Przetwarzanie danych osobowych w systemie bezpiecznedane.gov.pl
Serwis bezpiecznedane.gov.pl pozwala użytkownikowi uzyskać informację o tym, czy jego dane, tj. identyfikator logowania oraz powiązane z nim hasło, zostały upublicznione w wyniku np. wycieku danych. Po zalogowaniu na stronę przez Profil Zaufany dowiesz się, czy twoje dane są bezpieczne.
Dane przetwarzane w ramach systemu, na którym oparty jest serwis bezpiecznedane.gov.pl pozyskiwane są przez zespół CSIRT NASK m.in. w toku działań operacyjnych.
Zespół CSIRT NASK przekazuje następnie takie bazy danych do Ministra Cyfryzacji, skąd trafiają one do Centralnego Ośrodka Informatyki, który świadczy usługę utrzymania portalu bezpiecznedane.gov.pl.
Kto jest administratorem danych i na jakiej podstawie są przetwarzane
Administratorem danych osobowych przetwarzanych w ramach serwisu bezpiecznedane.gov.pl jest Minister Cyfryzacji. Zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie jest zgodne z prawem wtedy, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Do obowiązków prawnych ciążących na administratorze w przedmiotowej sytuacji należą m.in.:
♦ Obowiązek prowadzenia działań informacyjnych dotyczących dobrych praktyk, programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy i budowania świadomości z zakresu cyberbezpieczeństwa, w tym bezpiecznego korzystania z Internetu przez różne kategorie użytkowników – art. 45 ust. 1 pkt 4 UKSC.
♦ Obowiązek przygotowywania we współpracy z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa rekomendacji działań mających na celu wzmocnienie cyberbezpieczeństwa – art. 42 ust. 1 pkt 5 UKSC.
♦ Obowiązek upowszechniania nowych rozwiązań i inicjowanie działań w zakresie zapewnienia cyberbezpieczeństwa na poziomie krajowym – art. 62 ust. 1 pkt 4 UKSC.
♦ Obowiązek zapewnienia zgodności systemów teleinformatycznych z Rozporządzenia KRI wydanym na podstawie art. 18 ustawy o informatyzacji. Obowiązek przetwarzania informacji, w tym danych osobowych, dotyczących świadczonych usług kluczowych lub dostawców usług cyfrowych oraz operatorów usług kluczowych lub dostawców usług cyfrowych w zakresie niezbędnym do realizacji zadań wynikających z UKSC – art. 42 ust. 1 pkt 10 UKSC.
Minister Cyfryzacji uprawniony jest również do przetwarzania danych osobowych pozyskanych w związku z incydentami i zagrożeniami cyberbezpieczeństwa gromadzonych przez operatorów usług kluczowych i dostawców usług cyfrowych oraz dotyczących podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1 UKSC. Uprawnienie to wynika z art. 39 ust. 4 UKSC. Uprawnienie CSIRT NASK do przetwarzania danych osobowych uregulowane zostało w szczególności w art. 39 UKSC.
Przetwarzanie danych zgromadzonych w systemie, odbywa się także w związku z wykonywaniem zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO). Minister Cyfryzacji realizuje zadanie w interesie publicznym poprzez podejmowanie adekwatnych do sytuacji działań zmierzających do zapewnienia bezpieczeństwa państwa i obywateli.
W zakresie legalności przetwarzania danych osobowych w systemie bezpiecznedane.gov.pl uprawnionym do ich przetwarzania jest Minister Cyfryzacji jako administrator danych osobowych oraz w zakresie wykonywanych przez niego zadań wynikających w szczególności z UKSC, a ponadto w związku z wykonywaniem zadania realizowanego w interesie publicznym.
Uprawniony jest także NASK-PIB w ramach pełnienia zadań powierzonych CSIRT NASK. Przetwarzanie danych, w tym danych osobowych, dokonywane jest w związku z prowadzeniem działań operacyjnych w ramach wykonywanych zadań określonych w UKSC, w tym obsługi zgłoszeń incydentów.
Uprawnienie Centralnego Ośrodka Informatyki do przetwarzania danych osobowych wynika z postanowień umowy i dokonywane jest w związku ze świadczeniem usługi utrzymania portalu bezpiecznedane.gov.pl.