Bezpieczeństwo Krajowego Systemu Informatycznego (KSI) - Rozdział 4 - Udział Rzeczypospolitej Polskiej w Systemie Informacyjnym... - Dz.U.2021.1041 t.j. - OpenLEX

Rozdział 4 - Bezpieczeństwo Krajowego Systemu Informatycznego (KSI) - Udział Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym.

Dziennik Ustaw

Dz.U.2021.1041 t.j.

Akt obowiązujący
Wersja od: 24 grudnia 2022 r. do: 31 grudnia 2029 r.

Rozdział  4

Bezpieczeństwo Krajowego Systemu Informatycznego (KSI)

Organy, o których mowa w rozdziale 2, obowiązane są, w zakresie swojego działania, do współpracy z centralnym organem technicznym KSI w celu realizacji ich zadań związanych z udziałem w Systemie Informacyjnym Schengen lub Wizowym Systemie Informacyjnym, w tym do przekazywania dokumentów oraz udzielania informacji.

Centralny organ techniczny KSI składa ministrowi właściwemu do spraw wewnętrznych raz w roku, w terminie do dnia 31 marca, sprawozdanie z funkcjonowania Krajowego Systemu Informatycznego (KSI) w poprzednim roku kalendarzowym.

1. 
Minister właściwy do spraw wewnętrznych sprawuje nadzór nad prawidłowością działania Krajowego Systemu Informatycznego (KSI).
2. 
Minister właściwy do spraw wewnętrznych, w celu wykonania nadzoru wynikającego z ust. 1, ma w szczególności prawo:
1)
dostępu do wykazu zarejestrowanych przypadków, o których mowa w art. 27 ust. 1 pkt 10;
2)
sprawdzania, czy Krajowy System Informatyczny (KSI) spełnia wymagania techniczne niezbędne do udziału w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym;
3)
sprawdzania, czy osoby mające dostęp do Krajowego Systemu Informatycznego (KSI) zostały odpowiednio przeszkolone w zakresie bezpieczeństwa danych oraz zasad ich ochrony oraz czy posiadają upoważnienie, o którym mowa w art. 25 ust. 2, a także czy wobec tych osób przeprowadzono kontrolę bezpieczeństwa;
4)
sprawdzania prawidłowości opisu zadań i funkcji osób mających dostęp do Krajowego Systemu Informatycznego (KSI);
5)
sprawdzania, czy jest zapewniona odpowiednia fizyczna ochrona Krajowego Systemu Informatycznego (KSI) przez organy mające do niego bezpośredni dostęp, w szczególności czy nie ma możliwości dostępu osób nieuprawnionych do Krajowego Systemu Informatycznego (KSI).
1. 
Minister właściwy do spraw wewnętrznych, przed uruchomieniem Krajowego Systemu Informatycznego, jest uprawniony do sprawdzenia gotowości do prawidłowej eksploatacji Krajowego Systemu Informatycznego (KSI) w ramach poszczególnych organów uprawnionych do bezpośredniego dostępu.
2. 
W przypadku stwierdzenia braku gotowości do prawidłowej eksploatacji Krajowego Systemu Informatycznego (KSI) w ramach poszczególnych organów uprawnionych do bezpośredniego dostępu minister właściwy do spraw wewnętrznych jest uprawniony do wstrzymania uruchomienia Krajowego Systemu Informatycznego (KSI) w ramach organu, w przypadku którego stwierdzono nieprawidłowości.

W przypadku stwierdzenia nieprawidłowości działania Krajowego Systemu Informatycznego (KSI) lub jego zabezpieczenia w poszczególnych organach mających do niego bezpośredni dostęp minister właściwy do spraw wewnętrznych jest uprawniony do zablokowania bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI) dla organu, w przypadku którego stwierdzone zostały te nieprawidłowości, do czasu ich usunięcia.

W celu wykonania zadań, o których mowa w art. 16-18, minister właściwy do spraw wewnętrznych może:

1)
żądać przedłożenia informacji w zakresie niezbędnym do ustalenia stanu faktycznego;
2)
przeprowadzać, w godzinach urzędowania danego organu, oględziny urządzeń, nośników oraz systemów informatycznych włączonych do Krajowego Systemu Informatycznego (KSI) w ramach danego organu;
3)
zlecać sporządzanie ekspertyz i opinii;
4)
żądać zablokowania bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI) do czasu usunięcia stwierdzonych nieprawidłowości.

W przypadku stwierdzenia nieprawidłowości działania Krajowego Systemu Informatycznego (KSI) minister właściwy do spraw wewnętrznych może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania tych osób, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

1. 
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, techniczne warunki, sposób i tryb dokonywania wpisów danych SIS, a także związane z tym obowiązki uprawnionych organów oraz sposób i tryb aktualizowania, usuwania i wyszukiwania danych SIS poprzez Krajowy System Informatyczny (KSI), mając na względzie prawidłowe wykonywanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Systemie Informacyjnym Schengen.
2. 
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, sposób wykorzystywania Krajowego Systemu Informatycznego (KSI) jako krajowego interfejsu Wizowego Systemu Informacyjnego, w tym sposób dokonywania wpisów danych VIS, a także wglądu do danych VIS, mając na względzie prawidłowe wykonanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Wizowym Systemie Informacyjnym.
1. 
Organy uprawnione zgodnie z art. 3 ust. 2 do dokonania wpisu danych SIS za pośrednictwem centralnego organu technicznego KSI kierują wniosek o dokonanie wnioskowanego wpisu danych SIS na wypełnionej karcie wpisu. Centralny organ techniczny KSI niezwłocznie dokonuje wpisu danych SIS, informując o tym organ, który wystąpił z takim wnioskiem, albo informuje organ o braku możliwości dokonania danego wpisu danych SIS oraz jego przyczynach.
2. 
Organy wskazane w art. 4 ust. 2 kierują zapytanie o dane SIS, do których mają dostęp pośredni, do centralnego organu technicznego KSI na wypełnionej karcie zapytania. Centralny organ techniczny KSI przekazuje niezwłocznie odpowiednie dane SIS organowi składającemu zapytanie.
3. 
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wzór karty wpisu, o której mowa w ust. 1, oraz wzór karty zapytania, o której mowa w ust. 2, a także sposób ich wypełnienia, uwzględniając zakres uprawnień organów do przetwarzania danych SIS.
1. 
W przypadku stwierdzenia przez organ, który dokonał wpisu danych SIS, że zawarte we wpisie dane SIS są nieprawidłowe, organ ten niezwłocznie dokonuje niezbędnej modyfikacji tych danych, zawiadamiając jednocześnie o tym fakcie centralny organ techniczny KSI.
2. 
W przypadku stwierdzenia przez organ, który dokonał wpisu danych SIS, że upłynął okres konieczny do osiągnięcia celów, dla których wpis został dokonany, lub jest brak podstaw prawnych do dalszego przechowywania tych danych SIS albo że nie upłynął okres konieczny do osiągnięcia celów, dla których dany wpis został dokonany, organ ten odpowiednio usuwa dane SIS albo przedłuża termin przechowywania danych SIS, zawiadamiając jednocześnie o tym fakcie centralny organ techniczny KSI.
3. 
Centralny organ techniczny KSI informuje organy, które zgłosiły zapytanie o dane SIS, o dokonanej modyfikacji danych SIS.
4. 
Organy, o których mowa w art. 3 i 4, w przypadku stwierdzenia, że przetwarzane przez te organy dane SIS są nieprawidłowe, niezwłocznie informują o tym biuro SIRENE w celu weryfikacji prawidłowości tych danych SIS.

Organ uprawniony do przetwarzania danych poprzez Krajowy System Informatyczny (KSI) jest obowiązany stosować odpowiednie procedury kontrolne wskazujące działania podejmowane w ramach danego organu mające na celu zapewnienie zgodności przetwarzania danych z obowiązującymi przepisami.

1. 
Organ uprawniony do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) jest obowiązany do szkolenia wszystkich osób, które mają realizować to uprawnienie, w zakresie użytkowania Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego, bezpieczeństwa i jakości danych, praw podstawowych oraz procedur regulujących przetwarzanie danych.
2. 
Odbycie szkolenia przed przyznaniem upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) stanowi warunek nadania tego upoważnienia (szkolenie dostępowe). Odbycie szkolenia po przyznaniu upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) (szkolenia okresowe) następuje zgodnie z terminami określonymi przez organ uprawniony.
3. 
Centralny organ techniczny KSI na podstawie wystawionego przez organ upoważnienia dla użytkownika indywidualnego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) nadaje uprawnienie użytkownikowi indywidualnemu do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), wydając w tym celu osobisty i niepowtarzalny identyfikator użytkownika indywidualnego, a także prowadzi ewidencję tych użytkowników.
4. 
Upoważnienie, o którym mowa w ust. 3, zawiera:
1)
imię i nazwisko użytkownika indywidualnego;
2)
numer PESEL użytkownika indywidualnego;
3)
zakres przyznanych użytkownikowi indywidualnemu uprawnień;
4)
okres, na który przyznaje się użytkownikowi indywidualnemu uprawnienia;
5)
oświadczenie użytkownika indywidualnego o zobowiązaniu do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem;
6)
nazwę organu uprawnionego do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI).
5. 
Centralny organ techniczny KSI cofa uprawnienie użytkownikowi indywidualnemu do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) na podstawie pisemnego wniosku organu, który wystawił upoważnienie dla użytkownika indywidualnego, zawierającego:
1)
imię i nazwisko użytkownika indywidualnego;
2)
numer PESEL użytkownika indywidualnego;
3)
nazwę organu uprawnionego do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI).
6. 
Organ, o którym mowa w art. 3 ust. 1 i art. 4 ust. 1, upoważnia użytkownika końcowego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), a także prowadzi ewidencję tych użytkowników.
7. 
Upoważnienie, o którym mowa w ust. 6, zawiera:
1)
imię i nazwisko użytkownika końcowego;
2)
numer PESEL użytkownika końcowego;
3)
zakres przyznanego użytkownikowi końcowemu upoważnienia;
4)
okres, na który przyznaje się użytkownikowi końcowemu upoważnienie.
8. 
Upoważnienie dla użytkownika końcowego może zawierać dane inne niż wymienione w ust. 7, wyłącznie jeżeli są one niezbędne do upoważnienia użytkownika końcowego do systemu teleinformatycznego użytkownika instytucjonalnego.
9. 
Do upoważnienia dla użytkownika końcowego należy dołączyć oświadczenie użytkownika końcowego o zobowiązaniu do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem.
10. 
Ewidencja, o której mowa w ust. 3, zawiera elementy wymienione w ust. 4 pkt 1-4 oraz datę nadania lub cofnięcia uprawnienia. Ewidencja, o której mowa w ust. 6, zawiera elementy wymienione w ust. 7 i 8 oraz datę nadania lub cofnięcia upoważnienia.
11. 
Minister właściwy do spraw wewnętrznych, po zasięgnięciu opinii Prezesa Urzędu Ochrony Danych Osobowych, określi, w drodze rozporządzenia, sposób przeprowadzania szkoleń w zakresie określonym w ust. 1, ze szczególnym uwzględnieniem zasad dotyczących ochrony danych osobowych oraz przetwarzania danych, w tym określanych w aktach wykonawczych Komisji Europejskiej przyjętych na podstawie rozporządzenia 2018/1860, rozporządzenia 2018/1861 oraz rozporządzenia 2018/1862, a także kwalifikacje osób uprawnionych do przeprowadzania tych szkoleń, mając na uwadze konieczność zapewnienia możliwości pełnego korzystania z funkcji Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego w zakresie przyznanego dostępu.
12. 
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, tryb nadania dostępu do Krajowego Systemu Informatycznego (KSI) oraz tryb cofania tego dostępu, sposób przydzielania osobom uprawnionym osobistych i niepowtarzalnych identyfikatorów użytkownika indywidualnego, jak również sposób prowadzenia ewidencji użytkowników końcowych oraz użytkowników indywidualnych, a także wzór upoważnienia dla użytkownika indywidualnego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), przy uwzględnieniu konieczności zapewnienia bezpieczeństwa i ochrony przetwarzania danych poprzez Krajowy System Informatyczny (KSI).
2 Art. 25 zmieniony przez art. 1 pkt 12 ustawy z dnia 1 grudnia 2022 r. (Dz.U.2022.2642) zmieniającej nin. ustawę z dniem 24 grudnia 2022 r.