§ 1

1. W Ministerstwie Skarbu Państwa, zwanym dalej „Ministerstwem”, administratorami danych są:

1) Minister Skarbu Państwa, zwany dalej „Ministrem”, dla danych osobowych przetwarzanych dla realizacji ustawowych zadań Ministra;

2) Dyrektor Generalny Ministerstwa, zwany dalej „Dyrektorem Generalnym”, w zakresie danych osobowych osób zatrudnionych w Ministerstwie, odbywających praktykę, staż lub realizujących postanowienia umów cywilno-prawnych.

2. Administratorzy danych powołują jednego administratora bezpieczeństwa informacji, zwanego dalej „ABI”.

§ 2

1. ABI wykonuje zadania po zarejestrowaniu go przez administratora danych w ogólnokrajowym rejestrze ABI, w szczególności prowadzi jawny rejestr dla zbiorów danych osobowych przetwarzanych w Ministerstwie oraz przygotowuje sprawozdania w zakresie sprawdzeń dla Generalnego Inspektora Ochrony Danych Osobowych i administratora danych w zakresie czynności podejmowanych dla zapewnienia przestrzegania przepisów o ochronie danych osobowych zgodnie z odrębnymi przepisami.

2. ABI realizując zadania w zakresie ochrony danych osobowych podlega bezpośrednio administratorom danych.

3. Ponadto do zadań ABI należy:

1) koordynowanie w Ministerstwie czynności dotyczących ochrony danych osobowych wynikających z obowiązujących przepisów prawnych;

2) opiniowanie i inicjowanie wdrażania skutecznych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w szczególności ochronę przed ich udostępnieniem osobom nieuprawnionym, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, w tym opiniowanie i inicjowanie wdrażania skutecznych:

a) zasad fizycznego zabezpieczenia pomieszczeń przetwarzania danych osobowych,

b) procedur napraw, konserwacji i likwidacji urządzeń, na których zapisane są dane osobowe,

c) procedur przydziału identyfikatorów, rejestracji i zarządzania hasłami użytkowników posiadających uprawnienia do przetwarzania danych,

d) procedur tworzenia, przechowywania i weryfikowania przydatności kopii awaryjnych, na których zapisywane są dane osobowe,

e) procedur transmisji danych osobowych w sieci komputerowej oraz przesyłania tych danych za pośrednictwem urządzeń teletransmisji,

f) procedur obiegu oraz przechowywania dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny.

Zadania, o których mowa w lit. a–e, są wykonywane w porozumieniu z zastępcą ABI, o którym mowa w § 3 ust. 3;

3) opracowywanie i uaktualnianie następujących dokumentów:

a) polityka bezpieczeństwa ochrony danych osobowych,

b) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – we współpracy, w tym na uzasadniony wniosek zastępcy ABI wskazanego

c) w § 3 ust. 3, o ile zastępca ABI został powołany, z dyrektorem komórki właściwej zgodnie z regulaminem organizacyjnym Ministerstwa w sprawach funkcjonowania systemu informatycznego lub na jego uzasadniony wniosek;

4) nadzorowanie przestrzegania przepisów w zakresie ochrony danych osobowych oraz zasad i procedur wynikających z dokumentów, o których mowa w pkt 3, poprzez przeprowadzanie kontroli pomieszczeń, dokumentów, stanowisk pracy, systemów informatycznych w przypadkach stwierdzenia lub podejrzenia naruszenia obowiązujących przepisów lub procedur;

5) reagowanie – we współpracy z zastępcą ABI wskazanym w § 3 ust. 3 lub z dyrektorem, o którym mowa w pkt 3 lit. b, o ile zagrożenia zostały zdiagnozowane w systemie informatycznym Ministerstwa – na wszelkie sygnały o zagrożeniach bezpieczeństwa danych osobowych poprzez podejmowanie natychmiastowych działań doraźnych w celu usunięcia zagrożeń, a po ich zastosowaniu opracowanie wniosków i zaleceń oraz przedstawianie administratorowi danych propozycji systemowego przeciwdziałania takim wypadkom;

6) przygotowywanie i przekazywanie Generalnemu Inspektorowi Ochrony Danych Osobowych zgłoszeń do rejestracji lub zmian w zgłoszeniach zbiorów danych osobowych w zakresie zbiorów zawierających dane wrażliwe, określone w art. 27 ust. 1 ustawy o ochronie danych osobowych, przetwarzanych w Ministerstwie i powiadamianie o takich zdarzeniach administratora danych;

7) opiniowanie projektów aktów prawnych zawierających regulacje dotyczące ochrony danych osobowych, inicjowanie zmian przepisów wewnętrznych w tym zakresie oraz dokonywanie interpretacji przepisów w zakresie ochrony danych osobowych we współpracy z komórką właściwą w sprawach prawnych;

8) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w Ministerstwie;

9) opiniowanie projektów umów i prowadzenie ewidencji umów z podmiotami zewnętrznymi, skutkujących dostępem do danych osobowych lub powierzeniem przetwarzania danych osobowych, których administratorem jest Minister lub Dyrektor Generalny;

10) szkolenie osób przetwarzających dane osobowe w Ministerstwie, wydawanie i aktualizacja upoważnień do przetwarzania danych osobowych we współpracy z administratorami merytorycznymi ZSI lub innymi wyznaczonymi w tym celu osobami;

11) wykonywanie innych czynności z zakresu ochrony danych osobowych wskazanych przez administratora danych.

4. ABI zabezpiecza przechowywane dane, dokumenty, materiały i opracowania przed dostępem osób nieuprawnionych oraz stosuje adekwatne środki bezpieczeństwa i ochrony przewidziane odpowiednimi przepisami.

5. Stanowisko ABI powinno znajdować się w osobnym pomieszczeniu, ograniczającym dostęp osobom nieuprawnionym oraz zapewniającym bezpieczne przechowywanie dokumentów w szafach zabezpieczonych zamkami.

§ 3

1. Wykonywanie zadań i kompetencji administratora danych, w zakresie danych osobowych przetwarzanych w Ministerstwie, w tym nadzór nad wykonywaniem zadań przez ABI, powierza się Dyrektorowi Generalnemu.

2. Dyrektor Generalny zgłasza Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestru ABI powołanie, odwołanie oraz zmianę informacji objętych zgłoszeniem, dotyczące osoby pełniącej funkcję ABI w Ministerstwie, zgodnie z wzorem zawartym w odpowiednim rozporządzeniu wydanym przez ministra właściwego do spraw administracji publicznej.

3. W przypadku potrzeby wsparcia lub zastępstwa dla ABI, administrator danych może powołać zastępców ABI. Wymagania dla osób powoływanych oraz tryb powołania i odwołania zastępców ABI określa dokument „Polityka bezpieczeństwa ochrony danych osobowych w Ministerstwie Skarbu Państwa.”.

4. Upoważnia się Dyrektora Generalnego do wydawania oraz dokonywania zmian w dokumentach „Polityka bezpieczeństwa ochrony danych osobowych w Ministerstwie Skarbu Państwa” oraz „Instrukcja zarządzania systemem informatycznym w Ministerstwie Skarbu Państwa”, w trybie zarządzenia.

§ 4

Przetwarzanie danych osobowych w Ministerstwie następuje zgodnie z „Polityką bezpieczeństwa ochrony danych osobowych w Ministerstwie Skarbu Państwa” oraz „Instrukcją zarządzania systemem informatycznym w Ministerstwie Skarbu Państwa”.

§ 5

1. Dyrektorzy komórek organizacyjnych Ministerstwa przekazują ABI oraz aktualizują na bieżąco:

1) nazwiska osób, które przetwarzają dane osobowe w rozumieniu art. 7 pkt 2 ustawy o ochronie danych osobowych, tj. dokonują jakichkolwiek operacji wykonywanych na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza tych, które wykonuje się w systemach informatycznych;

2) nazwiska osób wytypowanych w komórce organizacyjnej do bieżących kontaktów z ABI w zakresie ochrony danych osobowych;

3) informacje o zagrożeniach lub niedociągnięciach systemu ochrony przetwarzanych danych osobowych wynikających z przepisów prawa w tym zakresie lub innych napotykanych w procesach przetwarzania danych, wraz z sugestiami wskazującymi metody eliminowania takich zagrożeń;

4) kopie podpisanych umów, których skutkiem jest dostęp podmiotów zewnętrznych do danych osobowych gromadzonych w systemie informatycznym Ministerstwa lub umów powierzających przetwarzanie danych osobowych innym podmiotom.

2. Osoby, o których mowa w ust. 1 pkt 2, zobowiązane są do ścisłej współpracy z ABI w zakresie stosowania i uaktualniania dokumentów:

1) „Polityka bezpieczeństwa ochrony danych osobowych w Ministerstwie Skarbu Państwa”;

2) „Instrukcja zarządzania systemem informatycznym w Ministerstwie Skarbu Państwa”.

§ 6

Komórki organizacyjne zobowiązane są do zamieszczania w zawieranych umowach odpowiedniej klauzuli powierzającej innemu podmiotowi przetwarzanie danych osobowych, jeśli wykonanie umowy jest związane z przetwarzaniem danych osobowych ze zbiorów danych osobowych Ministerstwa lub zakłada utworzenie takich zbiorów na zlecenie Ministerstwa, o ile administratorem danych nowo tworzonego zbioru będzie Minister lub Dyrektor Generalny.

§ 7

Zobowiązuje się dyrektorów komórek organizacyjnych Ministerstwa do ścisłej współpracy z ABI w zakresie stosowania i uaktualniania w urzędzie procedur i środków ochrony danych osobowych.

§ 8

1. Osoba przetwarzająca dane osobowe, dla których administratorem danych jest Minister lub Dyrektor Generalny, jest zobowiązana posiadać imienne upoważnienie do przetwarzania danych osobowych.

2. Do wydawania imiennych upoważnień do przetwarzania danych osobowych upoważnia się ABI, w uzasadnionych przypadkach upoważnienie może być wydane przez administratora danych lub zastępcę ABI.

3. Wzory upoważnień do przetwarzania danych osobowych stanowią odpowiednio załączniki Nr 1–6 do zarządzenia.

4. Wzory upoważnień, o których mowa w ust. 3, mogą być w uzasadnionych przypadkach modyfikowane przez ABI, poprzez dostosowanie do innych faktycznych przypadków przetwarzania danych osobowych, niezbędnych do przestrzegania procedur ochrony danych osobowych.

5. Osoba upoważniona do przetwarzania danych osobowych zobowiązana jest do złożenia oświadczenia o treści określonej w załącznikach Nr 1–6 do zarządzenia, albo określonej w sposób, o którym mowa w ust. 4.

§ 9

1. Upoważnienia wydane na mocy zarządzenia Nr 34 Ministra Skarbu Państwa z dnia 21 lipca 2010 r. w sprawie ochrony danych osobowych w Ministerstwie Skarbu Państwa zachowują moc.

2. Wprowadzona do stosowania zarządzeniem Nr 18 Ministra Skarbu Państwa z dnia 13 czerwca 2006 r. w sprawie ochrony danych osobowych w Ministerstwie Skarbu Państwa „Instrukcja zarządzania systemem informatycznym w Ministerstwie Skarbu Państwa” obowiązuje do czasu wejścia w życie odpowiedniego zarządzenia Dyrektora Generalnego.

§ 10

1. Z dniem wejścia w życie niniejszego zarządzania, powołuje się ABI w osobie dotychczasowego pełnomocnika ds. ochrony danych osobowych.

2. Zadania Pełnomocnika do spraw ochrony danych osobowych określone w innych przepisach wewnętrznych, wykonywał będzie ABI powołany na podstawie niniejszego zarządzenia.

§ 11

Traci moc zarządzenie Nr 34 Ministra Skarbu Państwa z dnia 21 lipca 2010 r. w sprawie ochrony danych osobowych w Ministerstwie Skarbu Państwa.

§ 12

Zarządzenie wchodzi w życie z dniem podpisania.