§ 1. Zarządzenie określa organizację i podstawowe wymagania w zakresie ochrony danych osobowych przetwarzanych w Ministerstwie Kultury i Dziedzictwa Narodowego, zwanym dalej "Ministerstwem".

§ 2. 1. Ilekroć w zarządzeniu jest mowa o:

1) rozporządzeniu 2016/679 - rozumie się przez to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

2) inspektorze ochrony danych - rozumie się przez to osobę, o której mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679;

3) aktach - rozumie się przez to polityki, procedury i instrukcje wydawane przez Dyrektora Generalnego Ministerstwa Kultury i Dziedzictwa Narodowego w postaci papierowej lub elektronicznej, określające szczegółowo formę i sposób realizacji czynności i zadań związanych z przetwarzaniem danych osobowych.

§ 3. 1. Minister Kultury i Dziedzictwa Narodowego, zwany dalej "Ministrem", pełni funkcję Administratora w rozumieniu w art. 4 pkt 7 rozporządzenia 2016/679 przy pomocy Dyrektora Generalnego Ministerstwa Kultury i Dziedzictwa Narodowego, zwanego dalej "Dyrektorem Generalnym".

2. W Ministerstwie wyznacza się na stanowisko inspektora ochrony danych, zwanego dalej "Inspektorem", osobę posiadającą niezbędne kwalifikacje zawodowe oraz wiedzę w dziedzinie ochrony danych, a także umiejętności w zakresie wypełniania zadań, o których mowa w art. 39 rozporządzenia 2016/679.

§ 4. Do zadań Dyrektora Generalnego w szczególności należy:

1) wydawanie aktów;

2) wyznaczanie Inspektora i informowanie o jego wyznaczeniu Prezesa Urzędu Ochrony Danych Osobowych;

3) monitorowanie wykonywania zadań przez Inspektora.

§ 5. 1. Do zadań Inspektora poza zadaniami, o których mowa w art. 39 rozporządzenia 2016/679, należy:

1) inicjowanie opracowywania aktów;

2) inicjowanie zmian przepisów wewnętrznych w zakresie ochrony danych osobowych;

3) opiniowanie projektów umów i porozumień z zewnętrznymi podmiotami przetwarzającymi w rozumieniu art. 28 rozporządzenia 2016/679;

4) opiniowanie projektów umów i porozumień powierzających przetwarzanie danych osobowych Ministrowi przez podmioty zewnętrzne;

5) opiniowanie projektów aktów normatywnych w zakresie ochrony danych osobowych przedłożonych Ministrowi przez podmioty zewnętrzne;

6) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych w Ministerstwie;

7) prowadzenie rejestrów czynności i kategorii czynności przetwarzania danych osobowych.

2. W celu realizacji zadań, o których mowa w ust. 1, Inspektor może występować bezpośrednio do dyrektorów komórek organizacyjnych oraz pracowników Ministerstwa.

§ 6. Inspektor posługuje się zaawansowanym podpisem elektronicznym weryfikowanym za pomocą certyfikatu kwalifikowanego lub pieczęcią imienną.

§ 7. 1. Przetwarzanie danych osobowych w Ministerstwie służy realizacji zadań wynikających z działalności Ministerstwa.

2. Przetwarzanie danych osobowych w Ministerstwie następuje zgodnie z postanowieniami określonymi w aktach.

§ 8. 1. Dyrektorzy komórek organizacyjnych Ministerstwa lub wskazane przez nich osoby przekazują Inspektorowi z własnej inicjatywy lub na jego wniosek:

1) imiona i nazwiska osób, które przetwarzają dane osobowe w rozumieniu art. 4 pkt 2 rozporządzenia 2016/679;

2) informacje o potrzebie uzupełniania lub zmian rejestrów czynności i kategorii czynności przetwarzania;

3) informacje o zagrożeniach lub nieprawidłowościach systemu ochrony przetwarzanych danych osobowych napotykanych w procesach przetwarzania danych, wraz z ewentualnymi sugestiami wskazującymi metody ich eliminowania.

2. Dyrektorzy komórek organizacyjnych Ministerstwa współpracują z Inspektorem w zakresie stosowania i uaktualniania w Ministerstwie aktów.

§ 9. Komórki organizacyjne zamieszczają w zawieranych umowach lub porozumieniach odpowiednie zapisy, powierzające innemu podmiotowi przetwarzanie danych osobowych, jeśli wykonanie umowy jest związane z przetwarzaniem danych osobowych ze zbiorów danych osobowych Ministerstwa lub zakłada utworzenie takich zbiorów na zlecenie Ministerstwa.

§ 10. 1. Osoby przetwarzające w Ministerstwie dane osobowe otrzymują upoważnienie do przetwarzania tych danych i przetwarzają je w imieniu Ministra w ramach wykonywanych obowiązków pracowniczych, wynikających z powołania lub umowy, zgodnie z art. 29 rozporządzenia 2016/679.

2. Osoba upoważniona do przetwarzania danych osobowych jest obowiązana do złożenia oświadczenia zobowiązującego do:

1) zachowania w tajemnicy informacji: o przetwarzanych danych osobowych, o sposobach ich zabezpieczenia oraz ochrony danych osobowych, zarówno w okresie wypełniania zadań skutkujących upoważnieniem do przetwarzania danych osobowych, jak też po jego ustaniu w przyszłości, zgodnie z art. 25 ust. 2 rozporządzenia 2016/679;

2) zapoznania się i przestrzegania przepisów prawa określających zasady przetwarzania danych osobowych, w tym regulacji wewnętrznych w Ministerstwie.

3. Zasady wydawania upoważnienia, o którym mowa w ust. 1, oraz oświadczenia, o którym mowa w ust. 2, jak również wzory tych dokumentów, określa się w aktach.

§ 11. Upoważnienia do przetwarzania danych osobowych wydane przed wejściem w życie niniejszego zarządzenia zachowują ważność do czasu wydania nowych upoważnień.

§ 12. Traci moc zarządzenie Ministra Kultury i Dziedzictwa Narodowego z dnia 25 maja 2018 r. w sprawie ochrony danych osobowych w Ministerstwie Kultury i Dziedzictwa Narodowego (Dz. Urz. MKiDN poz. 28).

§ 13. Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.