Punkt dla Przyrody
szukaj
search icon logo
logo

RODO

Dane osobowe w projektach

Beneficjent podpisując umowę o dofinansowanie przedsięwzięcia ze środków Unii Europejskiej, zobowiązuje się do jego realizacji m.in.:

  • „w pełnym zakresie, zgodnie z Umową i jej załącznikami, z należytą starannością, zgodnie z obowiązującymi przepisami prawa krajowego i unijnego….”
  • Beneficjent zobowiązuje się w szczególności do przestrzegania i stosowania: zasad polityk unijnych, które są dla niego wiążące, w tym przepisów dotyczących konkurencji, pomocy publicznej, udzielania zamówień publicznych, ochrony środowiska, ochrony danych osobowych oraz polityki równych szans”
  • „Beneficjent zobowiązuje się ustanowić, wdrożyć i stosować procedury wewnętrzne, dotyczące przetwarzania danych osobowych, …”
  • Ponadto Beneficjent korzystając z systemu CST2021/SL2021 przy rozliczaniu projektu jest zobowiązany przestrzegać Wytyczne dotyczące warunków gromadzenia i przekazywania danych w postaci elektronicznej na lata 2021-2027, w zakresie m.in. wewnętrznych procedur instytucji  w zakresie przetwarzania danych osobowych. Link

RODO to ogólne rozporządzenie unijne o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych. Jest to zbiór przepisów regulujących wykorzystanie danych osób fizycznych. Przepisy te stanowią reguły i limity, do których muszą się dopasować instytucje i przedsiębiorcy w procesie przetwarzania danych. Nie mogą więc dowolnie wykorzystywać danych innych osób – muszą stosować się do szczególnych zasad

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – tzw. RODO; link
  2. Ustawa o ochronie danych osobowych, link
  3. Norma ISO 27001 – jest normą uznawaną na arenie międzynarodowej dotyczącą Systemu Zarządzania Bezpieczeństwem Informacji. Norma zapewnia obszerne podstawowe ramy służące wyeliminowaniu ryzyka związanego z wyciekiem danych za pomocą odpowiednich działań i środków kontroli.

  • Dane osobowe szczególnej kategorii (wcześniej nazywane danymi wrażliwymi) te dane należy szczególnie chronić: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
  • Dane osobowe zwykłe
    • imię, nazwisko, adres zamieszkania, numer PESEL, numer IP

ZAWSZE

RODO nie znajduje zastosowania, gdy:

  • dane dotyczą osób prawnych, a nie osób fizycznych (np. nazwa firmy, NIP spółki – o ile nie zawiera danych osoby fizycznej)
  • przetwarzanie danych odbywa się w ramach czynności o czysto osobistym lub domowym charakterze (np. lista gości na prywatnej uroczystości)
  • przetwarzanie danych jest wykonywane przez organy ścigania lub sądy w ramach działań objętych specjalnymi przepisami (np. postępowanie karne)

DANE OSOBOWE – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

PRZETWARZANIE – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

ADMINISTRATOR – to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Przykład: Organizacja realizująca projekt współfinansowany ze środków UE (np. fundusz EFS, FEnIKS, Erasmus+) jest administratorem danych uczestników projektu, ponieważ sam decyduje, jakie dane musi zebrać (np. imię, nazwisko, PESEL, wykształcenie, sytuacja zawodowa),

PODMIOT PRZETWARZAJĄCY – To jednostka, firma lub organizacja, która przetwarza dane osobowe w imieniu administratora danych.

Podmiot przetwarzający nie decyduje o celach ani sposobach przetwarzania danych – działa wyłącznie na podstawie instrukcji

Przykłady Podmiotów Przetwarzających w projektach unijnych:

  • Dostawcy systemów rekrutacyjnych i formularzy online (np. platformy rejestracyjne uczestników projektów),
  • Firmy szkoleniowe prowadzące zajęcia dla uczestników na zlecenie beneficjenta projektu,
  • Zewnętrzne biura rachunkowe obsługujące projekt pod względem księgowym,
  • Firmy IT zapewniające infrastrukturę serwerową lub oprogramowanie do obsługi dokumentacji projektowej,

Uwaga! Co zrobić aby zminimalizować ryzyko naruszenia danych osobowych


Aby zminimalizować ryzyko naruszenia ochrony danych osobowych:

  1. stosuj zasadę czystego biurka – chowaj dokumenty, które zawierają dane osobowe, zamykaj je w szafach po skończonej pracy
  2. blokuj ekran monitora po odejściu od biurka
  3. nie zapisuj danych do logowania na kartce przy komputerze (w ogóle nie zapisuj hasła)
  4. nie udostępniaj nikomu swoich danych do logowania
  5. nie użyczaj sprzętu służbowego osobom trzecim
  6. nie korzystaj z komputera służbowego do celów prywatnych


Odpowiedzialność za naruszenie ochrony danych osobowych

W stosunku do osoby, która zaniedbuje obowiązki związane z ochroną danych osobowych mogą zostać wyciągnięte konsekwencje:

Dyscyplinarne – przewidziane Kodeksem Pracy oraz wewnętrznymi regulacjami obowiązującymi w strukturze Administratora Danych Osobowych.

Karne – w przypadku, gdy naruszenie miałoby charakter umyślnego przestępstwa, wówczas zastosowanie powinny znaleźć przepisy karne, a konkretniej art. 107 o ochronie danych osobowych.

Odszkodowawcze – w sytuacji, w której nieprawidłowe przetwarzanie danych przez pracownika narazi pracodawcę na szkodę – np.  Gdy pracodawca będzie zobowiązany do wypłaty odszkodowania na rzecz osoby fizycznej, której prawa i wolności zostały naruszone właśnie wskutek niezgodnego z prawem i procedurami działania pracownika.

Podstawowe zasady przetwarzania danych osobowych!

  1. ZASADA LEGALNOŚCI – przetwarzanie może być tylko dokonywane na podstawie obowiązujących przepisów, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą;
  2. ZASADA CELOWOŚCI – przetwarzamy dane, gdy tylko ma to swój cel – np. dane kontrahentów, aby wydać im towar, dane pracowników, aby realizować postanowienia umowy o pracę; dodatkowo pobierany dane nam niezbędne – np. nie będzie nam potrzebne nazwisko panieńskie matki kontrahenta albo zestaw przebytych chorób pracownika biurowego,
  3. ZASADA ADEKWATNOŚCI – zbieramy tylko takie dane, które są adekwatne, stosowne oraz ograniczone  do tego, co niezbędne do celów, w których są przetwarzane,
  4. ZASADA OGRANICZONEGO CZASU – dane osobowe przetwarzamy tylko przez ten czas na jaki są nam potrzebne lub na taki okres jak wynika to z przepisów prawa
  5. ZASADA INTEGRALNOŚCI I POUFNOŚCI – do danych mają dostęp tylko upoważnieni pracownicy i upoważnione osoby z zewnątrz, nikt kto nie jest upoważniony nie ma prawa dostępu do danych, które gromadzi pracodawca, robimy wszystko, aby danych nie utracić, czy bezpodstawnie nie modyfikować;
  6. ZASADA POPRAWNOŚCI MERYTORYCZNEJ – zawsze staramy się mieć aktualne dane osobowe i cały czas monitorujemy ich aktualność;
  7. ZASADA ROZLICZALNOŚCI – trzeba tak pracować, aby było wiadomo kto dokonał jakich czynności w systemach – każdy korzysta tylko ze swojego stanowiska, wskazanego komputera, swojego loginu, hasła, komputera, telefonu służbowego, aby można było zidentyfikować kto dopuścił się naruszenia i dlaczego oraz musimy umieć wykazać, że przestrzegamy wszystkich zasad

Menu