Ochrona danych osobowych w Ministerstwie Kultury i Dziedzictwa Narodowego.
Dzienniki resortowe
Dz.Urz.MKiDN.2017.79
Akt utracił moc Wersja od: 5 grudnia 2017 r.
ZARZĄDZENIE
MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO 1
z dnia 5 grudnia 2017 r.
w sprawie ochrony danych osobowych w Ministerstwie Kultury i Dziedzictwa Narodowego
Na podstawie art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2012 r. poz. 392 oraz z 2015 r. poz. 1064) w związku z art. 36a ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) zarządza się, co następuje:
§ 1.
Zarządzenie określa organizację i podstawowe wymagania w zakresie ochrony danych osobowych przetwarzanych w Ministerstwie Kultury i Dziedzictwa Narodowego, zwanym dalej "Ministerstwem".§ 2.
Ilekroć w zarządzeniu jest mowa o:1)
ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 2010 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922);2)
systemie informatycznym - rozumie się przez to wdrożony w Ministerstwie zespół współpracujących ze sobą systemów informatycznych, w skład których wchodzą: urządzenia, programy, procedury przetwarzania danych, narzędzia programowe, nośniki danych stosowane do przetwarzania danych;3)
ABI - rozumie się przez to administratora bezpieczeństwa informacji powoływanego na podstawie art. 36a ustawy;4)
użytkowniku systemu informatycznego - rozumie się przez to osobę, która została dopuszczona do pracy w systemie informatycznym, zgodnie z wnioskiem zaakceptowanym przez dyrektora komórki organizacyjnej w Ministerstwie;5)
transmisji danych osobowych - rozumie się przez to czynność przesyłania danych osobowych w postaci elektronicznej za pomocą systemu informatycznego;6)
polityce bezpieczeństwa ochrony danych osobowych - rozumie się przez to dokument określony w § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych (Dz. U. poz. 1024), zwanego dalej "Rozporządzeniem";7)
instrukcji zarządzania systemem informatycznym służącym do przetwarza danych osobowych - rozumie się przez to dokument określony w § 5 rozporządzenia, o którym mowa w pkt 6.§ 3.
1.
Minister Kultury i Dziedzictwa Narodowego, zwany dalej "Ministrem", pełni funkcję administratora danych przy pomocy Dyrektora Generalnego w Ministerstwie, zwanego dalej "Dyrektorem Generalnym", z zastrzeżeniem § 6 ust. 2 i § 11 ust. 2.2.
W Ministerstwie powołuje się ABI.§ 4.
W celu realizacji zadań, ABI może występować bezpośrednio do dyrektorów komórek organizacyjnych oraz pracowników Ministerstwa.§ 5.
1.
Stanowisko pracy ABI powinno znajdować się w pomieszczeniu, z ograniczonym dostępem osób nieuprawnionych oraz wyposażonym w szafy umożliwiające bezpieczne przechowywanie dokumentów.2.
ABI używa pieczęci podłużnej, imiennej, zawierającej w treści: imię i nazwisko oraz formułę: "Administrator Bezpieczeństwa Informacji w Ministerstwie Kultury i Dziedzictwa Narodowego".§ 6.
1.
Do zadań ABI poza zadaniami, o których mowa w art. 36a ust. 2 ustawy, należy:1)
koordynowanie w Ministerstwie czynności dotyczących ochrony danych osobowych wynikających z przepisów prawa;2)
opiniowanie, inicjowanie i monitorowanie wdrażania skutecznych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w szczególności ochronę przed ich udostępnieniem osobom nieuprawnionym, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, dotyczących w szczególności:a)
zasad fizycznego zabezpieczenia pomieszczeń, w których następuje przetwarzanie danych osobowych,b)
procedur napraw, konserwacji i likwidacji urządzeń, na których zapisane są dane osobowe,c)
procedur przydziału identyfikatorów, rejestracji i zarządzania hasłami użytkownikom systemu informatycznego posiadających uprawnienia do przetwarzania danych osobowych,d)
procedur tworzenia, przechowywania i weryfikowania przydatności kopii awaryjnych, na których zapisywane są dane osobowe,e)
transmisji danych osobowych w sieci komputerowej oraz przesyłania tych danych za pomocą zewnętrznych sieci komputerowych,f)
procedur obiegu oraz przechowywania dokumentów zawierających dane osobowe generowane przez system informatyczny;3)
podejmowanie działań związanych z opracowywaniem i uaktualnianiem oraz przekładaniem do akceptacji Dyrektorowi Generalnemu następujących dokumentów:a)
Polityki bezpieczeństwa ochrony danych osobowych, zwanej dalej "Polityką",b)
Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwanej dalej "Instrukcją" - we współpracy z dyrektorem właściwej komórki organizacyjnej zgodnie z regulaminem organizacyjnym Ministerstwa, w sprawach funkcjonowania systemu informatycznego lub wskazaną przez niego osobą odpowiedzialną za funkcjonowanie systemu informatycznego w Ministerstwie;4)
nadzorowanie przestrzegania przepisów w zakresie ochrony danych osobowych oraz zasad i procedur wynikających z dokumentów, o których mowa w pkt 3, przez przeprowadzanie sprawdzeń pomieszczeń, dokumentów, stanowisk pracy, systemów informatycznych w przypadkach stwierdzenia lub podejrzenia naruszenia obowiązujących przepisów lub procedur;5)
przygotowywanie, przedkładanie do akceptacji administratora danych i przesyłanie Generalnemu Inspektorowi Ochrony Danych Osobowych, zgłoszeń do rejestracji lub zmian w zgłoszeniach zbiorów danych osobowych w zakresie zbiorów zawierających dane wrażliwe, określone w art. 27 ust. 1 ustawy, przetwarzanych w Ministerstwie;6)
inicjowanie zmian przepisów wewnętrznych w zakresie ochrony danych osobowych oraz dokonywanie na potrzeby urzędu interpretacji przepisów w zakresie ochrony danych osobowych;7)
opiniowanie projektów umów z podmiotami zewnętrznymi, skutkujących dostępem do danych osobowych lub powierzeniem przetwarzania danych osobowych;8)
opiniowanie projektów umów powierzających przetwarzanie danych osobowych Ministrowi przez podmioty zewnętrzne;9)
szkolenie osób przetwarzających dane osobowe w Ministerstwie, wydawanie i aktualizacja upoważnień do przetwarzania danych osobowych.2.
Poza zadaniami, o którym mowa w ust. 1, ABI w imieniu administratora danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych w Ministerstwie.§ 7.
1.
Wykonywanie zadań administratora danych, w zakresie całości zadań ochrony danych osobowych przetwarzanych w Ministerstwie, w tym bieżący i merytoryczny nadzór nad wykonywaniem zadań przez ABI, powierza się Dyrektorowi Generalnemu.2.
Dyrektor Generalny zgłasza Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji powołanie, odwołanie oraz zmianę informacji objętych zgłoszeniem, dotyczących osoby pełniącej funkcję ABI w Ministerstwie, zgodnie ze wzorem określonym w przepisach wydanych na podstawie art. 46f ustawy.3.
W przypadku potrzeby wsparcia lub zastępstwa dla ABI, Dyrektor Generalny może powołać zastępców ABI.4.
Dyrektor Generalny wydaje oraz dokonuje zmian w Polityce i Instrukcji w drodze zarządzenia.§ 8.
1.
Przetwarzanie danych osobowych w Ministerstwie służy realizacji zadań wynikających z działalności Ministerstwa.2.
Przetwarzanie danych osobowych w Ministerstwie następuje zgodnie z Polityką i Instrukcją.§ 9.
1.
Dyrektorzy komórek organizacyjnych Ministerstwa lub wskazane przez nich osoby przekazują ABI z własnej inicjatywy lub na jego wniosek, w przypadku wystąpienia zdarzenia uzasadniającego takie działanie:1)
imiona i nazwiska osób, które przetwarzają dane osobowe w rozumieniu art. 7 pkt 2 ustawy;2)
imiona i nazwiska osób wytypowanych w komórce organizacyjnej do bieżących kontaktów z ABI w zakresie ochrony danych osobowych;3)
informacje o zagrożeniach lub nieprawidłowościach systemu ochrony przetwarzanych danych osobowych napotykanych w procesach przetwarzania danych, wraz z sugestiami wskazującymi metody ich eliminowania;4)
kopie podpisanych umów, których skutkiem jest dostęp podmiotów zewnętrznych do danych osobowych gromadzonych w systemie informatycznym Ministerstwa lub umów powierzających przetwarzanie danych osobowych innym podmiotom, w części regulującej przetwarzanie danych osobowych przez podmioty zewnętrzne.2.
Osoby, o których mowa w ust. 1 pkt 2, obowiązane są do ścisłej współpracy z ABI w zakresie bieżącego stosowania procedur i dokumentów:1)
Polityki;2)
Instrukcji.3.
Dyrektorzy komórek organizacyjnych Ministerstwa współpracują z ABI w zakresie stosowania i uaktualniania w Ministerstwie procedur i środków ochrony danych osobowych.§ 10.
Komórki organizacyjne zamieszczają w zawieranych umowach odpowiednią klauzulę powierzającą innemu podmiotowi przetwarzanie danych osobowych, jeśli wykonanie umowy jest związane z przetwarzaniem danych osobowych ze zbiorów danych osobowych Ministerstwa lub zakłada utworzenie takich zbiorów na zlecenie Ministerstwa.§ 11.
1.
Osoby przetwarzające w Ministerstwie dane osobowe zostają imiennie upoważnione do przetwarzania tych danych.2.
Upoważnienia do przetwarzania danych osobowych, w imieniu administratora danych podpisuje i wydaje ABI, w uzasadnionych przypadkach upoważnienie może być podpisane i wydane przez zastępcę ABI.3.
Upoważnienie, o którym mowa w ust. 2, zawiera, w szczególności następujące elementy:1)
datę wydania;2)
podstawę prawną jego udzielenia;3)
imię i nazwisko osoby upoważnionej;4)
nazwę komórki organizacyjnej lub innego podmiotu, w którym osoba jest zatrudniona lub wykonuje zadania, czynności w innej formule, np. zleceniobiorca, praktykant, stażysta, woluntariusz, członek zespołu;5)
zakres upoważnienia wraz ze wskazaniem dokumentów określających zadania związane z przetwarzaniem danych osobowych;6)
identyfikator dostępu do systemu, jeśli osoba upoważniona będzie pracować w systemie informatycznym;7)
pouczenie o zobowiązaniu upoważnionego do zachowania staranności przy przetwarzaniu danych osobowych oraz o zachowaniu w tajemnicy przetwarzanych danych osobowych;8)
wskazanie okoliczności, które powodują wygaśnięcie upoważnienia;9)
pouczenie o obowiązku poinformowania ABI o zaistnieniu okoliczności powodujących wygaśnięcie upoważnienia;10)
podpis osoby upoważnionej;11)
podpis i pieczęć administratora danych lub osoby upoważnionej.4.
Osoba upoważniona do przetwarzania danych osobowych obowiązana jest do złożenia oświadczenia, zawierającego w szczególności następujące elementy:1)
imię i nazwisko osoby składającej oświadczenie;2)
zobowiązanie do zachowania w tajemnicy informacji: o przetwarzanych danych osobowych, o sposobach ich zabezpieczenia oraz ochrony danych osobowych, zarówno w okresie wypełniania zadań skutkujących upoważnieniem do przetwarzania danych osobowych, jak też po jego ustaniu w przyszłości;3)
zobowiązanie do przestrzegania przepisów prawa określających zasady przetwarzania danych osobowych, w tym regulacji wewnętrznych w Ministerstwie;4)
podpis osoby składającej oświadczenie.5.
Wzory upoważnień i oświadczeń, o których mowa odpowiednio w ust. 2 i 4, obejmujące najczęściej występujące zdarzenia, skutkujące obowiązkiem udzielenia upoważnienia do przetwarzania danych osobowych przygotowuje ABI.6.
Ustanowione w wersji elektronicznej obiegi i wzory dokumentów, tj. "Wniosek o nadanie dostępu do Systemu Informatycznego Ministerstwa Kultury i Dziedzictwa Narodowego", upoważnienia, o których w ust. 2 oraz oświadczenia, o których mowa w ust. 4, ABI umieszcza na stronie wewnętrznej Ministerstwa w zakładce "Baza Wiedzy Ministerstwa Kultury i Dziedzictwa Narodowego".§ 12.
Z dniem 25 maja 2018 r., powołany przed tym dniem ABI, staje się inspektorem ochrony danych, o którym mowa w art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, s. 1).§ 13.
Upoważnienia do przetwarzania danych osobowych wydane przed wejściem w życie niniejszego zarządzenia zachowują ważność do czasu wydania nowych upoważnień.§ 14.
Zarządzenie nr 18/Z/2011 Dyrektora Generalnego Ministerstwa Kultury i Dziedzictwa Narodowego z dnia 15 grudnia 2011 r. w sprawie Polityki Bezpieczeństwa Danych Osobowych w Ministerstwie Kultury i Dziedzictwa Narodowego zachowuje moc w zakresie w jakim nie jest sprzeczne z przepisami niniejszego zarządzenia do dnia wejścia w życie Polityki i Instrukcji, nie dłużej jednak niż do dnia 24 maja 2018 r.§ 15.
Zarządzenie wchodzi w życie z dniem podpisania.1 Minister Kultury i Dziedzictwa Narodowego kieruje działem administracji rządowej - kultura i ochrona dziedzictwa narodowego, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 17 listopada 2015 r. w sprawie szczegółowego zakresu działania Ministra Kultury i Dziedzictwa Narodowego (Dz. U. poz.1894).