawcę wymagań dotyczących zatrudnienia na podstawie umowy o pracę oraz postanowienia dotyczące sankcji z tytułu niespełnienia wymagań, o których mowa w art. 29 ust. 3a.

2. W celu weryfikacji zatrudnienia przez wykonawcę lub podwykonawcę na podstawie umowy o pracę osób wykonujących wskazane przez zamawiającego czynności w zakresie realizacji zamówienia umowa przewiduje możliwość żądania przez zamawiającego w szczególności:

1) oświadczenia wykonawcy lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,

2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,

3) innych dokumentów

– zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę oraz zakres obowiązków pracownika.".

Art.  73. 

W ustawie z dnia 12 marca 2004 r. o pomocy społecznej (Dz. U. z 2018 r. poz. 1508, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 23 ust. 4a otrzymuje brzmienie:

"4a. Minister właściwy do spraw zabezpieczenia społecznego prowadzi i rozwija rejestr centralny obejmujący dane dotyczące jednostek organizacyjnych pomocy społecznej, a także dane dotyczące osób i rodzin ubiegających się o świadczenia z pomocy społecznej lub korzystających z tych świadczeń oraz form udzielonej pomocy społecznej, gromadzone przez jednostki organizacyjne pomocy społecznej na podstawie przepisów ustawy, oraz przetwarza te dane w celu realizacji zadań, o których mowa w ust. 1. Jednostki organizacyjne pomocy społecznej przekazują dane do rejestru centralnego, wykorzystując oprogramowanie, o którym mowa w ust. 4.";

2)
w art. 25 dodaje się ust. 7 w brzmieniu:

"7. Podmioty uprawnione, którym zlecono realizację zadania z zakresu pomocy społecznej, a w przypadku wykonywania zleconego zadania poprzez jednostki organizacyjne pomocy społecznej - te jednostki, są administratorami danych osobowych przetwarzanych w celu udzielania świadczeń z pomocy społecznej przez te podmioty i jednostki.";

3)
w art. 100:
a)
ust. 2 otrzymuje brzmienie:

"2. Podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w ustawie przetwarzają dane osobowe osób, do których stosuje się ustawę, oraz członków ich rodzin w zakresie i celu niezbędnych do realizacji zadań wynikających z ustawy.",

b)
dodaje się ust. 3-7 w brzmieniu:

"3. W związku z przetwarzaniem danych osobowych w celu udzielenia świadczeń, o których mowa w art. 106 ust. 2, oraz w celu świadczenia usług w ośrodkach wsparcia, rodzinnych domach pomocy, mieszkaniach chronionych i domach pomocy społecznej, wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), następuje przez zamieszczenie informacji, o których mowa w art. 13 ust. 1 i 2 tego rozporządzenia, w widocznym miejscu w budynku, w którym udzielane są świadczenia lub świadczone usługi.

4. Administrator danych informuje o ograniczeniu, o którym mowa w ust. 3, najpóźniej przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

5. Jednostki organizacyjne, o których mowa w art. 110 ust. 1, art. 111, art. 112 ust. 1, 2 i 8 oraz art. 113 ust. 1 i 3, realizujące zadania w zakresie pomocy społecznej określone w ustawie są administratorami danych osobowych przetwarzanych w celu przyznawania i udzielania świadczeń z pomocy społecznej.

6. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich

w tajemnicy.

7. Podmioty i osoby realizujące zadania w zakresie pomocy społecznej określone w niniejszej ustawie obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy wykonywaniu tych zadań.";

4)
po art. 1341 dodaje się art. 134m w brzmieniu:

"Art. 134m. 1. Organizacje partnerskie oraz Krajowy Ośrodek przetwarzają dane osobowe osób korzystających z pomocy określonej w Programie Operacyjnym obejmujące:

1) imię i nazwisko, liczbę osób wchodzących w skład gospodarstwa domowego, w tym w podziale na płeć, wiek i przynależność do grupy docelowej Programu Operacyjnego;

2) dochód osoby lub rodziny;

3) powody udzielenia pomocy na podstawie art. 7.

2. Wypełnienie obowiązków informacyjnych określonych w przepisach o ochronie danych osobowych, w toku udzielania pomocy określonej w Programie Operacyjnym, następuje przez udostępnienie informacji o przetwarzaniu danych osobowych:

1) w przypadku organizacji partnerskich - w widocznym miejscu w budynku, w którym udzielana jest pomoc;

2) w przypadku Krajowego Ośrodka - w Biuletynie Informacji Publicznej na stronie podmiotowej Krajowego Ośrodka lub na jego stronie internetowej.

3. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.

4. Podmioty i osoby realizujące zadania określone w Programie Operacyjnym obowiązane są do zachowania w tajemnicy wszelkich informacji i danych, które uzyskały przy realizacji zadań.".

Art.  74. 

W ustawie z dnia 16 kwietnia 2004 r. o wyrobach budowlanych (Dz. U. z 2019 r. poz. 266) po art. 3 dodaje się art. 3 a w brzmieniu:

"Art. 3a. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przez osobę, której dane są przetwarzane w związku z realizacją przez Głównego Inspektora Nadzoru Budowlanego oraz wojewódzkich inspektorów nadzoru budowlanego zadań w zakresie:

1) gromadzenia informacji o wynikach zleconych badań próbek wyrobów budowlanych, przeprowadzonych kontrolach wyrobów budowlanych wprowadzonych do obrotu lub udostępnianych na rynku krajowym, wydanych postanowieniach, decyzjach i opiniach,

2) prowadzenia krajowego wykazu zakwestionowanych wyrobów budowlanych, o którym mowa w art. 15 - nie wpływa na realizację zadań w tym zakresie.".

Art.  75. 

W ustawie z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (Dz. U. z 2018 r. poz. 1265, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 4:
a)
uchyla się ust. 4,
b)
po ust. 4 dodaje się ust. 4a i 4b w brzmieniu:

"4a. Minister właściwy do spraw pracy prowadzi w systemie teleinformatycznym centralny rejestr danych osobowych osób fizycznych ubiegających się o pomoc określoną w ustawie lub korzystających z tej pomocy oraz innych osób, zwany dalej "rejestrem centralnym".

4b. Minister właściwy do spraw pracy przetwarza w rejestrze centralnym dane osobowe osób fizycznych w celu realizacji przez publiczne służby zatrudnienia zadań ustawowych, w tym weryfikacji uprawnień i danych, rejestracji i ustalania statusu, zapewnienia pomocy określonej w ustawie, wydawania decyzji w zakresie statusu i świadczeń, prowadzenia postępowań kontrolnych, realizacji obowiązków sprawozdawczych i obowiązków w zakresie statystyki publicznej oraz określania planów dalszych działań",

c)
uchyla się ust. 5,
d)
po ust. 5 dodaje się ust. 5a-5k w brzmieniu:

"5a. W rejestrze centralnym minister właściwy do spraw pracy przetwarza dane osobowe:

1) bezrobotnych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia, w tym pozyskane od agencji zatrudnienia w ramach realizacji działań, o których mowa w art. 66d;

2) poszukujących pracy korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia;

3) osób niezarejestrowanych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia;

4) cudzoziemców zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej;

5) poręczycieli pomocy określonej w ustawie;

6) przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212);

7) innych podmiotów korzystających z pomocy określonej w ustawie;

8) zamierzających powierzyć lub powierzających wykonywanie pracy;

9) będących podmiotami powierzającymi wykonywanie pracy cudzoziemcowi;

10) osób ubezpieczonych;

11) płatników składek;

12) pracowników publicznych służb zatrudnienia;

13) pracowników Ochotniczych Hufców Pracy, korzystających z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy.

5b. W rejestrze centralnym są przetwarzane następujące kategorie danych osobowych bezrobotnych:

1) imię (imiona) i nazwisko;

2) obywatelstwo albo obywatelstwa;

3) numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość;

4) imiona rodziców;

5) data i miejsce urodzenia;

6) nazwisko rodowe;

7) płeć;

8) stan cywilny;

9) informacje o sytuacji rodzinnej obejmujące:

a) dane osobowe małżonka: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość oraz informacja o jego pozostawaniu albo niepozostawaniu w rejestrze bezrobotnych i poszukujących pracy,

b) dane osobowe dzieci pozostających na utrzymaniu: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość, datę i miejsce urodzenia,

c) w przypadku opiekuna osób niepełnosprawnych opiekującego się osobą niepełnosprawną ze znacznym stopniem niepełnosprawności lub dzieckiem z orzeczeniem o niepełnosprawności łącznie ze wskazaniami: konieczności stałej lub długotrwałej opieki lub pomocy innej osoby w związku ze znacznie ograniczoną możliwością samodzielnej egzystencji oraz konieczności stałego współudziału na co dzień opiekuna dziecka w procesie jego leczenia, rehabilitacji i edukacji - dane osobowe każdej osoby niepełnosprawnej lub każdego dziecka: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość,

d) dane osobowe osoby lub osób zależnych obejmujące dla każdej osoby: imię (imiona) i nazwisko, numer PESEL, a w przypadku jego braku - rodzaj, seria i numer dokumentu potwierdzającego tożsamość;

10) adres zameldowania na pobyt stały lub czasowy oraz adres do korespondencji;

11) adres poczty elektronicznej lub numer telefonu lub inne dane kontaktowe, o ile je posiadają;

12) informacje dotyczące wykształcenia, zainteresowania podjęciem szkolenia i pracy;

13) informacje dotyczące rodzaju i stopnia niepełnosprawności oraz przeciwskazań do wykonywania zawodu, jeżeli ich dotyczą;

14) informacje o byciu dłużnikiem alimentacyjnym w rozumieniu przepisów o pomocy osobom uprawnionym do alimentów, jeżeli ich dotyczą;

15) dane dotyczące doświadczenia zawodowego;

16) informacje niezbędne do ustalenia statusu lub udzielenia pomocy określonej w ustawie;

17) informacje dotyczące:

a) oddalenia od rynku pracy - oznaczającego informacje o umiejętnościach, czasie pozostawania bez pracy, miejscu zamieszkania pod względem oddalenia od potencjalnych miejsc pracy i dostępności do nowoczesnych form komunikowania się z powiatowym urzędem pracy i pracodawcami oraz

b) gotowości do podjęcia pracy - oznaczającej informacje o zaangażowaniu w samodzielne poszukiwanie pracy, gotowości do dostosowania się do wymagań rynku pracy, dyspozycyjności, powodach skłaniających do podjęcia pracy, powodach rejestracji w powiatowym urzędzie pracy, dotychczasowej oraz aktualnej gotowości do współpracy z powiatowym urzędem pracy, innymi instytucjami rynku pracy lub pracodawcami;

18) informacje o pomocy udzielonej na podstawie ustawy, jej przyjęciu albo odmowie jej przyjęcia;

19) informacje o pomocy udzielonej przez:

a) jednostki organizacyjne pomocy społecznej w zakresie określonym w przepisach o pomocy społecznej, przekazywane przez ministra właściwego do spraw zabezpieczenia społecznego,

b) jednostki obsługujące świadczenia rodzinne w zakresie określonym w przepisach o świadczeniach rodzinnych, przekazywane przez ministra właściwego do spraw rodziny,

c) ośrodki pomocy społecznej w związku z realizacją działań, o których mowa w art. 50 ust. 2 pkt 2,

d) agencje zatrudnienia w związku z realizacją działań, o których mowa w art. 61b i art. 66n,

e) podmioty realizujące działania z zakresu reintegracji społecznej w ramach Programu Aktywizacja i Integracja, o którym mowa w art. 62a,

f) podmioty realizujące programy specjalne, o których mowa w art. 66a;

20) informacje o gotowości do wyrażenia zgody albo jej braku na:

a) udział w badaniach rynku pracy prowadzonych przez publiczne służby zatrudnienia, organy administracji rządowej, samorządowej lub na ich zlecenie,

b) przetwarzanie danych osobowych wraz z ich zakresem na podstawie przepisów Unii Europejskiej o sieci EURES;

21) informacje przekazywane przez Państwową Inspekcję Pracy w zakresie określonym w przepisach o Państwowej Inspekcji Pracy.

5c. W rejestrze centralnym są przetwarzane, w przypadku:

1) poszukujących pracy - kategorie danych, o których mowa w ust. 5b pkt 1-13, 15, 16 i 18-20;

2) osób niezarejestrowanych korzystających z pomocy określonej w ustawie - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16, 18 i 20, a w przypadku osób biorących udział w kształceniu ustawicznym finansowanym ze środków KFS - kategorie danych, o których mowa w ust. 5b pkt 1-11, 15, 16, 18 i pkt 20 lit. a;

3) poręczycieli pomocy określonej w ustawie - kategorie danych, o których mowa w ust. 5b pkt 1, 3 i 10;

4) cudzoziemców, zamierzających wykonywać lub wykonujących pracę na terytorium Rzeczypospolitej Polskiej - dane, o których mowa w art. 90c ust. 8 i 9;

5) przedsiębiorców - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16, 18 i pkt 20 lit. a, oraz:

a) numer identyfikacji podatkowej NIP,

b) numer identyfikacyjny REGON,

c) adres prowadzenia działalności gospodarczej,

d) numer faksu i adres strony internetowej, o ile je posiadają,

e) informacje określone w art. 18e ust. 1 i art. 18g, w przypadku gdy przedsiębiorca jest agencją zatrudnienia,

f) informacje dotyczące prowadzonej działalności szkoleniowej, w przypadku gdy przedsiębiorca jest instytucją szkoleniową w rozumieniu ustawy,

g) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,

h) dane określone w art. 50 ust. 14a-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. z 2019 r. poz. 300, 303 i 730),

i) informacje o pomocy udzielanej przez publiczne służby zatrudnienia,

j) dane dotyczące doświadczenia zawodowego, w przypadku przedsiębiorców biorących udział w kształceniu ustawicznym finansowanym ze środków KFS;

6) innych podmiotów korzystających z pomocy określonej w ustawie - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16, 18 i pkt 20 lit. a, oraz:

a) numer identyfikacji podatkowej NIP, o ile go posiadają,

b) numer identyfikacyjny REGON, o ile go posiadają,

c) adres prowadzenia działalności,

d) numer faksu i adres strony internetowej, o ile je posiadają,

e) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,

f) dane określone w art. 50 ust. 14a-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych,

g) informacje o pomocy udzielanej przez publiczne służby zatrudnienia,

h) dane dotyczące doświadczenia zawodowego, w przypadku osób biorących udział w kształceniu ustawicznym finansowanym ze środków KFS;

7) osób fizycznych powierzających lub zamierzających powierzyć wykonywanie pracy - kategorie danych, o których mowa w ust. 5b pkt 1-11, 16 i pkt 20 lit. a, oraz:

a) numer identyfikacji podatkowej NIP, o ile go posiadają,

b) numer identyfikacyjny REGON, o ile go posiadają,

c) numer faksu i adres strony internetowej, o ile je posiadają,

d) powiadomienia okręgowego inspektora pracy o stwierdzonych przypadkach naruszenia przepisów ustawy, w tym warunków prowadzenia agencji zatrudnienia,

e) dane określone w art. 50 ust. 14a-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych,

f) informacje o pomocy udzielanej przez publiczne służby zatrudnienia;

8) osób fizycznych będących podmiotami powierzającymi wykonywanie pracy cudzoziemcowi - dane, o których mowa w art. 90c ust. 7;

9) osób ubezpieczonych - dane zgromadzone na koncie ubezpieczonego oraz osób ubezpieczonych, przekazywane przez Zakład Ubezpieczeń Społecznych zgodnie z przepisami o systemie ubezpieczeń społecznych w zakresie określonym w tych przepisach;

10) płatników składek - dane zgromadzone na koncie płatnika składek, przekazywane przez Zakład Ubezpieczeń Społecznych zgodnie z przepisami o systemie ubezpieczeń społecznych w zakresie określonym w tych przepisach;

11) pracowników publicznych służb zatrudnienia - kategorie danych, o których mowa w ust. 5b pkt 1, oraz:

a) miejsce pracy i dane teleadresowe wykorzystywane do użytku służbowego,

b) nazwa i opis zajmowanego stanowiska,

c) ukończone szkolenia, a w przypadku szkoleń inicjowanych przez pracodawcę lub finansowanych albo współfinansowanych ze środków Funduszu Pracy, także koszt szkolenia oraz źródło finansowania,

d) login, informacje o haśle, informacje o aktywności konta pracownika i nadane uprawnienia do systemów teleinformatycznych, jeżeli ich dotyczą;

12) pracowników Ochotniczych Hufców Pracy korzystających z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy - kategorie danych, o których mowa w ust. 5b pkt 1, oraz:

a) miejsce pracy i dane teleadresowe wykorzystywane do użytku służbowego,

b) nazwa i opis zajmowanego stanowiska,

c) ukończone szkolenia z zakresu korzystania z systemów informatycznych i narzędzi udostępnianych przez ministra właściwego do spraw pracy,

d) login, informacje o haśle, informacje o aktywności konta pracownika i nadane uprawnienia do systemów teleinformatycznych, jeżeli ich dotyczą.

5d. Dane osobowe przetwarzane przez publiczne służby zatrudnienia w rejestrze centralnym podlegają zabezpieczeniom polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

5e. Dane osobowe, o których mowa w ust. 5a, są przetwarzane w rejestrze centralnym przez okres 50 lat, licząc od końca roku kalendarzowego, w którym zakończono udzielanie pomocy.

5f. Rejestr centralny jest zbiorem danych pozyskiwanych:

1) z rejestrów danych wojewódzkich urzędów pracy;

2) z rejestrów danych powiatowych urzędów pracy;

3) od osób fizycznych ubiegających się, za pośrednictwem ministra właściwego do spraw pracy, o pomoc określoną w ustawie świadczoną przez wojewódzkie urzędy pracy i powiatowe urzędy pracy.

5g. Wojewódzki urząd pracy przekazuje do rejestru centralnego kategorie danych, o których mowa w ust. 5a pkt 1-3, 6-8, 10 i 12, w zakresie określonym w ust. 5b i 5c.

5h. Powiatowy urząd pracy przekazuje do rejestru centralnego kategorie danych, o których mowa w ust. 5a, w zakresie określonym w ust. 5b i ust. 5c pkt 1-11.

5i. W celu zapewnienia prawidłowej realizacji zadań przez publiczne służby zatrudnienia oraz ministra właściwego do spraw zabezpieczenia społecznego ministrowi właściwemu do spraw pracy udostępniane są następujące kategorie danych, w tym danych osobowych, w zakresie niezbędnym do realizacji tych zadań, przetwarzane przez:

1) ministra właściwego do spraw zabezpieczenia społecznego - dane osób fizycznych, o których mowa w ust. 5a pkt 1, 2, 7, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-12, 15, 16 i pkt 19 lit. a;

2) ministra właściwego do spraw rodziny - dane osób fizycznych, o których mowa w ust. 5a pkt 1, 2, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-11, 14, 16 i pkt 19 lit. b;

3) Zakład Ubezpieczeń Społecznych - dane określone w art. 50 ust. 14-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych;

4) Państwową Inspekcję Pracy - informacje przekazywane przez Państwową Inspekcję Pracy w zakresie określonym w przepisach o Państwowej Inspekcji Pracy.

5j. Do udostępniania danych, o którym mowa w ust. 5i, przepis ust. 6f stosuje się odpowiednio.

5k. Spełnienie zabezpieczeń, o których mowa w ust. 5d, zapewniają w przypadku pracowników:

1) urzędu obsługującego ministra właściwego do spraw pracy - minister właściwy do spraw pracy;

2) wojewódzkiego urzędu pracy - dyrektor wojewódzkiego urzędu pracy;

3) powiatowego urzędu pracy - dyrektor powiatowego urzędu pracy;

4) jednostek organizacyjnych pomocy społecznej i jednostek obsługujących świadczenia rodzinne, o których mowa w ust. 6c i 6d - administratorzy danych właściwi dla tych jednostek.",

e)
ust. 6 otrzymuje brzmienie:

"6. Dane z rejestru centralnego mogą być udostępniane w trybie i na zasadach określonych w ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne innym podmiotom realizującym zadania publiczne na podstawie odrębnych przepisów.",

f)
po ust. 6 dodaje się ust. 6a-6h w brzmieniu:

"6a. Minister właściwy do spraw pracy udostępnia wojewódzkim urzędom pracy, a także ministrowi właściwemu do spraw zabezpieczenia społecznego w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1-3, 6-8, 10 i 12, w zakresie określonym w ust. 5b i 5c.

6b. Minister właściwy do spraw pracy udostępnia powiatowym urzędom pracy w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, dane z rejestru centralnego, o których mowa w ust. 5a, w zakresie określonym w ust. 5b i ust. 5c pkt 1-11, oraz dane osób fizycznych, o których mowa w ust. 5f pkt 3, w zakresie określonym w ust. 5b pkt 1, 3, 10, 11 i 16.

6c. Minister właściwy do spraw pracy udostępnia jednostkom organizacyjnym pomocy społecznej w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w odrębnych przepisach, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1, 2, 7, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-12, 15, 16 i 18.

6d. Minister właściwy do spraw pracy udostępnia jednostkom obsługującym świadczenia rodzinne w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w odrębnych przepisach, dane z rejestru centralnego, o których mowa w ust. 5a pkt 1, 2, 10 i 11, w zakresie określonym w ust. 5b pkt 1-6, 8-11, 14, 16 i 18.

6e. Dane, o których mowa w ust. 6a i 6b, są udostępniane w drodze ich wymiany pomiędzy systemem teleinformatycznym, w którym prowadzony jest rejestr centralny, oraz systemem teleinformatycznym, udostępnianym przez ministra właściwego do spraw pracy i wykorzystywanym przez:

1) wojewódzki urząd pracy, oraz ministra właściwego do spraw zabezpieczenia społecznego do realizacji zadań określonych w ustawie;

2) powiatowy urząd pracy do realizacji zadań określonych w ustawie.

6f. Dane, o których mowa w ust. 6c i 6d, są udostępniane w drodze ich wymiany pomiędzy systemem teleinformatycznym, w którym prowadzony jest rejestr centralny, oraz systemem teleinformatycznym, w którym prowadzony jest rejestr ministra właściwego do spraw:

1) zabezpieczenia społecznego;

2) rodziny.

6g. Dane, o których mowa w ust. 6a-6d. są udostępniane na wniosek dotyczący określonej osoby fizycznej, złożony z wykorzystaniem systemów teleinformatycznych, o których mowa w ust. 6e i 6f.

6h. Przepisy ust. 6a-6g stosuje się do podmiotów w nich wymienionych, które spełniają łącznie następujące warunki:

1) zapewniają możliwość identyfikacji osoby uzyskującej informacje oraz zakresu, daty i celu ich uzyskania;

2) zapewniają zabezpieczenia uniemożliwiające wykorzystanie informacji niezgodnie z celem ich uzyskania;

3) zapewniają, że dostęp do danych jest nadzorowany i rejestrowany zgodnie z przepisami o ochronie danych osobowych.";

2)
po art. 4 dodaje się art. 4a w brzmieniu:

"Art. 4a. 1. Wojewódzkie urzędy pracy i powiatowe urzędy pracy, w celu realizacji ich zadań ustawowych, w tym weryfikacji prawa do świadczeń i udzielania pomocy określonej w ustawie, pozyskują dane z Zakładu Ubezpieczeń Społecznych w zakresie, o którym mowa w art. 50 ust. 14-16 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych.

2. Dane, o których mowa w ust. 1, są przekazywane w drodze ich wymiany odpowiednio pomiędzy systemami teleinformatycznymi, o których mowa w art. 4 ust. 6e.";

3)
w art. 8:
a)
w ust. 1 pkt 18 otrzymuje brzmienie:

"18) współpraca z ministrem właściwym do spraw pracy w zakresie tworzenia rejestru centralnego;",

b)
po ust. 1b dodaje się ust. 1ba-1bc w brzmieniu:

"1ba. W celu realizacji zadań ustawowych wojewódzki urząd pracy prowadzi rejestr danych o rynku pracy w województwie, w tym rejestr danych osobowych osób fizycznych, zwany dalej "rejestrem danych wojewódzkiego urzędu pracy".

1bb. W rejestrze danych wojewódzkiego urzędu pracy są przetwarzane dane osobowe:

1) bezrobotnych, w tym pozyskane od agencji zatrudnienia w ramach realizacji działań, o których mowa w art. 66d, korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,

2) poszukujących pracy korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,

3) osób niezarejestrowanych korzystających z pomocy określonej w ustawie udzielanej przez publiczne służby zatrudnienia lub podmioty realizujące pomoc w imieniu publicznych służb zatrudnienia,

4) przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców,

5) innych podmiotów korzystających z pomocy określonej w ustawie,

6) osób fizycznych powierzających lub zamierzających powierzyć wykonywanie pracy,

7) osób ubezpieczonych,

8) pracowników publicznych służb zatrudnienia - o których mowa odpowiednio w art. 4 ust. 5b i 5c.

1bc. Przepisy art. 4 ust. 5d i 5e oraz ust. 6a-6h dotyczące zabezpieczeń, okresu przetwarzania i usuwania oraz dostępu do danych stosuje się odpowiednio do rejestru danych wojewódzkiego urzędu pracy.";

4)
w art. 9 w ust. 1 pkt 23 otrzymuje brzmienie:

"23) współpraca z ministrem właściwym do spraw pracy w zakresie tworzenia rejestru centralnego;";

5)
w art. 33:
a)
po ust. 2d dodaje się ust. 2e i 2f w brzmieniu:

"2e. Profil pomocy dla bezrobotnego ustalany jest przez pracownika powiatowego urzędu pracy na podstawie wywiadu przeprowadzonego z bezrobotnym, wspieranego systemem teleinformatycznym udostępnianym przez ministra właściwego do spraw pracy.

2f. Pracownik powiatowego urzędu pracy nie może ustalać profilu pomocy dla bezrobotnego wyłącznie w sposób polegający na zautomatyzowanym przetwarzaniu informacji o bezrobotnym, w tym jego danych osobowych.",

b)
po ust. 5 dodaje się ust. 5a-5d w brzmieniu:

"5a. W celu realizacji zadań ustawowych powiatowy urząd pracy prowadzi rejestr danych o rynku pracy w powiecie, w tym rejestr danych osobowych osób fizycznych, zwany dalej "rejestrem danych powiatowego urzędu pracy".

5b. W rejestrze danych powiatowego urzędu pracy są przetwarzane dane osobowe osób fizycznych, o których mowa w art. 4 ust. 5a, 5b i ust. 5c pkt 1-11.

5c. Przepisy art. 4 ust. 5d i 5e oraz ust. 6a-6h dotyczące zabezpieczeń, okresu przetwarzania i usuwania oraz dostępu do danych stosuje się odpowiednio do rejestru danych powiatowego urzędu pracy.

5d. Pozyskiwanie i udostępnianie danych bezrobotnych i poszukujących pracy, o których mowa w art. 4 ust. 5a pkt 1 i 2, w zakresie określonym w ust. 5b i ust. 5c pkt 1, między powiatowymi urzędami pracy oraz jednostkami organizacyjnymi pomocy społecznej lub jednostkami obsługującymi świadczenia rodzinne realizującymi zadania na obszarze tego samego powiatu, jest dokonywane w drodze wymiany danych pomiędzy systemem teleinformatycznym, udostępnianym przez ministra właściwego do spraw pracy i wykorzystywanym przez powiatowy urząd pracy do realizacji zadań określonych w ustawie oraz systemami wykorzystywanymi przez te jednostki do realizacji zadań z zakresu pomocy społecznej i świadczeń rodzinnych. Przepis art. 4 ust. 6g stosuje się odpowiednio.",

c)
uchyla się ust. 6-9;
6)
w art. 46 uchyla się ust. 5a.
Art.  76. 

W ustawie z dnia 30 kwietnia 2004 r. o świadczeniach przedemerytalnych (Dz. U. z 2017 r. poz. 2148 oraz z 2019 r. poz. 39) w art. 11 w pkt 1 wyrazy "art. 117 ust. 1-4" zastępuje się wyrazami "art. 117 ust. 1-4a".

Art.  77. 

W ustawie z dnia 30 kwietnia 2004 r. o postępowaniu w sprawach dotyczących pomocy publicznej (Dz. U. z 2018 r. poz. 362) po art. 11 dodaje się art. 11a w brzmieniu:

"Art. 11a. 1. W celu realizacji zadań i obowiązków związanych z postępowaniami w sprawach dotyczących pomocy publicznej administratorem danych jest:

1) Prezes Urzędu - w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie;

2) minister właściwy do spraw rolnictwa - w sprawach dotyczących pomocy publicznej w rolnictwie lub rybołówstwie;

3) minister właściwy do spraw finansów publicznych - w sprawach dotyczących pomocy publicznej innej niż pomoc publiczna w rolnictwie lub rybołówstwie udzielonej przez naczelników urzędów skarbowych i dyrektorów izb administracji skarbowej;

4) podmiot udzielający pomocy w postępowaniach związanych z udzielaniem pomocy publicznej.

2. Dane beneficjentów pomocy lub podmiotów udzielających pomocy obejmujące numer identyfikacji podatkowej, nazwę, podstawę prawną udzielenia pomocy, dzień udzielenia pomocy, wielkość przedsiębiorcy, informacje o siedzibie, miejscu zamieszkania i rodzaju prowadzonej działalności, wartość pomocy, formę oraz przeznaczenie pomocy, udostępnia się na stronie internetowej Prezesa Urzędu lub ministra właściwego do spraw rolnictwa.".

Art.  78. 

W ustawie z dnia 27 maja 2004 r. o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz. U. z 2018 r. poz. 1355, 2215, 2243 i 2244) wprowadza się następujące zmiany:

1)
w art. 2 po pkt 2e dodaje się pkt 2f w brzmieniu:

"2f) rozporządzeniu 2016/679- rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.);";

2)
po art. 13a dodaje się art. 13b w brzmieniu:

"Art. 13b. Fundusz inwestycyjny, towarzystwo, alternatywna spółka inwestycyjna i zarządzający ASI, a także podmioty, o których mowa w art. 32 ust. 1 i 2, w zakresie ich działalności, o której mowa w tych przepisach oraz w art. 32 ust. 2b, będące administratorami przetwarzającymi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679, nie są obowiązane do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia 2016/679, w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.";

3)
art. 193 otrzymuje brzmienie:

"Art. 193. Fundusz sekurytyzacyjny oraz podmiot, z którym towarzystwo zawarło umowę o zarządzanie sekurytyzowanymi wierzytelnościami, zbierają i przetwarzają dane osobowe dłużników sekurytyzowanych wierzytelności jedynie w celach związanych z zarządzaniem wierzytelnościami sekurytyzowanymi.";

4)
w art. 281 w ust. 1 w pkt 15 kropkę zastępuje się średnikiem i dodaje się pkt 16 w brzmieniu:

"16) Prezesa Urzędu Ochrony Danych Osobowych w związku z toczącym się postępowaniem przed tym organem, jeżeli jest to niezbędne w toczącym się postępowaniu.";

5)
w art. 286b ust. 16 otrzymuje brzmienie:

"16. Komisja może przekazać organowi nadzoru państwa trzeciego informacje dotyczące sprawy indywidualnej prowadzonej przez Komisję, jeżeli spełnione są warunki, o których mowa w rozporządzeniu 2016/679 - w przypadku danych osobowych, oraz jeżeli ich przekazanie jest niezbędne dla realizacji zadań określonych ustawą. Komisja może również, jeżeli są spełnione warunki, o których mowa w rozporządzeniu 2016/679, wyrazić zgodę na dalsze przekazanie tych informacji organowi nadzoru innego państwa trzeciego.".

Art.  79. 

W ustawie z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354 oraz z 2019 r. poz. 643) wprowadza się następujące zmiany:

1)
w art. 57 w ust. 1 w pkt 2 średnik zastępuje się kropką i uchyla się pkt 3;
2)
w art. 78 w ust. 2 pkt 1 otrzymuje brzmienie:

"1) w przypadku abonenta będącego konsumentem:

a) dane, o których mowa w art. 169 ust. 1,

b) adres miejsca zamieszkania i adres korespondencyjny - jeżeli jest on inny niż adres miejsca zamieszkania,

c) numer PESEL - w przypadku obywatela Rzeczypospolitej Polskiej,

d) nazwę, serię i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu,";

3)
w art. 159 w ust. 1 pkt 1 otrzymuje brzmienie:

"1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2;";

4)
w art. 161 ust. 2 otrzymuje brzmienie:

"2. Przetwarzanie danych osobowych użytkownika - innych niż wskazane w art. 159 ust. 1 pkt 2-5 - będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.";

5)
art. 174 otrzymuje brzmienie:

"Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.";

6)
po art. 174 dodaje się art. 1741 w brzmieniu:

"Art. 1741. Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanym dalej "rozporządzeniem 2016/679", środki ochrony co najmniej:

1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych, oraz

2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz

3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.";

7)
w art. 174a:
a)
ust. 1 otrzymuje brzmienie:

"1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej "rozporządzeniem 611/2013".",

b)
po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Prezes Urzędu Ochrony Danych Osobowych zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.",

c)
ust. 3 otrzymuje brzmienie:

"3. W przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5.",

d)
po ust. 3 dodaje się ust. 3a w brzmieniu:

"3a. Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes Urzędu Ochrony Danych Osobowych wydaje w drodze decyzji.",

e)
ust. 5 otrzymuje brzmienie:

"5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.",

f)
po ust. 5 dodaje się ust. 5a w brzmieniu:

"5a. Dostawca publicznie dostępnych usług telekomunikacyjnych wykazuje spełnienie warunków, o których mowa w ust. 5, przekazując niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych odpowiednią dokumentację.",

g)
ust. 6 otrzymuje brzmienie:

"6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.",

h)
uchyla się ust. 7 i 8,
i)
dodaje się ust. 9 w brzmieniu:

"9. W przypadku gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes Urzędu Ochrony Danych Osobowych informuje inne zainteresowane organy z państw członkowskich.";

8)
art. 174b i art. 174c otrzymują brzmienie:

"Art. 174b. Do sprawowanej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 1741, art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669 oraz z 2019 r. poz. 730).

Art. 174c. Prezes Urzędu Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes Urzędu Ochrony Danych Osobowych może udostępniać wystąpienia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.";

9)
w art. 174d w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, zawierający w szczególności:";

10)
po art. 210 dodaje się art. 21 Oa w brzmieniu:

"Art. 210a. 1. Kto nie wypełnia obowiązku:

1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741,

2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1,

3) informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3,

4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 174d ust. 1

– podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym.

2. Do kar nakładanych na podstawie ust. 1 stosuje się odpowiednio przepisy art. 209 ust. 1a-3 oraz art. 210. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych.".

Art.  80. 

W ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2018 r. poz. 1510, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 188:
a)
w ust. 1:
wprowadzenie do wyliczenia otrzymuje brzmienie:

"Fundusz przetwarza dane osobowe ubezpieczonych w celu:",

po pkt 10 dodaje się pkt 10a w brzmieniu:

"10a) prowadzenia prac analitycznych i prognostycznych związanych z realizacją świadczeń opieki zdrowotnej.",

b)
w ust. 1a wprowadzenie do wyliczenia otrzymuje brzmienie:

"Fundusz przetwarza dane osobowe osób, o których mowa w art. 2 ust. 1 pkt 2, w celu:",

c)
ust. 1b otrzymuje brzmienie:

"1b) Fundusz przetwarza dane osobowe osób, o których mowa w art. 2 ust. 1 pkt 3 i 4, w celu rozliczania kosztów refundacji leków.",

d)
w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Fundusz przetwarza dane osobowe osób uprawnionych do świadczeń opieki zdrowotnej na podstawie przepisów o koordynacji oraz umów międzynarodowych w celu:",

e)
ust. 2a otrzymuje brzmienie:

"2a. Fundusz przetwarza dane osobowe w celu realizacji zadań określonych w art. 97 ust. 3 pkt 2 i 3a.",

f)
w ust. 2b wprowadzenie do wyliczenia otrzymuje brzmienie:

"Fundusz przetwarza następujące dane osobowe pacjentów z innych niż Rzeczpospolita Polska państw członkowskich Unii Europejskiej w celu realizacji zadań, o których mowa w art. 97a ust. 2 i 5:",

g)
ust. 2c otrzymuje brzmienie:

"2c. Fundusz przetwarza dane osobowe związane z wystawianiem recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne oraz z ich realizacją w aptece lub wystawianiem zlecenia na zaopatrzenie w wyroby medyczne, o których mowa w przepisach wydanych na podstawie art. 38 ust. 4 ustawy o refundacji.",

h)
w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Minister właściwy do spraw zdrowia przetwarza dane osobowe:",

i)
w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:

"W celu realizacji zadań, o których mowa w ust. 1-3, minister właściwy do spraw zdrowia i Fundusz przetwarzają następujące dane:";

2)
w art. 188a wprowadzenie do wyliczenia otrzymuje brzmienie:

"W celu realizacji zadań określonych w ustawie Fundusz przetwarza następujące dane osobowe osób wystawiających recepty na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne, osób wystawiających zlecenie na zaopatrzenie w wyroby medyczne, o których mowa w przepisach wydanych na podstawie art. 38 ust. 4 ustawy o refundacji, osób udzielających świadczeń na podstawie umów o udzielanie świadczeń opieki zdrowotnej oraz ubiegających się o zawarcie takich umów:";

3)
w art. 188b wprowadzenie do wyliczenia otrzymuje brzmienie:

"W celu realizacji zadań określonych w art. 97a ust. 2 pkt 3 Fundusz przetwarza następujące dane dotyczące osób wykonujących zawody medyczne:";

4)
w art. 188ba:
a)
ust. 1 otrzymuje brzmienie:

"1. Fundusz przetwarza dane osobowe osób ubiegających się o nadanie dostępu lub korzystających z aplikacji udostępnianych przez Fundusz świadczeniodawcom oraz niebędącym świadczeniodawcami osobom uprawnionym i osobom przez nie upoważnionym, w celu korzystania z usług informatycznych i komunikacji z Funduszem.",

b)
w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:

"W celu realizacji zadań, o których mowa w ust. 1, Fundusz przetwarza następujące dane:";

5)
w art. 188c ust. 6 otrzymuje brzmienie:

"6. Fundusz przetwarza dane w zakresie realizacji programów lekowych, o których mowa w ustawie o refundacji.";

6)
w art. 188d wprowadzenie do wyliczenia otrzymuje brzmienie:

"Jednostka samorządu terytorialnego, w celu realizacji zadań, o których mowa w art. 9a i art. 9b, przetwarza dane dotyczące:";

7)
w art. 191:
a)
ust. 1 otrzymuje brzmienie:

"1. Minister właściwy do spraw zdrowia przetwarza dane dotyczące ubezpieczenia zdrowotnego w zakresie niezbędnym do realizacji zadań wynikających z ustawy.",

b)
w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:

"Fundusz przetwarza dane osobowe świadczeniobiorców innych niż ubezpieczeni, w celu:",

c)
po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Minister właściwy do spraw zdrowia przetwarza dane osobowe świadczeniobiorców innych niż ubezpieczeni, w celu:

1) finansowania świadczeń opieki zdrowotnej;

2) kontroli:

a) rodzaju, zakresu i przyczyn udzielanych świadczeń opieki zdrowotnej,

b) przestrzegania zasad legalności, gospodarności, rzetelności i celowości finansowania udzielanych świadczeń opieki zdrowotnej;

3) monitorowania stanu zdrowia i zapotrzebowania świadczeniobiorców innych niż ubezpieczeni na świadczenia opieki zdrowotnej, leki i wyroby medyczne.",

d)
w ust. 3 wprowadzenie do wyliczenia otrzymuje brzmienie:

"W celu realizacji zadań, o których mowa w ust. 1, minister właściwy do spraw zdrowia oraz Fundusz przetwarzają następujące dane:",

e)
ust. 4 otrzymuje brzmienie:

"4. Minister Obrony Narodowej, Minister Sprawiedliwości, minister właściwy do spraw wewnętrznych, minister właściwy do spraw finansów publicznych oraz minister właściwy do spraw zdrowia przetwarzają informacje niezbędne do realizacji zadań wynikających z ustawy.".

Art.  81. 

W ustawie z dnia 25 listopada 2004 r. o zawodzie tłumacza przysięgłego (Dz. U. z 2017 r. poz. 1505 oraz z 2018 r. poz. 1669) po rozdziale 4 dodaje się rozdział 4a w brzmieniu:

"Rozdział 4a

Przetwarzanie danych osobowych

Art. 29a. 1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez tłumacza przysięgłego tajemnicy zawodowej, o której mowa w art. 14 ust. 1 pkt 2.

2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w przypadku danych osobowych pozyskanych przez tłumacza przysięgłego w związku z tłumaczeniem, nie stosuje się.

Art. 29b. Obowiązek zachowania tajemnicy, o której mowa w art. 14 ust. 1 pkt 2, nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych w związku z tłumaczeniem występuje Prezes Urzędu Ochrony Danych Osobowych.

Art. 29c. Okres przechowywania danych osobowych zgromadzonych przez tłumacza przysięgłego w związku z tłumaczeniem wynosi 4 lata od zakończenia roku kalendarzowego, w którym dane zostały zgromadzone. Po upływie tego okresu dane osobowe podlegają usunięciu, chyba że dalsze ich przechowywanie jest niezbędne dla ochrony praw lub dochodzenia roszczeń.".

Art.  82. 

W ustawie z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2018 r. poz. 1458, 1669, 1693 i 2192) wprowadza się następujące zmiany:

1)
po art. 3 dodaje się art. 3a w brzmieniu:

Art. 3a. 1. Podmioty zapewniające organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych siedzibę, obsługę prawną i administracyjno-techniczną są administratorami danych przetwarzanych przez te organy.

2. Administratorzy danych upoważniają do przetwarzania danych osobowych osoby zapewniające obsługę prawną i administracyjno-techniczną organom właściwym w sprawach o naruszenie dyscypliny finansów publicznych w zakresie niezbędnym do realizacji powierzonych zadań. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej.

3. Administratorzy danych prowadzą rejestr osób uprawnionych do przetwarzania danych osobowych na podstawie upoważnień lub w związku z pełnieniem funkcji w organach właściwych w sprawach o naruszenie dyscypliny finansów publicznych.

4. Jeżeli przepisy szczególne nie stanowią inaczej, osoby przetwarzające dane są obowiązane zachować w poufności dane osobowe oraz sposoby ich zabezpieczenia.

5. Przekazywanie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", odbywa się niezależnie od obowiązków organów przewidzianych w ustawie i nie wpływa na przebieg i wynik prowadzonych postępowań.

6. Administrator danych przekazuje informacje, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, przy pierwszej czynności organu skierowanej do osoby, której dane dotyczą, chyba że osoba posiada te informacje, a ich zakres lub treść nie uległy zmianie.

7. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje, ani nie ogranicza wykonywania przez organy właściwe w sprawach o naruszenie dyscypliny finansów publicznych realizacji zadań wynikających z przepisów prawa.";

2)
po art. 173 dodaje się art. 173a w brzmieniu:

"Art. 173a. Przepis art. 173 ust. 1 nie narusza prawa osoby, której dane dotyczą, do skorzystania z uprawnień wynikających z art. 15 rozporządzenia 2016/679.".

Art.  83. 

W ustawie z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700) wprowadza się następujące zmiany:

1)
po art. 15a dodaje się art. 15b w brzmieniu:

Art. 15b. 1. Podmiot publiczny w celu ochrony interesu prawnego lub faktycznego osoby fizycznej, w szczególności w związku z realizowanymi na jej rzecz usługami, może wykorzystywać jej dane kontaktowe gromadzone w rejestrze publicznym lub systemach teleinformatycznych. Brak odpowiedzi osoby fizycznej na próbę nawiązania przez podmiot publiczny kontaktu z wykorzystaniem danych kontaktowych nie może negatywnie wpłynąć na jej sytuację prawną lub faktyczną.

2. Podmiot publiczny, wykorzystując dane kontaktowe osoby fizycznej, informuje ją o podstawie prawnej nawiązania kontaktu.";

2)
w art. 19f:
a)
w ust. 1 uchyla się pkt 2,
b)
w ust. 3 skreśla się wyrazy "oraz wycofać zgodę na przetwarzanie danych osobowych";
3)
w art. 19g dodaje się ust. 4 w brzmieniu:

"4. Porozumienie, o którym mowa w ust. 1 i 2, opatruje się podpisem zaufanym, podpisem osobistym lub kwalifikowanym podpisem elektronicznym.";

4)
w art. 19h dodaje się zdanie drugie w brzmieniu:

"Dane przetwarzane są przez okres 6 lat od dnia ostatniej aktywności użytkownika w systemie.".

Art.  84. 

W ustawie z dnia 21 kwietnia 2005 r. o opłatach abonamentowych (Dz. U. z 2014 r. poz. 1204, z 2015 r. poz. 1324, z 2018 r. poz. 1717 oraz z 2019 r. poz. 572) w art. 5 dodaje się ust. 5-7 w brzmieniu:

"5. Osoba fizyczna lub podmiot posiadający zarejestrowany odbiornik radiofoniczny lub telewizyjny może dokonać zgłoszenia zaprzestania używania tych urządzeń. Operator wyznaczony w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe dokonuje wyrejestrowania odbiorników radiofonicznych lub telewizyjnych.

6. Po wyrejestrowaniu odbiornika usunięcie danych osobowych osób, o których mowa w ust. 5, następuje po upływie 5 lat, licząc od końca roku kalendarzowego, w którym dokonano wyrejestrowania odbiornika, pod warunkiem że osoby te nie są zadłużone w uiszczaniu opłat abonamentowych oraz nie toczą się przeciwko nim postępowania w sprawie zaległości w uiszczaniu opłat abonamentowych albo postępowania egzekucyjne.

7. W przypadku spłaty zadłużenia w opłatach abonamentowych lub zakończenia toczących się postępowań, o których mowa w ust. 6, po dacie wyrejestrowania odbiornika, usunięcie danych osobowych następuje po upływie 5 lat, licząc od końca roku kalendarzowego, w którym nastąpiło wygaśnięcie zobowiązania.".

Art.  85. 

W ustawie z dnia 29 lipca 2005 r. o przeciwdziałaniu przemocy w rodzinie (Dz. U. z 2015 r. poz. 1390) w art. 9c:

1)
ust. 1 otrzymuje brzmienie:

"1. Członkowie zespołu interdyscyplinarnego oraz grup roboczych w zakresie niezbędnym do realizacji zadań, o których mowa w art. 9b, przetwarzają dane:

1) osób, co do których istnieje podejrzenie, że są dotknięte przemocą w rodzinie, oraz osób dotkniętych przemocą w rodzinie:

a) imię i nazwisko,

b) imiona rodziców,

c) wiek,

d) adres miejsca zamieszkania lub pobytu,

e) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada,

f) informacje o stanie zdrowia,

g) informacje o nałogach,

h) informacje o skazaniach, orzeczeniach o ukaraniu, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,

i) informacje o sytuacji rodzinnej,

j) informacje o sytuacji zawodowej i źródłach utrzymania,

k) informacje o sytuacji mieszkaniowej;

2) innych osób pozostających we wspólnym gospodarstwie z osobą, wobec której istnieje podejrzenie, że stosuje przemoc w rodzinie, lub z osobą stosującą przemoc w rodzinie:

a) imię i nazwisko,

b) stosunek pokrewieństwa z osobą, co do której istnieje podejrzenie, że stosuje przemoc w rodzinie, lub z osobą stosującą przemoc w rodzinie,

c) wiek,

d) informacje o sytuacji zawodowej i źródłach utrzymania,

e) w przypadku dzieci - dane szkoły i klasy, do której uczęszcza dziecko;

3) osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie, oraz osób stosujących przemoc w rodzinie:

a) imię i nazwisko,

b) wiek,

c) stan cywilny,

d) adres miejsca zamieszkania lub pobytu,

e) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada,

f) stosunek pokrewieństwa z osobą, co do której istnieje podejrzenie, że jest dotknięta przemocą w rodzinie lub z osobą dotkniętą przemocą w rodzinie,

g) informacje o stanie zdrowia,

h) informacje o nałogach,

i) informacje o skazaniach, orzeczeniach o ukaraniu, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym,

j) informacje o sytuacji zawodowej i źródłach utrzymania;

4) osób zgłaszających podejrzenie stosowania przemocy w rodzinie oraz świadków przemocy:

a) imię i nazwisko,

b) adres miejsca zamieszkania,

c) numer telefonu lub adres poczty elektronicznej lub inny sposób kontaktu, jeżeli posiada.";

2)
dodaje się ust. 4-7 w brzmieniu:

"4. Poza przypadkami wskazanymi w ustawie do dokumentacji wytworzonej przy realizacji zadań, o których mowa w art. 9b, dostęp mają wyłącznie członkowie zespołu interdyscyplinarnego oraz grup roboczych oraz osoby wskazane w ust. 1 pkt 1 i 3.

5. Osoby, o których mowa w ust. 1 pkt 3, mają dostęp do dokumentacji, z wyłączeniem dostępu do dokumentacji zawierającej dane osób dotkniętych przemocą w rodzinie oraz osób zgłaszających podejrzenie stosowania przemocy w rodzinie, których udostępnienie mogłoby spowodować zagrożenie życia, zdrowia lub bezpieczeństwa osób dotkniętych przemocą w rodzinie lub osób zgłaszających podejrzenie stosowania przemocy w rodzinie, w szczególności z wyłączeniem dostępu do:

1) formularzy "Niebieska Karta" zawierających dane osób dotkniętych przemocą w rodzinie;

2) protokołów z posiedzeń zespołu interdyscyplinarnego oraz grup roboczych, chyba że dotyczą wyłącznie działań podejmowanych wobec osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie, oraz osób stosujących przemoc w rodzinie;

3) notatek i dokumentów wytworzonych przy realizacji zadań, o których mowa w art. 9b, chyba że dokumenty te dotyczą wyłącznie działań podejmowanych wobec osób, co do których istnieje podejrzenie, że stosują przemoc w rodzinie, oraz osób stosujących przemoc w rodzinie;

4) innych dokumentów zgromadzonych przy realizacji zadań, o których mowa w art. 9b, których udostępnienie mogłoby spowodować zagrożenie życia, zdrowia lub bezpieczeństwa osób dotkniętych przemocą w rodzinie lub osób zgłaszających podejrzenie stosowania przemocy w rodzinie.

6. Administratorem danych przetwarzanych na podstawie przepisów niniejszego artykułu jest ośrodek pomocy społecznej zapewniający obsługę organizacyjno-techniczną zespołu interdyscyplinarnego.

7. Zabezpieczenia stosowane przez administratora danych w celu ochrony danych osobowych polegają co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.".

Art.  86. 

W ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2018 r. poz. 2286, 2243 i 2244) wprowadza się następujące zmiany:

1)
w art. 3 po pkt 4w dodaje się pkt 4x w brzmieniu:

"4x) rozporządzeniu 2016/679- rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.);";

2)
po art. 83j dodaje się art. 83k w brzmieniu:

"Art. 83k. Firmy inwestycyjne będące administratorami przetwarzającymi dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia 2016/679 nie są obowiązane do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia 2016/679, w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.";

3)
w art. 149 w pkt 13 kropkę zastępuje się średnikiem i dodaje się pkt 14 w brzmieniu:

"14) Prezesa Urzędu Ochrony Danych Osobowych - w zakresie niezbędnym do realizacji przez niego ustawowych zadań.".

Art.  87. 

W ustawie z dnia 13 lipca 2006 r. o dokumentach paszportowych (Dz. U. z 2018 r. poz. 1919) wprowadza się następujące zmiany:

1)
po art. 13 dodaje się art. 13a w brzmieniu:

"Art. 13a. 1. Wnioski o wydanie dokumentu paszportowego zawierają:

1) numer PESEL;

2) nazwisko;

3) nazwisko rodowe oraz inne nazwiska, jeżeli były zmieniane;

4) imię (imiona);

5) imiona rodziców i nazwisko rodowe matki;

6) datę i miejsce urodzenia;

7) płeć;

8) podpis osoby, dla której ma być wydany dokument paszportowy, z wyjątkiem przypadków, o których mowa w art. 18 ust. 2 i 3;

9) imię, nazwisko, rodzaj, serie i numery dokumentów tożsamości, podpisy rodziców lub ustanowionych przez sąd opiekunów albo jednego z rodziców lub ustanowionych przez sąd opiekunów wyrażających zgodę na wydanie dokumentu paszportowego osobie małoletniej oraz datę ich złożenia;

10) opcjonalnie numer telefonu lub adres poczty elektronicznej;

11) pouczenie o odpowiedzialności karnej za podanie nieprawdziwych danych lub zatajenie danych;

12) miejscowość, datę i podpis osoby składającej wniosek;

13) datę i podpis osoby odbierającej dokument paszportowy;

14) adnotacje urzędowe.

2. Wniosek o wydanie paszportu albo paszportu tymczasowego składany do wojewody i ministra właściwego do spraw wewnętrznych, oprócz danych wskazanych w ust. 1, zawiera także adres do korespondencji, datę i podpis osoby odbierającej anulowany, posiadany dotychczas, dokument paszportowy, a wniosek o wydanie paszportu tymczasowego w przypadku, o którym mowa w art. 23 ust. 1 pkt 3, zawiera także adres miejsca stałego pobytu.

3. Wniosek o wydanie paszportu albo paszportu tymczasowego składany do konsula, oprócz danych wskazanych w ust. 1, zawiera także adres do korespondencji za granicą, datę i podpis osoby odbierającej anulowany, posiadany dotychczas, dokument paszportowy, a wniosek o wydanie paszportu tymczasowego w przypadku, o którym mowa w art. 23 ust. 1 pkt 3, zawiera także adres miejsca stałego pobytu.

4. Wniosek o wydanie paszportu dyplomatycznego lub paszportu służbowego Ministerstwa Spraw Zagranicznych, oprócz danych wskazanych w ust. 1, zawiera także:

1) adres do korespondencji;

2) aktualne miejsce pracy i stanowisko;

3) zobowiązanie posiadacza dokumentu paszportowego do zwrotu dokumentu paszportowego niezwłocznie po wykorzystaniu lub w przypadku utraty prawa do korzystania z tego dokumentu.";

2)
w art. 46:
a)
uchyla się ust. 2,
b)
dodaje się ust. 3 i 4 w brzmieniu:

"3. W centralnej ewidencji przetwarza się:

1) dane, o których mowa w art. 18 ust. 1 pkt 1-5 i 9 oraz art. 25;

2) nazwisko rodowe;

3) imiona i nazwiska rodowe rodziców;

4) podpis posiadacza;

5) dane biometryczne w postaci odcisków palców;

6) dane biometryczne w postaci wizerunku twarzy;

7) serię, numer i datę ważności dowodu osobistego oraz oznaczenie organu, który go wydał;

8) adres i datę zameldowania na pobyt stały;

9) kraj miejsca zamieszkania;

10) kraj poprzedniego miejsca zamieszkania;

11) datę wymeldowania z miejsca pobytu stałego;

12) adres i datę zameldowania na pobyt czasowy;

13) datę wymeldowania z miejsca pobytu czasowego;

14) datę zgonu;

15) dane dotyczące wniosku o wydanie dokumentu paszportowego:

a) numer wniosku,

b) nazwę organu realizującego wniosek,

c) status wniosku oraz datę jego aktualizacji;

16) dane dotyczące dokumentu paszportowego:

a) dane, o których mowa w art. 18 ust. 1 pkt 7, 8 i 10,

b) status dokumentu paszportowego oraz datę jego aktualizacji,

c) dane dotyczące wniosku, o którym mowa w art. 17 ust. 1, art. 38 ust. 1 pkt 1 i ust. 3:

– dane dotyczące tożsamości osoby, której wniosek dotyczy,

– dane dotyczące organu, który wniosek złożył,

– sygnaturę i podstawę prawną wniosku,

– datę wpływu wniosku,

– datę wycofania wniosku przez uprawniony organ,

d) informacje o zastosowaniu oraz uchyleniu lub zmianie przez uprawniony organ środka zapobiegawczego w postaci zakazu opuszczania kraju połączonego z zatrzymaniem dokumentu paszportowego lub o tymczasowym zatrzymaniu dokumentu paszportowego przez uprawniony organ:

– dane dotyczące tożsamości osoby, wobec której zastosowano środek zapobiegawczy lub tymczasowe zatrzymanie dokumentu paszportowego,

– dane dotyczące organu, który zastosował środek zapobiegawczy lub zawiadomił o tymczasowym zatrzymaniu dokumentu paszportowego,

– datę wpływu i sygnaturę akt sprawy,

– datę wydania oraz dane dotyczące organu, który uchylił lub zmienił środek zapobiegawczy,

e) informacje o decyzji wydanej na podstawie art. 39 ust. 1:

– datę i przyczynę wydania decyzji,

– nazwę organu wydającego decyzję,

– sygnaturę akt;

17) dane dotyczące książeczek paszportowych paszportów tymczasowych oraz naklejek personalizacyjnych do paszportów tymczasowych utraconych przed spersonalizowaniem lub wybrakowanych w procesie sporządzania:

a) serię i numer książeczki paszportowej paszportu tymczasowego,

b) serię i numer naklejki personalizacyjnej do paszportu tymczasowego,

c) datę i przyczynę utraty książeczki paszportowej paszportu tymczasowego lub naklejki personalizacyjnej do paszportu tymczasowego,

d) datę i przyczynę wybrakowania książeczki paszportowej paszportu tymczasowego lub naklejki personalizacyjnej do paszportu tymczasowego;

18) dane dotyczące dokumentów paszportowych utraconych przed odbiorem przez obywatela polskiego:

a) serię i numer dokumentu paszportowego,

b) datę i przyczynę utraty dokumentu paszportowego;

19) dane dotyczące książeczek paszportowych wybrakowanych w procesie sporządzania:

a) serię i numer książeczki paszportowej,

b) datę i przyczynę wybrakowania książeczki paszportowej w czasie sporządzania;

20) dane dotyczące utraconych niespersonalizowanych książeczek paszportowych:

a) serię i numer książeczki paszportowej,

b) datę i przyczynę utraty książeczki paszportowej.

4. Dane do centralnej ewidencji są przekazywane:

1) z ewidencji wydanych i unieważnionych dokumentów paszportowych, zwanych dalej "ewidencjami paszportowymi", w zakresie danych, o których mowa w ust. 3 pkt 1-18;

2) bezpośrednio przez ministra właściwego do spraw wewnętrznych, w zakresie danych, o których mowa w ust. 3 pkt 19 i 20.";

3)
w art. 47:
a)
ust. 1 otrzymuje brzmienie:

"1. Organy paszportowe prowadzą, w zakresie swoich zadań, ewidencje paszportowe.",

b)
uchyla się ust. 2,
c)
dodaje się ust. 3 w brzmieniu:

"3. W ewidencjach paszportowych przetwarza się dane, o których mowa w art. 46 ust. 3 pkt 1-19, oraz adres do korespondencji.";

4)
po art. 47 dodaje się art. 47a i art. 47b w brzmieniu:

Art. 47a. 1. Danych przetwarzanych w centralnej ewidencji i ewidencjach paszportowych nie usuwa się, z wyjątkiem danych, o których mowa w art. 46 ust. 3 pkt 5.

2. Dane biometryczne w postaci odcisków palców przechowuje się w centralnej ewidencji i ewidencjach paszportowych do czasu wpisania przez organ paszportowy do ewidencji paszportowej potwierdzenia przyjęcia sporządzonego dokumentu paszportowego.

3. W przypadku wydania przez organ paszportowy decyzji o odmowie wydania dokumentu paszportowego dane biometryczne w postaci odcisków palców przechowuje się w centralnej ewidencji i ewidencjach paszportowych do czasu wpisania przez organ do ewidencji paszportowej informacji o odmowie wydania dokumentu paszportowego z powodów, o których mowa w art. 17 ust. 1, oraz numeru akt sprawy o wydanie dokumentu paszportowego.

Art. 47b. 1. Organ paszportowy przyjmujący wniosek o wydanie dokumentu paszportowego dokonuje z urzędu sprawdzenia danych w ewidencjach paszportowych, w centralnej ewidencji oraz w rejestrze PESEL, o którym mowa w ustawie z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 i 1544 oraz z 2019 r. poz. 60 i 730), porównuje dane w nich zamieszczone z danymi zawartymi we wniosku o wydanie dokumentu paszportowego oraz w przedkładanej dokumentacji.

2. W przypadku stwierdzenia niezgodności danych, o których mowa w art. 18 ust. 1 pkt 1-5 i 9 oraz w art. 46 ust. 3 pkt 2, 3 i 7-14, w ewidencjach i rejestrze, o których mowa w ust. 1, z danymi zawartymi we wniosku o wydanie dokumentu paszportowego oraz przedkładanej dokumentacji organ, który stwierdził niezgodność, podejmuje działania celem usunięcia niezgodności, zgodnie z art. 11 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności.

3. W przypadku braku bezpośredniego dostępu do rejestru PESEL, o niezgodności, o której mowa w ust. 2, konsulowie niezwłocznie zawiadamiają ministra właściwego do spraw informatyzacji.";

5)
uchyla się art. 48;
6)
w art. 49:
a)
ust. 1 otrzymuje brzmienie:

"1. Centralna ewidencja i ewidencje paszportowe są prowadzone w systemie teleinformatycznym, w którym jest prowadzony zbiór danych o osobie i wszystkich sporządzonych dla tej osoby dokumentach paszportowych.",

b)
ust. 3 otrzymuje brzmienie:

"3. Organy paszportowe przekazują, w formie elektronicznej, za pośrednictwem ewidencji paszportowych do centralnej ewidencji, dane z ewidencji paszportowych niezwłocznie po rozpatrzeniu wniosku o wydanie dokumentu paszportowego lub wydaniu decyzji o odmowie wydania lub unieważnieniu dokumentu paszportowego.";

7)
po art. 49 dodaje się art. 49a-49c w brzmieniu:

"Art. 49a. 1. Utrzymanie i rozwój centralnej ewidencji, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym:

1) zapewnia ochronę przed nieuprawnionym dostępem do centralnej ewidencji;

2) zapewnia integralność danych w centralnej ewidencji;

3) zapewnia dostępność systemu teleinformatycznego, w którym prowadzona jest centralna ewidencja, dla podmiotów przetwarzających dane w tej ewidencji;

4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym prowadzona jest centralna ewidencja;

5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określa zasady zgłaszania naruszenia ochrony danych osobowych;

7) zapewnia rozliczalność działań dokonywanych na danych centralnej ewidencji;

8) zapewnia poprawność danych przetwarzanych w centralnej ewidencji.

2. Minister właściwy do spraw informatyzacji wykonuje obowiązki, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".

Art. 49b. 1. Utrzymanie i rozwój systemu teleinformatycznego, za pomocą którego organy paszportowe prowadzą ewidencje paszportowe, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw wewnętrznych, w tym:

1) zapewnia ochronę przed nieuprawnionym dostępem do ewidencji paszportowych;

2) zapewnia integralność danych w ewidencjach paszportowych;

3) zapewnia dostępność systemu teleinformatycznego, w którym prowadzone są ewidencje paszportowe, dla podmiotów przetwarzających dane w tych ewidencjach;

4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym prowadzone są ewidencje paszportowe;

5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określa zasady zgłaszania naruszenia ochrony danych osobowych;

7) zapewnia rozliczalność działań dokonywanych na danych ewidencji paszportowych.

2. Minister właściwy do spraw wewnętrznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej łączność elektroniczną między centralną ewidencją a ewidencjami paszportowymi.

3. Minister właściwy do spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej łączność elektroniczną między centralną ewidencją a ewidencjami paszportowymi prowadzonymi przez konsulów.

4. Organy paszportowe wykonują obowiązki, o których mowa w art. 15 rozporządzenia 2016/679.

Art. 49c. Minister właściwy do spraw wewnętrznych, minister właściwy do spraw informatyzacji, minister właściwy do spraw zagranicznych, konsul oraz wojewoda posiadają dostęp do centralnej ewidencji.";

8)
uchyla się art. 50-52;
9)
w art. 53 dodaje się ust. 3 w brzmieniu:

"3. Dokumentację, o której mowa w ust. 1, przechowuje się na zasadach i w trybie określonych w przepisach wydanych na podstawie art. 6 ust. 2 i 2b ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).";

10)
po rozdziale 6 dodaje się rozdział 6a w brzmieniu:

"Rozdział 6a

Udostępnianie danych

Art. 54a. Minister właściwy do spraw informatyzacji udostępnia dane zgromadzone w centralnej ewidencji, z wyłączeniem danych biometrycznych w postaci odcisków palców:

1) Policji,

2) Straży Granicznej,

3) Biuru Nadzoru Wewnętrznego,

4) Agencji Bezpieczeństwa Wewnętrznego,

5) Agencji Wywiadu,

6) Centralnemu Biuru Antykorupcyjnemu,

7) ministrowi właściwemu do spraw finansów publicznych,

8) prokuratorowi,

9) sądom,

10) Służbie Więziennej,

11) Służbie Kontrwywiadu Wojskowego,

12) Służbie Wywiadu Wojskowego,

13) Żandarmerii Wojskowej,

14) Szefowi Krajowego Centrum Informacji Kryminalnych,

15) Służbie Ochrony Państwa

– w zakresie niezbędnym do realizacji ich ustawowych zadań.

Art. 54b. 1. Dane z centralnej ewidencji udostępnia się w trybie:

1) pełnej teletransmisji danych;

2) jednostkowym.

2. Dane z centralnej ewidencji udostępnia się nieodpłatnie.

Art. 54c. 1. Minister właściwy do spraw informatyzacji może wyrazić zgodę, w drodze decyzji administracyjnej, na udostępnienie danych zgromadzonych w centralnej ewidencji, podmiotom, o których mowa w art. 54a, za pomocą urządzeń teletransmisji danych, po złożeniu jednorazowego, uproszczonego wniosku, jeżeli spełniają łącznie następujące warunki:

1) posiadają urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu oraz jakie dane uzyskał;

2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania;

3) jest to uzasadnione specyfiką lub zakresem ustawowo określonych zadań.

2. Minister właściwy do spraw informatyzacji, w drodze decyzji administracyjnej, odmawia udostępnienia danych w trybie pełnej teletransmisji danych, jeżeli podmioty uprawnione nie spełniają wymogów określonych w ust. 1.

Art. 54d. W trybie jednostkowym z centralnej ewidencji minister właściwy do spraw informatyzacji udostępnia dane dotyczące dokumentu lub jego posiadacza z wyłączeniem danych biometrycznych w postaci odcisków palców, na jednorazowy wniosek podmiotów, o których mowa w art. 54a, złożony w formie pisemnej lub w formie dokumentu elektronicznego przy wykorzystaniu środków komunikacji elektronicznej.

Art. 54e. 1. Organy paszportowe udostępniają dokumentację, o której mowa w art. 53 ust. 1, znajdującą się w ich posiadaniu.

2. Dokumentację paszportową, o której mowa w art. 53 ust. 1, udostępnia się na uzasadniony wniosek złożony przez osobę, której ta dokumentacja dotyczy albo przez podmiot, o którym mowa w art. 54a, jeżeli uzyskanie danych przez ten podmiot jest uzasadnione zakresem wykonywanych zadań określonych w ustawach szczególnych.

3. Dokumentację paszportową udostępnia się nieodpłatnie.

Art. 54f. 1. Organy paszportowe na wniosek osoby, której dane dotyczą, złożony w formie pisemnej lub w formie dokumentu elektronicznego przy wykorzystaniu środków komunikacji elektronicznej, wydają zaświadczenie zawierające pełny odpis danych dotyczących tej osoby przetwarzanych w prowadzonych przez nie ewidencjach paszportowych, z wyłączeniem danych biometrycznych w postaci odcisków palców.

2. Zaświadczenie sporządza się, w zależności od żądania wnioskodawcy, w formie pisemnej lub w formie dokumentu elektronicznego, który podlega przekazaniu przy wykorzystaniu środków komunikacji elektronicznej. Zaświadczenia wydawane w formie dokumentu elektronicznego opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym lub podpisem osobistym.

3. Zaświadczenie może mieć formę wydruku z systemu teleinformatycznego.

Art. 54g. 1. Organ paszportowy udostępnia z ewidencji paszportowej dane dotyczące dokumentu lub jego posiadacza, z wyłączeniem danych biometrycznych w postaci odcisków palców, na jednorazowy wniosek podmiotu, o którym mowa w art. 54a, złożony w formie pisemnej lub w formie dokumentu elektronicznego przy wykorzystaniu środków komunikacji elektronicznej.

2. W trybie, o którym mowa w ust. 1, dane udostępnia się nieodpłatnie.

Art. 54h. Minister właściwy do spraw informatyzacji w porozumieniu z ministrem właściwym do spraw wewnętrznych określi, w drodze rozporządzenia wzór wniosku o:

1) udostępnienie danych z ewidencji paszportowych i z centralnej ewidencji w trybie jednostkowym,

2) udostępnianie danych z centralnej ewidencji w trybie pełnej teletransmisji danych,

3) udostępnienie dokumentacji, o której mowa w art. 53 ust. 1

– uwzględniając potrzebę zapewnienia sprawności i bezpieczeństwa udostępniania danych oraz dokumentacji, o której mowa w art. 53 ust. 1.".

Art.  88. 

W ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2019 r. poz. 298 i 326) po art. 4 dodaje się art. 4a w brzmieniu:

Art. 4a. 1. Dla realizacji celu, o którym mowa w art. 2, Komisja przetwarza dane osobowe, w tym dane, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w zakresie danych dotyczących zdrowia.

2. Dane osobowe, o których mowa w ust. 1, mogą przetwarzać wyłącznie osoby posiadające pisemne upoważnienie. Osoby posiadające pisemne upoważnienie są zobowiązane do zachowania tych danych w tajemnicy na zasadach, o których mowa w art. 16 ust. 1.

3. Dane osobowe, o których mowa w ust. 1, Komisja przetwarza przez okres 25 lat.

4. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na przebieg i wynik postępowań, innych czynności nadzorczych, a także na korzystanie z uprawnień, o których mowa w art. 6, możliwość złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa oraz wykonanie obowiązków, o których mowa w art. 6b.

5. Komisja jest administratorem danych osobowych przetwarzanych przez sąd polubowny, o którym mowa w art. 18 ust. 1, oraz przez komisje egzaminacyjne, o których mowa w ustawie z dnia 15 grudnia 2017 r. o dystrybucji ubezpieczeń, ustawie z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi, ustawie o działalności ubezpieczeniowej i reasekuracyjnej i ustawie z dnia 23 marca 2017 r. o kredycie hipotecznym oraz o nadzorze nad pośrednikami kredytu hipotecznego i agentami.".

Art.  89. 

W ustawie z dnia 25 sierpnia 2006 r. o biokomponentach i biopaliwach ciekłych (Dz. U. z 2018 r. poz. 1344, 1356 i 1629) w art. 15 ust. 3 otrzymuje brzmienie:

"3. Rejestr rolników jest jawny, z wyłączeniem, określonych w art. 14 ust. 3 pkt 1, adresu miejsca zamieszkania rolnika oraz adresów członków grupy.".

Art.  90. 

W ustawie z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (Dz. U. z 2017 r. poz. 2195, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 24b ust. 1 i 2 otrzymują brzmienie:

"1. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia administruje SWD PRM, który umożliwia bezpieczne przetwarzanie danych, w tym kontrolę dostępu użytkowników do danych, oraz dokumentuje dokonywane przez nich zmiany, umożliwiając w szczególności odtworzenie historii każdego zgłoszenia alarmowego i powiadomienia o zdarzeniu.

2. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego przetwarzają dane zarejestrowane w SWD PRM, w tym nagrania rozmów, dane osobowe osoby zgłaszającej, dane innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycje geograficzne, dane teleadresowe lub opis zdarzenia, i udostępniają je na wniosek sądu, prokuratury, Policji, Rzecznika Praw Pacjenta lub Narodowego Funduszu Zdrowia.";

2)
art. 24c otrzymuje brzmienie:

"Art. 24c. 1. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia i dysponenci zespołów ratownictwa medycznego są współadministratorami danych w SWD PRM oraz innych danych uzyskanych w związku z przyjmowaniem oraz obsługą zgłoszeń alarmowych i powiadomień o zdarzeniach z wykorzystaniem SWD PRM.

2. Minister właściwy do spraw zdrowia:

1) wydaje i cofa upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu obsługującego ministra właściwego do spraw zdrowia oraz konsultantów krajowych i wojewódzkich, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia (Dz. U. z 2017 r. poz. 890 oraz z 2018 r. poz. 1669), w zakresie, o którym mowa w pkt 2;

2) określa zakres danych, które mogą być udostępniane konsultantom krajowym i wojewódzkim, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia, oraz podmiotom, o których mowa w art. 39;

3) określa uprawnienia w SWD PRM;

4) przetwarza dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 1 oraz art. 24a ust. 1;

5) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".

3. Wojewodowie:

1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników urzędu wojewódzkiego;

2) nadają i cofają uprawnienia w SWD PRM;

3) przetwarzają dane w SWD PRM niezbędne do realizacji zadań, o których mowa w art. 19 ust. 2;

4) realizują obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;

5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.

4. Dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia:

1) przetwarza w SWD PRM dane niezbędne do realizacji zadań, o których mowa w art. 27a ust. 2 i art. 48;

2) przetwarza dane w celu zapewnienia utrzymania, rozbudowy, modyfikacji i obsługi technicznej SWD PRM;

3) wydaje i cofa upoważnienia do przetwarzania danych osobowych w zakresie obejmującym zadania wynikające z administrowania SWD PRM;

4) nadaje i cofa uprawnienia w SWD PRM w ramach realizacji powierzonych zadań;

5) może powierzyć przetwarzanie danych przetwarzanych w SWD PRM podmiotom wyspecjalizowanym w zapewnianiu obsługi technicznej systemów teleinformatycznych, w zakresie niezbędnym do prawidłowej realizacji zadań związanych z utrzymaniem i funkcjonowaniem, rozbudową i modyfikacjami SWD PRM;

6) realizuje obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez niego danych do SWD PRM;

7) realizuje obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.

5. Dysponenci zespołów ratownictwa medycznego:

1) wydają i cofają upoważnienia do przetwarzania danych osobowych w SWD PRM dla pracowników;

2) nadają i cofają uprawnienia w SWD PRM;

3) przetwarzają dane w SWD PRM w celu i zakresie niezbędnym do prawidłowej realizacji zadań wynikających z przepisów ustawy;

4) realizują obowiązki wynikające żart. 15 i art. 16 rozporządzenia 2016/679 w zakresie wprowadzonych przez nich danych do SWD PRM;

5) realizują obowiązki wynikające z art. 19 i art. 34 rozporządzenia 2016/679.

6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

7. Podmioty, o których mowa w ust. 2-5, podejmują działania mające na celu:

1) zapewnienie ochrony przed nieuprawnionym dostępem do SWD PRM;

2) zapewnienie integralności danych w SWD PRM;

3) zapewnienie dostępności SWD PRM dla podmiotów przetwarzających dane w tym systemie;

4) przeciwdziałanie uszkodzeniom SWD PRM;

5) określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określenie zasad zgłaszania naruszenia ochrony danych osobowych;

7) zapewnienie rozliczalności w SWD PRM;

8) zapewnienie poprawności danych przetwarzanych w SWD PRM.

8. Podmioty wyspecjalizowane w zapewnieniu obsługi technicznej systemów teleinformatycznych, którym powierzono przetwarzanie danych osobowych w SWD PRM, nie mogą powierzać przetwarzania danych innym podmiotom ani udostępniać danych innym podmiotom niż upoważnionym na podstawie przepisów prawa.

9. W przypadku zaistnienia konieczności udostępnienia danych osobowych podmiotom upoważnionym na podstawie przepisów prawa, podmiot wyspecjalizowany w zapewnieniu obsługi technicznej systemów teleinformatycznych, który udostępnił dane, informuje o tym fakcie administratora SWD PRM, nie później niż w terminie 3 dni od dnia zaistnienia tego faktu.

10. W przypadku zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych przetwarzanych w SWD PRM przez podmioty wyspecjalizowane w zapewnianiu obsługi technicznej systemów teleinformatycznych, podmioty te są obowiązane, w terminie 3 dni od dnia zaistnienia okoliczności skutkujących zaprzestaniem przetwarzania danych, do przekazania przetwarzanych danych administratorowi SWD PRM.

11. Podmioty, o których mowa w ust. 2-5, realizują obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w związku z przetwarzaniem danych osobowych w SWD PRM, przez udostępnienie informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.

12. Osoba zwracająca się z żądaniem na podstawie art. 15 rozporządzenia 2016/679 obowiązana jest do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.

13. Podmioty, o których mowa w ust. 2-5, udostępniają informację o ograniczeniach, o których mowa w ust. 12, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej lub na swojej stronie internetowej.

14. Podmioty, o których mowa w ust. 2-5, prowadzą ewidencję osób upoważnionych do przetwarzania danych, którym wydały upoważnienia do przetwarzania danych osobowych w SWD PRM.";

3)
w art. 24e:
a)
ust. 2 i 3 otrzymują brzmienie:

"2. Minister właściwy do spraw zdrowia, wojewodowie, dysponent lotniczych zespołów ratownictwa medycznego będący jednostką nadzorowaną przez ministra właściwego do spraw zdrowia oraz dysponenci zespołów ratownictwa medycznego przy użyciu SWD PRM przetwarzają i udostępniają dane:

1) dotyczące usługobiorców w rozumieniu art. 2 pkt 16 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, w zakresie określonym w art. 4 ust. 3 tej ustawy;

2) obejmujące dane osobowe osób wykonujących zadania wojewódzkich koordynatorów ratownictwa medycznego;

3) obejmujące dane osobowe osób wykonujących zadania dyspozytora medycznego;

4) obejmujące dane osobowe osób wykonujących zadania członków zespołów ratownictwa medycznego;

5) obejmujące dane osobowe osób wykonujących wyłącznie zadania kierowców, o których mowa w art. 36 ust. 3;

6) obejmujące dane osobowe osób wykonujących na podstawie danych z SWD PRM zadania polegające na: zarządzaniu, kontroli, sporządzaniu raportów statystycznych i analiz;

7) obejmujące dane osobowe osób dokonujących zgłoszenia na numer alarmowy, numery ich telefonów oraz stopień pokrewieństwa z osobą w stanie nagłego zagrożenia zdrowotnego, jeżeli dotyczy;

8) umożliwiające wymianę dokumentów elektronicznych między usługodawcami oraz usługodawcami a płatnikami w rozumieniu art. 2 pkt 9 lit. a i pkt 15 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia.

3. Dane, o których mowa w ust. 2 pkt 1-5, 7 i 8, są udostępniane:

1) Narodowemu Funduszowi Zdrowia;

2) jednostce podległej ministrowi właściwemu do spraw zdrowia, właściwej w zakresie systemów informacyjnych ochrony zdrowia;

3) konsultantom krajowym i wojewódzkim, o których mowa w ustawie z dnia 6 listopada 2008 r. o konsultantach w ochronie zdrowia, w zakresie, o którym mowa w art. 24e ust. 2 pkt 2;

4) podmiotom, o których mowa w art. 39, w zakresie określonym w art. 24e ust. 2 pkt 2.",

b)
uchyla się ust. 4.
Art.  91. 

W ustawie z dnia 12 stycznia 2007 r. o drogowych spółkach specjalnego przeznaczenia (Dz. U. z 2017 r. poz. 2093 oraz z 2018 r. poz. 12 i 1693) wprowadza się następujące zmiany:

1)
po art. 5 dodaje się art. 5a w brzmieniu:

"Art. 5a. W przypadku gdy spółka wykonuje obowiązek zarządcy drogi, o którym mowa w art. 20 pkt 12 ustawy z dnia 21 marca 1985 r. o drogach publicznych, przepis art. 20h tej ustawy stosuje się odpowiednio.";

2)
w art. 7a dodaje się ust. 4 w brzmieniu:

"4. Drogowa spółka specjalnego przeznaczenia staje się administratorem danych osobowych, których administratorem był Generalny Dyrektor Dróg Krajowych i Autostrad, w związku z decyzjami administracyjnymi i postanowieniami, o których mowa w ust. 1, jak również sprawami, o których mowa w ust. 2, oraz umowami i porozumieniami, o których mowa w ust. 3.".

Art.  92. 

W ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2018 r. poz. 1401 i 1560) po art. 6c dodaje się art. 6d w brzmieniu:

"Art. 6d. 1. W przypadku pracownika zatrudnionego na stanowisku umożliwiającym dostęp do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i osoby ubiegającej się o zatrudnienie na tym stanowisku, operator infrastruktury krytycznej żąda od pracownika i tej osoby przedłożenia informacji dotyczących karalności, w tym informacji, czy ich dane osobowe są zgromadzone w Krajowym Rejestrze Karnym.

2. Operator infrastruktury krytycznej żąda od pracownika danych biometrycznych w postaci odcisków palców, głosu, obrazu rogówki lub sieci żył palców, jeżeli podanie takich danych jest konieczne ze względu na kontrolę dostępu do informacji o bezpieczeństwie obiektu infrastruktury krytycznej i pomieszczeń.

3. Operator infrastruktury krytycznej przechowuje informacje i dane, o których mowa w ust. 1 i 2, wyłącznie przez okres zatrudnienia pracownika, którego te dane dotyczą.".

Art.  93. 

W ustawie z dnia 15 czerwca 2007 r. o licencji doradcy restrukturyzacyjnego (Dz. U. z 2016 r. poz. 883 oraz z 2019 r. poz. 55) po art. 20 dodaje się art. 20a w brzmieniu:

"Art. 20a. Okres przechowywania danych osobowych zgromadzonych przez doradcę restrukturyzacyjnego przy wykonywaniu uprawnień i obowiązków wynikających z licencji doradcy restrukturyzacyjnego wynosi 5 lat od zakończenia postępowania, w którym dane zostały zgromadzone. Po upływie tego okresu dane osobowe podlegają usunięciu, chyba że dalsze ich przechowywanie jest niezbędne dla ochrony praw lub dochodzenia roszczeń.".

Art.  94. 

W ustawie z dnia 7 września 2007 r. o pomocy osobom uprawnionym do alimentów (Dz. U. z 2019 r. poz. 670) wprowadza się następujące zmiany:

1)
w art. 15:
a)
w ust. 8b w zdaniu pierwszym wyrazy "mogą być przetwarzane" zastępuje się wyrazami

"są przetwarzane",

b)
w ust. 8cb w zdaniu pierwszym wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
2)
w art. 22 w ust. 1 wyrazy "mogą gromadzić i przetwarzać" zastępuje się wyrazem

"przetwarzają";

3)
po art. 22 dodaje się art. 22a w brzmieniu:

"Art. 22a. 1. Dane osobowe, o których mowa w art. 22 ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.".

Art.  95. 

W ustawie z dnia 17 października 2008 r. o zmianie imienia i nazwiska (Dz. U. z 2016 r. poz. 10) po art. 11 dodaje się art. 11a w brzmieniu:

"Art. 11a. Postępowanie administracyjne w sprawie zmiany imienia i nazwiska jest prowadzone z wykorzystaniem danych zawartych w rejestrze stanu cywilnego, o którym mowa w art. 2 ust. 2 ustawy z dnia 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (Dz. U. z 2018 r. poz. 2224 oraz z 2019 r. poz. 730), oraz w rejestrze PESEL, o którym mowa w art. 6 ust. 1 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 i 1544 oraz z 2019 r. poz. 60 i 730), w zakresie niezbędnym dla wydania rozstrzygnięcia w sprawie.".

Art.  96. 

W ustawie z dnia 6 listopada 2008 r. oprawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 24:
a)
uchyla się ust. 4,
b)
ust. 5 i 6 otrzymują brzmienie:

"5. Jeżeli podmiot udzielający świadczeń zdrowotnych zawarł umowę o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej.

6. Podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta.";

2)
w art. 26 w ust. 3 pkt 2 otrzymuje brzmienie:

"2) organom władzy publicznej, w tym Rzecznikowi Praw Pacjenta, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych oraz konsultantom w ochronie zdrowia, a także Rzecznikowi Praw Pacjenta Szpitala Psychiatrycznego, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności nadzoru i kontroli;";

3)
w art. 28 ust. 2a otrzymuje brzmienie:

"2a. Opłaty, o której mowa w ust. 1, nie pobiera się w przypadku udostępnienia dokumentacji medycznej:

1) pacjentowi albo jego przedstawicielowi ustawowemu po raz pierwszy w żądanym zakresie i w sposób, o którym mowa w art. 27 ust. 1 pkt 2 i 5 oraz ust. 3;

2) w związku z postępowaniem przed wojewódzką komisją do spraw orzekania o zdarzeniach medycznych, o której mowa w art. 67e ust. 1.";

4)
w art. 30:
a)
uchyla się ust. 10,
b)
ust. 11 otrzymuje brzmienie:

"11. Osoby, które w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 rozporządzenia 2016/679, uzyskały dostęp do informacji związanych z pacjentem, są obowiązane do zachowania ich w tajemnicy, także po śmierci pacjenta.";

5)
w art. 47:
a)
w ust. 1 po pkt 3 dodaje się pkt 3a w brzmieniu:

"3a) ochrona praw pacjentów korzystających ze świadczeń zdrowotnych udzielanych przez szpital psychiatryczny, o którym mowa w art. 3 pkt 2 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz. U. z 2018 r. poz. 1878 oraz z 2019 r. poz. 730);",

b)
po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Zadanie, o którym mowa w ust. 1 pkt 3a, Rzecznik realizuje w szczególności przy pomocy Rzeczników Praw Pacjenta Szpitala Psychiatrycznego, których zadania i zakres działania określa ustawa z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego.";

6)
po art. 47 dodaje się art. 47a w brzmieniu:

"Art. 47a. 1. Rzecznik może przetwarzać wszelkie informacje, w tym dane osobowe niezbędne do realizacji swoich ustawowych zadań.

2. Rzecznik przetwarza dane osobowe, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, wyłącznie w celu ochrony praw pacjentów przy realizacji zadań, o których mowa w art. 47 ust. 1 pkt 1-3a i 7-10.

3. Administratorem danych, o których mowa w ust. 1 i 2, jest Rzecznik.

4. Dane osobowe podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób pisemnie do tego upoważnionych;

2) pisemnym zobowiązaniu się osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych.".

Art.  97. 

W ustawie z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. z 2018 r. poz. 1559) w art. 15 ust. 5 otrzymuje brzmienie:

"5. Szef Służby Cywilnej przetwarza dane osobowe członków korpusu służby cywilnej oraz zbiera, wykorzystuje i przetwarza inne informacje w celu realizacji ustawowych zadań.".

Art.  98. 

W ustawie z dnia 23 stycznia 2009 r. o Krajowej Szkole Sądownictwa i Prokuratury (Dz. U. z 2018 r. poz. 624, 1045, 1443 i 1669) art. 56 otrzymuje brzmienie:

"Art. 56. 1. Krajowa Szkoła jest administratorem danych osobowych aplikantów, kandydatów na aplikantów, wykładowców i kandydatów na wykładowców Krajowej Szkoły oraz osób objętych szkoleniem lub doskonaleniem zawodowym prowadzonym przez Krajową Szkołę, osób przystępujących do egzaminów przeprowadzanych na podstawie ustawy oraz członków komisji i zespołów powoływanych na podstawie ustawy, a także danych osobowych zawartych w aktach udostępnianych Krajowej Szkole dla celów dydaktycznych, w zakresie niezbędnym do realizacji zadań Krajowej Szkoły.

2. Minister Sprawiedliwości jest administratorem danych osobowych przetwarzanych w celu realizacji jego zadań, obowiązków lub uprawnień wynikających z ustawy.".

Art.  99. 

W ustawie z dnia 2 kwietnia 2009 r. o obywatelstwie polskim (Dz. U. z 2018 r. poz. 1829) wprowadza się następujące zmiany:

1)
w art. 21 dodaje się ust. 6 i 7 w brzmieniu:

"6. Prezydent Rzeczypospolitej Polskiej po otrzymaniu wniosku może zwrócić się do właściwych organów, organizacji lub instytucji o udzielenie informacji, które mogą mieć istotne znaczenie w sprawie o nadanie obywatelstwa polskiego.

7. Organy, organizacje lub instytucje, o których mowa w ust. 6, obowiązane są udzielić pisemnej informacji w terminie 30 dni od dnia otrzymania zapytania. W szczególnie uzasadnionych przypadkach termin ten może być przedłużony do 3 miesięcy, o czym organ, organizacja lub instytucja obowiązana do udzielenia informacji powiadamia Prezydenta Rzeczypospolitej Polskiej.";

2)
w art. 49 dodaje się ust. 6 i 7 w brzmieniu:

"6. Prezydent Rzeczypospolitej Polskiej po otrzymaniu wniosku może zwrócić się do właściwych organów, organizacji lub instytucji o udzielenie informacji, które mogą mieć istotne znaczenie w sprawie o zrzeczenie się obywatelstwa polskiego.

7. Organy, organizacje lub instytucje, o których mowa w ust. 6, obowiązane są udzielić pisemnej informacji w terminie 30 dni od dnia otrzymania zapytania. W szczególnie uzasadnionych przypadkach termin ten może być przedłużony do 3 miesięcy, o czym organ, organizacja lub instytucja obowiązana do udzielenia informacji powiadamia Prezydenta Rzeczypospolitej Polskiej.";

3)
w art. 59 ust. 2 otrzymuje brzmienie:

"2. Minister właściwy do spraw wewnętrznych jest administratorem danych przetwarzanych w rejestrze centralnym.".

Art.  100. 

W ustawie z dnia 7 maja 2009 r. o zadośćuczynieniu rodzinom ofiar zbiorowych wystąpień wolnościowych w latach 1956-1989 (Dz. U. poz. 741, z 2011 r. poz. 622 oraz z 2014 r. poz. 496) w art. 4 w ust. 2:

1)
pkt 1 otrzymuje brzmienie:

"l) imię lub imiona i nazwisko wnioskodawcy, datę i miejsce urodzenia, imiona rodziców, numer PESEL, numer telefonu lub adres poczty elektronicznej oraz adres miejsca zamieszkania lub adres korespondencyjny oraz stopień pokrewieństwa lub powinowactwa łączący go ze zmarłą ofiarą zbiorowego wystąpienia wolnościowego;";

2)
po pkt 1 dodaje się pkt 1a w brzmieniu:

"1a) imię lub imiona i nazwisko osoby, o której mowa w art. 1 ust. 1, nazwisko rodowe, datę i miejsce urodzenia, imiona rodziców, numer PESEL, jeśli był nadany, oraz datę zgonu;";

3)
pkt 4 otrzymuj e brzmienie:

"4) wskazanie formy wypłaty świadczenia pieniężnego wraz z informacją o nazwie banku i numerze rachunku bankowego wnioskodawcy w przypadku wyboru tej formy wypłaty;".

Art.  101. 

W ustawie z dnia 25 czerwca 2009 r. o rolnictwie ekologicznym (Dz. U. z 2017 r. poz. 1054 oraz z 2018 r. poz. 1616 i 1633) w art. 17:

1)
w ust. 1 pkt 1 otrzymuje brzmienie:

"1) Głównemu Inspektorowi oraz Prezesowi Agencji Restrukturyzacji i Modernizacji Rolnictwa, za pośrednictwem środków komunikacji elektronicznej w formie dokumentu elektronicznego opatrzonego kwalifikowanym podpisem elektronicznym, do dnia 30 listopada każdego roku, wykaz producentów, o których mowa w ustawie z dnia 18 grudnia 2003 r. o krajowym systemie ewidencji producentów, ewidencji gospodarstw rolnych oraz ewidencji wniosków o przyznanie płatności (Dz. U. z 2017 r. poz. 1853), którzy spełnili określone wymagania dotyczące produkcji ekologicznej zgodnie z przepisami dotyczącymi rolnictwa ekologicznego, według stanu na dzień 15 listopada tego roku;";

2)
ust. 1a otrzymuje brzmienie:

"1a. Jeżeli w wyniku kontroli przeprowadzonej przez jednostkę certyfikującą zostanie stwierdzona konieczność uzupełnienia lub zmiany danych zawartych w wykazie, o którym mowa w ust. 1 pkt 1, jednostka certyfikująca uzupełnia lub zmienia ten wykaz, według stanu na dzień 31 grudnia tego roku, i przekazuje go Głównemu Inspektorowi oraz Prezesowi Agencji Restrukturyzacji i Modernizacji Rolnictwa w sposób i w formie określonej w ust. 1 pkt 1. w terminie do dnia 14 stycznia roku następującego po roku przekazania tego wykazu.".

Art.  102. 

W ustawie z dnia 17 lipca 2009 r. o systemie zarządzania emisjami gazów cieplarnianych i innych substancji (Dz. U. z 2018 r. poz. 1271, 1669 i 2538 oraz z 2019 r. poz. 412) w art. 6:

1)
w ust. 2 pkt 1 otrzymuje brzmienie:

"1) podmiotach korzystających ze środowiska, osobach uprawnionych do reprezentowania tych podmiotów oraz osobach będących użytkownikami Krajowej bazy:

a) imię i nazwisko,

b) nazwę podmiotu i jego formę prawną,

c) adres miejsca zamieszkania,

d) adres siedziby,

e) adres poczty elektronicznej, adres strony internetowej, numer telefonu komórkowego, numer telefonu stacjonarnego,

f) numer PESEL, a w przypadku braku numeru PESEL - serię i numer dokumentu potwierdzającego tożsamość,

g) numer identyfikacyjny w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON), numer identyfikacji podatkowej (NIP) oraz numer w Krajowym Rejestrze Sądowym (KRS);";

2)
dodaje się ust. 5 w brzmieniu:

"5. Dane osobowe przetwarzane w ramach Krajowego systemu podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.".

Art.  103. 

W ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz. U. z 2018 r. poz. 2386 i 2243 oraz z 2019 r. poz. 326) wprowadza się następujące zmiany:

1)
po art. 16a dodaje się art. 16b w brzmieniu:

"Art. 16b. Do działalności kas stosuje się odpowiednio przepisy art. 106d i art. 106e ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe.";

2)
w art. 18 dodaje się ust. 6 w brzmieniu:

"6. Do oceny rękojmi ostrożnego i stabilnego zarządzania kasą stosuje się odpowiednio przepisy art. 22aa ust. 1 oraz 10-12 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe.";

3)
w art. 51 po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Członkowie zarządu kasy powinni mieć wiedzę, umiejętności i doświadczenie, odpowiednie do pełnionych przez nich funkcji i powierzonych im obowiązków, oraz dawać rękojmię należytego wykonywania tych obowiązków. Rękojmia, o której mowa w zdaniu poprzedzającym, odnosi się w szczególności do reputacji, uczciwości i rzetelności danej osoby oraz zdolności do prowadzenia spraw kasy w sposób ostrożny i stabilny. Do oceny rękojmi ostrożnego i stabilnego zarządzania kasą stosuje się odpowiednio przepisy art. 22aa ust. 10-12 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe.".

Art.  104. 

W ustawie z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2018 r. poz. 1472) w art. 10 ust. 1 otrzymuje brzmienie:

"1. Włączenie do infrastruktury zbiorów i usług danych przestrzennych należących do osób trzecich może nastąpić na ich wniosek, za zgodą właściwego organu wiodącego lub z inicjatywy organu wiodącego za zgodą osób trzecich, jeżeli jest to zgodne z interesem publicznym, a włączane zbiory i usługi danych przestrzennych są zgodne z powszechnie obowiązującymi przepisami prawa i odpowiadają obowiązującym standardom technicznym.".

Art.  105. 

W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2019 r. poz. 681) wprowadza się następujące zmiany:

1)
w art. 2 w ust. 2 w pkt 7 kropkę zastępuje się średnikiem i dodaje się pkt 8 w brzmieniu:

"8) rozporządzeniu 2016/679- rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).";

2)
art. 3 otrzymuje brzmienie:

"Art. 3. 1. Do przetwarzania danych osobowych o dłużniku przez biuro informacji gospodarczej w związku z udostępnianiem informacji gospodarczych:

1) przepis art. 19 rozporządzenia 2016/679 stosuje się w ten sposób, że biuro informacji gospodarczej informuje o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania danych osobowych w zakresie określonym w art. 2 ust. 1 pkt 2 lit. a i c, pkt 3 lit. a. b i d oraz pkt 4 lit. b-f i h-j odbiorcę, któremu ujawniono dane osobowe, jeżeli nie upłynęło 90 dni od dnia ich otrzymania przez odbiorcę;

2) nie stosuje się przepisu art. 21 ust. 1 rozporządzenia 2016/679.

2. Realizacja uprawnienia dłużnika do żądania ograniczenia przetwarzania danych osobowych w przypadku, o którym mowa w art. 18 ust. 1 lit. a i b rozporządzenia 2016/679, następuje w trybie określonym w art. 21a ust. 1. Obowiązki biura informacji gospodarczej w zakresie ograniczenia przetwarzania danych osobowych określa art. 21a ust. 3.

3. Do przetwarzania danych osobowych przez wierzycieli w związku z przekazaniem do biura informacji gospodarczej informacji gospodarczych o dłużniku będącym osobą fizyczną nie stosuje się przepisu art. 21 ust. 1 rozporządzenia 2016/679.

4. O ograniczeniach, o których mowa w ust. 1, biuro informacji gospodarczej informuje osobę, której dane dotyczą, najpóźniej przy pierwszej czynności skierowanej do tej osoby.

5. O ograniczeniu, o którym mowa w ust. 3, wierzyciel informuje dłużnika w wezwaniu do zapłaty, o którym mowa w art. 14 ust. 1 pkt 3 albo art. 15 ust. 1 pkt 3 albo ust. 1a.

6. Administrator danych zapewnia odpowiednie środki służące ochronie interesu lub podstawowych praw i wolności osoby, której dane dotyczą.";

3)
po art. 22a dodaje się art. 22b w brzmieniu:

"Art. 22b. 1. Każdy ma prawo dostępu do dotyczących go informacji gospodarczych przechowywanych przez biuro, przekazanych zgodnie z art. 14-18.

2. Osoby fizyczne mają prawo dostępu do przechowywanych przez biuro danych osobowych ich dotyczących na zasadach określonych w rozporządzeniu 2016/679. Wysokość opłat, które biuro może pobrać zgodnie z rozporządzeniem 2016/679, określa cennik uchwalany przez zarząd biura.

3. Dostęp do danych w zakresie, o którym mowa w ust. 2, dla dłużników będących konsumentami jest bezpłatny, jeżeli następuje nie częściej niż raz na 6 miesięcy.

4. W przypadku podmiotów niebędących osobami fizycznymi, dostęp do danych, o którym mowa w ust. 1, podlega opłacie zgodnie z obowiązującym w biurze cennikiem, która nie może być wyższa niż 0,5% minimalnego wynagrodzenia za pracę ustalanego na podstawie przepisów ustawy z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (Dz. U. z 2018 r. poz. 2177).";

4)
w art. 23:
a)
uchyla się ust. 1,
b)
ust. 5 otrzymuje brzmienie:

"5. Organ administracji publicznej nie może żądać okazywania, przekazywania lub załączania do wniosku dokumentu albo wydruku, o którym mowa w ust. 2. Przepis stosuje się odpowiednio do informacji udostępnionych na podstawie art. 22b ust. 1 i 2.".

Art.  106. 

W ustawie z dnia 6 sierpnia 2010 r. o dowodach osobistych (Dz. U. z 2019 r. poz. 653) wprowadza się następujące zmiany:

1)
art. 55 otrzymuje brzmienie:

"Art. 55. 1. Rejestr Dowodów Osobistych jest rejestrem centralnym prowadzonym w systemie teleinformatycznym.

2. Utrzymanie i rozwój Rejestru Dowodów Osobistych, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym:

1) zapewnia ochronę przed nieuprawnionym dostępem do Rejestru Dowodów Osobistych;

2) zapewnia integralność danych w Rejestrze Dowodów Osobistych;

3) zapewnia dostępność systemu teleinformatycznego, w którym Rejestr Dowodów Osobistych jest prowadzony, dla podmiotów przetwarzających dane w tym rejestrze;

4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym Rejestr Dowodów Osobistych jest prowadzony;

5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określa zasady zgłaszania naruszenia ochrony danych osobowych;

7) zapewnia rozliczalność działań dokonywanych na danych Rejestru Dowodów Osobistych;

8) zapewnia poprawność danych przetwarzanych w Rejestrze Dowodów Osobistych.

3. Minister właściwy do spraw wewnętrznych na wniosek ministra właściwego do spraw informatyzacji może uczestniczyć w realizacji zadań związanych z rozwojem Rejestru Dowodów Osobistych oraz zapewnieniem poprawności danych przetwarzanych w tym rejestrze.

4. Minister właściwy do spraw wewnętrznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp organom, o których mowa w ust. 7, do Rejestru Dowodów Osobistych.

5. Minister właściwy do spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp konsulom do Rejestru Dowodów Osobistych.

6. Dane do Rejestru Dowodów Osobistych wprowadzają bezpośrednio w czasie rzeczywistym:

1) organ gminy właściwy do wydania dowodu osobistego w zakresie:

a) danych zawartych we wniosku o wydanie dowodu osobistego określonych w art. 28 pkt \-l, wraz z zeskanowaną fotografią albo plikiem zawierającym fotografię, oraz danych określonych w art. 56 ust. 1 pkt 3 lit. b, pkt 4 lit. d tiret od trzeciego do szóstego, tiret dziewiąty i jedenasty oraz lit. e,

b) daty i przyczyny pozostawienia wniosku o wydanie dowodu osobistego bez rozpoznania,

c) numeru i daty wydania decyzji administracyjnej o odmowie wydania dowodu osobistego, o której mowa w art. 32,

d) numeru i daty wydania decyzji administracyjnej o stwierdzeniu nieważności dowodu osobistego, o której mowa w art. 52;

2) minister właściwy do spraw wewnętrznych - w zakresie danych określonych w art. 56 ust. 1, z wyłączeniem danych wprowadzonych przez organ gminy.

7. W celu realizacji zadań określonych w ustawie dostęp do Rejestru Dowodów Osobistych posiadają: organ gminy, wojewoda, konsul, minister właściwy do spraw wewnętrznych oraz minister właściwy do spraw informatyzacji.

8. Minister właściwy do spraw informatyzacji wykonuje obowiązki, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).";

2)
w art. 56 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 i 3 w brzmieniu:

"2. Danych zgromadzonych w Rejestrze Dowodów Osobistych nie usuwa się.

3. W Rejestrze Dowodów Osobistych gromadzi się dane dotyczące wszystkich dowodów osobistych spersonalizowanych dla danej osoby, w tym nieważnych i spersonalizowanych wadliwie.";

3)
po art. 56 dodaje się art. 56a i art. 56b w brzmieniu:

"Art. 56a. 1. Organ gminy, przyjmując wniosek o wydanie nowego dowodu osobistego, z urzędu dokonuje sprawdzenia danych zawartych we wniosku o wydanie dowodu osobistego z danymi zawartymi w Rejestrze Dowodów Osobistych oraz w rejestrze PESEL.

2. W przypadku stwierdzenia niezgodności danych zawartych we wniosku z danymi zawartymi w rejestrach, o których mowa w ust. 1, organ, który stwierdził niezgodność danych, podejmuje działania w celu usunięcia niezgodności zgodnie z art. 11 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 i 1544 oraz z 2019 r. poz. 60 i 730).

Art. 56b. W przypadku stwierdzenia błędu lub braku danych w Rejestrze Dowodów Osobistych w odniesieniu do danych, o których mowa w art. 56 ust. 1 pkt 2-4 i 6, organy według swojej właściwości przekazują niezwłocznie informację o potrzebie ich sprostowania lub uzupełnienia do ministra właściwego do spraw informatyzacji, z wykorzystaniem systemu teleinformatycznego.";

4)
uchyla się art. 57-58;
5)
w art. 63 w ust. 1 wyrazy "art. 56 pkt 1, 3, 4, 7 i 8" zastępuje się wyrazami "art. 56 ust. 1 pkt 1, 3, 4, 7 i 8";
6)
w art. 66 uchyla się ust. 4.
Art.  107. 

W ustawie z dnia 24 września 2010 r. o ewidencji ludności (Dz. U. z 2018 r. poz. 1382 i 1544 oraz z 2019 r. poz. 60) wprowadza się następujące zmiany:

1)
art. 6 otrzymuje brzmienie:

"Art. 6. 1. Rejestr PESEL jest centralnym zbiorem danych, o których mowa w art. 8, prowadzonym w systemie teleinformatycznym.

2. Utrzymanie i rozwój rejestru PESEL, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym:

1) zapewnia ochronę przed nieuprawnionym dostępem do rejestru PESEL;

2) zapewnia integralność danych w rejestrze PESEL;

3) zapewnia dostępność systemu teleinformatycznego, w którym rejestr PESEL jest prowadzony, dla podmiotów przetwarzających dane w tym rejestrze;

4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym rejestr PESEL jest prowadzony;

5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określa zasady zgłaszania naruszenia ochrony danych osobowych;

7) zapewnia rozliczalność działań dokonywanych na danych rejestru PESEL;

8) zapewnia poprawność danych przetwarzanych w rejestrze PESEL.

3. Minister właściwy do spraw wewnętrznych na wniosek ministra właściwego do spraw informatyzacji może uczestniczyć w realizacji zadań związanych z rozwojem rejestru PESEL oraz zapewnieniem poprawności danych w tym rejestrze.

4. Minister właściwy do spraw wewnętrznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej dostęp do rejestru PESEL organom, o których mowa w ust. 7, z wyłączeniem konsulów.

5. Minister właściwy do spraw zagranicznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej konsulom dostęp do rejestru PESEL.

6. Minister właściwy do spraw informatyzacji wykonuje obowiązki, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

7. W celu realizacji zadań określonych w ustawie organ gminy, kierownik urzędu stanu cywilnego, organy paszportowe, wojewoda, minister właściwy do spraw wewnętrznych oraz minister właściwy do spraw informatyzacji posiadają dostęp do rejestru.";

2)
po art. 6 dodaje się art. 6a w brzmieniu:

"Art. 6a. 1. Rejestr mieszkańców jest prowadzony zgodnie z właściwością miejscową przez wójta (burmistrza, prezydenta miasta), zwanego dalej "organem gminy".

2. Utrzymanie i rozwój rejestru mieszkańców zapewnia organ właściwy do jego prowadzenia, który w zakresie tego rejestru podejmuje działania wskazane w art. 6 ust. 2.";

3)
w art. 10 po ust. 6 dodaje się ust. 6a w brzmieniu:

"6a. Zapisy w dziennikach systemów (logach) przechowywane są przez 5 lat od dnia ich utworzenia.";

4)
w art. 11 po ust. 2a dodaje się ust. 2b i 2c w brzmieniu:

"2b. Usunięcie niezgodności może polegać w szczególności na sprostowaniu danych nieprawidłowych lub uzupełnieniu danych.

2c. Wniosek, o którym mowa w ust. 1, zawiera imię (imiona) i nazwisko, numer PESEL, adres do korespondencji -jeżeli korespondencja ma być prowadzona drogą pocztową, oraz uzasadnienie.";

5)
po art. 12 dodaje się art. 12a w brzmieniu:

"Art. 12a. Danych i zapisów zgromadzonych w rejestrze PESEL i rejestrach mieszkańców nie usuwa się, z zastrzeżeniem art. 10 ust. 6 i 6a.";

6)
uchyla się art. 45a;
7)
w art. 47 ust. 3a otrzymuje brzmienie:

"3a. Organ, który otrzymał wniosek w formie, o której mowa w ust. 1, skierowany przez podmiot zobowiązany na podstawie art. 48 do korzystania z urządzeń teletransmisji danych, odmawia, w drodze postanowienia, wszczęcia postępowania.";

8)
w art. 48 ust. 2 otrzymuje brzmienie:

"2. Podmiotom, o których mowa w art. 46 ust. 1, które nie posiadają decyzji o wyrażeniu zgody na udostępnienie danych za pomocą urządzeń teletransmisji danych, o której mowa w art. 51 ust. 1 pkt 1, dane z rejestru PESEL albo rejestru mieszkańców udostępnia się w sposób określony w art. 47 w liczbie nieprzekraczającej trzystu danych jednostkowych w roku kalendarzowym.".

Art.  108. 

W ustawie z dnia 16 grudnia 2010 r. o publicznym transporcie zbiorowym (Dz. U. z 2018 r. poz. 2016 i 2435) po art. 6 dodaje się art. 6a w brzmieniu:

"Art. 6a. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), nie wpływa na przebieg kontroli oraz na uprawnienie właściwego organu do nałożenia kary.".

Art.  109. 

W ustawie z dnia 4 lutego 2011 r. o opiece nad dziećmi w wieku do lat 3 (Dz. U. z 2019 r. poz. 409) w art. 3a w ust. 2 wyrazy "mogą przetwarzać" zastępuje się wyrazem "przetwarzają".

Art.  110. 

W ustawie z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219 oraz z 2019 r. poz. 492) wprowadza się następujące zmiany:

1)
w art. 23 ust. 2 otrzymuje brzmienie:

"2. Przepisu ust. 1 nie stosuje się do praktyk zawodowych, o których mowa w art. 18 ust. 4 i 6, art. 19 ust. 4 i 6 oraz art. 19a ust. 3, jeżeli w ramach tych praktyk nie prowadzi się obserwacji pomieszczeń, o której mowa w art. 23a ust. L";

2)
po art. 23 dodaje się art. 23a w brzmieniu:

"Art. 23a. 1. Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:

1) ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,

2) w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych

– za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).

2. Nagrania obrazu uzyskane w wyniku monitoringu, o którym mowa w ust. 1 pkt 1, zawierające dane osobowe, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania.

3. Po upływie okresu, o którym mowa w ust. 2, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.";

3)
w art. 24 ust. 2 otrzymuje brzmienie:

"2. Aktualne informacje, o których mowa w ust. 1 pkt 4, 9, 11 i 12 oraz art. 23a ust. 1, podaje się do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia.".

Art.  111. 

W ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2019 r. poz. 408) wprowadza się następujące zmiany:

1)
w art. 2 pkt 1 otrzymuje brzmienie:

"1) administrator danych - administratora, o którym mowa w art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.);";

2)
w art. 9a w ust. 2 skreśla się zdanie drugie;
3)
w art. 19:
a)
uchyla się ust. 5,
b)
ust. 7 otrzymuje brzmienie:

"7. Dane zawarte w rejestrach medycznych, o których mowa w ust. 1, mogą być udostępniane w celu prowadzenia badań naukowych i do celów statystycznych w formie uniemożliwiającej ich powiązanie z konkretną osobą fizyczną.",

c)
uchyla się ust. 9,
d)
w ust. 15 skreśla się zdanie drugie.
Art.  112. 

W ustawie z dnia 12 maja 2011 r. o Krajowej Radzie Sądownictwa (Dz. U. z 2019 r. poz. 84 i 609) wprowadza się następujące zmiany:

1)
w art. 3 w ust. 2 w pkt 8 kropkę zastępuje się średnikiem i dodaje się pkt 10 w brzmieniu:

"10) sprawuje nadzór nad przetwarzaniem danych osobowych przez Trybunał Konstytucyjny, Trybunał Stanu, Sąd Najwyższy, Naczelny Sąd Administracyjny oraz sądy apelacyjne, w ramach prowadzonych przez nie postępowań.";

2)
w art. 20 ust. 1 otrzymuje brzmienie:

"1. Rada obraduje na posiedzeniach plenarnych. Obrady są transmitowane za pośrednictwem Internetu, chyba że Rada podejmie uchwałę o wyłączeniu jawności posiedzenia. Rada wyłącza jawność posiedzenia w całości lub części, jeżeli jawność mogłaby prowadzić do ujawnienia informacji podlegających ochronie na zasadach określonych w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412, 650, 1000, 1083 i 1669 oraz z 2019 r. poz. 125) lub naruszyć ważny interes prywatny przez ujawnienie danych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).".

Art.  113. 

W ustawie z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2018 r. poz. 993 i 1075) w art. 10 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:

"2. Jeżeli kredytodawca odmówi konsumentowi udzielenia kredytu konsumenckiego przepisy art. 70a ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe stosuje się odpowiednio.".

Art.  114. 

W ustawie z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (Dz. U. z 2018 r. poz. 998, 1076, 1544 i 2245) wprowadza się następujące zmiany:

1)
w art. 7:
a)
w ust. 1 wyrazy "mogą przetwarzać" zastępuje się wyrazem

"przetwarzają",

b)
uchyla się ust. 2,
c)
dodaje się ust. 4 w brzmieniu:

"4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.";

2)
w art. 161 dodaje się ust. 5 w brzmieniu:

"5. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.".

Art.  115. 

W ustawie z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. poz. 1092) w art. 55 w ust. 2 po wyrazach "Kontroler udostępnia akta kontroli po anonimizacji" dodaje się wyrazy

"lub pseudonimizacji".

Art.  116. 

W ustawie z dnia 18 sierpnia 2011 r. o bezpieczeństwie osób przebywających na obszarach wodnych (Dz. U. z 2018 r. poz. 1482) wprowadza się następujące zmiany:

1)
w art. 12 w ust. 3 pkt 3 otrzymuje brzmienie:

"3) wykaz ratowników wodnych wraz z dokumentami potwierdzającymi spełnianie przez nich warunków określonych w art. 2 pkt 5;";

2)
w art. 14 dodaje się ust. 6 w brzmieniu:

"6. Dane osobowe, o których mowa w ust. 3, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.";

3)
w art. 25 w ust. 2 w pkt 6 kropkę zastępuje się średnikiem i dodaje się pkt 7 w brzmieniu:

"7) przetwarzania danych osobowych, w tym danych dotyczących stanu zdrowia, osób, którym udzielono pomocy w ramach działań ratowniczych.".

Art.  117. 

W ustawie z dnia 18 sierpnia 2011 r. o bezpieczeństwie i ratownictwie w górach i na zorganizowanych terenach narciarskich (Dz. U. poz. 1241, z 2013 r. poz. 7 oraz z 2018 r. poz. 1115) wprowadza się następujące zmiany:

1)
w art. 5 w ust. 3 pkt 3 otrzymuje brzmienie:

"3) wykaz ratowników górskich wraz z dokumentami potwierdzającymi spełnianie przez nich warunków określonych w art. 2 pkt 9;";

2)
w art. 7 dodaje się ust. 6 w brzmieniu:

"6. Dane osobowe, o których mowa w ust. 3, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.";

3)
w art. 40 w ust. 2 w pkt 6 kropkę zastępuje się średnikiem i dodaje się pkt 7 w brzmieniu:

"7) przetwarzania danych osobowych, w tym danych dotyczących stanu zdrowia, osób, którym udzielono pomocy w ramach działań ratowniczych.".

Art.  118. 

W ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2019 r. poz. 659) wprowadza się następujące zmiany:

1)
art. 10 otrzymuje brzmienie:

"Art. 10. Dostawcy, organizacje płatnicze i podmioty prowadzące systemy płatności przetwarzają dane osobowe w zakresie niezbędnym do zapobiegania oszustwom związanym z wykonywanymi usługami płatniczymi, prowadzeniem schematu płatniczego lub prowadzeniem systemu płatności oraz dochodzenia i wykrywania tego rodzaju oszustw przez właściwe organy.";

2)
po art. 10 dodaje się art. 10a w brzmieniu:

"Art. 10a. Dostawcy, organizacje płatnicze i podmioty prowadzące systemy płatności będący administratorami danych nie są obowiązani do wykonywania obowiązków, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom.".

Art.  119. 

W ustawie z dnia 19 sierpnia 2011 r. o weteranach działań poza granicami państwa (Dz. U. z 2018 r. poz. 937 i 2018) po art. 38 dodaje się art. 38a w brzmieniu:

"Art. 38a. 1. Minister Obrony Narodowej prowadzi bazę weteranów i weteranów poszkodowanych oraz przetwarza dane, o których mowa w ust. 2, w celu realizacji uprawnień tych osób, wynikających z ustawy.

2. W bazie, o której mowa w ust. 1, gromadzone są dane weteranów i weteranów poszkodowanych obejmujące:

1) imię (imiona) i nazwisko;

2) numer PESEL;

3) datę i miejsce urodzenia;

4) adres miejsca zamieszkania lub adres do korespondencji;

5) numer telefonu kontaktowego;

6) informacje o udziale w działaniach poza granicami państwa, w tym: nazwę i rodzaj misji pokojowej lub stabilizacyjnej, jej miejsce i okres przebywania na tej misji oraz nazwę zajmowanego stanowiska służbowego lub pełnionej funkcji;

7) wysokość uszczerbku na zdrowiu, organ wydający orzeczenie oraz numer i datę wydania orzeczenia;

8) numer i datę protokołu powypadkowego i organ sporządzający protokół;

9) numer i datę wydania decyzji o przyznaniu świadczeń odszkodowawczych oraz organ wydający decyzję;

10) numer i datę wydania decyzji o przyznaniu statusu weterana lub weterana poszkodowanego;

11) datę potwierdzenia doręczenia decyzji o przyznaniu statusu weterana lub weterana poszkodowanego;

12) numer i datę wydania decyzji pozbawiającej statusu weterana lub weterana poszkodowanego;

13) wysokość dodatku weterana poszkodowanego, nazwę organu wypłacającego i termin rozpoczęcia wypłaty;

14) serię i numer legitymacji weterana lub weterana poszkodowanego oraz datę jej wydania;

15) datę potwierdzenia odbioru legitymacji weterana lub weterana poszkodowanego;

16) numer i datę wydania decyzji przyznającej weteranowi poszkodowanemu pomoc na naukę, wysokość przyznanej pomocy i datę jej wypłaty;

17) nazwę organu wypłacającego pomoc finansową na naukę;

18) numer i datę wydania decyzji wstrzymującej wypłatę pomocy finansowej na naukę;

19) numer i datę wydania decyzji o przyznaniu zapomogi weteranowi lub weteranowi poszkodowanemu, datę wypłaty zapomogi, jej wysokość i nazwę organu wypłacającego;

20) wysokość zwrotu kosztów udziału w uroczystościach oraz nazwę podmiotu zapraszającego do udziału w uroczystości.

3. Dane, o których mowa w ust. 2 pkt 3-5, są gromadzone na podstawie informacji zawartej we wniosku o przyznanie statusu weterana lub weterana poszkodowanego.

4. Dane, o których mowa w ust. 2, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu, polegającym co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych.".

Art.  120. 

W ustawie z dnia 19 sierpnia 2011 r. o przewozie towarów niebezpiecznych (Dz. U. z 2019 r. poz. 382 i 534) po art. 14 dodaje się art. 14a w brzmieniu:

"Art. 14a. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), nie wpływa na przebieg kontroli, o której mowa w art. 99 ust. 1.".

Art.  121. 

W ustawie z dnia 28 czerwca 2012 r. o spłacie niektórych niezaspokojonych należności przedsiębiorców, wynikających z realizacji udzielonych zamówień publicznych (Dz. U. z 2019 r. poz. 580) po art. 12 dodaje się art. 12a w brzmieniu:

"Art. 12a. 1. Generalny Dyrektor, realizując zadania określone w ustawie, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przy pierwszej czynności skierowanej do wykonawcy lub przedsiębiorcy, chyba że posiadają oni te informacje, a ich zakres lub treść nie uległy zmianie.

2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nie wpływa na prawa i obowiązki Generalnego Dyrektora wynikające z ustawy, w tym na dokonywanie weryfikacji, o której mowa w art. 5 ust. 3, wypłatę kwot, o których mowa w art. 7 ust. 1, oraz prawo do roszczeń, o których mowa w art. 11 ust. 1 i 2.".

Art.  122. 

W ustawie z dnia 31 sierpnia 2012 r. o Państwowej Komisji Badania Wypadków Morskich (Dz. U. z 2018 r. poz. 925 i 1669) po art. 34 dodaje się art. 34a w brzmieniu:

"Art. 34a. Komisja wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przy pierwszej czynności skierowanej do osoby, której dane dotyczą, chyba że posiada ona te informacje, a ich zakres lub treść nie uległy zmianie.".

Art.  123. 

W ustawie z dnia 14 grudnia 2012 r. o odpadach (Dz. U. z 2019 r. poz. 701) wprowadza się następujące zmiany:

1)
w art. 80 po ust. 1 dodaje się ust. 1a-1c w brzmieniu:

"1a. Marszałek województwa w celu realizacji zadań związanych z prowadzeniem BDO przetwarza dane osobowe i jest administratorem tych danych.

1b. Dane osobowe, o których mowa w ust. 1a, przechowuje się:

1) w przypadku ewidencji odpadów - przez okres 5 lat od końca roku kalendarzowego, w którym zostały sporządzone dokumenty ewidencji odpadów;

2) w przypadku pozostałych danych - przez okres 100 lat od końca roku kalendarzowego, w którym zostały sporządzone dokumenty zawierające te dane.

1c. Dane osobowe, o których mowa w ust. 1a, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.";

2)
w art. 81 po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Administratorem danych osobowych przetwarzanych w systemie BDO jest minister właściwy do spraw środowiska.".

Art.  124. 

W ustawie z dnia 11 października 2013 r. o wzajemnej pomocy przy dochodzeniu podatków, należności celnych i innych należności pieniężnych (Dz. U. z 2018 r. poz. 425) po art. 11 dodaje się art. 11a w brzmieniu:

"Art. 11a. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności;

3) testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez pozyskiwanie danych osobowych i przekazywanie ich podmiotom zewnętrznym z wykorzystaniem technik kryptograficznych;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów;

6) zapewnieniu integralności danych w systemach informatycznych organów;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".

Art.  125. 

W ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (Dz. U. z 2018 r. poz. 867 i 1115) wprowadza się następujące zmiany:

1)
w art. 8 w ust. 1 pkt 2 otrzymuje brzmienie:

"2) wprowadzanie do systemu teleinformatycznego, o którym mowa w art. 10, i ewidencjonowanie w tym systemie danych dotyczących treści zgłoszeń alarmowych, w tym nagrań rozmów telefonicznych obejmujących całość zgłoszenia alarmowego, danych osób zgłaszających i innych osób wskazanych w trakcie przyjmowania zgłoszenia, pozycji geograficznych, informacji o miejscu zdarzenia i jego rodzaju oraz skróconego opisu zdarzenia;";

2)
art. 10 otrzymuje brzmienie:

"Art. 10. 1. Wykonywanie zadań centrum jest wspomagane przez system teleinformatyczny.

2. Dane, o których mowa w art. 8 ust. 1 pkt 2, są przechowywane w systemie teleinformatycznym przez 3 lata.

3. Utrzymanie i rozwój systemu teleinformatycznego zapewnia minister właściwy do spraw administracji publicznej.

4. Minister właściwy do spraw administracji publicznej może powierzyć, w drodze porozumienia, ministrowi właściwemu do spraw finansów publicznych wykonywanie czynności w zakresie zapewnienia utrzymania powierzchni serwerowej. W takim przypadku realizacja zadania jest finansowana z budżetu państwa, z części, której dysponentem jest minister właściwy do spraw finansów publicznych.

5. Minister właściwy do spraw administracji publicznej, wojewoda lub podmiot, o którym mowa w art. 7 ust. 2, są współadministratorami danych przetwarzanych w systemie teleinformatycznym uzyskanych w związku z obsługą zgłoszeń alarmowych.

6. Dane osobowe przetwarzane w systemie teleinformatycznym podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez współadministratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

7. Minister właściwy do spraw administracji publicznej:

1) wydaje upoważnienia do przetwarzania danych osobowych w systemie teleinformatycznym dla pracowników urzędu obsługującego ministra właściwego do spraw administracji publicznej, realizujących zadania z zakresu systemu powiadamiania ratunkowego;

2) określa zakres przetwarzania danych.

8. Wojewoda lub podmiot, o którym mowa w art. 7 ust. 2:

1) wydają upoważnienia do przetwarzania danych osobowych w systemie teleinformatycznym dla podległych pracowników, realizujących zadania z zakresu powiadamiania ratunkowego;

2) określają zakres przetwarzania danych.

9. Minister właściwy do spraw administracji publicznej, wojewoda lub podmiot, o którym mowa w art. 7 ust. 2:

1) zapewniają ochronę przed nieuprawnionym dostępem do systemu teleinformatycznego;

2) zapewniają integralność danych w systemie teleinformatycznym;

3) zapewniają dostępność systemu teleinformatycznego dla podmiotów przetwarzających dane w tym systemie;

4) przeciwdziałaj ą uszkodzeniom systemu teleinformatycznego;

5) określają zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określają zasady zgłaszania naruszenia ochrony danych osobowych;

7) zapewniają rozliczalność działań dokonywanych na danych w systemie teleinformatycznym;

8) zapewniają poprawność danych przetwarzanych w systemie teleinformatycznym.

10. Minister właściwy do spraw administracji publicznej zapewnia:

1) zachowanie ciągłości funkcjonowania systemu teleinformatycznego;

2) rozwiązania techniczne przeznaczone do szkolenia operatorów numerów alarmowych.

11. Minister właściwy do spraw administracji publicznej usuwa dane dotyczące treści zgłoszeń alarmowych przetwarzane w systemie teleinformatycznym po upływie terminu, o którym mowa w ust. 2.

12. Minister właściwy do spraw administracji publicznej, wojewoda lub podmiot, o którym mowa w art. 7 ust. 2, przetwarza dane w systemie teleinformatycznym uzyskane w związku z wykonywaniem zadań centrum, o których mowa w art. 8, w tym dane, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", podane przez zgłaszającego.

13. W związku z przetwarzaniem danych osobowych w systemie teleinformatycznym wykonanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, następuje przez udostępnienie informacji w Biuletynie Informacji Publicznej na stronie podmiotowej ministra właściwego do spraw administracji publicznej, wojewody lub podmiotu, o którym mowa w art. 7 ust. 2, na ich stronach internetowych oraz w widocznym miejscu w ich siedzibie.

14. Wojewoda lub podmiot, o którym mowa w art. 7 ust. 2, udostępnia dane przetwarzane w systemie teleinformatycznym, o których mowa w art. 8 ust. 1 pkt 2, na wniosek sądu, prokuratury lub Policji.

15. Osoba występująca z żądaniem na podstawie art. 15 rozporządzenia 2016/679 jest obowiązana do podania informacji o okolicznościach zdarzenia, którego to żądanie dotyczy, w tym daty i miejsca zdarzenia oraz numeru telefonu, z którego zostało wykonane połączenie dotyczące powiadomienia o zdarzeniu.";

3)
uchyla się art. 10a i art. 11.
Art.  126. 

W ustawie z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2019 r. poz. 134) po art. 4 dodaje się art. 4a w brzmieniu:

"Art. 4a. 1. Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UEL 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.

2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679.

3. Przepisu ust. 1 nie stosuje się do administratora danych, który:

1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub

2) udostępnia dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, innym administratorom, z wyjątkiem przypadku gdy:

a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo

b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.".

Art.  127. 

W ustawie z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (Dz. U. z 2018 r. poz. 1431 i 1544 oraz z 2019 r. poz. 60) w art. 71 ust. 1 otrzymuje brzmienie:

"1. Minister właściwy do spraw rozwoju regionalnego jest administratorem danych osobowych gromadzonych w centralnym systemie teleinformatycznym.".

Art.  128. 

W ustawie z dnia 29 sierpnia 2014 r. o charakterystyce energetycznej budynków (Dz. U. z 2018 r. poz. 1984) po art. 38 dodaje się art. 38a i art. 38b w brzmieniu:

"Art. 38a. 1. W przypadku przetwarzania danych osobowych przez ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa w celu realizacji zadań określonych w ustawie prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), przysługuje w zakresie, w jakim nie wpływa na ochronę praw i wolności osoby, od której dane pozyskano.

2. Minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa informuje o ograniczeniu, o którym mowa w ust. 1, przy pierwszej czynności skierowanej do osoby, której dane dotyczą.

3. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730), minister właściwy do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa przechowuje dane przez okres ustalony zgodnie z przepisami wydanymi na podstawie art. 6 ust. 2 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

4. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

Art. 38b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), przez osobę, której dane są przetwarzane w związku z realizacją przez ministra właściwego do spraw budownictwa, planowania i zagospodarowania przestrzennego oraz mieszkalnictwa zadań w zakresie:

1) prowadzenia postępowań kontrolnych,

2) prowadzenia centralnego rejestru charakterystyki energetycznej budynków,

3) wpisywania i aktualizacji danych osób uprawnionych do sporządzania świadectw charakterystyki energetycznej oraz osób uprawnionych do kontroli systemu ogrzewania lub systemu klimatyzacji, spełniających wymagania, o których mowa odpowiednio w art. 17, art. 22, art. 24, art. 27 oraz art. 34, do wykazów osób uprawnionych,

4) weryfikacji świadectw charakterystyki energetycznej oraz protokołów z kontroli systemu ogrzewania lub systemu klimatyzacji, o których mowa w art. 36

– nie wpływa na realizację zadań w tym zakresie.".

Art.  129. 

W ustawie z dnia 28 listopada 2014 r. - Prawo o aktach stanu cywilnego (Dz. U. z 2018 r. poz. 2224) wprowadza się następujące zmiany:

1)
art. 5 otrzymuje brzmienie:

"Art. 5. 1. Rejestr stanu cywilnego jest prowadzony w systemie teleinformatycznym.

2. Utrzymanie i rozwój rejestru stanu cywilnego, w celu realizacji zadań określonych w ustawie, zapewnia minister właściwy do spraw informatyzacji, w tym:

1) zapewnia ochronę przed nieuprawnionym dostępem do rejestru stanu cywilnego;

2) zapewnia integralność danych w rejestrze stanu cywilnego;

3) zapewnia dostępność systemu teleinformatycznego, w którym rejestr stanu cywilnego jest prowadzony, dla podmiotów przetwarzających dane w tym rejestrze;

4) przeciwdziała uszkodzeniom systemu teleinformatycznego, w którym rejestr stanu cywilnego jest prowadzony;

5) określa zasady bezpieczeństwa przetwarzanych danych, w tym danych osobowych;

6) określa zasady zgłoszenia naruszenia ochrony danych osobowych;

7) zapewnia rozliczalność działań dokonywanych na danych w rejestrze stanu cywilnego;

8) zapewnia poprawność danych przetwarzanych w rejestrze stanu cywilnego.

3. Minister właściwy do spraw wewnętrznych na wniosek ministra właściwego do spraw informatyzacji może uczestniczyć w realizacji zadań związanych z rozwojem rejestru stanu cywilnego oraz zapewnieniem poprawności danych przetwarzanych w tym rejestrze.

4. Minister właściwy do spraw wewnętrznych zapewnia funkcjonowanie wydzielonej sieci umożliwiającej łączność elektroniczną pozwalającą na dostęp organom, o których mowa w ust. 6, do rejestru stanu cywilnego.

5. Wpisu w rejestrze stanu cywilnego dokonuje kierownik urzędu stanu cywilnego lub zastępca kierownika urzędu stanu cywilnego.

6. W celu realizacji zadań określonych w ustawie kierownik urzędu stanu cywilnego, zastępca kierownika urzędu stanu cywilnego, wojewoda, minister właściwy do spraw wewnętrznych oraz minister właściwy do spraw informatyzacji posiadają dostęp do rejestru stanu cywilnego.

7. Minister właściwy do spraw informatyzacji wykonuje obowiązki, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).";

2)
w art. 28:
a)
ust. 3 i 4 otrzymują brzmienie:

"3. Jeżeli osoba, której dotyczy akt urodzenia lub akt małżeństwa, żyje dłużej niż okres przechowywania tego aktu przez kierownika urzędu stanu cywilnego, akt jest przechowywany do czasu sporządzenia dla tej osoby aktu zgonu lub zarejestrowania informacji o zgonie tej osoby.

4. Po upływie okresów, o których mowa w ust. 1 i 3, akty stanu cywilnego oraz akta zbiorowe rejestracji stanu cywilnego kierownik urzędu stanu cywilnego przekazuje w ciągu 2 lat do właściwego archiwum państwowego.",

b)
dodaje się ust. 5 w brzmieniu:

"5. Po upływie okresów, o których mowa w ust. 1 i 3, a przed przekazaniem akt zbiorowych rejestracji stanu cywilnego do właściwego archiwum państwowego, ich udostępnianie następuje zgodnie z art. 26 ust. 4.";

3)
art. 51 otrzymuje brzmienie:

"Art. 51. Dokumenty z rejestru stanu cywilnego wydaje się przez okresy przechowywania aktów, o których mowa w art. 28 ust. 1 i 3, a także po upływie tych okresów, a przed przekazaniem aktów stanu cywilnego do właściwego archiwum państwowego.";

4)
w art. 124 w ust. 8 dodaje się zdanie drugie i trzecie w brzmieniu:

"Po przeniesieniu aktu stanu cywilnego do rejestru stanu cywilnego dane wykorzystane do przeniesienia aktu ulegają trwałemu usunięciu z systemu komputerowego. Do czasu przeniesienia aktu stanu cywilnego do rejestru stanu cywilnego kierownik urzędu stanu cywilnego jest administratorem danych zgromadzonych w systemie komputerowym.";

5)
w art. 128 po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:

"1a. Jeżeli dla osoby, dla której sporządzono akt urodzenia lub akt małżeństwa w księdze stanu cywilnego prowadzonej przed dniem wejścia w życie niniejszej ustawy, nie sporządzono aktu zgonu lub nie zarejestrowano informacji o zgonie, księgę urodzeń i księgę małżeństw, mimo upływu okresów, o których mowa w ust. 1, przechowuje się do czasu sporządzenia dla osoby, której akt dotyczy, aktu zgonu lub zarejestrowania informacji o zgonie tej osoby.

1b) Weryfikacji sporządzenia dla osoby aktu zgonu lub zarejestrowania informacji o zgonie tej osoby dokonuje się w rejestrze stanu cywilnego lub rejestrze PESEL. W przypadku stwierdzenia, że dla osoby nie sporządzono aktu zgonu i nie zarejestrowano informacji o zgonie oraz stwierdzenia, że osoba nie ma nadanego numeru PESEL, kierownik urzędu stanu cywilnego jest uprawniony do przekazania ksiąg do właściwego archiwum państwowego, po upływie okresów, o których mowa w ust. L";

6)
w art. 129 uchyla się ust. 5;
7)
w art. 130 ust. 3 i 4 otrzymują brzmienie:

"3. Z ksiąg stanu cywilnego prowadzonych przed dniem wejścia w życie niniejszej ustawy, po upływie okresów, o których mowa w art. 128 ust. 1 i 1a, odpisów nie wydaje się.

4. Akty stanu cywilnego sporządzone w księgach stanu cywilnego prowadzonych przed dniem wejścia w życie niniejszej ustawy, po upływie okresów, o których mowa w art. 128 ust. 1 i 1a, nie podlegają przeniesieniu do rejestru stanu cywilnego. Udostępnianie ich oraz akt zbiorowych rejestracji stanu cywilnego lub skorowidzów alfabetycznych przez kierownika urzędu stanu cywilnego przed przekazaniem księgi stanu cywilnego do właściwego archiwum państwowego odbywa się na zasadach określonych w ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730).";

8)
po art. 130 dodaje się art. 130a w brzmieniu:

"Art. 130a. 1. Dokumenty, o których mowa w art. 44 ust. 1, z aktów sporządzonych w księgach stanu cywilnego prowadzonych przed dniem wejścia w życie niniejszej ustawy i przekazanych do archiwum państwowego przed upływem okresów, o których mowa w art. 128 ust. 1 i 1a, wydaje się po przeniesieniu aktu do rejestru stanu cywilnego przez kierownika urzędu stanu cywilnego, który akt sporządził lub przechowywał i przekazał do archiwum.

2. Kierownik urzędu stanu cywilnego dokonuje przeniesienia aktu, o którym mowa w ust. 1, na podstawie uwierzytelnionej przez archiwum kopii aktu i wpisuje w akcie stanu cywilnego sporządzonym w księdze przechowywanej w archiwum państwowym wzmiankę dodatkową o jego przeniesieniu do rejestru stanu cywilnego i zakazie udostępniania aktu na zasadach określonych w ustawie z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach przez właściwe archiwum państwowe. Wzmianka o zakazie udostępnienia aktu jest unieważniana przez kierownika urzędu stanu cywilnego, który wzmiankę sporządził po przekazaniu przeniesionego aktu do właściwego archiwum państwowego, zgodnie z art. 131.";

9)
art. 131 otrzymuje brzmienie:

"Art. 131. 1. Akty stanu cywilnego przeniesione do rejestru stanu cywilnego z ksiąg aktów stanu cywilnego prowadzonych na podstawie przepisów dotychczasowych, dla których minęły okresy przechowywania określone w art. 128 ust. 1, przekazuje się z rejestru stanu cywilnego do właściwego archiwum państwowego w ciągu 10 lat od dnia przeniesienia, zgodnie z przepisami wydanymi na podstawie art. 5 ust. 2c ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach.

2. Jeżeli osoba, której dotyczy akt urodzenia lub akt małżeństwa żyje dłużej niż okres, o którym mowa w ust. 1, akt jest przechowywany w rejestrze stanu cywilnego do czasu sporządzenia dla tej osoby aktu zgonu lub zarejestrowania informacji o zgonie tej osoby.

3. Do weryfikacji sporządzenia dla osoby aktu zgonu lub zarejestrowania informacji o zgonie tej osoby stosuje się odpowiednio przepis art. 128 ust. 1b.".

Art.  130. 

W ustawie z dnia 28 listopada 2014 r. o komisjach lekarskich podległych ministrowi właściwemu do spraw wewnętrznych (Dz. U. z 2019 r. poz. 345) po art. 4 dodaje się art. 4a w brzmieniu:

"Art. 4a. 1. Organy administracji publicznej w rozumieniu ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego, pracodawcy oraz organy emerytalne i rentowe są obowiązane udzielać komisjom lekarskim pomocy i informacji, w tym udostępniać dane osobowe, w związku z orzecznictwem lekarskim oraz wydawać bezpłatnie, na ich żądanie, wszelkie dokumenty, w tym zaświadczenia, niezbędne do wydania orzeczenia lekarskiego.

2. Komisje lekarskie są uprawnione do bezpłatnego pozyskiwania drogą elektroniczną informacji niezbędnych do wydania orzeczenia od organów emerytalnych lub rentowych oraz z rejestrów publicznych, w szczególności z:

1) rejestru PESEL,

2) Systemu Informacji Medycznej i innych rejestrów, o których mowa w przepisach o systemie informacji w ochronie zdrowia,

3) Centralnego Wykazu Ubezpieczonych

– w celu potwierdzenia aktualności posiadanych danych, pozyskania danych kontaktowych lub umożliwienia wydania orzeczenia.

3. W przypadku awarii systemów teleinformatycznych służących do pozyskiwania informacji drogą elektroniczną zgodnie z ust. 2 komisje lekarskie uzyskują te informacje w drodze pisemnej wymiany informacji.".

Art.  131. 

W ustawie z dnia 5 grudnia 2014 r. o Karcie Dużej Rodziny (Dz. U. z 2017 r. poz. 1832, z późn. zm.) w art. 21:

1)
w ust. 1 we wprowadzeniu do wyliczenia wyrazy "mogą przetwarzać" zastępuje się wyrazem "przetwarzają";
2)
w ust. 1a we wprowadzeniu do wyliczenia wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
3)
w ust. 4 wyrazy "mogą być przetwarzane" zastępuje się wyrazami "są przetwarzane";
4)
dodaje się ust. 6 i 7 w brzmieniu:

"6. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym obowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

7. Osoby przetwarzające dane osobowe, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.".

Art.  132. 

W ustawie z dnia 19 grudnia 2014 r. o rybołówstwie morskim (Dz. U. z 2019 r. poz. 586 i 642) po art. 114 dodaje się art. 114a w brzmieniu:

"Art. 114a. 1. W przypadku niecierpiącym zwłoki Główny Inspektor Rybołówstwa Morskiego, realizując zadania, o których mowa w art. 107 ust. 1 pkt 1, wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", poprzez udostępnienie informacji, o których mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w siedzibie urzędu w widocznym miejscu.

2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wstrzymuje ani nie ogranicza wykonywania przez Głównego Inspektora Rybołówstwa Morskiego zadań, o których mowa w art. 107 ust. 1 pkt 1.".

Art.  133. 

W ustawie z dnia 20 lutego 2015 r. o odnawialnych źródłach energii (Dz. U. z 2018 r. poz. 2389 i 2245 oraz z 2019 r. poz. 42 i 60) w art. 159 uchyla się ust. 1.

Art.  134. 

W ustawie z dnia 20 marca 2015 r. o działaczach opozycji antykomunistycznej oraz osobach represjonowanych z powodów politycznych (Dz. U. z 2018 r. poz. 690) wprowadza się następujące zmiany:

1)
w art. 5 po ust. 2 dodaje się ust. 2a i 2b w brzmieniu:

"2a. Wniosek składany przez działacza opozycji antykomunistycznej lub osobę represjonowaną z powodów politycznych zawiera imię lub imiona oraz nazwisko wnioskodawcy, datę i miejsce urodzenia, imiona rodziców, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny, numer telefonu lub adres poczty elektronicznej.

2b. Wniosek składany przez członka rodziny zmarłego działacza opozycji antykomunistycznej lub osoby represjonowanej z powodów politycznych, oprócz danych, o których mowa w ust. 2a, zawiera datę zgonu działacza opozycji antykomunistycznej lub osoby represjonowanej z powodów politycznych, imię lub imiona wnioskodawcy, nazwisko rodowe, datę i miejsce jego urodzenia, imiona rodziców, numer PESEL, o ile był nadany, oraz stopień pokrewieństwa lub powinowactwa łączący wnioskodawcę z działaczem opozycji antykomunistycznej lub osobą represjonowaną z powodów politycznych.";

2)
w art. 8 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2-4 w brzmieniu:

"2. Wniosek o świadczenie pieniężne zawiera imię i nazwisko wnioskodawcy, datę urodzenia, numer PESEL, adres miejsca zamieszkania lub adres korespondencyjny, numer telefonu lub adres poczty elektronicznej oraz nazwę banku i numer rachunku bankowego, na który ma być przekazane świadczenie pieniężne, jeżeli wnioskodawca wybiera taką formę wypłaty.

3. Wniosek o przyznanie pomocy pieniężnej zawiera dane, o których mowa w ust. 2, a także imiona, nazwiska, stopień pokrewieństwa oraz dochód netto osób, z którymi wnioskodawca prowadzi wspólne gospodarstwo domowe.

4. Do wniosku o przyznanie pomocy pieniężnej należy dołączyć kopie dokumentów, które będą stanowić podstawę ustalenia stanu zdrowia, sytuacji rodzinnej i materialnej osoby występującej o przyznanie pomocy pieniężnej lub osób prowadzących wspólne gospodarstwo domowe z wnioskodawcą, w szczególności:

1) orzeczenie o inwalidztwie, o niezdolności do pracy lub o stopniu niepełnosprawności;

2) dokument potwierdzający wysokość dochodu netto, w szczególności aktualną decyzję o waloryzacji renty lub emerytury, zaświadczenie pracodawcy o wysokości wynagrodzenia za pracę;

3) nakaz płatniczy podatku rolnego oraz zaświadczenie z urzędu gminy o wielkości gospodarstwa rolnego w hektarach przeliczeniowych;

4) zaświadczenie o kontynuowaniu przez dziecko wnioskodawcy nauki w gimnazjum, szkole ponadgimnazjalnej, szkole ponadpodstawowej lub szkole wyższej;

5) decyzję o uznaniu lub odmowie uznania danej osoby za bezrobotną oraz utracie statusu bezrobotnego, przyznaniu, odmowie przyznania, wstrzymaniu lub wznowieniu wypłaty oraz utracie lub pozbawieniu prawa do zasiłku, stypendium i innych finansowanych z Funduszu Pracy świadczeń niewynikających z zawartych umów albo oświadczenie o pozostawaniu w ewidencji bezrobotnych lub poszukujących pracy.";

3)
w art. 10:
a)
ust. 1 otrzymuje brzmienie:

"1. Pomoc pieniężna może być przyznana osobom uprawnionym znajdującym się w trudnej sytuacji materialnej, zdrowotnej lub w związku z zaistnieniem zdarzeń losowych.",

b)
w ust. 5 w pkt 1 lit. a otrzymuje brzmienie:

"a) w przypadku trudnej sytuacji materialnej, zdrowotnej lub zaistnienia zdarzeń losowych - do wysokości 150% najniższej emerytury,".

Art.  135. 

W ustawie z dnia 12 czerwca 2015 r. o systemie handlu uprawnieniami do emisji gazów cieplarnianych (Dz. U. z 2018 r. poz. 1201 i 2538) w art. 7 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:

"2. Dane osobowe przetwarzane w związku z administrowaniem systemem podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.".

Art.  136. 

W ustawie z dnia 25 czerwca 2015 r. o leczeniu niepłodności (Dz. U. z 2017 r. poz. 865) wprowadza się następujące zmiany:

1)
w art. 37 uchyla się ust. 8;
2)
w art. 47 uchyla się ust. 3.
Art.  137. 

W ustawie z dnia 10 lipca 2015 r. o wspieraniu zrównoważonego rozwoju sektora rybackiego z udziałem Europejskiego Funduszu Morskiego i Rybackiego (Dz. U. z 2017 r. poz. 1267) w art. 25 po ust. 1 dodaje się ust. 1a w brzmieniu:

"1a. Agencja jest administratorem danych zgromadzonych w systemie elektronicznej rejestracji i przechowywania danych, o którym mowa w art. 125 ust. 2 lit. d rozporządzenia nr 1303/2013.".

Art.  138. 

W ustawie z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2019 r. poz. 381) wprowadza się następujące zmiany:

1)
w art. 3 w ust. 1 po pkt 33 dodaje się pkt 33a w brzmieniu:

"33a) profilowanie - profilowanie osób fizycznych w rozumieniu art. 4 pkt 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679";";

2)
w art. 35 ust. 7 otrzymuje brzmienie:

"7. Obowiązek, o którym mowa w ust. 1, ma zastosowanie do Polskiej Izby Ubezpieczeń, Ubezpieczeniowego Funduszu Gwarancyjnego i Polskiego Biura Ubezpieczycieli Komunikacyjnych oraz osób w nich zatrudnionych w zakresie wykonywania ustawowych zadań.";

3)
po art. 35 dodaje się art. 35a i art. 35b w brzmieniu:

"Art. 35a. Zakład ubezpieczeń może przetwarzać dane osobowe, w tym dane osobowe objęte obowiązkiem zachowania tajemnicy, o którym mowa w art. 35 ust. 1, w przypadku uzasadnionego podejrzenia popełnienia przestępstwa na szkodę zakładu ubezpieczeń w celu i zakresie niezbędnym do zapobiegania temu przestępstwu.

Art. 35b. Do przetwarzania danych osobowych przez zakład ubezpieczeń przepisu art. 15 rozporządzenia 2016/679 w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobiegania przestępstwom, nie stosuje się.";

4)
w art. 38:
a)
w ust. 2:
w pkt 1 skreśla się wyrazy "i rokowaniach",
pkt 2 otrzymuje brzmienie:

"2) przyczynach leczenia ambulatoryjnego, wykonanych w jego trakcie badaniach diagnostycznych i ich wynikach, innych udzielonych świadczeniach zdrowotnych oraz wynikach leczenia;",

b)
w ust. 6 skreśla się wyraz "pisemnej",
c)
w ust. 8 w zdaniu drugim skreśla się wyraz "pisemnej";
5)
w art. 39 w ust. 1 skreśla się użyty dwukrotnie w różnym rodzaju i przypadku wyraz "pisemny";
6)
w art. 41:
a)
ust. 1 otrzymuje brzmienie:

"1. Zakład ubezpieczeń przetwarza dane, o których mowa w art. 9 rozporządzenia 2016/679, dotyczące zdrowia, ubezpieczonych lub uprawnionych z umowy ubezpieczenia, zawarte w umowach ubezpieczenia lub oświadczeniach składanych przed zawarciem umowy ubezpieczenia, odpowiednio w celu oceny ryzyka ubezpieczeniowego lub wykonania umowy ubezpieczenia, w zakresie niezbędnym z uwagi na cel i rodzaj ubezpieczenia.",

b)
po ust. 1 dodaje się ust. 1a-1c w brzmieniu:

"1a. Zakład ubezpieczeń może podejmować decyzje w indywidualnych przypadkach, opierając się wyłącznie o zautomatyzowane przetwarzanie, w tym profilowanie, danych osobowych w celu:

1) dokonania oceny ryzyka ubezpieczeniowego - w przypadku danych osobowych dotyczących ubezpieczonych,

2) wykonania czynności ubezpieczeniowych, o których mowa w art. 4 ust. 9 pkt 1 i 2 - w przypadku danych osobowych dotyczących ubezpieczonych, ubezpieczających i uprawnionych z umowy ubezpieczenia

– pod warunkiem zapewnienia osobie, której dotyczy zautomatyzowana decyzja, prawa do otrzymania stosownych wyjaśnień co do podstaw podjętej decyzji, zakwestionowania tej decyzji, wyrażenia własnego stanowiska oraz do uzyskania interwencji ludzkiej.

1b. Decyzje, o których mowa w ust. 1a, mogą być podejmowane wyłącznie w oparciu o następujące kategorie danych dotyczących osoby fizycznej:

1) imię (imiona) i nazwisko;

2) nazwisko rodowe;

3) imiona rodziców;

4) datę i miejsce urodzenia;

5) wiek;

6) płeć;

7) obywatelstwo;

8) numer PESEL, o ile został nadany;

9) numer identyfikacji podatkowej, o ile został nadany;

10) numer i serię dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

11) charakter wykonywanej pracy (branża);

12) miejsce zamieszkania;

13) okres ubezpieczenia;

14) przebieg ubezpieczenia;

15) sumę ubezpieczenia;

16) stan cywilny;

17) stan zdrowia ubezpieczonego;

18) sytuację finansową;

19) datę i numer rejestracji szkody, datę wystąpienia szkody oraz datę zgłoszenia szkody lub roszczenia;

20) identyfikujące umowę ubezpieczenia, której szkoda dotyczy;

21) identyfikujące przedmiot ubezpieczenia.

1c. Zakład ubezpieczeń może przetwarzać dane osobowe, o których mowa w ust. 1b, dotyczące ubezpieczonych, ubezpieczających lub innych uprawnionych z umowy ubezpieczenia, bez zgody osoby, której te dane dotyczą, w celach, o których mowa w art. 33 ust. 3, nie dłużej niż 12 lat od dnia rozwiązania umowy ubezpieczenia.",

c)
uchyla się ust. 2;
7)
w art. 42 po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. W przypadkach, o których mowa w ust. 1 i 2, zakład ubezpieczeń, Ubezpieczeniowy Fundusz Gwarancyjny, Polskie Biuro Ubezpieczycieli Komunikacyjnych i Rzecznik Finansowy przetwarzają dane osobowe osób odpowiedzialnych za zajście zdarzenia losowego, o których mowa w art. 10 rozporządzenia 2016/679.".

Art.  139. 

W ustawie z dnia 9 października 2015 r. o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA (Dz. U. z 2017 r. poz. 1858 oraz z 2019 r. poz. 694) w art. 11 dodaje się ust. 3 w brzmieniu:

"3. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy i Umowy FATCA podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych organów, o których mowa w ust. 1;

6) zapewnieniu integralności danych w systemach informatycznych organów, o których mowa w ust. 1;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.".

Art.  140. 

W ustawie z dnia 9 października 2015 r. o rewitalizacji (Dz. U. z 2018 r. poz. 1398) wprowadza się następujące zmiany:

1)
po art. 6 dodaje się art. 6a w brzmieniu:

"Art. 6a. Wójt, burmistrz albo prezydent miasta wykonuje obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie, a w przypadku czynności, o których mowa w art. 6 ust. 2, dodatkowo w obwieszczeniu i ogłoszeniu.";

2)
po art. 24 dodaje się art. 24a i art. 24b w brzmieniu:

"Art. 24a. 1. W przypadku przetwarzania danych osobowych przez wójta, burmistrza albo prezydenta miasta, w celu realizacji zadania polegającego na sporządzeniu gminnego programu rewitalizacji prawo, o którym mowa w art. 15 ust. 1 lit. g rozporządzenia 2016/679, przysługuje w zakresie, w jakim nie wpływa na ochronę praw i wolności osoby, od której dane pozyskano.

2. W przypadku gdy okres przechowywania danych osobowych, o których mowa w ust. 1, nie wynika z przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2019 r. poz. 553 i 730) organy, o których mowa w ust. 1, przechowują dane przez okres ustalony na podstawie art. 6 ust. 2b tej ustawy.

3. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

4. Organy, o których mowa w ust. 1, informują o ograniczeniu, o którym mowa w ust. 1, przez udostępnienie stosownych informacji w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, na swojej stronie internetowej oraz w widocznym miejscu w swojej siedzibie, a w przypadku czynności, o których mowa w art. 6 ust. 2, dodatkowo w obwieszczeniu i ogłoszeniu.

Art. 24b. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na przebieg i wynik postępowań.".

Art.  141. 

W ustawie z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. z 2018 r. poz. 2134 i 2354 oraz z 2019 r. poz. 60, 303 i 577) wprowadza się następujące zmiany:

1)
w art. 12 w ust. 3 wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
2)
w art. 14:
a)
w ust. 3 zdanie pierwsze otrzymuje brzmienie:

"Informacje, o których mowa w ust. 2, są przetwarzane przez ministra właściwego do spraw rodziny i wojewodę w celu monitorowania realizacji świadczeń wychowawczych oraz w celu umożliwienia organom właściwym i wojewodom weryfikacji prawa do świadczeń wychowawczych oraz przez podmioty wymienione w ust. 4 w celu, w jakim informacje te zostały im udostępnione.",

b)
w ust. 4a w zdaniu pierwszym wyrazy "może przetwarzać" zastępuje się wyrazem "przetwarza";
3)
po art. 14 dodaje się art. 14a w brzmieniu:

"Art. 14a. 1. Bank krajowy oraz spółdzielcza kasa oszczędnościowo-kredytowa, o których mowa w art. 13 ust. 5 pkt 3, oraz Zakład Ubezpieczeń Społecznych, na potrzeby złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, składanych w postaci elektronicznej za pomocą systemu, o którym mowa odpowiednio w art. 13 ust. 5 pkt 2 lub 3, w imieniu organu właściwego, przetwarzają następujące dane osobowe dotyczące osób ubiegających się o świadczenie wychowawcze oraz członków ich rodzin:

1) imię i nazwisko;

2) datę urodzenia;

3) adres miejsca zamieszkania;

4) stan cywilny;

5) obywatelstwo;

6) płeć;

7) numer PESEL, a w przypadku gdy nie nadano numeru PESEL - numer i serię dokumentu potwierdzającego tożsamość;

8) adres poczty elektronicznej i numer telefonu - w przypadku osoby występującej o przyznanie świadczenia wychowawczego - o ile je posiada;

9) dochód;

10) informacje wynikające z zaświadczeń i oświadczeń, o których mowa w art. 13 ust. 4 pkt 3.

2. Osoby upoważnione przez bank krajowy, spółdzielczą kasę oszczędnościowo-kredytową albo Zakład Ubezpieczeń Społecznych do przetwarzania danych osobowych, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.

3. Bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa oraz Zakład Ubezpieczeń Społecznych zapewniające możliwość złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, za pomocą systemu, o którym mowa odpowiednio w art. 13 ust. 5 pkt 2 lub 3, zapewniają niezbędne środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa przetwarzanych danych osobowych, o których mowa w ust. 1, oraz środki określone w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).

4. Bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa oraz Zakład Ubezpieczeń Społecznych zapewniające możliwość złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, za pomocą systemu, o którym mowa odpowiednio w art. 13 ust. 5 pkt 2 lub 3, udostępniają organowi właściwemu informacje służące potwierdzeniu spełniania obowiązków określonych w art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), a także umożliwiają organowi właściwemu przeprowadzenie audytów i inspekcji.

5. W przypadku gdy bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa lub Zakład Ubezpieczeń Społecznych, w celu umożliwienia złożenia wniosku i załączników do wniosku określonych w art. 13 ust. 4, za pomocą systemu, o którym mowa w art. 13 ust. 5 pkt 2 lub 3, korzystają z usług innego podmiotu, który będzie przetwarzał dane osobowe, o których mowa w ust. 1, podmiot ten przetwarza dane osobowe w imieniu organu właściwego. Przepisy ust. 2-4 oraz art. 13 ust. 21 stosuje się odpowiednio.";

4)
w art. 24:
a)
w ust. 1 wyrazy "mogą przetwarzać" zastępuje się wyrazem "przetwarzają",
b)
po ust. 1 dodaje się ust. 1a-1c w brzmieniu:

"1a. Dane osobowe, o których mowa w ust. 1, podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu polegającym co najmniej na:

1) dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych lub podmiot przetwarzający;

2) pisemnym obowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w poufności.

lb) Osoby przetwarzające dane osobowe, o których mowa w ust. 1, są obowiązane do zachowania ich w poufności.

lc) W przypadku określonym w art. 14a pisemne upoważnienie, o którym mowa w ust. 1a pkt 1, wydaje odpowiednio bank krajowy, spółdzielcza kasa oszczędnościowo-kredytowa albo Zakład Ubezpieczeń Społecznych.".

Art.  142. 

W ustawie z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2018 r. poz. 1243 i 1669) wprowadza się następujące zmiany:

1)
w art. 7:
a)
ust. 1 otrzymuje brzmienie:

"1. Przepisy ustawy nie naruszają prawa dostępu do informacji publicznej ani wolności jej rozpowszechniania, ani przepisów innych ustaw określających zasady, warunki i tryb dostępu lub ponownego wykorzystywania informacji będących informacjami sektora publicznego.",

b)
dodaje się ust. 3-5 w brzmieniu:

"3. Do przetwarzania danych osobowych w celu udostępniania lub przekazywania informacji sektora publicznego do ponownego wykorzystywania przepisu art. 13 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", nie stosuje się.

4. Do przetwarzania przez użytkownika, w celu ponownego wykorzystywania, danych osobowych:

1) osób pełniących funkcje publiczne mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania tych funkcji,

2) osób fizycznych reprezentujących osoby prawne, w tym ich dane kontaktowe,

3) obejmujących nazwę (firmę), numer identyfikacji podatkowej (NIP) albo imię i nazwisko kontrahenta podmiotu zobowiązanego

– przepisów art. 14 ust. 1-4 rozporządzenia 2016/679 nie stosuje się.

5. Obowiązek, o którym mowa w art. 19 rozporządzenia 2016/679, podmiot zobowiązany wykonuje przez zaktualizowanie danych odpowiednio na swojej stronie podmiotowej Biuletynu Informacji Publicznej, w centralnym repozytorium lub w inny sposób.";

2)
w art. 14 w ust. 1 w pkt 3 kropkę zastępuje się średnikiem i dodaje się pkt 4 w brzmieniu:

"4) informacji sektora publicznego zawierającej dane osobowe.".

Art.  143. 

W ustawie z dnia 29 kwietnia 2016 r. o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji działalności organów Krajowej Administracji Skarbowej (Dz. U. z 2017 r. poz. 2192 oraz z 2019 r. poz. 492) wprowadza się następujące zmiany:

1)
w tytule ustawy ogólne określenie przedmiotu ustawy otrzymuje brzmienie:

"o szczególnych zasadach wykonywania niektórych zadań dotyczących informatyzacji w zakresie działów administracji rządowej budżet i finanse publiczne";

2)
art. 1 otrzymuje brzmienie:

"Art. 1. Ustawa określa zasady wykonywania niektórych projektów informatycznych o publicznym zastosowaniu w rozumieniu art. 3 pkt 6 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2019 r. poz. 700 i 730) z zakresu spraw objętych działami administracji rządowej budżet i finanse publiczne, w celu zapewnienia ministrowi właściwemu do spraw budżetu i finansów publicznych, zwanemu dalej "ministrem właściwym do spraw finansów publicznych", oraz innym organom Krajowej Administracji Skarbowej, systemów i rozwiązań teleinformatycznych, wspierających wykrywanie naruszenia przepisów prawa podatkowego oraz wyższą efektywność poboru podatków, opłat oraz niepodatkowych należności budżetowych, w oparciu o dane uzyskiwane z systemów teleinformatycznych ministra właściwego do spraw finansów publicznych oraz organów Krajowej Administracji Skarbowej oraz systemów teleinformatycznych służących do obsługi budżetu państwa.";

3)
w art. 2 w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:

"W ramach realizacji projektów informatycznych, o których mowa w art. 1, spółka celowa wykonuje na rzecz Skarbu Państwa reprezentowanego przez ministra właściwego do spraw finansów publicznych zadania publiczne w zakresie:";

4)
w art. 17:
a)
uchyla się ust. 1,
b)
uchyla się ust. 3,
c)
dodaje się ust. 4 w brzmieniu:

"4. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych spółki celowej;

6) zapewnieniu integralności danych w systemach informatycznych spółki celowej;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.";

5)
w art. 18:
a)
ust. 1 otrzymuje brzmienie:

"1. Spółka celowa jest obowiązana do wyznaczenia inspektora ochrony danych.",

b)
uchyla się ust. 2 i 3,
c)
użyty w ust. 4, 5 i 7 wyraz "pełnomocnik" zastępuje się wyrazami "inspektor ochrony danych",
d)
ust. 6 otrzymuje brzmienie:

"6. W przypadku stwierdzenia naruszenia ustawy, przepisów o ochronie danych osobowych lub przepisów o ochronie tajemnic prawnie chronionych inspektor ochrony danych podejmuje działania zmierzające do wyjaśnienia okoliczności tego naruszenia, zawiadamiając o tym niezwłocznie zarząd spółki celowej i ministra właściwego do spraw finansów publicznych.".

Art.  144. 

W ustawie z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym (Dz. U. z 2018 r. poz. 405) w art. 5 ust. 2 otrzymuje brzmienie:

"2. Minister Sprawiedliwości jest administratorem danych osobowych zgromadzonych w Rejestrze.".

Art.  145. 

W ustawie z dnia 10 czerwca 2016 r. o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji (Dz. U. z 2017 r. poz. 1937, z późn. zm.) wprowadza się następujące zmiany:

1)
po art. 5 dodaje się art. 5a w brzmieniu:

"Art. 5a. Fundusz przetwarza dane osobowe w zakresie niezbędnym do realizacji zadań określonych w art. 5 ust. 1-6.";

2)
w art. 42 uchyla się ust. 4;
3)
w art. 45 po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Podmiot, o którym mowa w ust. 1, przetwarza dane osobowe w zakresie niezbędnym do realizacji wypłat środków gwarantowanych.".

Art.  146. 

W ustawie z dnia 21 października 2016 r. o umowie koncesji na roboty budowlane lub usługi (Dz. U. poz. 1920 oraz z 2018 r. poz. 1669 i 1693) wprowadza się następujące zmiany:

1)
w art. 13 po ust. 2 dodaje się ust. 2a w brzmieniu:

"2a. Zamawiający udostępnia dane osobowe, o których mowa w art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w celu umożliwienia korzystania ze środków ochrony prawnej, o których mowa w rozdziale 10, do upływu terminu na ich wniesienie.";

2)
po art. 13 dodaje się art. 13a w brzmieniu:

"Art. 13a. Zamawiający przechowuje dokumentację postępowania, w tym umowę koncesji, przez okres 5 lat od dnia zakończenia postępowania o zawarcie umowy koncesji, w sposób gwarantujący jej nienaruszalność. Jeżeli czas trwania umowy koncesji przekracza 5 lat, zamawiający przechowuje umowę przez cały czas jej trwania.";

3)
po art. 16 dodaje się art. 16a w brzmieniu:

"Art. 16a. 1. Zamawiający realizuje obowiązki, o których mowa w art. 13 ust. 1-3 rozporządzenia 2016/679, przez zamieszczenie wymaganych informacji w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji, w dokumentach koncesji lub przy pierwszej czynności skierowanej do wykonawcy.

2. W przypadku gdy w postępowaniu o zawarcie umowy koncesji albo po jego zakończeniu wykonanie obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, wymagałoby niewspółmiernie dużego wysiłku, zamawiający może żądać od osoby, której dane dotyczą, wskazania dodatkowych informacji mających na celu sprecyzowanie żądania, w szczególności nazwy lub daty postępowania o zawarcie umowy koncesji.

3. Skorzystanie przez osobę, której dane dotyczą, z uprawnienia do sprostowania lub uzupełnienia, o którym mowa w art. 16 rozporządzenia 2016/679, nie może skutkować zmianą wyniku postępowania o zawarcie umowy koncesji ani zmianą postanowień umowy koncesji w zakresie niezgodnym z ustawą oraz naruszeniem integralności przechowywanej dokumentacji postępowania.

4. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie ogranicza przetwarzania danych osobowych do czasu zakończenia postępowania o zawarcie umowy koncesji.

5. Zamawiający informuje o ograniczeniach stosowania przepisów rozporządzenia 2016/679, o których mowa w ust. 2 i 4, na stronie internetowej prowadzonego postępowania, w ogłoszeniu o koncesji, wstępnym ogłoszeniu informacyjnym, zaproszeniu do ubiegania się o zawarcie umowy koncesji, w dokumentach koncesji lub w inny sposób dostępny dla osoby, której dane dotyczą.";

4)
po art. 18 dodaje się art. 18a w brzmieniu:

"Art. 18a. 1. W przypadku danych osobowych zamieszczonych przez zamawiającego w Biuletynie Zamówień Publicznych prawa, o których mowa w art. 15 i art. 16 rozporządzenia 2016/679, są wykonywane w drodze żądania skierowanego do zamawiającego.

2. Prezes Urzędu Zamówień Publicznych zapewnia techniczne utrzymanie systemu teleinformatycznego, przy użyciu którego udostępniany jest Biuletyn Zamówień Publicznych, oraz określa okres przechowywania danych osobowych zamieszczanych w Biuletynie Zamówień Publicznych.";

5)
w art. 26 dodaje się ust. 8 w brzmieniu:

"8. Sposób dokumentowania zatrudnienia oraz uprawnienia zamawiającego, o których mowa w ust. 7 pkt 1 i 2, uwzględniają możliwość żądania przez zamawiającego:

1) oświadczenia koncesjonariusza lub podwykonawcy o zatrudnieniu pracownika na podstawie umowy o pracę,

2) poświadczonej za zgodność z oryginałem kopii umowy o pracę zatrudnionego pracownika,

3) innych dokumentów

– zawierających informacje, w tym dane osobowe, niezbędne do weryfikacji zatrudnienia na podstawie umowy o pracę, w szczególności: imię i nazwisko zatrudnionego pracownika, datę zawarcia umowy o pracę, rodzaj umowy o pracę, zakres obowiązków pracownika.";

6)
w art. 29 dodaje się ust. 7 w brzmieniu:

"7. Zamawiający przetwarza dane osobowe zebrane w toku oraz po zakończeniu postępowania o zawarcie umowy koncesji w sposób gwarantujący ich zabezpieczenie przed ich bezprawnym rozpowszechnianiem.";

7)
w art. 30 dodaje się ust. 6 w brzmieniu:

"6. Do przetwarzania danych osobowych, o których mowa w art. 10 rozporządzenia 2016/679, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w poufności.".

Art.  147. 

W ustawie z dnia 16 listopada 2016 r. o Krajowej Administracji Skarbowej (Dz. U. z 2018 r. poz. 508, z późn. zm.) wprowadza się następujące zmiany:

1)
po art. 34 dodaje się art. 34a w brzmieniu:

"Art. 34a. 1. Organ KAS może upoważnić do przetwarzania danych osobowych osoby zatrudnione lub funkcjonariuszy pełniących służbę w jednostkach organizacyjnych KAS w zakresie niezbędnym do realizacji zadań powierzonych tym osobom. Upoważnienie jest wydawane w formie pisemnej w drodze imiennego upoważnienia, upoważnienia stanowiskowego lub aktu wewnętrznego, chyba że przepis szczególny stanowi inaczej. Organ KAS prowadzi rejestr osób upoważnionych do przetwarzania danych osobowych.

2. Przepis ust. 1 stosuje się odpowiednio do Krajowej Szkoły Skarbowości.";

2)
w art. 35:
a)
w ust. 3 w pkt 1 lit. d otrzymuje brzmienie:

"d) innych dokumentów i informacji przekazanych organom KAS w celu realizacji zadań ustawowych;",

b)
ust. 4 otrzymuje brzmienie:

"4. Szef Krajowej Administracji Skarbowej, dyrektor Krajowej Informacji Skarbowej, dyrektor izby administracji skarbowej, naczelnik urzędu skarbowego oraz naczelnik urzędu celno-skarbowego wprowadzają do CRDP dane zawarte w dokumentach i informacjach, o których mowa w ust. 3 pkt 1.";

3)
w art. 47:
a)
w ust. 1 część wspólna otrzymuje brzmienie:

"mogą przetwarzać niezbędne informacje zawierające dane osobowe.",

b)
ust. 2 otrzymuje brzmienie:

"2. Dane, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", mogą być przetwarzane przez organy KAS wyłącznie, gdy jest to niezbędne ze względu na zakres lub charakter prowadzonego postępowania lub przeprowadzanych czynności.";

4)
po art. 47a dodaje się art. 47b-47e w brzmieniu:

"Art. 47b. Organy KAS przetwarzają dane osobowe, w tym w CRDP, w celach realizacji zadań lub obowiązków określonych w ustawie, przez okres niezbędny do osiągnięcia tych celów.

Art. 47c. Prowadzenie działalności analitycznej, prognostycznej i badawczej dotyczącej zjawisk pozostających we właściwości KAS oraz dokonywanie analizy ryzyka, o których mowa w art. 2 ust. 1 pkt 10 i 12a, może polegać na zautomatyzowanym przetwarzaniu danych lub na zautomatyzowanym podejmowaniu decyzji w tym profilowaniu, wywołującym skutki prawne wobec osoby profilowanej lub której dane podlegają zautomatyzowanemu przetwarzaniu.

Art. 47d. 1. W celu wykonywania obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, organy KAS mogą udostępniać informacje o przetwarzaniu danych osobowych w miejscu publicznie dostępnym w siedzibie organu KAS oraz na swojej stronie internetowej lub w Biuletynie Informacji Publicznej na stronie podmiotowej tego organu lub urzędu obsługującego ten organ. W takim przypadku organ KAS podczas pozyskiwania danych osobowych przekazuje osobie, której dane dotyczą, informacje o miejscu udostępnienia tych informacji.

2. Wykonywanie obowiązku, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia 2016/679, odbywa się niezależnie od obowiązków organów KAS i nie wpływa na przebieg i wynik procedur, o których mowa w działach IV i V.

Art. 47e. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych KAS;

6) zapewnieniu integralności danych w systemach informatycznych KAS;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.";

5)
po art. 145 dodaje się art. 145a w brzmieniu:

"Art. 145a. 1. Przetwarzanie danych osobowych, o których mowa w:

1) art. 9 ust. 1 rozporządzenia 2016/679, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe oraz danych genetycznych,

2) art. 10 rozporządzenia 2016/679

– dotyczących funkcjonariuszy, jest dopuszczalne wyłącznie w zakresie, w jakim jest to niezbędne do realizacji zadania ministra właściwego do spraw finansów publicznych, Szefa Krajowej Administracji Skarbowej lub dyrektora izby administracji skarbowej nałożonego przepisem prawa.

2. Przetwarzanie danych biometrycznych funkcjonariusza jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do pomieszczeń wymagających szczególnej ochrony lub szczególnie ważnych informacji, których ujawnienie może narazić na szkodę organy, o których mowa w ust. 1.

3. Do przetwarzania danych osobowych, o których mowa w ust. 1, mogą być dopuszczeni wyłącznie funkcjonariusze posiadający pisemne upoważnienie do przetwarzania takich danych wydane przez Szefa Krajowej Administracji Skarbowej lub dyrektora izby administracji skarbowej. Funkcjonariusze dopuszczeni do przetwarzania takich danych są obowiązani do zachowania ich w tajemnicy.

4. W zakresie nieuregulowanym ustawą do spraw związanych z przetwarzaniem danych osobowych przepisy art. 222 i art. 223 ustawy z dnia 26 czerwca 1974 r. - Kodeks pracy (Dz. U. z 2018 r. poz. 917, z późn. zm.), zwanej dalej "Kodeksem pracy", stosuje się odpowiednio.";

6)
art. 214 otrzymuje brzmienie:

"Art. 214. Do funkcjonariusza stosuje się przepisy Kodeksu pracy dotyczące uprawnień pracowników związanych z rodzicielstwem, chyba że przepisy ustawy są korzystniejsze.".

Art.  148. 

W ustawie z dnia 14 grudnia 2016 r. - Prawo oświatowe (Dz. U. z 2018 r. poz. 996, 1000, 1290, 1669 i 2245 oraz z 2019 r. poz. 534) wprowadza się następujące zmiany:

1)
po art. 30 dodaje się art. 30a w brzmieniu:

"Art. 30a. 1. Inne formy wychowania przedszkolnego, szkoły, placówki, organy prowadzące szkoły lub placówki, organy sprawujące nadzór pedagogiczny oraz inne podmioty realizujące zadania i obowiązki określone w ustawie przetwarzają dane osobowe w zakresie niezbędnym dla realizacji zadań i obowiązków wynikających z tych przepisów.

2. Nauczyciele oraz inne osoby pełniące funkcje lub wykonujące pracę w podmiotach, o których mowa w ust. 1, są obowiązani do zachowania w poufności informacji uzyskanych w związku z pełnioną funkcją lub wykonywaną pracą, dotyczących zdrowia, potrzeb rozwojowych i edukacyjnych, możliwości psychofizycznych, seksualności, orientacji seksualnej, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych uczniów.

3. Przepisu ust. 2 nie stosuje się:

1) w przypadku zagrożenia zdrowia ucznia;

2) jeżeli uczeń, a w przypadku ucznia niepełnoletniego jego rodzic, wyrazi zgodę na ujawnienie określonych informacji;

3) w przypadku gdy przewidują to przepisy szczególne.";

2)
w art. 68 w ust. 1 w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12 w brzmieniu:

"12) wdraża odpowiednie środki techniczne i organizacyjne zapewniające zgodność przetwarzania danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych.".

Art.  149. 

W ustawie z dnia 15 grudnia 2016 r. o Prokuratorii Generalnej Rzeczypospolitej Polskiej (Dz. U. poz. 2261, z 2018 r. poz. 723, 1544 i 1669 oraz z 2019 r. poz. 60) po art. 6 dodaje się art. 6a w brzmieniu:

"Art. 6a. 1. Do przetwarzania danych osobowych, w tym danych, o których mowa w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w celu realizacji ustawowych zadań Prokuratorii Generalnej oraz Prezesa Prokuratorii Generalnej określonych w ustawie oraz w ustawie z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (Dz. U. z 2018 r. poz. 1182, z późn. zm.), przepisy art. 15 ust. 1 i 3 i art. 19 rozporządzenia 2016/679 stosuje się w zakresie, w jakim nie narusza to tajemnicy Prokuratorii Generalnej, o której mowa w rozdziale 4.

2. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, nie wpływa na wykonywanie zadań Prokuratorii Generalnej lub Prezesa Prokuratorii Generalnej.

3. Przepisu art. 21 ust. 1 rozporządzenia 2016/679 nie stosuje się w przypadku danych osobowych pozyskanych przez Prokuratorię Generalną w związku z udzielaniem pomocy prawnej podmiotom, o których mowa w art. 12 ust. 1 pkt 2 i 3.

4. Prezes Prokuratorii Generalnej dokonuje przeglądu danych osobowych pod względem niezbędności ich przechowywania:

1) co 2 lata - w odniesieniu do danych przetwarzanych w związku z realizacją przez Prezesa Prokuratorii Generalnej zadań, o których mowa w ustawie z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym;

2) co 10 lat - w odniesieniu do danych przetwarzanych w związku z realizacją przez Prokuratorię Generalną lub Prezesa Prokuratorii Generalnej pozostałych zadań ustawowych.

5. Prezes Prokuratorii Generalnej na wniosek osoby, której dane dotyczą, informuje o ograniczeniach, o których mowa w ust. 1-3.

6. Obowiązek zachowania tajemnicy Prokuratorii Generalnej, o której mowa w rozdziale 4, nie ustaje w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez Prokuratorię Generalną w związku z dokonaniem czynności, o których mowa w art. 38 ust. 1, występuje Prezes Urzędu Ochrony Danych Osobowych.".

Art.  150. 

W ustawie z dnia 16 grudnia 2016 r. o zasadach zarządzania mieniem państwowym (Dz. U. z 2018 r. poz. 1182, z późn. zm.) po art. 8 dodaje się art. 8a w brzmieniu:

"Art. 8a. 1. Kancelaria Prezesa Rady Ministrów prowadzi listę:

1) członków organów zarządzających i nadzorczych spółek oraz pełnomocników wspólnika, o którym mowa w art. 11 ust. 2 ustawy z dnia 30 sierpnia 1996 r. o komercjalizacji i niektórych uprawnieniach pracowników;

2) osób będących akcjonariuszami spółek z udziałem Skarbu Państwa reprezentującymi co najmniej jedną dwudziestą kapitału zakładowego;

3) osób, które złożyły egzamin, o którym mowa w art. 19 ust. 1 pkt 1 lit. h- j, oraz osób, które uzyskały uprawnienia do zasiadania w organach nadzorczych na podstawie wcześniej obowiązujących przepisów.

2. Kancelaria Prezesa Rady Ministrów oraz podmioty, o których mowa w art. 8 ust. 1, są współadministratorami danych osobowych osób, o których mowa w ust. 1 pkt 1 i 2, w zakresie wykonywania uprawnień przekazanych przez Prezesa Rady Ministrów. Wzajemne prawa i obowiązki współadministratorów określa porozumienie.

3. Kancelaria Prezesa Rady Ministrów może udostępnić podmiotom, o których mowa w art. 8 ust. 1, dane osobowe osób, o których mowa w ust. 1 pkt 3, w zakresie niezbędnym do wykonywania przez te podmioty uprawnień przekazanych przez Prezesa Rady Ministrów.".

Art.  151. 

W ustawie z dnia 16 grudnia 2016 r. - Przepisy wprowadzające ustawę o zasadach zarządzania mieniem państwowym (Dz. U. poz. 2260 oraz z 2018 r. poz. 1669 i 2159) po art. 109 dodaje się art. 109a w brzmieniu:

"Art. 109a. Minister właściwy do spraw gospodarki może powierzyć, w drodze porozumienia, Kancelarii Prezesa Rady Ministrów wykonywanie zadań związanych z wdrożeniem, utrzymaniem i rozwojem systemu teleinformatycznego wspierającego wykonywanie umów, o których mowa w art. 109.".

Art.  152. 

W ustawie z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz. U. z 2019 r. poz. 648 i 694) wprowadza się następujące zmiany:

1)
w art. 6 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:

"2. Dane osobowe przetwarzane w celu wykonywania zadań wynikających z ustawy podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych, w szczególności poprzez zagwarantowanie, by proces pozyskiwania i przekazywania danych osobowych podmiotom zewnętrznym wykorzystywał techniki kryptograficzne;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;

6) zapewnieniu integralności danych w systemach informatycznych;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.";

2)
w art. 30 ust. 1 otrzymuje brzmienie:

"1. Raportująca instytucja finansowa wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), w terminie pozwalającym na zrealizowanie przez osobę raportowaną jej uprawnień, określonych w art. 15-20 tego rozporządzenia, przed przekazaniem informacji, o których mowa w art. 33 ust. 1 oraz art. 36 ust. 1.".

Art.  153. 

W ustawie z dnia 9 marca 2017 r. o systemie monitorowania drogowego i kolejowego przewozu towarów (Dz. U. z 2018 r. poz. 2332) w art. 4 uchyla się ust. 6.

Art.  154. 

W ustawie z dnia 21 kwietnia 2017 r. o zwalczaniu dopingu w sporcie (Dz. U. poz. 1051 oraz z 2018 r. poz. 2245 i 2320) wprowadza się następujące zmiany:

1)
w art. 5 w ust. 1 po pkt 3 dodaje się pkt 3a w brzmieniu:

"3a) prowadzenie czynności wyjaśniających zmierzających do ustalenia odpowiedzialności dyscyplinarnej za doping w sporcie zawodnika lub, w przypadkach, o których mowa w art. 3 ust. 1 pkt 5-9, osoby pomagającej w przygotowaniu do współzawodnictwa sportowego;";

2)
po art. 27 dodaje się art. 27a w brzmieniu:

"Art. 27a. W związku z planowaniem i przeprowadzaniem kontroli antydopingowej w okresie podczas zawodów oraz w okresie poza nimi, Agencja przetwarza następujące dane osobowe kontrolerów:

1) wizerunek twarzy;

2) płeć;

3) podpis;

4) adres poczty elektronicznej;

5) numer telefonu;

6) informacje o realizowanej dotychczas kontroli antydopingowej.";

3)
w art. 29:
a)
ust. 1 otrzymuje brzmienie:

"1. Agencja, przeprowadzając kontrolę antydopingową w okresie podczas zawodów lub w okresie poza nimi, wykonuje zadanie realizowane w interesie publicznym, którego celem jest zapewnienie uczciwości współzawodnictwa sportowego, ujawnienie przestępstw, o których mowa w art. 48 ust. 1 i art. 49, oraz ochrona zdrowia zawodników.",

b)
po ust. 3 dodaje się ust. 3a w brzmieniu:

"3a. Dane osobowe zawodników podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazaniu, polegającym co najmniej na dopuszczeniu do przetwarzania danych osobowych wyłącznie osób posiadających pisemne upoważnienie wydane przez administratora danych oraz pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy.",

c)
ust. 4-8 otrzymują brzmienie:

"4. Dane osobowe zawodników mogą być przetwarzane w systemie teleinformatycznym.

5. Agencja przechowuje dane osobowe zawodników przez okres niezbędny do zakończenia czynności związanych z kontrolą antydopingową oraz ustaleniem odpowiedzialności dyscyplinarnej za doping w sporcie, nie dłużej jednak niż przez okres 10 lat od dnia ich uzyskania.

6. Dane osobowe zawodników, o których mowa w ust. 2 pkt 1, 2, 8, 13 i 18, Agencja może przechowywać przez okres dłuższy niż określony w ust. 5, jeżeli są one niezbędne dla ustalenia odpowiedzialności dyscyplinarnej za doping w sporcie.

7. Nie rzadziej niż co 18 miesięcy Agencja dokonuje weryfikacji zgromadzonych danych osobowych zawodników, z wyjątkiem danych, o których mowa w ust. 6, które Agencja weryfikuje nie rzadziej niż co 10 lat.

8. Z zastrzeżeniem ust. 6, po upływie terminu, o którym mowa w ust. 5, lub po przeprowadzeniu weryfikacji, o której mowa w ust. 7, zgromadzone dane osobowe zawodników lub dane takie uznane za zbędne podlegają protokolarnemu i komisyjnemu zniszczeniu, które zarządza Dyrektor Agencji.",

d)
dodaje się ust. 9 w brzmieniu:

"9. Wystąpienie z żądaniem, o którym mowa w art. 18 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), nie wpływa na realizację zadania, o którym mowa w ust. 1.".

Art.  155. 

W ustawie z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (Dz. U. poz. 1089 oraz z 2018 r. poz. 398, 1669, 2193 i 2243) wprowadza się następujące zmiany:

1)
po art. 2 dodaje się art. 2a i art. 2b w brzmieniu:

"Art. 2a. Polska Izba Biegłych Rewidentów jest administratorem danych przetwarzanych w celach realizacji zadań lub obowiązków przez organy samorządu biegłych rewidentów, związanych z działalnością Komisji Egzaminacyjnej, zwanej dalej "Komisją", oraz organizacją egzaminów dla kandydatów na biegłych rewidentów.

Art. 2b. 1. Dane osobowe przetwarzane w celu realizacji zadań lub obowiązków określonych w ustawie i rozporządzeniu nr 537/2014 podlegają przeglądowi nie rzadziej niż co 5 lat od dnia ich uzyskania.

2. Dane osobowe podlegają zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu polegającym co najmniej na:

1) dopuszczeniu przez administratora danych do przetwarzania danych osobowych wyłącznie osób do tego uprawnionych;

2) pisemnym zobowiązaniu osób upoważnionych do przetwarzania danych osobowych do zachowania ich w tajemnicy;

3) regularnym testowaniu i doskonaleniu stosowanych środków technicznych i organizacyjnych;

4) zapewnieniu bezpiecznej komunikacji w sieciach teleinformatycznych;

5) zapewnieniu ochrony przed nieuprawnionym dostępem do systemów informatycznych;

6) zapewnieniu integralności danych w systemach informatycznych;

7) określeniu zasad bezpieczeństwa przetwarzanych danych osobowych.

3. Obowiązek zachowania tajemnicy, o której mowa w art. 78 i art. 95, nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych w związku z wykonywaniem zawodu biegłego rewidenta albo wykonywaniem zadań przez podmioty, o których mowa w tych przepisach, występuje Prezes Urzędu Ochrony Danych Osobowych.";

2)
w art. 4 w ust. 2 w pkt 5 w części wspólnej skreśla się wyrazy "Egzaminacyjną, zwaną dalej "Komisją" ".
Art.  156. 

W ustawie z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. z 2019 r. poz. 357) art. 20 otrzymuje brzmienie:

"Art. 20. Świadczeniodawca udzielający świadczeń z zakresu podstawowej opieki zdrowotnej jest obowiązany do przetwarzania, przechowywania i udostępniania danych osobowych zawartych w deklaracji wyboru oraz w informacjach, o których mowa w art. 16-18, zgodnie z przepisami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.) oraz przepisami o ochronie danych osobowych.".

Art.  157. 

W ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. poz. 723, 1075, 1499 i 2215 oraz z 2019 r. poz. 125) wprowadza się następujące zmiany:

1)
w art. 34 uchyla się ust. 6;
2)
art. 66 otrzymuje brzmienie:

"Art. 66. Do przetwarzania danych osobowych zgromadzonych w Rejestrze nie stosuje się przepisów art. 15 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).".

Art.  158. 

W ustawie z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz. U. poz. 647, 1544, 1629 i 2244 oraz z 2019 r. poz. 60) uchyla się art. 50.

Art.  159. 

W ustawie z dnia 22 marca 2018 r. o komornikach sądowych (Dz. U. poz. 771, 1443, 1669 i 2244 oraz z 2019 r. poz. 55) wprowadza się następujące zmiany:

1)
w art. 158 ust. 3 otrzymuje brzmienie:

"3. Minister Sprawiedliwości jest administratorem systemu teleinformatycznego służącego do przetwarzania danych osobowych zawartych w dokumentacji, o której mowa w art. 155 ust. 1 i art. 156.";

2)
po art. 159 dodaje się art. 159a w brzmieniu:

"Art. 159a. 1. Dane osobowe zawarte w systemie teleinformatycznym, utworzonym do dnia 1 stycznia 2021 r" o którym mowa w art. 158 ust. 1, podlegają z dniem uruchomienia systemu zabezpieczeniom zapobiegającym nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu, w szczególności poprzez stosowanie proporcjonalnych środków technicznych i organizacyjnych gwarantujących zapewnienie ochrony przed nieuprawnionym dostępem do systemu teleinformatycznego.

2. Administratorami danych znajdujących się w systemie są komornicy w zakresie, w jakim dane te dotyczą prowadzonych przez nich spraw.";

3)
po art. 164 dodaje się art. 164a w brzmieniu:

"Art. 164a. 1. Wykonując obowiązek, o którym mowa w art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", komornik:

1) przekazuje osobie, której dane dotyczą, informacje, o których mowa w art. 13 ust. 1 lit. a i c rozporządzenia 2016/679, podczas pozyskiwania od niej tych danych;

2) udostępnia w miejscu publicznie dostępnym w siedzibie kancelarii lub na stronie internetowej kancelarii pozostałe podlegające udostępnieniu informacje, o czym informuje osobę, której dane dotyczą, podczas pozyskiwania od niej danych osobowych.

2. Obowiązki wynikające z art. 15 rozporządzenia 2016/679 realizowane są na zasadach określonych w art. 9 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego i wyłącznie w zakresie, w jakim nie narusza to obowiązku zachowania przez komornika tajemnicy zawodowej, o której mowa w art. 27.

3. W zakresie prowadzonych postępowań lub czynności podejmowanych przez komornika na podstawie art. 3 ust. 3 i ust. 4 pkt 1 i 2 ustawy, przepis art. 16 rozporządzenia 2016/679 stosuje się wyłącznie w zakresie i na zasadach przewidzianych w ustawie z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego.

4. W ramach wykonywania przez komornika zadań, o których mowa w art. 3 ust. 3 i ust. 4 pkt 1 i 2, skorzystanie przez daną osobę z prawa do ograniczenia przetwarzania danych osobowych, o którym mowa w art. 18 ust. 1 rozporządzenia 2016/679, odbywa się wyłącznie w sposób przewidziany w art. 767 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego.".

Art.  160. 

W ustawie z dnia 9 maja 2018 r. o zmianie ustawy - Prawo o ruchu drogowym oraz niektórych innych ustaw (Dz. U. poz. 957) po art. 16 dodaje się art. 16a w brzmieniu:

"Art. 16a. Do dnia wskazanego w komunikacie, o którym mowa w art. 16 ust. 2, policjant zatrzyma prawo jazdy za pokwitowaniem w razie przekroczenia przez kierującego pojazdem liczby 24 punktów otrzymanych za naruszenia, o których mowa w art. 130 ustawy zmienianej w art. 1. Przepisy art. 135 ust. 2, art. 136 ust. 1 i 1a oraz art. 139 ustawy zmienianej w art. 1 stosuje się odpowiednio.".

Art.  161. 

W ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669) wprowadza się następujące zmiany:

1)
po art. 5 dodaje się art. 5a w brzmieniu:

"Art. 5a. 1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1-3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu:

1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom;

2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności:

a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności,

b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych,

c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi,

d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami,

e) prowadzenie kontroli, w tym kontroli celno-skarbowych.

2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.";

2)
po art. 6 dodaje się art. 6a w brzmieniu:

"Art. 6a. 1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4-7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28-30, art. 32, art. 34, art. 35, art. 37-39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy.

2. Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.";

3)
po art. 11 dodaje się art. 11a w brzmieniu:

"Art. 11a. 1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 rozporządzenia 2016/679.

2. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora.

3. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie określonym w art. 10 oraz udostępnia jej dane zgodnie z art. 11.";

4)
w art. 57 ust. 1 otrzymuje brzmienie:

"1. Administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 rozporządzenia 2016/679.";

5)
po art. 101 dodaje się art. 101a w brzmieniu:

"Art. 101a. 1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, o którym mowa w art. 101, jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej.

2. W przypadku niedostarczenia danych przez podmiot, o którym mowa w art. 101, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu.";

6)
w art. 108 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:

"2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.".

Art.  162. 

W ustawie z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz. U. poz. 1668, z późn. zm.) wprowadza się następujące zmiany:

1)
w art. 176 pkt 1 otrzymuje brzmienie:

"1) art. 24 ust. 9, art. 177-180, art. 182-226, art. 259-262, art. 264, art. 266, art. 267 ust. 1, art. 268-270, art. 322, art. 343, art. 345, art. 346, art. 348-350, art. 351 ust. 4, art. 354, art. 355, art. 360-362, art. 408, art. 409 ust. 2-5, art. 410, art. 411, art. 420, art. 423, art. 425-428, art. 432, art. 469a i art. 469b;";

2)
w art. 258 uchyla się ust. 3;
3)
po dziale XIV dodaje się dział XlVa w brzmieniu:

"Dział XlVa

Przetwarzanie danych osobowych

Art. 469a. Obowiązek wynikający z realizacji żądania zgłoszonego na podstawie art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UEL 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", wykonuje podmiot, który pozyskał dane od osoby, której dane dotyczą.

Art. 469b. 1. Do przetwarzania danych osobowych przez podmioty, o których mowa w art. 7 ust. 1 pkt 1 i 4-7, do celów badań naukowych i prac rozwojowych wyłącza się stosowanie przepisów art. 15, art. 16, art. 18 i art. 21 rozporządzenia 2016/679, jeżeli zachodzi prawdopodobieństwo, że prawa określone w tych przepisach uniemożliwią lub poważnie utrudnią realizację celów badań naukowych i prac rozwojowych, i jeżeli wyłączenia te są konieczne do realizacji tych celów.

2. W zakresie niezbędnym do prowadzenia badań naukowych i prac rozwojowych dopuszcza się przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, pod warunkiem że publikowanie wyników tych badań i prac następuje w sposób uniemożliwiający identyfikację osoby fizycznej, której dane zostały przetworzone.

3. Przy przetwarzaniu danych osobowych, o których mowa w ust. 1 i 2, administrator danych wdraża odpowiednie zabezpieczenia techniczne i organizacyjne praw i wolności osób fizycznych, których dane osobowe są przetwarzane, zgodnie z rozporządzeniem 2016/679, w szczególności przez pseudonimizację albo szyfrowanie danych, nadawanie uprawnień do ich przetwarzania minimalnej liczbie osób niezbędnych do prowadzenia badań naukowych i prac rozwojowych, kontrolę dostępu do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, oraz opracowanie procedury określającej sposób zabezpieczenia danych.

4. Dane osobowe, o których mowa w ust. 1 i 2, poddaje się anonimizacji niezwłocznie po osiągnięciu celu badań naukowych lub prac rozwojowych. Do tego czasu dane, które można wykorzystać do identyfikacji danej osoby fizycznej, zapisuje się osobno. Można je łączyć z informacjami szczegółowymi dotyczącymi danej osoby fizycznej wyłącznie, jeżeli wymaga tego cel badań naukowych lub prac rozwojowych.

5. Do przetwarzania danych osobowych w celu przygotowania pracy dyplomowej lub rozprawy doktorskiej wymaganej do uzyskania odpowiednio dyplomu ukończenia studiów lub stopnia naukowego przepisy ust. 1-4 stosuje się.".

Art.  163.  [Zaprzestanie stosowania przez pracodawcę monitoringu pomieszczeń udostępnianych zakładowej organizacji związkowej; obowiązek uzyskania przez pracodawcę zgody na stosowanie monitoringu pomieszczeń sanitarnych]
1. 
Pracodawca, który w dniu wejścia w życie niniejszej ustawy stosuje monitoring pomieszczeń udostępnianych zakładowej organizacji związkowej, o którym mowa w art. 222 § 2 ustawy zmienianej w art. 4 w brzmieniu dotychczasowym, w terminie 14 dni od dnia wejścia w życie niniejszej ustawy zaprzestaje stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową.
2. 
Pracodawca, który w dniu wejścia w życie niniejszej ustawy stosuje monitoring pomieszczeń sanitarnych, o którym mowa w art. 222 § 2 ustawy zmienianej w art. 4 w brzmieniu dotychczasowym, jest zobowiązany do uzyskania zgody na dalsze stosowanie monitoringu zakładowej organizacji związkowej, a jeżeli u pracodawcy nie działa zakładowa organizacja związkowa - zgody przedstawicieli pracowników wybranych w trybie przyjętym u danego pracodawcy, nie później niż w terminie 30 dni od dnia wejścia w życie niniejszej ustawy. W terminie 3 dni od dnia odmowy udzielenia zgody albo od dnia upływu 30-dniowego terminu na jej udzielenie, pracodawca zaprzestaje stosowania monitoringu takich pomieszczeń, o czym niezwłocznie informuje zakładową organizację związkową albo przedstawicieli pracowników.
Art.  164.  [Utrzymanie w mocy przepisów wykonawczych]

Dotychczasowe przepisy wykonawcze wydane na podstawie:

1)
art. 14g ust. 5 ustawy zmienianej w art. 20 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 14g ust. 3 ustawy zmienianej w art. 20, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 24 miesięcy od dnia wejścia w życie niniejszej ustawy;
2)
art. 21 ust. 3 ustawy zmienianej w art. 33 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 21 ust. 3 ustawy zmienianej w art. 33, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
3)
art. 6 ust. 3 ustawy zmienianej w art. 55 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 6 ust. 11 ustawy zmienianej w art. 55, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
4)
art. 33 ust. 5 ustawy zmienianej w art. 75 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 33 ust. 5 ustawy zmienianej w art. 75, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy;
5)
art. 38 ust. 9 ustawy zmienianej w art. 138 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 38 ust. 9 ustawy zmienianej w art. 138, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy.
Art.  165.  [Okres ważności wydanych przed wejściem w życie ustawy uchwał określających wzór deklaracji śmieciowej i sposób jej składania]

Uchwały wydane przed dniem wejścia w życie niniejszej ustawy na podstawie art. 6n ustawy zmienianej w art. 37 zachowują moc do czasu wydania uchwał na podstawie art. 6n ustawy zmienianej w art. 37, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy.

Art.  166.  [Postępowania o udzielenie zamówienia publicznego, w których zamawiający ma uprawnienia w zakresie kontroli spełniania przez wykonawcę lub podwykonawcę wymagań w zakresie zatrudnienia osób na podstawie umowy o pracę]

Przepis art. 143e ustawy zmienianej w art. 72 stosuje się do postępowań o udzielenie zamówienia publicznego wszczętych po wejściu w życie niniejszej ustawy.

Art.  167.  [Niezakończone sprawy o wydanie dokumentu paszportowego]

Sprawy wszczęte i niezakończone przed dniem wejścia w życie art. 13a ustawy zmienianej w art. 87 niniejszej ustawy prowadzi się na podstawie przepisów dotychczasowych.

Art.  168.  [Zakres stosowania przepisów o przenoszeniu do rejestru stanu cywilnego aktów przekazanych do archiwów przed upływem ustawowych okresów oraz o przekazywaniu aktów stanu cywilnego do archiwów]

Przepisy art. 130a i art. 131 ustawy zmienianej w art. 129, w brzmieniu nadanym niniejszą ustawą, stosuje się odpowiednio do aktów urodzenia i aktów małżeństwa sporządzonych w księdze stanu cywilnego dotyczących osób, dla których nie sporządzono aktu zgonu lub nie zarejestrowano informacji o zgonie, jeżeli księgi urodzeń i księgi małżeństw, w których sporządzono te akty, zostały przekazane do właściwego archiwum państwowego na podstawie art. 128 ustawy zmienianej w art. 129, w brzmieniu dotychczasowym.

Art.  169.  [Niezakończone sprawy o przeprowadzenie uprzednich konsultacji przed przetwarzaniem danych osobowych]

W sprawach wszczętych na podstawie art. 57 ustawy zmienianej w art. 161, w brzmieniu dotychczasowym, i niezakończonych przed dniem wejścia w życie niniejszej ustawy, uprzednich konsultacji nie udziela się, a wszczęte postępowania umarza się.

Art.  170.  [Rejestr centralny zawierający dane dotyczące rynku pracy jako centralny rejestr danych osobowych osób fizycznych ubiegających się o pomoc określoną w przepisach o promocji zatrudnienia]

Rejestr centralny utworzony na podstawie art. 4 ust. 4 ustawy zmienianej w art. 75, zawierający dane osób, o których mowa w art. 4 ust. 5a ustawy zmienianej w art. 75, staje się rejestrem centralnym, o którym mowa w art. 4 ust. 4a ustawy zmienianej w art. 75.

Art.  171.  [Termin spełnienia zabezpieczeń danych osobowych przetwarzanych przez publiczne służby zatrudnienia w centralnym rejestrze danych osobowych osób fizycznych ubiegających się o pomoc określoną w przepisach o promocji zatrudnienia]

Podmioty, o których mowa w art. 4 ust. 5k ustawy zmienianej w art. 75, spełnią zabezpieczenia określone w art. 4 ust. 5d ustawy zmienianej w art. 75 w terminie 6 miesięcy od dnia wejścia w życie niniejszej ustawy.

Art.  172.  [Dostosowanie przez biuro informacji gospodarczej regulaminu zarządzania danymi do zmienionych przepisów]
1. 
Biuro informacji gospodarczej prowadzące działalność w dniu wejścia w życie niniejszej ustawy, którego obowiązujący regulamin zarządzania danymi został zatwierdzony przez ministra właściwego do spraw gospodarki przed dniem 25 maja 2018 r., dostosuje regulamin zarządzania danymi do przepisów ustawy zmienianej w art. 105, w brzmieniu nadanym niniejszą ustawą, w terminie 3 miesięcy od dnia wejścia w życie niniejszej ustawy i przekaże nie później niż w terminie 14 dni od dnia jego uchwalenia ministrowi właściwemu do spraw gospodarki do zatwierdzenia.
2. 
W razie nieprzekazania przez biuro informacji gospodarczej, o którym mowa w ust. 1, ministrowi właściwemu do spraw gospodarki do zatwierdzenia regulaminu zarządzania danymi w terminie, o którym mowa w ust. 1, minister właściwy do spraw gospodarki wydaje decyzję o zakazie wykonywania działalności gospodarczej przez biuro.
3. 
Prawomocna decyzja o zakazie wykonywania działalności gospodarczej przez biuro informacji gospodarczej powoduje rozwiązanie spółki akcyjnej, w formie której jest prowadzone biuro.
4. 
Regulamin zarządzania danymi przekazany i niezatwierdzony do dnia wejścia w życie niniejszej ustawy zwraca się w celu dostosowania do przepisów ustawy zmienianej w art. 105, chyba że przed dniem wejścia w życie niniejszej ustawy Prezes Urzędu Ochrony Danych Osobowych wydał w stosunku do tego regulaminu pozytywną opinię, o której mowa w art. 11 ust. 2 ustawy zmienianej w art. 105.
Art.  173.  [Wejście w życie]

Ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z wyjątkiem:

1)
art. 87 pkt 1, który wchodzi w życie po upływie 90 dni od dnia ogłoszenia;
2)
art. 107 pkt 7 i 8, które wchodzą w życie z dniem 1 maja 2019 r.;
3)
art. 157 pkt 2, który wchodzi w życie z dniem 13 października 2019 r.
1 Niniejsza ustawa służy stosowaniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2).

Zmiany w prawie

ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024
Zmiany w składce zdrowotnej od 1 stycznia 2026 r. Rząd przedstawił założenia

Przedsiębiorcy rozliczający się według zasad ogólnych i skali podatkowej oraz liniowcy będą od 1 stycznia 2026 r. płacić składkę zdrowotną w wysokości 9 proc. od 75 proc. minimalnego wynagrodzenia, jeśli będą osiągali w danym miesiącu dochód do wysokości 1,5-krotności przeciętnego wynagrodzenia w sektorze przedsiębiorstw w czwartym kwartale roku poprzedniego, włącznie z wypłatami z zysku, ogłaszanego przez prezesa GUS. Będzie też dodatkowa składka w wysokości 4,9 proc. od nadwyżki ponad 1,5-krotność przeciętnego wynagrodzenia, a liniowcy stracą możliwość rozliczenia zapłaconych składek w podatku dochodowym.

Grażyna J. Leśniak 18.11.2024
Prezydent podpisał nowelę ustawy o rozwoju lokalnym z udziałem lokalnej społeczności

Usprawnienie i zwiększenie efektywności systemu wdrażania Rozwoju Lokalnego Kierowanego przez Społeczność (RLKS) przewiduje ustawa z dnia 11 października 2024 r. o zmianie ustawy o rozwoju lokalnym z udziałem lokalnej społeczności. Jak poinformowała w czwartek Kancelaria Prezydenta, Andrzej Duda podpisał ją w środę, 13 listopada. Ustawa wejdzie w życie z dniem następującym po dniu ogłoszenia.

Grażyna J. Leśniak 14.11.2024
Do poprawki nie tylko emerytury czerwcowe, ale i wcześniejsze

Problem osób, które w latach 2009-2019 przeszły na emeryturę w czerwcu, przez co - na skutek niekorzystnych zasad waloryzacji - ich świadczenia były nawet o kilkaset złotych niższe od tych, jakie otrzymywały te, które przeszły na emeryturę w kwietniu lub w maju, w końcu zostanie rozwiązany. Emerytura lub renta rodzinna ma - na ich wniosek złożony do ZUS - podlegać ponownemu ustaleniu wysokości. Zdaniem prawników to dobra regulacja, ale równie ważna i paląca jest sprawa wcześniejszych emerytur. Obie powinny zostać załatwione.

Grażyna J. Leśniak 06.11.2024
Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Metryka aktu
Identyfikator:

Dz.U.2019.730

Rodzaj: Ustawa
Tytuł: Zmiana niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Data aktu: 21/02/2019
Data ogłoszenia: 19/04/2019
Data wejścia w życie: 19/07/2019, 01/05/2019, 04/05/2019, 13/10/2019