Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

1

Najpierw określ zasady, potem przetwarzaj dane ............................................................................................................ 1

Powierzanie danych osobowych ....................................................................................................................................... 2

Upoważnienia do przetwarzania danych .......................................................................................................................... 3

Przetwarzanie danych w systemach ................................................................................................................................. 3

Naruszenie obowiązków przez beneficjenta ..................................................................................................................... 4

Masz 12 miesięcy, aby przygotować się do RODO ............................................................................................................ 4

Do GIODO danych już nie zgłosisz ..................................................................................................................................... 5

Wyrażanie zgody po nowemu ........................................................................................................................................... 6

Przy przetwarzaniu danych osobowych beneficjent powinien przestrzegać obowiązujących
zasad. Instytucja zarządzająca powierza beneficjentowi przetwarzanie danych osobowych w
ramach takich zbiorów jak na przykład Program Operacyjny Wiedza Edukacja Rozwój (POWER)
oraz centralny system teleinformatyczny wspierający realizację programów operacyjnych.

Analizując zasady przetwarzania danych osobowych na obu przykładach, sprawdź, czy postępujesz
prawidłowo w swoim projekcie. Ponadto zapoznaj się z RODO. Pod tym tajemniczym skrótem kryje się
ważna zmiana. Do maja przyszłego roku musisz przygotować się na nowy sposób zarządzania danymi
osobowymi między innymi w projekcie.

Powierzone dane osobowe mogą być przetwarzane przez beneficjenta wyłącznie w celu aplikowania o
fundusze unijne i realizacji projektu, zwłaszcza potwierdzania kwalifikowalności wydatków, udzielania
wsparcia uczestnikom projektu, ewaluacji, monitoringu, kontroli, audytu, sprawozdawczości oraz
działań informacyjno-promocyjnych, w ramach programu.

Beneficjent przed rozpoczęciem przetwarzania danych osobowych powinien przygotować
dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne
zapewniające ochronę danych osobowych, w tym w szczególności politykę bezpieczeństwa oraz
instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

2

Przykład

Przetwarzanie danych to wszelkie operacje wykonywane na danych osobowych. Może to być:
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie
danych, szczególnie dotyczących operacji, które są wykonywane w systemach informatycznych.

Zgodnie z wytycznymi POWER uczestnicy projektu zobowiązani są do podpisania oświadczenia
uczestnika projektu, dotyczącego zgody na przetwarzanie danych osobowych i będącego warunkiem
uczestnictwa w projekcie. Wzór oświadczenia stanowi załącznik nr 6 do umowy. Beneficjent jest
zobowiązany uzyskać oświadczenia od uczestników projektu oraz przechowywać je w swojej siedzibie
lub w innym miejscu, w którym są złożone dokumenty związane z projektem.

Beneficjent może powierzyć przetwarzanie danych osobowych podmiotom wykonującym zadania
związane z udzieleniem wsparcia i realizacją projektu.

Możliwe jest zatem powierzenie przetwarzania danych w szczególności podmiotom realizującym
badania ewaluacyjne, a także podmiotom realizującym zadania związane z audytem, kontrolą,
monitoringiem i sprawozdawczością oraz działaniami informacyjno-promocyjnymi prowadzonymi w
ramach programu.

Warunkiem jest jednak, że instytucja zarządzająca w terminie siedmiu dni roboczych od dnia
wpłynięcia do niej informacji o zamiarze powierzania przetwarzania danych osobowych nie wyrazi
sprzeciwu.

Kolejnym wymogiem jest to, że beneficjent zawrze z każdym podmiotem, któremu powierza
przetwarzanie danych osobowych umowę powierzenia przetwarzania danych zgodnie z
postanowieniami zawartymi w umowie o dofinansowanie projektu w ramach Programu Operacyjnego
Wiedza Edukacja Rozwój 2014–2020 (w paragrafie 21 dotyczącym ochrony danych osobowych).

Ważne

Zakres przetwarzanych danych osobowych nie może być szerszy, niż określony w załączniku do
umowy o dofinansowanie projektu pn. „Zakres danych osobowych powierzonych do przetwarzania”.

Beneficjent zobowiązany jest do przekazywania instytucji zarządzającej listy podmiotów, którym
powierza przetwarzanie danych osobowych. Obowiązek ten występuje za każdym razem, gdy takie
powierzenie przetwarzania danych osobowych nastąpi, jak również na każde żądanie instytucji
zarządzającej.

Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

3

Beneficjent jest zobowiązany do podjęcia wszelkich działań mających na celu zachowanie poufności
danych osobowych przetwarzanych przez osoby posiadające do nich dostęp i upoważnione do
przetwarzania danych osobowych. Do przetwarzania danych osobowych mogą zostać dopuszczone
tylko osoby posiadające wystawione upoważnienie do ich przetwarzania pozyskane na przykład dla
zbioru:

•

POWER – upoważnienia wystawia IP/beneficjent,

•

CST – upoważnienia wystawiane są przez administratora danych w Centralnym systemie
teleinformatycznym.

Instytucja zarządzająca umocowuje beneficjenta zarówno do wydawania, jak i odwoływania osobom,
imiennych upoważnień do przetwarzania danych osobowych (załącznik nr 7 i załącznik nr 8 do
umowy).

Beneficjent jest zobowiązany prowadzić ewidencję osób upoważnionych do przetwarzania danych
osobowych w związku z wykonywaniem umowy.

W procesie rozliczania projektu oraz komunikowania z instytucją zarządzającą wykorzystywany
powinien być centralny system teleinformatyczny. Beneficjent, w przypadku przetwarzania
powierzonych danych osobowych w systemie informatycznym, zobowiązuje się do przetwarzania ich
co najmniej w SL2014.

Wykorzystanie SL2014 obejmuje przynajmniej przesyłanie:

•

wniosków o płatność,

•

dokumentów potwierdzających kwalifikowalność wydatków ponoszonych w ramach
projektu i wykazywanych we wnioskach o płatność,

•

danych uczestników projektu,

•

harmonogramu płatności,

•

innych dokumentów związanych z realizacją projektu, w tym niezbędnych do
przeprowadzenia jego kontroli.

Beneficjent powinien przekazać dane o poszczególnych uczestnikach, które zostały wyszczególnione w
załączniku nr 5 do umowy o dofinansowanie projektu.

Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

4

Beneficjent zobowiązuje się do udzielenia instytucji zarządzającej, na każde jej żądanie, informacji na
temat przetwarzania danych osobowych, w szczególności niezwłocznego przekazywania wiadomości o
każdym przypadku naruszenia (przez beneficjenta oraz osoby przez niego upoważnione do
przetwarzania danych osobowych) obowiązków dotyczących ochrony danych osobowych.

Beneficjent ma obowiązek umożliwić instytucji zarządzającej lub podmiotom przez nią upoważnionym
(w miejscach, w których są przetwarzane powierzone dane osobowe) dokonanie kontroli zgodności
przetwarzania powierzonych danych osobowych z między innymi ustawą z 29 sierpnia 1997 r. o
ochronie danych osobowych.

Stosunkowo niedługi okres dzieli nas od rozpoczęcia obowiązywania ogólnego rozporządzenia o
ochronie danych (dalej: RODO). Dokładnie 25 maja 2018 r. każdy z podmiotów, który w jakikolwiek
sposób przetwarza dane, np. w projekcie unijnym, będzie musiał zastosować się do nowych
przepisów.

Ogólne rozporządzenie w zakresie ochrony danych nakłada obowiązek jego stosowania przez
wszystkie podmioty, które przetwarzają dane osobowe. A zatem przepisy będą dotyczyły zarówno
przedstawicieli biznesu, samorządów terytorialnych, organizacji pozarządowych, jak i innych instytucji.
Wielkość podmiotu nie będzie istotna.

Do zmian muszą się przystosować tak mikropodmioty oraz prowadzący jednoosobową działalność
gospodarczą, którzy nikogo nie zatrudniają, jak też duże przedsiębiorstwa z ponad 250 pracownikami i
rozbudowanymi procedurami wewnętrznymi.

Przykład

Główna zmiana w RODO dotyczy tego, że do jego stosowania ma być zobowiązany cały personel
podmiotu, który przetwarza dane. Co więcej, pracownicy będą zobowiązani do oceny skutków
planowanych operacji związanych z ochroną danych. Odbiega to zupełnie od przyjętej praktyki w
Polsce.

Po 25 maja 2018 r. ochroną danych powinni się zajmować pracownicy działów, w których
zidentyfikowano przetwarzanie danych osobowych.

W przypadku beneficjentów funduszy europejskich z koniecznością przetwarzania danych mają do
czynienia działy:

Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

5

•

IT (sprzęt, oprogramowanie, strona internetowa, serwery w chmurze, poczta e-mailowa),

•

HR (dokumentacja kadrowo-płacowa, teczki pracowników, umowy z podwykonawcami),

•

rekrutacja uczestników do projektu,

•

marketing – w tym uwzględniający przetwarzanie danych uczestników projektu,

profilowanie, ewaluacja, promocja projektu,

•

usługi prawne – umowy cywilnoprawne, rekomendacje, przetwarzanie danych

wrażliwych.

Zmiany w prawie będą dotyczyły:

•

instytucji zarządzających,

•

instytucji pośredniczących,

•

beneficjentów,

•

instytucji kontrolujących wdrażanie funduszy unijnych na poziomie zarówno

beneficjenta, jak i instytucji zarządzającej i pośredniczącej, np. GIODO, urząd skarbowy itp.

Obecnie przede wszystkim samorządy i instytucje zatrudniające powyżej 250 pracowników, tzn. duże
podmioty, mają obowiązek zgłaszania zbiorów danych osobowych do GIODO. Po 28 maja przyszłego
roku podmioty przetwarzające dane osobowe będą prowadziły rejestry u siebie. Do ich obowiązków
będzie należała stała aktualizacja tych zbiorów, uwzględniająca m.in.:

•

powody przetwarzania danych,

•

kategorie danych osobowych,

•

adresatów danych,

•

rejestry międzynarodowych transferów danych,

•

rejestry naruszeń i incydentów,

•

rozwój i utrzymanie zasad ochrony prywatności dla każdej linii produktowej,

•

przechowywanie potwierdzonych zgód na przetwarzanie danych.

Formalnie z obowiązku prowadzenia rejestru mają być zwolnione podmioty zatrudniające mniej niż
250 osób.

Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

6

Wyłączenie to nie ma jednak zastosowania, gdy przetwarzanie „może powodować ryzyko naruszenia
praw lub wolności osób, których dane dotyczą” oraz „nie ma charakteru sporadycznego”. Zwolnienie
jest więc sformułowane bardzo wąsko.

Szacuje się, że obowiązek prowadzenia rejestru będzie dotyczył większości podmiotów
przetwarzających dane osobowe (klientów, pracowników, beneficjentów itd.).

Szczególnie istotne zmiany dla beneficjentów funduszy unijnych mają przepisy w zakresie zmian
odnoszące się do wyrażenia zgody na przetwarzanie danych osobowych. Dotyczy to pracowników oraz
interesariuszy wewnętrznych podmiotu (podwykonawcy, outsourcing np. usług IT i HR).

Formularze zawiłe, nieprecyzyjne i zbyt skomplikowane w trakcie kontroli zostaną zaklasyfikowane
jako wadliwe, a uzyskana w ten sposób zgoda zostanie uznana za wyrażoną w sposób nieskuteczny.

Może to de facto wpłynąć negatywnie na uzyskane przez projekt wskaźników rezultatu czy produktu, a
to oznacza konieczność zwrotu części dofinansowania.

Przykład

Przestrzegamy przed formularzami z domyślnie zaznaczonymi okienkami ze zgodą na przetwarzanie
danych osobowych czy też ze zgodą na ich przekazywanie podmiotom trzecim. Osoba, która wyraża
zgodę, musi to zrobić świadomie, dobrowolnie, z pełnym zrozumieniem treści i konsekwencji.

Taka praktyka jest często spotykana przy projektach współfinansowanych ze środków Europejskiego
Funduszu Społecznego, które wymagają złożonych procedur w zakresie przetwarzania danych
osobowych. Podmioty, nierzadko z intencją ułatwienia poprawnego wypełnienia formularzy, już od
razu wypełniały pola związane ze zgodą na przetwarzanie danych w formie elektronicznej.

RODO będzie wymagało wyrażenia zgody jedynie przez faktyczne zaznaczenie każdego z okienek
przez osobę, której dane dotyczą. Zgoda wiązać się będzie zatem z aktywnym działaniem osoby
fizycznej, która nie będzie umożliwiała domniemania jej istnienia.

Podstawa prawna:

•

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w

sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o
ochronie danych osobowych).

•

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).

Ebook pobrany przez monikapawlas@gmail.com

Prawidłowe przetwarzanie danych osobowych w projekcie unijnym

7

Autorzy:

Weronika Burman, niezależny konsultant, specjalizuje się w zarządzaniu projektami, pozyskiwaniu

funduszy zewnętrznych i rozliczaniu projektów finansowanych z funduszy unijnych

Agnieszka Szuszakiewicz-Idziaszek, specjalista ds. funduszy unijnych, Akademia im. Jakuba z

Paradyża w Gorzowie Wielkopolskim

Redaktor:

Iwona Jeleń

ISBN:

978-83-269-6601-9

E-book nr:

2HH0602

Wydawnictwo:

Wydawnictwo Wiedza i Praktyka sp. z o.o.

Adres:

03-918 Warszawa, ul. Łotewska 9a

Kontakt:

Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl

NIP:

526-19-92-256

Numer KRS:

0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy
XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego:
200.000 zł

Copyright by:

Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2017

Ebook pobrany przez monikapawlas@gmail.com