Wersja obowiązująca od 2026.04.03

Art. 39. [Przetwarzanie danych pozyskanych w związku z incydentami i cyberzagrożeniami ] 1. [245] W celu realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 16–21 i ust. 5–8, art. 26a–26c oraz art. 44 ust. 1–1c i 3, CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowe przetwarzają dane pozyskane w związku z incydentami i cyberzagrożeniami, w tym dane osobowe, obejmujące także dane określone w art. 9 ust. 1 i art. 10 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej „rozporządzeniem 2016/679”, w zakresie i w celu niezbędnym do realizacji tych zadań.

2. [246] CSIRT MON, CSIRT NASK i CSIRT sektorowe, przetwarzając dane osobowe określone w art. 9 ust. 1 i art. 10 rozporządzenia 2016/679, prowadzą analizę ryzyka, stosują środki ochrony przed złośliwym oprogramowaniem oraz mechanizmy kontroli dostępu, a także opracowują procedury bezpiecznej wymiany informacji.

3. CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowe przetwarzają dane osobowe pozyskane w związku z incydentami i cyberzagrożeniami: [247]

1) dotyczące użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych;

2) dotyczące telekomunikacyjnych urządzeń końcowych w rozumieniu art. 2 pkt 71 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;

3) [248] gromadzone przez podmioty kluczowe lub podmioty ważne w związku ze świadczeniem usług;

4) [249] dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

4. W celu realizacji zadań określonych w ustawie minister właściwy do spraw informatyzacji, dyrektor Rządowego Centrum Bezpieczeństwa, Pełnomocnik, minister właściwy do spraw zagranicznych oraz organy właściwe do spraw cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i cyberzagrożeniami: [250]

1) [251] gromadzone przez podmioty kluczowe lub podmioty ważne w związku ze świadczeniem usług;

2) [252] (uchylony)

3) dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

4a. [253] Minister właściwy do spraw informatyzacji przetwarza dane osobowe zawierające imię i nazwisko oraz numer PESEL osób fizycznych lub niepowtarzalny identyfikator środka identyfikacji elektronicznej, o którym mowa w aktach wykonawczych Komisji Europejskiej, wydanych na podstawie art. 12 ust. 8 rozporządzenia 910/2014, które w imieniu podmiotu kluczowego lub podmiotu ważnego korzystają z systemu teleinformatycznego, o którym mowa w art. 46 ust. 1, w celu ich uwierzytelnienia w tym systemie.

5. [254] Dane, o których mowa w ust. 3 i 4, są anonimizowane przez CSIRT MON, CSIRT NASK i CSIRT sektorowy niezwłocznie po stwierdzeniu, że nie są niezbędne do realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 16–21 i ust. 5–8, art. 26a–26c oraz art. 44 ust. 1–1c i 3.

6. [255] Dane, o których mowa w ust. 3 i 4, niezbędne do realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 16–21 i ust. 5–8, art. 26a–26c oraz art. 44 ust. 1–1c i 3, są anonimizowane przez CSIRT MON, CSIRT NASK i CSIRT sektorowy po upływie 5 lat od zakończenia obsługi incydentu, którego dotyczą, z uwzględnieniem ust. 6a.

6a. [256] Dane, o których mowa w ust. 3 i 4, niezbędne do realizacji zadania, o którym mowa w art. 26a, są anonimizowane przez CSIRT NASK po upływie 5 lat od dnia ich pozyskania.

6b. [257] Dane, o których mowa w art. 26c ust. 2, są anonimizowane przez CSIRT NASK po upływie 5 lat od dnia ich pozyskania.

7. W celu realizacji zadań określonych w ustawie CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowe [258] mogą przekazywać sobie wzajemnie dane, o których mowa w ust. 3, w zakresie niezbędnym do realizacji tych zadań i współpracować z organem właściwym do spraw ochrony danych osobowych.

8. [259] Realizacja obowiązków wynikających z art. 15, art. 16, art. 18 ust. 1 lit. a i d oraz art. 19 zdanie drugie rozporządzenia 2016/679 przez CSIRT MON, CSIRT NASK i CSIRT sektorowe, w zakresie danych, o których mowa w ust. 3, jest możliwa dopiero po zakończeniu obsługi incydentu, w związku z którym dane zostały pozyskane, lub po zakończeniu obsługi incydentu, do którego obsługi te dane są niezbędne.

9. CSIRT MON, CSIRT NASK i CSIRT sektorowe [260] publikują na swoich stronach internetowych:

1) dane kontaktowe administratora danych osobowych oraz, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych osobowych;

2) cele przetwarzania i podstawę prawną przetwarzania;

3) kategorie przetwarzanych danych osobowych;

4) informacje o odbiorcach danych osobowych;

5) informacje o tym, przez jaki okres dane osobowe będą przechowywane;

6) informacje o ograniczeniach obowiązków i praw osób, których dane dotyczą;

7) informacje o prawie wniesienia skargi do organu właściwego do spraw ochrony danych osobowych;

8) źródło pochodzenia danych osobowych.

10. [261] Dane, o których mowa w ust. 4, są anonimizowane przez ministra właściwego do spraw informatyzacji, dyrektora Rządowego Centrum Bezpieczeństwa, Pełnomocnika, ministra właściwego do spraw zagranicznych oraz organy właściwe do spraw cyberbezpieczeństwa niezwłocznie po stwierdzeniu, że nie są niezbędne do realizacji zadań wynikających z ustawy, niepóźniej niż po 5 latach po ich uzyskaniu.

11. [262] Minister właściwy do spraw informatyzacji przetwarza dane osobowe, w tym dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, które zostały zawarte w stanowiskach zgłoszonych w ramach konsultacji publicznych projektu dokumentu, o którym mowa w art. 45 ust. 3.

[245] Art. 39 ust. 1 w brzmieniu ustalonym przez art. 1 pkt 41 lit. a) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[246] Art. 39 ust. 2 w brzmieniu ustalonym przez art. 1 pkt 41 lit. b) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[247] Art. 39 ust. 3 w brzmieniu ustalonym przez art. 1 pkt 41 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[248] Art. 39 ust. 3 pkt 3 w brzmieniu ustalonym przez art. 1 pkt 41 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[249] Art. 39 ust. 3 pkt 4 w brzmieniu ustalonym przez art. 1 pkt 41 lit. c) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[250] Art. 39 ust. 4 w brzmieniu ustalonym przez art. 1 pkt 41 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[251] Art. 39 ust. 4 pkt 1 w brzmieniu ustalonym przez art. 1 pkt 41 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[252] Art. 39 ust. 4 pkt 2 uchylony przez art. 1 pkt 41 lit. d) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[253] Art. 39 ust. 4a dodany przez art. 1 pkt 41 lit. e) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[254] Art. 39 ust. 5 w brzmieniu ustalonym przez art. 1 pkt 41 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[255] Art. 39 ust. 6 w brzmieniu ustalonym przez art. 1 pkt 41 lit. f) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[256] Art. 39 ust. 6a dodany przez art. 1 pkt 41 lit. g) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[257] Art. 39 ust. 6b dodany przez art. 1 pkt 41 lit. g) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[258] Art. 39 ust. 7 w brzmieniu ustalonym przez art. 1 pkt 41 lit. h) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[259] Art. 39 ust. 8 w brzmieniu ustalonym przez art. 1 pkt 41 lit. i) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[260] Art. 39 ust. 9 w brzmieniu ustalonym przez art. 1 pkt 41 lit. j) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[261] Art. 39 ust. 10 dodany przez art. 1 pkt 41 lit. k) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

[262] Art. 39 ust. 11 dodany przez art. 1 pkt 41 lit. k) ustawy z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. poz. 252). Zmiana weszła w życie 3 kwietnia 2026 r.

Wersja obowiązująca od 2026.04.03

3. CSIRT MON, CSIRT NASK, CSIRT GOV i CSIRT sektorowe przetwarzają dane osobowe pozyskane w związku z incydentami i cyberzagrożeniami: [247]

1) dotyczące użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych;

2) dotyczące telekomunikacyjnych urządzeń końcowych w rozumieniu art. 2 pkt 71 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;

3) [248] gromadzone przez podmioty kluczowe lub podmioty ważne w związku ze świadczeniem usług;

4) [249] dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

1) [251] gromadzone przez podmioty kluczowe lub podmioty ważne w związku ze świadczeniem usług;

2) [252] (uchylony)

3) dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

6a. [256] Dane, o których mowa w ust. 3 i 4, niezbędne do realizacji zadania, o którym mowa w art. 26a, są anonimizowane przez CSIRT NASK po upływie 5 lat od dnia ich pozyskania.

6b. [257] Dane, o których mowa w art. 26c ust. 2, są anonimizowane przez CSIRT NASK po upływie 5 lat od dnia ich pozyskania.

9. CSIRT MON, CSIRT NASK i CSIRT sektorowe [260] publikują na swoich stronach internetowych:

1) dane kontaktowe administratora danych osobowych oraz, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych osobowych;

2) cele przetwarzania i podstawę prawną przetwarzania;

3) kategorie przetwarzanych danych osobowych;

4) informacje o odbiorcach danych osobowych;

5) informacje o tym, przez jaki okres dane osobowe będą przechowywane;

6) informacje o ograniczeniach obowiązków i praw osób, których dane dotyczą;

7) informacje o prawie wniesienia skargi do organu właściwego do spraw ochrony danych osobowych;

8) źródło pochodzenia danych osobowych.

Wersja archiwalna obowiązująca od 2026.01.09 do 2026.04.02 (Dz.U.2026.20 tekst jednolity)

Art. 39. [Przetwarzanie danych pozyskanych w związku z incydentami i zagrożeniami cyberbezpieczeństwa] 1. W celu realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa, w tym dane osobowe, obejmujące także dane określone w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, w zakresie i w celu niezbędnym do realizacji tych zadań.

2. CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa, przetwarzając dane osobowe określone w art. 9 ust. 1 rozporządzenia 2016/679, prowadzą analizę ryzyka, stosują środki ochrony przed złośliwym oprogramowaniem oraz mechanizmy kontroli dostępu, a także opracowują procedury bezpiecznej wymiany informacji.

3. CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:

1) dotyczące użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych;

2) dotyczące telekomunikacyjnych urządzeń końcowych w rozumieniu art. 2 pkt 71 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej;

3) gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;

4) gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych, dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

4. W celu realizacji zadań określonych w ustawie minister właściwy do spraw informatyzacji, dyrektor Rządowego Centrum Bezpieczeństwa, Pełnomocnik oraz organy właściwe do spraw cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:

1) gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;

2) gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych;

3) dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

5. Dane, o których mowa w ust. 3 i 4, są usuwane lub anonimizowane przez CSIRT MON, CSIRT NASK i sektorowy zespół cyberbezpieczeństwa niezwłocznie po stwierdzeniu, że nie są niezbędne do realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3.

6. Dane, o których mowa w ust. 3 i 4, niezbędne do realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, są usuwane lub anonimizowane przez CSIRT MON, CSIRT NASK i sektorowy zespół cyberbezpieczeństwa w terminie 5 lat od zakończenia obsługi incydentu, którego dotyczą.

7. W celu realizacji zadań określonych w ustawie CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa mogą przekazywać sobie wzajemnie dane, o których mowa w ust. 3, w zakresie niezbędnym do realizacji tych zadań i współpracować z organem właściwym do spraw ochrony danych osobowych.

8. Przetwarzanie przez CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa danych, o których mowa w ust. 3, nie wymaga realizacji obowiązków wynikających z art. 15, art. 16, art. 18 ust. 1 lit. a i d oraz art. 19 zdanie drugie rozporządzenia 2016/679, jeżeli uniemożliwiłoby to realizację zadań CSIRT NASK, CSIRT MON i sektorowych zespołów cyberbezpieczeństwa, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, i jest możliwe, gdy CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa prowadzą analizę ryzyka, stosują środki ochrony przed złośliwym oprogramowaniem, stosują mechanizmy kontroli dostępu oraz opracowują procedury bezpiecznej wymiany informacji.

9. CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa publikują na swoich stronach internetowych:

1) dane kontaktowe administratora danych osobowych oraz, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych osobowych;

2) cele przetwarzania i podstawę prawną przetwarzania;

3) kategorie przetwarzanych danych osobowych;

4) informacje o odbiorcach danych osobowych;

5) informacje o tym, przez jaki okres dane osobowe będą przechowywane;

6) informacje o ograniczeniach obowiązków i praw osób, których dane dotyczą;

7) informacje o prawie wniesienia skargi do organu właściwego do spraw ochrony danych osobowych;

8) źródło pochodzenia danych osobowych.

Wersja archiwalna obowiązująca od 2024.11.10 do 2026.01.08

3. CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:

1) dotyczące użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych;

2) dotyczące telekomunikacyjnych urządzeń końcowych w rozumieniu art. 2 pkt 71 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej [2] ;

3) gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;

4) gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych, dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

1) gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;

2) gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych;

3) dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

9. CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa publikują na swoich stronach internetowych:

1) dane kontaktowe administratora danych osobowych oraz, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych osobowych;

2) cele przetwarzania i podstawę prawną przetwarzania;

3) kategorie przetwarzanych danych osobowych;

4) informacje o odbiorcach danych osobowych;

5) informacje o tym, przez jaki okres dane osobowe będą przechowywane;

6) informacje o ograniczeniach obowiązków i praw osób, których dane dotyczą;

7) informacje o prawie wniesienia skargi do organu właściwego do spraw ochrony danych osobowych;

8) źródło pochodzenia danych osobowych.

[2] Art. 39 ust. 3 pkt 2 w brzmieniu ustalonym przez art. 58 pkt 2 ustawy z dnia 12 lipca 2024 r. Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej (Dz.U. poz. 1222). Zmiana weszła w życie 10 listopada 2024 r.

Wersja archiwalna obowiązująca od 2024.07.19 do 2024.11.09 (Dz.U.2024.1077 tekst jednolity)

Art. 39. [Przetwarzanie danych pozyskanych w związku z incydentami i zagrożeniami cyberbezpieczeństwa ] 1. W celu realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa, w tym dane osobowe, obejmujące także dane określone w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, w zakresie i w celu niezbędnym do realizacji tych zadań.

3. CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:

1) dotyczące użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych;

2) dotyczące telekomunikacyjnych urządzeń końcowych w rozumieniu art. 2 pkt 43 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne;

3) gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;

4) gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych, dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

1) gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;

2) gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych;

3) dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.

9. CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa publikują na swoich stronach internetowych:

1) dane kontaktowe administratora danych osobowych oraz, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych osobowych;

2) cele przetwarzania i podstawę prawną przetwarzania;

3) kategorie przetwarzanych danych osobowych;

4) informacje o odbiorcach danych osobowych;

5) informacje o tym, przez jaki okres dane osobowe będą przechowywane;

6) informacje o ograniczeniach obowiązków i praw osób, których dane dotyczą;

7) informacje o prawie wniesienia skargi do organu właściwego do spraw ochrony danych osobowych;

8) źródło pochodzenia danych osobowych.

Wersja archiwalna obowiązująca od 2023.05.15 do 2024.07.18 (Dz.U.2023.913 tekst jednolity)