AKT ARCHIWALNY - Ustawa o ochronie danych osobowych

Stan prawny aktualny na dzień: 25.02.2026

Dz.U.2016.0.922 t.j. - AKT ARCHIWALNY - Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

AKT ARCHIWALNY - Ustawa o ochronie danych osobowych

Rozdział 5. (utracił moc)

Ucz się efektywniej
rozwiązując test

Obserwuj akt

Rozdział 5. (utracił moc)

Art. 36. Utracił moc

1.

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy
oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2.

Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3.

(uchylony).

Orzeczenia: 12 Porównania: 1

Art. 36a. Utracił moc

1.

Administrator danych może powołać administratora bezpieczeństwa informacji.

2.

Do zadań administratora bezpieczeństwa informacji należy:

1)

zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 utracił moc ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2)

prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 utracił moc ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 utracił moc ust. 1 pkt 2–4a i 7.

3.

Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 utracił moc ust. 2 stosuje się odpowiednio.

4.

Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.

5.

Administratorem bezpieczeństwa informacji może być osoba, która:

1)

ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2)

posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3)

nie była karana za umyślne przestępstwo.

6.

Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.

7.

Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

8.

Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.

9.

Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:

1)

tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,

2)

sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
– uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Art. 36b. Utracił moc

W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a utracił moc ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a utracił moc ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Art. 36c. Utracił moc

Sprawozdanie, o którym mowa w art. 36a utracił moc ust. 2 pkt 1 lit. a, powinno zawierać:

1)

oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;

2)

imię i nazwisko administratora bezpieczeństwa informacji;

3)

wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;

4)

datę rozpoczęcia i zakończenia sprawdzenia;

5)

określenie przedmiotu i zakresu sprawdzenia;

6)

opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7)

stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;

8)

wyszczególnienie załączników stanowiących składową część sprawozdania;

9)

podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;

10)

datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Art. 37. Utracił moc

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Orzeczenia: 2 Porównania: 1

Art. 38. Utracił moc

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Orzeczenia: 2 Porównania: 1

Art. 39. Utracił moc

1.

Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1)

imię i nazwisko osoby upoważnionej;

2)

datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;

3)

identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

2.

Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Orzeczenia: 4 Porównania: 1

Art. 39a. Utracił moc

Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 utracił moc ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.