§ 1. Zarządzenie określa organizację i podstawowe wymagania w zakresie ochrony danych osobowych przetwarzanych w Ministerstwie Kultury i Dziedzictwa Narodowego, zwanym dalej "Ministerstwem".

§ 2. Ilekroć w zarządzeniu jest mowa o:

1) rozporządzeniu 2016/679 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE z 2016 L 119/1);

2) systemie informatycznym - rozumie się przez to wdrożony w Ministerstwie zespół współpracujących ze sobą systemów informatycznych, w skład których wchodzą: urządzenia, programy, procedury przetwarzania danych, narzędzia programowe, nośniki danych stosowane do przetwarzania danych;

3) inspektorze ochrony danych - rozumie się przez to osobę, o której mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679;

4) Polityce bezpieczeństwa ochrony danych osobowych - rozumie się przez to dokument, o którym mowa w art. 24 ust. 2 rozporządzenia 2016/679;

5) Instrukcji zarządzania systemem informatycznym służącym do przetwarza danych osobowych - rozumie się przez to dokument regulujący kwestie związane z bezpiecznym działaniem i wykorzystaniem systemu informatycznego Ministerstwa w celu przetwarzania danych osobowych.

§ 3. 1. Minister Kultury i Dziedzictwa Narodowego, zwany dalej "Ministrem", pełni funkcję Administratora w rozumieniu w art. 4 pkt 7 rozporządzenia 2016/679 przy pomocy Dyrektora Generalnego Ministerstwa Kultury i Dziedzictwa Narodowego, zwanego dalej "Dyrektorem Generalnym".

2. W Ministerstwie wyznacza się na stanowisko inspektora ochrony danych, zwanego dalej "Inspektorem", osobę posiadającą niezbędne kwalifikacje zawodowe oraz wiedzę w dziedzinie ochrony danych, a także umiejętności w zakresie wypełniania zadań, o których mowa w art. 39 rozporządzenia 2016/679.

§ 4. Do zadań Dyrektora Generalnego, o których mowa w ust. 1, w szczególności należy:

1) wydawanie w drodze zarządzenia dokumentów Polityki bezpieczeństwa ochrony danych osobowych, zwanej dalej "Polityką", i Instrukcji zarządzania systemem informatycznym służącym do przetwarza danych osobowych, zwanej dalej "Instrukcją", a w przypadkach dotyczących procedur i dokumentów elektronicznych, będących częścią Polityki lub Instrukcji, w drodze zatwierdzonej i opublikowanej w systemie informatycznym, odpowiedniej instrukcji postępowania;

2) wyznaczanie Inspektora i informowanie o jego wyznaczeniu Prezesa Urzędu Ochrony Danych Osobowych;

3) monitorowanie wykonywania zadań przez Inspektora.

§ 5. 1. Do zadań Inspektora poza zadaniami, o których mowa w art. 39 rozporządzenia 2016/679 należy:

1) inicjowanie opracowywania następujących dokumentów:

a) Polityki,

b) Instrukcji we współpracy z dyrektorem właściwej komórki organizacyjnej zgodnie z regulaminem organizacyjnym Ministerstwa, w sprawach funkcjonowania systemu informatycznego lub wskazaną przez niego osobą odpowiedzialną za funkcjonowanie systemu informatycznego w Ministerstwie;

2) inicjowanie zmian przepisów wewnętrznych w zakresie ochrony danych osobowych;

3) opiniowanie projektów umów z zewnętrznymi podmiotami przetwarzającymi w rozumieniu art. 28 rozporządzenia 2016/679;

4) opiniowanie projektów umów powierzających przetwarzanie danych osobowych Ministrowi przez podmioty zewnętrzne;

5) opiniowanie projektów aktów normatywnych w zakresie ochrony danych osobowych przedłożonych Ministrowi przez podmioty zewnętrzne;

6) wydawanie i aktualizacja upoważnień do przetwarzania danych osobowych;

7) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w Ministerstwie;

8) prowadzenie rejestru czynności przetwarzania danych osobowych.

2. W celu realizacji zadań, o których mowa w ust. 1, Inspektor może występować bezpośrednio do dyrektorów komórek organizacyjnych oraz pracowników Ministerstwa.

§ 6. Inspektor posługuje się kwalifikowanym podpisem elektronicznym lub pieczęcią imienną.

§ 7. 1. Przetwarzanie danych osobowych w Ministerstwie służy realizacji zadań wynikających z działalności Ministerstwa.

2. Przetwarzanie danych osobowych w Ministerstwie następuje zgodnie z Polityką i Instrukcją.

§ 8. 1. Dyrektorzy komórek organizacyjnych Ministerstwa lub wskazane przez nich osoby przekazują Inspektorowi z własnej inicjatywy lub na jego wniosek, w przypadku wystąpienia zdarzenia uzasadniającego takie działanie:

1) imiona i nazwiska osób, które przetwarzają dane osobowe w rozumieniu art. 4 pkt 2 rozporządzenia 2016/679;

2) imiona i nazwiska osób wytypowanych w komórce organizacyjnej do bieżących kontaktów z Inspektorem w zakresie ochrony danych osobowych;

3) informacje o zagrożeniach lub nieprawidłowościach systemu ochrony przetwarzanych danych osobowych napotykanych w procesach przetwarzania danych, wraz z ewentualnymi sugestiami wskazującymi metody ich eliminowania.

2. Osoby, o których mowa w ust. 1 pkt 2, obowiązane są do ścisłej współpracy z Inspektorem w zakresie bieżącego stosowania procedur i dokumentów:

1) Polityki;

2) Instrukcji.

3. Dyrektorzy komórek organizacyjnych Ministerstwa współpracują z Inspektorem w zakresie stosowania i uaktualniania w Ministerstwie procedur i środków ochrony danych osobowych.

§ 9. Komórki organizacyjne zamieszczają w zawieranych umowach odpowiednią klauzulę, zgodną z wzorami klauzul umownych, publikowanych przez organ nadzorczy powierzającą innemu podmiotowi przetwarzanie danych osobowych, jeśli wykonanie umowy jest związane z przetwarzaniem danych osobowych ze zbiorów danych osobowych Ministerstwa lub zakłada utworzenie takich zbiorów na zlecenie Ministerstwa.

§ 10. 1. Osoby przetwarzające w Ministerstwie dane osobowe zostają imiennie upoważnione do przetwarzania tych danych i przetwarzają je w ramach wykonywanych czynności służbowych lub umownych.

2. Potwierdzenie podpisem przyjęcia upoważnienia do przetwarzania danych osobowych jest jednoznaczne z przyjęciem polecenia przetwarzania danych osobowych przez Ministra, zgodnie z art. 29 rozporządzenia 2016/679.

3. Upoważnienie, o którym mowa w ust. 2, zawiera w szczególności następujące elementy:

1) datę wydania;

2) podstawę prawną jego udzielenia;

3) imię i nazwisko osoby upoważnionej;

4) nazwę komórki organizacyjnej lub innego podmiotu, w którym osoba jest zatrudniona lub wykonuje zadania, czynności w innej formule, np. zleceniobiorca, praktykant, stażysta, woluntariusz, członek zespołu;

5) zakres upoważnienia wraz ze wskazaniem dokumentów określających zadania związane z przetwarzaniem danych osobowych;

6) identyfikator dostępu do systemu, jeśli osoba upoważniona będzie pracować w systemie informatycznym;

7) pouczenie o zobowiązaniu upoważnionego do zachowania staranności przy przetwarzaniu danych osobowych oraz o zachowaniu w tajemnicy przetwarzanych danych osobowych;

8) wskazanie okoliczności, które powodują wygaśnięcie upoważnienia;

9) pouczenie o obowiązku poinformowania Inspektora o zaistnieniu okoliczności powodujących wygaśnięcie upoważnienia;

10) podpis osoby upoważnianej;

11) podpis i pieczęć osoby upoważnionej do udzielenia upoważnienia.

4. Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do złożenia oświadczenia, zawierającego w szczególności następujące elementy:

1) imię i nazwisko osoby składającej oświadczenie;

2) zobowiązanie do zachowania w tajemnicy informacji: o przetwarzanych danych osobowych, o sposobach ich zabezpieczenia oraz ochrony danych osobowych, zarówno w okresie wypełniania zadań skutkujących upoważnieniem do przetwarzania danych osobowych, jak też po jego ustaniu w przyszłości;

3) zobowiązanie do przestrzegania przepisów prawa określających zasady przetwarzania danych osobowych, w tym regulacji wewnętrznych w Ministerstwie;

4) podpis osoby składającej oświadczenie.

5. Upoważnienia i oświadczenia, o których mowa odpowiednio w ust. 3 i 4, przygotowuje Inspektor.

§ 11. Upoważnienia do przetwarzania danych osobowych wydane przed wejściem w życie niniejszego zarządzenia zachowują ważność do czasu wydania nowych upoważnień.

§ 12. Traci moc zarządzenie Ministra Kultury i Dziedzictwa Narodowego z dnia 5 grudnia 2017 r. w sprawie ochrony danych osobowych w Ministerstwie Kultury i Dziedzictwa Narodowego (Dz. Urz. MKiDN poz. 79).

§ 13. Zarządzenie wchodzi w życie z dniem 25 maja 2018 r.