REKLAMA
Dzienniki Urzędowe - rok 2023 poz. 6
ZARZĄDZENIE
MINISTRA FUNDUSZY I POLITYKI REGIONALNEJ1)
z dnia 10 marca 2023 r.
zmieniające zarządzenie w sprawie Polityki ochrony danych osobowych w Ministerstwie Funduszy i Polityki Regionalnej
Na podstawie art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2022 r. poz. 1188) zarządza się, co następuje:
§ 1.
1) w § 7 w ust. 5 wprowadzenie do wyliczenia otrzymuje brzmienie:
„Analizę ryzyka naruszenia praw lub wolności osób fizycznych oraz analizę DPIA ponawia się na wniosek pełnomocnika do spraw bezpieczeństwa informacji w Ministerstwie oraz w przypadku wprowadzenia istotnych zmian w czynności przetwarzania danych osobowych, w szczególności dotyczących:";
2) w § 9 ust. 2 otrzymuje brzmienie:
„2. Dane udostępnia się na wniosek uprawnionego podmiotu zawierający podstawę prawną do udostępnienia danych albo na podstawie umowy lub porozumienia.";
3) w § 10:
a) ust. 2 otrzymuje brzmienie:
„2. Komórka organizacyjna - za pośrednictwem EZD - udostępnia do BPB oraz IOD aktualny rejestr zawartych umów/porozumień w sprawie udostępnienia danych osobowych dwa razy w roku - w styczniu i w lipcu, w przypadku wprowadzenia w nim zmian. BPB monitoruje poprawność przekazywanych rejestrów.",
b) dodaje się ust. 3 w brzmieniu:
„3. Dyrektor BPB może zwrócić się do komórki organizacyjnej o udostępnienie aktualnego rejestru zawartych umów/porozumień w sprawie udostępnienia danych osobowych także w innym czasie.";
4) § 13 otrzymuje brzmienie:
„§ 13. 1. Komórka organizacyjna prowadzi rejestr zawartych umów powierzenia przetwarzania danych osobowych. Wzór rejestru jest określony w załączniku nr 1 do Polityki.
2. Komórka organizacyjna - za pośrednictwem EZD - udostępnia do BPB oraz IOD aktualny rejestr zawartych umów powierzenia przetwarzania danych osobowych dwa razy w roku - w styczniu i w lipcu, w przypadku wprowadzenia w nim zmian. BPB monitoruje poprawność przekazywanych rejestrów.
3. Dyrektor BPB może zwrócić się do komórki organizacyjnej o udostępnienie aktualnego rejestru zawartych umów powierzenia przetwarzania danych osobowych także w innym czasie.";
5) w § 14 w:
a) ust. 2 wyrazy „Umowę/porozumienie o współadministrowaniu" zastępuje się wyrazami „Umowę/porozumienie w sprawie współadministrowania",
b) ust. 4 wyrazy „umowy/porozumienia współadministrowania" zastępuje się wyrazami „umowy/porozumienia w sprawie współadministrowania";
6) § 15 i § 16 otrzymują brzmienie:
„§ 15. 1. Komórka organizacyjna prowadzi rejestr zawartych umów/porozumień w sprawie współadministrowania. Wzór rejestru jest określony w załączniku nr 1 do Polityki.
2. Komórka organizacyjna - za pośrednictwem EZD - udostępnia do BPB oraz IOD aktualny rejestr zawartych umów/porozumień w sprawie współadministrowania dwa razy w roku - w styczniu i lipcu, w przypadku wprowadzenia w nim zmian. BPB monitoruje poprawność przekazywanych rejestrów.
3. Dyrektor BPB może zwrócić się do komórki organizacyjnej o udostępnienie aktualnego rejestru zawartych umów/porozumień w sprawie współadministrowania także w innym czasie.
§ 16. 1. BPB prowadzi rejestr czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania danych osobowych, których wzory określają odpowiednio załącznik nr 2 i nr 3 do Polityki, oraz odpowiada za kompletność i spójność tych rejestrów.
2. Wpis do rejestrów, o których mowa w ust. 1, dokonywany jest na wniosek:
1) właściwej komórki organizacyjnej - po przeprowadzeniu przez nią analiz ryzyka, o których mowa w § 6 i 7, i uzyskaniu opinii IOD;
2) BPB:
a) w przypadkach, o których mowa w § 17 - po uzyskaniu niezbędnego wkładu od komórki organizacyjnej, której czynność przetwarzania dotyczy, do sporządzenia analiz, o których mowa w § 6 i 7, i uzyskaniu opinii IOD,
b) na podstawie rekomendacji IOD - po uzyskaniu niezbędnego wkładu od komórki organizacyjnej, której czynność przetwarzania dotyczy, do sporządzenia analiz, o których mowa w § 6 i 7, i uzyskaniu opinii IOD.
3. Komórka organizacyjna wnioskująca o wpis do rejestrów, o których mowa w ust. 1, odpowiada za niezwłoczne zgłoszenie planowanych czynności przetwarzania i merytoryczną poprawność przekazanych danych.
4. Zmiany w rejestrach, o których mowa w ust. 1, zatwierdza dyrektor BPB na wniosek dyrektora, który dołącza do wniosku uprzednio uzyskaną opinię IOD.
5. Zatwierdzone rejestry, o których mowa w ust. 1, są publikowane przez BPB w intranecie.";
7) w § 17 dodaje się zdanie drugie w brzmieniu:
„Dyrektor BPB wpisuje czynność do rejestru po uzyskaniu niezbędnego wkładu od komórki organizacyjnej, której czynność przetwarzania dotyczy, do sporządzenia analiz, o których mowa w § 6 i 7, i uzyskaniu opinii IOD.";
8) uchyla się § 23;
9) w § 26 ust. 1 otrzymuje brzmienie:
„1. Za naruszenie obowiązków w zakresie ochrony danych osobowych, pracownicy podlegają odpowiedzialności na podstawie przepisów prawa powszechnie obowiązującego, w tym UODO, odpowiedzialności dyscyplinarnej wynikającej z przepisów ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. z 2022 r. poz. 1691) lub porządkowej wynikającej z przepisów prawa pracy.";
10) w § 28 zdanie drugie otrzymuje brzmienie:
„Sposób postępowania wskazano w procedurze postępowania ze zgłoszeniami związanymi z bezpieczeństwem informacji w Ministerstwie.";
11) w § 32 po ust. 3 dodaje się ust. 3a w brzmieniu:
„3a.Wyznaczenie pełnomocnika do spraw ochrony danych osobowych w komórce organizacyjnej realizującej zadania związane z obsługą Ministra pełniącego funkcję instytucji zarządzającej programem operacyjnym lub programami i w komórce organizacyjnej odpowiedzialnej za koordynację zadań związanych z obsługą Ministra pełniącego funkcję instytucji zarządzającej lub programów, jest obligatoryjne. Funkcji pełnomocnika i koordynatora do spraw ochrony danych osobowych nie może pełnić dyrektor.";
12) w § 33:
a) ust. 2 otrzymuje brzmienie:
„2. Do zadań dyrektora komórki organizacyjnej realizującej zadania związane z obsługą Ministra pełniącego funkcję instytucji zarządzającej programem operacyjnym lub programem oraz dyrektora komórki organizacyjnej odpowiedzialnej za koordynację realizacji programów operacyjnych lub programów należy wykonywanie czynności administratora, o których mowa w ust. 1, a ponadto opracowanie projektów wewnętrznych aktów normatywnych, metodyk, wytycznych, instrukcji, zaleceń, wzorów dokumentów oraz standardowych środków organizacyjnych i technicznych przetwarzania danych osobowych regulujących zasady przetwarzania danych osobowych w programach operacyjnych albo w CST wspierającym realizację programów operacyjnych oraz CST2021 wspierającym realizację programów FE, KPO i pobrexitowej rezerwy dostosowawczej - w zakresie właściwości tych komórek organizacyjnych, o ile jest to uzasadnione specyfiką przetwarzania danych osobowych w powyższych obszarach.",
b) uchyla się ust. 5;
13) w § 34:
a) w ust. 1:
- pkt 2 otrzymuje brzmienie:
„2) prowadzenie rejestru upoważnień do przetwarzania danych osobowych, o którym mowa w § 21, i dokonywanie przeglądu tych upoważnień;",
- pkt 4 otrzymuje brzmienie:
„4) koordynacja procesu przetwarzania danych osobowych w Ministerstwie, w szczególności opracowywanie, aktualizacja i publikowanie w intranecie Ministerstwa wzorów dokumentów, instrukcji, standardowych środków organizacyjnych i technicznych przetwarzania danych osobowych oraz metodyki sporządzania analizy ryzyka zagrożeń i analizy DPIA, a także formułowanie zaleceń i wytycznych - z własnej inicjatywy albo na polecenie dyrektora generalnego;",
- dodaje się pkt 6 w brzmieniu:
„6) przygotowanie w pierwszym kwartale każdego roku raportu podsumowującego funkcjonowanie systemu ochrony danych osobowych w Ministerstwie za rok poprzedni i przedłożenie go dyrektorowi generalnemu do zatwierdzenia.",
b) ust. 4 otrzymuje brzmienie:
„4. Stosowanie wytycznych, instrukcji, metodyk oraz standardowych środków organizacyjnych i technicznych przetwarzania danych osobowych jest obowiązkowe.";
14) w § 41 w ust. 1 pkt 5 otrzymuje brzmienie:
„5) zapewnia koordynację procesu zgłaszania naruszeń ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;";
15) w § 45:
a) ust. 5 otrzymuje brzmienie:
„5. Z przeprowadzonych czynności sprawdzających lub kontrolnych sporządzane jest sprawozdanie w formie pisemnej: papierowej lub elektronicznej.",
b) dodaje się ust. 6 w brzmieniu:
„6. Niezwłocznie po zakończeniu czynności sprawdzających lub kontrolnych:
1) dyrektor BPB - przedkłada sprawozdanie dyrektorowi generalnemu do zatwierdzenia, a także do wiadomości właściwemu członkowi kierownictwa Ministerstwa, nadzorującemu komórkę organizacyjną objętą czynnościami kontrolnymi;
2) IOD - przedkłada sprawozdanie do wiadomości dyrektorowi generalnemu oraz właściwemu członkowi kierownictwa Ministerstwa, nadzorującemu komórkę organizacyjną objętą czynnościami sprawdzającymi.";
16) w § 47 dodaje się ust. 3 w brzmieniu:
„3. Szkolenia mogą być prowadzone wewnętrznie lub przez wyspecjalizowane w tym zakresie podmioty zewnętrzne oraz w formie e-learningu.";
17) § 48 otrzymuje brzmienie:
„§ 48. IOD prowadzi działania zwiększające świadomość pracowników uczestniczących w operacjach przetwarzania, w tym w szczególności prowadzi szkolenia dla nowych pracowników Ministerstwa.".
§ 2.
§ 3.
§ 4.
2.Wyznaczenia pełnomocników do spraw ochrony danych osobowych lub ich zastępców oraz koordynatorów do spraw ochrony danych osobowych lub ich zastępców dokonane przed dniem wejścia w życie niniejszego zarządzenia pozostają w mocy.
§ 5.
§ 6.
MINISTER FUNDUSZY I POLITYKI
REGIONALNEJ
1) Minister Funduszy i Polityki Regionalnej kieruje działem administracji rządowej - rozwój regionalny, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 27 października 2021 r. w sprawie szczegółowego zakresu działania Ministra Funduszy i Polityki Regionalnej (Dz. U. poz. 1948).
- Data ogłoszenia: 2023-03-10
- Data wejścia w życie: 2023-03-25
- Data obowiązywania: 2023-03-25
REKLAMA
Dzienniki Urzędowe
REKLAMA
REKLAMA