Na podstawie art. 34 ust. 1 ustawy z dnia 8 sierpnia 1996 r. o Radzie Ministrów (Dz. U. z 2019 r. poz. 1171 oraz z 2020 r. poz. 568 i 695), w związku z art. 24 i art. 25 ust. 1 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2019 r. poz. 1844) zarządza się, co następuje:

Załącznik do zarządzenia nr 18
Ministra Spraw Zagranicznych
z dnia 28 maja 2020 r. (Dz. Urz.
Min. Spraw Zagr. poz. 27)

Instrukcja w sprawie upoważnień do dostępu do Krajowego Systemu Informatycznego i przetwarzania danych oraz prowadzenia ewidencji osób upoważnionych.

§ 1. Instrukcja określa:

1) nadawanie użytkownikowi końcowemu upoważnienia, o którym mowa w § 9 ust. 2 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dostępu i wzoru upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych z dnia 3 stycznia 2020 r. (Dz. U. poz. 74), do dostępu do Krajowego Systemu Informatycznego, zwanego dalej KSI i przetwarzania danych Systemu Informacyjnego Schengen, zwanego dalej SIS i Wizowego Systemu Informacyjnego, zwanego dalej VIS, za pośrednictwem systemu Wiza-Konsul w Ministerstwie Spraw Zagranicznych, zwanym dalej Ministerstwem i placówkach zagranicznych;

2) odwołanie upoważnienia do dostępu do KSI i przetwarzania danych SIS i VIS za pośrednictwem systemu Wiza-Konsul w Ministerstwie i placówkach zagranicznych;

3) organizację w Ministerstwie szkoleń z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez KSI;

4) wzór upoważnienia do dostępu do KSI i przetwarzania danych SIS i VIS za pośrednictwem systemu Wiza-Konsul w Ministerstwie i placówkach zagranicznych;

5) wzór odwołania upoważnienia do dostępu do KSI i przetwarzania danych SIS i VIS za pośrednictwem systemu Wiza-Konsul w Ministerstwie i placówkach zagranicznych;

6) wzór zaświadczenia o ukończeniu szkolenia w Ministerstwie z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez KSI;

7) tryb powoływania w Ministerstwie oraz zadania inspektora rejestracji KSI odpowiedzialnego za kontakty z centralnym organem technicznym KSI w sprawie uzyskiwania uprawnień i certyfikatów dotyczących przetwarzania danych KSI w Ministerstwie i placówkach zagranicznych;

8) tryb powoływania w Ministerstwie i placówkach zagranicznych oraz zadania instruktora, o którym mowa w art. 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2019 r. w sprawie sposobu przeprowadzania szkoleń z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez Krajowy System Informatyczny (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń (Dz. U. poz. 2405), zwanego dalej instruktorem KSI;

9) stosowania w Ministerstwie i placówkach zagranicznych procedur kontrolnych, o których mowa w art. 24 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2019 r. poz. 1844);

10) sposób prowadzenia ewidencji osób upoważnionych do dostępu do KSI i przetwarzania danych w Ministerstwie i placówkach zagranicznych.

§ 2. Ilekroć w Instrukcji jest mowa o:

1) użytkowniku końcowym - oznacza to członka służby zagranicznej zatrudnionego w Ministerstwie lub placówce zagranicznej, posiadającego upoważnienie do realizacji zadań obejmujących przetwarzanie danych SIS i VIS wyłącznie za pośrednictwem systemu Wiza-Konsul w Ministerstwie i placówkach zagranicznych;

2) użytkowniku indywidualnym - oznacza to członka służby zagranicznej zatrudnionego w Ministerstwie, posiadającego upoważnienie do realizacji zadań obejmujących przetwarzanie danych SIS i VIS bezpośrednio w KSI;

3) przetwarzaniu danych KSI - oznacza to przetwarzanie danych będących danymi osobowymi w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), jak również jakiekolwiek operacje wykonywane na danych nie będących danymi osobowymi, takie jak: zbieranie, wpisywanie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie;

4) upoważnieniu dla użytkownika końcowego - oznacza to upoważnienie Ministra Spraw Zagranicznych do dostępu do KSI i przetwarzania danych SIS i VIS za pośrednictwem systemu Wiza-Konsul w Ministerstwie i placówkach zagranicznych;

5) systemie Wiza-Konsul - oznacza to system informatyczny w Ministerstwie i placówkach zagranicznych obejmujący sprawy wizowe, paszportowe, prawne, obywatelskie, Karty Polaka, małego ruchu granicznego, polonijne i kancelarię, o którym mowa w zarządzeniu nr 10 Dyrektora Generalnego Służby Zagranicznej z dnia 9 maja 2011 r. w sprawie wdrożenia i eksploatacji systemu Wiza-Konsul w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych.

§ 3. 1. Upoważnienie dla użytkownika końcowego nadaje się i odwołuje zgodnie z zasadami określonymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 stycznia 2020 r. w sprawie dostępu i wzoru upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych.

2. Upoważnienia dla użytkowników końcowych nadane na podstawie § 4 zarządzenia nr 18 Ministra Spraw Zagranicznych z dnia 18 września 2009 r. w sprawie sposobu i trybu nadawania upoważnień do dostępu do Krajowego Systemu Informatycznego i wykorzystywania danych Systemu Informacyjnego Schengen (SIS) oraz prowadzenia ewidencji osób upoważnionych (Dz. Urz. Min. Spraw Zagr. poz. 70) zachowują moc do końca okresu, na który przyznano wymienione w nich uprawnienia.

3. Do upoważnień, o których mowa w ust. 2, stosuje się postanowienia § 8 ust 1-3 niniejszej Instrukcji.

§ 4. Minister Spraw Zagranicznych może upoważnić dyrektora komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych i jego zastępcę do nadawania i odwoływania upoważnień, o których mowa w § 2 pkt. 4 niniejszej Instrukcji.

§ 5. 1. Upoważnienie dla użytkownika końcowego nadaje się po jego wyznaczeniu na stanowisko związane z dostępem do KSI i przetwarzaniem danych oraz po uzyskaniu przez niego zaświadczenia o ukończeniu szkolenia, o którym mowa w § 10 ust. 1 niniejszej Instrukcji, przed podjęciem obowiązków związanych z dostępem do KSI i przetwarzaniem danych.

2. O nadanie upoważnienia dla użytkownika indywidualnego występuje się po uzyskaniu przez niego zaświadczenia o ukończeniu szkolenia, o którym mowa w § 10 ust. 1 i 2 niniejszej Instrukcji.

3. Wzór upoważnienia, o którym mowa w ust. 1, stanowi załącznik nr 1 do niniejszej Instrukcji.

§ 6. 1. Upoważnienie, o którym mowa w § 5 ust. 1 niniejszej Instrukcji, wydaje się w dwóch egzemplarzach. Pierwszy egzemplarz upoważnienia włącza się do akt osobowych upoważnionego, drugi egzemplarz przekazuje się upoważnionemu.

2. Użytkownik końcowy potwierdza zapoznanie się z warunkami przetwarzania danych KSI na pierwszym egzemplarzu upoważnienia.

3. Komórka organizacyjna Ministerstwa właściwa do spraw informatycznych udziela dostępu do KSI w systemie Wiza-Konsul zgodnie z nadanym upoważnieniem, według zasad udzielania dostępu do systemu Wiza-Konsul określonych w zarządzeniu nr 10 Dyrektora Generalnego Służby Zagranicznej z dnia 9 maja 2011 r. w sprawie wdrożenia i eksploatacji systemu Wiza-Konsul w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych.

§ 7. Upoważnienie dla użytkownika końcowego nadaje się na czas pełnienia obowiązków w placówce zagranicznej lub realizacji zadań w Ministerstwie wymagających posiadania takiego upoważnienia.

§ 8. 1. Upoważnienie dla użytkownika końcowego traci moc z dniem odwołania upoważnionego ze stanowiska związanego z dostępem do KSI i przetwarzaniem danych, odwołania lub wygaśnięcia upoważnienia.

2. Odwołanie upoważnienia, o którym mowa w ust. 1 następuje w szczególności w następujących przypadkach:

1) zmiany zakresu zadań realizowanych przez upoważnionego;

2) zawieszenia upoważnionego w obowiązkach służbowych;

3) rażącego naruszenia przez upoważnionego zasad bezpieczeństwa i ochrony danych przetwarzanych poprzez KSI.

3. Wzór odwołania upoważnienia dla użytkownika końcowego stanowi załącznik nr 2 do niniejszej Instrukcji.

§ 9. Szkolenie dla użytkowników końcowych i indywidualnych z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez KSI przeprowadza się w Ministerstwie zgodnie z zasadami określonymi w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2019 r. w sprawie sposobu przeprowadzania szkoleń z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez Krajowy System Informatyczny (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń.

§ 10. 1. Dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych jest upoważniony do organizacji, we współpracy z Inspektorem Ochrony Danych w Ministerstwie, szkolenia z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez KSI dla użytkowników końcowych i użytkowników indywidualnych.

2. W szczególnie uzasadnionych przypadkach, dla użytkowników indywidualnych szkolenie, o którym mowa w ust. 1, może zostać przeprowadzone w formie samokształcenia. W takim przypadku użytkownicy indywidualni zapoznają się z przekazanymi im przez instruktora KSI materiałami szkoleniowymi i po złożeniu oświadczenia o zapoznaniu się i zrozumieniu treści materiałów szkoleniowych, otrzymują zaświadczenie o ukończeniu szkolenia.

3. Dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych jest upoważniony do wydawania zaświadczenia potwierdzającego ukończenie szkolenia.

4. Wzór zaświadczenia, o którym mowa w ust. 1, stanowi załącznik nr 3 do niniejszej Instrukcji.

§ 11. 1. Dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych jest upoważniony do powoływania inspektora rejestracji KSI spośród pracowników podległej mu komórki organizacyjnej uwzględniając ich kwalifikacje zawodowe, w szczególności wiedzę z zakresu przepisów dotyczących SIS i VIS oraz zasad dostępu do KSI.

2. Zadaniem inspektora rejestracji KSI jest reprezentowanie Ministra Spraw Zagranicznych przed centralnym organem technicznym KSI, w szczególności:

1) uzyskiwanie uprawnień i certyfikatów dla użytkowników indywidualnych;

2) uzyskiwanie dokumentacji, polityki certyfikacji i kodeksu postępowania certyfikacyjnego;

3) uzyskiwanie certyfikatów i parametrów konfiguracji dla urządzeń sieciowych MSZ;

4) nadzorowanie okresów ważności certyfikatów i upoważnień.

3. Zadania określone w ust. 2 pkt 3 i 4 inspektor rejestracji KSI realizuje we współpracy z komórką organizacyjną Ministerstwa właściwą do spraw informatycznych.

4. Dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych informuje centralny organ techniczny KSI o powołaniu inspektora rejestracji KSI.

§ 12. 1. Dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych jest upoważniony do powoływania instruktora KSI spośród pracowników podległej mu komórki organizacyjnej uwzględniając ich kwalifikacje zawodowe, w szczególności wiedzę z zakresu przepisów dotyczących SIS i VIS, zasad dostępu do KSI, przepisów o ochronie danych osobowych, a także znajomości funkcjonalności systemu Wiza-Konsul oraz systemu VISmail.

2. Do obowiązków instruktora KSI należy:

1) prowadzenie szkoleń z obsługi systemu Wiza-Konsul;

2) prowadzenie szkoleń z obsługi oraz przetwarzania danych SIS, VIS oraz systemu VISmail;

3) prowadzenie szkoleń z problematyki bezpieczeństwa i ochrony danych osobowych przetwarzanych w systemie Wiza-Konsul.

§ 13. Dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych udostępnia użytkownikom instrukcję wykorzystania danych SIS i VIS. Instrukcja ta zawarta jest w dokumentacji systemu Wiza-Konsul, jako jedynego systemu dostępowego do KSI dla użytkownika końcowego.

§ 14. 1. W celu zapewnienia zgodności przetwarzania danych z obowiązującymi przepisami prawa dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych upoważniony jest do stosowania procedur kontrolnych przetwarzania danych KSI, o których mowa w art. 24 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym.

2. Procedury kontrolne obejmują w szczególności:

1) monitorowanie przez system Wiza-Konsul przetwarzania danych KSI, w trybie ciągłym. Monitorowaniu podlega w szczególności aktywność użytkowników końcowych KSI realizowana za pośrednictwem systemu Wiza-Konsul;

2) weryfikację raportów i alertów pochodzących z systemu Wiza-Konsul o nieuprawnionej próbie dostępu do danych przetwarzanych poprzez KSI;

3) przeprowadzanie kontroli, w szczególności w przypadku podejrzenia naruszenia zasad bezpieczeństwa i ochrony danych przetwarzanych poprzez KSI.

3. Procedury kontrolne określone w ust. 2 przeprowadzają pracownicy komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych z wykorzystaniem raportów generowanych w systemie Wiza-Konsul. Uprawnienia do kontroli przetwarzania danych KSI nadaje dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych poprzez przyznanie odpowiedniego poziomu uprawnień w systemie Wiza-Konsul.

4. W przypadku podejrzenia naruszenia ochrony danych osobowych przetwarzanych poprzez KSI dyrektor komórki organizacyjnej Ministerstwa właściwej do spraw konsularnych informuje Inspektora Ochrony Danych w Ministerstwie w trybie określonym w Polityce Bezpieczeństwa Danych Osobowych w Ministerstwie Spraw Zagranicznych oraz Placówkach Zagranicznych.

§ 15. 1. Komórka organizacyjna Ministerstwa właściwa do spraw konsularnych prowadzi ewidencję upoważnionych użytkowników końcowych w Ministerstwie i placówkach zagranicznych.

2. Ewidencja zawiera:

1) imię i nazwisko użytkownika końcowego;

2) numer PESEL użytkownika końcowego;

3) zakres uprawnień przyznawanych użytkownikowi końcowemu;

4) okres, na który przyznaje się uprawnienia użytkownikowi końcowemu.

3. Ewidencja może zawierać dodatkowe dane niezbędne do nadania uprawnień użytkownikowi końcowemu w systemie Wiza-Konsul.

4. Ewidencja prowadzona jest w formie elektronicznej.

5. Wzór ewidencji stanowi załącznik nr 4 do niniejszej Instrukcji.

Załącznik nr 1

Załącznik nr 2

Załącznik nr 3

Załącznik nr 4

Ewidencja osób upoważnionych do dostępu do KSI i wykorzystywania danych poprzez KSI w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych