§ 1. [Zakres regulacji] Rozporządzenie określa:

1) warunki techniczne, sposób i tryb dokonywania wpisów danych SIS oraz tworzenia odsyłaczy pomiędzy wpisami w SIS;

2) sposób i tryb aktualizowania, usuwania i wyszukiwania danych SIS poprzez Krajowy System Informatyczny (KSI), zwany dalej „KSI".

§ 2. [Definicje] Ilekroć w rozporządzeniu jest mowa o:

1) brzegowym urządzeniu sieciowym - należy przez to rozumieć urządzenie typu firewall pełniące funkcję urządzenia dostępowego do KSI, terminujące tunel VPN IPsec;

2) CWPK SIS (Centralnym Węźle Polskiego Komponentu SIS) - należy przez to rozumieć podsystem informacyjny stanowiący część infrastruktury technicznej i organizacyjnej KSI, mający na celu zapewnienie przepływu informacji między centralnym systemem SIS a systemami teleinformatycznymi użytkowników instytucjonalnych oraz aplikacją WWW SIS;

3) certyfikacie - należy przez to rozumieć elektroniczne zaświadczenie będące elementem PKI, wydane zgodnie z obowiązującą Polityką certyfikacji, zapewniające poufność przesyłanych danych oraz bezpieczeństwo procesu uwierzytelniania użytkownika instytucjonalnego i użytkownika indywidualnego;

4) dopasowaniu - należy przez to rozumieć dopasowanie, o którym mowa w art. 3 pkt 7 rozporządzenia 2018/1861 oraz w art. 3 pkt 6 rozporządzenia 2018/1862;

5) Kodeksie postępowania certyfikacyjnego - należy przez to rozumieć dokument uszczegółowiający ogólne zasady postępowania certyfikacyjnego opisane w Polityce certyfikacji;

6) uprawnionym organie - należy przez to rozumieć organ lub służbę uprawnioną do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), o których mowa w art. 3 ust. 1 ustawy;

7) PKI (Public Key Infrastructure) - należy przez to rozumieć Infrastrukturę Klucza Publicznego będącego kryptosys-temem, w którego skład wchodzą urzędy certyfikacyjne, urzędy rejestracyjne, użytkownicy certyfikatów (subskrybenci), oprogramowanie i sprzęt;

8) podręczniku SIRENE - należy przez to rozumieć podręcznik, o którym mowa w art. 8 ust. 4 rozporządzenia 2018/1861 oraz w art. 8 ust. 4 rozporządzenia 2018/1862;

9) Polityce certyfikacji - należy przez to rozumieć dokument określający techniczne i organizacyjne warunki oraz zakres tworzenia i stosowania certyfikatów w standardzie X.509 wykorzystywanych przez użytkowników SIS;

10) rozporządzeniu 2018/1861 - należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006 (Dz. Urz. UE L 312 z 07.12.2018, str. 14, z późn. zm.³⁾);

11) rozporządzeniu 2018/1862 - należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE (Dz. Urz. UE L 312 z 07.12.2018, str. 56, z późn. zm.⁴⁾);

12) TLS (Transport Layer Security) - należy przez to rozumieć protokół służący do szyfrowania transmisji danych w sieci;

13) transliteracji i transkrypcji - należy przez to rozumieć zapisywanie liter jednego alfabetu (transliteracja) lub głosek (transkrypcja) za pomocą odpowiadających im ściśle określonych zestawów znaków drugiego alfabetu, które dla danych SIS zostały określone w decyzjach wykonawczych Komisji Europejskiej do rozporządzenia 2018/1861 i do rozporządzenia 2018/1862 oraz w dokumencie kontroli interfejsu SIS i szczegółowych specyfikacjach technicznych;

14) ustawie - należy przez to rozumieć ustawę z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

15) VPN (Virtual Private Network) - należy przez to rozumieć wirtualną sieć prywatną jako sieć przekazu danych korzystającą z publicznej infrastruktury telekomunikacyjnej, która dzięki stosowaniu protokołów tunelowania i procedur bezpieczeństwa zachowuje poufność danych;

16) wartościach katalogowych - należy przez to rozumieć kodowany słownik danych będący zbiorem określonych dopuszczalnych wartości lub terminów wykorzystywanych przez interfejs CWPK SIS;

17) wydzielonej sieci teleinformatycznej - należy przez to rozumieć niepubliczną sieć telekomunikacyjną, która dzięki zastosowaniu rozwiązań sprzętowych lub programowych zapewnia możliwość logicznej separacji od powszechnie dostępnej infrastruktury telekomunikacyjnej;

18) X.509 - należy przez to rozumieć standard opisujący sposób użycia asymetrycznych algorytmów kryptograficznych.

§ 3. [Dokonywanie wpisów danych SIS oraz tworzenie odsyłaczy] Dokonywanie wpisów danych SIS oraz tworzenie odsyłaczy następuje odpowiednio za pomocą:

1) aplikacji WWW SIS - w przypadku użytkownika indywidualnego;

2) systemu teleinformatycznego użytkownika instytucjonalnego - w przypadku użytkownika końcowego.

§ 4. [Warunki techniczne dokonywania wpisów danych SIS] Warunki techniczne dokonywania wpisów danych SIS oraz tworzenia odsyłaczy pomiędzy wpisami w SIS obejmują:

1) zapewnienie połączenia z KSI za pośrednictwem wydzielonej sieci teleinformatycznej z wykorzystaniem protokołu https oraz VPN;

2) wykorzystanie protokołu TLS i certyfikatu X.509 w celu zabezpieczenia dostępu do CWPK SIS.

§ 5. [Wystąpienie do centralnego organu technicznego KSI w celu dokonywania wpisów danych SIS oraz tworzenia odsyłaczy] W celu dokonywania wpisów danych SIS oraz tworzenia odsyłaczy uprawniony organ występuje do centralnego organu technicznego KSI o:

1) wydanie certyfikatów dla brzegowego urządzenia sieciowego oraz określenie i przekazanie parametrów konfiguracji brzegowego urządzenia sieciowego dla użytkownika indywidualnego, które umożliwia bezpieczne nawiązanie połączenia z KSI;

2) przekazywanie Polityki certyfikacji i Kodeksu postępowania certyfikacyjnego;

3) przekazanie dokumentacji zawierającej specyfikację interfejsu CWPK SIS;

4) założenie kont dostępowych i przydzielenie uprawnień w SIS użytkownikom indywidualnym;

5) wydanie certyfikatów cyfrowych na potrzeby uwierzytelniania się użytkowników indywidualnych w KSI.

§ 6. [Czynności wykonywane podczas dokonywania wpisów danych SIS] Podczas dokonywania wpisów danych SIS oraz tworzenia odsyłaczy uprawniony organ zapewnia:

1) przestrzeganie zasad obowiązujących w Polityce certyfikacji i Kodeksie postępowania certyfikacyjnego oraz zasad obowiązujących w specyfikacji interfejsu CWPK SIS;

2) bezpieczeństwo własnej sieci teleinformatycznej podłączonej do CWPK SIS;

3) stosowanie specyfikacji interfejsu CWPK SIS, w tym zasad transliteracji i transkrypcji, wartości katalogowych i podręcznika użytkownika aplikacji WWW SIS;

4) poprzedzającą dokonanie wpisu danych SIS weryfikację istnienia wpisu dotyczącego osoby lub przedmiotu oraz - w przypadku pozytywnego wyniku tej weryfikacji - przeprowadzenie konsultacji w celu zapobieżenia powstaniu niezgodności wpisów wielokrotnych, bezpośrednio z organem wymienionym w art. 3 ustawy, który dokonał wpisu, albo za pośrednictwem biura SIRENE zgodnie z zasadami określonymi w podręczniku SIRENE;

5) przedłużenie okresu utrzymywania wpisu danych SIS nie później niż 48 godzin przed upływem terminu wygaśnięcia obowiązywania wpisu;

6) dokonywanie wpisów danych SIS przez użytkowników indywidualnych i użytkowników końcowych w sposób zapewniający legalność i poufność tych wpisów;

7) zachowywanie bezpieczeństwa procesu uwierzytelniania przez użytkowników indywidualnych i użytkowników końcowych;

8) odbieranie przez użytkowników indywidualnych i użytkowników końcowych komunikatów ostrzegawczych i komunikatów dotyczących błędów oraz niezwłoczne dokonywanie aktualizacji lub usunięcia wpisów danych SIS.

§ 7. [Czynności wykonywane przez uprawniony organ] Podczas dokonywania wpisów danych SIS oraz tworzenia odsyłaczy uprawniony organ może:

1) utworzyć odsyłacz pomiędzy co najmniej dwoma dokonanymi przez siebie wpisami danych SIS albo pomiędzy dokonanym przez siebie wpisem lub wpisami danych SIS a wpisem lub wpisami danych SIS dokonanymi przez inny organ oraz usunąć utworzony odsyłacz;

2) dodać kolejny wpis danych SIS do utworzonego odsyłacza oraz usunąć z odsyłacza dodany wpis;

3) dokonać wglądu do danych odsyłacza zgodnie z przydzielonymi uprawnieniami.

§ 8. [Czynności wykonywane w celu dokonania wpisu danych SIS] 1. W celu dokonania wpisu danych SIS lub utworzenia odsyłacza użytkownik indywidualny:

1) dokonuje uwierzytelnienia na podstawie otrzymanego certyfikatu cyfrowego przechowywanego na karcie mikroprocesorowej zabezpieczonej PINem;

2) dokonuje wpisu danych SIS lub tworzy odsyłacz zgodnie z przydzielonymi uprawnieniami;

3) przekazuje do biura SIRENE informacje niezbędne do celów wymiany informacji uzupełniających z organami, o których mowa w art. 3 ust. 1:

a) pkt 1, 2, 7-10 i pkt 11 lit. b ustawy,

b) pkt 6 ustawy, jeżeli wpis dotyczy osób, które dla ich własnej ochrony lub w celu zapobieżenia stwarzanemu przez nie zagrożeniu dla porządku publicznego lub dla bezpieczeństwa publicznego powinny zostać umieszczone we właściwej placówce opiekuńczej lub leczniczej, w szczególności w wyniku decyzji o przymusowym umieszczeniu w takiej placówce,

c) pkt 11 lit. a ustawy, jeżeli we wnioskowanych we wpisie działaniach zastrzeżono „niezwłoczne działanie";

4) w przypadku dodania do wpisu danych SIS danych biometrycznych i otrzymania, po dokonaniu tego wpisu, informacji o dopasowaniu przeprowadza działania wynikające z procedury weryfikacji danych biometrycznych na etapie wprowadzania wpisów danych SIS.

2. W celu dokonania wpisu danych SIS lub utworzenia odsyłacza użytkownik instytucjonalny:

1) uwierzytelnia użytkownika końcowego we własnym systemie teleinformatycznym na podstawie przydzielonych uprawnień;

2) dokonuje wpisu danych SIS lub tworzy odsyłacz za pośrednictwem użytkownika końcowego, zgodnie z przydzielonymi uprawnieniami;

3) automatycznie przekazuje informacje uzupełniające do biura SIRENE;

4) prowadzi elektroniczny rejestr, w którym automatycznie odnotowuje informacje dotyczące:

a) użytkownika końcowego - ze wskazaniem numeru identyfikatora kadrowego lub innego numeru identyfikującego użytkownika końcowego,

b) daty i godziny dokonania wpisu danych SIS,

c) danych SIS, których dotyczył wpis,

d) niepowtarzalnego identyfikatora wpisu danych SIS nadanego przez KSI,

e) rodzaju czynności wykonanej za pośrednictwem KSI.

§ 9. [Wystąpienie z wnioskiem w przypadku braku dostępu do KSI] W przypadku braku dostępu do KSI, o którym mowa w art. 3 ust. 2 ustawy, organ występuje do centralnego organu technicznego KSI z:

1) pisemnym wnioskiem o dokonanie wpisu danych SIS wraz z informacją o wystąpieniu przesłanek uzasadniających dokonanie wpisu za pośrednictwem centralnego organu technicznego KSI;

2) wypełnioną kartą wpisu danych SIS, której wzór jest określony w przepisach wykonawczych wydanych na podstawie art. 22 ust. 3 ustawy.

§ 10. [Aktualizowanie, usuwanie i wyszukiwanie danych SIS poprzez KSI] 1. Aktualizowanie, usuwanie i wyszukiwanie danych SIS poprzez KSI odbywa się z wykorzystaniem:

1) aplikacji WWW SIS przez:

a) użytkownika indywidualnego,

b) centralny organ techniczny KSI - w przypadku określonym w art. 22 ust. 2 ustawy;

2) systemu teleinformatycznego użytkownika instytucjonalnego.

2. Do aktualizowania, usuwania i wyszukiwania danych SIS poprzez KSI stosuje się odpowiednio § 8.

3. W przypadku wyszukiwania danych SIS w rejestrze, o którym mowa w § 8 ust. 2 pkt 4, odnotowuje się również informacje dotyczące:

1) kryteriów wyszukiwania;

2) listy wyników wyszukiwania, do których użytkownik końcowy uzyskał dostęp.

4. Uprawniony organ, w zakresie dokonywania weryfikacji, przedłużania i usuwania wpisów danych SIS zapewnia rejestrowanie oceny, o której mowa w art. 39 ust. 4 rozporządzenia 2018/1861 oraz w art. 53 ust. 6 rozporządzenia 2018/1862.

§ 11.[Wejście w życie] Rozporządzenie wchodzi w życie z dniem 7 marca 2023 r.⁵⁾