§ 1.[Zakres przedmiotowy] Rozporządzenie określa:

1) sposób prowadzenia Centralnego Rejestru Operatorów Urządzeń i Systemów Ochrony Przeciwpożarowej, zwanego dalej „Centralnym Rejestrem Operatorów”, o którym mowa w art. 19 ust. 1 ustawy z dnia 15 maja 2015 r. o substancjach zubożających warstwę ozonową oraz o niektórych fluorowanych gazach cieplarnianych, zwanej dalej „ustawą”;

2) sposób gromadzenia danych w Centralnym Rejestrze Operatorów;

3) sposób udostępniania danych zawartych w Centralnym Rejestrze Operatorów;

4) sposób zabezpieczenia danych zawartych w Centralnym Rejestrze Operatorów;

5) wzór formularza rejestracyjnego, o którym mowa w art. 14 ust. 6 ustawy.

§ 2.[System teleinformatyczny] Centralny Rejestr Operatorów prowadzony jest w systemie teleinformatycznym w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114) i umożliwia automatyczne gromadzenie danych zawartych w Kartach Urządzeń oraz w Kartach Systemów Ochrony Przeciwpożarowej.

§ 3.[Sposób prowadzenia Centralnego Rejestru Operatorów] Centralny Rejestr Operatorów prowadzony jest w sposób zapewniający:

1) utrzymywanie Centralnego Rejestru Operatorów w stanie gotowości do przyjmowania danych przekazywanych do tego rejestru;

2) monitorowanie wdrożonych zabezpieczeń Centralnego Rejestru Operatorów;

3) automatyczne sygnalizowanie w Centralnym Rejestrze Operatorów każdego sporządzenia Karty Urządzenia lub Karty Systemu Ochrony Przeciwpożarowej oraz każdego wpisu dokonanego w tych kartach.

§ 4.[Dostęp do Centralnego Rejestru Operatorów] 1. Operator urządzenia lub systemu ochrony przeciwpożarowej uzyskuje dostęp do Centralnego Rejestru Operatorów po utworzeniu konta na podstawie wypełnionego formularza rejestracyjnego, o którym mowa w art. 14 ust. 6 ustawy, którego wzór określa załącznik do rozporządzenia.

2. Osoba wypełniająca formularz rejestracyjny w imieniu operatora urządzenia lub systemu ochrony przeciwpożarowej staje się administratorem konta tego operatora, zwanym dalej „administratorem konta”.

3. W przypadku gdy umocowanie do reprezentowania operatora urządzenia lub systemu ochrony przeciwpożarowej przez osobę wypełniającą formularz rejestracyjny nie wynika z informacji zawartych w Krajowym Rejestrze Sądowym (KRS), Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) lub z informacji dostępnych w Biuletynie Informacji Publicznej na stronie podmiotowej jednostki organizacyjnej, do formularza tego dołącza się pełnomocnictwo podpisane zgodnie z zasadami reprezentacji lub inny dokument stanowiący podstawę do podejmowania czynności w imieniu lub na rzecz określonego operatora albo elektroniczną kopię jednego z wyżej wymienionych dokumentów.

4. Na podstawie danych zawartych w formularzu rejestracyjnym administratorowi konta zostają nadane w Centralnym Rejestrze Operatorów identyfikator (login), którym jest adres poczty elektronicznej administratora konta, i hasło.

5. Po sprawdzeniu zgodności danych zawartych w formularzu rejestracyjnym z załączonym dokumentem lub rejestrami, o których mowa w ust. 3, na adres poczty elektronicznej administratora konta przesyłana jest informacja o dalszej procedurze aktywacji konta. Aktywacja konta następuje po potwierdzeniu otrzymania wiadomości, poprzez otwarcie linku aktywującego konto.

6. Po aktywacji konta administrator konta może dodawać lub usuwać dostęp do konta jednej lub więcej osobom kontaktowym, będącym pracownikami operatora, poprzez wypełnienie formularza dodawania lub usuwania osób kontaktowych w Centralnym Rejestrze Operatorów, zawierającego następujące dane osoby kontaktowej: imię i nazwisko, adres poczty elektronicznej oraz numer telefonu komórkowego, a w przypadku jego braku – numer telefonu stacjonarnego.

7. W przypadku dodawania dostępu do konta na podany w formularzu adres poczty elektronicznej osoby kontaktowej, który będzie jej identyfikatorem (loginem) w Centralnym Rejestrze Operatorów, przesyłane jest automatycznie generowane hasło dostępu do konta, które wymaga zmiany po pierwszym zalogowaniu.

8. Uprawnionym do zmiany danych, o których mowa w ust. 6, jest administrator konta oraz osoba kontaktowa w zakresie swoich danych.

9. Zmiana administratora konta następuje poprzez wypełnienie formularza aktualizacji danych administratora konta dostępnego na stronie logowania do Centralnego Rejestru Operatorów, zawierającego dane wymagane w formularzu rejestracyjnym, z wyjątkiem danych dotyczących adresu operatora urządzenia lub systemu ochrony przeciwpożarowej, oraz załączenie dokumentu, o którym mowa w ust. 3, o ile jest wymagany. Po sprawdzeniu zgodności danych zawartych w formularzu aktualizacji danych administratora konta z załączonym dokumentem lub rejestrami, o których mowa w ust. 3, na adres poczty elektronicznej nowego administratora konta przesyłana jest informacja o aktywacji jego dostępu do konta i dezaktywacji dostępu do konta dotychczasowego administratora. Dostęp osób kontaktowych do konta po zmianie administratora konta nie ulega zmianie. Przepis ust. 4 stosuje się.

10. Zmiana danych operatora urządzenia lub systemu ochrony przeciwpożarowej następuje poprzez wypełnienie przez administratora konta formularza aktualizacji danych operatora urządzenia lub systemu ochrony przeciwpożarowej w Centralnym Rejestrze Operatorów.

11. Zamknięcie konta operatora urządzenia lub systemu ochrony przeciwpożarowej następuje poprzez wypełnienie przez administratora konta formularza zamknięcia konta w Centralnym Rejestrze Operatorów.

12. Formularze, o których mowa w ust. 6, 10 i 11, wypełniane są w trybie bezpośredniego połączenia z systemem teleinformatycznym w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, po zalogowaniu się do Centralnego Rejestru Operatorów.

13. W przypadku utraty hasła do konta na stronie logowania do Centralnego Rejestru Operatorów należy podać adres poczty elektronicznej, który jest identyfikatorem (loginem) do konta, do którego utracono dostęp. Na podany adres poczty elektronicznej zostanie wysłane nowe hasło, które wymaga zmiany po pierwszym zalogowaniu.

§ 5.[Dane] 1. Administrator konta lub osoby kontaktowe udostępniają dane zawarte w Karcie Urządzenia lub Karcie Systemu Ochrony Przeciwpożarowej danego operatora urządzenia lub systemu ochrony przeciwpożarowej innym osobom w zakresie niezbędnym do dokonania przez te osoby wpisów w tych kartach zgodnie z przepisami ustawy.

2. Administrator konta ma dostęp do danych zawartych we wszystkich Kartach Urządzeń lub Kartach Systemów Ochrony Przeciwpożarowej danego operatora urządzenia lub systemu ochrony przeciwpożarowej.

3. Osoba kontaktowa ma dostęp do danych zawartych w Kartach Urządzeń lub Kartach Systemów Ochrony Przeciwpożarowej sporządzonych przez siebie lub do których dostęp został jej udzielony przez administratora konta, w trybie bezpośredniego połączenia z systemem teleinformatycznym w rozumieniu art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, po zalogowaniu się do Centralnego Rejestru Operatorów.

4. Centralny Rejestr Operatorów sygnalizuje automatycznie administratorowi konta i osobie kontaktowej, która ma dostęp do danej Karty Urządzenia lub Karty Systemu Ochrony Przeciwpożarowej, na adresy ich poczty elektronicznej, każde sporządzenie Karty Urządzenia lub Karty Systemu Ochrony Przeciwpożarowej oraz każdy wpis dokonany w tych kartach.

5. Każdy wpis do Karty Urządzenia lub Karty Systemu Ochrony Przeciwpożarowej jest sprawdzany automatycznie pod względem kompletności wprowadzonych danych. Centralny Rejestr Operatorów uniemożliwia zatwierdzenie wpisu do Karty Urządzenia lub Karty Systemu Ochrony Przeciwpożarowej zawierającego oczywiste błędy lub niekompletne dane.

§ 6.[Ochrona danych] 1. Dane zawarte w Centralnym Rejestrze Operatorów są chronione poprzez zastosowanie mechanizmów:

1) ochrony przed nieuprawnionym dostępem, w szczególności przez zastosowanie zapory sieciowej;

2) ochrony przed oprogramowaniem złośliwym, w szczególności przez zastosowanie oprogramowania antywirusowego;

3) zapewnienia dostępności danych, w szczególności przez automatyczne tworzenie w odstępach nie dłuższych niż 24 godziny kopii informacji;

4) zapewnienia poufności tych danych, w szczególności przez przechowywanie informacji, w tym także loginów i haseł osób mających dostęp do danych, w formie zaszyfrowanej;

5) rozliczalności działań, w szczególności przez odnotowywanie w Centralnym Rejestrze Operatorów każdego zalogowania do Centralnego Rejestru Operatorów z zaznaczeniem dokładnego czasu zalogowania i wylogowania, zbiorów danych, jakie były przeglądane, i danych osoby, która się logowała;

6) reagowania na incydenty związane z bezpieczeństwem tych danych, w szczególności mechanizmów:

a) monitorowania dostępu do rejestru,

b) wykrywania incydentów,

c) podejmowania działań związanych z wyjaśnianiem zaistniałych incydentów,

d) przywracania Centralnego Rejestru Operatorów do stanu niezakłóconego funkcjonowania po zaistniałym incydencie.

2. Centralny Rejestr Operatorów jest zabezpieczony w szczególności przed:

1) działaniem osób lub oprogramowania, których celem jest uzyskanie nieuprawnionego dostępu do rejestru lub nieuprawniona zmiana zawartości rejestru;

2) utratą danych, wywołaną w szczególności awarią zasilania lub zakłóceniami w sieci zasilającej.

§ 7.[Wejście w życie] Rozporządzenie wchodzi w życie po upływie 3 dni od dnia ogłoszenia.