Ustawa o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym
Stan prawny aktualny na dzień: 26.04.2024
Dz.U.2023.0.1355 t.j. - Ustawa z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym
Rozdział 4. Bezpieczeństwo Krajowego Systemu Informatycznego (KSI)
1.
Minister właściwy do spraw wewnętrznych sprawuje nadzór nad prawidłowością działania Krajowego Systemu Informatycznego (KSI).
2.
Minister właściwy do spraw wewnętrznych, w celu wykonania nadzoru wynikającego z ust. 1, ma w szczególności prawo:
1)
dostępu do wykazu zarejestrowanych przypadków, o których mowa w art. 27 obowiązki centralnego organu technicznego KSI, ust. 1 pkt 10;
2)
sprawdzania, czy Krajowy System Informatyczny (KSI) spełnia wymagania techniczne niezbędne do udziału w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym;
3)
sprawdzania, czy osoby mające dostęp do Krajowego Systemu Informatycznego (KSI) zostały odpowiednio przeszkolone w zakresie bezpieczeństwa danych oraz zasad ich ochrony oraz czy posiadają upoważnienie, o którym mowa w art. 25 szkolenie z zakresu użytkowania Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego, ust. 2, a także czy wobec tych osób przeprowadzono kontrolę bezpieczeństwa;
4)
sprawdzania prawidłowości opisu zadań i funkcji osób mających dostęp do Krajowego Systemu Informatycznego (KSI);
5)
sprawdzania, czy jest zapewniona odpowiednia fizyczna ochrona Krajowego Systemu Informatycznego (KSI) przez organy mające do niego bezpośredni dostęp, w szczególności czy nie ma możliwości dostępu osób nieuprawnionych do Krajowego Systemu Informatycznego (KSI).
1.
Minister właściwy do spraw wewnętrznych, przed uruchomieniem Krajowego Systemu Informatycznego (KSI), jest uprawniony do sprawdzenia gotowości do prawidłowej eksploatacji Krajowego Systemu Informatycznego (KSI) w ramach poszczególnych organów uprawnionych do bezpośredniego dostępu.
2.
W przypadku stwierdzenia braku gotowości do prawidłowej eksploatacji Krajowego Systemu Informatycznego (KSI) w ramach poszczególnych organów uprawnionych do bezpośredniego dostępu minister właściwy do spraw wewnętrznych jest uprawniony do wstrzymania uruchomienia Krajowego Systemu Informatycznego (KSI) w ramach organu, w przypadku którego stwierdzono nieprawidłowości.
1)
żądać przedłożenia informacji w zakresie niezbędnym do ustalenia stanu faktycznego;
2)
przeprowadzać, w godzinach urzędowania danego organu, oględziny urządzeń, nośników oraz systemów informatycznych włączonych do Krajowego Systemu Informatycznego (KSI) w ramach danego organu;
3)
zlecać sporządzanie ekspertyz i opinii;
4)
żądać zablokowania bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI) do czasu usunięcia stwierdzonych nieprawidłowości.
Art. 21. Rozporządzenia w sprawie dokonywania i usuwania wpisów do KSI i sposobu wykorzystywania KSI
1.
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, techniczne warunki, sposób i tryb dokonywania wpisów danych SIS, a także związane z tym obowiązki uprawnionych organów oraz sposób i tryb aktualizowania, usuwania i wyszukiwania danych SIS poprzez Krajowy System Informatyczny (KSI), mając na względzie prawidłowe wykonywanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Systemie Informacyjnym Schengen.
2.
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, sposób wykorzystywania Krajowego Systemu Informatycznego (KSI) jako krajowego interfejsu Wizowego Systemu Informacyjnego, w tym sposób dokonywania wpisów danych VIS, a także wglądu do danych VIS, mając na względzie prawidłowe wykonanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Wizowym Systemie Informacyjnym.
Z dniem określonym w decyzji Komisji Europejskiej, zgodnie z art. 66 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z 28.11.2018 r. art. 21 rozporządzenia w sprawie dokonywania i usuwania wpisów do KSI i sposobu wykorzystywania KSI otrzymuje brzmienie jak niżej:
1. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, warunki techniczne, sposób i tryb dokonywania wpisów danych SIS oraz tworzenia odsyłaczy pomiędzy wpisami w Systemie Informacyjnym Schengen, a także sposób i tryb aktualizowania, usuwania i wyszukiwania danych SIS poprzez Krajowy System Informatyczny (KSI), mając na względzie prawidłowe wykonywanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Systemie Informacyjnym Schengen.
Z dniem określonym w decyzji Komisji Europejskiej, zgodnie z art. 66 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z 28.11.2018 r. art. 21 rozporządzenia w sprawie dokonywania i usuwania wpisów do KSI i sposobu wykorzystywania KSI otrzymuje brzmienie jak niżej:
1. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, warunki techniczne, sposób i tryb dokonywania wpisów danych SIS oraz tworzenia odsyłaczy pomiędzy wpisami w Systemie Informacyjnym Schengen, a także sposób i tryb aktualizowania, usuwania i wyszukiwania danych SIS poprzez Krajowy System Informatyczny (KSI), mając na względzie prawidłowe wykonywanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Systemie Informacyjnym Schengen.
2.
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, sposób wykorzystywania Krajowego Systemu Informatycznego (KSI) jako krajowego interfejsu Wizowego Systemu Informacyjnego, w tym sposób dokonywania wpisów danych VIS, a także wglądu do danych VIS, mając na względzie prawidłowe wykonanie przez Rzeczpospolitą Polską zobowiązań wynikających z udziału w Wizowym Systemie Informacyjnym.
1.
Organy uprawnione zgodnie z art. 3 uprawnienie do bezpośredniego dostępu do KSI w celu dokonywania wpisów danych SIS ust. 2 do dokonania wpisu danych SIS za pośrednictwem centralnego organu technicznego KSI kierują wniosek o dokonanie wnioskowanego wpisu danych SIS na wypełnionej karcie wpisu. Centralny organ techniczny KSI niezwłocznie dokonuje wpisu danych SIS, informując o tym organ, który wystąpił z takim wnioskiem, albo informuje organ o braku możliwości dokonania danego wpisu danych SIS oraz jego przyczynach.
2.
Organy wskazane w art. 4 uprawnienie do bezpośredniego dostępu do KSI w celu wglądu do danych SIS ust. 2 kierują zapytanie o dane SIS, do których mają dostęp pośredni, do centralnego organu technicznego KSI na wypełnionej karcie zapytania. Centralny organ techniczny KSI przekazuje niezwłocznie odpowiednie dane SIS organowi składającemu zapytanie.
3.
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wzór karty wpisu, o której mowa w ust. 1, oraz wzór karty zapytania, o której mowa w ust. 2, a także sposób ich wypełnienia, uwzględniając zakres uprawnień organów do przetwarzania danych SIS.
Z dniem określonym w decyzji Komisji Europejskiej, zgodnie z art. 66 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z 28.11.2018 r. art. 22 wniosek o dokonanie wpisu danych SIS, zapytanie o dane SIS otrzymuje brzmienie jak niżej:
Z dniem określonym w decyzji Komisji Europejskiej, zgodnie z art. 66 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z 28.11.2018 r. art. 22 wniosek o dokonanie wpisu danych SIS, zapytanie o dane SIS otrzymuje brzmienie jak niżej:
1.
Organy uprawnione zgodnie z art. 3 uprawnienie do bezpośredniego dostępu do KSI w celu dokonywania wpisów danych SIS ust. 2 i 3 do dokonania wpisu danych SIS za pośrednictwem centralnego organu technicznego KSI kierują wniosek o dokonanie wnioskowanego wpisu danych SIS na wypełnionej karcie wpisu. Centralny organ techniczny KSI niezwłocznie dokonuje wpisu danych SIS, informując o tym organ, który wystąpił z takim wnioskiem, albo informuje organ o braku możliwości dokonania danego wpisu danych SIS oraz jego przyczynach.
2.
Organy wskazane w art. 4 uprawnienie do bezpośredniego dostępu do KSI w celu wglądu do danych SIS ust. 2 kierują zapytanie o dane SIS, do których mają dostęp pośredni, do centralnego organu technicznego KSI na wypełnionej karcie zapytania. Centralny organ techniczny KSI przekazuje niezwłocznie odpowiednie dane SIS organowi składającemu zapytanie.
3.
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, wzór karty wpisu, o której mowa w ust. 1, oraz wzór karty zapytania, o której mowa w ust. 2, a także sposób ich wypełnienia, uwzględniając zakres uprawnień organów do przetwarzania danych SIS.
1.
W przypadku stwierdzenia przez organ, który dokonał wpisu danych SIS, że zawarte we wpisie dane SIS są nieprawidłowe, organ ten niezwłocznie dokonuje niezbędnej modyfikacji tych danych, zawiadamiając jednocześnie o tym fakcie centralny organ techniczny KSI.
2.
W przypadku stwierdzenia przez organ, który dokonał wpisu danych SIS, że upłynął okres konieczny do osiągnięcia celów, dla których wpis został dokonany, lub jest brak podstaw prawnych do dalszego przechowywania tych danych SIS albo że nie upłynął okres konieczny do osiągnięcia celów, dla których dany wpis został dokonany, organ ten odpowiednio usuwa dane SIS albo przedłuża termin przechowywania danych SIS, zawiadamiając jednocześnie o tym fakcie centralny organ techniczny KSI.
3.
Centralny organ techniczny KSI informuje organy, które zgłosiły zapytanie o dane SIS, o dokonanej modyfikacji danych SIS.
4.
Organy, o których mowa w art. 3 uprawnienie do bezpośredniego dostępu do KSI w celu dokonywania wpisów danych SIS i art. 4 uprawnienie do bezpośredniego dostępu do KSI w celu wglądu do danych SIS, w przypadku stwierdzenia, że przetwarzane przez te organy dane SIS są nieprawidłowe, niezwłocznie informują o tym biuro SIRENE w celu weryfikacji prawidłowości tych danych SIS.
Z dniem określonym w decyzji Komisji Europejskiej, zgodnie z art. 66 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z 28.11.2018 r. art. 23 modyfikacja, usuwanie lub przedłużanie terminu przechowywania danych SIS otrzymuje brzmienie jak niżej:
Art. 23 modyfikacja, usuwanie lub przedłużanie terminu przechowywania danych SIS, weryfikacja prawidłowości przetwarzanych danych SIS.
Organy, o których mowa w art. 4 uprawnienie do bezpośredniego dostępu do KSI w celu wglądu do danych SIS, w przypadku stwierdzenia, że przetwarzane przez te organy dane SIS są nieprawidłowe, niezwłocznie informują o tym biuro SIRENE w celu weryfikacji prawidłowości tych danych SIS zgodnie z art. 44 ust. 5 rozporządzenia 2018/1861 oraz art. 59 ust. 5 rozporządzenia 2018/1862.
Z dniem określonym w decyzji Komisji Europejskiej, zgodnie z art. 66 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861 z 28.11.2018 r. art. 23 modyfikacja, usuwanie lub przedłużanie terminu przechowywania danych SIS otrzymuje brzmienie jak niżej:
Art. 23 modyfikacja, usuwanie lub przedłużanie terminu przechowywania danych SIS, weryfikacja prawidłowości przetwarzanych danych SIS.
Organy, o których mowa w art. 4 uprawnienie do bezpośredniego dostępu do KSI w celu wglądu do danych SIS, w przypadku stwierdzenia, że przetwarzane przez te organy dane SIS są nieprawidłowe, niezwłocznie informują o tym biuro SIRENE w celu weryfikacji prawidłowości tych danych SIS zgodnie z art. 44 ust. 5 rozporządzenia 2018/1861 oraz art. 59 ust. 5 rozporządzenia 2018/1862.
1.
Organ uprawniony do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) jest obowiązany do szkolenia wszystkich osób, które mają realizować to uprawnienie, w zakresie użytkowania Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego, bezpieczeństwa i jakości danych, praw podstawowych oraz procedur regulujących przetwarzanie danych.
2.
Odbycie szkolenia przed przyznaniem upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) stanowi warunek nadania tego upoważnienia (szkolenie dostępowe). Odbycie szkolenia po przyznaniu upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) (szkolenia okresowe) następuje zgodnie z terminami określonymi przez organ uprawniony.
3.
Centralny organ techniczny KSI na podstawie wystawionego przez organ upoważnienia dla użytkownika indywidualnego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) nadaje uprawnienie użytkownikowi indywidualnemu do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), wydając w tym celu osobisty i niepowtarzalny identyfikator użytkownika indywidualnego, a także prowadzi ewidencję tych użytkowników.
4.
Upoważnienie, o którym mowa w ust. 3, zawiera:
1)
imię i nazwisko użytkownika indywidualnego;
2)
numer PESEL użytkownika indywidualnego;
3)
zakres przyznanych użytkownikowi indywidualnemu uprawnień;
4)
okres, na który przyznaje się użytkownikowi indywidualnemu uprawnienia;
5)
oświadczenie użytkownika indywidualnego o zobowiązaniu do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem;
6)
nazwę organu uprawnionego do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI).
5.
Centralny organ techniczny KSI cofa uprawnienie użytkownikowi indywidualnemu do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI) na podstawie pisemnego wniosku organu, który wystawił upoważnienie dla użytkownika indywidualnego, zawierającego:
1)
imię i nazwisko użytkownika indywidualnego;
2)
numer PESEL użytkownika indywidualnego;
3)
nazwę organu uprawnionego do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI).
6.
Organ, o którym mowa w art. 3 uprawnienie do bezpośredniego dostępu do KSI w celu dokonywania wpisów danych SIS ust. 1 i art. 4 uprawnienie do bezpośredniego dostępu do KSI w celu wglądu do danych SIS ust. 1, upoważnia użytkownika końcowego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), a także prowadzi ewidencję tych użytkowników.
7.
Upoważnienie, o którym mowa w ust. 6, zawiera:
1)
imię i nazwisko użytkownika końcowego;
2)
numer PESEL użytkownika końcowego;
3)
zakres przyznanego użytkownikowi końcowemu upoważnienia;
4)
okres, na który przyznaje się użytkownikowi końcowemu upoważnienie.
8.
Upoważnienie dla użytkownika końcowego może zawierać dane inne niż wymienione w ust. 7, wyłącznie jeżeli są one niezbędne do upoważnienia użytkownika końcowego do systemu teleinformatycznego użytkownika instytucjonalnego.
9.
Do upoważnienia dla użytkownika końcowego należy dołączyć oświadczenie użytkownika końcowego o zobowiązaniu do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem.
10.
Ewidencja, o której mowa w ust. 3, zawiera elementy wymienione w ust. 4 pkt 1–4 oraz datę nadania lub cofnięcia uprawnienia. Ewidencja, o której mowa w ust. 6, zawiera elementy wymienione w ust. 7 i 8 oraz datę nadania lub cofnięcia upoważnienia.
11.
Minister właściwy do spraw wewnętrznych, po zasięgnięciu opinii Prezesa Urzędu Ochrony Danych Osobowych, określi, w drodze rozporządzenia, sposób przeprowadzania szkoleń w zakresie określonym w ust. 1, ze szczególnym uwzględnieniem zasad dotyczących ochrony danych osobowych oraz przetwarzania danych, w tym określanych w aktach wykonawczych Komisji Europejskiej przyjętych na podstawie rozporządzenia 2018/1860, rozporządzenia 2018/1861 oraz rozporządzenia 2018/1862, a także kwalifikacje osób uprawnionych do przeprowadzania tych szkoleń, mając na uwadze konieczność zapewnienia możliwości pełnego korzystania z funkcji Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego w zakresie przyznanego dostępu.
12.
Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, tryb nadania dostępu do Krajowego Systemu Informatycznego (KSI) oraz tryb cofania tego dostępu, sposób przydzielania osobom uprawnionym osobistych i niepowtarzalnych identyfikatorów użytkownika indywidualnego, jak również sposób prowadzenia ewidencji użytkowników końcowych oraz użytkowników indywidualnych, a także wzór upoważnienia dla użytkownika indywidualnego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz przetwarzania danych poprzez Krajowy System Informatyczny (KSI), przy uwzględnieniu konieczności zapewnienia bezpieczeństwa i ochrony przetwarzania danych poprzez Krajowy System Informatyczny (KSI).
