Na podstawie art. 25 ust. 4 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. Nr 165, poz. 1170, z późn. zm.²⁾) zarządza się, co następuje:

§ 1.Rozporządzenie określa:

1) tryb dostępu do Krajowego Systemu Informatycznego (KSI);

2) sposób przydzielania osobom upoważnionym do dostępu osobistych i niepowtarzalnych identyfikatorów użytkownika;

3) wzór upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych.

§ 2.Ilekroć w rozporządzeniu jest mowa o:

1) certyfikacie – należy przez to rozumieć elektroniczne zaświadczenie będące elementem Infrastruktury Klucza Publicznego (PKI), wydane zgodnie z obowiązującą Polityką Certyfikacji, zapewniające poufność przesyłanych danych oraz bezpieczeństwo procesu uwierzytelniania użytkownika instytucjonalnego i użytkownika indywidualnego;

2) organie lub służbie – należy przez to rozumieć organ lub służbę uprawnione do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI), na podstawie ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

3) użytkowniku indywidualnym – należy przez to rozumieć osobę fizyczną upoważnioną w ramach organu lub służby do wykorzystywania danych poprzez Krajowy System Informatyczny (KSI), która w celu dostępu do:

a) (uchylona),

b) danych SIS korzysta bezpośrednio z aplikacji WWW SIS,

c) danych VIS korzysta bezpośrednio z aplikacji WWW VIS;

4) użytkowniku instytucjonalnym – należy przez to rozumieć organ lub służbę uprawnione do współpracy z Krajowym Systemem Informatycznym (KSI) za pośrednictwem własnego systemu teleinformatycznego;

5) użytkowniku końcowym – należy przez to rozumieć osobę fizyczną upoważnioną do wykorzystywania danych poprzez Krajowy System Informatyczny (KSI) za pośrednictwem systemu teleinformatycznego użytkownika instytucjonalnego.

§ 3.1. W celu otrzymania dostępu do Krajowego Systemu Informatycznego (KSI) jako użytkownik instytucjonalny, organ lub służba:

1) występuje pisemnie do centralnego organu technicznego KSI o wydanie certyfikatu uwierzytelniającego jego system teleinformatyczny oraz o przekazanie opisu interfejsu;

2) zestawia bezpieczne połączenie z wykorzystaniem certyfikatów – przy współpracy z centralnym organem technicznym KSI;

3) przygotowuje własny system teleinformatyczny do współpracy z Krajowym Systemem Informatycznym (KSI) w oparciu o opis interfejsu;

4) występuje pisemnie do centralnego organu technicznego KSI o potwierdzenie poprawnej konfiguracji połączenia systemów teleinformatycznych.

2. Po spełnieniu wymagań, o których mowa w ust. 1, centralny organ techniczny KSI nadaje organowi lub służbie uprawnienie do dostępu do Krajowego Systemu Informatycznego (KSI).

§ 4.W celu otrzymania dostępu przez organ lub służbę do Krajowego Systemu Informatycznego (KSI) dla użytkownika indywidualnego, przepisy § 3 ust. 1 pkt 1, 2 i 4 stosuje się odpowiednio.

§ 5.1. Organ lub służba wyznacza użytkowników indywidualnych do:

1) korzystania z oprogramowania udostępnionego przez centralny organ techniczny KSI;

2) dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych.

2. Organ lub służba występuje do centralnego organu technicznego KSI o:

1) nadanie, zmianę lub cofnięcie uprawnień do dostępu do Krajowego Systemu Informatycznego (KSI) dla użytkownika indywidualnego;

2) wydanie osobistego i niepowtarzalnego identyfikatora dla użytkownika indywidualnego.

§ 6.1. W celu nadania lub zmiany uprawnień dla użytkownika indywidualnego organ lub służba przesyła w trzech egzemplarzach odpowiednio wypełnione pisemne upoważnienie dla użytkownika indywidualnego do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych.

2. Upoważnienie, o którym mowa w ust. 1, wystawia się na czas oznaczony albo na czas nieoznaczony.

3. Wzór upoważnienia, o którym mowa w ust. 1, określa załącznik do rozporządzenia.

§ 7.1. Centralny organ techniczny KSI dokonuje weryfikacji upoważnienia, o którym mowa w § 6 ust. 1, a następnie zatwierdza je lub odmawia jego zatwierdzenia.

2. W przypadku zatwierdzenia upoważnienia, o którym mowa w § 6 ust. 1, centralny organ techniczny KSI nadaje lub zmienia uprawnienia do dostępu do Krajowego Systemu Informatycznego (KSI).

3. Po zatwierdzeniu przez centralny organ techniczny KSI upoważnienia, o którym mowa w § 6 ust. 1, egzemplarz nr 1 włącza się do akt osobowych użytkownika indywidualnego, egzemplarz nr 2 przekazuje się użytkownikowi indywidualnemu, egzemplarz nr 3 przechowuje centralny organ techniczny KSI.

4. W przypadku odmowy zatwierdzenia upoważnienia, o którym mowa w § 6 ust. 1, centralny organ techniczny KSI zwraca je wnioskodawcy wraz z uzasadnieniem określającym przyczynę odmowy.

5. Organ lub służba, której centralny organ techniczny KSI odmówił zatwierdzenia upoważnienia, o którym mowa w § 6 ust. 1, mogą wystąpić o ponowne nadanie uprawnień po ustaniu przyczyn opisanych w uzasadnieniu, o którym mowa w ust. 4.

§ 8.1. W celu cofnięcia uprawnień do dostępu do Krajowego Systemu Informatycznego (KSI) dla użytkownika indywidualnego organ lub służba występuje do centralnego organu technicznego KSI z pisemnym wnioskiem, który zawiera:

1) numer PESEL użytkownika indywidualnego;

2) imię i nazwisko użytkownika indywidualnego;

3) nazwę organu lub służby uprawnionej do bezpośredniego dostępu do Krajowego Systemu Informatycznego (KSI).

2. Centralny organ techniczny KSI informuje pisemnie organ lub służbę o cofnięciu uprawnień do dostępu do Krajowego Systemu Informatycznego (KSI) dla użytkownika indywidualnego.

§ 9.1. Użytkownik instytucjonalny wyznacza – w zakresie posiadanych przez siebie uprawnień – użytkowników końcowych.

2. Użytkownik instytucjonalny wystawia w dwóch egzemplarzach każdemu użytkownikowi końcowemu pisemne upoważnienie do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych.

3. Egzemplarz nr 1 pisemnego upoważnienia, o którym mowa w ust. 2, włącza się do akt osobowych użytkownika końcowego, egzemplarz nr 2 przekazuje się użytkownikowi końcowemu.

4. Upoważnienie, o którym mowa w ust. 2, zawiera:

1) imię i nazwisko użytkownika końcowego;

2) numer PESEL użytkownika końcowego;

3) zakres uprawnień przyznawanych użytkownikowi końcowemu;

4) okres, na który przyznaje się uprawnienia użytkownikowi końcowemu.

5. Upoważnienie, o którym mowa w ust. 2, może zawierać inne dane niż wymienione w ust. 4 wyłącznie wtedy, jeżeli są one niezbędne do nadania uprawnień użytkownikowi końcowemu do systemu teleinformatycznego użytkownika instytucjonalnego.

§ 10.1. Centralny organ techniczny KSI prowadzi ewidencję użytkowników indywidualnych, która zawiera:

1) imię i nazwisko użytkownika indywidualnego;

2) numer PESEL użytkownika indywidualnego;

3) zakres uprawnień przyznawanych użytkownikowi indywidualnemu;

4) okres, na który przyznaje się uprawnienia użytkownikowi indywidualnemu.

2. Użytkownik instytucjonalny prowadzi ewidencję użytkowników końcowych, która zawiera dane, o których mowa w § 9 ust. 4 i 5.

3. Ewidencje, o których mowa w ust. 1 i 2, mogą być prowadzone oddzielnie dla:

1) użytkowników upoważnionych do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych SIS;

2) użytkowników upoważnionych do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych VIS.

§ 11.Upoważnienia do dostępu do Krajowego Systemu Informatycznego (KSI) oraz wykorzystywania danych wydane na mocy dotychczasowych przepisów zachowują ważność.

§ 12.Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z tym że:

1) § 2 pkt 3 lit. b wchodzi w życie z dniem określonym w decyzji Rady, zgodnie z art. 55 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1987/2006 z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz. Urz. UE L 381 z 28.12.2006, str. 4);

2) § 2 pkt 3 lit. c i § 6 ust. 1, w zakresie uprawnień w celu wykorzystywania danych VIS, stosuje się z chwilą spełnienia warunków, o których mowa w art. 48 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych (rozporządzenie w sprawie VIS) (Dz. Urz. UE L 218 z 13.08.2008, str. 60, z późn. zm.).³⁾