Dane przetwarzane w ramach systemu, na którym oparty jest serwis bezpiecznedane.gov.pl pozyskiwane są przez zespół CSIRT NASK m.in. w toku działań operacyjnych.

Zespół CSIRT NASK przekazuje następnie takie bazy danych do Ministra Cyfryzacji, skąd trafiają one do Centralnego Ośrodka Informatyki, który świadczy usługę utrzymania portalu bezpiecznedane.gov.pl.

Administratorem danych osobowych przetwarzanych w ramach serwisu bezpiecznedane.gov.pl jest Minister Cyfryzacji. Zgodnie z art. 6 ust. 1 lit. c RODO przetwarzanie jest zgodne z prawem wtedy, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Do obowiązków prawnych ciążących na administratorze
w przedmiotowej sytuacji należą m.in.:

• Obowiązek prowadzenia działań informacyjnych dotyczących dobrych praktyk, programów edukacyjnych, kampanii i szkoleń na rzecz poszerzania wiedzy
  i budowania świadomości z zakresu cyberbezpieczeństwa, w tym bezpiecznego korzystania z Internetu przez różne kategorie użytkowników – art. 45 ust. 1 pkt 4 UKSC.
• Obowiązek przygotowywania we współpracy z CSIRT NASK, CSIRT GOV, CSIRT MON i sektorowymi zespołami cyberbezpieczeństwa rekomendacji działań mających na celu wzmocnienie cyberbezpieczeństwa – art. 42 ust. 1 pkt 5 UKSC.
• Obowiązek upowszechniania nowych rozwiązań i inicjowanie działań w zakresie zapewnienia cyberbezpieczeństwa na poziomie krajowym – art. 62 ust. 1 pkt 4 UKSC.
• Obowiązek zapewnienia zgodności systemów teleinformatycznych z Rozporządzenia KRI wydanym na podstawie art. 18 ustawy o informatyzacji.
• Obowiązek przetwarzania informacji, w tym danych osobowych, dotyczących świadczonych usług kluczowych lub dostawców usług cyfrowych oraz operatorów usług kluczowych lub dostawców usług cyfrowych w zakresie niezbędnym do realizacji zadań wynikających z UKSC – art. 42 ust. 1 pkt 10 UKSC.

Minister Cyfryzacji uprawniony jest również do przetwarzania danych osobowych pozyskanych w związku z incydentami i zagrożeniami cyberbezpieczeństwa gromadzonych przez operatorów usług kluczowych i dostawców usług cyfrowych
oraz dotyczących podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1 UKSC. Uprawnienie to wynika z art. 39 ust. 4 UKSC. Uprawnienie CSIRT NASK do przetwarzania danych osobowych uregulowane zostało w szczególności w art. 39 UKSC.

Przetwarzanie danych zgromadzonych w systemie, odbywa się także w związku z wykonywaniem zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO). Minister Cyfryzacji realizuje zadanie w interesie publicznym poprzez podejmowanie adekwatnych do sytuacji działań zmierzających do zapewnienia bezpieczeństwa państwa i obywateli.

W zakresie legalności przetwarzania danych osobowych w systemie bezpiecznedane.gov.pl uprawnionym do ich przetwarzania jest Minister Cyfryzacji jako administrator danych osobowych oraz w zakresie wykonywanych przez niego zadań wynikających w szczególności z UKSC, a ponadto w związku z wykonywaniem zadania realizowanego w interesie publicznym.

Uprawniony jest także NASK-PIB w ramach pełnienia zadań powierzonych CSIRT NASK. Przetwarzanie danych, w tym danych osobowych, dokonywane jest w związku z prowadzeniem działań operacyjnych w ramach wykonywanych zadań określonych
w UKSC, w tym obsługi zgłoszeń incydentów.

Uprawnienie Centralnego Ośrodka Informatyki do przetwarzania danych osobowych wynika z postanowień umowy i dokonywane jest w związku ze świadczeniem usługi utrzymania portalu bezpiecznedane.gov.pl.

• Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[1] (UKSC).
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO[2].
• Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne[3] (ustawa o informatyzacji).
• Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych[4] (Rozporządzenie KRI).
• Umowa 491/DZS/22 z dnia 5 kwietnia 2022 r. pomiędzy Centralnym Ośrodkiem Informatyki a Skarbem Państwa – Ministrem Cyfryzacji w przedmiocie utrzymania m.in. systemu bezpiecznedane.gov.pl oraz powierzenia przetwarzania danych osobowych w ramach Karty nr. 1 do Załącznika A do Umowy powierzenia nr 2/DZD/2018 (7/U/COI/MC/2018) z dnia 5 lipca 2018 r.