Dz.U.2015.1464
ROZPORZĄDZENIE
MINISTRA SPRAWIEDLIWOŚCI
dnia 24 września 2015 r.
w sprawie gromadzenia danych osobowych i danych o
podmiotach zbiorowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z
Rejestru
Na podstawie art. 17 ustawy z dnia 24 maja 2000 r. o
Krajowym Rejestrze Karnym (Dz. U. z 2015 r. poz. 1036)
zarządza się, co następuje:
§ 1.
Rozporządzenie określa warunki, w tym techniczne i
organizacyjne, sposób oraz tryb gromadzenia danych osobowych
i danych o podmiotach zbiorowych w Krajowym Rejestrze
Karnym, zwanym dalej „Rejestrem”, oraz usuwania tych danych
z Rejestru.
§ 2.
Do zabezpieczenia danych zgromadzonych w Rejestrze stosuje
się przepisy w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych wydane na
podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662
oraz z 2015 r. poz. 1309), z uwzględnieniem warunków,
sposobu oraz trybu wynikających z niniejszego
rozporządzenia.
§ 3.
Osobą nadzorującą przestrzeganie zasad bezpieczeństwa danych
osobowych zgromadzonych w kartotekach i systemie
teleinformatycznym, a w szczególności polityki
bezpieczeństwa i instrukcji zarządzania systemem
teleinformatycznym jest administrator bezpieczeństwa
informacji w Ministerstwie Sprawiedliwości.
§ 4.
Dane osobowe i dane o podmiotach zbiorowych zgromadzone w
Rejestrze przetwarza się z zastosowaniem wysokiego poziomu
bezpieczeństwa.
§ 5.
1. Do obsługi kartotek i systemu teleinformatycznego oraz
urządzeń wchodzących w jego skład dopuszcza się wyłącznie
osoby upoważnione przez Ministra Sprawiedliwości, zwane
dalej „osobami uprawnionymi”.
2. Zakres odpowiedzialności za ochronę danych osobowych i
danych o podmiotach zbiorowych przed dostępem osób
nieuprawnionych, wykorzystywaniem przez osoby nieuprawnione,
uszkodzeniem lub zniszczeniem jest określony w indywidualnym
zakresie czynności osób uprawnionych.
§ 6.
Przed dopuszczeniem do pracy przy przetwarzaniu danych
osobowych i danych o podmiotach zbiorowych każdą osobę
uprawnioną zaznajamia się z przepisami dotyczącymi Rejestru
i ochrony danych w nim zgromadzonych oraz z polityką
bezpieczeństwa i instrukcją zarządzania systemem
teleinformatycznym, w którym są zgromadzone dane osobowe i
dane o podmiotach zbiorowych, niezbędnymi do wykonywania
pracy na danym stanowisku, co osoba uprawniona potwierdza
własnoręcznym podpisem.
§ 7.
1. O każdym przypadku naruszenia kartotek lub systemu
teleinformatycznego, w których są zgromadzone dane osobowe i
dane o podmiotach zbiorowych, osoba uprawniona jest
obowiązana niezwłocznie powiadomić administratora
bezpieczeństwa informacji w Ministerstwie Sprawiedliwości.
2. W przypadku naruszenia, o którym mowa w ust. 1, osoba
uprawniona postępuje w sposób określony przez administratora
bezpieczeństwa informacji w Ministerstwie Sprawiedliwości.
§ 8.
1. Osoba uprawniona wprowadza do bazy danych systemu teleinformatycznego
dane osobowe i dane o podmiotach zbiorowych zawarte w kartach
rejestracyjnych, zawiadomieniach o zmianach ewidencyjnych, zawiadomieniach o
skazaniu przez sąd państwa obcego, o zastosowaniu późniejszych środków oraz
informacje związane z tym skazaniem, a następnie umieszcza je w odpowiedniej
kartotece.
2. Nie umieszcza się w kartotekach:
1) kart rejestracyjnych przekazywanych do Rejestru za pośrednictwem systemu
teleinformatycznego;
2) zawiadomień przekazywanych do Rejestru za pośrednictwem systemu
teleinformatycznego oraz za pośrednictwem systemu ECRIS.
§ 9.
1. Karty rejestracyjne, zawiadomienia o zmianach ewidencyjnych i
zawiadomienia o skazaniu przez sąd państwa obcego usuwa się z kartotek przez
fizyczne zniszczenie przez osoby uprawnione, w sposób uniemożliwiający
ustalenie tożsamości osoby, której te dane dotyczą.
2. Dane osobowe i dane o podmiotach zbiorowych przetwarzane w bazie danych
systemu teleinformatycznego usuwa się z bazy danych systemu
teleinformatycznego:
1) niezwłocznie po zaistnieniu faktu, który skutkuje obowiązkiem ich
usunięcia, w przypadku danych przekazywanych wyłącznie za pośrednictwem
systemu teleinformatycznego;
2) niezwłocznie po otrzymaniu zawiadomienia o zatarciu skazania, w przypadku
danych przekazywanych za pośrednictwem systemu ECRIS;
3) z chwilą usunięcia kart rejestracyjnych, zawiadomień o zmianach
ewidencyjnych i zawiadomień o skazaniu przez sąd państwa obcego, w przypadku
pozostałych danych.
3. Zapis informacji dotyczących udostępniania danych osobowych lub danych o
podmiotach zbiorowych zgromadzonych w Rejestrze usuwa się z bazy danych
systemu teleinformatycznego z chwilą usunięcia wszystkich zgromadzonych
danych o osobie lub podmiocie zbiorowym.
§ 10.
W przypadku każdej osoby i podmiotu zbiorowego, których dane są przetwarzane
w Rejestrze, system teleinformatyczny zapewnia odnotowanie:
1) daty wprowadzenia pierwszych i kolejnych danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane;
3) informacji, które dane osobowe lub dane o podmiocie zbiorowym zostały
wprowadzone do Rejestru;
4) źródła danych;
5) informacji, komu, kiedy, w jakim zakresie i przez kogo zostały
udostępnione dane zgromadzone w Rejestrze.
§ 11.
Przepisy rozporządzenia stosuje się odpowiednio do zabezpieczenia i
przetwarzania danych o podmiotach zbiorowych zgromadzonych w Rejestrze.
§ 12.
Rozporządzenie wchodzi w życie po upływie 7 dni od dnia ogłoszenia.1)
______
1) Niniejsze rozporządzenie było poprzedzone rozporządzeniem
Ministra Sprawiedliwości z dnia 16 maja 2012 r. w sprawie gromadzenia danych
osobowych i danych o podmiotach zbiorowych w Krajowym Rejestrze Karnym oraz
usuwania tych danych z Rejestru (Dz. U. z 2014 r. poz. 1057), które traci
moc z dniem wejścia w życie niniejszego rozporządzenia na podstawie art. 27
pkt 4 ustawy z dnia 20 lutego 2015 r. o zmianie ustawy – Kodeks karny oraz
niektórych innych ustaw (Dz. U. poz. 396).
|