W ustawie z dnia 26 marca 1982 r. o Trybunale Stanu (Dz. U. z 2016 r. poz. 2050) po art. 20e dodaje się art. 20f i art. 20g w brzmieniu:
"Art. 20f. Trybunał Stanu jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań.
Art. 20g. 1. Nadzór nad przetwarzaniem danych osobowych przez Trybunał Stanu w ramach prowadzonych przez niego postępowań wykonuje Krajowa Rada Sądownictwa.
2. Do nadzoru, o którym mowa w ust. 1, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych (Dz. U. z 2019 r. poz. 52, 55, 60 i 125) stosuje się odpowiednio.".
po art. 22 dodaje się art. 22a i art. 22b w brzmieniu:
"Art. 22a. 1. Państwowa Straż Rybacka w celu realizacji ustawowych zadań jest uprawniona do przetwarzania informacji, w tym danych osobowych, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz przetwarzania danych genetycznych lub danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących seksualności i orientacji seksualnej osoby fizycznej.
2. Państwowa Straż Rybacka może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, w celu realizacji swoich ustawowych zadań.
3. Administratorem danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest komendant wojewódzki Państwowej Straży Rybackiej.
4. Państwowa Straż Rybacka w celu realizacji zadań ustawowych, w szczególności dotyczących wykrywania i zwalczania przestępstw lub wykroczeń oraz identyfikacji osób w ramach wykonywanych czynności, jest uprawniona do uzyskiwania informacji, w tym danych osobowych, od innych służb, instytucji państwowych oraz organów władzy publicznej, w szczególności:
1) gromadzonych w zbiorach danych lub rejestrach prowadzonych przez te podmioty;
2) uzyskanych w wyniku wykonywania swoich zadań ustawowych przez te podmioty.
5. W przypadku, o którym mowa w ust. 4, służby, instytucje państwowe oraz organy władzy publicznej są obowiązane do nieodpłatnego udostępnienia Państwowej Straży Rybackiej informacji, w tym danych osobowych.
6. Służby, instytucje państwowe oraz organy władzy publicznej administrujące zbiorami danych lub rejestrami, o których mowa w ust. 4 pkt 1, mogą wyrazić zgodę na udostępnianie za pomocą urządzeń telekomunikacyjnych (teletransmisji) informacji zgromadzonych w tych zbiorach lub rejestrach jednostkom organizacyjnym Państwowej Straży Rybackiej bez konieczności składania pisemnych wniosków w postaci papierowej lub elektronicznej, jeżeli jednostki te spełniają łącznie następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie kto, kiedy, w jakim celu oraz jakie dane uzyskał;
2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie informacji, w tym danych osobowych, niezgodnie z celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem wykonywania zadań albo prowadzonej działalności.
Art. 22b. 1. Państwowa Straż Rybacka jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Państwowej Straży Rybackiej, przenoszenia do służby w Państwowej Straży Rybackiej oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy Państwowej Straży Rybackiej, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
2. Do przetwarzania danych osobowych, o których mowa w ust. 1, nie stosuje się art. 13 ust. 1 lit. d i e oraz art. 16 rozporządzenia (UE) 2016/679 w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania. Zabezpieczenie przetwarzania danych osobowych polega co najmniej na dopuszczeniu do ich przetwarzania wyłącznie pracowników posiadających pisemne upoważnienie wydane przez administratora danych oraz pisemnym zobowiązaniu pracowników do zachowania przetwarzanych danych w poufności.";
po art. 24 dodaje się art. 24a w brzmieniu:
"Art. 24a. 1. Społeczna Straż Rybacka w celu realizacji ustawowych zadań jest uprawniona do przetwarzania informacji, w tym danych osobowych, z wyłączeniem danych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych lub danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących seksualności i orientacji seksualnej osoby fizycznej.
2. Społeczna Straż Rybacka może przetwarzać dane osobowe bez wiedzy i zgody osoby, której dane dotyczą, w celu realizacji swoich ustawowych zadań.
3. Administratorem danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, jest komendant właściwej jednostki Społecznej Straży Rybackiej.".
w art. 1 w ust. 2 pkt 8 otrzymuje brzmienie:
"8) przetwarzanie informacji kryminalnych, w tym danych osobowych;";
w art. 14:
a) w ust. 1 w pkt 1 po wyrazie "przestępstw" dodaje się przecinek i wyrazy "przestępstw skarbowych",
b) w ust. 4 wyrazy "ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922)" zastępuje się wyrazami "ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125)";
w art. 15:
– w pkt 3a w lit. c średnik zastępuje się przecinkiem i dodaje się lit. d w brzmieniu:
"d) w celu identyfikacji lub wykrywania sprawców przestępstw - na zasadach określonych w niniejszej ustawie;",
– po pkt 5a dodaje się pkt 5b w brzmieniu:
"5b) obserwowania i rejestrowania przy użyciu środków technicznych obrazu lub dźwięku w trakcie interwencji w miejscach innych niż publiczne, podczas prowadzenia działań kontrterrorystycznych oraz wspierania działań jednostek organizacyjnych Policji przez służbę kontrterrorystyczną w warunkach szczególnego zagrożenia lub wymagających użycia specjalistycznych sił i środków oraz specjalistycznej taktyki działań, a także w policyjnych środkach transportu;",
b) po ust. 7b dodaje się ust. 7c w brzmieniu:
"7c. Użyte w ust. 1 pkt 5b określenie interwencja oznacza włączenie się policjanta lub policjantów w tok zdarzenia mogącego naruszać normy prawne i podjęcie działań zmierzających do ustalenia charakteru, rodzaju i okoliczności powstałego zdarzenia oraz przedsięwzięć ukierunkowanych na przywrócenie naruszonego porządku prawnego.",
c) ust. 8 otrzymuje brzmienie:
"8. Rada Ministrów określi, w drodze rozporządzenia, sposób postępowania przy wykonywaniu uprawnień, o których mowa w ust. 1 pkt 1, 2a, 3, pkt 3a lit. b-d, pkt 3b, 5a-7, 9 i 10, wzory dokumentów stosowanych w tych sprawach oraz w odniesieniu do ust. 1 pkt 5b również sposób przechowywania, odtwarzania i kopiowania zapisów obrazu i dźwięku, mając na względzie zapewnienie skuteczności działań podejmowanych przez Policję, poszanowanie praw osób, wobec których działania te są podejmowane oraz konieczność właściwego zabezpieczenia utrwalonego obrazu i dźwięku przed utratą, zniekształceniem, a także zapewnienie ochrony praw osób, których wizerunek został utrwalony.";
po art. 15a dodaje się art. 15b i art. 15c w brzmieniu:
"Art. 15b. Informacje uzyskane podczas realizacji czynności, o których mowa w art. 15 ust. 1 pkt 5a i 5b, w tym dane osobowe niezawierające dowodów pozwalających na wszczęcie postępowania karnego albo postępowania w sprawach o wykroczenia, postępowania dyscyplinarnego lub mogących być wykorzystanymi w postępowaniu w ramach czynności wyjaśniających albo dowodów mających znaczenie dla toczących się takich postępowań, Policja przechowuje przez okres co najmniej 30 dni, nie dłużej jednak niż 60 dni od dnia zarejestrowania, a następnie je niszczy. W przypadku czynności operacyjno-rozpoznawczych terminy, o których mowa w zdaniu pierwszym, są liczone od dnia zakończenia realizacji tych czynności.
Art. 15c. W przypadkach, o których mowa w art. 15 ust. 1 pkt 5b, z wyłączeniem działań kontrterrorystycznych oraz wspierania działań jednostek organizacyjnych Policji przez służbę kontrterrorystyczną w warunkach szczególnego zagrożenia lub wymagających użycia specjalistycznych sił i środków oraz specjalistycznej taktyki działań, funkcjonariusz Policji w miarę możliwości uprzedza osobę, wobec której podejmuje czynności, o rejestrowaniu obrazu lub dźwięku.";
w art. 20:
a) ust. 1 otrzymuje brzmienie:
"1. W celu realizacji zadań ustawowych Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych, z zachowaniem ograniczeń wynikających z art. 19.",
b) po ust. 1 dodaje się ust. 1a-1o w brzmieniu:
"1a. Przetwarzanie oraz wymiana informacji, w tym danych osobowych, może dotyczyć danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, przy czym dane dotyczące wyników analizy kwasu deoksyrybonukleinowego (DNA) obejmują informacje wyłącznie o niekodującej części DNA.
1b. Uzyskiwanie informacji, w tym danych osobowych, może odbywać się z wykorzystaniem środków technicznych.
1c. Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do realizacji zadań ustawowych lub wykonywania uprawnień związanych z prowadzeniem postępowań administracyjnych, realizacją czynności administracyjno-porządkowych oraz innych czynności, do przeprowadzania których funkcjonariusze Policji są uprawnieni na podstawie ustaw, w celach innych niż określone w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1. z późn. zm.), zwanego dalej "rozporządzeniem (UE) 2016/679", z wyłączeniem danych dotyczących kodu genetycznego.
1d. Policja w zakresie swojej właściwości przetwarza informacje, w tym dane osobowe, uzyskane ze zbiorów danych prowadzonych przez inne służby, instytucje państwowe oraz organy władzy publicznej. Przetwarzanie informacji, w tym danych osobowych, przez Policję może mieć charakter niejawny, odbywać się bez zgody i wiedzy, osoby której dane dotyczą, oraz z wykorzystaniem środków technicznych. Służby, instytucje państwowe oraz organy władzy publicznej są obowiązane do nieodpłatnego udostępnienia Policji informacji, w tym danych osobowych. W szczególności Policja jest uprawniona do uzyskiwania informacji, w tym danych osobowych:
1) gromadzonych w administrowanych przez nich zbiorach danych lub rejestrach;
2) uzyskanych przez te służby lub organy w wyniku wykonywania czynności operacyjno-rozpoznawczych,
w tym prowadzonej kontroli operacyjnej.
1e. Podmioty, o których mowa w ust. 1d, mogą wyrazić pisemną zgodę na udostępnianie danych zgromadzonych w zbiorach danych jednostkom organizacyjnym Policji w drodze teletransmisji, bez konieczności składania wniosku pisemnie w postaci papierowej lub elektronicznej, jeżeli jednostki te spełniają łącznie następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu oraz jakie dane uzyskał;
2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem wykonywanych zadań albo prowadzonej działalności.
1f. Komendant Główny Policji, Komendant CBŚP, Komendant BSWP, dyrektor Centralnego Laboratorium Kryminalistycznego Policji, komendanci wojewódzcy (Stołeczny) Policji, komendanci powiatowi (miejscy i rejonowi) Policji, Komendant-Rektor Wyższej Szkoły Policji w Szczytnie oraz komendanci szkół policyjnych są administratorami danych osobowych w stosunku do zbiorów danych osobowych utworzonych przez nich w celu realizacji zadań ustawowych.
1g. Kierownicy jednostek organizacyjnych Policji, o których mowa w ust. 1f, mogą tworzyć lub likwidować w drodze decyzji systemy, zbiory danych lub zestawy zbiorów danych, inne niż określone w niniejszej ustawie, w których przetwarza się informacje, w tym dane osobowe, w celu realizacji przez Policję zadań ustawowych.
1h. W przypadku likwidowania systemów, zbiorów danych lub zestawów zbiorów informacji, w tym danych osobowych, dokonuje tego komisja wyznaczana przez kierowników jednostek organizacyjnych Policji, o których mowa w ust. 1f, z czego sporządza się protokół.
1i. Kierownicy jednostek organizacyjnych Policji, o których mowa w ust. 1f, prowadzą rejestr systemów, zbiorów danych lub zestawów zbiorów danych, w których przetwarza się informacje, w tym dane osobowe.
1j. Przetwarzanie danych osobowych przez Policję w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, odbywa się na podstawie ustawy, prawa Unii Europejskiej oraz postanowień umów międzynarodowych.
1k. W przypadku podejrzanych Policja pobiera wymazy ze śluzówki policzków oraz dane osobowe, o których mowa w art. 21a ust. 2 pkt 2 lit. b-h i art. 21h ust. 2 pkt 2 i 3, w celach, o których mowa w art. 15 ust. 1 pkt 3a lit. d.
1l. Policja pobiera odciski linii papilarnych lub wymazy ze śluzówki policzków od funkcjonariuszy i pracowników Policji wykonujących służbowe czynności związane z ujawnianiem, zabezpieczaniem lub badaniem śladów związanych z podejrzeniem popełnienia czynu zabronionego w celach wyeliminowania pozostawionych przez nich śladów.
1m. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, tryb pobierania odcisków linii papilarnych lub wymazów ze śluzówki policzków od funkcjonariuszy i pracowników Policji oraz sposób przeprowadzania i dokumentowania czynności związanych z ich pobieraniem, a także rodzaje służb policyjnych uprawnionych do korzystania ze zbiorów danych zawierających odciski linii papilarnych lub wymazy ze śluzówki policzków od funkcjonariuszy i pracowników Policji oraz sposób zabezpieczenia tych zbiorów uniemożliwiający identyfikację funkcjonariusza lub pracownika Policji, których dane dotyczą, przez osobę nieupoważnioną, uwzględniając konieczność wyeliminowania pozostawionych przez nich śladów.
1n. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wzory dokumentów obowiązujących przy przetwarzaniu danych, uwzględniając potrzebę ochrony danych przed nieuprawnionym dostępem i przesłanki zaniechania zbierania określonych rodzajów informacji, a w przypadku wymiany informacji - uwzględniając konieczność dostosowania się do wymogów określonych przez organy innych państw, zobowiązania międzynarodowe Rzeczypospolitej Polskiej lub przez Międzynarodową Organizację Policji Kryminalnej - Interpol.
1o. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wzory kart daktyloskopijnych, na których dane daktyloskopijne są pobierane przez upoważnione podmioty i przekazywane Komendantowi Głównemu Policji w celu przetwarzania w zbiorach danych daktyloskopijnych, oraz tryb i sposób ich przekazywania Komendantowi Głównemu Policji przez obowiązane do tego służby, instytucje państwowe oraz organy władzy publicznej - uwzględniając charakter realizowanych zadań i celów przeznaczenia danej karty daktyloskopijnej.",
c) uchyla się ust. 2a,
d) st. 2aa i 2ab otrzymują brzmienie:
"2aa. W celu realizacji zadań ustawowych Policja jest uprawniona do wymiany informacji, w tym danych osobowych, z organami ścigania państw członkowskich Unii Europejskiej i innych państw, agencjami Unii Europejskiej zajmującymi się zapobieganiem i zwalczaniem przestępczości, Międzynarodową Organizacją Policji Kryminalnej - Interpol oraz innymi organizacjami międzynarodowymi na zasadach i warunkach określonych w przepisach odrębnych, prawie Unii Europejskiej oraz umowach międzynarodowych.
2ab. Policja jest uprawniona do przetwarzania i wymiany informacji, w tym danych osobowych osób ubiegających się o przyjęcie do pracy w agencjach Unii Europejskiej zajmujących się zapobieganiem lub zwalczaniem czynów zabronionych, międzynarodowych organach sądowniczych, międzynarodowych organach ścigania oraz w Międzynarodowej Organizacji Policji Kryminalnej - Interpol, za zgodą tych osób. Policja, przekazując wyniki przetwarzania, zastrzega, że nie udostępnia się ich osobie, której dane osobowe dotyczą.",
e) uchyla się ust. 2ac,
f) w ust. 2b pkt 1 otrzymuje brzmienie:
"1) dane osobowe, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, z tym że dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA;",
g) ust. 2c otrzymuje brzmienie:
"2c. Danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej.",
h) w ust. 4 dodaje się zdanie trzecie w brzmieniu: "Informacje i dane udostępnia się także organom ścigania państw członkowskich Unii Europejskiej, agencjom Unii Europejskiej zajmującym się zapobieganiem i zwalczaniem przestępczości oraz Międzynarodowej Organizacji Policji Kryminalnej - Interpol, jeżeli następuje to w celu ścigania karnego.",
i) w ust. 7 po wyrazach "rozpatrzeniu wniosku" dodaje się przecinek oraz wyrazy "o którym mowa w ust. 5,",
j) uchyla się ust. 15-19;
w art. 20a po ust. 1 dodaje się ust. 1a w brzmieniu:
"1a. Ochrona, o której mowa w ust. 1, może być realizowana przez obserwowanie i rejestrowanie wykonywanych zadań służbowych, obiektów Policji i policyjnych środków transportu.";
w art. 20c wprowadza się następujące zmiany:
a) w ust. 1 we wprowadzeniu do wyliczenia po wyrazie "przestępstw" dodaje się przecinek i wyrazy "przestępstw skarbowych",
b) po ust. 6 dodaje się ust. 6a w brzmieniu:
"6a. Komendant Główny Policji, Komendant CBŚP, Komendant BSWP albo komendant wojewódzki (Stołeczny) Policji może upoważnić swojego zastępcę do realizacji czynności, o których mowa w ust. 6.",
c) dodaje się ust. 8 w brzmieniu:
"8. Dane, o których mowa w ust. 1, pobiera się i udostępnia się także organom ścigania państw członkowskich Unii Europejskiej i innych państw, agencjom Unii Europejskiej zajmującymi się zapobieganiem i zwalczaniem przestępczości oraz Międzynarodowej Organizacji Policji Kryminalnej - Interpol na ich wniosek, jeżeli następuje to w celu wykrywania przestępstw oraz ścigania ich sprawców, ratowania życia lub zdrowia ludzkiego albo poszukiwania osób zaginionych.";
w art. 20cb:
a) w ust. 1 we wprowadzeniu do wyliczenia po wyrazie "przestępstw" dodaje się przecinek i wyrazy "przestępstw skarbowych",
b) ust. 2 otrzymuje brzmienie:
"2. Do udostępniania i przetwarzania danych, o których mowa w ust. 1, przepisy art. 20c ust. 2-8 stosuje się.";
w art. 20e ust. 1 otrzymuje brzmienie:
"1. Komendant Główny Policji prowadzi System Wspomagania Dowodzenia Policji, zwany dalej "SWD Policji", będący systemem teleinformatycznym wspierającym:
1) wykonywanie zadań ustawowych przez jednostki organizacyjne Policji;
2) obsługę zgłoszeń alarmowych, o których mowa w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (Dz. U. z 2018 r. poz. 867 i 1115).";
dodaje się art. 20g w brzmieniu:
"Art. 20g. 1. W związku z obsługą zadań, o których mowa w art. 20e ust. 1 pkt 1, Komendant Główny Policji przetwarza w SWD Policji informacje, w tym dane osobowe osób, których dane uzyskano w związku z realizacją zadań, o których mowa w art. 1 ust. 2 i 3, i w tym zakresie jest administratorem w rozumieniu przepisów o ochronie danych osobowych.
2. W związku z obsługą zgłoszeń alarmowych, o których mowa w art. 20e ust. 1 pkt 2, Komendant Główny Policji przetwarza w SWD Policji informacje, w tym dane osobowe osób określonych w ustawie z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, i w tym zakresie jest administratorem w rozumieniu przepisów o ochronie danych osobowych.
3. Komendant Główny Policji przetwarza w SWD Policji informacje, w tym dane osobowe, w celu:
1) ewidencjonowania i dokumentowania przyjmowanych zgłoszeń o zdarzeniach oraz podjętych interwencjach;
2) zapewnienia właściwej reakcji Policji na zdarzenie;
3) współdziałania Policji z centrami powiadamiania ratunkowego oraz innymi służbami ratowniczymi;
4) zabezpieczania danych o źródłach dowodowych oraz prowadzenia analizy zagrożenia.
4. Informacje, w tym dane osobowe, przetwarzane w SWD Policji usuwa się automatycznie po upływie 5 lat od ich rejestracji.";
art. 21a-21e otrzymują brzmienie:
"Art. 21a. 1. Komendant Główny Policji prowadzi zbiór danych zawierający informacje o wynikach analizy kwasu deoksyrybonukleinowego (DNA), zwany dalej "zbiorem danych DNA", którego jest administratorem w rozumieniu ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
2. W zbiorze danych DNA przetwarza się:
1) informacje, w tym dane osobowe, o których mowa w ust. 1, w odniesieniu do:
a) osób podejrzanych lub podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego,
b) nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego,
c) osób stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób (Dz. U. z 2014 r. poz. 24, z 2015 r. poz. 396, z 2016 r. poz. 2205 oraz z 2018 r. poz. 2435),
d) osób, o których mowa w art. 10 ust. 1 ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2018 r. poz. 452, 650 i 730),
e) oskarżonych lub skazanych za popełnienie przestępstw ściganych z oskarżenia publicznego,
f) osób o nieustalonej tożsamości oraz osób usiłujących ukryć swoją tożsamość,
g) zwłok ludzkich o nieustalonej tożsamości,
h) śladów nieznanych sprawców przestępstw,
i) osób zaginionych,
j) osób, o których mowa w art. 15 ust. 1 pkt 3a lit. c,
k) osób, o których mowa w art. 20 ust. 1l;
2) informacje, w tym dane osobowe osób, o których mowa w pkt 1 lit. a-e oraz i-k, obejmują:
a) wyniki analizy kwasu deoksyrybonukleinowego (DNA),
b) imiona, nazwiska lub pseudonimy,
c) imiona i nazwiska rodowe rodziców tych osób,
d) datę i miejsce urodzenia,
e) adres zamieszkania,
f) numer PESEL,
g) obywatelstwo i płeć,
h) oznaczenie i cechy dokumentu tożsamości.
3. W ramach zbioru danych DNA gromadzi się próbki pobrane od osoby albo ze zwłok ludzkich, w celu przeprowadzenia analizy kwasu deoksyrybonukleinowego (DNA), w postaci wymazów ze śluzówki policzków, krwi, cebulek włosów lub wydzielin, a w odniesieniu do zwłok ludzkich materiał biologiczny w postaci próbek z tkanek, zwane dalej "próbkami biologicznymi".
Art. 21b. 1. Informacje, w tym dane osobowe, o których mowa w art. 21a ust. 2 pkt 1 lit. a-j, wprowadza się do zbioru danych DNA na podstawie zarządzenia:
1) prowadzącego postępowanie przygotowawcze lub sądu - w przypadku analizy kwasu deoksyrybonukleinowego (DNA) przeprowadzonej w związku z:
a) postępowaniem karnym,
b) postępowaniem w sprawach nieletnich,
c) postępowaniem określonym w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób,
d) postępowaniem wobec osób wymienionych w art. 10 ust. 1 ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych,
e) postępowaniem wobec osób skazanych;
2) prowadzącego czynności - w przypadku osób o nieustalonej tożsamości, osób usiłujących ukryć swoją tożsamość, zwłok ludzkich o nieustalonej tożsamości, osób zaginionych oraz osób, o których mowa w art. 15 ust. 1 pkt 3a lit. c.
2. Informacje, w tym dane osobowe, o których mowa w art. 21a ust. 2 pkt 1 lit. k, wprowadza się do zbioru danych DNA na podstawie wniosku właściwego miejscowo organu Policji, przed podjęciem przez policjantów i pracowników Policji pierwszych czynności służbowych związanych z ujawnianiem, zabezpieczaniem lub badaniem śladów związanych z podejrzeniem popełnienia czynu zabronionego.
Art. 21c. Informacje, w tym dane osobowe, przetwarzane w zbiorze danych DNA udostępnia się bezpłatnie organom prowadzącym postępowanie karne, postępowanie w sprawach nieletnich lub prowadzącym czynności wykrywcze lub identyfikacyjne.
Art. 21d. 1. Informacje, w tym dane osobowe, o których mowa w art. 20 ust. 1l, są przetwarzane w zbiorze danych DNA w celu prowadzenia czynności wykrywczych lub identyfikacyjnych.
2. Informacje, w tym dane osobowe, o których mowa w art. 21a ust. 2 pkt 1 lit. a-j, są przetwarzane w zbiorze danych DNA w celu prowadzenia czynności wykrywczych i eliminacyjnych.
Art. 21e. 1. W weryfikacji, o której mowa w art. 16 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku zapobieganiem i zwalczaniem przestępczości, uczestniczą jednostki organizacyjne Policji, służby, instytucje państwowe lub organy władzy publicznej, które przekazały informacje, w tym dane osobowe, do zbioru danych DNA.
2. Informacje, w tym dane osobowe, usuwa się ze zbioru danych DNA, w przypadku gdy:
1) zostało umorzone postępowanie z uwagi na to, że:
a) czynu stanowiącego podstawę wprowadzenia danych osobowych do zbioru danych nie popełniono albo brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia,
b) zdarzenie lub okoliczność, w związku z którymi wprowadzono dane osobowe do zbioru danych, nie ma znamion czynu zabronionego;
2) osoba, której dane dotyczą:
a) została uniewinniona prawomocnym wyrokiem sądu,
b) ukończyła 100. rok życia,
c) zmarła;
3) tożsamość zwłok ludzkich została ustalona;
4) utracą swoją przydatność eliminacyjną, jednakże nie dłużej niż po upływie 5 lat od dnia ustania stosunku służbowego lub pracy - w przypadku osób, o których mowa w art. 20 ust. 1l.
3. Informacje, w tym dane osobowe osób, o których mowa w art. 21a ust. 2 pkt 1 lit. h, usuwa się ze zbioru danych DNA, po upływie okresu przedawnienia karalności przestępstwa, na wniosek organu prowadzącego postępowanie karne.
4. Informacje, w tym dane osobowe osób, o których mowa w art. 21a ust. 2 pkt 1 lit. i oraz j, usuwa się ze zbioru danych DNA, w przypadku odnalezienia lub ustalenia miejsca pobytu osoby zaginionej lub po upływie 55 lat od dnia rozpoczęcia ich przetwarzania w zbiorze danych DNA. Informacje te, w tym dane osobowe, usuwa się na wniosek jednostki organizacyjnej, służby, instytucji państwowej lub organu władzy publicznej prowadzącej poszukiwanie lub osoby zaginionej.
5. Usunięcia informacji, w tym danych osobowych osób, o których mowa w art. 21a ust. 2 pkt 1 lit. a-g oraz i-k, ze zbioru danych DNA oraz zniszczenia próbek biologicznych dokonuje komisja powołana przez Komendanta Głównego Policji, sporządzając z tych czynności protokół.";
art. 21h-21n otrzymują brzmienie:
"Art. 21h. 1. Komendant Główny Policji prowadzi następujące zbiory danych daktyloskopijnych, których jest administratorem w rozumieniu przepisów o ochronie danych osobowych:
1) Centralną Registraturę Daktyloskopijną, w której są gromadzone karty daktyloskopijne i chejroskopijne zawierające odciski linii papilarnych osób,
2) zbiór automatycznie przetwarzający dane daktyloskopijne, w którym są przetwarzane informacje, w tym dane osobowe, o odciskach linii papilarnych osób, niezidentyfikowanych śladach linii papilarnych z miejsc przestępstw oraz śladach linii papilarnych, które mogą pochodzić od osób zaginionych
- zwane dalej "zbiorami danych daktyloskopijnych".
2. W zbiorach danych daktyloskopijnych są przetwarzane:
1) informacje, w tym dane osobowe, dotyczące:
a) osób podejrzanych lub podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego,
b) nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego,
c) osób stwarzających zagrożenie, o których mowa w ustawie z dnia 22 listopada 2013 r. o postępowaniu wobec osób z zaburzeniami psychicznymi stwarzających zagrożenie życia, zdrowia lub wolności seksualnej innych osób,
d) osób, o których mowa w art. 10 ust. 1 ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych,
e) oskarżonych lub skazanych za popełnienie przestępstw ściganych z oskarżenia publicznego,
f) osób poszukiwanych,
g) cudzoziemców, od których zostały pobrane odciski linii papilarnych w sytuacjach, o których mowa w art. 35 ust. 2, art. 324 pkt 1 i art. 394 ust. 3 ustawy z dnia 12 grudnia 2013 r. o cudzoziemcach lub art. 30 ust. 1 pkt 3, art. 92 ust. 1 i art. 114 ust. 1 ustawy z dnia 13 czerwca 2003 r. o udzielaniu cudzoziemcom ochrony na terytorium Rzeczypospolitej Polskiej, lub art. 73a ustawy z dnia 14 lipca 2006 r. o wjeździe na terytorium Rzeczypospolitej Polskiej, pobycie oraz wyjeździe z tego terytorium obywateli państw członkowskich Unii Europejskiej i członków ich rodzin (Dz. U. z 2017 r. poz. 900 oraz z 2018 r. poz. 650),
h) śladów linii papilarnych, które mogą pochodzić od osób zaginionych,
i) niezidentyfikowanych śladów linii papilarnych z miejsc przestępstw,
j) osób, o których mowa w art. 20 ust. 1l;
2) informacje, w tym dane osobowe, przetwarzane w zbiorze danych, o którym mowa w ust. 1 pkt 1, obejmują:
a) imiona, nazwiska lub pseudonimy,
b) imiona i nazwiska rodowe rodziców tych osób,
c) datę i miejsce urodzenia,
d) oznaczenie i cechy identyfikacyjne dokumentu tożsamości,
e) adres zamieszkania,
f) numer PESEL,
g) obywatelstwo i płeć,
h) oznaczenie i numer sprawy,
i) miejsce i powód daktyloskopowania,
j) odciski linii papilarnych palców i dłoni;
3) informacje, w tym dane osobowe, przetwarzane w zbiorze danych, o którym mowa w ust. 1 pkt 2, obejmujące:
a) obrazy odcisków linii papilarnych,
b) rok urodzenia,
c) płeć,
d) rodzaj rejestracji,
e) datę wprowadzenia,
f) jednostkę organizacyjną wprowadzającą;
4) informacje, w tym dane osobowe, dotyczące niezidentyfikowanych śladów linii papilarnych z miejsc przestępstw obejmujące:
a) obrazy śladów linii papilarnych,
b) datę i miejsce zabezpieczenia,
c) kategorię przestępstwa,
d) jednostkę organizacyjną wprowadzającą,
e) oznaczenie i numer sprawy;
5) informacje, w tym dane osobowe, dotyczące śladów linii papilarnych, które mogą pochodzić od osób zaginionych, obejmujące:
a) obrazy śladów linii papilarnych,
b) datę i miejsce zabezpieczenia,
c) kategorię zdarzenia,
d) jednostkę organizacyjną wprowadzającą,
e) oznaczenie i numer sprawy.
3. W zbiorach danych daktyloskopijnych przetwarza się, z wyłączeniem przechowywania, informacje, w tym dane osobowe, dotyczące osób o nieustalonej tożsamości lub usiłujących ukryć swoją tożsamość oraz zwłok ludzkich o nieustalonej tożsamości, obejmujące:
1) obrazy odcisków linii papilarnych;
2) płeć;
3) oznaczenie i numer sprawy.
Art. 21i. Informacje, w tym dane osobowe, wprowadza się do zbiorów danych daktyloskopijnych na podstawie wniosku organu prowadzącego postępowanie lub poszukiwanie osoby zaginionej.
Art. 21j. Informacje, w tym dane osobowe, przetwarzane w zbiorach danych daktyloskopijnych oraz uzyskane w wyniku ich przetwarzania są udzielane bezpłatnie organom prowadzącym:
1) postępowanie karne;
2) postępowanie w sprawach nieletnich;
3) czynności wykrywcze lub identyfikacyjne;
4) czynności związane z wprowadzaniem danych daktyloskopijnych do innych zbiorów danych na podstawie odrębnych przepisów.
Art. 21k. 1. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. a-h, są przechowywane w zbiorach danych daktyloskopijnych w celu prowadzenia czynności identyfikacyjnych.
2. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. a-f. są przechowywane w zbiorach danych daktyloskopijnych i wykorzystywane w celu prowadzenia czynności wykrywczych.
3. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. j, są przetwarzane w zbiorach danych daktyloskopijnych w celu wyeliminowania, spośród wszystkich zebranych w toku prowadzonego postępowania, śladów pozostawionych przez osoby, o których mowa w art. 20 ust. 1l.
Art. 21l. 1. W weryfikacji, o której mowa w art. 16 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, uczestniczą jednostki organizacyjne Policji, służby, instytucje państwowe lub organy władzy publicznej, które przekazały informacje, w tym dane osobowe, do zbiorów danych daktyloskopijnych.
2. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. a-c, e i f, usuwa się ze zbiorów danych daktyloskopijnych, w przypadku gdy:
1) zostało umorzone postępowanie z uwagi na to, że:
a) czynu stanowiącego podstawę wprowadzenia danych osobowych do zbioru danych nie popełniono albo brak jest danych dostatecznie uzasadniających podejrzenie jego popełnienia,
b) zdarzenie lub okoliczność, w związku z którymi wprowadzono dane osobowe do zbioru danych, nie ma znamion czynu zabronionego;
2) osoba, której dane dotyczą:
a) została uniewinniona prawomocnym wyrokiem sądu,
b) ukończyła 100. rok życia,
c) zmarła;
3) utracą swoją przydatność eliminacyjną, jednakże nie dłużej niż po upływie 5 lat od dnia ustania stosunku służbowego lub pracy - w przypadku osób, o których mowa w art. 20 ust. 1o.
3. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. g, usuwa się ze zbiorów danych daktyloskopijnych, jeżeli osoba, której dane dotyczą:
1) uzyskała obywatelstwo polskie;
2) ukończyła 100. rok życia;
3) zmarła.
4. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1, usuwa się ze zbiorów danych daktyloskopijnych po uzyskaniu wiarygodnej informacji.
Art. 21m. 1. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. i, usuwa się ze zbiorów danych daktyloskopijnych po upływie okresu przedawnienia karalności przestępstwa, na wniosek organu prowadzącego postępowanie karne.
2. Informacje, w tym dane osobowe, o których mowa w art. 21h ust. 2 pkt 1 lit. h, usuwa się ze zbiorów danych daktyloskopijnych, w przypadku odnalezienia lub ustalenia miejsca pobytu osoby zaginionej lub po upływie 55 lat od dnia rozpoczęcia ich przetwarzania w zbiorach danych daktyloskopijnych. Informacje te, w tym dane osobowe, usuwa się na wniosek jednostki organizacyjnej, służby, instytucji państwowej lub organu władzy publicznej prowadzącej poszukiwanie.
Art. 21n. Usunięcia informacji, w tym danych osobowych, ze zbioru danych daktyloskopijnych, w tym zniszczenia kart daktyloskopijnych i chejroskopijnych, dokonuje komisja powołana przez Komendanta Głównego Policji, sporządzając z tych czynności protokół.";
po art. 21n dodaje się art. 21na i art. 21nb w brzmieniu:
"Art. 21na. Zadania, o których mowa w art. 21a-21c oraz art. 21h-21n, Komendant Główny Policji realizuje przy pomocy Centralnego Laboratorium Kryminalistycznego Policji.
Art. 21nb. 1. Komendant Główny Policji prowadzi Krajowy System Informacyjny Policji, zwany dalej "KSIP", będący zestawem zbiorów danych, w którym przetwarza się informacje, w tym dane osobowe, w związku z realizacją zadań ustawowych.
2. W odniesieniu do informacji, w tym danych osobowych, przetwarzanych w KSIP Komendant Główny Policji jest administratorem w rozumieniu przepisów o ochronie danych osobowych.
3. Komendant Główny Policji zapewnia utrzymanie, rozbudowę oraz modyfikację KSIP.
4. Utrzymanie, rozbudowa i modyfikacja KSIP są finansowane z budżetu państwa, z części, której dysponentem jest minister właściwy do spraw wewnętrznych.";
po art. 46a dodaje się art. 46b w brzmieniu:
"Art. 46b. 1. Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Policji, przenoszenia do służby w Policji oraz w zakresie wynikającym z przebiegu stosunku służbowego policjantów, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
2. Do przetwarzania danych osobowych, o których mowa w ust. 1, nie stosuje się art. 13 ust. 1 lit. d i e oraz art. 16 rozporządzenia (UE) 2016/679, w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania. Zabezpieczenie przetwarzania danych osobowych polega co najmniej na dopuszczeniu do ich przetwarzania wyłącznie policjantów lub pracowników posiadających pisemne upoważnienie wydane przez administratora danych po pisemnym zobowiązaniu policjantów lub pracowników do zachowania przetwarzanych danych w poufności.
3. Administratorem danych osobowych, o których mowa w ust. 1, w zakresie, w jakim przetwarza te dane, jest Komendant Główny Policji, Komendant CBŚP, Komendant BSWP, dyrektor Centralnego Laboratorium Kryminalistycznego Policji, komendanci wojewódzcy (Stołeczny) Policji, Komendant-Rektor Wyższej Szkoły Policji w Szczytnie oraz komendanci szkół policyjnych.";
w art. 145j:
a) w ust. 1 w pkt 6 kropkę zastępuje się średnikiem i dodaje się pkt 7 w brzmieniu:
"7) krajowego punktu dostępu do systemu Eurodac, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniającym rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (wersja przekształcona) (Dz. Urz. UE L 180 z 29.06.2013, str. 1), zwanym dalej "rozporządzeniem (UE) 603/2013".",
b) po ust. 5a dodaje się ust. 5b w brzmieniu:
"5b. Do zadań krajowego punktu dostępu do systemu Eurodac, o którym mowa w ust. 1 pkt 7, należy:
1) przesyłanie do systemu Eurodac danych daktyloskopijnych wraz z właściwymi numerami referencyjnymi zgodnie z art. 24 ust. 1 rozporządzenia (UE) 603/2013;
2) weryfikowanie wyników porównania zgodnie z art. 25 ust. 4 rozporządzenia (UE) 603/2013;
3) komunikowanie się z systemem Eurodac zgodnie z art. 26 rozporządzenia (UE) 603/2013;
4) przekazywanie wyników porównania danych daktyloskopijnych z danymi Eurodac właściwym organom.",
c) ust. 6 otrzymuje brzmienie:
"6. Zadania, o których mowa w ust. 2, 3 i 5b, Komendant Główny Policji wykonuje przy pomocy Centralnego Laboratorium Kryminalistycznego Policji.".
w art. 1:
a) w ust. 2 pkt 9 otrzymuje brzmienie:
"9) przetwarzanie informacji, w tym danych osobowych, z zakresu ochrony granicy państwowej, kontroli ruchu granicznego, zapobiegania i przeciwdziałania nielegalnej migracji oraz udostępnianie ich sądom, prokuratorom, organom administracji publicznej i innym organom państwowym, uprawnionym do ich otrzymania na podstawie odrębnych ustaw, w zakresie niezbędnym do realizacji ich zadań;",
b) ust. 3 otrzymuje brzmienie:
"3. Straż Graniczna w zakresie określonym w ust. 2 i 2a współdziała z właściwymi organami i instytucjami Unii Europejskiej oraz innych państw, a także organizacjami międzynarodowymi, w tym z Międzynarodową Organizacją Policji Kryminalnej - Interpol.";
w art. 9:
a) ust. 1 otrzymuje brzmienie:
"1. W celu rozpoznawania, zapobiegania i wykrywania przestępstw oraz przestępstw skarbowych, a także wykroczeń oraz wykroczeń skarbowych w zakresie określonym w art. 1 ust. 2 pkt 4 i w art. 1 ust. 2a, funkcjonariusze Straży Granicznej pełnią służbę graniczną, prowadzą działania graniczne, wykonują czynności operacyjno-rozpoznawcze i administracyjno-porządkowe oraz prowadzą postępowania przygotowawcze według przepisów Kodeksu postępowania karnego, a także wykonują czynności na polecenie sądu i prokuratury oraz innych właściwych organów państwowych w zakresie, w jakim obowiązek ten został określony w odrębnych przepisach.",
b) w ust. 1a wyrazy "ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922)" zastępuje się wyrazami "ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125)";
po art. 9c dodaje się art. 9ca w brzmieniu:
"Art. 9ca. 1. Straż Graniczna w celu ochrony obiektów, o których mowa w art. 9c ust. 1, może wprowadzić nadzór nad terenem użytkowanych obiektów lub terenem przyległym do obiektów w postaci środków technicznych oraz urządzeń elektronicznego systemu monitorującego stan bezpieczeństwa obiektu umożliwiających rejestrację obrazu, a także środków organizacyjnych i technicznych zapewniających identyfikację i kontrolę osób przebywających w użytkowanych obiektach, w tym przepustek zawierających wizerunek twarzy, oraz systemów teleinformatycznych przetwarzających informacje o przepustkach, w tym dane osób, którym je wydano.
2. System monitorujący, o którym mowa w ust. 1, stosuje się jedynie w miejscach i pomieszczeniach, w których zapewnia on realizację celu określonego w ust. 1, z wyłączeniem miejsc przeznaczonych do celów sanitarno-higienicznych.
3. Zarejestrowany obraz przetwarza się wyłącznie do celów, dla których został zebrany, i przechowuje się przez okres nieprzekraczający 1 roku. Dane osób, w tym wizerunek twarzy, wykorzystywane do identyfikacji i kontroli osób przebywających w użytkowanych obiektach, przechowuje się nie dłużej niż jest to konieczne do realizacji tego celu.
4. W przypadku gdy zarejestrowany obraz stanowi dowód w postępowaniu lub powzięto informacje, że może on stanowić dowód w postępowaniu, termin określony w ust. 3 ulega przedłużeniu do czasu prawomocnego zakończenia postępowania.";
art. 10a otrzymuje brzmienie:
"Art. 10a. 1. Straż Graniczna w celu realizacji ustawowych zadań jest uprawniona do przetwarzania informacji, w tym danych osobowych, oraz ich wymiany z właściwymi organami i instytucjami Unii Europejskiej oraz innych państw, a także organizacjami międzynarodowymi, w tym z Międzynarodową Organizacją Policji Kryminalnej - Interpol.
2. Straż Graniczna przetwarza dane osobowe w zakresie niezbędnym do realizacji ustawowych zadań lub wykonywania uprawnień związanych z zapobieganiem i zwalczaniem przestępstw oraz przestępstw skarbowych, a także wykroczeń oraz wykroczeń skarbowych, w tym dane osobowe, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, przy czym dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA.
3. Danych osobowych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, nie pobiera się, w przypadku gdy nie mają one przydatności wykrywczej, dowodowej lub identyfikacyjnej.
4. Straż Graniczna przetwarza dane osobowe w zakresie niezbędnym do realizacji ustawowych zadań lub wykonywania uprawnień związanych z prowadzeniem postępowań administracyjnych, dokonywaniem kontroli granicznej, realizacją czynności administracyjno-porządkowych oraz innych kontroli albo czynności, do prowadzenia których funkcjonariusze Straży Granicznej są uprawnieni na podstawie ustaw, w tym mają prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 z późn. zm.), zwanego dalej "rozporządzeniem (UE) nr 2016/679", z wyłączaniem danych dotyczących kodu genetycznego.
5. W przypadku podejrzanych Straż Graniczna w celach, o których mowa w art. 11 ust. 1 pkt 5c lit. b, pobiera:
1) wymazy ze śluzówki policzków oraz imiona, nazwiska lub pseudonimy, imiona i nazwiska rodowe rodziców tych osób, datę i miejsce urodzenia, adres zamieszkania, numer PESEL, obywatelstwo i płeć;
2) odciski linii papilarnych palców i dłoni oraz imiona, nazwiska lub pseudonimy, imiona i nazwiska rodowe rodziców tych osób, datę i miejsce urodzenia, oznaczenie i cechy identyfikacyjne dokumentu tożsamości, adres zamieszkania, numer PESEL, obywatelstwo i płeć, oznaczenie i numer sprawy, miejsce i powód daktyloskopowania, obrazy odcisków linii papilarnych, rodzaj rejestracji, datę rejestracji.
6. Przetwarzanie danych osobowych przez Straż Graniczną w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, odbywa się na podstawie ustawy, prawa Unii Europejskiej oraz postanowień umów międzynarodowych.
7. Straż Graniczna, podejmując działania na podstawie informacji, w tym danych osobowych, przetwarzanych przez Międzynarodową Organizację Policji Kryminalnej - Interpol może wystąpić o przekazanie informacji uzupełniających, w zakresie umożliwiającym wykonanie tych działań. Wymiana informacji uzupełniających odbywa się za pośrednictwem komórki organizacyjnej Komendy Głównej Policji wyznaczonej do wykonywania zadań Krajowego Biura Interpolu.
8. Straż Graniczna, w zakresie swojej właściwości, przetwarza informacje, w tym dane osobowe, uzyskane ze zbiorów danych prowadzonych przez inne służby, instytucje państwowe oraz organy władzy publicznej. Służby, instytucje państwowe oraz organy władzy publicznej są obowiązane do nieodpłatnego udostępnienia Straży Granicznej informacji, w tym danych osobowych. W szczególności Straż Graniczna jest uprawniona do uzyskiwania informacji, w tym danych osobowych:
1) gromadzonych w administrowanych przez nich zbiorach danych lub rejestrach;
2) uzyskanych przez te służby lub organy w wyniku wykonywania czynności operacyjno-rozpoznawczych, w tym prowadzonej kontroli operacyjnej.
9. Podmioty, o których mowa w ust. 8, mogą wyrazić pisemną zgodę na udostępnianie danych zgromadzonych w zbiorach danych jednostkom organizacyjnym Straży Granicznej, w drodze teletransmisji, bez konieczności składania wniosku pisemnie w postaci papierowej lub elektronicznej, jeżeli jednostki te spełniają łącznie następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie, kto, kiedy, w jakim celu oraz jakie dane uzyskał;
2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem wykonywanych zadań albo prowadzonej działalności.
10. Przetwarzanie informacji, w tym danych osobowych, przez Straż Graniczną może mieć charakter niejawny, odbywać się bez zgody i wiedzy osoby, której dotyczą, oraz z wykorzystaniem środków technicznych.
11. Komendant Główny Straży Granicznej jest administratorem danych osobowych przetwarzanych przez Straż Graniczną w celu realizacji ustawowych zadań.
12. Komendant Główny Straży Granicznej może upoważnić do przetwarzania danych osobowych, o których mowa w ust. 11, komendantów oddziałów Straży Granicznej, Komendanta BSWSG, komendantów ośrodków szkolenia Straży Granicznej, komendantów ośrodków Straży Granicznej oraz kierowników komórek organizacyjnych Komendy Głównej Straży Granicznej.
13. Komendant Główny Straży Granicznej może upoważnić osoby, o których mowa w ust. 12, do udzielania i cofania, w jego imieniu, upoważnień do przetwarzania danych osobowych, o których mowa w ust. 11, podległym im pracownikom i funkcjonariuszom Straży Granicznej.
14. Wyłączenia wynikające z przepisów o ochronie danych osobowych nie naruszają prawa osoby do ubiegania się o informacje jej dotyczące, w formie podania o zaświadczenie, jeżeli osoba wykaże interes prawny w urzędowym potwierdzeniu określonych faktów lub stanu prawnego.
15. Straż Graniczna udostępnia właściwym podmiotom informacje, o których mowa w art. 1 ust. 2 pkt 9, w tym dane osobowe, na wniosek przekazany pisemnie w postaci papierowej lub elektronicznej, który powinien zawierać podstawę prawną, przeznaczenie oraz wskazanie, w zależności od rodzaju informacji, jakie mają zostać udostępnione, przedziału czasowego podlegającego sprawdzeniu, danych osoby, pojazdu, dokumentu podlegających sprawdzeniu, a także podpis upoważnionej osoby.
16. Przepisu ust. 15 nie stosuje się do udostępniania informacji, w tym danych osobowych, podmiotom występującym o ich przekazanie w związku z wykonywaniem przez te podmioty czynności operacyjno-rozpoznawczych lub prowadzeniem postępowań przygotowawczych.
17. Udostępnianie informacji, o których mowa w art. 1 ust. 2 pkt 9, w tym danych osobowych, może nastąpić w drodze teletransmisji, bez konieczności składania pisemnego wniosku, jeżeli odrębne przepisy dotyczące zadań i uprawnień podmiotów, o których mowa w art. 1 ust. 2 pkt 9, przewidują taką możliwość, podmioty spełniają określone w tych przepisach warunki, a Komendant Główny Straży Granicznej wyrazi pisemną zgodę w postaci papierowej lub elektronicznej na taki sposób udostępnienia informacji, w tym danych osobowych.
18. Minister właściwy do spraw wewnętrznych w porozumieniu z Ministrem Sprawiedliwości określi, w drodze rozporządzenia, sposób pobierania wymazów ze śluzówki policzków, gromadzenia odcisków linii papilarnych oraz zdjęć sygnalitycznych osób podejrzanych lub podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, osób o nieustalonej tożsamości lub osób usiłujących ukryć swoją tożsamość, warunki przechowywania, wykorzystania i sposób ich przekazywania innym organom uprawnionym na podstawie przepisów odrębnych, a także wzory wykorzystywanych dokumentów, uwzględniając przypadki i sposoby pobierania odcisków linii papilarnych, przeprowadzania wywiadu daktyloskopijnego oraz wykonywania zdjęć sygnalitycznych, a także kierując się potrzebą ochrony tych danych przed nieuprawnionym dostępem.";
w art. 10b:
a) w ust. 1 po wyrazie "przestępstw" dodaje się wyrazy "oraz przestępstw skarbowych",
b) dodaje się ust. 8 w brzmieniu:
"8. Dane, o których mowa w ust. 1, pobiera się i udostępnia się także organom ścigania państw członkowskich Unii Europejskiej i innych państw, agencjom Unii Europejskiej zajmującym się zapobieganiem i zwalczaniem przestępczości oraz Międzynarodowej Organizacji Policji Kryminalnej - Interpol na ich wniosek, jeżeli następuje to w celu wykrywania przestępstw oraz ścigania ich sprawców albo w celu ratowania życia i zdrowia ludzkiego.";
w art. 10bb:
a) w ust. 1 po wyrazie "przestępstw" dodaje się wyrazy "oraz przestępstw skarbowych",
b) ust. 2 otrzymuje brzmienie:
"2. Do udostępniania i przetwarzania danych, o których mowa w ust. 1, przepisy art. 10b ust. 2-8 stosuje się.";
w art. 11:
a) w ust. 1:
– po pkt 5b dodaje się pkt 5c-5e w brzmieniu:
"5c) pobierania od osób odcisków linii papilarnych lub wymazu ze śluzówki policzków:
a) w trybie i przypadkach określonych w przepisach Kodeksu postępowania karnego,
b) w celu identyfikacji osób o nieustalonej tożsamości oraz osób usiłujących ukryć swoją tożsamość, jeżeli ustalenie tożsamości w inny sposób nie jest możliwe;
5d) pobierania od cudzoziemców odcisków linii papilarnych w trybie i przypadkach określonych w przepisach odrębnych;
5e) utrwalania wizerunku osób w celu weryfikacji ich tożsamości, identyfikacji osób o nieustalonej tożsamości oraz osób usiłujących ukryć swoją tożsamość;",
– po pkt 7a dodaje się pkt 7b w brzmieniu:
"7b) obserwowania i rejestrowania przy użyciu środków technicznych obrazu lub dźwięku w miejscach innych niż publiczne w trakcie interwencji;",
b) ust. 2 otrzymuje brzmienie:
"2. Rada Ministrów określi, w drodze rozporządzenia, sposób i tryb postępowania przy wykonywaniu uprawnień, o których mowa w ust. 1 pkt 4-5c i 5e, oraz wzory dokumentów stosowanych w tych sprawach, a także podmioty uprawnione do zarządzania doprowadzenia i szczegółowe warunki dokonywania doprowadzeń przy użyciu środków transportu, uwzględniając niezbędne środki ostrożności przy wykonywaniu uprawnień, a także skuteczność działań podejmowanych przez Straż Graniczną oraz poszanowanie praw osób, wobec których działania te są podejmowane.",
c) w ust. 2a w lit. b wyrazy "pkt 7" zastępuje się wyrazami "pkt 7 i 7b",
d) w ust. 2b wyrazy "o których mowa w ust. 1 pkt 7" zastępuje się wyrazami "o których mowa w ust. 1 pkt 7 i 7b",
e) po ust. 2d dodaje się ust. 2e i 2f w brzmieniu:
"2e. Użyte w ust. 1 pkt 7b określenie interwencja oznacza włączenie się funkcjonariusza lub funkcjonariuszy Straży Granicznej w tok zdarzenia mogącego naruszać normy prawne i podjęcie działań zmierzających do ustalenia charakteru, rodzaju i okoliczności powstałego zdarzenia oraz przedsięwzięć ukierunkowanych na przywrócenie naruszonego porządku prawnego.
2f. W przypadkach, o których mowa w ust. 1 pkt 7b, funkcjonariusz Straży Granicznej w miarę możliwości uprzedza osobę, wobec której podejmuje czynności, o rejestrowaniu obrazu lub dźwięku.",
f) w ust. 5a wyrazy "czynności, o których mowa w ust. 1 pkt 7" zastępuje się wyrazami "czynności, o których mowa w ust. 1 pkt 7 i 7b";
po art. 50a dodaje się art. 50b w brzmieniu:
"Art. 50b. 1. Straż Graniczna przetwarza dane osobowe w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Straży Granicznej, przenoszenia do służby w Straży Granicznej oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy Straży Granicznej, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia (UE) 2016/679, z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
2. Do przetwarzania danych osobowych, o których mowa w ust. 1, nie stosuje się art. 13 ust. 1 lit. d i e oraz art. 16 rozporządzenia (UE) 2016/679 w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania. Zabezpieczenie przetwarzania danych osobowych polega co najmniej na dopuszczeniu do ich przetwarzania wyłącznie funkcjonariuszy Straży Granicznej lub pracowników posiadających pisemne upoważnienie wydane przez administratora danych po pisemnym zobowiązaniu funkcjonariuszy Straży Granicznej lub pracowników do zachowania przetwarzanych danych w poufności.
3. Administratorem danych osobowych, o których mowa w ust. 1, w zakresie, w jakim przetwarza te dane, jest Komendant Główny Straży Granicznej, Komendant BSWSG, komendant oddziału Straży Granicznej, komendant ośrodka szkolenia Straży Granicznej lub komendant ośrodka Straży Granicznej.";
w art. 98 ust. 3 otrzymuje brzmienie:
"3. Do służby, o której mowa w ust. 2 pkt 2, zalicza się również okresy służby oraz okresy równorzędne ze służbą w rozumieniu przepisów o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej oraz ich rodzin.".
W ustawie z dnia 21 marca 1991 r. o obszarach morskich Rzeczypospolitej Polskiej i administracji morskiej (Dz. U. z 2018 r. poz. 2214) po art. 43a dodaje się art. 43b w brzmieniu:
"Art. 43b. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest dyrektor urzędu morskiego.".
W ustawie z dnia 20 lipca 1991 r. o Inspekcji Ochrony Środowiska (Dz. U. z 2018 r. poz. 1471 i 1479) w art. 10b dodaje się ust. 5 w brzmieniu:
"5. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest minister właściwy do spraw środowiska, Główny Inspektor Ochrony Środowiska lub wojewódzki inspektor ochrony środowiska.".
W ustawie z dnia 28 września 1991 r. o lasach (Dz. U. z 2018 r. poz. 2129 i 2161 oraz z 2019 r. poz. 83) w art. 47 po ust. 2b dodaje się ust. 2c w brzmieniu:
"2c. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest minister właściwy do spraw środowiska lub Główny Inspektor Straży Leśnej.".
W ustawie z dnia 13 października 1995 r. - Prawo łowieckie (Dz. U. z 2018 r. poz. 2033) w art. 39 po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest minister właściwy do spraw środowiska lub komendant wojewódzki Państwowej Straży Łowieckiej.".
W ustawie z dnia 10 kwietnia 1997 r. - Prawo energetyczne (Dz. U. z 2018 r. poz. 755, z późn. zm.) w art. 28b pkt 8 otrzymuje brzmienie:
"8) Policji - jeżeli jest to konieczne do skutecznego zapobieżenia popełnieniu przestępstwa, jego wykrycia albo ustalenia sprawców i uzyskania dowodów, na zasadach i w trybie określonych w art. 20 ust. 1d i 1e ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067, z późn. zm.);".
w art. 11 § 1a otrzymuje brzmienie:
"§ 1a. Jeżeli pokrzywdzony złożył wniosek, o którym mowa w art. 168a § 1, sąd, o którym mowa w § 1, przesyła dyrektorowi zakładu karnego lub aresztu śledczego ten wniosek oraz dane zawierające imię, nazwisko i adres pokrzywdzonego. W wypadku, o którym mowa w art. 168a § 6, sąd przesyła również dane zawierające imię, nazwisko i adres świadka.";
w art. 116 w § 1 w pkt 6 kropkę zastępuje się średnikiem i dodaje się pkt 7 w brzmieniu:
"7) informowania o zmianie danych podanych przy przyjęciu, o których mowa w art. 79a § 1 zdanie pierwsze.";
w art. 167a § 1 otrzymuje brzmienie:
"§ 1. Przy zwolnieniu z zakładu karnego skazany:
1) informuje o miejscu stałego pobytu lub innym miejscu przebywania po zwolnieniu;
2) otrzymuje, za pokwitowaniem, znajdujące się w depozycie dokumenty, pieniądze, przedmioty wartościowe i inne przedmioty, jeżeli nie zostały zatrzymane albo zajęte w drodze zabezpieczenia lub egzekucji.".
W ustawie z dnia 21 sierpnia 1997 r. - Prawo o ustroju sądów wojskowych (Dz. U. z 2018 r. poz. 1921) po art. 6a dodaje się art. 6b i art. 6c w brzmieniu:
"Art. 6b. § 1. Sądy wojskowe są administratorami danych osobowych przetwarzanych w postępowaniach sądowych.
§ 2. Do przetwarzania danych osobowych w postępowaniach sądowych przepisów art. 15, art. 16 - w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania, oraz art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", nie stosuje się.
§ 3. W związku z przetwarzaniem danych osobowych w postępowaniach sądowych wykonanie obowiązków, o których mowa w art. 13 rozporządzenia 2016/679, następuje przez umieszczenie informacji określonych w art. 13 ust. 2 rozporządzenia 2016/679 w Biuletynie Informacji Publicznej na stronie podmiotowej oraz w widocznym miejscu w budynku sądu.
Art. 6c. § 1. Nadzór nad przetwarzaniem danych osobowych w postępowaniach sądowych wykonują:
1) w zakresie działalności wojskowego sądu garnizonowego - prezes wojskowego sądu okręgowego;
2) w zakresie działalności wojskowego sądu okręgowego - Krajowa Rada Sądownictwa.
§ 2. Do nadzoru, o którym mowa w § 1, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio.".
W ustawie z dnia 29 sierpnia 1997 r. o strażach gminnych (Dz. U. z 2018 r. poz. 928 i 2399) dotychczasową treść art. 10a oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
"2. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), przez straż jest komendant straży.".
W ustawie z dnia 21 grudnia 2000 r. o żegludze śródlądowej (Dz. U. z 2017 r. poz. 2128 oraz z 2018 r. poz. 1137 i 1694) w art. 10 po ust. 5 dodaje się ust. 5a w brzmieniu:
"5a. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest dyrektor urzędu żeglugi śródlądowej.".
tytuł ustawy otrzymuje brzmienie:
"o przetwarzaniu informacji kryminalnych";
art. 1 i art. 2 otrzymują brzmienie:
"Art. 1. Ustawa określa zasady postępowania przy przetwarzaniu informacji kryminalnych w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości, a także podmioty właściwe w tych sprawach.
Art. 2. 1. Na zasadach określonych w niniejszej ustawie informacje kryminalne przetwarza się w celu wykrywania i ścigania sprawców przestępstw oraz zapobiegania i zwalczania przestępczości.
2. Informacje kryminalne przetwarza się bez wiedzy i zgody osoby, której dane dotyczą, oraz z zachowaniem zasad ich ochrony określonych w przepisach o ochronie informacji niejawnych.
3. Informacje kryminalne przekazuje się podmiotom uprawnionym, o których mowa w art. 19, w innych celach niż określone w ust. 1, w zakresie niezbędnym dla realizacji ich zadań ustawowych, w szczególności w celu ochrony bezpieczeństwa i porządku publicznego, zapobiegania i zwalczania zdarzeń oraz zagrożeń o charakterze terrorystycznym lub prowadzenia działań kontrterrorystycznych, jeżeli podmioty te są uprawnione na podstawie ustawy do przetwarzania informacji, w tym danych osobowych, wchodzących w zakres informacji kryminalnych w celu realizacji określonego zadania.";
w art. 4 pkt 4 otrzymuje brzmienie:
"4) przetwarzanie informacji kryminalnych - oznacza przetwarzanie w rozumieniu art. 4 pkt 14 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125);";
w art. 5:
a) ust. 1 otrzymuje brzmienie:
"1. Organem administracji rządowej właściwym w sprawach przetwarzania i przekazywania informacji kryminalnych jest Komendant Główny Policji.",
b) po ust. 1 dodaje się ust. 1a w brzmieniu:
"1a. Komendant Główny Policji jest administratorem danych osobowych, przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.";
w art. 6:
a) pkt 1 otrzymuje brzmienie:
"1) przetwarzanie i przekazywanie informacji kryminalnych;",
b) pkt 4 otrzymuje brzmienie:
"4) zapewnienie bezpieczeństwa przetwarzanym w Centrum informacjom kryminalnym, zgodnie z przepisami ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz przepisami ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412, 650, 1000, 1083 i 1669).";
w art. 13 w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Zakres przetwarzanych informacji kryminalnych obejmuje następujące dane:";
w art. 16 ust. 1 otrzymuje brzmienie:
"1. W bazach danych gromadzi się informacje kryminalne otrzymane od podmiotów zobowiązanych, o których mowa w art. 20, przekazane w odpowiedzi na zapytanie lub z własnej inicjatywy.";
w art. 18 wprowadza się następujące zmiany:
a) uchyla się ust. 1,
b) ust. 2 otrzymuje brzmienie:
"2. W zakresie nieuregulowanym w niniejszej ustawie do przetwarzania i przekazywania informacji kryminalnych stosuje się przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.";
tytuł rozdziału 4 otrzymuje brzmienie:
"Przetwarzanie i analiza informacji kryminalnych";
w art. 29 ust. 2 otrzymuje brzmienie:
"2. Na wniosek organu Policji, o którym mowa w art. 5b ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067, z późn. zm.), zwanej dalej "ustawą o Policji", lub organu Straży Granicznej, o którym mowa w art. 3c ust. 2 ustawy z dnia 12 października 1990 r. o Straży Granicznej (Dz. U. z 2017 r. poz. 2365, z późn. zm.), zwanej dalej "ustawą o Straży Granicznej", w przypadku udostępnienia informacji kryminalnej w zakresie realizacji zadań ustawowych określonych w art. 5b ust. 1 ustawy o Policji lub art. 3c ust. 1 ustawy o Straży Granicznej przepisu ust. 1 nie stosuje się.";
w art. 33 w ust. 1 po pkt 2 dodaje się przecinek i pkt 3 w brzmieniu:
"3) realizacja zadań ustawowych w zakresie ochrony bezpieczeństwa i porządku publicznego, zapobieganie i zwalczanie zdarzeń oraz zagrożeń o charakterze terrorystycznym lub prowadzenie działań kontrterrorystycznych".
w art. 175a w § 1:
a) wprowadzenie do wyliczenia otrzymuje brzmienie:
"Administratorami danych osobowych:",
b) pkt 2 otrzymuje brzmienie:
"2) referendarzy sądowych, asystentów sędziów, dyrektorów sądów oraz ich zastępców, kuratorów sądowych, aplikantów aplikacji sądowej, aplikantów kuratorskich, urzędników oraz innych pracowników sądów,",
c) część wspólna wyliczenia otrzymuje brzmienie:
"są prezesi i dyrektorzy właściwych sądów oraz Minister Sprawiedliwości, w zakresie realizowanych zadań";
po art. 175d dodaje się art. 175da-175dd w brzmieniu:
"Art. 175da. Administratorami danych osobowych przetwarzanych w systemach teleinformatycznych obsługujących postępowania sądowe, w systemach teleinformatycznych, w których są prowadzone rejestry sądowe, oraz w systemach teleinformatycznych, w których są prowadzone urządzenia ewidencyjne (sądowe systemy teleinformatyczne), są sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, prezesi właściwych sądów oraz Minister Sprawiedliwości w ramach realizowanych zadań.
Art. 175db. Administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy.
894, 1544 i 2399 oraz z 2019 r. poz. 53 i 125.
Art. 175dc. § 1. Do przetwarzania danych osobowych w postępowaniach sądowych, w rejestrach sądowych albo w sądowych systemach teleinformatycznych nie stosuje się przepisów art. 15, art. 16 - w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania, oraz art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679".
§ 2. W związku z przetwarzaniem danych osobowych w postępowaniach sądowych wykonanie obowiązków, o których mowa w art. 13 rozporządzenia 2016/679, następuje przez umieszczenie informacji określonych w art. 13 ust. 2 rozporządzenia 2016/679 w Biuletynie Informacji Publicznej na stronie podmiotowej oraz w widocznym miejscu w budynku sądu.
Art. 175dd. § 1. Nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db, wykonują w zakresie działalności sądu:
1) rejonowego - prezes sądu okręgowego;
2) okręgowego - prezes sądu apelacyjnego;
3) apelacyjnego - Krajowa Rada Sądownictwa.
§ 2. W ramach nadzoru, o którym mowa w § 1, właściwe organy:
1) rozpatrują skargi osób, których dane osobowe są przetwarzane niezgodnie z prawem;
2) podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów i podmiotów przetwarzających wiedzy o obowiązkach wynikających z rozporządzenia 2016/679 oraz ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125);
3) współpracują z innymi organami sprawującymi nadzór nad przetwarzaniem danych osobowych w ramach postępowań prowadzonych przez sądy i trybunały oraz z organami nadzorczymi w rozumieniu art. 51 rozporządzenia 2016/679, w tym dzielą się informacjami oraz świadczą wzajemną pomoc, w celu zapewnienia spójnego stosowania rozporządzenia 2016/679 oraz ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
§ 3. Organy, o których mowa w § 1, są uprawnione do:
1) nakazywania administratorowi lub podmiotowi przetwarzającemu albo ich przedstawicielom dostarczenia wszelkich informacji potrzebnych do realizacji zadań tego organu;
2) zawiadamiania administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
3) uzyskiwania od administratora i podmiotu przetwarzającego dostępu do danych osobowych i informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;
4) uzyskiwania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych;
5) wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
6) udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
7) wzywania administratora lub podmiotu przetwarzającego do dostosowania przetwarzania danych do przepisów rozporządzenia 2016/679 lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
§ 4. Do przyjmowania i rozpatrywania skarg związanych z przetwarzaniem danych osobowych przez sądy w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej stosuje się odpowiednio przepisy działu I rozdziału 5a.".
w art. 4 w ust. 2 w pkt 18 kropkę zastępuje się średnikiem i dodaje się pkt 19 w brzmieniu:
"19) przetwarzanie informacji, w tym danych osobowych.";
art. 29 otrzymuje brzmienie:
"Art. 29. 1. Żandarmeria Wojskowa w celu realizacji ustawowych zadań jest uprawniona do przetwarzania informacji, w tym danych osobowych, oraz ich wymiany z właściwymi organami i instytucjami krajowymi Unii Europejskiej oraz innych państw, a także organizacjami międzynarodowymi.
2. Żandarmeria Wojskowa w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), przetwarza dane osobowe w zakresie niezbędnym do realizacji zadań ustawowych związanych z zapobieganiem i zwalczaniem przestępstw oraz przestępstw skarbowych, a także wykroczeń oraz wykroczeń skarbowych, w tym dane osobowe, o których mowa w art. 14 ust. 1 tej ustawy. Dane dotyczące kodu genetycznego obejmują informacje wyłącznie o niekodującej części DNA.
3. Żandarmeria Wojskowa w celu realizacji zadań, o których mowa w art. 4 ust. 1 pkt 3a i ust. 4, może przetwarzać dane biometryczne lub dane genetyczne, o których mowa w art. 4 pkt 2 i 4 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości:
1) w trybie i w przypadkach określonych w przepisach Kodeksu postępowania karnego;
2) w celu identyfikacji osób o nieustalonej tożsamości oraz usiłujących ukryć swoją tożsamość, jeżeli ustalenie tożsamości w inny sposób nie jest możliwe.
4. Żandarmeria Wojskowa, w zakresie swojej właściwości, przetwarza informacje, w tym dane osobowe, uzyskane ze zbiorów danych prowadzonych przez inne służby, instytucje państwowe oraz organy władzy publicznej. Służby, instytucje państwowe oraz organy władzy publicznej są obowiązane do nieodpłatnego udostępnienia Żandarmerii Wojskowej informacji, w tym danych osobowych, na podstawie pisemnego wniosku Komendanta Głównego Żandarmerii Wojskowej lub komendanta terenowej jednostki organizacyjnej Żandarmerii Wojskowej.
5. Podmioty, o których mowa w ust. 4, mogą wyrazić pisemną zgodę na udostępnianie danych zgromadzonych w zbiorach danych jednostkom organizacyjnym Żandarmerii Wojskowej, w drodze teletransmisji, bez konieczności składania pisemnego wniosku, jeżeli jednostki te spełniają łącznie następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie, kto, kiedy i w jakim celu oraz jakie dane uzyskał;
2) posiadają zabezpieczenie techniczne i organizacyjne uniemożliwiające wykorzystanie danych niezgodnie z celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem wykonywania zadań albo prowadzonej działalności.
6. Przetwarzanie informacji, w tym danych osobowych, przez Żandarmerię Wojskową może mieć charakter niejawny, odbywać się bez zgody i wiedzy osoby, której dotyczą, oraz z wykorzystaniem środków technicznych.
7. Komendant Główny Żandarmerii Wojskowej, komendanci terenowych jednostek organizacyjnych oraz komendanci specjalistycznych jednostek organizacyjnych Żandarmerii Wojskowej są administratorami danych osobowych w stosunku do zbiorów danych osobowych utworzonych przez nich i w celu realizacji zadań ustawowych.
8. Komendant Główny Żandarmerii Wojskowej może upoważnić do przetwarzania danych osobowych, o których mowa w ust. 7, szefów komórek organizacyjnych Komendy Głównej Żandarmerii Wojskowej.
9. Komendant Główny Żandarmerii Wojskowej może upoważnić osoby, o których mowa w ust. 8, do udzielania i cofania, w jego imieniu, upoważnień do przetwarzania danych osobowych podległym im żołnierzom i pracownikom Żandarmerii Wojskowej.
10. Komendanci i szefowie jednostek i komórek organizacyjnych, o których mowa w ust. 7 i 8, mogą tworzyć lub likwidować zbiory danych, w których przetwarza się informacje, w tym dane osobowe, w celu realizacji zadań ustawowych.
11. W przypadku likwidowania zbiorów danych, dokonuje tego komisja wyznaczona przez osoby, o których mowa w ust. 10.
12. Komendanci i szefowie jednostek i komórek organizacyjnych, o których mowa w ust. 7 i 8, prowadzą rejestr zbiorów danych, w których przetwarza się informacje, w tym dane osobowe.
13. Żandarmeria Wojskowa udostępnia właściwym podmiotom informacje, o których mowa w art. 4 ust. 2 pkt 19, w tym dane osobowe, na pisemny wniosek, który powinien zawierać podstawę prawną, przeznaczenie, wskazanie okresu oraz zakresu danych podlegających sprawdzeniu, a także podpis upoważnionej osoby.
14. Przepisu ust. 13 nie stosuje się do udostępniania informacji, w tym danych osobowych, podmiotom występującym o ich przekazanie w związku z wykonywaniem przez te podmioty czynności operacyjno-rozpoznawczych lub prowadzeniem postępowań przygotowawczych.
15. Udostępnianie informacji, o których mowa w art. 4 ust. 2 pkt 19, w tym danych osobowych, może nastąpić w drodze teletransmisji, bez konieczności składania pisemnego wniosku, jeżeli odrębne przepisy dotyczące zadań i uprawnień podmiotów, o których mowa w ust. 5, przewidują taką możliwość, podmioty spełniają określone w tych przepisach warunki, a Komendant Główny Żandarmerii Wojskowej wyrazi pisemną zgodę na taki sposób udostępnienia informacji, w tym danych osobowych.
16. Żandarmeria Wojskowa może przetwarzać odciski linii papilarnych lub wymazy ze śluzówki policzków żołnierzy i pracowników Żandarmerii Wojskowej wykonujących czynności służbowe związane z ujawnianiem, zabezpieczaniem lub badaniem śladów związanych z podejrzeniem popełnienia czynu zabronionego - w celach wyeliminowania pozostawionych przez nich śladów.
17. Minister Obrony Narodowej określi, w drodze rozporządzenia:
1) zasady przetwarzania danych biometrycznych oraz danych genetycznych, w tym w szczególności wymazów ze śluzówki policzków, odcisków linii papilarnych oraz zdjęć sygnalitycznych osób podejrzanych lub podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, osób o nieustalonej tożsamości lub osób usiłujących ukryć swoją tożsamość, i sposób ich przekazywania innym organom uprawnionym na podstawie przepisów odrębnych, a także wzory wykorzystywanych dokumentów, uwzględniając przypadki i sposoby pobierania odcisków linii papilarnych, przeprowadzania wywiadu daktyloskopijnego oraz wykonywania zdjęć sygnalitycznych, kierując się potrzebą ochrony tych danych przed nieuprawnionym dostępem;
2) tryb pobierania odcisków linii papilarnych lub wymazów ze śluzówki policzków od żołnierzy i pracowników Żandarmerii Wojskowej oraz sposób przeprowadzania i dokumentowania czynności związanych z ich przetwarzaniem, uwzględniając konieczność wyeliminowania pozostawionych przez nich śladów;
3) zbiory danych, w których Żandarmeria Wojskowa przetwarza dane osobowe, uwzględniając ich przeznaczenie i zakres;
4) kryteria oceny danych pod kątem przesłanek dalszego przetwarzania, kierując się ich przydatnością do realizacji zadań związanych z zapobieganiem i zwalczaniem przestępczości.".
w art. 55a po ust. 1 dodaje się ust. 1a i 1b w brzmieniu:
"1a. Inspekcja w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest uprawniona do przetwarzania informacji, w tym danych osobowych, oraz ich wymiany z właściwymi organami i instytucjami krajowymi, Unii Europejskiej oraz innych państw, a także organizacjami międzynarodowymi.
1b. Inspekcja może przekazać dane osobowe państwu trzeciemu lub organizacjom międzynarodowym, na ich wniosek, w przypadku gdy są spełnione warunki przekazywania informacji określone w art. 18a-18d ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi (Dz. U. z 2018 r. poz. 484 oraz z 2019 r. poz. 125).";
po art. 56 dodaje się art. 56a w brzmieniu:
"Art. 56a. Administratorem danych osobowych przetwarzanych w związku z realizacją czynności określonych w art. 56 ust. 1, w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, jest Główny Inspektor Transportu Drogowego lub wojewódzki inspektor transportu drogowego.".
W ustawie z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2018 r. poz. 2387, 2245 i 2399 oraz z 2019 r. poz. 53) w art. 34 ust. 1 otrzymuje brzmienie:
"1. W zakresie swojej właściwości Agencje mogą zbierać, także niejawnie, wszelkie dane osobowe, w tym również, jeżeli jest to uzasadnione charakterem realizowanych zadań, dane wskazane w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), a także korzystać z danych osobowych i innych informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez uprawnione do tego organy, służby i instytucje państwowe oraz przetwarzać je bez wiedzy i zgody osoby, której te dane dotyczą.".
W ustawie z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2018 r. poz. 2107) po art. 12 dodaje się art. 12a i art. 12b w brzmieniu:
"Art. 12a. § 1. Sądy administracyjne są administratorami danych osobowych przetwarzanych w postępowaniach sądowych.
§ 2. Do przetwarzania danych osobowych w postępowaniach sądowych przepisów art. 15, art. 16 - w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania, oraz art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", nie stosuje się.
§ 3. W związku z przetwarzaniem danych osobowych w postępowaniach sądowych wykonanie obowiązków, o których mowa w art. 13 rozporządzenia 2016/679, następuje przez umieszczenie informacji określonych w art. 13 ust. 2 rozporządzenia 2016/679 w Biuletynie Informacji Publicznej na stronie podmiotowej oraz w widocznym miejscu w budynku sądu.
Art. 12b. § 1. Nadzór nad przetwarzaniem danych osobowych przez wojewódzkie sądy administracyjne w postępowaniach sądowych sprawuje Prezes Naczelnego Sądu Administracyjnego.
§ 2. Nadzór nad przetwarzaniem danych osobowych przez Naczelny Sąd Administracyjny w postępowaniach sądowych sprawuje Krajowa Rada Sądownictwa.
§ 3. Do nadzoru, o którym mowa w § 1 i 2, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio.".
W ustawie z dnia 28 marca 2003 r. o transporcie kolejowym (Dz. U. z 2017 r. poz. 2117, z późn. zm.) po art. 60 dodaje się art. 60a w brzmieniu:
"Art. 60a. 1. Straż ochrony kolei w celu realizacji ustawowych zadań może przetwarzać dane osobowe także bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane:
1) w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia;
2) z rejestrów, ewidencji i zbiorów, do których straż ochrony kolei posiada dostęp na podstawie odrębnych przepisów.
2. Administratorem danych osobowych przetwarzanych przez straż ochrony kolei jest komendant straży ochrony kolei.".
W ustawie z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2018 r. poz. 473 i 2448) w art. 104 w ust. 1 pkt 10 otrzymuje brzmienie:
"10) Policji, o ile są niezbędne w toczącym się postępowaniu lub na potrzeby wykonywania czynności operacyjno-rozpoznawczych na zasadach i w trybie określonym w art. 20 ust. 1d i 1e ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067, z późn. zm.);".
W ustawie z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2018 r. poz. 2104 i 2399 oraz z 2019 r. poz. 53) w art. 22a ust. 1 otrzymuje brzmienie:
"1. W granicach zadań, o których mowa w art. 2 ust. 1, CBA może przetwarzać dane osobowe, w tym dane wskazane w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), bez wiedzy i zgody osoby, której te dane dotyczą.".
W ustawie z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego (Dz. U. z 2017 r. poz. 1978, z późn. zm.) w art. 38 ust. 1 otrzymuje brzmienie:
"1. W zakresie swojej właściwości SKW i SWW mogą zbierać, także niejawnie, wszelkie dane osobowe, w tym również, jeżeli jest to uzasadnione charakterem realizowanych zadań, dane wskazane w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), a także korzystać z danych osobowych i innych informacji uzyskanych w wyniku wykonywania czynności operacyjno-rozpoznawczych przez uprawnione do tego organy, służby i instytucje państwowe oraz przetwarzać je bez wiedzy i zgody osoby, której te dane dotyczą.".
w art. 2:
a) pkt 1 otrzymuje brzmienie:
"1) bezpośrednim dostępie - rozumie się przez to dokonywanie wpisów oraz wgląd do danych przetwarzanych poprzez Krajowy System Informatyczny (KSI), realizowany w sposób bezpośredni przez organ wskazany w ustawie;",
b) pkt 7 otrzymuje brzmienie:
"7) informacjach uzupełniających - rozumie się przez to wszelkie informacje, wymieniane za pośrednictwem biur SIRENE między krajowymi a zagranicznymi organami uprawnionymi do przetwarzania danych SIS, niezbędne przy dokonywaniu wpisów do Systemu Informacyjnego Schengen lub w celu umożliwienia podjęcia odpowiednich działań, w przypadkach gdy w wyniku przeglądania danych SIS odnaleziono osoby lub przedmioty, których dotyczą wpisy;",
c) pkt 11 otrzymuje brzmienie:
"11) Krajowym Systemie Informatycznym (KSI) - rozumie się przez to zespół współpracujących ze sobą urządzeń, procedur przetwarzania informacji i narzędzi programowych (oprogramowania) zastosowanych w celu przetwarzania danych oraz infrastrukturę telekomunikacyjną, umożliwiające organom administracji publicznej i organom wymiaru sprawiedliwości przetwarzanie danych gromadzonych w Systemie Informacyjnym Schengen oraz w Wizowym Systemie Informacyjnym;",
d) pkt 14 otrzymuje brzmienie:
"14) pośrednim dostępie - rozumie się przez to dokonywanie wpisów oraz wgląd do danych przetwarzanych poprzez Krajowy System Informatyczny (KSI), realizowany w sytuacjach wskazanych w ustawie za pośrednictwem centralnego organu technicznego KSI albo organu wskazanego w art. 7 ust. 2;",
e) pkt 18 otrzymuje brzmienie:
"18) przetwarzaniu danych - rozumie się przez to przetwarzanie danych będących danymi osobowymi, jak również jakiekolwiek operacje wykonywane na danych niebędących danymi osobowymi, takie jak: zbieranie, wpisywanie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie; w odniesieniu do danych osobowych przetwarzanych w celach, o których mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), stosuje się przepisy tej ustawy, a w przypadku danych osobowych przetwarzanych w innych celach przepisy rozporządzenia 2016/679;",
f) dodaje się pkt 19 w brzmieniu:
"19) rozporządzeniu 2016/679 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).";
tytuł rozdziału 2 otrzymuje brzmienie:
"Organy i służby uprawnione do przetwarzania danych";
w art. 6 pkt 4 otrzymuje brzmienie:
"4) sprawdzenia na przejściach granicznych tożsamości posiadacza wizy, autentyczności wizy lub spełnienia warunków wjazdu na terytorium Państw Członkowskich zgodnie z art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/399 z dnia 9 marca 2016 r. w sprawie unijnego kodeksu zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen) (Dz. Urz. UE L 77/1 z 23.03.2016) przysługuje Straży Granicznej i Służbie Celno-Skarbowej;";
art. 8-10 otrzymują brzmienie:
"Art. 8. Prezes Urzędu Ochrony Danych Osobowych jest uprawniony do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI) w celu sprawowania kontroli.
Art. 9. Prezes Urzędu Ochrony Danych Osobowych w przypadku, o którym mowa w art. 34 ust. 4 rozporządzenia (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) oraz w art. 49 ust. 4 decyzji Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), jest organem uprawnionym do przekazania sprawy Europejskiemu Inspektorowi Ochrony Danych, w celu podjęcia działań mediacyjnych.
Art. 10. Administratorem danych osobowych przetwarzanych poprzez Krajowy System Informatyczny (KSI) jest Centralny organ techniczny KSI.";
w art. 11 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
"2. Decyzje podejmowane przez właściwe organy w celu rozpatrzenia wniosku wizowego, sprawdzenia autentyczności wizy lub spełnienia warunków wjazdu lub pobytu na terytorium Rzeczypospolitej Polskiej lub Państw Członkowskich mogą się opierać wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych.";
art. 30-32 otrzymują brzmienie:
"Art. 30. 1. Centralny organ techniczny KSI, przed uruchomieniem Krajowego Systemu Informatycznego (KSI), jest obowiązany do wystąpienia do Prezesa Urzędu Ochrony Danych Osobowych z wnioskiem o przeprowadzenie kontroli w zakresie spełniania przez Krajowy System Informatyczny (KSI) wymogów określonych w przepisach o ochronie danych osobowych.
2. Wniosek, o którym mowa w ust. 1, powinien zawierać opis środków technicznych i organizacyjnych, w szczególności w zakresie zapobiegania dostępowi osób nieuprawnionych do Krajowego Systemu Informatycznego (KSI).
3. Centralny organ techniczny KSI jest obowiązany współpracować z Prezesem Urzędu Ochrony Danych Osobowych w celu przeprowadzenia kontroli, o której mowa w ust. 1, w szczególności udzielać informacji i wyjaśnień.
4. W celu wykonania zadań, o których mowa w ust. 1, Prezes Urzędu Ochrony Danych Osobowych, zastępca Prezesa Urzędu Ochrony Danych Osobowych lub upoważnieni przez niego pracownicy Urzędu mają prawo:
1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym jest zlokalizowany Krajowy System Informatyczny (KSI), i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych;
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin poszczególnych elementów Krajowego Systemu Informatycznego (KSI), w tym urządzeń, oprogramowania, procedur przetwarzania informacji;
5) zlecać sporządzanie ekspertyz i opinii.
5. Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu kontroli, o której mowa w ust. 1, przedstawia centralnemu organowi technicznemu KSI pisemną opinię w zakresie spełnienia przez Krajowy System Informatyczny (KSI) wymogów określonych w przepisach o ochronie danych osobowych, a w przypadku stwierdzenia nieprawidłowości w Krajowym Systemie Informatycznym (KSI) przekazuje centralnemu organowi technicznemu KSI zalecenia pokontrolne w formie pisemnej.
Art. 31. 1. W przypadku przedstawienia przez ministra właściwego do spraw wewnętrznych lub Prezesa Urzędu Ochrony Danych Osobowych zaleceń pokontrolnych, centralny organ techniczny KSI ma prawo zgłoszenia na piśmie umotywowanych zastrzeżeń co do przekazanych zaleceń pokontrolnych, w terminie 7 dni od dnia otrzymania zaleceń pokontrolnych.
2. W razie zgłoszenia zastrzeżeń, o których mowa w ust. 1, odpowiednio minister właściwy do spraw wewnętrznych lub Prezes Urzędu Ochrony Danych Osobowych może:
1) uznać zgłoszone zastrzeżenia za niezasadne i podtrzymać zalecenia pokontrolne;
2) uwzględnić zgłoszone zastrzeżenia w części, a w pozostałym zakresie podtrzymać zalecenia pokontrolne;
3) uwzględnić zgłoszone zastrzeżenia w całości i wydać pozytywną opinię.
Art. 32. W przypadku niezgłoszenia przez centralny organ techniczny KSI zastrzeżeń, jak również w przypadku nieuwzględnienia zastrzeżeń przez odpowiednio ministra właściwego do spraw wewnętrznych lub Prezesa Urzędu Ochrony Danych Osobowych, centralny organ techniczny KSI jest obowiązany wykonać zalecenia pokontrolne, a następnie wystąpić z wnioskiem do organu, który przedstawił zalecenia pokontrolne, o przeprowadzenie kontroli, o której mowa w art. 29 ust. 2 lub art. 30 ust. 1.";
w art. 34:
a) ust. 1 otrzymuje brzmienie:
"1. W przypadku dokonywania jakichkolwiek zmian w Krajowym Systemie Informatycznym (KSI) po jego uruchomieniu centralny organ techniczny KSI jest obowiązany przed wdrożeniem tych zmian do uzyskania pisemnej opinii ministra właściwego do spraw wewnętrznych w zakresie spełniania przez Krajowy System Informatyczny (KSI) wymogów określonych w art. 4 i art. 9 rozporządzenia (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) oraz w art. 4 i art. 9 decyzji Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), oraz opinii Prezesa Urzędu Ochrony Danych Osobowych.",
b) ust. 5 otrzymuje brzmienie:
"5. Uzyskanie opinii Prezesa Urzędu Ochrony Danych Osobowych, o której mowa w ust. 1, następuje w zakresie i w trybie określonych w art. 30-32.".
w art. 1 pkt 4 otrzymuje brzmienie:
"4) zasady przetwarzania informacji dotyczących bezpieczeństwa imprez masowych, w tym danych osobowych;";
art. 10 otrzymuje brzmienie:
"Art. 10. Organizator masowej imprezy sportowej, innej niż wymieniona w rozdziale 3, może odmówić na nią wstępu i przebywania osobie, której dane znajdują się w zbiorze danych, o którym mowa w art. 37 pkt 2, lub objętej zakazem klubowym lub zakazem zagranicznym.";
w art. 13:
a) ust. 2b i 2c otrzymują brzmienie:
"2b. Administratorami danych osobowych przetwarzanych w systemach, o których mowa w ust. 2a, są właściwe podmioty zarządzające tymi rozgrywkami.
2c. Kompatybilność oznacza, iż elektroniczne systemy, o których mowa w ust. 2, muszą być podłączone do systemów, o których mowa w ust. 2a, oraz działać na podstawie numeru PESEL, a w razie gdy nie został on nadany - rodzaju, serii i numeru dokumentu potwierdzającego tożsamość, po przekazaniu danych osobowych, o których mowa w ust. 4.",
b) w ust. 4 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Zakres przetwarzanych danych osobowych osób uczestniczących w meczu piłki nożnej obejmuje:",
c) ust. 7-14 otrzymują brzmienie:
"7. Przetwarzanie informacji, w tym danych osobowych, w systemach, o których mowa w ust. 2 i 2a, ma na celu zapewnienie bezpieczeństwa osób uczestniczących w meczu piłki nożnej.
8. Zakres informacji, w tym danych osobowych, przetwarzanych w systemie, o którym mowa w ust. 2a pkt 1, obejmuje:
1) dane osobowe określone w ust. 4,
2) dane osobowe, o których mowa w art. 22 ust. 1 pkt 1 lit. a-c,
3) informacje o zastosowanych zakazach, w tym przekazane przez organizatorów imprez masowych
- w zakresie, w jakim te informacje, w tym dane osobowe, dotyczą uczestników meczów piłki nożnej rozgrywanych w ramach najwyższej ligowej klasy rozgrywkowej rywalizacji mężczyzn.
9. Zakres informacji, w tym danych osobowych, przetwarzanych w systemie, o którym mowa w ust. 2a pkt 2, obejmuje:
1) dane osobowe określone w ust. 4,
2) dane osobowe, o których mowa w art. 22 ust. 1 pkt 1 lit. a-c,
3) informacje o zastosowanych zakazach, w tym przekazane przez organizatorów imprez masowych
- w zakresie, w jakim te informacje, w tym dane osobowe, dotyczą uczestników meczów piłki nożnej rozgrywanych w drugiej i trzeciej najwyższej ligowej klasie rozgrywkowej rywalizacji mężczyzn.
10. Informacje, w tym dane osobowe, do systemów, o których mowa w ust. 2 i 2a, przekazują w zakresie swojej właściwości:
1) właściwy polski związek sportowy;
2) właściwy podmiot zarządzający rozgrywkami;
3) organizator meczu piłki nożnej;
4) Komendant Główny Policji;
5) podmiot uprawniony do dystrybucji biletów.
11. Podmioty przekazujące informacje, w tym dane osobowe, do systemów, o których mowa w ust. 2 i 2a, są odpowiedzialne za kompletność, aktualność oraz prawdziwość przekazywanych informacji.
12. Dostęp do informacji, w tym danych osobowych, przetwarzanych w systemach, o których mowa w ust. 2 i 2a, w zakresie swoich kompetencji, posiadają:
1) właściwy polski związek sportowy;
2) właściwy podmiot zarządzający rozgrywkami;
3) organizator meczu piłki nożnej;
4) podmiot uprawniony do dystrybucji biletów;
5) Policja, w zakresie weryfikacji poprawności informacji o osobach, o których mowa w art. 22 ust. 1 pkt 1 lit. a-c, oraz w związku z prowadzonym postępowaniem przygotowawczym lub czynnościami operacyjno-rozpoznawczymi.
13. Informacje, w tym dane osobowe, przetwarzane w systemach, o których mowa w ust. 2 i 2a, są przechowywane nie dłużej niż przez okres 2 lat od dnia ostatniego zakupu biletu wstępu przez uczestnika meczu piłki nożnej lub przekazania mu innego dokumentu uprawniającego do przebywania na meczu piłki nożnej.
13a. Jeżeli informacje, w tym dane osobowe, przetwarzane w systemach, o których mowa w ust. 2 i 2a, dotyczą osoby, wobec której zostało wydane orzeczenie lub zakaz, o których mowa w art. 22 ust. 1 pkt 1 lit. a-c, wówczas okres, o którym mowa w ust. 13, liczy się od dnia upływu okresu obowiązywania zakazu lub okresu, na który orzeczono dany środek.
14. Informacje, w tym dane osobowe, przetwarzane w systemach, o których mowa w ust. 2 i 2a, podlegają usunięciu, jeżeli:
1) zostały zgromadzone z naruszeniem ustawy;
2) okazały się niekompletne, nieaktualne lub nieprawdziwe;
3) upłynął okres, o którym mowa w ust. 13.";
w art. 15:
a) w ust. 1 po wyrazie "danych" dodaje się wyraz "osobowych",
b) w ust. 2 po wyrazie "dane" dodaje się wyraz "osobowe";
tytuł rozdziału 7 otrzymuje brzmienie:
"Zasady przetwarzania informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprezy masowej";
art. 35 otrzymuje brzmienie:
"Art. 35. 1. Przetwarzanie informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych odbywa się w celu zapobiegania przestępstwom i wykroczeniom związanym z tymi imprezami oraz ich zwalczania.
2. Przetwarzanie danych osobowych może odbywać się bez obowiązku informowania osób, których one dotyczą.";
w art. 36 ust. 1 i 2 otrzymują brzmienie:
"1. Organem administracji rządowej właściwym w sprawach przetwarzania informacji, w tym danych osobowych, dotyczących bezpieczeństwa masowych imprez sportowych, w tym meczów piłki nożnej, jest Komendant Główny Policji, zwany dalej "Komendantem".
2. Komendant przetwarza informacje, w tym dane osobowe, dotyczące imprez masowych innych niż masowe imprezy sportowe, w tym mecze piłki nożnej, w zakresie obejmującym dane osobowe o osobach, o których mowa w art. 22 ust. 1 pkt 1 lit. a i b, oraz o terminach i miejscach przeprowadzania tych imprez.";
art. 37 otrzymuje brzmienie:
"Art. 37. Do zadań Komendanta należy w szczególności:
1) przetwarzanie informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych;
2) prowadzenie zbioru danych dotyczących bezpieczeństwa imprez masowych;
3) opracowywanie analiz informacji dotyczących bezpieczeństwa masowych imprez sportowych, w tym meczów piłki nożnej;
4) zapewnienie bezpieczeństwa przetwarzanych informacji dotyczących bezpieczeństwa imprez masowych, w tym, zgodnie z przepisami ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), bezpieczeństwa danych osobowych;
5) współpraca z podmiotami zagranicznymi w zakresie, o którym mowa w pkt 1-3.";
w art. 38:
a) w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Podmiotami uprawnionymi w zakresie swoich kompetencji do otrzymywania od Komendanta informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych, zwanymi dalej "podmiotami uprawnionymi", są:",
b) ust. 2 i 3 otrzymują brzmienie:
"2. Organizatorzy imprez masowych innych niż masowe imprezy sportowe, w tym mecze piłki nożnej, są uprawnieni w zakresie swoich zadań ustawowych do otrzymywania od Komendanta informacji, w tym danych osobowych, dotyczących osób, o których mowa w art. 22 ust. 1 pkt 1 lit. a i b.
3. Komendanci wojewódzcy (Komendant Stołeczny) Policji i komendanci powiatowi (rejonowi, miejscy) Policji przekazują podmiotom, o których mowa w ust. 1 pkt 1-15, na wniosek tych podmiotów, informacje, w tym dane osobowe, o których mowa w art. 22 ust. 1 pkt 1 lit. a i b i art. 40, dotyczące imprez masowych organizowanych na obszarze działania tych komendantów. Przepisy art. 42 ust. 1, 4 i 5, art. 43, art. 44 ust. 1, 2 i 4, art. 45, art. 46 oraz art. 47 stosuje się odpowiednio.";
art. 39 otrzymuje brzmienie:
"Art. 39. 1. Podmiotami zobowiązanymi do przekazywania Komendantowi informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych, zwanymi dalej "podmiotami zobowiązanymi", są podmioty, o których mowa w art. 38 ust. 1 pkt 1-15, oraz:
1) Biuro Informacyjne Krajowego Rejestru Karnego oraz sądy, w których zapadło prawomocne orzeczenie o ukaraniu za wykroczenie karą inną niż kara aresztu;
2) związki sportowe;
3) organizatorzy;
4) właściciele obiektów, na terenie których organizowane są masowe imprezy sportowe, w tym mecze piłki nożnej;
5) organizatorzy turystyki;
6) krajowi przewoźnicy realizujący publiczny transport zbiorowy.
2. Podmioty zobowiązane przekazują komendantom wojewódzkim (Komendantowi Stołecznemu) Policji i komendantom powiatowym (rejonowym, miejskim) Policji, na wniosek komendantów, informacje, w tym dane osobowe, o których mowa w art. 22 ust. 1 pkt 1 lit. a i b i art. 40, dotyczące imprez masowych organizowanych na obszarze działania tych komendantów. Przepisy art. 41, art. 42 ust. 1-3 oraz art. 45 stosuje się odpowiednio.";
w art. 40 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Zakres przetwarzanych informacji, w tym danych osobowych, dotyczących bezpieczeństwa masowych imprez sportowych, w tym meczów piłki nożnej, zawiera dane:";
art. 41-43 otrzymują brzmienie:
"Art. 41. 1. Podmioty zobowiązane, z zastrzeżeniem ust. 2, przekazują Komendantowi informacje, w tym dane osobowe, dotyczące bezpieczeństwa masowych imprez sportowych, w tym meczów piłki nożnej, niezwłocznie po ich otrzymaniu, nie później jednak niż w ciągu 24 godzin od chwili ich otrzymania.
2. Podmioty zobowiązane, o których mowa w:
1) art. 38 ust. 1 pkt 13 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 3-5 i 9;
2) art. 38 ust. 1 pkt 15 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 3-7 i 9;
3) art. 39 ust. 1 pkt 2 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 3-5 i 9;
4) art. 39 ust. 1 pkt 3 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 3 i 6-10;
5) art. 39 ust. 1 pkt 4 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 4 i 7;
6) art. 39 ust. 1 pkt 5 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 8 i 9;
7) art. 39 ust. 1 pkt 6 - przekazują informacje, w tym dane osobowe, o których mowa w art. 40 pkt 4, 8 i 9.
Art. 42. 1. Informacje, w tym dane osobowe, dotyczące bezpieczeństwa imprezy masowej przekazuje się za pomocą środków komunikacji elektronicznej albo przez bezpośrednie doręczenie do najbliższego komisariatu lub komendy powiatowej (miejskiej, rejonowej) Policji.
2. Podmioty zobowiązane przekazują informacje, w tym dane osobowe, na kartach rejestracyjnych.
3. Podmioty uprawnione w celu uzyskania informacji, w tym danych osobowych, kierują zapytania, wraz z uzasadnieniem, do Komendanta na kartach zapytania.
4. Komendant udziela informacji na kartach odpowiedzi.
5. Komendant może przekazać informacje, w tym dane osobowe, dotyczące bezpieczeństwa masowych imprez sportowych, w tym meczów piłki nożnej, podmiotowi zobowiązanemu, niebędącemu podmiotem uprawnionym, na jego pisemne zapytanie, jeżeli dotyczy ono ustawowych obowiązków tego podmiotu.
6. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, sposób przekazywania informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych przez podmioty zobowiązane, wzory kart rejestracyjnych, karty zapytania oraz karty odpowiedzi, biorąc pod uwagę dane, jakie muszą znaleźć się na kartach, oznaczenia podmiotu uprawnionego oraz podmiotu zobowiązanego, treść informacji, o której mowa w ust. 2, oraz zapytania, o którym mowa w ust. 3, jak również uzasadnienia, o którym mowa w art. 43, a także konieczność zapewnienia bezpieczeństwa przekazywanych informacji, w tym dane osobowe, w szczególności przed dostępem osób nieuprawnionych.
Art. 43. 1. Komendant przekazuje informacje, w tym dane osobowe, dotyczące bezpieczeństwa imprez masowych niezwłocznie po otrzymaniu od podmiotu uprawnionego zapytania wraz z uzasadnieniem. Uzasadnienie powinno wskazywać powód wystąpienia z zapytaniem.
2. Jeżeli zapytanie nie zawiera uzasadnienia lub jest ono niewystarczające, Komendant zwraca się do podmiotu uprawnionego, o którym mowa w ust. 1, o sporządzenie uzasadnienia lub jego uzupełnienie o stosowne informacje.
3. W przypadku gdy przetwarzane w zbiorze danych informacje, w tym dane osobowe, dotyczące bezpieczeństwa imprez masowych są niewystarczające do udzielenia odpowiedzi na zapytanie, Komendant występuje z zapytaniem do podmiotów zobowiązanych w zakresie koniecznym do udzielenia odpowiedzi. Podmiot zobowiązany, do którego Komendant wystąpił z zapytaniem, jest obowiązany niezwłocznie udzielić odpowiedzi w zakresie określonym w art. 41.";
art. 45 otrzymuje brzmienie:
"Art. 45. Treść zapytania skierowanego przez Komendanta lub do Komendanta, a także treść odpowiedzi podmiotu zobowiązanego lub Komendanta podlega zarejestrowaniu w zbiorze danych, o którym mowa w art. 37 pkt 2.";
art. 46-49 otrzymują brzmienie:
"Art. 46. Przetwarzanie informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych może być dokonywane przy wykorzystaniu urządzeń i systemów teleinformatycznych, kartotek, wykazów i zbiorów ewidencyjnych.
Art. 47. 1. Podmiot zobowiązany, który stwierdził nieprawidłowość przekazywanej przez siebie informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych, zawiadamia o tym niezwłocznie Komendanta.
2. W przypadku, o którym mowa w ust. 1, Komendant niezwłocznie zawiadamia o nieprawidłowości informacji, w tym danych osobowych, dotyczących bezpieczeństwa imprez masowych podmioty uprawnione, które tę informację od niego otrzymały.
Art. 48. Informacje, w tym dane osobowe, dotyczące bezpieczeństwa imprez masowych Komendant przechowuje przez okres 10 lat.
Art. 49. Informacje, w tym dane osobowe, dotyczące bezpieczeństwa imprez masowych podlegają niezwłocznemu usunięciu ze zbioru danych, jeżeli:
1) przetwarzanie ich jest zabronione;
2) stały się nieaktualne;
3) okazały się nieprawdziwe;
4) upłynął okres, o którym mowa w art. 48.";
w art. 50 ust. 2 i 3 otrzymują brzmienie:
"2. Komendant w celu zapobiegania i zwalczania przejawów przemocy i chuligaństwa w czasie imprez masowych, a w szczególności meczów piłki nożnej, może przekazywać informacje, w tym dane osobowe, dotyczące bezpieczeństwa imprez masowych instytucjom zagranicznym, w tym zwłaszcza informacje niezbędne do zapewnienia porządku i bezpieczeństwa podczas organizowanych imprez masowych o charakterze międzynarodowym.
3. Do przekazywania informacji, w tym danych osobowych, instytucjom zagranicznym stosuje się odpowiednio przepisy niniejszego rozdziału, chyba że przepisy szczególne stanowią inaczej.".
w art. 2 w ust. 2 po pkt 7 dodaje się pkt 7a w brzmieniu:
"7a) prowadzenie Centralnej Bazy Danych Osób Pozbawionych Wolności, zwanej dalej "Centralną Bazą";";
art. 24 otrzymuje brzmienie:
"Art. 24. 1. Służba Więzienna, w celu realizacji zadań, o których mowa w art. 2 ust. 1, 2 i 2b, oraz zadań wynikających z odrębnych ustaw, jest uprawniona do przetwarzania:
1) informacji innych niż dane osobowe,
2) danych osobowych, a w celu realizacji zadań, o których mowa w art. 2 ust. 1 i 2, także danych, o których mowa w art. 14 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125)
- niezbędnych do realizacji tych zadań.
2. Zasady i warunki przetwarzania danych osobowych na podstawie niniejszej ustawy przez Służbę Więzienną w celu wykonywania orzeczeń wydanych w postępowaniu karnym, postępowaniu w sprawach o przestępstwa skarbowe, w sprawach o wykroczenia lub wykroczenia skarbowe oraz wykonywania kar porządkowych i środków przymusu skutkujących pozbawieniem wolności, a także ochrony przed zagrożeniami dla bezpieczeństwa publicznego i porządku publicznego i zapobiegania takim zagrożeniom reguluje ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, z wyjątkami określonymi w niniejszej ustawie.
3. Służba Więzienna może przetwarzać dane osobowe także bez wiedzy i zgody osób, których dane dotyczą.
4. Służba Więzienna może przetwarzać informacje i dane osobowe o następujących osobach:
1) obecnie lub uprzednio pozbawionych wolności w zakładach karnych i aresztach śledczych - w zakresie związanym z pozbawieniem wolności w tych zakładach i aresztach, w tym w zakresie niezbędnym do:
a) wykonania orzeczenia, zgodnie z zasadami określonymi w ustawie z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy,
b) zapewnienia porządku i bezpieczeństwa w zakładach karnych i aresztach śledczych,
c) ochrony społeczeństwa przed przestępczością,
d) wykonania zadań wynikających z odrębnych ustaw;
2) które mają być pozbawione wolności w zakładach karnych i aresztach śledczych, w wykonaniu orzeczenia wydanego przez właściwy organ i przesłanego przez sąd do zakładu karnego lub aresztu śledczego, w celu realizacji czynności, o których mowa w art. 79 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy - w zakresie niezbędnym do wykonania orzeczenia zgodnie z zasadami określonymi w tym kodeksie;
3) wobec których kary, środki karne i środki zabezpieczające są wykonywane w systemie dozoru elektronicznego - w zakresie niezbędnym do wykonania zadania, o którym mowa w art. 2 ust. 2 pkt 9;
4) innych niż wymienione w pkt 1-3, związane z realizacją wobec tych osób czynności przewidzianych w przepisach odrębnych oraz wykonywaniem praw lub obowiązków osób pozbawionych wolności, w tym dane osobowe:
a) pokrzywdzonych i świadków - w zakresie niezbędnym do realizacji zadań, o których mowa w art. 168a § 1 i 6 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy,
b) osób ubiegających się o wstęp oraz opuszczających teren jednostek organizacyjnych - w zakresie niezbędnym do zapewnienia realizacji czynności wykonywanych przez te osoby na terenie jednostek organizacyjnych,
c) osób zakłócających spokój lub naruszających porządek i bezpieczeństwo jednostek organizacyjnych - w zakresie niezbędnym dla realizacji czynności przewidzianych w przepisach odrębnych,
d) rodziny oraz innych osób bliskich - w zakresie realizacji praw przewidzianych w przepisach odrębnych;
5) funkcjonariuszach i pracownikach oraz innych osobach pełniących służbę lub zatrudnionych w organach władzy publicznej, dokonujących czynności z udziałem lub wobec osób, o których mowa w pkt 1-3 lub których dane osobowe zawarto w dokumentach przekazanych Służbie Więziennej - w zakresie niezbędnym do wykonania obowiązków i zadań wymienionych w pkt 1-3.
5. Osobie pozbawionej wolności nie udostępnia się:
1) jej akt osobowych, prowadzonych przez administrację zakładu karnego lub aresztu śledczego, z zastrzeżeniem art. 102 pkt 9 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy;
2) informacji przetwarzanych w Centralnej Bazie lub innym zbiorze danych prowadzonym w systemie teleinformatycznym, w zakresie odpowiadającym informacjom zawartym w aktach, o których mowa w pkt 1, uzasadniającym ograniczenie dostępu do tych akt.";
po art. 24 dodaje się art. 24a i art. 24b w brzmieniu:
"Art. 24a. 1. Służba Więzienna udziela informacji i udostępnia dane osobowe o osobach, na pisemny wniosek w postaci papierowej lub elektronicznej, podmiotom ustawowo uprawnionym, w zakresie określonym w ustawach.
2. Służba Więzienna, na pisemny i uzasadniony wniosek osoby najbliższej w postaci papierowej lub elektronicznej, udostępnia dane osobowe osoby obecnie pozbawionej wolności, za pisemną zgodą tej osoby.
3. Służba Więzienna udziela informacji o osobie pozbawionej wolności, która zmarła:
1) podmiotom ustawowo uprawnionym, na zasadach określonych w ust. 1;
2) osobie najbliższej, na pisemny i uzasadniony wniosek tej osoby;
3) osobie innej niż najbliższa, tylko jeżeli zgon nastąpił w zakładzie karnym lub areszcie śledczym, w zakresie informacji o zgonie, jego miejscu i dacie, po wykazaniu w pisemnym wniosku interesu prawnego w potwierdzeniu tych faktów.
4. Przepisy ust. 3 pkt 2 i 3 nie naruszają zasady udostępniania dokumentacji medycznej zmarłego, o której mowa w art. 26 ust. 2 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318 i 1524 oraz z 2018 r. poz. 1115, 1515, 2219 i 2429).
5. Minister Sprawiedliwości określi, w drodze rozporządzenia, tryb i sposób składania oraz wzór wniosku o udzielenie informacji lub udostępnienie danych osobowych o osobie obecnie lub uprzednio pozbawionej wolności w zakładzie karnym lub areszcie śledczym, zawierającego oznaczenie podmiotu ubiegającego się o udzielenie informacji lub udostępnienie danych osobowych, podstawę prawną, zakres udostępnianych danych i udzielanych informacji oraz danych identyfikujących osobę pozbawioną wolności, a w przypadku osoby najbliższej albo osoby innej niż najbliższa - uzasadnienie wniosku, mając na względzie w szczególności zakres uprawnień ustawowych ubiegających się podmiotów.
Art. 24b. 1. Służba Więzienna w związku z realizacją zadań, o których mowa w art. 2 ust. 1, 2 i 2b, oraz zadań wynikających z odrębnych ustaw jest uprawniona do przetwarzania danych osobowych i informacji o kandydatach do służby w Służbie Więziennej, pracownikach oraz funkcjonariuszach - w zakresie niezbędnym do realizacji postępowania kwalifikacyjnego oraz stosunku pracy i służby w Służbie Więziennej.
2. Przetwarzanie danych osobowych, o których mowa w ust. 1, następuje z wyłączeniem stosowania art. 13 ust. 1 lit. d i e oraz art. 16 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania. Zabezpieczenie przetwarzania danych osobowych polega co najmniej na dopuszczeniu do ich przetwarzania wyłącznie funkcjonariuszy lub pracowników posiadających pisemne upoważnienie wydane przez administratora danych po pisemnym zobowiązaniu funkcjonariuszy lub pracowników do zachowania przetwarzanych danych w poufności.
3. Informacji dotyczących danych osobowych funkcjonariuszy oraz pracowników nie udziela się na wniosek osób pozbawionych wolności lub innych podmiotów.
4. Informacje o ograniczeniach w stosowaniu rozporządzenia 2016/679 udostępnia się na stronie podmiotowej Biuletynu Informacji Publicznej Służby Więziennej.";
po rozdziale 4 dodaje się rozdział 4a w brzmieniu:
"Rozdział 4a
Centralna Baza
Art. 25a. 1. Centralna Baza jest zbiorem informacji i danych osobowych, zwanych w niniejszym rozdziale "informacjami", użytkowanym przez jednostki organizacyjne i prowadzonym w systemie teleinformatycznym.
2. W Centralnej Bazie przetwarza się informacje niezbędne do realizacji ustawowych zadań wykonywanych przez Służbę Więzienną, dotyczące:
1) osób, o których mowa w art. 24 ust. 4 pkt 1, obejmujące:
a) dane osobowe, takie jak: imiona, nazwisko, poprzednio używane imiona i nazwiska, pseudonimy, imiona i nazwiska rodziców, nazwisko rodowe matki, datę i miejsce urodzenia, numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL), aktualne i poprzednie adresy zameldowania, zamieszkania lub pobytu, także czasowego, obywatelstwo,
b) informacje pozwalające na identyfikację osoby pozbawionej wolności, w tym dane biometryczne,
c) informacje wynikające z orzeczeń i innych dokumentów przesłanych przez sąd do zakładu karnego lub aresztu śledczego, w tym informacje, o których mowa w art. 11 § 2 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy,
d) informacje dotyczące stawienia się skazanego lub ukaranego do odbycia kary we właściwym zakładzie karnym lub areszcie śledczym,
e) informacje dotyczące osoby pozbawionej wolności zebrane w trybie art. 14 § 1 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy,
f) informacje związane z pobytem osoby pozbawionej wolności w zakładzie karnym lub areszcie śledczym, w szczególności:
– informacje o wprowadzonych do wykonania orzeczeniach oraz okresach wykonywania pozbawienia wolności, w tym także poza zakładem karnym lub aresztem śledczym, oraz inne informacje mające wpływ na ustalenie terminu końca kary lub środka przymusu,
– informacje niezbędne do dokonania prawidłowej klasyfikacji, rozmieszczenia wewnątrz zakładu karnego lub aresztu śledczego oraz indywidualnego postępowania zmierzającego do realizacji celów, jakim ma służyć wykonanie kar pozbawienia wolności, środków przymusu skutkujących pozbawieniem wolności oraz tymczasowego aresztowania, w tym w szczególności informacje:
-- o których mowa w art. 82 § 2 ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy,
-- wynikające z badań osobopoznawczych, o których mowa w art. 82 § 3 i art. 212c § 1 zdanie pierwsze ustawy z dnia 6 czerwca 1997 r. - Kodeks karny wykonawczy,
-- dotyczące diagnoz psychologicznych oraz udzielonej pomocy psychologicznej i terapeutycznej,
– informacje o zakwalifikowaniu osoby pozbawionej wolności jako osoby stwarzającej poważne zagrożenie społeczne albo poważne zagrożenie dla bezpieczeństwa zakładu karnego lub aresztu śledczego,
– informacje o objęciu osoby pozbawionej wolności szczególną ochroną w warunkach zwiększonej izolacji i zabezpieczenia,
– dane dotyczące zdrowia, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie zdrowia,
– informacje dotyczące wykształcenia, zawodu, innych kwalifikacji zawodowych oraz nauki, w tym miejsca jej pobierania,
– informacje dotyczące wniosków, skarg i próśb złożonych przez osobę pozbawioną wolności,
– oznaczenia i cechy identyfikacyjne dokumentów, w tym dokumentów stwierdzających tożsamość, przekazanych do depozytu zakładu karnego lub aresztu śledczego,
– informacje o rozmieszczeniu wewnątrz zakładu karnego lub aresztu śledczego, przenoszeniu między zakładami karnymi i aresztami śledczymi, o przebywaniu poza terenem tych zakładów lub aresztów pod konwojem, o przepustce lub innym czasowym zezwoleniu na opuszczenie terenu zakładu karnego lub aresztu śledczego, wydaniu poza teren tego zakładu lub aresztu, w tym do udziału w czynnościach procesowych, o ucieczce z zakładu karnego lub aresztu śledczego, a także o tym, że w wyznaczonym terminie osoba pozbawiona wolności nie powróciła z przepustki lub innego czasowego zezwolenia na opuszczenie terenu zakładu karnego lub aresztu śledczego,
– informacje dotyczące zgonu osoby pozbawionej wolności w zakładzie karnym lub areszcie śledczym,
– informacje dotyczące zatrudnienia osoby pozbawionej wolności,
– informacje w zakresie spraw prowadzonych w szczególności w związku z postępowaniem o zezwolenie na odbywanie kary w systemie dozoru elektronicznego, warunkowe przedterminowe zwolnienie oraz przerwę w wykonaniu kary,
g) informacje związane ze zwolnieniem osoby pozbawionej wolności z zakładu karnego lub aresztu śledczego, w tym dotyczące zwolnienia skazanego lub ukaranego na przerwę w wykonaniu kary,
h) inne informacje, jeżeli wynika to z przepisów szczególnych;
2) osób, o których mowa w art. 24 ust. 4 pkt 2, obejmujące informacje, o których mowa w pkt 1 lit. a-d;
3) osób, o których mowa w art. 24 ust. 4 pkt 4, obejmujące:
a) imię, nazwisko, jeżeli jest to konieczne - adres miejsca zamieszkania,
b) informacje umożliwiające identyfikację osoby, zawarte w dokumentach stwierdzających tożsamość lub innych dokumentach,
c) informacje o udzieleniu widzenia lub wykonaniu innych czynności na terenie zakładu karnego lub aresztu śledczego,
d) inne informacje, jeżeli wynika to z przepisów szczególnych;
4) funkcjonariuszy, pracowników i innych osób, o których mowa w art. 24 ust. 4 pkt 5, obejmujące tylko informacje konieczne dla prawidłowego przetwarzania informacji w Centralnej Bazie i realizacji, przy wykorzystaniu informacji w tej bazie, ustawowych zadań Służby Więziennej, jeżeli wynika to z przepisów szczególnych.
Art. 25b. 1. Dyrektor Generalny:
1) prowadzi w systemie teleinformatycznym Centralną Bazę;
2) jest administratorem informacji, w tym danych osobowych, przetwarzanych w Centralnej Bazie;
3) dokonuje weryfikacji przydatności informacji w Centralnej Bazie, mając na względzie ich niezbędność do realizacji ustawowych zadań wynikającą z rodzaju informacji oraz upływu czasu;
4) zapewnia:
a) bezpieczeństwo Centralnej Bazy, w szczególności zabezpiecza przetwarzane w niej informacje przed nieuprawnionym dostępem, zniszczeniem oraz utratą,
b) utrzymanie i niezbędne modyfikacje Centralnej Bazy.
2. Informacje w Centralnej Bazie:
1) przetwarza się przez okres, w którym są niezbędne do realizacji ustawowych zadań wykonywanych przez Służbę Więzienną. Dyrektor Generalny dokonuje, nie rzadziej niż co 5 lat, weryfikacji potrzeby dalszego przetwarzania tych informacji, ustalając informacje zbędne;
2) uznane za zbędne, mogą być przetwarzane tylko w celu realizacji obowiązku, o którym mowa w pkt 3. Jeżeli przemawia za tym prawidłowość informacji przetwarzanych w Centralnej Bazie, informacje uznane za zbędne mogą być przekształcone w sposób uniemożliwiający przyporządkowanie poszczególnych danych do określonej lub możliwej do zidentyfikowania osoby fizycznej albo w taki sposób, że przyporządkowanie takie wymagałoby niewspółmiernych kosztów, czasu lub działań;
3) stanowią materiały archiwalne w rozumieniu art. 1 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2018 r. poz. 217, 357, 398 i 650 oraz z 2019 r. poz. 55).
3. Utrzymanie i niezbędne modyfikacje Centralnej Bazy są finansowane z budżetu państwa, z części, której dysponentem jest Minister Sprawiedliwości.
4. Dyrektor Generalny powierza, w drodze zarządzenia, o którym mowa w ust. 5, podległym jednostkom organizacyjnym, przetwarzanie danych osobowych w Centralnej Bazie, w zakresie niezbędnym do realizacji ustawowych zadań Służby Więziennej.
5. Dyrektor Generalny określi, w drodze zarządzenia, sposób oraz szczegółowe warunki użytkowania w jednostkach organizacyjnych Centralnej Bazy, w tym warunki powierzenia tym jednostkom danych osobowych przetwarzanych w Centralnej Bazie, mając na względzie prawidłową realizację zadań związanych z przetwarzaniem informacji w Centralnej Bazie oraz jej funkcjonowaniem.
Art. 25c. 1. Jeżeli jest to niezbędne do realizacji zadań ustawowych, o zgodę do Dyrektora Generalnego na wielokrotne, nieograniczone w czasie udostępnianie informacji z Centralnej Bazy, za pośrednictwem systemu teleinformatycznego, bez konieczności każdorazowego składania wniosku, mogą wystąpić:
1) sądy powszechne, sądy wojskowe oraz Sąd Najwyższy;
2) organy prokuratury;
3) Komendant Główny Policji;
4) Komendant Główny Straży Granicznej;
5) Komendant Główny Żandarmerii Wojskowej;
6) Komendant Służby Ochrony Państwa;
7) Komendant Straży Marszałkowskiej;
8) Szef Agencji Bezpieczeństwa Wewnętrznego;
9) Szef Agencji Wywiadu;
10) Szef Centralnego Biura Antykorupcyjnego;
11) Szef Krajowej Administracji Skarbowej;
12) Szef Służby Kontrwywiadu Wojskowego;
13) Szef Służby Wywiadu Wojskowego;
14) Minister Obrony Narodowej;
15) Prezes Prokuratorii Generalnej Rzeczypospolitej Polskiej;
16) Rzecznik Praw Obywatelskich.
2. O zgodę, o której mowa w ust. 1, występuje:
1) Minister Sprawiedliwości - w imieniu podmiotów, o których mowa w ust. 1 pkt 1;
2) Prokurator Generalny - w imieniu podmiotów, o których mowa w ust. 1 pkt 2.
Art. 25d. 1. Dyrektor Generalny wyraża zgodę, w drodze decyzji, na wielokrotne, nieograniczone w czasie udostępnianie informacji z Centralnej Bazy, z wyjątkiem danych dotyczących zdrowia osób obecnie lub uprzednio pozbawionych wolności oraz informacji dotyczących diagnoz psychologicznych oraz udzielonej im pomocy psychologicznej i terapeutycznej, za pośrednictwem systemu teleinformatycznego, bez konieczności każdorazowego składania wniosku, podmiotom wymienionym w art. 25c ust. 1, jeżeli podmioty te spełniają łącznie następujące warunki:
1) posiadają urządzenia umożliwiające odnotowanie w systemie kto, kiedy, w jakim celu oraz jakie informacje uzyskał;
2) posiadają zabezpieczenia techniczne i organizacyjne uniemożliwiające wykorzystanie informacji niezgodnie z celem ich uzyskania;
3) jest to uzasadnione specyfiką lub zakresem wykonywanych zadań albo prowadzonej działalności;
4) po stronie tych podmiotów oraz Służby Więziennej istnieją warunki techniczne.
2. Warunki udostępniania informacji podmiotowi wymienionemu w art. 25c ust. 1 pkt 16 określa Dyrektor Generalny, w decyzji, o której mowa w ust. 1, mając na względzie:
1) że informacje z Centralnej Bazy udostępniane są Rzecznikowi Praw Obywatelskich lub osobie przez niego upoważnionej na terenie zakładu karnego lub aresztu śledczego;
2) konieczność wprowadzenia zabezpieczeń technicznych i organizacyjnych uniemożliwiających wykorzystanie informacji niezgodnie z celem ich uzyskania;
3) zasady przetwarzania informacji w Centralnej Bazie przez Służbę Więzienną.
3. Informacje z Centralnej Bazy Dyrektor Generalny udostępnia w takim zakresie, określonym w decyzji, o której mowa w ust. 1, w jakim są one niezbędne do realizacji zadań ustawowych.
Art. 25e. Dyrektor Generalny, po wyrażeniu zgody w drodze decyzji, o której mowa w art. 25d ust. 1, umożliwia wielokrotne, nieograniczone w czasie udostępnianie informacji z Centralnej Bazy, w zakresie określonym w tej decyzji, za pośrednictwem systemu teleinformatycznego, bez konieczności każdorazowego składania wniosku.
Art. 25f. 1. Dyrektor Generalny, w drodze decyzji, odmawia wyrażenia zgody na wielokrotne, nieograniczone w czasie, udostępnianie informacji z Centralnej Bazy, za pośrednictwem systemu teleinformatycznego, bez konieczności każdorazowego składania wniosku, jeżeli:
1) podmiot występujący z wnioskiem nie jest podmiotem wymienionym w art. 25c ust. 1 pkt 3-15 lub ust. 2;
2) podmiot wymieniony w art. 25c ust. 1 pkt 3-14 lub ust. 2 nie wykazał, że spełnione są warunki określone w art. 25d ust. 1 pkt 1-3;
3) nie istnieją warunki techniczne po stronie podmiotów wymienionych w art. 25c ust. 1 pkt 1-14 lub Służby Więziennej;
4) podmiot wymieniony w art. 25c ust. 1 pkt 16 nie spełnił warunków określonych przez Dyrektora Generalnego, o których mowa w art. 25d ust. 2.
2. Dyrektor Generalny cofa w drodze decyzji zgodę, o której mowa w art. 25d ust. 1, jeżeli zadania podmiotu, który uzyskał zgodę, nie czynią niezbędnym takiego dostępu lub ustalono, że podmiot taki nie spełnia warunków, o których mowa w art. 25d ust. 1-4, albo podmiot wymieniony w art. 25c ust. 1 pkt 16 nie spełnia warunków określonych przez Dyrektora Generalnego, o których mowa w art. 25d ust. 2.
3. Decyzja, o której mowa w ust. 2, podlega natychmiastowemu wykonaniu.
4. Od decyzji, o których mowa w ust. 1 i 2, służy wniosek o ponowne rozpatrzenie sprawy.
Art. 25g. 1. Minister Sprawiedliwości określi, w drodze rozporządzenia:
1) tryb uzyskiwania zgody na udostępnianie informacji z Centralnej Bazy, o której mowa w art. 25c ust. 1;
2) wzór wniosku o udostępnianie informacji z Centralnej Bazy, o którym mowa w art. 25c ust. 1;
3) warunki techniczne i organizacyjne wykonania decyzji, o której mowa w art. 25d ust. 1;
4) sposób i tryb udostępniania informacji z Centralnej Bazy, o którym mowa w art. 25c ust. 1.
2. Wydając rozporządzenie, o którym mowa w ust. 1, Minister Sprawiedliwości uwzględni w szczególności:
1) warunki, o których mowa w art. 25d ust. 1, w tym zwłaszcza konieczność wykazania przez podmioty, o których mowa w art. 25c ust. 1 pkt 3-14 i ust. 2, informacji, których udostępnianie jest niezbędne dla wykonywania zadań określonych w odrębnych ustawach, oraz konieczność wykazania przez te podmioty odpowiedniego poziomu zabezpieczeń technicznych i organizacyjnych;
2) warunki, o których mowa w art. 25d ust. 2, w przypadku podmiotu wymienionego w art. 25c ust. 1 pkt 16;
3) potrzebę zapewnienia sprawności i bezpieczeństwa udostępniania informacji z Centralnej Bazy, za pośrednictwem systemu teleinformatycznego, oraz ochrony tych informacji przed nieuprawnionym dostępem.
Art. 25h. Minister Sprawiedliwości i minister właściwy do spraw wewnętrznych określą, w drodze rozporządzenia, zakres informacji w Centralnej Bazie, do których bezpośredni dostęp posiada punkt kontaktowy, o którym mowa w art. 4 ust. 1 ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi (Dz. U. z 2018 r. poz. 484 oraz z 2019 r. poz. 125), w celu ich wymiany z organami ścigania innych państw na zasadach i w trybie określonych w przepisach tej ustawy, mając na względzie konieczność zapewnienia dostępu do informacji niezbędnych do wykonywania zadań przez ten punkt kontaktowy oraz potrzebę zapewnienia bezpieczeństwa i ochrony danych osobowych przetwarzanych w Centralnej Bazie.
Art. 25i. Korzystając z informacji z Centralnej Bazy, Dyrektor Generalny:
1) przekazuje, za pośrednictwem systemu teleinformatycznego, informacje o osobach pozbawionych wolności do Krajowego Rejestru Karnego, w zakresie określonym w ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2018 r. poz. 1218 i 1544 oraz z 2019 r. poz. 60) oraz w przepisach wydanych na podstawie art. 12 ust. 3 tej ustawy;
2) może przekazywać, za pośrednictwem systemu teleinformatycznego, informacje określone w odrębnych przepisach, do uprawnionych podmiotów, realizując ustawowe zadania Służby Więziennej wynikające z tych przepisów.
Art. 25j. Minister Sprawiedliwości w porozumieniu z ministrem właściwym do spraw wewnętrznych oraz Ministrem Obrony Narodowej może określić, w drodze rozporządzenia:
1) sposób oraz warunki przekazywania z Centralnej Bazy informacji, o których mowa w art. 25i pkt 2,
2) zadania Służby Więziennej realizowane w sposób określony w art. 25i pkt 2
- uwzględniając w szczególności potrzebę stworzenia możliwości uproszczenia trybu przekazywania informacji przez organy Służby Więziennej uprawnionym podmiotom, zakres i sposób działania tych podmiotów, potrzebę minimalizowania kosztów realizacji zadań przez organy władzy publicznej oraz konieczność ochrony przekazywanych w tym trybie informacji.".
W ustawie z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. z 2018 r. poz. 470, z późn. zm.) w art. 25 w ust. 1 pkt 3 otrzymuje brzmienie:
"3) Komendant Główny Policji - na zasadach i w trybie określonym w art. 20 ust. 1d i 1e ustawy z dnia 6 kwietnia 1990 r. o Policji (Dz. U. z 2017 r. poz. 2067, z późn. zm.);".
W ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018 r. poz. 412, 650, 1000, 1083 i 1669) w art. 1 dodaje się ust. 4 i 5 w brzmieniu:
"4. Do danych osobowych stanowiących informacje niejawne nie stosuje się przepisów o ochronie danych osobowych.
5. Do danych osobowych stanowiących informacje niejawne stosuje się przepisy niniejszej ustawy.".
tytuł ustawy otrzymuje brzmienie:
"o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi";
w art. 1:
a) ust. 1 otrzymuje brzmienie:
"1. Ustawa określa:
1) zasady i warunki wymiany informacji z organami ścigania państw członkowskich Unii Europejskiej, organami ścigania państw trzecich, agencjami Unii Europejskiej, organizacjami międzynarodowymi w celu rozpoznawania, wykrywania lub zwalczania przestępstw lub przestępstw skarbowych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego oraz zapobiegania takim przestępstwom i zagrożeniom, a także ścigania sprawców przestępstw lub przestępstw skarbowych;
2) podmioty uprawnione w tych sprawach.",
b) w ust. 2 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Podmiotami uprawnionymi do wymiany informacji z podmiotami, o których mowa w ust. 1 pkt 1, są:",
c) w ust. 3 uchyla się pkt 1;
w art. 3:
a) pkt 1 otrzymuje brzmienie:
"1) pseudonimizacji - rozumie się przez to przetworzenie danych osobowych w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;",
b) uchyla się pkt 2,
c) pkt 3 otrzymuje brzmienie:
"3) informacji - rozumie się przez to informacje, w tym dane osobowe, do których przetwarzania w celu realizacji swoich zadań ustawowych są uprawnione, na podstawie przepisów odrębnych, podmioty uprawnione;",
d) uchyla się pkt 7,
e) pkt 8 otrzymuje brzmienie:
"8) wymianie - rozumie się przez to przekazywanie, udostępnianie, uzyskiwanie lub otrzymywanie informacji przez organy ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencje Unii Europejskiej, organizacje międzynarodowe lub podmioty uprawnione;",
f) dodaje się pkt 9 i 10 w brzmieniu:
"9) organizacji międzynarodowej - rozumie się przez to organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy;
10) agencji Unii Europejskiej - rozumie się przez to agencję Unii Europejskiej zajmującą się zapobieganiem i zwalczaniem przestępczości.";
art. 4 i art. 5 otrzymują brzmienie:
"Art. 4. 1. W ramach struktury Komendy Głównej Policji wyznacza się komórkę organizacyjną pełniącą funkcję punktu kontaktowego do wymiany informacji między podmiotami uprawnionymi a podmiotami, o których mowa w art. 1 ust. 1 pkt 1, zwaną dalej "punktem kontaktowym".
2. Dopuszcza się bezpośrednią wymianę informacji z pominięciem punktu kontaktowego między przedstawicielami uprawnionych podmiotów a podmiotów, o których mowa w art. 1 ust. 1 pkt 1, podczas prowadzonych wspólnych patroli, spotkań operacyjnych lub innych operacji transgranicznych.
3. Dopuszcza się bezpośrednią wymianę informacji z pominięciem punktu kontaktowego między przedstawicielami uprawnionych podmiotów a podmiotów, o których mowa w art. 1 ust. 1 pkt 1, w ramach:
1) współpracy na terenach przygranicznych, w tym realizowanej przez międzynarodowe centra współpracy;
2) wykonywania zadań oficera łącznikowego podmiotu uprawnionego za granicą lub oficera łącznikowego wchodzącego w skład polskiego biura łącznikowego przy Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol).
4. Punkt kontaktowy może upoważnić podmioty uprawnione do bezpośredniej wymiany informacji z podmiotami, o których mowa w art. 1 ust. 1 pkt 1. W upoważnieniu punkt kontaktowy określa warunki, zasady i sposób takiej wymiany.
5. Ustawa nie narusza przepisów odrębnych o organizacji i zadaniach innych punktów kontaktowych niż wymieniony w ust. 1.
Art. 5. Do zadań punktu kontaktowego należy:
1) przyjmowanie wniosków o udzielenie informacji składanych przez podmioty, o których mowa w art. 1 ust. 1 pkt 1, oraz udzielanie odpowiedzi na te wnioski;
2) przekazywanie wniosków o udzielenie informacji składanych przez podmioty, o których mowa w art. 1 ust. 1 pkt 1, podmiotom uprawnionym, zgodnie z ich właściwością, w celu udzielenia odpowiedzi na te wnioski;
3) przekazywanie podmiotom, o których mowa w art. 1 ust. 1 pkt 1, wniosków o udzielenie informacji składanych przez podmioty uprawnione;
4) przekazywanie podmiotom, o których mowa w art. 1 ust. 1 pkt 1, informacji w przypadku, o którym mowa w art. 11 ust. 1 pkt 2;
5) koordynowanie wymiany informacji;
6) przetwarzanie, w tym przechowywanie, informacji wymienianych w oparciu o niniejszą ustawę.";
art. 8 otrzymuje brzmienie:
"Art. 8. 1. Punkt kontaktowy wymienia informacje z podmiotami, o których mowa w art. 1 ust. 1 pkt 1, dostępnymi kanałami komunikacji wykorzystywanymi w międzynarodowej współpracy policyjnej, w szczególności udostępnianymi przez:
1) Międzynarodową Organizację Policji Kryminalnej - Interpol;
2) Agencję Unii Europejskiej ds. Współpracy Organów Ścigania (Europol);
3) biura SIRENE.
2. Punkt kontaktowy może przekazywać podmiotom, o których mowa w art. 1 ust. 1 pkt 1, informacje za pośrednictwem oficerów łącznikowych lub innych przedstawicieli podmiotów uprawnionych w podmiotach, o których mowa w art. 1 ust. 1 pkt 1, oraz oficerów łącznikowych lub innych przedstawicieli podmiotów, o których mowa w art. 1 ust. 1 pkt 1, w Rzeczypospolitej Polskiej.";
w art. 10 pkt 4 otrzymuje brzmienie:
"4) sposób wymiany informacji między punktem kontaktowym a podmiotami, o których mowa w art. 1 ust. 1 pkt 1, oraz punktem kontaktowym a podmiotami uprawnionymi,";
tytuł rozdziału 3 otrzymuje brzmienie:
"Warunki i zasady wymiany informacji z organami ścigania państw członkowskich Unii Europejskiej i agencjami Unii Europejskiej";
w art. 11 w ust. 1 pkt 2 otrzymuje brzmienie:
"2) z urzędu przekazują organom ścigania państw członkowskich Unii Europejskiej lub agencjom Unii Europejskiej informacje, jeżeli istnieje uzasadnione przypuszczenie, że informacje te przyczynią się do wykrycia i zatrzymania sprawców przestępstw lub przestępstw skarbowych lub zapobieżenia przestępstwu na terytorium państwa członkowskiego Unii Europejskiej lub państw trzecich, z zastrzeżeniem art. 18d ust. 2.";
w art. 12:
a) po ust. 1 dodaje się ust. 1a w brzmieniu:
"1a. Podmioty uprawnione, przekazując informacje organom ścigania państw członkowskich Unii Europejskiej, zapewniają, aby wymiana danych osobowych nie była ograniczana ani zakazywana z powodów dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.",
b) uchyla się ust. 2,
c) dodaje się ust. 3 w brzmieniu:
"3. Przekazując informację, podmiot uprawniony lub punkt kontaktowy, o ile realizuje zadanie określone w art. 5 pkt 1, wskazują organowi ścigania państwa członkowskiego Unii Europejskiej sposób, w jaki może być ona wykorzystana przez ten organ, w szczególności, czy może być ona wykorzystana w postępowaniu karnym.";
w art. 16:
a) ust. 1 otrzymuje brzmienie:
"1. Podmioty uprawnione przetwarzają informacje uzyskane w wyniku ich wymiany z organami ścigania państw członkowskich Unii Europejskiej w celach wskazanych w art. 1 ust. 1 pkt 1.",
b) uchyla się ust. 3;
w art. 17 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
"2. Jeżeli przy przekazywaniu informacji organ ścigania państwa członkowskiego Unii Europejskiej nie zastrzeże inaczej, informacje uzyskane przez podmiot uprawniony w ten sposób mogą zostać wykorzystane w postępowaniu karnym.";
po art. 17 dodaje się art. 17a w brzmieniu:
"Art. 17a. Szczegółowe zasady i warunki wymiany informacji z agencjami Unii Europejskiej przez podmioty uprawnione i punkt kontaktowy określają przepisy Unii Europejskiej.";
dodaje się rozdział 3a w brzmieniu:
"Rozdział 3a
Warunki i zasady wymiany informacji z organami ścigania państw trzecich i organizacji międzynarodowych
Art. 18a. 1. Dane osobowe mogą zostać przekazane przez podmioty uprawnione lub punkt kontaktowy, o ile realizuje zadanie określone w art. 5 pkt 1, do państwa trzeciego lub organizacji międzynarodowej, jeżeli:
1) przekazanie jest niezbędne do celów, o których mowa w art. 1 ust. 1 pkt 1;
2) dane osobowe są przekazywane administratorowi w państwie trzecim lub organizacji międzynarodowej, który jest podmiotem właściwym do realizacji celów, o których mowa w art. 1 ust. 1 pkt 1, z zastrzeżeniem art. 18e ust. 1;
3) państwo członkowskie Unii Europejskiej, które przekazało dane osobowe, wyraziło uprzednią zgodę na ich przekazanie do państwa trzeciego lub organizacji międzynarodowej, a w przypadku dalszego przekazania tych danych do kolejnego państwa trzeciego lub organizacji międzynarodowej właściwy organ ścigania, który dokonał pierwotnego przekazania, lub inny właściwy organ ścigania tego samego państwa członkowskiego Unii Europejskiej zezwala na dalsze przekazanie po należytym uwzględnieniu całokształtu sprawy;
4) Komisja Europejska w przypadku, o którym mowa w art. 18b ust. 1, uznała, że państwo trzecie, terytorium lub przynajmniej jeden sektor w tym państwie trzecim, lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony danych osobowych;
5) w razie braku decyzji Komisji, o której mowa w art. 18b ust. 1:
a) zostały zapewnione lub istnieją odpowiednie zabezpieczenia zgodnie z art. 18c - w przypadku gdy nie zostały spełnione warunki, o których mowa w pkt 4,
b) ma zastosowanie wyjątek w szczególnych sytuacjach zgodnie z art. 18d - w przypadku gdy nie zostały spełnione warunki, o których mowa w lit. a.
2. Przekazanie danych osobowych bez uprzedniej zgody innego państwa członkowskiego Unii Europejskiej, o której mowa w ust. 1 pkt 3, jest dozwolone wyłącznie wtedy, gdy takiej uprzedniej zgody nie da się uzyskać w odpowiednim terminie, a przekazanie jest:
1) niezbędne do zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego w państwie członkowskim Unii Europejskiej lub państwie trzecim lub
2) ma istotne znaczenie dla ważnych interesów państwa członkowskiego Unii Europejskiej.
3. W przypadku zastosowania przepisu ust. 2 państwo członkowskie Unii Europejskiej odpowiadające za wydanie uprzedniej zgody zostaje powiadomione o tym bez zbędnej zwłoki.
4. Podmiot uprawniony lub punkt kontaktowy mogą, o ile przepisy odrębne nie stanowią inaczej, zezwolić organowi ścigania państwa członkowskiego Unii Europejskiej na przekazanie do państwa trzeciego lub organizacji międzynarodowej danych osobowych, uprzednio przekazanych temu organowi przez podmiot uprawniony lub punkt kontaktowy, o ile przekazał on dane osobowe, realizując zadanie określone w art. 5 pkt 1. Jeżeli organ ścigania państwa członkowskiego Unii Europejskiej wystąpił do podmiotu uprawnionego lub punktu kontaktowego o zgodę na dalsze przekazanie danych osobowych uprzednio od nich otrzymanych do kolejnego państwa trzeciego lub organizacji międzynarodowej, organ uprawniony lub punkt kontaktowy może zezwolić na to dalsze przekazanie po należytym uwzględnieniu całokształtu sprawy, w tym:
1) wagi czynu zabronionego;
2) celu, w którym dane osobowe zostały pierwotnie przekazane;
3) stopnia ochrony danych osobowych w państwie trzecim lub organizacji międzynarodowej, do których dane osobowe są dalej przekazywane.
Art. 18b. 1. Dane osobowe mogą zostać przekazane do państwa trzeciego, terytorium lub przynajmniej jednego sektora w tym państwie trzecim, lub danej organizacji międzynarodowej - o ile Komisja Europejska w drodze decyzji uznała, iż państwo trzecie, terytorium lub przynajmniej jeden określony sektor w państwie trzecim, lub dana organizacja międzynarodowa zapewnia odpowiedni stopień ochrony danych osobowych.
2. Wydanie przez Komisję Europejską decyzji stwierdzającej, że państwo trzecie, terytorium lub przynajmniej jeden określony sektor w państwie trzecim, lub organizacja międzynarodowa przestały zapewniać odpowiedni stopień ochrony danych osobowych - nie wpływa na przekazywanie danych osobowych do danego państwa trzeciego, terytorium lub jednego lub więcej określonych sektorów w tym państwie trzecim, lub do danej organizacji międzynarodowej na mocy art. 18c i art. 18d.
Art. 18c. 1. W przypadku braku decyzji Komisji Europejskiej, o której mowa w art. 18b ust. 1, dane osobowe mogą zostać przekazane do państwa trzeciego lub organizacji międzynarodowej, jeżeli przepisy prawa przewidują odpowiednie zabezpieczenia ochrony danych osobowych.
2. W przypadku braku prawnie wiążącego aktu, o którym mowa w ust. 1, dane osobowe mogą zostać przekazane do państwa trzeciego lub organizacji międzynarodowej, jeżeli administrator danych stwierdził, po przeanalizowaniu wszystkich okoliczności związanych z przekazaniem danych osobowych, że to państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom zabezpieczenia ochrony danych osobowych, w szczególności poufności przekazanych danych, celu, w którym dane zostały przekazane, lub sposobu ich wykorzystania, tak aby nie zostały one użyte do wydania orzeczenia lub wykonania kary śmierci, lub innego rodzaju okrutnego lub nieludzkiego traktowania lub karania.
3. Administrator danych dokumentuje fakt przekazania danych osobowych w przypadkach, o których mowa w ust. 2, oraz bez zbędnej zwłoki informuje Prezesa Urzędu Ochrony Danych Osobowych o tym fakcie.
4. Podmiot uprawniony lub punkt kontaktowy, o ile realizuje zadanie określone w art. 5 pkt 1, dokumentują, w sposób określony w ust. 5, fakt przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, które zostały przez administratora danych uznane, na podstawie ust. 2, za zapewniające odpowiedni poziom zabezpieczenia ochrony danych osobowych.
5. Podmiot uprawniony lub punkt kontaktowy, o ile realizował zadanie określone w art. 5 pkt 1, udostępnia Prezesowi Urzędu Ochrony Danych Osobowych, na każde jego żądanie, dokumentację obejmującą:
1) datę i godzinę przekazania;
2) informacje o właściwym organie odbierającym;
3) uzasadnienie przekazania;
4) wyliczenie danych osobowych, jakie zostały przekazane.
6. Prezes Urzędu Ochrony Danych Osobowych współpracuje z podmiotami uprawnionymi i punktem kontaktowym w celu prawidłowej realizacji obowiązku zawartego w ust. 2.
Art. 18d. 1. W przypadku braku decyzji Komisji Europejskiej, o której mowa w art. 18b ust. 1, oraz braku odpowiednich zabezpieczeń, o których mowa w art. 18c ust. 1 i 2, dane osobowe lub określona ich kategoria mogą zostać przekazane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem, że przekazanie jest niezbędne:
1) w celu ochrony życia lub zdrowia osoby, której dane dotyczą, lub innej osoby;
2) w celu zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą, jeżeli przepisy odrębne tak stanowią;
3) dla zapobieżenia bezpośredniemu, poważnemu ryzyku naruszenia bezpieczeństwa publicznego państwa członkowskiego Unii Europejskiej lub państwa trzeciego;
4) w indywidualnym przypadku do celów, o których mowa w art. 1 ust. 1 pkt 1;
5) w indywidualnym przypadku dla ustalenia, dochodzenia lub obrony roszczeń w związku z celami określonymi w art. 1 ust. 1 pkt 1.
2. Danych osobowych nie przekazuje się, jeżeli podmiot uprawniony lub punkt kontaktowy, o ile realizuje zadanie określone w art. 5 pkt 1, stwierdziły, że podstawowe prawa i wolności konkretnej osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem, o którym mowa w ust. 1 pkt 4 i 5.
3. Podmiot uprawniony lub punkt kontaktowy, o ile realizuje zadanie określone w art. 5 pkt 1, dokumentują, w sposób określony w ust. 4, fakt przekazania danych osobowych na podstawie ust. 1 do państwa trzeciego lub organizacji międzynarodowej.
4. Podmiot uprawniony lub punkt kontaktowy, o ile realizował zadanie określone w art. 5 pkt 1, udostępnia Prezesowi Urzędu Ochrony Danych Osobowych, na każde jego żądanie, dokumentację obejmującą:
1) datę i godzinę przekazania;
2) informacje o właściwym organie odbierającym;
3) uzasadnienie przekazania;
4) wyliczenie danych osobowych, jakie zostały przekazane.
Art. 18e. 1. Z zastrzeżeniem wyjątków przewidzianych w umowach międzynarodowych dotyczących współpracy policyjnej zawartych z państwami trzecimi, dane osobowe w indywidualnych i konkretnych przypadkach mogą zostać przekazane bezpośrednio odbiorcom mającym siedzibę w państwach trzecich jedynie wówczas, gdy spełnione zostały łącznie następujące warunki:
1) przekazanie jest niezbędne do wykonania prawnie określonego zadania podmiotu uprawnionego do celów, o których mowa w art. 1 ust. 1 pkt 1;
2) podmiot uprawniony stwierdza, że podstawowe prawa i wolności danej osoby, której dane dotyczą, nie są nadrzędne wobec interesu publicznego przemawiającego za przedmiotowym przekazaniem;
3) podmiot uprawniony uznaje, że przekazanie organowi ścigania państwa trzeciego do celów, o których mowa w art. 1 ust. 1 pkt 1, byłoby nieskuteczne lub niewłaściwe, w szczególności z uwagi na niemożność zachowania odpowiedniego terminu;
4) organ ścigania państwa trzeciego zostaje o tym poinformowany bez zbędnej zwłoki, chyba że byłoby to nieskuteczne lub niewłaściwe;
5) podmiot uprawniony informuje odbiorcę o konkretnym celu, w którym dane osobowe mają być wyłącznie przetwarzane przez odbiorcę, pod warunkiem że takie przetwarzanie jest niezbędne.
2. Podmiot uprawniony lub punkt kontaktowy, o ile realizuje zadanie określone w art. 5 pkt 1, dokumentują fakt przekazania danych osobowych na podstawie ust. 1 oraz niezwłocznie informują Prezesa Urzędu Ochrony Danych Osobowych o tym fakcie.
3. Podmiot uprawniony lub punkt kontaktowy, o ile realizował zadanie określone w art. 5 pkt 1, udostępnia Prezesowi Urzędu Ochrony Danych Osobowych, na każde jego żądanie, dokumentację obejmującą:
1) datę i godzinę przekazania;
2) informacje o właściwym organie odbierającym;
3) uzasadnienie przekazania;
4) wyliczenie danych osobowych, jakie zostały przekazane.
Art. 18f. Do wymiany informacji z państwami trzecimi lub organizacjami międzynarodowymi stosuje się odpowiednio przepisy art. 11 ust. 1 pkt 2 i ust. 2, art. 12, z wyłączeniem ust. 1a, art. 13, art. 14, art. 16 i art. 17.";
art. 19 otrzymuje brzmienie:
"Art. 19. 1. Podmioty uprawnione mogą wymieniać dane osobowe z podmiotami, o których mowa w art. 1 ust. 1 pkt 1, po uprzednim zweryfikowaniu ich prawidłowości, aktualności i kompletności oraz w sposób umożliwiający podmiotom, o których mowa w art. 1 ust. 1 pkt 1, dokonanie oceny tych danych w tym zakresie.
2. Podmiot uprawniony, który otrzymał dane osobowe od podmiotów, o których mowa w art. 1 ust. 1 pkt 1, bez wniosku, dokonuje niezwłocznie weryfikacji tych danych w zakresie ich przydatności do realizacji celu, w którym dane zostały przekazane.
3. Podmiot uprawniony lub punkt kontaktowy, który przekazał nieprawdziwe, niekompletne, nieaktualne lub niezupełne dane osobowe albo przekazał te dane z naruszeniem przepisów ustawy, jest obowiązany, bez zbędnej zwłoki, poinformować o tym podmioty, o których mowa w art. 1 ust. 1 pkt 1, oraz sprostować, uzupełnić lub uaktualnić te dane, przekazując dane właściwe, albo, w zależności od okoliczności, o których mowa w art. 21 ust. 1, dane te usunąć.";
w art. 20:
a) ust. 1 i 2 otrzymują brzmienie:
"1. Dane osobowe, uzyskane w wyniku wymiany z podmiotami, o których mowa w art. 1 ust. 1 pkt 1, podmiot uprawniony przechowuje przez okres niezbędny do realizacji celu, w jakim te dane zostały uzyskane, lub przez okres niezbędny do wykrywania i ścigania sprawców przestępstw lub przestępstw skarbowych oraz zapobiegania przestępczości lub jej zwalczania, zgodnie z terminami oraz zasadami przetwarzania danych w zbiorach danych administrowanych przez dany podmiot uprawniony.
2. Podmioty uprawnione dokonują weryfikacji zgromadzonych danych osobowych i usuwają dane zbędne albo dokonują ich pseudonimizacji.",
b) uchyla się ust. 3 i 4,
c) dodaje się ust. 5 w brzmieniu:
"5. Dane osobowe, wymieniane z podmiotami, o których mowa w art. 1 ust. 1 pkt 1, oraz podmiotami uprawnionymi, punkt kontaktowy przechowuje i przetwarza przez okres niezbędny do realizacji zadania, o którym mowa w art. 5 pkt 5.";
w art. 21 ust. 1 otrzymuje brzmienie:
"1. Jeżeli podmiot, o którym mowa w art. 1 ust. 1 pkt 1, przy wymianie danych osobowych określił termin ich przechowywania, po upływie którego wymagane jest ich usunięcie lub zweryfikowanie, podmiot uprawniony, który te dane otrzymał i przechowuje, ma obowiązek zachowania takiego terminu.";
art. 22 otrzymuje brzmienie:
"Art. 22. Jeżeli podmiot, o którym mowa w art. 1 ust. 1 pkt 1, przy wymianie danych osobowych określił ograniczenia dotyczące przetwarzania tych danych wynikające z prawa krajowego tego państwa, podmiot uprawniony, który te dane otrzymał i przechowuje, ma obowiązek uwzględnić takie ograniczenia.";
w art. 23 ust. 1 otrzymuje brzmienie:
"1. Podmioty uprawnione, które przekazały lub udostępniły dane osobowe podmiotowi, o którym mowa w art. 1 ust. 1 pkt 1, albo otrzymały takie dane od tego podmiotu, odnotowują lub dokumentują fakt takiego przekazania, udostępnienia lub otrzymania w celu weryfikacji legalności przetwarzanych danych, ich integralności oraz zapewnienia ich bezpieczeństwa.";
art. 26 otrzymuje brzmienie:
"Art. 26. W sprawach nieuregulowanych w niniejszej ustawie stosuje się przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).".
W ustawie z dnia 11 września 2015 r. o zużytym sprzęcie elektrycznym i elektronicznym (Dz. U. z 2018 r. poz. 1466 i 1479) w art. 2 w ust. 2 w pkt 10 kropkę zastępuje się średnikiem i dodaje się pkt 11 w brzmieniu:
"11) informatycznych nośników danych wykorzystywanych do przetwarzania danych osobowych, o których mowa w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).".
W ustawie z dnia 28 stycznia 2016 r. - Prawo o prokuraturze (Dz. U. z 2017 r. poz. 1767 oraz z 2018 r. poz. 5, 1000, 1443 i 1669) po art. 191 dodaje się art. 191a w brzmieniu:
"Art. 191a. § 1. Nadzór nad przetwarzaniem danych osobowych w ramach realizacji zadań określonych w art. 2, których administratorami są powszechne jednostki organizacyjne prokuratury zgodnie z art. 13 § 6, wykonują w zakresie działalności prokuratury:
1) rejonowej - prokurator okręgowy;
2) okręgowej - prokurator regionalny;
3) regionalnej i Prokuratury Krajowej - Prokurator Krajowy.
§ 2. W ramach nadzoru, o którym mowa w § 1, właściwe organy:
1) rozpatrują skargi osób, których dane osobowe są przetwarzane niezgodnie z prawem;
2) podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów danych i podmiotów przetwarzających wiedzy o obowiązkach wynikających z ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125);
3) współpracują wzajemnie oraz z organami sprawującymi nadzór nad przetwarzaniem danych osobowych w ramach postępowań prowadzonych przez sądy i trybunały z organami nadzorczymi w rozumieniu art. 51 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), jak też współpracują między sobą, w tym dzielą się informacjami, oraz świadczą z tymi organami i między sobą wzajemną pomoc w celu zapewnienia spójnego stosowania przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
§ 3. Organy, o których mowa w § 1, są uprawnione do:
1) nakazywania administratorowi lub podmiotowi przetwarzającemu albo ich przedstawicielom dostarczenia wszelkich informacji potrzebnych do realizacji zadań tego organu;
2) zawiadamiania administratora danych lub podmiotu przetwarzającego o podejrzeniu naruszenia przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
3) uzyskiwania od administratora danych i podmiotu przetwarzającego dostępu do wszelkich danych osobowych oraz informacji niezbędnych organowi nadzorczemu do realizacji jego zadań;
4) uzyskiwania dostępu do pomieszczeń administratora danych i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych;
5) wydawania ostrzeżeń administratorowi danych lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
6) udzielania upomnień administratorowi danych lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości;
7) wzywania administratora danych lub podmiotu przetwarzającego do dostosowania operacji przetwarzania danych do przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
§ 4. Do przyjmowania i rozpatrywania skarg, o których mowa w § 2 pkt 1, stosuje się odpowiednio przepisy działu VI.".
W ustawie z dnia 13 kwietnia 2016 r. o bezpieczeństwie obrotu prekursorami materiałów wybuchowych (Dz. U. z 2018 r. poz. 410 i 1000) art. 9 otrzymuje brzmienie:
"Art. 9. Do danych osobowych zgromadzonych w systemie zgłaszania stosuje się przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).".
w art. 35 dodaje się ust. 5 w brzmieniu:
"5. Do danych zgromadzonych oraz przetwarzanych w CRDP w związku z realizacją zadań związanych z rozpoznawaniem, zapobieganiem, wykrywaniem i zwalczaniem czynów zabronionych stosuje się przepisy ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125).";
po art. 47 dodaje się art. 47a w brzmieniu:
"Art. 47a. Organy KAS w celu realizacji ustawowych zadań są uprawnione do wymiany informacji, w tym danych osobowych, z organami ścigania państw członkowskich Unii Europejskiej zajmującymi się zapobieganiem i zwalczaniem przestępczości oraz innymi organizacjami międzynarodowymi na zasadach i warunkach określonych w przepisach odrębnych, prawie Unii Europejskiej i umowach międzynarodowych.";
po art. 52 dodaje się art. 52a-52c w brzmieniu:
"Art. 52a. 1. Przetwarzanie danych osobowych przez organy KAS w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, odbywa się na zasadach określonych w tej ustawie.
2. Danych osobowych, o których mowa w art. 14 ust. 1 ustawy, o której mowa w ust. 1, nie gromadzi się, w przypadku gdy nie mają one przydatności wykrywczej lub dowodowej.
Art. 52b. 1. Dane osobowe zbierane i przetwarzane przez KAS na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) mogą być przetwarzane przez organy KAS również dla celów określonych w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
2. Dane osobowe przetwarzane przez KAS dla celów określonych w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości mogą być przetwarzane przez organy KAS również dla innych celów.
Art. 52c. Organy KAS mogą przetwarzać dane osobowe bez wiedzy i zgody osób, których dane dotyczą.";
po art. 126 dodaje się art. 126a w brzmieniu:
"Art. 126a. Przetwarzanie danych osobowych na podstawie niniejszej ustawy przez właściwe organy KAS w celu realizowania zadań oraz wykonywania czynności, o których mowa w art. 113 ust. 1, odbywa się na zasadach określonych w ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, prawie Unii Europejskiej oraz postanowieniach umów międzynarodowych.".
W ustawie z dnia 30 listopada 2016 r. o organizacji i trybie postępowania przed Trybunałem Konstytucyjnym (Dz. U. poz. 2072) po art. 35 dodaje się art. 35a i art. 35b w brzmieniu:
"Art. 35a. 1. Trybunał jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań.
2. Do przetwarzania danych osobowych w postępowaniach prowadzonych przez Trybunał przepisów art. 15, art. 16 - w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania, oraz art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", nie stosuje się.
3. W związku z przetwarzaniem danych osobowych w postępowaniach prowadzonych przez Trybunał wykonanie obowiązków, o których mowa w art. 13 rozporządzenia 2016/679, następuje przez umieszczenie informacji określonych w art. 13 ust. 2 rozporządzenia 2016/679 w Biuletynie Informacji Publicznej na stronie podmiotowej oraz w widocznym miejscu w budynku Trybunału.
Art. 35b. 1. Nadzór nad przetwarzaniem danych osobowych przez Trybunał w ramach prowadzonych przez niego postępowań wykonuje Krajowa Rada Sądownictwa.
2. Do nadzoru, o którym mowa w ust. 1, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio.".
W ustawie z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz. U. poz. 648 oraz z 2018 r. poz. 723, 1499 i 2193) po art. 6 dodaje się art. 6a w brzmieniu:
"Art. 6a. Do udostępniania informacji otrzymanych na podstawie ustawy oraz umów o unikaniu podwójnego opodatkowania, innych ratyfikowanych umów, których stroną jest Rzeczpospolita Polska, oraz innych umów międzynarodowych, których stroną jest Unia Europejska, a także porozumień zawartych na podstawie tych umów, nie stosuje się przepisów ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) w zakresie, w jakim jest to niezgodne z postanowieniami tych umów lub porozumień lub przepisami ustawy.".
W ustawie z dnia 20 lipca 2017 r. - Prawo wodne (Dz. U. z 2018 r. poz. 2268) po art. 341 dodaje się art. 341a w brzmieniu:
"Art. 341a. Administratorem danych osobowych przetwarzanych w celu, o którym mowa w art. 1 pkt 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), jest minister właściwy do spraw gospodarki wodnej lub organ wykonujący kontrolę.".
art. 8 otrzymuje brzmienie:
"Art. 8. Sąd Najwyższy niezwłocznie publikuje wydane przez siebie orzeczenie, a po sporządzeniu jego uzasadnienia - również uzasadnienie orzeczenia, w Biuletynie Informacji Publicznej na stronie podmiotowej Sądu Najwyższego.";
po art. 9 dodaje się art. 9a w brzmieniu:
"Art. 9a. § 1. Sąd Najwyższy jest administratorem danych osobowych przetwarzanych w postępowaniach sądowych.
§ 2. Do przetwarzania danych osobowych w postępowaniach sądowych przepisów art. 15, art. 16 - w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania, oraz art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem 2016/679", nie stosuje się.
§ 3. W związku z przetwarzaniem danych osobowych w postępowaniach sądowych wykonanie obowiązków, o których mowa w art. 13 rozporządzenia 2016/679, następuje przez umieszczenie informacji określonych w art. 13 ust. 2 rozporządzenia 2016/679 w Biuletynie Informacji Publicznej na stronie podmiotowej oraz w widocznym miejscu w budynku Sądu Najwyższego.";
po art. 97 dodaje się art. 97a w brzmieniu:
"Art. 97a. § 1. Nadzór nad przetwarzaniem danych osobowych w postępowaniach sądowych wykonuje Krajowa Rada Sądownictwa.
§ 2. Do nadzoru, o którym mowa w § 1, przepisy art. 175dd § 2 i 3 oraz działu I rozdziału 5a ustawy z dnia 27 lipca 2001 r. - Prawo o ustroju sądów powszechnych stosuje się odpowiednio.".
w art. 6 w ust. 2 pkt 1 otrzymuje brzmienie:
"1) przekazują SOP wszelkie informacje, w tym dane osobowe, mogące mieć wpływ na bezpieczeństwo ochranianych osób lub obiektów;";
w art. 56:
a) w ust. 6 pkt 1 otrzymuje brzmienie:
"1) dane osobowe, o których mowa w art. 14 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125);",
b) w ust. 8 wprowadzenie do wyliczenia otrzymuje brzmienie:
"Dane osobowe, o których mowa w ust. 2 i 3 oraz art. 40 ust. 1, z wyjątkiem danych osobowych, o których mowa w ust. 6 pkt 1, SOP może przetwarzać:",
c) uchyla się ust. 9 i 11;
w art. 59 w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:
"W celu realizacji zadań, o których mowa w art. 19 ust. 1 pkt 2, SOP może uzyskiwać dane:";
art. 61 otrzymuje brzmienie:
"Art. 61. Administratorem danych osobowych przetwarzanych przez SOP jest Komendant SOP.";
po art. 70 dodaje się art. 70a w brzmieniu:
"Art. 70a. 1. SOP jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w SOP, przenoszenia do służby w SOP oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy SOP, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem (UE) 2016/679", z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
2. Do przetwarzania danych osobowych, o których mowa w ust. 1, nie stosuje się art. 13 ust. 1 lit. d i e oraz art. 16 rozporządzenia (UE) 2016/679 w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania. Zabezpieczenie przetwarzania danych osobowych polega co najmniej na dopuszczeniu do ich przetwarzania wyłącznie funkcjonariuszy lub pracowników posiadających pisemne upoważnienie wydane przez administratora danych osobowych po pisemnym zobowiązaniu funkcjonariuszy lub pracowników do zachowania przetwarzanych danych w poufności.".
w art. 3 dodaje się ust. 6-8 w brzmieniu:
"6. Do pracowników Straży Marszałkowskiej, o których mowa w ust. 5, stosuje się odpowiednio przepisy art. 21 ust. 1, 2, 4, art. 22 ust. 1, art. 23 ust. 1, art. 24, art. 27-29, art. 30 ust. 1a-3 oraz art. 48 ust. 1a pkt 3 oraz ust. 1b i 1c ustawy z dnia 16 września 1982 r. o pracownikach urzędów państwowych (Dz. U. z 2018 r. poz. 1915).
7. Uprawnienia kierowników urzędów przewidziane w art. 48 ust. 1a pkt 3 oraz ust. 1b i 1c ustawy z dnia 16 września 1982 r. o pracownikach urzędów państwowych w odniesieniu do pracowników Straży Marszałkowskiej, o których mowa w ust. 5, wykonuje Komendant Straży Marszałkowskiej.
8. Regulamin wynagradzania pracowników Straży Marszałkowskiej, o których mowa w ust. 5, zatwierdza Marszałek Sejmu.";
w art. 4:
a) po ust. 2 dodaje się ust. 2a w brzmieniu:
"2a. Administratorem danych osobowych, o których mowa w ust. 2 pkt 2, jest Komendant Straży Marszałkowskiej.",
b) uchyla się ust. 4;
po art. 19 dodaje się art. 19a w brzmieniu:
"Art. 19a. 1. Straż Marszałkowska jest uprawniona do przetwarzania informacji, w tym danych osobowych, w zakresie niezbędnym do prowadzenia postępowań kwalifikacyjnych do służby w Straży Marszałkowskiej, przenoszenia do służby w Straży Marszałkowskiej oraz w zakresie wynikającym z przebiegu stosunku służbowego funkcjonariuszy Straży Marszałkowskiej, także po jego ustaniu, w tym ma prawo przetwarzać dane osobowe, o których mowa w art. 9 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej "rozporządzeniem (UE) 2016/679", z wyłączeniem danych dotyczących kodu genetycznego oraz danych daktyloskopijnych.
2. Do przetwarzania danych osobowych, o których mowa w ust. 1, nie stosuje się art. 13 ust. 1 lit. d i e oraz art. 16 rozporządzenia (UE) 2016/679 w zakresie, w jakim przepisy szczególne przewidują odrębny tryb sprostowania. Zabezpieczenie przetwarzania danych osobowych polega co najmniej na dopuszczeniu do ich przetwarzania wyłącznie funkcjonariuszy Straży Marszałkowskiej lub pracowników posiadających pisemne upoważnienie wydane przez administratora danych po pisemnym zobowiązaniu funkcjonariuszy Straży Marszałkowskiej lub pracowników do zachowania przetwarzanych danych w poufności.";
w art. 42 dotychczasową treść oznacza się jako ust. 1 i dodaje się ust. 2 w brzmieniu:
"2. Rada Ministrów określi, w drodze rozporządzenia, równorzędność stopni w formacjach, o których mowa w ust. 1, mając na względzie zapewnienie adekwatności tych stopni w służbach, o których mowa w ust. 1, oraz w odniesieniu do żołnierzy zawodowych.";
w art. 96 ust. 3 otrzymuje brzmienie:
"3. Dane, o których mowa w art. 14 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125), mogą być zbierane i wykorzystywane oraz przetwarzane przez Generalnego Inspektora wyłącznie w przypadku, gdy jest to niezbędne ze względu na zakres wykonywanych zadań lub czynności.";
w art. 97:
a) uchyla się ust. 1-5,
b) ust. 6 i 7 otrzymują brzmienie:
"6. Kierownik komórki organizacyjnej, o której mowa w art. 12 ust. 2, któremu inspektor ochrony danych wydał pisemne polecenie usunięcia stwierdzonych uchybień, informuje Generalnego Inspektora, w terminie 7 dni od dnia wydania tego polecenia, o jego wykonaniu lub przyczynie jego niewykonania.
7. W przypadku naruszenia przepisów ustawy lub przepisów o ochronie danych osobowych inspektor ochrony danych podejmuje działania zmierzające do wyjaśnienia okoliczności tego naruszenia, zawiadamiając o tym niezwłocznie Generalnego Inspektora oraz ministra właściwego do spraw finansów publicznych.";
w art. 9 w ust. 2 pkt 5 otrzymuje brzmienie:
"5) pouczenie o prawie do złożenia wniosku o udzielenie informacji o przysługujących mu prawach lub złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych w zakresie przetwarzania danych osobowych pasażera w związku z przetwarzaniem danych PNR.";
w art. 36 po pkt 4 dodaje się pkt 4a w brzmieniu:
"4a) Komendant Służby Ochrony Państwa;";
w art. 53:
a) w ust. 1 pkt 3 otrzymuje brzmienie:
"3) państwo trzecie zapewnia odpowiedni poziom ochrony przekazywanych danych określony w art. 18b-18d ustawy z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, państw trzecich, agencjami Unii Europejskiej oraz organizacjami międzynarodowymi (Dz. U. z 2018 r. poz. 484 oraz z 2019 r. poz. 125);",
b) uchyla się ust. 2;
w art. 59 w ust. 1 pkt 2 otrzymuje brzmienie:
"2) sprawuje nadzór nad zgodnością przetwarzania danych PNR przez JIP z przepisami niniejszej ustawy oraz ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125);";
w art. 62 w ust. 3 pkt 2 otrzymuje brzmienie:
"2) sprawdza zgodność przetwarzania danych PNR z prawem, prowadzi postępowania i wykonuje inne czynności, zgodnie z ustawą z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, z własnej inicjatywy lub na podstawie zażalenia osoby, której dane PNR są przetwarzane.";
w art. 63 ust. 3 otrzymuje brzmienie:
"3. Kontrola, o której mowa w ust. 1, jest sprawowana zgodnie z przepisami ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.";
art. 10 ustawy zmienianej w art. 85
- zachowują moc do dnia wejścia w życie nowych przepisów wykonawczych wydanych na podstawie odpowiednio:
1) art. 15 ust. 8, art. 20 ust. 1n i art. 20 ust. 1o ustawy zmienianej w art. 58, w brzmieniu nadanym niniejszą ustawą,
2) art. 10a ust. 18 i art. 11 ust. 2 ustawy zmienianej w art. 59, w brzmieniu nadanym niniejszą ustawą,
3) art. 25 ust. 3 ustawy zmienianej w art. 80, w brzmieniu nadanym niniejszą ustawą,
4) art. 29 ust. 17 ustawy zmienianej w art. 72, w brzmieniu nadanym niniejszą ustawą,
5) art. 42 ust. 6 ustawy zmienianej w art. 81, w brzmieniu nadanym niniejszą ustawą,
6) art. 10 ustawy zmienianej w art. 85, w brzmieniu nadanym niniejszą ustawą
- nie dłużej jednak niż przez okres 12 miesięcy od dnia wejścia w życie niniejszej ustawy.
Maksymalny limit wydatków z budżetu państwa przeznaczonych na wykonywanie zadań wynikających z niniejszej ustawy wynosi w:
1) 2019 r. - 1 250 000 zł;
2) 2020 r. - 1 350 000 zł;
3) 2021 r. - 1 380 000 zł;
4) 2022 r. - 1 410 000 zł;
5) 2023 r. - 1 450 000 zł;
6) 2024 r. - 1 490 000 zł;
7) 2025 r. - 1 530 000 zł;
8) 2026 r. - 1 570 000 zł;
9) 2027 r. - 1 610 000 zł;
10) 2028 r. - 1 650 000 zł.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl