Na podstawie art. 34 ust. 1 i art. 34a ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392, z 2015 r. poz. 1064, z 2018 r. poz. 1669 oraz z 2019 r. poz. 271) oraz art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) zarządza się, co następuje:

§ 1.1. Minister Edukacji Narodowej, zwany dalej "Ministrem", powierza Ośrodkowi Rozwoju Edukacji w Warszawie, zwanemu dalej "ORE", przetwarzanie danych osobowych w celu i w zakresie niezbędnym do wsparcia organizacji przez Ministra Edukacji Narodowej w roku 2019 konferencji "Szkoła Przyszłości - jak się skutecznie uczyć?", zwanej dalej "konferencją".

2. Dane osobowe, o których mowa w ust. 1, obejmują:

1) dane osobowe osób, które zgłoszą się do udziału w konferencji: imię i nazwisko, data urodzenia, numer PESEL, adres poczty elektronicznej, nr telefonu, miejsce zamieszkania (województwo), uczelnia lub szkoła, do której uczęszcza, organizacja młodzieżowa lub inny podmiot, do którego należy lub z którym współpracuje, miejsce zatrudnienia, wizerunek i wypowiedzi;

2) dane osobowe rodziców lub opiekunów prawnych niepełnoletnich osób, które zgłoszą się do udziału w konferencji: adres poczty elektronicznej, nr telefonu;

3) dane osobowe pracowników Ministerstwa Edukacji Narodowej: imię i nazwisko, numer PESEL, pełniona funkcja lub zajmowane stanowisko, adres poczty elektronicznej, nr telefonu.

3. Przetwarzanie danych osobowych, o których mowa w ust. 1, powierza się do dnia 30 kwietnia 2019 r.

4. Dane osobowe, o których mowa w ust. 1, są przetwarzane w postaci papierowej oraz elektronicznej (w systemach teleinformatycznych, na informatycznych nośnikach danych, w środkach komunikacji elektronicznej).

§ 2.Niniejsze zarządzenie stanowi udokumentowane polecenie Ministra w rozumieniu art. 28 ust. 3 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "rozporządzeniem 2016/679", na podstawie którego ORE przetwarza powierzone dane osobowe, o których mowa w § 1.

§ 3.Na powierzonych danych osobowych ORE wykonuje następujące operacje przetwarzania: przechowywanie dokumentów w postaci papierowej, przechowywanie na infrastrukturze serwerowej, zabezpieczanie, kopiowanie, w tym tworzenie kopii zapasowych, odzyskiwanie, odczytywanie, opracowywanie, formatowanie, importowanie do systemów teleinformatycznych, a także przekazywanie, udostępnianie, usuwanie lub niszczenie, zgodnie z ustaleniami przekazanymi przez Ministra.

§ 4.ORE przetwarzając powierzone dane osobowe:

1) stosuje środki zabezpieczenia określone w art. 32 rozporządzenia 2016/679, przy czym wdrożone środki zabezpieczenia muszą być adekwatne do zidentyfikowanych ryzyk dla zakresu powierzonego przetwarzania danych osobowych;

2) udziela pomocy administratorowi w zakresie:

a) realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia 2016/679,

b) zapewnienia realizacji obowiązków wynikających z art. 32-36 rozporządzenia 2016/679;

3) niezwłocznie - nie później niż w ciągu 36 godzin od jego wystąpienia - zgłasza administratorowi każde naruszenie danych osobowych lub jego podejrzenie, którego będzie uczestnikiem, lub o którym poweźmie informację;

4) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679;

5) niezwłocznie, na wniosek administratora, udziela wszelkich informacji lub okazuje wszelkie niezbędne dokumenty związane ze środkami zabezpieczenia, o których mowa w pkt 1, z systemami teleinformatycznymi, w których są przetwarzane powierzone dane osobowe, oraz z osobami upoważnionymi do ich przetwarzania;

6) umożliwia administratorowi, na każde żądanie, przeprowadzenie kontroli, audytu lub inspekcji w zakresie zapewnienia właściwej ochrony danych osobowych oraz aktywnie w nich uczestniczy;

7) niezwłocznie informuje administratora, jeżeli zdaniem ORE wydane mu polecenie stanowi naruszenie rozporządzenia 2016/679 lub innych obowiązujących przepisów;

8) niezwłocznie informuje administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez ORE powierzonych mu danych osobowych, a także o wszelkich planowanych lub realizowanych w ORE kontrolach i audytach dotyczących tych danych osobowych.

§ 5.1. ORE prowadzi ewidencję upoważnionych osób, które będą przetwarzać powierzone dane osobowe.

2. Na każde żądanie administratora ORE przedstawia ewidencję, o której mowa w ust. 1, zawierającą imiona i nazwiska upoważnionych osób, zakres rzeczowy upoważnienia oraz datę rozpoczęcia obowiązywania upoważnienia i jego zakończenia.

§ 6.1. ORE zapoznaje osoby upoważnione, o których mowa w § 5 ust. 1, z przepisami rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz informuje je o odpowiedzialności za nieprzestrzeganie tych przepisów.

2. Osoby upoważnione, o których mowa w § 5 ust. 1, są zobowiązane do przestrzegania przepisów rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia, a także do złożenia oświadczenia w tym przedmiocie.

3. ORE prowadzi ewidencję złożonych oświadczeń, o których mowa w ust. 2.

§ 7.1. Korzystanie przez ORE z usług innego podmiotu przetwarzającego wymaga uprzedniej zgody Ministra, z zastrzeżeniem ust. 2.

2. Minister wyraża zgodę na powierzenie przez ORE przetwarzania danych osobowych, o których mowa w § 1, Centrum Informatycznemu Edukacji w zakresie usług informatycznych świadczonych na rzecz ORE.

3. W przypadku korzystania z usług innego podmiotu przetwarzającego, niezgodnie z ust. 1 lub 2, ORE ponosi pełną odpowiedzialność za działania tego podmiotu.

4. Jeżeli podmiot, o którym mowa w ust. 1 lub 2, nie wywiąże się ze spoczywających na nim obowiązków w zakresie ochrony danych osobowych, pełną odpowiedzialność wobec Ministra za wypełnienie obowiązków tego podmiotu ponosi ORE.

§ 8.1. W przypadku, o którym mowa w § 7 ust. 1, ORE zapewnia, w szczególności stosując odpowiednie klauzule umowne w pisemnych umowach zawieranych z innym podmiotem przetwarzającym, że podmiot ten spełnia wymagania określone w art. 32 rozporządzenia 2016/679.

2. ORE nakłada na podmiot przetwarzający, z którego usług będzie korzystać, obowiązek niezwłocznego - nie później niż w ciągu 24 godzin - zgłoszenia ORE stwierdzonego naruszenia ochrony danych osobowych lub jego podejrzenia, zgodnie z art. 33 ust. 2 rozporządzenia 2016/679.

3. ORE ma obowiązek niezwłocznego - nie później niż w ciągu 24 godzin od momentu otrzymania od podmiotu przetwarzającego zgłoszenia, o którym mowa w ust. 2 - przekazania zgłoszenia Ministrowi.

§ 9.ORE lub podmiot przetwarzający, z którego usług ORE będzie korzystać, nie mogą przekazywać powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej bez wyraźnego polecenia lub wyraźnej zgody Ministra.

§ 10.ORE, w terminie, o którym mowa w § 1 ust. 3, zwraca Ministrowi powierzone dane osobowe, a kopie tych danych usuwa w uzgodnieniu z Ministrem, chyba, że przepisy prawa nakazują dalsze przechowywanie.

§ 11.Zarządzenie wchodzi w życie z dniem podpisania.