O krajowym systemie cyberbezpieczeństwa
Artykuł 39.

1. W celu realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa, w tym dane osobowe, obejmujące także dane określone w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej „rozporządzeniem 2016/679”, w zakresie i w celu niezbędnym do realizacji tych zadań.

2. CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa, przetwarzając dane osobowe określone w art. 9 ust. 1 rozporządzenia 2016/679, prowadzą analizę ryzyka, stosują środki ochrony przed złośliwym oprogramowaniem oraz mechanizmy kontroli dostępu, a także opracowują procedury bezpiecznej wymiany informacji.
    
3. CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:
   
   
   1. dotyczące użytkowników systemów informacyjnych oraz użytkowników telekomunikacyjnych urządzeń końcowych;
       
   2. dotyczące telekomunikacyjnych urządzeń końcowych w rozumieniu art. 2 pkt 43 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne;
       
   3. gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;
       
   4. gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych, dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.
       
4. W celu realizacji zadań określonych w ustawie minister właściwy do spraw informatyzacji, dyrektor Rządowego Centrum Bezpieczeństwa, Pełnomocnik oraz organy właściwe do spraw cyberbezpieczeństwa przetwarzają dane osobowe pozyskane w związku z incydentami i zagrożeniami cyberbezpieczeństwa:
   
   
   1. gromadzone przez operatorów usług kluczowych i dostawców usług cyfrowych w związku ze świadczeniem usług;
       
   2. gromadzone przez podmioty publiczne w związku z realizacją zadań publicznych;
       
   3. dotyczące podmiotów zgłaszających incydent zgodnie z art. 30 ust. 1.
       
5. Dane, o których mowa w ust. 3 i 4, są usuwane lub anonimizowane przez CSIRT MON, CSIRT NASK i sektorowy zespół cyberbezpieczeństwa niezwłocznie po stwierdzeniu, że nie są niezbędne do realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3.
    
6. Dane, o których mowa w ust. 3 i 4, niezbędne do realizacji zadań, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, są usuwane lub anonimizowane przez CSIRT MON, CSIRT NASK i sektorowy zespół cyberbezpieczeństwa w terminie 5 lat od zakończenia obsługi incydentu, którego dotyczą.
    
7. W celu realizacji zadań określonych w ustawie CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowe zespoły cyberbezpieczeństwa mogą przekazywać sobie wzajemnie dane, o których mowa w ust. 3, w zakresie niezbędnym do realizacji tych zadań i współpracować z organem właściwym do spraw ochrony danych osobowych.
    
8. Przetwarzanie przez CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa danych, o których mowa w ust. 3, nie wymaga realizacji obowiązków wynikających z art. 15, art. 16, art. 18 ust. 1 lit. a i d oraz art. 19 zdanie drugie rozporządzenia 2016/679, jeżeli uniemożliwiłoby to realizację zadań CSIRT NASK, CSIRT MON i sektorowych zespołów cyberbezpieczeństwa, o których mowa w art. 26 ust. 3 pkt 1–11, 14 i 15 i ust. 5–8 oraz art. 44 ust. 1–3, i jest możliwe, gdy CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa prowadzą analizę ryzyka, stosują środki ochrony przed złośliwym oprogramowaniem, stosują mechanizmy kontroli dostępu oraz opracowują procedury bezpiecznej wymiany informacji.
    
9. CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa publikują na swoich stronach internetowych:
    

1. dane kontaktowe administratora danych osobowych oraz, gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych osobowych;
    
2. cele przetwarzania i podstawę prawną przetwarzania;
    
3. kategorie przetwarzanych danych osobowych;
    
4. informacje o odbiorcach danych osobowych;
    
5. informacje o tym, przez jaki okres dane osobowe będą przechowywane;
    
6. informacje o ograniczeniach obowiązków i praw osób, których dane dotyczą;
    
7. informacje o prawie wniesienia skargi do organu właściwego do spraw ochrony danych osobowych;
    
8. źródło pochodzenia danych osobowych.