Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie szkoleń osób mających dostęp do Krajowego Systemu Informatycznego (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 lutego 2023 r. w sprawie szkoleń osób mających dostęp do Krajowego Systemu Informatycznego (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń
Rozporządzenie określa:
1) sposób przeprowadzania szkoleń w zakresie użytkowania Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego, bezpieczeństwa i jakości danych, praw podstawowych oraz procedur regulujących przetwarzanie danych, zwanych dalej „szkoleniami”;
2) kwalifikacje osób uprawnionych do przeprowadzania szkoleń.
Ilekroć w rozporządzeniu jest mowa o:
1) instruktorze – należy przez to rozumieć osobę uprawnioną do przeprowadzania szkoleń;
2) inspektorze ochrony danych – należy przez to rozumieć inspektora ochrony danych, o którym mowa w:
a) art. 8 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781),
b) art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego
1) Minister Spraw Wewnętrznych i Administracji kieruje działem administracji rządowej – sprawy wewnętrzne, na podstawie § 1 ust. 2 pkt 2 rozporządzenia Prezesa Rady Ministrów z dnia 18 listopada 2019 r. w sprawie szczegółowego zakresu działania Ministra Spraw Wewnętrznych i Administracji (Dz. U. poz. 2264).
2) Niniejsze rozporządzenie służy stosowaniu:
1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1860 z dnia 28 listopada 2018 r. w sprawie użytkowania Systemu Informacyjnego Schengen do celów powrotu nielegalnie przebywających obywateli państw trzecich (Dz. Urz. UE L 312 z 07.12.2018, str. 1, Dz. Urz. UE L 248 z 13.07.2021, str. 11 oraz Dz. Urz. UE L 249 z 14.07.2021, str. 15);
2) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006 (Dz. Urz. UE L 312 z 07.12.2018, str. 14, Dz. Urz. UE L 135 z 22.05.2019, str. 27, Dz. Urz. UE L 248 z 13.07.2021, str. 11 oraz Dz. Urz. UE L 249 z 14.07.2021, str. 15);
3) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjo- nowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parla- mentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE (Dz. Urz. UE L 312 z 07.12.2018, str. 56, Dz. Urz. UE L 135 z 22.05.2019, str. 85, Dz. Urz. UE L 316I z 06.12.2019, str. 4, Dz. Urz. UE L 248 z 13.07.2021, str. 1, Dz. Urz. UE L 249 z 14.07.2021, str. 1 oraz Dz. Urz. UE L 185 z 12.07.2022, str. 1). Dziennik Ustaw –2– Poz. 404 przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016 r., str. 1, z późn. zm.3)), zwanego dalej „rozporządzeniem 2016/679”,
c) art. 46 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobie- ganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125 oraz z 2022 r. poz. 1700);
3) uprawnionym organie – należy przez to rozumieć organ, służbę lub podmiot uprawnione do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), o których mowa w art. 3 ust. 1 oraz art. 4 ust. 1 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, lub organ lub służbę posiadające dostęp do Wizo- wego Systemu Informacyjnego realizowany poprzez Krajowy System Informatyczny (KSI), o których mowa w art. 5 ust. 1 oraz art. 6 wymienionej ustawy.
1. Szkolenia dostępowe oraz szkolenia okresowe są prowadzone na podstawie programu szkolenia. Program szkolenia jest opracowywany dla uprawnionego organu przez inspektora ochrony danych tego organu lub inną osobę wyznaczoną spośród osób pełniących służbę lub pracowników tego organu, jeżeli organ ten nie powołał inspektora ochrony danych, i zatwierdzany przez kierownika tego organu. 2. Program szkolenia obejmuje następujące zagadnienia:
1) krajowe i europejskie regulacje dotyczące Systemu Informacyjnego Schengen oraz Wizowego Systemu Informacyj- nego;
2) krajowe i europejskie regulacje dotyczące ochrony danych osobowych;
3) procedury regulujące przetwarzanie danych określone w aktach wykonawczych przyjętych przez Komisję na pod- stawie art. 8 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006 (Dz. Urz. UE L 312 z 07.12.2018, str. 14, z późn. zm.4)), zwanego dalej „rozporządzeniem 2018/1861”, oraz art. 8 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i de- cyzji Komisji 2010/261/UE (Dz. Urz. UE L 312 z 07.12.2018, str. 56, z późn. zm.5)), zwanego dalej „rozporządze- niem 2018/1862”;
4) użytkowanie Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego;
5) zasady bezpieczeństwa danych, w tym ochrony danych, oraz bezpieczeństwa systemów informatycznych wykorzy- stywanych do realizacji bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI), określone w politykach ochrony danych osobowych, o których mowa w art. 24 ust. 2 rozporządzenia 2016/679 oraz art. 31 ust. 4 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, o ile takie polityki zostały opracowane i wdrożone w uprawnionym organie;
6) prawa podstawowe osób, których dotyczą dane osobowe;
7) jakość danych przetwarzanych poprzez Krajowy System Informatyczny (KSI) oraz jakość informacji uzupełniających podlegających wymianie za pośrednictwem biura SIRENE;
8) odpowiedzialność prawna, w tym dyscyplinarna, osób pełniących służbę i pracowników uprawnionego organu oraz sankcje z tytułu naruszeń ochrony danych osobowych i incydentów bezpieczeństwa.
3) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35.
4) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 135 z 22.05.2019, str. 27, Dz. Urz. UE L 248 z 13.07.2021, str. 11 oraz Dz. Urz. UE L 249 z 14.07.2021, str. 15.
5) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 135 z 22.05.2019, str. 85, Dz. Urz. UE L 316I z 06.12.2019, str. 4, Dz. Urz. UE L 248 z 13.07.2021, str. 1, Dz. Urz. UE L 249 z 14.07.2021, str. 1 oraz Dz. Urz. UE L 185 z 12.07.2022, str. 1. Dziennik Ustaw –3– Poz. 404
1. Szkolenia są przeprowadzane przez instruktorów wyznaczonych spośród osób pełniących służbę lub pracow- ników uprawnionego organu. 2. W uzasadnionych przypadkach szkolenia mogą zostać przeprowadzone przez instruktorów innego uprawnionego organu za jego zgodą, jeżeli dysponuje on środkami technicznymi i organizacyjnymi oraz zapewnia kadry posiadające niezbędne przygotowanie merytoryczne w zakresie zagadnień objętych programem szkolenia. 3. W uzasadnionych przypadkach, na wniosek uprawnionego organu, centralny organ techniczny KSI może wyrazić zgodę na przeprowadzenie szkolenia w formie samokształcenia, które polega na samodzielnym zapoznaniu się przez osobę odbywającą szkolenie z przekazanymi materiałami szkoleniowymi, opracowanymi na podstawie programu szkolenia przez instruktorów uprawnionego organu.
1. Po zakończeniu szkolenia kierownik uprawnionego organu lub upoważniona przez niego osoba wydaje uczestnikom szkolenia zaświadczenie potwierdzające odbycie szkolenia. 2. Kierownik uprawnionego organu lub upoważniona przez niego osoba wydaje osobie, która odbyła szkolenie prze- prowadzone w formie samokształcenia, zaświadczenie potwierdzające odbycie szkolenia, po złożeniu przez tę osobę oświadczenia o zapoznaniu się z materiałami szkoleniowymi i zrozumieniu ich treści. 3. Zaświadczenie, o którym mowa w ust. 1 i 2, zawiera:
1) imię i nazwisko uczestnika szkolenia lub osoby, która odbyła szkolenie przeprowadzone w formie samokształcenia;
2) numer identyfikatora kadrowego lub inny numer identyfikujący osobę, o której mowa w pkt 1;
3) datę odbycia szkolenia;
4) miejscowość i datę wydania zaświadczenia;
5) nazwę uprawnionego organu. 4. Oświadczenie, o którym mowa w ust. 2, zawiera:
1) imię i nazwisko osoby, która odbyła szkolenie przeprowadzone w formie samokształcenia;
2) datę odbycia szkolenia;
3) miejscowość, datę i czytelny podpis osoby, o której mowa w pkt 1;
4) nazwę uprawnionego organu.
Instruktorzy posiadają następujące kwalifikacje:
1) doświadczenie zawodowe na stanowisku związanym z budową, utrzymaniem, administrowaniem, obsługą lub korzy- staniem z systemów informatycznych, które są wykorzystywane w uprawnionym organie do realizacji bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI);
2) wiedzę w zakresie obowiązków uprawnionego organu wynikających z przetwarzania danych SIS lub danych VIS, w szczególności użytkowania Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego, dokonywania wpisów danych SIS lub danych VIS oraz wglądu do danych SIS lub danych VIS;
3) znajomość obowiązujących w uprawnionym organie przepisów oraz procedur regulujących korzystanie z Krajowego Systemu Informatycznego (KSI) oraz przetwarzanie danych SIS lub danych VIS, a także korzystanie z systemów informatycznych, które są wykorzystywane w uprawnionym organie do realizacji bezpośredniego dostępu do Krajo- wego Systemu Informatycznego (KSI);
4) wiedzę w zakresie ochrony danych osobowych;
5) wiedzę w zakresie pozostałych zagadnień objętych programem szkolenia.
1. Plany szkoleń z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez Krajowy System Informa- tyczny (KSI) opracowane na podstawie § 2 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2019 r. w sprawie sposobu przeprowadzania szkoleń z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez Krajowy System Informatyczny (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń (Dz. U. poz. 2405) zachowują ważność nie dłużej niż przez 6 miesięcy od dnia wejścia w życie niniejszego rozporządzenia. 2. Przed upływem terminu, o którym mowa w ust. 1, kierownik uprawnionego organu zatwierdza program szkolenia. Dziennik Ustaw –4– Poz. 404
1. Szkolenia z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez Krajowy System Informatycz- ny (KSI) przeprowadzone na podstawie planów szkoleń, o których mowa w § 7 ust. 1, zachowują ważność nie dłużej niż przez 18 miesięcy od dnia wejścia w życie niniejszego rozporządzenia. 2. W okresie wskazanym w ust. 1 osoba przeszkolona na podstawie planu szkolenia, o którym mowa w § 7 ust. 1, może odbyć szkolenie okresowe na podstawie programu szkolenia.
Rozporządzenie wchodzi w życie z dniem 7 marca 2023 r.6) Minister Spraw Wewnętrznych i Administracji: M. Kamiński
6) Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2019 r. w sprawie sposobu przeprowadzania szkoleń z zakresu bezpieczeństwa i ochrony danych przetwarzanych poprzez Krajowy System Informatyczny (KSI) oraz kwalifikacji osób uprawnionych do przeprowadzania tych szkoleń (Dz. U. poz. 2405), które traci moc z dniem wejścia w życie niniejszego rozporządzenia zgodnie z art. 8 ust. 2 ustawy z dnia 1 grudnia 2022 r. o zmianie ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym oraz niektórych innych ustaw (Dz. U. poz. 2642).