U S T AWA

o ochronie danych osobowych

Rozdzia ..
Przepisy oglne

Art. 1. W przypadku usug spoeczestwa informacyjnego oferowanych bezporednio

osobie, ktra nie ukoczya lat trzynastu, gdy podstaw przetwarzania danych osobowych jest
zgoda tej osoby, przetwarzanie danych osobowych moliwe jest wycznie po uzyskaniu
uprzedniej zgody jej rodzicw bd opiekunw prawnych.
Art. 2. 1. Prezes Urzdu Ochrony Danych Osobowych, zwany dalej "Prezesem Urzdu",
opracowuje i udostpnia na swojej stronie internetowej dobre praktyki przetwarzania danych
osobowych, zwane dalej dobrymi praktykami, zawierajce rekomendowane rodki
techniczne i organizacyjne stosowane w celu zapewnienia bezpieczestwa przetwarzania
danych osobowych.
2. Dobre praktyki sporzdzane s z uwzgldnieniem specyfiki danego rodzaju
dziaalnoci i podlegaj okresowej aktualizacji.
3. Projekt dobrych praktyk Prezes Urzdu konsultuje z zainteresowanymi podmiotami,
ktrych zakresu dziaania dotyczy dany projekt.

Rozdzia.
Akredytacja i certyfikacja

Art. 3. 1. Akredytacji, o ktrej mowa w art. 43 rozporzdzenia 2016/679, udziela Prezes

Urzdu.
2. Kryteria akredytacji okrela Prezes Urzdu, uwzgldniajc wymogi okrelone w art. 43
ust. 2 rozporzdzenia 2016/679, i ogasza w Biuletynie Informacji Publicznej na stronie
podmiotowej Prezesa Urzdu.
Art. 4.1. Akredytacji dokonuje si na wniosek.
2. Wniosek o akredytacj zawiera co najmniej:
1) nazw wnioskodawcy oraz wskazanie adresu jego siedziby;
 2

2) informacje potwierdzajce spenienie kryteriw, o ktrych mowa w art. 3 ust. 2.

3. Do wniosku docza si:
1) dokumenty potwierdzajce spenienie kryteriw, o ktrych mowa w art. 3 ust. 2 albo
ich elektroniczne kopie;
2) kryteria certyfikacji opracowane przez wnioskodawc w celu ich zatwierdzenia przez
Prezesa Urzdu.
3. Wniosek skada si w postaci papierowej albo elektronicznej.
4. Prezes Urzdu rozpatruje wniosek o akredytacj i w terminie nie duszym ni 3
miesice od dnia zoenia kompletnego wniosku, zawiadamia wnioskodawc o udzieleniu lub
odmowie udzielenia akredytacji.
5. Zawiadamiajc o udzieleniu akredytacji, Prezes Urzdu informuje wnioskodawc o
przyznaniu mu uprawnie podmiotu certyfikujcego.
6. Odmowa udzielenia akredytacji nastpuje w przypadku stwierdzenia, e
wnioskodawca nie spenia kryteriw, o ktrych mowa w art. 3 ust. 2, lub w przypadku nie
zatwierdzenia kryteriw certyfikacji.
7. Prezes Urzdu zawiadamia wnioskodawc o odmowie udzielenia akredytacji.
Art. 5. 1. Dokumentem potwierdzajcym akredytacj jest certyfikat akredytacyjny.
2. Certyfikat akredytacyjny zawiera co najmniej:
1) oznaczenie organu udzielajcego akredytacji i adres jego siedziby;
2) oznaczenie podmiotu certyfikujcego i adres jego siedziby;
2) numer i oznaczenie certyfikatu akredytacyjnego;
3) okres, na jaki zostaa udzielona akredytacja;
4) dat wydania i podpis Prezesa Urzdu lub osoby przez niego upowanionej.
3. W okresie, na jaki zostaa udzielona akredytacja podmiot certyfikujcy jest obowizany
spenia kryteria akredytacji.
4. Prezes Urzdu prowadzi wykaz podmiotw certyfikujcych i ogasza go w Biuletynie
Informacji Publicznej na stronie podmiotowej Prezesa Urzdu.
5. W przypadku, gdy podmiot certyfikujcy:
1) przesta spenia kryteria akredytacji, o ktrych mowa w art. 3 ust. 2;
2) nie stosuje zatwierdzonych kryteriw certyfikacji;
3) podejmuje dziaania naruszajce przepisy o ochronie danych osobowych
- Prezes Urzdu moe cofn udzielon akredytacj.
6. Prezes Urzdu zawiadamia podmiot certyfikujcy o cofniciu akredytacji.
 3

Art. 6. 1. Prezes Urzdu w terminie, o ktrym mowa w art. 4 ust. 4, a take po udzieleniu
akredytacji jest uprawniony do przeprowadzenia czynnoci sprawdzajcych u podmiotu
certyfikujcego.
2. Prezes Urzdu zawiadamia podmiot certyfikujcy o zamiarze przeprowadzenia
czynnoci sprawdzajcych.
3. Czynnoci sprawdzajce przeprowadza si nie wczeniej ni po upywie 7 dni i nie
pniej ni przed upywem 30 dni od dnia dorczenia zawiadomienia o zamiarze ich
przeprowadzenia. Jeeli czynnoci sprawdzajce nie zostan przeprowadzone w terminie 30
dni od dnia dorczenia zawiadomienia, ich przeprowadzenie wymaga ponownego
zawiadomienia.
4. Czynnoci sprawdzajce przeprowadza si na podstawie upowanienia wydanego przez
Prezesa Urzdu, ktre zawiera:
1) imi i nazwisko osoby przeprowadzajcej czynnoci sprawdzajce;
2) nazw podmiotu certyfikujcego;
3) zakres czynnoci sprawdzajcych.
Art. 7. 1. Osoba przeprowadzajca czynnoci sprawdzajce jest uprawniona do:
1) wstpu na grunt oraz do budynkw, lokali lub innych pomieszcze;
2) wgldu do dokumentw i informacji majcych bezporedni zwizek z dziaalnoci
objt akredytacj;
3) ogldzin urzdze, nonikw oraz systemw informatycznych lub teleinformatycznych
sucych do przetwarzania danych;
4) uzyskania ustnych lub pisemnych wyjanie w sprawach zwizanych z dziaalnoci
objt akredytacj.
2. Czynnoci sprawdzajcych dokonuje si w obecnoci podmiotu certyfikujcego lub
osoby przez niego upowanionej.
3. Z czynnoci sprawdzajcych sporzdza si protok i przedstawia podmiotowi
certyfikujcemu.
Art. 8. Prezes Urzdu pobiera opat za udzielenie akredytacji w wysokoci nie
przekraczajcej .. z.
Art. 9. Certyfikacji, o ktrej mowa w art. 42 rozporzdzenia 2016/679, udzielaj
podmioty certyfikujce.
Art. 10. 1. Certyfikacji dokonuje si na wniosek administratora lub podmiotu
przetwarzajcego.
 4

2. Wniosek o certyfikacj zawiera co najmniej:

1) nazw administratora lub podmiotu przetwarzajcego albo jego imi i nazwisko oraz
wskazanie siedziby lub adresu zamieszkania administratora lub podmiotu przetwarzajcego;
2) informacje potwierdzajce spenianie kryteriw certyfikacji.
3. Do wniosku docza si dokumenty potwierdzajce spenienie kryteriw certyfikacji
albo ich elektroniczne kopie.
4. Wniosek skada si w postaci papierowej albo elektronicznej.
5. Podmiot certyfikujcy rozpatruje wniosek o certyfikacj i w terminie nie duszym ni
3 miesice od dnia zoenia kompletnego wniosku, zawiadamia wnioskodawc o udzieleniu
lub odmowie udzielenia certyfikacji.
6. Odmowa certyfikacji nastpuje w przypadku stwierdzenia, e administrator lub
podmiot przetwarzajcy nie spenia kryteriw certyfikacji.
7. Podmiot certyfikujcy zawiadamia administratora lub podmiot przetwarzajcy o
odmowie udzielenia certyfikacji wskazujc kryteria, ktrych nie spenienie byo powodem
odmowy.
Art. 11. 1. Dokumentem potwierdzajcym certyfikacj jest certyfikat.
2. Certyfikat zawiera co najmniej:
1) oznaczenie administratora lub podmiotu przetwarzajcego;
2) nazw podmiotu certyfikujcego oraz wskazanie adresu jego siedziby;
3) numer i oznaczenie certyfikatu;
4) okres, na jaki zostaa udzielona certyfikacja;
5) dat wydania i podpis osoby uprawnionej do reprezentacji podmiotu certyfikujcego.
3. W okresie, na jaki zostaa udzielona certyfikacja administrator lub podmiot
przetwarzajcy s obowizani spenia kryteria certyfikacji.
4. Podmiot certyfikujcy prowadzi publicznie dostpny wykaz administratorw i
podmiotw przetwarzajcych, ktrym udzielono certyfikacji.
5. W przypadku naruszenia kryteriw certyfikacji podmiot certyfikujcy moe cofn
udzielon certyfikacj.
Art. 12. 1. Podmiot certyfikujcy w terminie, o ktrym mowa w art. 10 ust. 5, a take po
udzieleniu certyfikacji jest uprawniony do przeprowadzenia czynnoci sprawdzajcych u
administratora lub podmiotu przetwarzajcego w celu oceny speniania przez ten podmiot
kryteriw certyfikacji.
2. Do czynnoci sprawdzajcych stosuje si przepisy art. 6 ust. 2-4 i art. 7.
 5

Art. 13. 1. Podmiot certyfikujcy moe cofn udzielon certyfikacj w przypadku

stwierdzenia, e administrator lub podmiot przetwarzajcy przesta spenia kryteria
certyfikacji.
2. Podmiot certyfikujcy zawiadamia administratora lub podmiot przetwarzajcy o
cofniciu certyfikacji wskazujc kryteria, ktrych nie spenienie byo powodem cofnicia
certyfikacji.
Art. 14. Podmiot certyfikujcy pobiera opat za udzielenie certyfikacji w wysokoci nie
przekraczajcej .z.

Rozdzia
Postpowanie w sprawie naruszenia przepisw o ochronie danych osobowych

Art. 15. 1. Postpowanie w sprawie naruszenia przepisw o ochronie danych osobowych,

zwane dalej postpowaniem, jest prowadzone przez Prezesa Urzdu.
2. Postpowanie jest postpowaniem jednoinstancyjnym.
Art. 16. Gdy prawa osoby przysugujce na mocy przepisw o ochronie danych
osobowych zostay naruszone, organizacja spoeczna moe wystpowa z daniem:
1) wszczcia postpowania,
2) dopuszczenia jej do udziau w postpowaniu,
jeeli jest to uzasadnione celami statutowymi tej organizacji i gdy przemawia za tym interes
osoby, ktrej prawa zostay naruszone.
Art. 17. O kadym przypadku niezaatwienia sprawy w terminie Prezes Urzdu jest
obowizany zawiadomi strony, podajc przyczyny zwoki, informacj o stanie sprawy i
przeprowadzonych w jej toku czynnociach oraz wskazujc nowy termin zaatwienia sprawy.
Art. 18. 1. Prezes Urzdu moe wyznaczy stronie termin do przedstawienia dowodu
bdcego w jej posiadaniu.
2. Termin ustala si uwzgldniajc charakter dowodu i stan postpowania, przy czym nie
moe on by krtszy ni 3 dni.
3. Prezes Urzdu moe da od strony przedstawienia tumaczenia na jzyk polski
sporzdzonej w jzyku obcym dokumentacji przedoonej przez stron. Czynnoci te strona
jest obowizana wykona na wasny koszt.
 6

Art. 19. 1. Prawo Prezesa Urzdu do dostpu do wszelkich informacji, w tym danych
osobowych, niezbdnych Prezesowi Urzdu do realizacji zada podlega ograniczeniu ze
wzgldu na tajemnice ustawowo chronione.
2. Wykonywanie prawa, o ktrym mowa w ust. 1, jest moliwe na zasadach okrelonych
w przepisach regulujcych dostp do tajemnic ustawowo chronionych.
Art. 20.1. Strona moe zastrzec informacje, dokumenty lub ich czci zawierajce
tajemnic przedsibiorstwa, dostarczane Prezesowi Urzdu.
2. Prezes Urzdu moe uchyli zastrzeenie w drodze decyzji, jeeli uzna, e informacje,
dokumenty lub ich czci nie speniaj przesanek do objcia ich tajemnic przedsibiorstwa.
3. W przypadku ustawowego obowizku przekazania informacji lub dokumentw
otrzymanych od przedsibiorcw innym krajowym lub zagranicznym organom lub
instytucjom, informacje i dokumenty przekazuje si wraz z zastrzeeniem i pod warunkiem
jego przestrzegania.
Art. 21. 1. Prezes Urzdu na wniosek lub z urzdu moe, w drodze postanowienia, w
niezbdnym zakresie ograniczy prawo wgldu do materiau dowodowego, jeeli
udostpnienie tego materiau grozioby ujawnieniem tajemnicy przedsibiorstwa, lub innych
tajemnic podlegajcych ochronie na podstawie odrbnych przepisw.
2. Wniosek o ograniczenie prawa wgldu do materiau dowodowego skada si do Prezesa
Urzdu wraz z uzasadnieniem oraz wersj dokumentu niezawierajc informacji objtych
ograniczeniem, o ktrym mowa w ust. 1, ze stosown adnotacj.
3. Jeeli wniosek nie spenia wymaga okrelonych w ust. 3, Prezes Urzdu wzywa
wnioskodawc do jego uzupenienia w wyznaczonym terminie. W przypadku nieprzedoenia
w wyznaczonym terminie wersji dokumentu, o ktrej mowa w ust. 3, wniosek pozostawia si
bez rozpoznania.
4. Stronom udostpnia si materia dowodowy niezawierajcy informacji objtych
ograniczeniem, o ktrym mowa w ust. 1, ze stosown adnotacj.
Art. 22.1. Kto, bdc obowizany do osobistego stawienia si mimo prawidowego
wezwania nie stawi si bez uzasadnionej przyczyny jako wiadek lub biegy albo bezzasadnie
odmwi zoenia zeznania, wydania opinii, okazania przedmiotu ogldzin albo udziau w innej
czynnoci urzdowej, moe by ukarany kar grzywny do 500 z. Na postanowienie o ukaraniu
suy skarga do sdu administracyjnego.
2. Prezes Urzdu na wniosek ukaranego, zoony w cigu 7 dni od daty dorczenia
postanowienia o ukaraniu, moe uzna za usprawiedliwion nieobecno lub odmow
 7

zeznania, wydania opinii albo okazania przedmiotu ogldzin i zwolni od kary grzywny. Na
postanowienie o odmowie zwolnienia od kary grzywny suy skarga do sdu
administracyjnego.
Art. 23. W toku postpowania moe by prowadzone postpowanie kontrolne, o ktrym
mowa w rozdziale ...
Art. 24.1. Jeeli w toku postpowania zostanie uprawdopodobnione, e przetwarzanie
danych osobowych narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie
moe spowodowa powane i trudne do usunicia skutki, Prezes Urzdu w celu zapobieenia
tym skutkom moe, w drodze postanowienia, zobowiza podmiot, ktremu jest zarzucane
naruszenie przepisw o ochronie danych osobowych, do ograniczenia przetwarzania danych
osobowych wskazujc dopuszczalny zakres tego przetwarzania. Przepisu art. 10 ustawy z dnia
14 czerwca 1960 r. - Kodeks postpowania administracyjnego nie stosuje si.
2. W postanowieniu, o ktrym mowa w ust. 1, Prezes Urzdu okrela czas jego
obowizywania. Postanowienie to obowizuje nie duej ni do czasu wydania decyzji
koczcej postpowanie w sprawie.
Art. 25. Prezes Urzdu wydaje decyzj o umorzeniu postpowania gdy danie
wszczcia postpowania zostao wniesione w sprawie, ktra jest przedmiotem postpowania
toczcego si przed Prezesem Urzdu.
Art. 26. 1. W przypadku naruszenia przepisw o ochronie danych osobowych Prezes
Urzdu, w drodze decyzji, nakazuje:
1) uwzgldnienie da zawartych w skardze osoby, ktrej dane dotycz;
2) dostosowanie operacji przetwarzania danych osobowych do przepisw rozporzdzenia
2016/679, ze wskazaniem, gdzie to waciwe, sposobu i terminu dostosowania;
3) zawiadomienie osoby, ktrej dane dotycz o naruszeniu ochrony danych osobowych;
4) wprowadzenie czasowego lub cakowitego ograniczenia przetwarzania danych
osobowych lub zakazu przetwarzania;
5) sprostowanie lub usunicie danych osobowych;
6) powiadomienie odbiorcw, ktrym dane osobowe zostay ujawnione o sprostowaniu,
usuniciu lub ograniczeniu przetwarzania danych;
7) zawieszenie przepywu danych do odbiorcw w pastwie trzecim lub do organizacji
midzynarodowej.
2. Niezalenie od rozstrzygni, o ktrych mowa w ust. 1, w decyzji Prezes Urzdu moe
naoy administracyjn kar pienin.
 8

3. Uzasadnienie faktyczne decyzji nakadajcej administracyjn kar pienin poza

elementami, o ktrych mowa w art. 107 ust. 3 Kodeksu postpowania administracyjnego,
zawiera wskazanie przesanek z art. 83 ust. 2 rozporzdzenia 2016/679, na ktrych Prezes
Urzdu opar si nakadajc administracyjn kar pienin oraz ustalajc jej wysoko.
Art. 27. W przypadku gdy waga naruszenia przepisw o ochronie danych osobowych jest
znikoma, a strona zaprzestaa naruszenia Prezes Urzdu moe, w drodze decyzji udzieli
upomnienia.
Art. 28. 1. Decyzje Prezesa Urzdu, o ktrych mowa w art. 26 ust. 1, nie mog ogranicza
swobody dziaania podmiotw zgaszajcych kandydatw lub listy kandydatw w wyborach
na urzd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organw samorzdu
terytorialnego, a take w wyborach do Parlamentu Europejskiego, pomidzy dniem zarzdzenia
wyborw a dniem gosowania.
2. Decyzje Prezesa Urzdu, o ktrych mowa w art. 26 ust. 1, nie mog nakazywa
usunicia danych osobowych zebranych w toku czynnoci operacyjno-rozpoznawczych
prowadzonych na podstawie przepisw prawa.
Art. 29.1. Decyzje wydane przez Prezesa Urzdu podlegaj natychmiastowemu
wykonaniu.
2. Wniesienie przez stron skargi do sdu administracyjnego powoduje wstrzymanie
wykonania decyzji w zakresie dotyczcym administracyjnej kary pieninej.
Art. 30. Postanowienia wydane przez Prezesa Urzdu strona moe zaskary w skardze
na decyzj Prezesa Urzdu.
Art. 31. W przypadku wniesienia skargi, jeeli Prezes Urzdu uzna skarg za zasadn w
caoci, moe, nie przekazujc akt oraz odpowiedzi na skarg sdowi, w terminie 30 dni od
dnia wniesienia skargi uchyli zaskaron decyzj i wyda now, o czym niezwocznie
zawiadamia kad ze stron, przesyajc im now decyzj, od ktrej stronom przysuguje skarga
do sdu administracyjnego.
Art. 32. 1. W sprawach nieuregulowanych w ustawie do postpowania przed Prezesem
Urzdu stosuje si przepisy ustawy z dnia 14 czerwca 1960 r. Kodeks postpowania
administracyjnego, z wyczeniem przepisw art. 13, art. 66a oraz art. 114 - 122.
 9

Rozdzia
Europejska wsppraca administracyjna

Art. 33. W przypadkach okrelonych w art. 61 ust. 8, art. 62 ust. 7 i art. 66 ust. 1
rozporzdzenia 2016/679, Prezes Urzdu moe wyda postanowienie, o ktrym mowa w art.
24 ust. 1.
Art. 34. 1. Wszelkie informacje kierowane przez Prezesa Urzdu do organw
nadzorczych innych pastw czonkowskich w ramach europejskiej wsppracy
administracyjnej, powinny zosta przetumaczone na jeden z jzykw urzdowych tego
pastwa czonkowskiego lub na jzyk angielski.
2. Wszelkie informacje kierowane do Prezesa Urzdu w zwizku z europejsk wspprac
administracyjn powinny zosta przetumaczone na jzyk polski.
Art. 35. 1. W przypadku otrzymania przez Prezesa Urzdu wniosku organu nadzorczego
innego pastwa czonkowskiego Unii Europejskiej dotyczcego uczestnictwa we wsplnej
operacji, o ktrej mowa w art. 62 ust. 1 rozporzdzenia 2016/679, albo wystpienia przez
Prezesa Urzdu z takim wnioskiem, Prezes Urzdu dokonuje z organem nadzorczym innego
pastwa czonkowskiego Unii Europejskiej ustale dotyczcych wsplnej operacji i
niezwocznie sporzdza wykaz ustale.
2. Okresy, w ktrych pracownicy organu nadzorczego innego pastwa czonkowskiego
Unii Europejskiej przebywaj na terytorium Rzeczypospolitej Polskiej, biorc udzia we
wsplnej operacji, nie s uwaane za okresy pobytu wpywajce na zmian miejsca
zamieszkania dla celw opodatkowania podatkiem dochodowym zgodnie z prawem
Rzeczypospolitej Polskiej.

Rozdzia
Postpowanie kontrolne

Art. 36. 1. Prezes Urzdu moe prowadzi kontrole przestrzegania przepisw o ochronie
danych osobowych.
2. Postpowanie kontrolne moe by rwnie prowadzone zgodnie z zatwierdzonym
przez Prezes Urzdu planem kontroli bd poza planem na podstawie uzyskanych przez
Prezesa Urzdu informacji albo przeprowadzonych analiz.
 10

Art. 37. 1. Kontrola moe by przeprowadzona przez upowanionego pracownika

Urzdu, zwanego dalej kontrolujcym.
2. Do udziau w kontroli Prezes Urzdu moe upowani czonka lub pracownika organu
nadzorczego pastwa czonkowskiego Unii Europejskiej w przypadku, o ktrym mowa w art.
62 rozporzdzenia 2016/679.
Art. 38. 1. Kontrolujcy podlega wyczeniu, na wniosek lub z urzdu, z postpowania
kontrolnego, jeeli wyniki kontroli mogyby oddziaywa na jego prawa lub obowizki, na
prawa lub obowizki jego maonka albo osoby pozostajcej z nim faktycznie we wsplnym
poyciu, krewnych i powinowatych do drugiego stopnia bd osb zwizanych z nim z tytuu
przysposobienia, opieki lub kurateli. Powody wyczenia kontrolujcego trwaj take po
ustaniu maestwa, przysposobienia, opieki lub kurateli.
2. Kontrolujcy moe by wyczony, na wniosek lub z urzdu, z postpowania
kontrolnego w kadym czasie, jeeli zachodz uzasadnione wtpliwoci co do jego
bezstronnoci.
3. O przyczynach powodujcych wyczenie kontrolujcy lub kierownik jednostki
kontrolowanej niezwocznie zawiadamia Prezesa Urzdu.
4. O wyczeniu kontrolujcego postanawia Prezes Urzdu. Na postanowienie o
wyczeniu zaalenie nie przysuguje.
5. Do czasu wydania postanowienia kontrolujcy podejmuje jedynie czynnoci
niecierpice zwoki.
Art. 39. 1. Upowanienie do przeprowadzenia kontroli zawiera:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu kontroli;
3) imi i nazwisko, stanowisko subowe osoby upowanionej do przeprowadzenia kontroli
oraz numer jej legitymacji subowej, a w przypadku osb, o ktrych mowa w art. 37 ust.
2, imiona i nazwiska tych osb oraz numer paszportu lub innego dokumentu
potwierdzajcego tosamo;
4) okrelenie zakresu przedmiotowego kontroli, w tym okresu objtego kontrol;
5) oznaczenie podmiotu objtego kontrol zwanego dalej kontrolowanym;
6) wskazanie daty rozpoczcia i przewidywanego terminu zakoczenia czynnoci
kontrolnych;
7) podpis Prezesa Urzdu;
8) pouczenie podmiotu objtego kontrol o jego prawach i obowizkach;
 11

9) dat i miejsce wystawienia imiennego upowanienia.

2. W razie nieobecnoci kontrolowanego lub osoby przez niego upowanionej,
upowanienie do przeprowadzenia kontroli oraz legitymacja subowa lub inny dokument
potwierdzajcy tosamo mog by okazane innemu pracownikowi kontrolowanego, ktry
moe by uznany za osob, o ktrej mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. Kodeks
cywilny lub przywoanemu wiadkowi, ktrym powinien by funkcjonariusz publiczny,
niebdcy jednak pracownikiem organu przeprowadzajcego kontrol.
Art. 40. 1. W celu uzyskania informacji mogcych stanowi dowd w sprawie
kontrolujcy ma prawo:
1) wstpu na grunt oraz do budynkw, lokali lub innych pomieszcze;
2) wgldu do wszelkich dokumentw i wszelkich informacji majcych bezporedni zwizek
z przedmiotem kontroli;
3) przeprowadzania ogldzin urzdze, nonikw oraz systemw informatycznych lub
teleinformatycznych sucych do przetwarzania danych;
4) da zoenia pisemnych lub ustnych wyjanie oraz wzywa i przesuchiwa w
charakterze wiadka osoby w zakresie niezbdnym do ustalenia stanu faktycznego.
2. Kontrolowany zapewnia kontrolujcemu oraz osobom upowanionym do udziau w
kontroli warunki i rodki niezbdne do sprawnego przeprowadzenia kontroli, a w szczeglnoci
sporzdza we wasnym zakresie kopie lub wydruki dokumentw oraz informacji
zgromadzonych na nonikach, w urzdzeniach lub w systemach, o ktrych mowa w ust. 1 pkt
3.
3. Kontrolowany dokonuje potwierdzenia za zgodno z oryginaem sporzdzonych kopii
lub wydrukw, o ktrych mowa w ust. 2. W przypadku odmowy potwierdzenia za zgodno z
oryginaem potwierdza je kontrolujcy, o czym czyni wzmiank w protokole kontroli.
4. W toku kontroli kontrolujcy moe korzysta z pomocy funkcjonariuszy innych
organw kontroli pastwowej lub Policji. Organy kontroli pastwowej lub Policja wykonuj
czynnoci na polecenie kontrolujcego.
5. W uzasadnionych przypadkach przebieg kontroli lub poszczeglne czynnoci w jej
toku, po uprzednim poinformowaniu kontrolowanego, mog by utrwalane przy pomocy
urzdze rejestrujcych obraz lub dwik. Informatyczne noniki danych w rozumieniu
przepisw o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne, na
ktrych zarejestrowano przebieg kontroli lub poszczeglne czynnoci w jej toku, stanowi
zacznik do protokou kontroli.
 12

Art. 41.1. Kontrolujcy moe przesucha pracownika kontrolowanego w charakterze

wiadka.
2. Przed rozpoczciem przesuchania kontrolujcy obowizany jest uprzedzi wiadka o
odpowiedzialnoci karnej za zeznanie nieprawdy lub zatajenie prawdy, a w sytuacji okrelonej
w ust. 3, informuje go o przysugujcych mu uprawnieniach.
3. Osoba, o ktrej mowa w ust. 1, moe odmwi udzielenia informacji lub
wspdziaania w toku kontroli tylko wtedy, gdy narazioby to j lub jej maonka, wstpnych,
zstpnych, rodzestwo oraz powinowatych w tej samej linii lub stopniu, jak rwnie osoby
pozostajce w stosunku przysposobienia, opieki lub kurateli, a take osob pozostajc we
wsplnym poyciu, na odpowiedzialno karn. Prawo odmowy udzielenia informacji lub
wspdziaania w toku kontroli trwa po ustaniu maestwa lub rozwizaniu stosunku
przysposobienia, opieki lub kurateli.
Art. 42. Kontrolujcy ustala stan faktyczny na podstawie dowodw zebranych w toku
kontroli, a w szczeglnoci dokumentw, przedmiotw, ogldzin oraz ustnych lub pisemnych
wyjanie i owiadcze.
Art. 43. 1. Przebieg przeprowadzonej kontroli kontrolujcy przedstawia w protokole
kontroli.
2. Protok kontroli powinien zawiera:
1) wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
2) imi i nazwisko osoby reprezentujcej podmiot kontrolowany oraz nazw organu
reprezentujcego ten podmiot;
3) imi i nazwisko, stanowisko subowe, numer legitymacji subowej oraz numer
upowanienia kontrolujcego a w przypadku osb, o ktrych mowa w art. 37 ust. 2, imi
i nazwisko, numer paszportu albo innego dokumentu potwierdzajcego tosamo oraz
numer upowanienia;
4) dat rozpoczcia i zakoczenia czynnoci kontrolnych;
5) okrelenie przedmiotu i zakresu kontroli;
6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje majce istotne
znaczenie dla oceny zgodnoci przetwarzania danych z przepisami o ochronie danych
osobowych;
7) wyszczeglnienie zacznikw;
8) omwienie dokonanych w protokole poprawek, skrele i uzupenie;
 13

9) informacj o pouczeniu kontrolowanego o prawie zgaszania zastrzee do protokou

oraz o prawie odmowy podpisania protokou.
10) dat i miejsce podpisania protokou przez kontrolujcego i kontrolowanego.
3. Protok kontroli podpisuj kontrolujcy i kontrolowany.
4. Przed podpisaniem protokou kontrolowany moe, w terminie 7 dni od przedstawienia
mu go do podpisu, zoy na pimie zastrzeenia do tego protokou.
5. W razie zgoszenia zastrzee, o ktrych mowa w ust. 4, kontrolujcy dokonuje ich
analizy i, w razie potrzeby, podejmuje dodatkowe czynnoci kontrolne, a w przypadku
stwierdzenia zasadnoci zastrzee zmienia lub uzupenia odpowiedni cz protokou w
formie aneksu do protokou.
6. W razie nieuwzgldnienia zastrzee w caoci lub w czci kontrolujcy informuje o
tym kontrolowanego na pimie.
7. O odmowie podpisania protokou kontrolujcy czyni wzmiank w protokole.
8. Protok w postaci papierowej sporzdza si w dwch egzemplarzach, z ktrych jeden
pozostawia si kontrolowanemu, a w przypadku protokou sporzdzonego w postaci
elektronicznej dorcza si go kontrolowanemu.
Art. 44. Do kontroli dziaalnoci gospodarczej przedsibiorcy, stosuje si przepisy
rozdziau 5 ustawy z dnia 2 lipca 2004 r. o swobodzie dziaalnoci gospodarczej (Dz. U. z 2016
r. poz. 1829, 1948, 1997 i 2255), z wyczeniem art. 79, art. 82 i art. 83.
Art. 45. 1. Postpowanie kontrolne nie moe trwa duej ni miesic od dnia podjcia
czynnoci kontrolnych.
2. Terminem zakoczenia postpowania kontrolnego jest dzie podpisania protokou
kontrolnego przez kontrolowanego albo dzie dokonania wzmianki, o ktrej mowa w art. 43
ust. 7.
3. W przypadku postpowania kontrolnego prowadzonego w toku postpowania
administracyjnego terminu przewidzianego w ust. 1 nie wlicza si do terminw, o ktrych
mowa w art. 35 Kodeksu postpowania administracyjnego.
Art. 46. W razie stwierdzenia w toku postpowania kontrolnego naruszenia przepisw o
ochronie danych osobowych Prezes Urzdu niezwocznie wszczyna postpowanie.
Art. 47. Na podstawie ustale kontroli kontrolujcy moe da wszczcia postpowania
dyscyplinarnego lub innego przewidzianego prawem postpowania przeciwko osobom
winnym uchybie i poinformowania go, w okrelonym terminie, o wynikach tego
postpowania i podjtych dziaaniach.
 14

Art. 48. W razie stwierdzenia, e dziaanie lub zaniechanie kierownika jednostki

organizacyjnej, jej pracownika lub innej osoby fizycznej bdcej administratorem danych lub
podmiotem przetwarzajcym wyczerpuje znamiona przestpstwa okrelonego w ustawie,
Prezes Urzdu kieruje do organu powoanego do cigania przestpstw zawiadomienie o
popenieniu przestpstwa, doczajc dowody dokumentujce podejrzenie.

Rozdzia
Administracyjne kary pienine

Art. 49. Prezes Urzdu moe naoy na podmioty nie bdce organami publicznymi w
rozumieniu w art. 5 2 pkt 3 Kodeksu postpowania administracyjnego albo podmiotami
publicznymi w rozumieniu w art. 9 pkt 1-7 ustawy z dnia 27 sierpnia 2009 r. o finansach
publicznych (Dz. U. z 2016 r. poz. 1870, z pn. zm.), w drodze decyzji, administracyjne kary
pienine na podstawie i na warunkach okrelonych w art. 83 rozporzdzenia 2016/679.
Art. 50. 1. Na podmioty publiczne, o ktrych mowa w art. 9 pkt 8 - 14 ustawy z dnia 27
sierpnia 2009 r. o finansach publicznych (Dz. U. z 2016 r. poz. 1870, z pn. zm.) Prezes
Urzdu moe naoy, w drodze decyzji, administracyjne kary pienine w wysokoci do
100 000 z.
2. Administracyjne kary pienine, o ktrych mowa w ust. 1, Prezes Urzdu nakada na
podstawie i na warunkach okrelonych w art. 83 ust. 2 lit. a-i i k rozporzdzenia 2016/679.
Art. 51. Rwnowarto wyraonych w euro kwot, o ktrych mowa w art. 83
rozporzdzenia 2016/679, oblicza si w zotych wedug redniego kursu euro ogoszonego
przez Narodowy Bank Polski w tabeli kursw na dzie 28 stycznia kadego roku, a w
przypadku gdy w danym roku Narodowy Bank Polski nie ogasza redniego kursu euro w dniu
28 stycznia wedug redniego kursu euro ogoszonego w najbliszej po tej dacie tabeli kursw
Narodowego Banku Polskiego.
Art. 52. 1. rodki finansowe pochodzce z kar pieninych stanowi dochd budetu
pastwa.
2. Kar pienin uiszcza si w terminie 14 dni od dnia upywu terminu na wniesienie
skargi, albo od dnia uprawomocnienia si orzeczenia sdu administracyjnego.
3. W razie upywu terminu, o ktrym mowa w ust. 2, kara pienina podlega cigniciu
w trybie przepisw o postpowaniu egzekucyjnym w administracji.
 15

Art. 53. 1. Prezes Urzdu moe na wniosek podmiotu ukaranego odroczy uiszczenie
kary pieninej albo rozoy j na raty ze wzgldu na wany interes wnioskodawcy.
2. Do wniosku docza si uzasadnienie.
3. W przypadku odroczenia uiszczenia kary pieninej albo rozoenia jej na raty, Prezes
Urzdu nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, ktrych wysoko wynosi
50% stawki odsetek za zwok, ogaszanej na podstawie art. 56 3 ustawy z dnia 29 sierpnia
1997 r. - Ordynacja podatkowa (Dz. U. z 2012 r. poz. 749, z pn. zm.), od dnia nastpujcego
po dniu zoenia wniosku.
4. W przypadku rozoenia na raty kary pieninej, odsetki, o ktrych mowa w ust. 3, s
naliczane odrbnie dla kadej raty.
5. Odsetki s naliczane za okres od dnia upywu odroczonego terminu patnoci kary
pieninej albo terminu zapaty poszczeglnych rat.
6. Prezes Urzdu moe uchyli odroczenie uiszczenia kary pieninej albo rozoenie jej
na raty, jeeli ujawniy si nowe lub uprzednio nieznane okolicznoci istotne dla
rozstrzygnicia lub jeeli rata nie zostaa uiszczona w terminie.
7. Rozstrzygnicie Prezesa Urzdu w przedmiocie odroczenia uiszczenia kary pieninej
albo rozoenia jej na raty nastpuje w drodze postanowienia, na ktre nie przysuguje skarga
do sdu administracyjnego.
Art. 54. Przepisw art. 189f i art.189k Kodeksu postpowania administracyjnego nie
stosuje si.

Rozdzia
Odpowiedzialno cywilna

Art. 55. 1. Niezalenie od prawa do dania wszczcia postpowania przez organ

nadzorczy, kada osoba, ktrej prawa przysugujce na mocy przepisw o ochronie danych
osobowych zostay naruszone, moe da, aeby ten, kto dopuci si naruszenia, dopeni
czynnoci potrzebnych do usunicia jego skutkw.
2. Wystpienie z roszczeniem, o ktrym mowa w ust. 1 nie wycza moliwoci
wystpienia z innymi roszczeniami z tytuu naruszenia przepisw o ochronie danych
osobowych.
3. Sprawy dotyczce roszcze, o ktrych mowa w ust. 1 i 2, rozstrzygane s w trybie
postpowania cywilnego.
 16

Art. 56. 1. Sd okrgowy, waciwy w sprawach, o ktrych mowa w art. 55, take przed
wytoczeniem powdztwa rozpoznaje, nie pniej ni w terminie 3 dni od dnia zoenia w
sdzie, wniosek osoby, ktrej prawa przysugujce na mocy przepisw o ochronie danych
osobowych zostay naruszone:
1) o zabezpieczenie dowodw oraz o zabezpieczenie zwizanych z nimi roszcze;
2) o zobowizanie naruszajcego prawa przysugujce na mocy przepisw o ochronie
danych osobowych do udzielenia informacji i udostpnienia okrelonej przez sd
dokumentacji majcej znaczenie dla roszcze, o ktrych mowa w art. 55 ust. 1 i 2;
3) o zobowizanie innej ni naruszajcy osoby do udzielenia informacji, ktre maj
znaczenie dla roszcze, okrelonych w art. 55 ust. 1 i 2.
2. Sd, dopuszczajc dowd lub rozpoznajc wnioski, o ktrych mowa w ust. 1, zapewnia
zachowanie tajemnicy przedsibiorcy i innych tajemnic ustawowo chronionych.
3. Od obowizku, o ktrym mowa w ust. 1 pkt 2 i 3, moe uchyli si ten, kto wedug
przepisw Kodeksu postpowania cywilnego mgby jako wiadek odmwi zezna lub
odpowiedzi na zadane mu pytanie.
4. W uzasadnionych przypadkach sd moe uzaleni wydanie postanowienia o
zabezpieczeniu dowodw, o ktrych mowa w ust. 1 pkt 1, od zoenia kaucji.
5. Zaalenia na postanowienia sdu w sprawach, o ktrych mowa w ust. 1, sd rozpoznaje
w terminie 7 dni.
6. Do zabezpieczenia dowodw stosuje si odpowiednio art. 733, art. 742 i art. 744746
Kodeksu postpowania cywilnego.
Art. 57. 1. O wniesieniu pozwu w sprawach, o ktrych mowa w art. 55, sd zawiadamia
niezwocznie Prezesa Urzdu.
2. Jeeli przed Prezesem Urzdu albo sdem administracyjnym toczy si postpowanie w
sprawie naruszenia przepisw o ochronie danych osobowych albo postpowanie takie zostao
zakoczone, Prezes Urzdu zawiadamia o tym sd.
3. Sd moe zwiesi toczce si przed nim postpowanie do czasu zakoczenia
postpowania przed Prezesem Urzdu.
Art. 58. O kadym wyroku w sprawach, o ktrych mowa w art. 55 ust. 1 i 2 sd
zawiadamia Prezesa Urzdu.
 17

Rozdzia
Inspektorzy ochrony danych

Art. 59.1. Administrator danych albo podmiot przetwarzajcy, ktry wyznaczy inspektora
ochrony danych, zwanego dalej inspektorem, zawiadamia Prezesa Urzdu o jego
wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazujc imi, nazwisko, adres
poczty elektronicznej albo numer telefonu inspektora.
2. W zawiadomieniu administrator danych albo podmiot przetwarzajcy obowizany jest
wskaza adres swojej siedziby i pen nazw, a w przypadku gdy administratorem lub
podmiotem przetwarzajcym jest osoba fizyczna miejsce zamieszkania oraz imi i nazwisko.
3. O kadej zmianie danych, o ktrej mowa w ust. 1 i 2, naley zawiadomi Prezesa Urzdu w
terminie 14 dni od dnia zaistnienia zmiany.
4. Zawiadomienia, o ktrych mowa w ust. 1 i 3, sporzdza si w postaci papierowej albo
elektronicznej.
5. Prezes Urzdu prowadzi system teleinformatyczny umoliwiajcy przesyanie zawiadomie
w postaci elektronicznej.
6. Prezes Urzdu prowadzi ewidencj zawiadomie, o ktrych mowa w ust. 1 i 3.
Art. 60. Przez organy i podmioty publiczne obowizane do wyznaczenia inspektora, o
ktrych mowa w art. 37 ust. 1 lit. a rozporzdzenia 2016/679, rozumie si organy publiczne
wskazane w art. 5 2 pkt 3 Kodeksu postpowania administracyjnego oraz podmioty publiczne
wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, (Dz. U. z 2016 r.
poz. 1870, z pn. zm.).
Art. 61. 1. Osoby wykonujce w dniu 24 maja 2018 r. funkcj administratora
bezpieczestwa informacji, peni funkcj inspektora ochrony danych do dnia 1 wrzenia 2018
r.
2. W terminie, o ktrym mowa w ust. 1, administrator lub podmiot przetwarzajcy
zawiadamiaj Prezesa Urzdu o wyznaczeniu inspektora ochrony danych osobowych zgodnie
z art. 59 ust. 1 albo, e administrator bezpieczestwa informacji nie peni funkcji inspektora
ochrony danych.