Rządowy projekt ustawy o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw

miesięcy od dnia wejścia w życie ustawy.”


Art. 23 Art. 23 ust. 1 projektu
ust. 1
„1. Do postępowań administracyjnych wszczętych
projekt
i niezakończonych w dniu wejścia w życie ustawy,
u
stosuje się przepisy niniejszej ustawy.”
Zmiany dyrektywy 2002/58/WE (dyrektywa o prywatności i łączności elektronicznej)
art. 1
"1. Niniejsza dyrektywa przewiduje harmonizację T
Art. 1 w art. 1:

ust. 1
przepisów krajowych wymaganych do zapewnienia
ust. 1
a) w ust.1:
równoważnego poziomu ochrony podstawowych
pkt 7
- pkt 7 otrzymuje brzmienie:
praw i wolności, w szczególności prawa do
„7) warunki ochrony użytkowników usług, w
prywatności i poufności, w odniesieniu do
szczególności w zakresie prawa do prywatności i
przetwarzania danych osobowych w sektorze
poufności;”,
łączności elektronicznej oraz w celu zapewnienia

swobodnego przepływu we Wspólnocie tego typu
danych oraz urządzeń i usług
łączności
elektronicznej."
art. 2
"c) "dane dotyczące lokalizacji" oznaczają wszelkie T
Art.
w art. 159:

lit. c)
dane przetwarzane w sieci łączności elektronicznej
159 ust. a) w ust. 1 pkt 3 otrzymuje brzmienie:
lub w ramach usług łączności elektronicznej,
1 pkt 3 „3) dane transmisyjne, które oznaczają dane
wskazujące położenie geograficzne urządzenia

przetwarzane dla celów przekazywania
końcowego użytkownika publicznie dostępnych
komunikatów w sieciach telekomunikacyjnych lub
usług łączności elektronicznej;"
naliczania opłat za usługi telekomunikacyjne, w
tym dane lokalizacyjne, które oznaczają wszelkie
dane przetwarzane w sieci telekomunikacyjnej lub
w ramach usług telekomunikacyjnych wskazujące
położenie geograficzne urządzenia końcowego
użytkownika publicznie dostępnych usług
telekomunikacyjnych;
art. 2
skreśla się lit. e)
T
Art. 2 w art. 2

lit. e)
pkt 26 pkt 26 otrzymuje brzmienie:
oraz
„26) połączenie telefoniczne - połączenie
pkt 30
ustanowione za pomocą publicznie dostępnej

usługi telekomunikacyjnej, pozwalające na
dwukierunkową łączność głosową;”,

pkt 30 otrzymuje brzmienie:
„30) publicznie dostępna usługa telefoniczna -
usługę telekomunikacyjną dostępną dla ogółu

91

użytkowników, dla inicjowania i odbierania,
bezpośrednio lub pośrednio, połączeń
telefonicznych krajowych lub krajowych i
międzynarodowych, za pomocą numeru lub
numerów ustalonych w krajowym lub
międzynarodowym planie numeracji
telefonicznej;”.
art. 2
"h) "naruszenie danych osobowych" oznacza T „Art. 174a. 1. W przypadku naruszenia danych
lit. h)
naruszenie bezpieczeństwa prowadzące do
osobowych abonentów lub użytkowników
przypadkowego lub bezprawnego zniszczenia,
końcowych będących osobami fizycznymi,
utraty, zmiany, nieuprawnionego ujawnienia lub
dostawca publicznie dostępnych usług
dostępu do danych osobowych przekazywanych,
telekomunikacyjnych bez zbędnej zwłoki, nie
przechowywanych lub w inny sposób
później niż w terminie 3 dni od stwierdzenia
przetwarzanych w związku ze świadczeniem
naruszenia, zawiadamia o tym fakcie Generalnego
publicznie dostępnych usług
łączności
Inspektora Ochrony Danych Osobowych. Przez
elektronicznej we Wspólnocie."
naruszenie danych osobowych rozumie się
naruszenie bezpieczeństwa prowadzące do
przypadkowego lub bezprawnego zniszczenia,
utraty, zmiany, nieuprawnionego ujawnienia lub
dostępu do danych osobowych przetwarzanych
przez przedsiębiorcę telekomunikacyjnego w
związku ze świadczeniem publicznie dostępnych
usług telekomunikacyjnych.
art. 3
Usługi
N

Niniejsza dyrektywa ma zastosowanie do
przetwarzania danych osobowych w związku z
dostarczaniem publicznie dostępnych usług
łączności elektronicznej w publicznych sieciach
łączności we Wspólnocie, włącznie z publicznymi
sieciami łączności służącymi do zbierania danych i
obsługi urządzeń identyfikacyjnych."
art. 4 w art. 4 tytuł otrzymuje brzmienie:
N

"Bezpieczeństwo przetwarzania"
art. 4
"1a. Bez uszczerbku dla dyrektywy 95/46/WE N
Ustawa Art. 12. Do zadań Generalnego Inspektora w

ust. 1a środki, o których mowa w ust. 1, muszą co
o
szczególności należy:
tiret 1 najmniej:
ochroni 1) kontrola zgodności przetwarzania danych z
- zapewniać, aby do danych osobowych mógł mieć
e
przepisami o ochronie danych osobowych,
dostęp wyłącznie uprawniony personel w
danych
dozwolonych prawem celach,
osobow Art. 19a. 1. W celu realizacji zadań, o których

92

ych art. mowa w art. 12 pkt 6, Generalny Inspektor może
12 pkt kierować do organów państwowych, organów
1,
samorządu terytorialnego, państwowych i
19a.1,
komunalnych jednostek organizacyjnych,
36-39a podmiotów niepublicznych realizujących zadania
publiczne, osób fizycznych i prawnych, jednostek
organizacyjnych niebędących osobami prawnymi
oraz innych podmiotów wystąpienia zmierzające
do zapewnienia skutecznej ochrony danych
osobowych.

Art. 36. 1. Administrator danych jest obowiązany
zastosować środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną, a w
szczególności powinien zabezpieczyć dane przed
ich udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy oraz
zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację
opisującą sposób przetwarzania danych oraz
środki, o których mowa w ust. 1.
3. Administrator danych wyznacza administratora
bezpieczeństwa informacji, nadzorującego
przestrzeganie zasad ochrony, o których mowa w
ust. 1, chyba że sam wykonuje te czynności.

Art. 37. Do przetwarzania danych mogą być
dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych

Art. 38. Administrator danych jest obowiązany
zapewnić kontrolę nad tym, jakie dane osobowe,
kiedy i przez kogo zostały do zbioru wprowadzone
oraz komu są przekazywane.

Art. 39. 1. Administrator danych prowadzi

93

ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres
upoważnienia do przetwarzania danych
osobowych,
3) identyfikator, jeżeli dane są przetwarzane w
systemie informatycznym.
2. Osoby, które zostały upoważnione do
przetwarzania danych, są obowiązane zachować w
tajemnicy te dane osobowe oraz sposoby ich
zabezpieczenia.

Art. 39a. Minister właściwy do spraw
administracji publicznej w porozumieniu z
ministrem właściwym do spraw informatyzacji
określi, w drodze rozporządzenia, sposób
prowadzenia i zakres dokumentacji, o której mowa
w art. 36 ust. 2, oraz podstawowe warunki
techniczne i organizacyjne, jakim powinny
odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych,
uwzględniając zapewnienie ochrony
przetwarzanych danych osobowych odpowiedniej
do zagrożeń oraz kategorii danych objętych
ochroną, a także wymagania w zakresie
odnotowywania udostępniania danych osobowych
i bezpieczeństwa przetwarzanych danych.
art. 4
- chronić przechowywane lub przekazywane dane N
Ustawa j.w.
ust. 1a osobowe przed przypadkowym lub bezprawnym
o
tiret 2
zniszczeniem, przypadkową utratą lub zmianą oraz
ochroni
nieuprawnionym lub bezprawnym e
przechowywaniem, przetwarzaniem, dostępem lub
danych
ujawnieniem, oraz
osobow
ych art.
12 pkt
1,
19a.1,
36-39a

94

art. 4
- zapewnić wdrożenie polityki bezpieczeństwa w T
Art.
po art. 174 dodaje si art. 174a – 174d w
ust. 1a odniesieniu do przetwarzania danych osobowych.
174a-
brzmieniu:
tiret 3
Właściwe organy krajowe muszą być w stanie
174d

kontrolować środki przyjęte przez dostawcę
„Art. 174a. 1. W przypadku naruszenia danych
publicznie dostępnych usług
łączności
osobowych abonentów lub użytkowników
elektronicznej oraz wydawanie zaleceń
końcowych będących osobami fizycznymi,
dotyczących najlepszych praktyk dotyczących
dostawca publicznie dostępnych usług
poziomu bezpieczeństwa, do jakiego środki te
telekomunikacyjnych bez zbędnej zwłoki, nie
powinny prowadzić."
później niż w terminie 3 dni od stwierdzenia
naruszenia, zawiadamia o tym fakcie Generalnego
Inspektora Ochrony Danych Osobowych. Przez
naruszenie danych osobowych rozumie się
naruszenie bezpieczeństwa prowadzące do
przypadkowego lub bezprawnego zniszczenia,
utraty, zmiany, nieuprawnionego ujawnienia lub
dostępu do danych osobowych przetwarzanych
przez przedsiębiorcę telekomunikacyjnego w
związku ze świadczeniem publicznie dostępnych
usług telekomunikacyjnych.
2. W przypadku, gdy naruszenie danych
osobowych może wywrzeć niekorzystny wpływ na
dane osobowe lub prywatność abonenta lub
użytkownika końcowego będącego osobą fizyczną,
dostawca publicznie dostępnych usług
telekomunikacyjnych bez zbędnej zwłoki, nie
później niż w terminie 3 dni od stwierdzenia
naruszenia, zawiadamia również o takim
naruszeniu abonenta lub użytkownika końcowego
będącego osobą fizyczną. Przez naruszenie danych
osobowych, które może wywrzeć niekorzystny
wpływ na dane osobowe lub prywatność abonenta
lub użytkownika końcowego będącego osobą
fizyczną rozumie się takie naruszenie, które w
szczególności skutkować może sfałszowaniem lub
kradzieżą jego tożsamości, istotną szkodą
majątkową lub osobistą, ujawnieniem tajemnicy
bankowej lub innej ustawowo chronionej
tajemnicy zawodowej.
3. Zawiadomienie, o którym mowa w ust. 2, nie

95