Dz.U.02.101.926
z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
(tekst jednolity)
Rozdział 1
Przepisy ogólne
Art. 1.
1. Każdy
ma prawo do ochrony dotyczących go danych osobowych.
2. Przetwarzanie
danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby,
której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym
ustawą.
Art. 2.
1. Ustawa
określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób
fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach
danych.
2. Ustawę
stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz
w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach
ewidencyjnych.
3. W
odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze
względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach
wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych
anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Art. 3.
1. Ustawę
stosuje się do organów państwowych oraz samorządu terytorialnego, a także do
innych państwowych i komunalnych jednostek organizacyjnych oraz podmiotów
niepaństwowych realizujących zadania publiczne.
2. Ustawę
stosuje się również do osób fizycznych i prawnych oraz jednostek
organizacyjnych niemających osobowości prawnej, które przetwarzają dane w
związku z działalnością zarobkową, zawodową lub dla realizacji celów
statutowych.
3. Ustawę
stosuje się do podmiotów określonych w ust. 1 i 2, które mają siedzibę albo
miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, nie mają siedziby
albo miejsca zamieszkania na terytorium Rzeczypospolitej Polskiej, a
przetwarzają dane przy wykorzystaniu środków technicznych znajdujących się na
terytorium Rzeczypospolitej Polskiej.
4. Ustawy
nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach
osobistych lub domowych.
Art.
4. Przepisów ustawy nie stosuje się, jeżeli umowa międzynarodowa, której
stroną jest Rzeczpospolita Polska, stanowi inaczej.
Art.
5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania
danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy,
stosuje się przepisy tych ustaw.
Art.
6.
1. W
rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą
możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej
cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji
nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby
to nadmiernych kosztów, czasu lub działań.
Art.
7. Ilekroć w ustawie jest mowa o:
1) zbiorze
danych - rozumie się przez to każdy posiadający strukturę zestaw danych o
charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
2) przetwarzaniu
danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w
systemach informatycznych,
2a) systemie
informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,
2b) zabezpieczeniu danych w systemie informatycznym -
rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i
organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym
przetwarzaniem,
3) usuwaniu
danych - rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane
dotyczą,
4) administratorze
danych - rozumie się przez to organ, instytucję, jednostkę organizacyjną,
podmiot lub osobę, o których mowa w art. 3 ust. 1 i 2, decydujące o celach i
środkach przetwarzania danych osobowych,
5) zgodzie
osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego
treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa
oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli
o innej treści.
Rozdział 2
Organ ochrony danych osobowych
Art.
8.
1. Organem
do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych
Osobowych, zwany dalej "Generalnym Inspektorem".
2. Generalnego
Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
3. Na
stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia
następujące warunki:
1) jest
obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
2) wyróżnia
się wysokim autorytetem moralnym,
3) posiada
wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,
4) nie
był karany za przestępstwo.
4. Generalny
Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie.
5. Kadencja
Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania. Po
upływie kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia
stanowiska przez nowego Generalnego Inspektora.
6. Ta
sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje.
7. Kadencja
Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty
obywatelstwa polskiego.
8. Sejm,
za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli:
1) zrzekł
się stanowiska,
2) stał
się trwale niezdolny do pełnienia obowiązków na skutek choroby,
3) sprzeniewierzył
się złożonemu ślubowaniu,
4) został
skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.
Art.
9. Przed przystąpieniem do wykonywania obowiązków Generalny Inspektor
składa przed Sejmem następujące ślubowanie: "Obejmując stanowisko
Generalnego Inspektora Ochrony Danych Osobowych uroczyście ślubuję dochować
wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do
ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i
bezstronnie."
Ślubowanie
może być złożone z dodaniem słów "Tak mi dopomóż Bóg".
Art.
10.
1. Generalny
Inspektor nie może zajmować innego stanowiska, z wyjątkiem stanowiska profesora
szkoły wyższej, ani wykonywać innych zajęć zawodowych.
2. Generalny
Inspektor nie może należeć do partii politycznej, związku zawodowego ani
prowadzić działalności publicznej niedającej się pogodzić z godnością jego
urzędu.
Art.
11. Generalny Inspektor nie może być bez uprzedniej zgody Sejmu pociągnięty
do odpowiedzialności karnej ani pozbawiony wolności. Generalny Inspektor nie
może być zatrzymany lub aresztowany, z wyjątkiem ujęcia go na gorącym uczynku
przestępstwa i jeżeli jego zatrzymanie jest niezbędne do zapewnienia
prawidłowego toku postępowania. O zatrzymaniu niezwłocznie powiadamia się
Marszałka Sejmu, który może nakazać natychmiastowe zwolnienie zatrzymanego.
Art.
12. Do zadań Generalnego Inspektora w szczególności należy:
1) kontrola
zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie
decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów
o ochronie danych osobowych,
3) prowadzenie
rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
4) opiniowanie
projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowanie
i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
6) uczestniczenie
w pracach międzynarodowych organizacji i instytucji zajmujących się
problematyką ochrony danych osobowych.
Art.
13.
1. Generalny
Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora
Ochrony Danych Osobowych, zwanego dalej Biurem.
2. Generalny
Inspektor oraz pracownicy Biura, zwani dalej inspektorami, są obowiązani
zapewnić ochronę wiadomościom stanowiącym tajemnicę państwową lub służbową, z
którymi się zetknęli w toku kontroli przetwarzania danych.
3. Organizację
oraz zasady działania Biura określa statut nadany, w drodze rozporządzenia,
przez Prezydenta Rzeczypospolitej Polskiej.
Art.
14. W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny
Inspektor lub upoważnieni przez niego inspektorzy mają w szczególności prawo:
1) wstępu,
w godzinach od 6 do 22, za okazaniem imiennego upoważnienia i legitymacji
służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, i
przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny
zgodności przetwarzania danych z ustawą,
2) żądać
złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w
zakresie niezbędnym do ustalenia stanu faktycznego,
3) żądać
okazania dokumentów i wszelkich danych mających bezpośredni związek z
problematyką kontroli,
4) żądać
udostępnienia do kontroli urządzeń, nośników oraz systemów informatycznych
służących do przetwarzania danych,
5) zlecać
sporządzanie ekspertyz i opinii.
Art.
15.
1. Kierownik
kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca
administratorem danych osobowych są obowiązani umożliwić inspektorowi
przeprowadzenie kontroli, a w szczególności umożliwić dokonanie czynności, o
których mowa w art. 14 pkt 1-4.
2. W
toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor
przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe
jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki
organizacyjnej.
Art.
16.
1. Z
czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz
doręcza kontrolowanemu administratorowi danych.
2. Protokół
podpisują inspektor i kontrolowany administrator danych, który może wnieść do
protokołu umotywowane zastrzeżenia i uwagi.
3. W
razie odmowy podpisania protokołu przez kontrolowanego administratora danych,
inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w
terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu
Inspektorowi.
Art.
17.
1. Jeżeli
na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie
danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o
których mowa w art. 18.
2. Na
podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania
dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom
winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o
wynikach tego postępowania i podjętych działaniach.
Art.
18.
1. W
razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny
Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje
administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu
zgodnego z prawem, a w szczególności:
1) usunięcie
uchybień,
2) uzupełnienie,
uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych
osobowych,
3) zastosowanie
dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie
przekazywania danych osobowych za granicę,
6) zabezpieczenie
danych lub przekazanie ich innym podmiotom,
1. usunięcie
danych osobowych.
2. Decyzje
Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody
działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach do
Sejmu, Senatu i organów samorządu terytorialnego, pomiędzy dniem zarządzenia
wyborów a dniem głosowania.
2a.
Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do
zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia
danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych
na podstawie przepisów prawa.
3. W
przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o
których mowa w ust. 1, stosuje się przepisy tych ustaw.
Art.
19. W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki
organizacyjnej, jej pracownika lub innej osoby fizycznej będącej
administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie,
Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie
o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Art.
20. Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej
działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o
ochronie danych osobowych.
Art.
21.
1. Strona
może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie
sprawy.
2. Na
decyzję Generalnego Inspektora w przedmiocie wniosku o ponowne rozpatrzenie
sprawy stronie przysługuje skarga do Naczelnego Sądu Administracyjnego.
Art.
22. Postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się
według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy
nie stanowią inaczej.
Rozdział 3
Zasady przetwarzania danych osobowych
Art.
23.
1. Przetwarzanie
danych jest dopuszczalne tylko wtedy, gdy:
1) osoba,
której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
2) zezwalają
na to przepisy prawa,
3) jest
konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną
lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem
umowy,
4) jest
niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego,
5) jest
niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów
danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są
przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności
osoby, której dane dotyczą.
2. Zgoda,
o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w
przyszłości, jeżeli nie zmienia się cel przetwarzania.
3. Jeżeli
przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby,
której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest
niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie
zgody będzie możliwe.
4. Za
prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w
szczególności:
1) marketing
bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie
roszczeń z tytułu prowadzonej działalności gospodarczej.
Art.
24.
1. W
przypadku zbierania danych osobowych od osoby, której one dotyczą,
administrator danych jest obowiązany poinformować tę osobę o:
1) adresie
swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest
osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu
zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji
lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3) prawie
wglądu do swoich danych oraz ich poprawiania,
4) dobrowolności
albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego
podstawie prawnej.
2. Przepisu
ust. 1 nie stosuje się, jeżeli:
1) przepis
innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu
ich zbierania,
2) osoba,
której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art.
25.
1. W
przypadku zbierania danych osobowych nie od osoby, której one dotyczą,
administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po
utrwaleniu zebranych danych, o:
1) adresie
swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest
osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu
i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach
odbiorców danych,
3) źródle
danych,
4) prawie
wglądu do swoich danych oraz ich poprawiania,
5) o
uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu
ust. 1 nie stosuje się, jeżeli:
1) przepis
innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy
osoby, której dane dotyczą,
2) dane
przewidziane do zebrania są ogólnie dostępne,
3) dane
te są niezbędne do badań naukowych, dydaktycznych, historycznych,
statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza
praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych
w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu
badania,
4) administrator
danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu,
5) dane
są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1, na podstawie
przepisów prawa,
6)
osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.
Art.
26.
1. Administrator
danych przetwarzający dane powinien dołożyć szczególnej staranności w celu
ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany
zapewnić, aby dane te były:
1) przetwarzane
zgodnie z prawem,
2) zbierane
dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu
niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie
poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane
w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż
jest to niezbędne do osiągnięcia celu przetwarzania.
2. Przetwarzanie
danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne,
jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w
celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z
zachowaniem przepisów art. 23 i 25.
Art.
26a.
1. Niedopuszczalne
jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane
dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych
osobowych, prowadzonych w systemie informatycznym.
2. Przepisu
ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas
zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane
dotyczą.
Art.
27.
1. Zabrania
się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również danych o stanie zdrowia, kodzie
genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań,
orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których
mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
1) osoba,
której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie
dotyczących jej danych,
2) przepis
szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby,
której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie
takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane
dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie
lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego
lub kuratora,
4) jest
to niezbędne do wykonania statutowych zadań kościołów i innych związków
wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków
tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w
związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych danych,
5) przetwarzanie
dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
6) przetwarzanie
jest niezbędne do wykonania zadań administratora danych odnoszących się do
zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest
określony w ustawie,
7) przetwarzanie
jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub
leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub
świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych
i są stworzone pełne gwarancje ochrony danych osobowych,
8) przetwarzanie
dotyczy danych, które zostały podane do wiadomości publicznej przez osobę,
której dane dotyczą,
9) jest
to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy
wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
publikowanie wyników badań naukowych nie może następować w sposób umożliwiający
identyfikację osób, których dane zostały przetworzone,
10) przetwarzanie
danych jest prowadzone przez stronę w celu realizacji praw i obowiązków
wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
Art.
28.
1. (skreślony).
2. Numery
porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci,
daty urodzenia, numer nadania oraz liczbę kontrolną. 3. Zabronione jest
nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach
ewidencjonujących osoby fizyczne.
Art.
29.
1. W
przypadku udostępniania danych osobowych w celach innych niż włączenie do
zbioru, administrator danych, o którym mowa w art. 3 ust. 1, udostępnia
posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na
mocy przepisów prawa.
2. Dane
osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także
udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom
niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę
posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób,
których dane dotyczą.
3. Dane
osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej
ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające
wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i
przeznaczenie.
4. Udostępnione
dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego
zostały udostępnione.
Art.
30. Administrator danych odmawia udostępnienia danych osobowych ze zbioru
danych podmiotom i osobom innym niż wymienione w art. 29 ust. 1, jeżeli
spowodowałoby to:
1) ujawnienie
wiadomości stanowiących tajemnicę państwową,
2) zagrożenie
dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi, mienia lub
bezpieczeństwa i porządku publicznego,
3) zagrożenie
dla podstawowego interesu gospodarczego lub finansowego państwa,
4) istotne
naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.
Art.
31.
1. Administrator
danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie,
przetwarzanie danych.
2. Podmiot,
o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu
przewidzianym w umowie.
3. Podmiot,
o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych
do podjęcia środków zabezpieczających zbiór danych, o których mowa w art.
36-39.
4. W
przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie
przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza
odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych
niezgodnie z tą umową.
Rozdział 4
Prawa osoby, której dane dotyczą
Art.
32.
1. Każdej
osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą,
zawartych w zbiorach danych, a zwłaszcza prawo do:
1) uzyskania
wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia
administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy
administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz
imienia i nazwiska,
2) uzyskania
informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim
zbiorze,
3) uzyskania
informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania
w powszechnie zrozumiałej formie treści tych danych,
4) uzyskania
informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że
administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy
państwowej, służbowej lub zawodowej,
5) uzyskania
informacji o sposobie udostępniania danych, a w szczególności informacji o
odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
6) żądania
uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub
stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one
niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem
ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane,
7) wniesienia,
w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego
żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną
sytuację,
8) wniesienia
sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23
ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach
marketingowych lub wobec przekazywania jej danych osobowych innemu
administratorowi danych,
9) wniesienia
do administratora danych żądania ponownego, indywidualnego rozpatrzenia sprawy
rozstrzygniętej z naruszeniem art. 26a ust. 1.
2. W
przypadku wniesienia żądania, o którym mowa w ust. 1 pkt 7, administrator
danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez
zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje
stosowną decyzję.
3. W
razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie
kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak
pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub
adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w
celach objętych sprzeciwem.
3a.
W razie wniesienia żądania, o którym mowa w art. 32 ust. 1 pkt 9, administrator
danych bez zbędnej zwłoki rozpatruje sprawę albo przekazuje ją wraz z
uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje
stosowną decyzję.
4. Jeżeli
dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych,
statystycznych lub archiwalnych, administrator danych może odstąpić od
informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to
za sobą nakłady niewspółmierne z zamierzonym celem.
5. Osoba
zainteresowana może skorzystać z prawa do informacji, o których mowa w ust. 1
pkt 1-5, nie częściej niż raz na 6 miesięcy.
Art.
33.
1. Na
wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w
terminie 30 dni, poinformować o przysługujących jej prawach, a zwłaszcza
wskazać w formie zrozumiałej odnośnie danych osobowych jej dotyczących:
1) jakie
dane osobowe zawiera zbiór,
2) w
jaki sposób zebrano dane,
3) w
jakim celu i zakresie dane są przetwarzane,
4) w
jakim zakresie oraz komu dane zostały udostępnione. 2. Na wniosek osoby, której
dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie.
Art.
34. W sprawach informowania i udostępniania danych osobie, której dane
dotyczą, stosuje się przepisy art. 30.
Art.
35.
1. W
razie wykazania przez osobę, której dane osobowe dotyczą, że są one
niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem
ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane,
administrator danych jest obowiązany, bez zbędnej zwłoki, do uzupełnienia,
uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania
przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że
dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia,
uaktualnienia lub sprostowania określają odrębne ustawy.
2. W
razie niedopełnienia przez administratora danych obowiązku, o którym mowa w
ust. 1, osoba, której dane dotyczą, może się zwrócić do Generalnego Inspektora
z wnioskiem o nakazanie dopełnienia tego obowiązku. 3. Administrator danych
jest obowiązany poinformować bez zbędnej zwłoki innych administratorów, którym
udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.
Rozdział 5
Zabezpieczenie zbiorów danych osobowych
Art.
36. Administrator danych jest obowiązany do zastosowania środków
technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych, a w szczególności powinien zabezpieczyć dane przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub
zniszczeniem.
Art.
37. Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego
skład, służących do przetwarzania danych, mogą być dopuszczone wyłącznie osoby
posiadające upoważnienie wydane przez administratora danych.
Art.
38. Administrator danych przetwarzanych w systemie informatycznym jest
obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo
zostały do zbioru wprowadzone oraz komu są przekazywane, zwłaszcza gdy
przekazuje się je za pomocą urządzeń teletransmisji danych.
Art.
39.
1. Administrator
danych prowadzi ewidencję osób zatrudnionych przy ich przetwarzaniu.
2. Osoby,
o których mowa w ust. 1, mające dostęp do danych osobowych, obowiązane są do
zachowania ich w tajemnicy. Obowiązek ten istnieje również po ustaniu
zatrudnienia.
Rozdział 6
Rejestracja zbiorów danych osobowych
Art.
40. Administrator danych jest obowiązany zgłosić zbiór danych do
rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w
art. 43 ust. 1.
Art.
41.
1. Zgłoszenie
zbioru danych do rejestracji powinno zawierać:
1) wniosek
o wpisanie zbioru do rejestru zbiorów danych osobowych,
2) oznaczenie
podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w
tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli
został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
3) zakres
i cel przetwarzania danych,
4) sposób
zbierania oraz udostępniania danych,
4a) informację o odbiorcach lub kategoriach odbiorców,
którym dane mogą być przekazywane,
5) opis
środków technicznych i organizacyjnych zastosowanych w celach określonych w
art. 36-39,
6) informację
o sposobie wypełnienia wymagań technicznych i organizacyjnych, o których mowa w
art. 45 pkt 1,
7) informację
dotyczącą ewentualnego przekazywania danych za granicę.
1. Administrator
danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę
informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany
w zbiorze danych.
Art.
42.
1. Generalny
Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych
zgłoszonych do rejestracji. Rejestr powinien zawierać informacje, o których
mowa w art. 41 ust. 1,
2. Każdy
ma prawo przeglądać rejestr, o którym mowa w ust. 1. 3. Na żądanie osoby
zainteresowanej może być wydane zaświadczenie o zarejestrowaniu wskazanego
zbioru danych.
Art.
43.
1. Z
obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) objętych
tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę
życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a) które zostały uzyskane w wyniku czynności
operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych
czynności,
2) przetwarzanych
przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie
przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji
Finansowej,
3) dotyczących
członków kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji
prawnej,
4) dotyczących
osób u nich zatrudnionych, zrzeszonych lub uczących się,
5) dotyczących
osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej,
radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego
rewidenta,
6) tworzonych
na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, rad powiatów i
sejmików województw, ustawy o wyborze Prezydenta Rzeczypospolitej Polskiej oraz
ustaw o referendum i ustawy o referendum gminnym(1),
7) dotyczących
osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do
wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych
wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości
finansowej,
9) powszechnie
dostępnych,
10) przetwarzanych
w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły
wyższej lub stopnia naukowego,
11) przetwarzanych
w zakresie drobnych bieżących spraw życia codziennego.
2. W
odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o
których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa
Wewnętrznego, Agencję Wywiadu oraz Wojskowe Służby Informacyjne, Generalnemu
Inspektorowi nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt
1, 3-5 oraz w art. 15-18.
Art.
44.
1. Generalny
Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie
zostały spełnione wymogi określone w art. 41 ust. 1,
2) przetwarzanie
danych naruszałoby zasady określone w art. 23-30,
3) urządzenia
i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do
rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych,
określonych w przepisach, o których mowa w art. 45 pkt 1.
2. Odmawiając
rejestracji zbioru danych Generalny Inspektor nakazuje wstrzymanie dalszego
przetwarzania danych w tym zbiorze lub ich usunięcie.
3. Nakaz
wstrzymania dalszego przetwarzania danych w zbiorze danych lub ich usunięcia
podlega natychmiastowemu wykonaniu.
4. Administrator
danych może zgłosić ponownie zbiór danych do rejestracji po usunięciu wad,
które były powodem odmowy rejestracji zbioru.
5. W
razie ponownego zgłoszenia zbioru do rejestracji administrator danych może
rozpocząć ich przetwarzanie po zarejestrowaniu zbioru.
Art.
45. Minister właściwy do spraw administracji określi, w drodze
rozporządzenia:
1) podstawowe
warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych,
2) wzór
wniosku, o którym mowa w art. 29 ust. 3,
3) wzór
zgłoszenia, o którym mowa w art. 41 ust. 1,
4) wzór
upoważnienia i legitymacji służbowej, o których mowa w art. 14 pkt 1.
Art.
46. Administrator danych może rozpocząć ich przetwarzanie w zbiorze danych
po zgłoszeniu tego zbioru Generalnemu Inspektorowi do rejestracji, chyba że
ustawa zwalnia go z tego obowiązku.
Rozdział 7
Przekazywanie danych osobowych za granicę
Art.
47.
1. Przekazanie
danych osobowych za granicę może nastąpić jedynie wtedy, gdy kraj docelowy daje
gwarancje ochrony danym osobowym na swoim terytorium przynajmniej takie, jak
obowiązujące na terytorium Rzeczypospolitej Polskiej.
2. Przepisu
ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku
nałożonego na administratora danych przepisami prawa lub postanowieniami
ratyfikowanej umowy międzynarodowej.
3. Administrator
danych może jednak przekazać dane osobowe za granicę, jeżeli:
1) osoba,
której dane dotyczą, udzieliła na to zgody na piśmie,
2) przekazanie
jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą,
której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie
jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane
dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie
jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności
roszczeń prawnych,
5) przekazanie
jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
6) dane
są ogólnie dostępne.
Art.
48. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie
danych osobowych za granicę do kraju, który nie daje gwarancji ochrony danych
osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej
Polskiej, może mieć miejsce po uzyskaniu zgody Generalnego Inspektora.
Rozdział 8
Przepisy karne
Art.
49.
1. Kto
przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne
albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli
czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub
etniczne, poglądy polityczne, przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia,
kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art.
50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe
niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do roku.
Art.
51.
1. Kto
administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych
udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli
sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku.
Art.
52. Kto administrując danymi narusza choćby nieumyślnie obowiązek
zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.
Art.
53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do
roku.
Art.
54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji
umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do
roku.
Rozdział 9
Zmiany w przepisach obowiązujących, przepisy
przejściowe i końcowe
Art.
55. W ustawie z dnia 31 lipca 1981 r. o wynagrodzeniu osób zajmujących
kierownicze stanowiska państwowe (Dz. U. Nr 20, poz. 101, z 1982 r. Nr 31, poz.
214, z 1985 r. Nr 22, poz. 98 i Nr 50, poz. 262, z 1987 r. Nr 21, poz. 123, z
1989 r. Nr 34, poz. 178, z 1991 r. Nr 100, poz. 443, z 1993 r. Nr 1, poz. 1, z
1995 r. Nr 34, poz. 163 i Nr 142, poz. 701, z 1996 r. Nr 73, poz. 350, Nr 89,
poz. 402, Nr 106, poz. 496 i Nr 139, poz. 647 oraz z 1997 r. Nr 75, poz. 469) w
art. 2 w pkt 2 po wyrazach "Rzecznika Praw Obywatelskich," dodaje się
wyrazy "Generalnego Inspektora Ochrony Danych Osobowych,".
Art. 56. W ustawie z dnia 16 września 1982 r. o pracownikach urzędów
państwowych (Dz. U. Nr 31, poz. 214, z 1984 r. Nr 35, poz. 187, z 1988 r. Nr
19, poz. 132, z 1989 r. Nr 4, poz. 24, Nr 34, poz. 178 i 182, z 1990 r. Nr 20,
poz. 121, z 1991 r. Nr 55, poz. 234, Nr 88, poz. 400 i Nr 95, poz. 425, z 1992
r. Nr 54, poz. 254 i Nr 90, poz. 451, z 1994 r. Nr 136, poz. 704, z 1995 r. Nr
132, poz. 640, z 1996 r. Nr 89, poz. 402 i Nr 106, poz. 496 oraz z 1997 r. Nr
98, poz. 604) wprowadza się następujące zmiany: (zmiany pominięte).
Art.
57. W ustawie z dnia 5 stycznia 1991 r. - Prawo budżetowe (Dz. U. z 1993 r.
Nr 72, poz. 344, z 1994 r. Nr 76, poz. 344, Nr 121, poz. 591 i Nr 133, poz.
685, z 1995 r. Nr 78, poz. 390, Nr 124, poz. 601 i Nr 132, poz. 640, z 1996 r.
Nr 89, poz. 402, Nr 106, poz. 496, Nr 132, poz. 621 i Nr 139, poz. 647 oraz z
1997 r. Nr 54, poz. 348, Nr 79, poz. 484, Nr 121, poz. 770 i Nr 123, poz. 775 i
778) w art. 31 w ust. 3 w pkt 2 po wyrazach "Najwyższej Izby
Kontroli" dodaje się wyrazy ", Generalnego Inspektora Ochrony Danych
Osobowych".
Art.
58. W ustawie z dnia 23 grudnia 1994 r. o Najwyższej Izbie Kontroli (Dz. U.
z 1995 r. Nr 13, poz. 59, z 1996 r. Nr 64, poz. 315 i Nr 89, poz. 402 oraz z
1997 r. Nr 28, poz. 153, Nr 79, poz. 484, Nr 96, poz. 589 i Nr 121, poz. 770) w
art. 4 wprowadza się następujące zmiany:
1) w
ust. 1 po wyrazach "Krajowej Rady Radiofonii i Telewizji," dodaje się
wyrazy "Generalnego Inspektora Ochrony Danych Osobowych,";
2) w
ust. 2 po wyrazach "Krajowej Rady Radiofonii i Telewizji" dodaje się
przecinek oraz wyrazy "Generalnego Inspektora Ochrony Danych
Osobowych".
Art.
59. W ustawie z dnia 23 grudnia 1994 r. o kształtowaniu środków na
wynagrodzenia w państwowej sferze budżetowej oraz o zmianie niektórych ustaw
(Dz. U. z 1995 r. Nr 34, poz. 163 oraz z 1996 r. Nr 106, poz. 496 i Nr 139,
poz. 647) w art. 2 w ust. 2 w pkt 1 po wyrazach "Krajowym Biurze
Wyborczym" dodaje się wyrazy ", Biurze Generalnego Inspektora Ochrony
Danych Osobowych."
Art.
60. W ustawie z dnia 26 kwietnia 1996 r. o Służbie Więziennej (Dz. U. Nr
61, poz. 283 i Nr 106, poz. 496 oraz z 1997 r. Nr 28, poz. 153 i Nr 88, poz.
554) dodaje się art. 23a w brzmieniu: "Art. 23a. Służba Więzienna może
gromadzić i przetwarzać informacje i dane osobowe, w tym także bez zgody osób,
których dotyczą, niezbędne do realizacji zadań, o których mowa w art. 1 ust. 3
ustawy."
Art. 61.
1. Podmioty
określone w art. 3, prowadzące w dniu wejścia w życie ustawy zbiory danych
osobowych w systemach informatycznych, mają obowiązek złożenia wniosków o
zarejestrowanie tych zbiorów w trybie określonym w art. 41, w terminie 18
miesięcy od dnia jej wejścia w życie, chyba że ustawa zwalnia ich z tego
obowiązku.
2. Do
czasu rejestracji zbioru danych osobowych w trybie określonym w art. 41,
podmioty, o których mowa w ust. 1, mogą prowadzić te zbiory bez rejestracji.
Art.
62. Ustawa wchodzi w życie po upływie 6 miesięcy od dnia ogłoszenia, z tym
że:
1) art.
8-11, art. 13 i 45 wchodzą w życie po upływie 2 miesięcy od dnia ogłoszenia,
2) art.
55-59 wchodzą w życie po upływie 14 dni od dnia ogłoszenia.
1) Obecnie:
ustawy z dnia 15 września 2000 r. o referendum lokalnym (Dz.U.00.88.985).