Co zmieni nowelizacja ustaw pod RODO? Usługi elektroniczne, Prawa konsumenta, Prawo telekomunikacyjne

Poniżej znajdziecie wykaz zmian w przepisach, które mają nastąpić w związku z obowiązywaniem RODO.

Seria artykułów o RODO:

  1. 5 rzeczy, o których musisz pamiętać wysyłając zgodny z prawem newsletter
  2. Polityka prywatności jako obowiązek informacyjny z RODO
  3. Zasady i fundamenty systemu ochrony danych osobowych zgodnie z RODO
  4. Inspektor Ochrony Danych pod RODO – kim jest i czy trzeba go wyznaczyć?
  5. Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe
  6. Pakiety RODO do kupienia
  7. eBook: RODO w pigułce dla branży kreatywnej
  8. Zasady privacy by default i privacy by design – do czego zobowiązują?
  9. Kiedy i jak usuwać dane osobowe zgodnie z RODO? – poradnik
  10. Chatboty i RODO – wszystko, co musisz wiedzieć
  11. RODO dla fotografa – pytania i odpowiedzi
  12. Legalny newsletter krok po kroku | Kawka z prawnikiem #live nr 9
  13. RODO dla social media ninja | Kawka z prawnikiem #live nr 7
  14. Jakie dokumenty RODO powinieneś posiadać | Kawka z prawnikiem #live nr 4

Streszczenie zmian

  1. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2017 r. poz. 1219 oraz z 2018 r. poz. 650) – zmiany dotyczą:
    • zasad uzyskiwania zgody usługobiorcy (następuje tu odwołanie do ogólnych przepisów o ochronie danych osobowych, czyli RODO i ustawy o ochronie danych osobowych);
    • zasad przetwarzania danych osobowych usługobiorców (uchylono przepisy szczególne, co oznacza, że zastosowanie znajdą RODO i ustawa o ochronie danych osobowych).
  2. Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954) – zmiany dotyczą:
    • uchylenia niektórych regulacji szczególnych i zastąpienie ich odwołaniem do ogólnych przepisów o ochronie danych osobowych;
    • obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych i ich minimalnego zakresu;
    • obowiązku zawiadomienia PUODO o naruszeniach;
    • kar pieniężnych za niedopełnienie obowiązków określonych w ustawie.
  3. Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2017 r. poz. 683 i 2361 oraz z 2018 r. poz. 650)
    • nowelizacja określa zasady wykonywania obowiązku informacyjnego z art. 13 RODO przez przedsiębiorców.
  4. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669) – nowelizacja określa :
    • przypadki, w których administrator nie wykonuje obowiązków z art. 15 RODO (prawo dostępu do danych oraz uzyskania ich kopii);
    • zasady przetwarzania danych osobowych z związku z wykonywaniem kompetencji Prezydenta RP;
    • zasady wyznaczania tymczasowego zastępcy IOD;
    • obowiązek dostarczenia PUODO danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej oraz karę za jego niewykonanie.

Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2017 r. poz. 1219 oraz z 2018 r. poz. 650)

Przed nowelizacjąPo nowelizacji
Art.  4. 1. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta:1)nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;2)może być odwołana w każdym czasie.2. Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów dowodowych.Art. 4. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych.
Art.  16.  1. Do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) , w związku ze świadczeniem usług drogą elektroniczną, stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej.2. Dane osobowe podlegają ochronie przewidzianej w niniejszym rozdziale w zakresie ich przetwarzania niezależnie od tego, czy jest ono dokonywane w zbiorach danych.Utracił moc
Art.  17.  Dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie określonym w niniejszej ustawie.Utracił moc
Art.  18. (…)3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. Art. 18 (…) 3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.  
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
Art.  19.  1. Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną, z zastrzeżeniem ust. 2.2. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca, na zasadach określonych w ust. 3-5, może przetwarzać tylko te spośród danych określonych w art. 18, które są:1)niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi;2)niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy;3)niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym mowa w art. 21 ust. 1;4)dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy. 3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. 4. Dla celów, o których mowa w ust. 2 pkt 2, dopuszcza się jedynie zestawianie danych wymienionych w art. 18 ust. 4 i 5 dotyczących korzystania przez usługobiorcę z różnych usług świadczonych drogą elektroniczną, pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń.5. Usługodawca nie może zestawiać danych osobowych usługobiorcy z przybranym przez niego pseudonimem. Art. 19.Ust. 1-2 utraciły moc
3. Rozliczenie usługi świadczonej drogą elektroniczną przedstawione usługobiorcy nie może ujawniać rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług, z których skorzystał usługobiorca, chyba że zażądał on szczegółowych informacji w tym zakresie. 
Ust. 4-5 utraciły moc
Art.  20. 1. Usługodawca, który przetwarza dane osobowe usługobiorcy, jest obowiązany zapewnić usługobiorcy dostęp do aktualnej informacji o:1)możliwości korzystania z usługi świadczonej drogą elektroniczną anonimowo lub z wykorzystaniem pseudonimu, o ile są spełnione warunki określone w art. 22 ust. 2;2)udostępnianych przez usługodawcę środkach technicznych zapobiegających pozyskiwaniu i modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną;3)podmiocie, któremu powierza przetwarzanie danych, ich zakresie i zamierzonym terminie przekazania, jeżeli usługodawca zawarł z tym podmiotem umowę o powierzenie do przetwarzania danych, o których mowa w art. 18 ust. 1, 2, 4 i 5.2. Informacje, o których mowa w ust. 1, powinny być dla usługobiorcy stale i łatwo dostępne za pomocą systemu teleinformatycznego, którym się posługuje.Utracił moc
Art.  21. 1. W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości.2. Usługodawca może powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia, o którym mowa w ust. 1.Utracił moc
Art.  22.  1. Odmowa świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych, o których mowa w art. 18 ust. 1 i 2, jest dopuszczalna tylko wtedy, gdy przetwarzanie tych danych jest niezbędne ze względu na sposób funkcjonowania systemu teleinformatycznego zapewniającego świadczenie usługi drogą elektroniczną lub właściwość usługi albo wynika z odrębnych ustaw.2. Usługodawca umożliwia usługobiorcy korzystanie z usługi lub uiszczanie opłat za nią, jeżeli usługa świadczona drogą elektroniczną jest odpłatna, w sposób anonimowy albo przy użyciu pseudonimu, o ile jest to technicznie możliwe oraz zwyczajowo przyjęte.Utracił moc

Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954)

Przed nowelizacjąPo nowelizacji
Art.  57.  1. Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od:1)(uchylony);2)niezawierania z innym dostawcą usług umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej;3)udzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną.Art.  57.  1. Dostawca usług nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od:1)(uchylony);2)niezawierania z innym dostawcą usług umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej.3) (uchylony)
Art.  78.  (…)2. Dostawca publicznie dostępnych usług telefonicznych jest obowiązany, dla zapewnienia funkcjonalności systemu, o którym mowa w ust. 4, nieodpłatnie przekazywać Prezesowi UKE:1)w przypadku abonenta będącego konsumentem – dane, o których mowa w art. 161 ust. 2 pkt 4-6 i art. 169 ust. 1,Art. 78. (…) 2. Dostawca publicznie dostępnych usług telefonicznych jest obowiązany, dla zapewnienia funkcjonalności systemu, o którym mowa w ust. 4, nieodpłatnie przekazywać Prezesowi UKE:1) w przypadku abonenta będącego konsumentem:dane, o których mowa w art. 169 ust. 1, adres miejsca zamieszkania i adres korespondencyjny – jeżeli jest on inny niż adres miejsca zamieszkania, numer PESEL − w przypadku obywatela Rzeczypospolitej Polskiej, nazwę, serię i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej − numer paszportu lub karty pobytu,
Art.  159.  1. Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:1) dane dotyczące użytkownika; Art.  159. 1. Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2; 
Art.  161.  (…)2. Dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną:1)nazwisk i imion;2)imion rodziców;3)miejsca i daty urodzenia;4)adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania;5)numeru ewidencyjnego PESEL – w przypadku obywatela Rzeczypospolitej Polskiej;6)nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numeru paszportu lub karty pobytu;7)zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych;8) adresu poczty elektronicznej.Art. 161 (…) 2. Przetwarzanie danych osobowych użytkownika – innych niż wskazane w art. 159 ust. 1 pkt 2–5 − będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.
Art.  174.  Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:1)nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;2)może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;3)może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.
Brak w obecnej ustawieArt. 1741 . Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej: 1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych, oraz 2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz 3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.
Art.  174a. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Generalnego Inspektora Ochrony Danych Osobowych o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia.        2. Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.  Brak w obecnej ustawie      3. W przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego.  Brak w obecnej ustawie   4. Przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. 5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.  Brak w obecnej ustawie     6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Generalny Inspektor Ochrony Danych Osobowych 72  może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia. 7. Zawiadomienie, o którym mowa w ust. 1, powinno zawierać w szczególności:1)opis charakteru naruszenia danych osobowych oraz zakładane ryzyko związane z naruszeniem;2)dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;3)informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;4)informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;5)informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych;6)opis skutków naruszenia danych osobowych;7)opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych. 8. Zawiadomienie, o którym mowa w ust. 3, powinno zawierać:1)opis charakteru naruszenia danych osobowych;2)dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;3)informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;4)informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług telekomunikacyjnych;5)opis skutków naruszenia danych osobowych;6)opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.  Brak w obecnej ustawieArt. 174a. 1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”. 
2. bez zmian
2a. Prezes Urzędu Ochrony Danych Osobowych zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.  
3. W przypadku gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5. 
3a. Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes Urzędu Ochrony Danych Osobowych wydaje w drodze decyzji. 
4. Bez mian           
5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.
5a. Dostawca publicznie dostępnych usług telekomunikacyjnych wykazuje spełnienie warunków, o których mowa w ust. 5, przekazując 125 niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych odpowiednią dokumentację.”.
6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.  
7. Uchylony
8. Uchylony
9. W przypadku gdy naruszenie danych osobowych ma wpływ naabonentów lub użytkowników końcowych będących osobami fizycznymi zinnych państw członkowskich, Prezes Urzędu Ochrony Danych Osobowychinformuje inne zainteresowane organy z państw członkowskich.”
  
Art.  174b.  Do sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) .Art. 174b. Do sprawowanej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 1741 , art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Art.  174c.  Generalny Inspektor Ochrony Danych Osobowych  kierując wystąpienie, o którym mowa w art. 19a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych , do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Generalny Inspektor Ochrony Danych Osobowych  może publikować wystąpienia na swojej stronie podmiotowej BIP, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.Art. 174c. Prezes Urzędu Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes Urzędu Ochrony Danych Osobowych może udostępniać wystąpienia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.
Brak w obecnej ustawieArt. 210a. 1. Kto nie wypełnia obowiązku: 1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 1741 , 2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1, 3) informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3, 4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 174d ust. 1  – podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym. 2. Do kar nakładanych na podstawie ust. 1 stosuje się odpowiednio przepisy art. 209 ust. 1a–3 oraz art. 210. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych.

Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2017 r. poz. 683 i 2361 oraz z 2018 r. poz. 650)

Przed nowelizacjąPo nowelizacji
Brak w obecnej ustawieArt. 4a. 1. Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. poz. 646, 1479, 1629, 1633 i 2212), wykonuje obowiązki, o których mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.86)), zwanego dalej „rozporządzeniem 2016/679”, w zakresie umów, o których mowa w rozdziałach 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. 2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679. 3. Przepisu ust. 1 nie stosuje się do administratora danych, który: 1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub 2) udostępnia dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, innym administratorom, z wyjątkiem przypadku gdy: a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669)

Przed nowelizacjąPo nowelizacji
Brak w obecnej ustawieArt. 5a. 1. Administrator, który otrzymał dane osobowe od podmiotu realizującego zadanie publiczne, nie wykonuje obowiązków, o których mowa w art. 15 ust. 1–3 rozporządzenia 2016/679, w przypadku gdy podmiot przekazujący dane osobowe wystąpił z żądaniem w tym zakresie ze względu na konieczność prawidłowego wykonania zadania publicznego mającego na celu: 1) zapobieganie przestępczości, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom; 2) ochronę interesów gospodarczych i finansowych państwa obejmującą w szczególności: a) realizację i dochodzenie dochodów z podatków, opłat, niepodatkowych należności budżetowych oraz innych należności, b) wykonywanie egzekucji administracyjnej należności pieniężnych i niepieniężnych oraz wykonywanie zabezpieczenia należności pieniężnych i niepieniężnych, c) przeciwdziałanie wykorzystywaniu działalności banków i instytucji finansowych do celów mających związek z wyłudzeniami skarbowymi, d) ujawnianie i odzyskiwanie mienia zagrożonego przepadkiem w związku z przestępstwami, e) prowadzenie kontroli, w tym kontroli celno-skarbowych. 2. W przypadku, o którym mowa w ust. 1, administrator udziela odpowiedzi na żądanie wniesione na podstawie art. 15 rozporządzenia 2016/679 w sposób, który uniemożliwia ustalenie, że administrator przetwarza dane osobowe otrzymane od podmiotu wykonującego zadanie publiczne.
Brak w obecnej ustawieArt. 6a. 1. Do przetwarzania danych osobowych w ramach wykonywania konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, w zakresie nieobjętym bezpieczeństwem narodowym, stosuje się odpowiednio przepisy art. 4–7, art. 11, art. 12, art. 16, art. 17, art. 24 ust. 1 i 2, art. 25 ust. 1 i 2, art. 28–30, art. 32, art. 34, art. 35, art. 37–39 i art. 86 rozporządzenia 2016/679 oraz przepisy art. 6 i art. 11 ustawy. 2. Przetwarzanie danych, o których mowa w art. 9 i art. 10 rozporządzenia 2016/679, następuje w zakresie niezbędnym do realizacji konstytucyjnych i ustawowych kompetencji Prezydenta Rzeczypospolitej Polskiej, jeżeli prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do realizacji zadań wynikających z tych kompetencji.
Brak w obecnej ustawieArt. 11a. 1. Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 rozporządzenia 2016/679. 2. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora. 3. Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jej wyznaczeniu w trybie określonym w art. 10 oraz udostępnia jej dane zgodnie z art. 11.
Art.  57.  1. Administrator lub podmiot przetwarzający może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o którym mowa w art. 36rozporządzenia 2016/679.Art. 57.1. Administrator może wystąpić do Prezesa Urzędu z wnioskiem o przeprowadzenie uprzednich konsultacji, o których mowa w art. 36 rozporządzenia 2016/679.
Brak w obecnej ustawieArt. 101a. 1. W związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, podmiot, o którym mowa w art. 101, jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej. 2. W przypadku niedostarczenia danych przez podmiot, o którym mowa w art. 101, lub gdy dostarczone przez ten podmiot dane uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej, Prezes Urzędu ustala podstawę wymiaru administracyjnej kary pieniężnej w sposób szacunkowy uwzględniając wielkość podmiotu, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe dotyczące podmiotu
Art.  108.  Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Art.  108.  1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. 2. Tej samej karze podlega kto, w związku z toczącym się postępowaniem w sprawie nałożenia administracyjnej kary pieniężnej, nie dostarcza danych niezbędnych do określenia podstawy wymiaru administracyjnej kary pieniężnej lub dostarcza dane, które uniemożliwiają ustalenie podstawy wymiaru administracyjnej kary pieniężnej.

Dzisiejszy wykaz powstał przy współpracy z prawnikami kancelarii Snażyk Korol Mordaka sp.k.

Mam nadzieję, że dzisiejszy artykuł przydał Ci się. Udostępnij go proszę dalej swoim znajomym. Będę wdzięczny, dzięki!

Udostępnij dalej:
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email