§ 1. W zarządzeniu Ministra Funduszy i Polityki Regionalnej z dnia 14 stycznia 2022 r. w sprawie Polityki ochrony danych osobowych w Ministerstwie Funduszy i Polityki Regionalnej (Dz. Urz. Min. Fun. i Pol. Reg. poz. 1) w załączniku wprowadza się następujące zmiany:

1) w § 7 w ust. 5 wprowadzenie do wyliczenia otrzymuje brzmienie:

„Analizę ryzyka naruszenia praw lub wolności osób fizycznych oraz analizę DPIA ponawia się na wniosek pełnomocnika do spraw bezpieczeństwa informacji w Ministerstwie oraz w przypadku wprowadzenia istotnych zmian w czynności przetwarzania danych osobowych, w szczególności dotyczących:";

2) w § 9 ust. 2 otrzymuje brzmienie:

„2. Dane udostępnia się na wniosek uprawnionego podmiotu zawierający podstawę prawną do udostępnienia danych albo na podstawie umowy lub porozumienia.";

3) w § 10:

a) ust. 2 otrzymuje brzmienie:

„2. Komórka organizacyjna - za pośrednictwem EZD - udostępnia do BPB oraz IOD aktualny rejestr zawartych umów/porozumień w sprawie udostępnienia danych osobowych dwa razy w roku - w styczniu i w lipcu, w przypadku wprowadzenia w nim zmian. BPB monitoruje poprawność przekazywanych rejestrów.",

b) dodaje się ust. 3 w brzmieniu:

„3. Dyrektor BPB może zwrócić się do komórki organizacyjnej o udostępnienie aktualnego rejestru zawartych umów/porozumień w sprawie udostępnienia danych osobowych także w innym czasie.";

4) § 13 otrzymuje brzmienie:

„§ 13. 1. Komórka organizacyjna prowadzi rejestr zawartych umów powierzenia przetwarzania danych osobowych. Wzór rejestru jest określony w załączniku nr 1 do Polityki.

2. Komórka organizacyjna - za pośrednictwem EZD - udostępnia do BPB oraz IOD aktualny rejestr zawartych umów powierzenia przetwarzania danych osobowych dwa razy w roku - w styczniu i w lipcu, w przypadku wprowadzenia w nim zmian. BPB monitoruje poprawność przekazywanych rejestrów.

3. Dyrektor BPB może zwrócić się do komórki organizacyjnej o udostępnienie aktualnego rejestru zawartych umów powierzenia przetwarzania danych osobowych także w innym czasie.";

5) w § 14 w:

a) ust. 2 wyrazy „Umowę/porozumienie o współadministrowaniu" zastępuje się wyrazami „Umowę/porozumienie w sprawie współadministrowania",

b) ust. 4 wyrazy „umowy/porozumienia współadministrowania" zastępuje się wyrazami „umowy/porozumienia w sprawie współadministrowania";

6) § 15 i § 16 otrzymują brzmienie:

„§ 15. 1. Komórka organizacyjna prowadzi rejestr zawartych umów/porozumień w sprawie współadministrowania. Wzór rejestru jest określony w załączniku nr 1 do Polityki.

2. Komórka organizacyjna - za pośrednictwem EZD - udostępnia do BPB oraz IOD aktualny rejestr zawartych umów/porozumień w sprawie współadministrowania dwa razy w roku - w styczniu i lipcu, w przypadku wprowadzenia w nim zmian. BPB monitoruje poprawność przekazywanych rejestrów.

3. Dyrektor BPB może zwrócić się do komórki organizacyjnej o udostępnienie aktualnego rejestru zawartych umów/porozumień w sprawie współadministrowania także w innym czasie.

§ 16. 1. BPB prowadzi rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania danych osobowych, których wzory określają odpowiednio załącznik nr 2 i nr 3 do Polityki, oraz odpowiada za kompletność i spójność tych rejestrów.

2. Wpis do rejestrów, o których mowa w ust. 1, dokonywany jest na wniosek:

1) właściwej komórki organizacyjnej - po przeprowadzeniu przez nią analiz ryzyka, o których mowa w § 6 i 7, i uzyskaniu opinii IOD;

2) BPB:

a) w przypadkach, o których mowa w § 17 - po uzyskaniu niezbędnego wkładu od komórki organizacyjnej, której czynność przetwarzania dotyczy, do sporządzenia analiz, o których mowa w § 6 i 7, i uzyskaniu opinii IOD,

b) na podstawie rekomendacji IOD - po uzyskaniu niezbędnego wkładu od komórki organizacyjnej, której czynność przetwarzania dotyczy, do sporządzenia analiz, o których mowa w § 6 i 7, i uzyskaniu opinii IOD.

3. Komórka organizacyjna wnioskująca o wpis do rejestrów, o których mowa w ust. 1, odpowiada za niezwłoczne zgłoszenie planowanych czynności przetwarzania i merytoryczną poprawność przekazanych danych.

4. Zmiany w rejestrach, o których mowa w ust. 1, zatwierdza dyrektor BPB na wniosek dyrektora, który dołącza do wniosku uprzednio uzyskaną opinię IOD.

5. Zatwierdzone rejestry, o których mowa w ust. 1, są publikowane przez BPB w intranecie.";

7) w § 17 dodaje się zdanie drugie w brzmieniu:

„Dyrektor BPB wpisuje czynność do rejestru po uzyskaniu niezbędnego wkładu od komórki organizacyjnej, której czynność przetwarzania dotyczy, do sporządzenia analiz, o których mowa w § 6 i 7, i uzyskaniu opinii IOD.";

8) uchyla się § 23;

9) w § 26 ust. 1 otrzymuje brzmienie:

„1. Za naruszenie obowiązków w zakresie ochrony danych osobowych, pracownicy podlegają odpowiedzialności na podstawie przepisów prawa powszechnie obowiązującego, w tym UODO, odpowiedzialności dyscyplinarnej wynikającej z przepisów ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. z 2022 r. poz. 1691) lub porządkowej wynikającej z przepisów prawa pracy.";

10) w § 28 zdanie drugie otrzymuje brzmienie:

„Sposób postępowania wskazano w procedurze postępowania ze zgłoszeniami związanymi z bezpieczeństwem informacji w Ministerstwie.";

11) w § 32 po ust. 3 dodaje się ust. 3a w brzmieniu:

„3a.Wyznaczenie pełnomocnika do spraw ochrony danych osobowych w komórce organizacyjnej realizującej zadania związane z obsługą Ministra pełniącego funkcję instytucji zarządzającej programem operacyjnym lub programami i w komórce organizacyjnej odpowiedzialnej za koordynację zadań związanych z obsługą Ministra pełniącego funkcję instytucji zarządzającej lub programów, jest obligatoryjne. Funkcji pełnomocnika i koordynatora do spraw ochrony danych osobowych nie może pełnić dyrektor.";

12) w § 33:

a) ust. 2 otrzymuje brzmienie:

„2. Do zadań dyrektora komórki organizacyjnej realizującej zadania związane z obsługą Ministra pełniącego funkcję instytucji zarządzającej programem operacyjnym lub programem oraz dyrektora komórki organizacyjnej odpowiedzialnej za koordynację realizacji programów operacyjnych lub programów należy wykonywanie czynności administratora, o których mowa w ust. 1, a ponadto opracowanie projektów wewnętrznych aktów normatywnych, metodyk, wytycznych, instrukcji, zaleceń, wzorów dokumentów oraz standardowych środków organizacyjnych i technicznych przetwarzania danych osobowych regulujących zasady przetwarzania danych osobowych w programach operacyjnych albo w CST wspierającym realizację programów operacyjnych oraz CST2021 wspierającym realizację programów FE, KPO i pobrexitowej rezerwy dostosowawczej - w zakresie właściwości tych komórek organizacyjnych, o ile jest to uzasadnione specyfiką przetwarzania danych osobowych w powyższych obszarach.",

b) uchyla się ust. 5;

13) w § 34:

a) w ust. 1:

- pkt 2 otrzymuje brzmienie:

„2) prowadzenie rejestru upoważnień do przetwarzania danych osobowych, o którym mowa w § 21, i dokonywanie przeglądu tych upoważnień;",

- pkt 4 otrzymuje brzmienie:

„4) koordynacja procesu przetwarzania danych osobowych w Ministerstwie, w szczególności opracowywanie, aktualizacja i publikowanie w intranecie Ministerstwa wzorów dokumentów, instrukcji, standardowych środków organizacyjnych i technicznych przetwarzania danych osobowych oraz metodyki sporządzania analizy ryzyka zagrożeń i analizy DPIA, a także formułowanie zaleceń i wytycznych - z własnej inicjatywy albo na polecenie dyrektora generalnego;",

- dodaje się pkt 6 w brzmieniu:

„6) przygotowanie w pierwszym kwartale każdego roku raportu podsumowującego funkcjonowanie systemu ochrony danych osobowych w Ministerstwie za rok poprzedni i przedłożenie go dyrektorowi generalnemu do zatwierdzenia.",

b) ust. 4 otrzymuje brzmienie:

„4. Stosowanie wytycznych, instrukcji, metodyk oraz standardowych środków organizacyjnych i technicznych przetwarzania danych osobowych jest obowiązkowe.";

14) w § 41 w ust. 1 pkt 5 otrzymuje brzmienie:

„5) zapewnia koordynację procesu zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;";

15) w § 45:

a) ust. 5 otrzymuje brzmienie:

„5. Z przeprowadzonych czynności sprawdzających lub kontrolnych sporządzane jest sprawozdanie w formie pisemnej: papierowej lub elektronicznej.",

b) dodaje się ust. 6 w brzmieniu:

„6. Niezwłocznie po zakończeniu czynności sprawdzających lub kontrolnych:

1) dyrektor BPB - przedkłada sprawozdanie dyrektorowi generalnemu do zatwierdzenia, a także do wiadomości właściwemu członkowi kierownictwa Ministerstwa, nadzorującemu komórkę organizacyjną objętą czynnościami kontrolnymi;

2) IOD - przedkłada sprawozdanie do wiadomości dyrektorowi generalnemu oraz właściwemu członkowi kierownictwa Ministerstwa, nadzorującemu komórkę organizacyjną objętą czynnościami sprawdzającymi.";

16) w § 47 dodaje się ust. 3 w brzmieniu:

„3. Szkolenia mogą być prowadzone wewnętrznie lub przez wyspecjalizowane w tym zakresie podmioty zewnętrzne oraz w formie e-learningu.";

17) § 48 otrzymuje brzmienie:

„§ 48. IOD prowadzi działania zwiększające świadomość pracowników uczestniczących w operacjach przetwarzania, w tym w szczególności prowadzi szkolenia dla nowych pracowników Ministerstwa.".

§ 2. Wnioski o udostępnienie danych osobowych, o których mowa w § 9 ust. 2 załącznika do zarządzenia zmienianego w § 1 w brzmieniu dotychczasowym, złożone i nie rozpatrzone przed dniem wejścia w życie niniejszego zarządzenia, podlegają rozpatrzeniu bez konieczności ich uzupełnienia w zakresie podstawy prawnej do udostępnienia danych osobowych.

§ 3. Pierwszy raport podsumowujący funkcjonowanie systemu ochrony danych osobowych, o którym mowa w § 34 ust. 1 pkt 6 załącznika do zarządzenia zmienianego w § 1 w brzmieniu nadanym niniejszym zarządzeniem, dyrektor BPB przygotowuje i przedkłada dyrektorowi generalnemu do zatwierdzenia do końca maja 2023 r.

§ 4. 1. Upoważnienia do przetwarzania danych osobowych oraz pełnomocnictwa w zakresie przetwarzania danych osobowych udzielone przed dniem wejścia w życie niniejszego zarządzenia pozostają w mocy.

2.Wyznaczenia pełnomocników do spraw ochrony danych osobowych lub ich zastępców oraz koordynatorów do spraw ochrony danych osobowych lub ich zastępców dokonane przed dniem wejścia w życie niniejszego zarządzenia pozostają w mocy.

§ 5. Użytkownicy, w terminie 14 dni od dnia wejścia w życie zarządzenia albo 14 dni od dnia nawiązania stosunku prawnego zobowiązującego ich do stosowania zarządzenia, potwierdzają zapoznanie się z jego treścią na piśmie lub w innej formie, która w sposób jednoznaczny zapewni potwierdzenie tego faktu w zakresie spełnienia zasady rozliczalności. Dyrektor komórki organizacyjnej właściwej do spraw koordynacji ochrony danych osobowych określi sposób i formę potwierdzenia czynności zapoznania się z treścią zarządzenia.

§ 6. Zarządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.