§ 1. 1. Centrum Informatycznemu Edukacji, zwanemu dalej "CIE", powierza się na czas nieokreślony, w celu wykonywania działalności, o której mowa w Statucie CIE, oraz zgodnie z udokumentowanymi poleceniami lub instrukcjami administratora, przetwarzanie danych osobowych pracowników i byłych pracowników Ministerstwa Edukacji i Nauki, zwanego dalej "Ministerstwem", pracowników instytucji i podmiotów, z którymi współpracuje bądź współpracowało Ministerstwo, oraz interesantów Ministerstwa i innych osób, których danymi dysponuje Ministerstwo, w zakresie określonym odrębnymi przepisami lub w zakresie niezbędnym do realizacji zadań Ministra Edukacji i Nauki, zwanego dalej "Ministrem", i Ministerstwa.

2. Dane osobowe, o których mowa w ust. 1, znajdują się w systemach teleinformatycznych, na informatycznych nośnikach danych oraz w środkach komunikacji elektronicznej wykorzystywanych przez Ministerstwo.

§ 2. Na danych osobowych, o których mowa w § 1, CIE wykonuje następujące operacje przetwarzania: przechowywanie na infrastrukturze serwerowej, zabezpieczanie, kopiowanie, w tym tworzenie kopii zapasowych, odzyskiwanie, odczytywanie, opracowywanie, formatowanie, importowanie do systemów teleinformatycznych, a także przekazywanie, udostępnianie, usuwanie lub niszczenie, zgodnie z przyjętymi w Ministerstwie regulacjami wewnętrznymi dotyczącymi bezpieczeństwa informacji, w tym ochrony danych osobowych, a w zakresie nieuregulowanym w tych dokumentach - zgodnie z poleceniem kierującego komórką organizacyjną wymienioną w Statucie Ministerstwa lub osoby go zastępującej.

§ 3. CIE przetwarzając dane osobowe, o których mowa w § 1:

1) stosuje środki zabezpieczenia określone w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "rozporządzeniem 2016/679", przy czym wdrożone środki zabezpieczenia muszą być adekwatne do zidentyfikowanych ryzyk dla zakresu powierzonego przetwarzania danych osobowych, o których mowa w § 1;

2) udziela pomocy administratorowi w zakresie:

a) realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia 2016/679,

b) zapewnienia realizacji obowiązków wynikających z art. 32-36 rozporządzenia 2016/679;

3) niezwłocznie - nie później niż w ciągu 24 godzin od jego stwierdzenia - zgłasza administratorowi każde naruszenie danych osobowych lub jego podejrzenie;

4) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679;

5) niezwłocznie, na wniosek administratora, udziela wszelkich informacji lub okazuje wszelkie niezbędne dokumenty związane ze środkami zabezpieczenia, o których mowa w pkt 1 i 2, systemami teleinformatycznymi, w których są przetwarzane dane osobowe, o których mowa w § 1, oraz osobami upoważnionymi do ich przetwarzania;

6) umożliwia administratorowi, na każde żądanie, przeprowadzenie kontroli, audytu lub inspekcji w zakresie zapewnienia właściwej ochrony danych osobowych oraz aktywnie w nich uczestniczy;

7) niezwłocznie informuje administratora, jeżeli zdaniem CIE, wydane mu polecenie stanowi naruszenie rozporządzenia 2016/679 lub innych przepisów;

8) niezwłocznie informuje administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub karnym, dotyczącym przetwarzania przez CIE danych osobowych, o których mowa w § 1, a także o wszelkich planowanych lub realizowanych w CIE kontrolach i audytach dotyczących tych danych osobowych.

§ 4. 1. CIE nadaje upoważnienia do przetwarzania danych osobowych osobom, które będą przetwarzały dane osobowe, o których mowa w § 1.

2. CIE prowadzi ewidencję wydanych upoważnień, o których mowa w ust. 1.

3. Na każde żądanie administratora, CIE przedstawia ewidencję osób, którym udzielono (cofnięto) upoważnienia, zawierającą ich imiona i nazwiska, zakres rzeczowy upoważnienia oraz datę rozpoczęcia obowiązywania upoważnienia i jego zakończenia.

§ 5. 1. CIE zapoznaje osoby upoważnione, o których mowa w § 4 ust. 1, z przepisami rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz informuje je o odpowiedzialności za nieprzestrzeganie tych przepisów.

2. Osoby upoważnione, o których mowa w § 4 ust. 1, są zobowiązane do przestrzegania przepisów rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia, a także do złożenia oświadczenia w tym przedmiocie.

§ 6. 1. Korzystanie przez CIE z usług innego podmiotu przetwarzającego wymaga uprzedniej zgody Ministra.

2. W przypadku korzystania z usług innego podmiotu przetwarzającego, CIE ponosi pełną odpowiedzialność za działania tego podmiotu.

3. Jeżeli podmiot, o którym mowa w ust. 1, nie wywiąże się ze spoczywających na nim obowiązków w zakresie ochrony danych osobowych, pełną odpowiedzialność wobec Ministra za wypełnienie obowiązków tego podmiotu ponosi CIE.

§ 7. 1. W przypadku, o którym mowa w § 6 ust. 1, CIE zapewnia, w szczególności stosując odpowiednie klauzule umowne w pisemnych umowach zawieranych z innym podmiotem przetwarzającym, iż podmiot ten spełnia wymagania określone w przepisach, o których mowa w art. 32 rozporządzenia 2016/679.

2. Projekty umów, o których mowa w ust. 1, CIE przekazuje do zaopiniowania przez inspektora ochrony danych wyznaczonego przez Ministra, co najmniej na 7 dni roboczych przed planowanym terminem podpisania umowy.

3. Kopię umowy, o której mowa w ust. 1, CIE przekazuje niezwłocznie po jej zawarciu do inspektora ochrony danych wyznaczonego przez Ministra.

4. CIE nakłada na podmiot, o którym mowa w ust. 1, obowiązek niezwłocznego - nie później niż w ciągu 24 godzin - zgłoszenia CIE stwierdzonego naruszenia ochrony danych osobowych lub jego podejrzenia, zgodnie z art. 33 ust. 2 rozporządzenia 2016/679.

5. W przypadkach, o których mowa w ust. 4, CIE ma obowiązek niezwłocznego - nie później niż w ciągu 24 godzin od momentu otrzymania zgłoszenia od podmiotu, o którym mowa w ust. 1 - przekazania zgłoszenia Ministrowi.

§ 8. CIE lub podmiot przetwarzający, o którym mowa § 7 ust. 1, nie mogą przekazywać danych osobowych, o których mowa w § 1, do państwa trzeciego lub organizacji międzynarodowej bez wyraźnego polecenia lub wyraźnej zgody Ministra, chyba że obowiązek taki nakładają powszechnie obowiązujące przepisy prawa.

§ 9. W przypadku zakończenia przetwarzania danych osobowych, o których mowa w § 1, CIE - w uzgodnieniu z administratorem - usuwa wszelkie dane osobowe (oraz ich kopie), które zostały mu powierzone, lub przekazuje je do Ministerstwa.

§ 10. Traci moc zarządzenie nr 17 Ministra Edukacji Narodowej z dnia 28 maja 2018 r. w sprawie powierzenia Centrum Informatycznemu Edukacji przetwarzania danych osobowych, których administratorem lub podmiotem przetwarzającym jest Minister Edukacji Narodowej.

§ 11. Zarządzenie wchodzi w życie z dniem ogłoszenia.