Powierzenie Ośrodkowi Rozwoju Polskiej Edukacji za Granicą przetwarzania danych osobowych, których administratorem jest Minister Edukacji Narodowej, w związku z organizacją kursów dla repatriantów w roku 2020.

Dzienniki resortowe

Dz.Urz.MEN.2020.15

Akt obowiązujący
Wersja od: 20 kwietnia 2020 r.

ZARZĄDZENIE Nr 16
MINISTRA EDUKACJI NARODOWEJ 1
z dnia 20 kwietnia 2020 r.
w sprawie powierzenia Ośrodkowi Rozwoju Polskiej Edukacji za Granicą przetwarzania danych osobowych, których administratorem jest Minister Edukacji Narodowej, w związku z organizacją kursów dla repatriantów w roku 2020

Na podstawie art. 34 ust. 1 i art. 34a ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2019 r. poz. 1171 oraz z 2020 r. poz. 568) oraz art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) zarządza się, co następuje:
§  1. 
1. 
Minister Edukacji Narodowej, zwany dalej "Ministrem", powierza Ośrodkowi Rozwoju Polskiej Edukacji za Granicą, zwanemu dalej "ORPEG", przetwarzanie danych osobowych w celu i w zakresie niezbędnym do organizacji kursów dla repatriantów w roku 2020.
2. 
Dane osobowe repatriantów przybyłych do Rzeczypospolitej Polskiej w 2019 r. i w 2020 r., obejmują: imię i nazwisko, datę urodzenia, adres zamieszkania, kraj pochodzenia, numer telefonu oraz adres poczty elektronicznej.
3. 
Przetwarzanie danych osobowych, o których mowa w ust. 2, powierza się do czasu zakończenia realizacji zadania, o którym mowa w ust. 1.
§  2. 
Na powierzonych danych osobowych ORPEG wykonuje następujące operacje przetwarzania: przechowywanie dokumentów w postaci papierowej, przechowywanie na infrastrukturze serwerowej, zabezpieczanie, kopiowanie, w tym tworzenie kopii zapasowych, odzyskiwanie, odczytywanie, opracowywanie, formatowanie, importowanie do systemów teleinformatycznych, a także przekazywanie, udostępnianie, usuwanie, niszczenie lub inne operacje przetwarzania, zgodnie z poleceniem Ministra.
§  3. 
ORPEG, przetwarzając powierzone dane osobowe:
1)
stosuje środki zabezpieczenia określone w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej "rozporządzeniem 2016/679", przy czym wdrożone środki zabezpieczenia muszą być adekwatne do zidentyfikowanych ryzyk dla zakresu powierzonego przetwarzania danych osobowych;
2)
udziela pomocy administratorowi w zakresie:
a)
realizacji obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia 2016/679,
b)
zapewnienia realizacji obowiązków wynikających z art. 32-36 rozporządzenia 2016/679;
3)
niezwłocznie - nie później niż w ciągu 24 godzin od jego wystąpienia - zgłasza administratorowi każde naruszenie ochrony danych osobowych lub jego podejrzenie, którego będzie uczestnikiem, lub o którym poweźmie informację;
4)
udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia 2016/679;
5)
niezwłocznie, na wniosek administratora, udziela wszelkich informacji lub okazuje wszelkie niezbędne dokumenty związane ze środkami zabezpieczenia, o których mowa w pkt 1, z systemami teleinformatycznymi, w których są przetwarzane powierzone dane osobowe oraz z osobami upoważnionymi do ich przetwarzania;
6)
umożliwia administratorowi, na każde żądanie, przeprowadzenie kontroli, audytu lub inspekcji w zakresie zapewnienia właściwej ochrony danych osobowych oraz aktywnie w nich uczestniczy;
7)
niezwłocznie informuje administratora, jeżeli zdaniem ORPEG wydane mu polecenie stanowi naruszenie rozporządzenia 2016/679 lub innych obowiązujących przepisów;
8)
niezwłocznie informuje administratora o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez ORPEG powierzonych mu danych osobowych, a także o wszelkich planowanych lub realizowanych w ORPEG kontrolach i audytach dotyczących tych danych osobowych.
§  4. 
1. 
ORPEG prowadzi ewidencję upoważnionych osób, które będą przetwarzać powierzone dane osobowe.
2. 
Na każde żądanie administratora ORPEG przedstawia ewidencję, o której mowa w ust. 1, zawierającą imiona i nazwiska upoważnionych osób, zakres rzeczowy upoważnienia oraz datę rozpoczęcia obowiązywania upoważnienia i jego zakończenia.
§  5. 
1. 
ORPEG zapoznaje osoby upoważnione, o których mowa w § 4 ust. 1, z przepisami rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz informuje je o odpowiedzialności za nieprzestrzeganie tych przepisów.
2. 
Osoby upoważnione, o których mowa w § 4 ust. 1, są zobowiązane do przestrzegania przepisów rozporządzenia 2016/679 i innych powszechnie obowiązujących aktów prawnych o ochronie danych osobowych oraz do bezterminowego zachowania w tajemnicy przetwarzanych danych osobowych i sposobów ich zabezpieczenia, a także do złożenia oświadczenia w tym przedmiocie.
3. 
ORPEG prowadzi ewidencję złożonych oświadczeń, o których mowa w ust. 2.
§  6. 
1. 
Minister wyraża zgodę na korzystanie przez ORPEG z usług innego podmiotu przetwarzającego.
2. 
Przed rozpoczęciem korzystania z usług innego podmiotu przetwarzającego ORPEG informuje o tym Ministra, który może wyrazić sprzeciw co do przedstawionego pomiotu przetwarzającego.
3. 
W przypadku korzystania z usług innego podmiotu przetwarzającego, niezgodnie z ust. 2, ORPEG ponosi pełną odpowiedzialność za działania tego podmiotu.
4. 
Jeżeli podmiot, o którym mowa w ust. 1, nie wywiąże się ze spoczywających na nim obowiązków w zakresie ochrony danych osobowych, pełną odpowiedzialność wobec Ministra za wypełnienie obowiązków tego podmiotu ponosi ORPEG.
§  7. 
1. 
W przypadku, o którym mowa w § 6 ust. 1, ORPEG zapewnia, w szczególności stosując odpowiednie klauzule umowne w pisemnych umowach zawieranych z innym podmiotem przetwarzającym, że podmiot ten spełnia wymagania określone w art. 32 rozporządzenia 2016/679.
2. 
ORPEG nakłada na podmiot przetwarzający, z którego usług będzie korzystać, obowiązek niezwłocznego - nie później niż w ciągu 24 godzin - zgłoszenia ORPEG stwierdzonego naruszenia ochrony danych osobowych lub jego podejrzenia, zgodnie z art. 33 ust. 2 rozporządzenia 2016/679.
3. 
ORPEG ma obowiązek niezwłocznego - nie później niż w ciągu 24 godzin od momentu otrzymania od podmiotu przetwarzającego zgłoszenia, o którym mowa w ust. 2 - przekazania zgłoszenia Ministrowi.
§  8. 
ORPEG lub podmiot przetwarzający, z którego usług ORPEG będzie korzystać, nie mogą przekazywać powierzonych danych osobowych do państwa trzeciego lub organizacji międzynarodowej bez wyraźnego polecenia lub wyraźnej zgody Ministra.
§  9. 
ORPEG, niezwłocznie po zakończeniu realizacji zadania, o którym mowa w § 1 ust. 1, usuwa powierzone dane osobowe oraz wszelkie ich istniejące kopie, chyba że przepisy prawa nakazują dalsze przechowywanie danych osobowych.
§  10. 
Zarządzenie wchodzi w życie z dniem podpisania.
1 Minister Edukacji Narodowej kieruje działem administracji rządowej - oświata i wychowanie, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 18 listopada 2019 r. w sprawie szczegółowego zakresu działania Ministra Edukacji Narodowej (Dz. U. poz. 2268).
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .