Na podstawie art. 17 ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. Nr 50, poz. 580, z późn. zm.¹⁾) zarządza się, co następuje:

§ 1.[Zakres regulacji] Rozporządzenie określa warunki, w tym techniczne i organizacyjne, sposób oraz tryb gromadzenia danych osobowych oraz danych o podmiotach zbiorowych w Krajowym Rejestrze Karnym, zwanym dalej „Rejestrem”, oraz usuwania tych danych z Rejestru.

§ 2.[Zabezpieczenie danych osobowych zgromadzonych w Rejestrze - odesłanie] 1. Do zabezpieczenia danych osobowych zgromadzonych w Rejestrze stosuje się przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 oraz z 2001 r. Nr 121, poz. 1306), ze zmianami i uzupełnieniami wynikającymi z niniejszego rozporządzenia.

2. Do zabezpieczenia danych o podmiotach zbiorowych zgromadzonych w Rejestrze stosuje się odpowiednio przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, ze zmianami i uzupełnieniami wynikającymi z niniejszego rozporządzenia.

§ 3.[Działania dyrektora Biura Informacyjnego Krajowego Rejestru Karnego w celu zabezpieczenia danych osobowych oraz danych o podmiotach zbiorowych zgromadzonych w Rejestrze] W celu zabezpieczenia danych osobowych oraz danych o podmiotach zbiorowych zgromadzonych w Rejestrze dyrektor Biura Informacyjnego Krajowego Rejestru Karnego, zwany dalej „dyrektorem”:

1) identyfikuje i analizuje zagrożenia i ryzyko, na które może być narażone przetwarzanie danych osobowych i danych o podmiotach zbiorowych;

2) określa potrzeby w zakresie zabezpieczenia kartotek i systemu informatycznego;

3) określa sposoby zabezpieczenia danych osobowych i danych o podmiotach zbiorowych adekwatne do zagrożeń i ryzyka;

4) monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych oraz danych o podmiotach zbiorowych i ich przetwarzania;

5) opracowuje i wdraża program szkolenia w zakresie zabezpieczeń kartotek i systemu informatycznego;

6) wykrywa i reaguje na przypadki naruszenia bezpieczeństwa danych osobowych i danych o podmiotach zbiorowych zgromadzonych w kartotekach i systemie informatycznym.

§ 4.[Administrator bezpieczeństwa informacji] Osobą odpowiedzialną za bezpieczeństwo danych osobowych i danych o podmiotach zbiorowych zgromadzonych w kartotekach i systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób nieuprawnionych do kartotek i systemu informatycznego, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemach zabezpieczeń jest administrator bezpieczeństwa informacji, wyznaczony przez dyrektora.

§ 5.[Osoby upoważnione] 1. Do obsługi kartotek i systemu informatycznego oraz urządzeń wchodzących w jego skład dopuszcza się wyłącznie osoby upoważnione przez dyrektora, zwane dalej „osobami uprawnionymi”.

2. Indywidualny zakres czynności osób uprawnionych określa zakres odpowiedzialności za ochronę danych osobowych i danych o podmiotach zbiorowych przed dostępem osób nieuprawnionych, wykorzystywaniem przez osoby nieuprawnione, uszkodzeniem lub zniszczeniem.

§ 6.[Zaznajomienie z przepisami dotyczącymi Rejestru i ochrony danych w nim zgromadzonych] Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych i danych o podmiotach zbiorowych każdą osobę uprawnioną zaznajamia się z przepisami dotyczącymi Rejestru i ochrony danych w nim zgromadzonych, co osoba uprawniona potwierdza własnoręcznym podpisem.

§ 7.[Postępowanie w przypadku naruszenia kartotek lub systemu informatycznego] 1. W przypadku naruszenia kartotek lub systemu informatycznego, w których są zgromadzone dane osobowe i dane o podmiotach zbiorowych, osoba uprawniona postępuje w sposób określony przez dyrektora.

2. O każdym przypadku naruszenia kartotek lub systemu informatycznego, w których są zgromadzone dane osobowe i dane o podmiotach zbiorowych, osoba uprawniona jest obowiązana niezwłocznie powiadomić dyrektora oraz administratora bezpieczeństwa informacji.

§ 8.[Pomieszczenia lub części pomieszczeń przeznaczone do przetwarzania danych] 1. Pomieszczenia lub części pomieszczeń, tworzące obszar, w którym są przetwarzane dane osobowe i dane o podmiotach zbiorowych zgromadzone w kartotekach oraz w bazie danych systemu informatycznego, określa dyrektor.

2. Pomieszczenia lub części pomieszczeń, o których mowa w ust. 1, wyposaża się w zabezpieczenia techniczne uniemożliwiające utratę zbiorów danych osobowych i danych o podmiotach zbiorowych oraz zabezpieczenia chroniące przed dostępem do nich osób nieuprawnionych, wykorzystywaniem przez osoby nieuprawnione, uszkodzeniem lub zniszczeniem oraz zamyka się na czas nieobecności w nich osób uprawnionych, w sposób uniemożliwiający dostęp do nich osób trzecich.

§ 9.[Zabezpieczenie przed utratą lub zniekształceniem urządzeń i systemów informatycznych służących do przetwarzania danych] Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych i danych o podmiotach zbiorowych, zasilane energią elektryczną, zabezpiecza się przed utratą lub zniekształceniem tych danych spowodowanych awarią zasilania lub zakłóceniami w sieci zasilającej.

§ 10.[Wprowadzanie danych do systemu informatycznego] Osoba uprawniona wprowadza do systemu informatycznego dane osobowe i dane o podmiotach zbiorowych zawarte w kartach rejestracyjnych i zawiadomieniach o zmianach ewidencyjnych oraz zawiadomieniach dotyczących podmiotów zbiorowych, a następnie umieszcza je w odpowiedniej kartotece.

§ 11.[Usuwanie kart rejestracyjnych oraz zawiadomień o zmianach ewidencyjnych i dotyczących podmiotów zbiorowych] 1. Karty rejestracyjne oraz zawiadomienia o zmianach ewidencyjnych i dotyczące podmiotów zbiorowych usuwa się z kartotek poprzez fizyczne zniszczenie przez osoby uprawnione, w sposób uniemożliwiający ustalenie tożsamości osoby i danych identyfikujących podmiot zbiorowy, których dane te dotyczą.

2. Zapis informacji dotyczących udostępnienia danych osobowych lub danych o podmiotach zbiorowych zgromadzonych w Rejestrze usuwa się z bazy danych systemu informatycznego z chwilą usunięcia wszystkich zgromadzonych tam danych o osobie lub podmiocie zbiorowym.

§ 12.[Pozbawienie elektronicznych nośników informacji zapisu danych] 1. Urządzenia lub elektroniczne nośniki informacji, zawierające dane osobowe lub dane o podmiocie zbiorowym, przeznaczone do usunięcia z Rejestru, pozbawia się zapisu tych danych.

2. W przypadku gdy pozbawienie elektronicznych nośników informacji zapisu danych osobowych lub danych o podmiotach zbiorowych nie jest możliwe, uszkadza się je w sposób uniemożliwiający ich odczytanie.

§ 13.[Naprawa nośników informacji zawierających dane] Urządzenia lub elektroniczne nośniki informacji, zawierające dane osobowe lub dane o podmiotach zbiorowych, przeznaczone do naprawy, przed naprawą pozbawia się zapisu tych danych albo naprawia się je pod nadzorem administratora bezpieczeństwa informacji.

§ 14.[Kopie awaryjne danych] 1. Osoba uprawniona sporządza kopie awaryjne danych osobowych lub danych o podmiotach zbiorowych zgromadzonych w systemie informatycznym Rejestru.

2. Kopie awaryjne należy:

1) okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych osobowych lub danych o podmiotach zbiorowych w przypadku awarii systemu;

2) bezzwłocznie usuwać po ustaniu ich użyteczności, w sposób określony w § 12.

3. Kopii awaryjnych nie przechowuje się w tych samych pomieszczeniach, w których są przechowywane zbiory danych osobowych i danych o podmiotach zbiorowych eksploatowanych na bieżąco. Przepis § 8 ust. 2 stosuje się odpowiednio.

§ 15.[Wyposażenie systemów informatycznych w mechanizmy uwierzytelniania użytkownika oraz kontroli dostępu do przetwarzanych danych] 1. Systemy informatyczne, w których są zgromadzone dane osobowe i dane o podmiotach zbiorowych, wyposaża się w mechanizmy uwierzytelniania użytkownika oraz kontroli dostępu do przetwarzanych danych.

2. Dla każdej osoby uprawnionej będącej użytkownikiem systemu informatycznego, o którym mowa w ust. 1, dyrektor lub osoba przez niego upoważniona ustala odrębny identyfikator i hasło użytkownika.

3. Identyfikator, o którym mowa w ust. 2, wpisuje się do ewidencji określonej w art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271) wraz z imieniem i nazwiskiem użytkownika oraz rejestruje w systemie informatycznym.

4. Bezpośredni dostęp do danych osobowych i danych o podmiotach zbiorowych przetwarzanych w systemie informatycznym może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła użytkownika.

5. Hasło użytkownika zmienia się co najmniej raz na miesiąc.

6. Identyfikatora użytkownika nie zmienia się, a po wyrejestrowaniu użytkownika z systemu informatycznego nie przydziela się innej osobie.

7. Hasła użytkownika nie udostępnia się również po upływie jego ważności.

8. Identyfikator osoby, która utraciła uprawnienia do dostępu do danych osobowych i danych o podmiotach zbiorowych, należy niezwłocznie wyrejestrować z systemu informatycznego, unieważnić jej hasło użytkownika oraz podjąć inne stosowne działania w celu zapobieżenia dalszemu dostępowi tej osoby do danych.

§ 16.[Samoczynne wyłączanie ekranów monitorów na stanowiskach dostępu do danych] 1. Ekrany monitorów na stanowiskach dostępu do danych osobowych i danych o podmiotach zbiorowych przetwarzanych w systemie informatycznym są samoczynnie wyłączane po upływie ustalonego czasu nieaktywności użytkownika.

2. W pomieszczeniach, gdzie mogą przebywać osoby postronne, monitory, o których mowa w ust. 1, powinny być ustawione w sposób uniemożliwiający tym osobom wgląd w dane.

§ 17.[Odnotowywanie przetwarzania danych] Dla każdej osoby i podmiotu zbiorowego, których dane są przetwarzane w Rejestrze, system informatyczny zapewnia spójne odnotowanie:

1) daty wprowadzenia pierwszych i kolejnych danych tej osoby lub podmiotu zbiorowego;

2) identyfikatora użytkownika wprowadzającego dane;

3) informacji, jakie dane osobowe lub dane o podmiocie zbiorowym zostały wprowadzone do Rejestru,

4) informacji komu, kiedy, w jakim zakresie i przez kogo zostały udostępnione dane zgromadzone w Rejestrze.

§ 18.[Przepisy uchylone] Traci moc rozporządzenie Ministra Sprawiedliwości z dnia 11 czerwca 2001 r. w sprawie gromadzenia danych osobowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z Rejestru (Dz. U. Nr 63, poz. 644).

§ 19.[Wejście w życie] Rozporządzenie wchodzi w życie z dniem 28 listopada 2003 r.