Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

Poniżej zapisy umowy umowy o dofinansowanie dot. ochrony danych osobowych:

Ochrona danych osobowych
§ 30.
1. Na podstawie art. 31 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U.
z 2014 r. poz. 1182 z późn. zm.) Instytucja Zarządzająca Regionalnym Programem Operacyjnym powierza Beneficjentowi przetwarzanie danych osobowych w imieniu i na rzecz Instytucji Zarządzającej i na warunkach opisanych w niniejszym paragrafie.
2. Powierzenie przetwarzania danych osobowych, o którym mowa w ust. 1 następuje wyłącznie
w celu umożliwienia realizacji projektu i zbierania wymaganych niezbędnych danych na temat uczestników projektu.
3. Zakres powierzanych danych osobowych określa załącznik nr 11 do niniejszej umowy Powierzane dane są przetwarzane na podstawie art. 23 ust. 1 pkt 2 oraz art. 27 ust. 2 pkt 2 Ustawy o ochronie danych osobowych.
4. Instytucja Zarządzająca umocowuje Beneficjenta do dalszego powierzenia przetwarzania danych osobowych, w imieniu i na rzecz Instytucji Zarządzającej podmiotom świadczącym usługi na rzecz Beneficjenta w związku z realizacją niniejszego projektu. Powierzenie przetwarzania danych osobowych podmiotom, o których mowa w zdaniu pierwszym, odbywa się na podstawie umów zawieranych na piśmie.
5. Umowy, o których mowa w ust. 4 zawierają zapisy analogiczne do zapisów niniejszego paragrafu
i mogą być zawierane pod warunkiem niewyrażenia sprzeciwu przez Instytucję Zarządzającą
w terminie 7 dni roboczych od dnia wpłynięcia informacji o zamiarze powierzania przetwarzania danych osobowych do Instytucji Zarządzającej. Beneficjent jest zobowiązany do każdorazowego dostosowania zakresu danych osobowych powierzanych do przetwarzania przy czym zakres nie może być szerszy niż zakres określony ust. 3.
6. Instytucja Zarządzająca, zobowiązuje Beneficjenta do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 24 i art. 25 Ustawy o ochronie danych osobowych.
7. Instytucja Zarządzająca, zobowiązuje Beneficjenta do takiego formułowania umów, o których mowa w ust. 4, by podmioty te były zobowiązane do wykonywania wobec osób, których dane dotyczą, obowiązków informacyjnych wynikających z art. 24 i art. 25 Ustawy o ochronie danych osobowych.
8. Beneficjent jest zobowiązany odebrać od uczestnika Projektu oświadczenie, którego wzór stanowi załącznik nr 10 do niniejszej umowy. Oświadczenia przechowuje Beneficjent w swojej siedzibie lub w innym miejscu, w którym są przechowywane dokumenty związane z Projektem. Zmiana wzoru oświadczenia przez Instytucję Zarządzającą nie wymaga aneksowania niniejszej umowy.
9. Beneficjent zobowiązany jest podjąć, przed rozpoczęciem przetwarzania danych osobowych, środki zabezpieczające, o których mowa w art. 36-39 Ustawy o ochronie danych osobowych oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a Ustawy o ochronie danych osobowych, a w szczególności zobowiązany jest do:
a) zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem,
b) zapewnienia, aby dane były udostępniane wyłącznie podmiotom upoważnionym do żądania informacji na podstawie przepisów prawa,
c) ograniczenia dostępu do danych wyłącznie dla osób posiadających upoważnienie
do przetwarzania danych,
d) prowadzenia ewidencji osób upoważnionych do dostępu do danych osobowych,
e) prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych, w której skład wchodzą Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
f) zapewnienia, aby osoby mające dostęp do danych osobowych zachowywały je w tajemnicy, przy czym obowiązek ten istnieje również po ustaniu zatrudnienia tych osób.
10. Instytucja Zarządzająca uprawniona jest do żądania od Beneficjenta pisemnych wyjaśnień dotyczących:
a) stosowanych przez nią środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w tym stosowanych środków sprzętowych i programowych,
b) przetwarzania powierzonych danych osobowych.
11. Beneficjent zobowiązuje się do:
a) niezwłocznego informowania Instytucji Zarządzającej o wszelkich przypadkach naruszenia bezpieczeństwa oraz tajemnicy danych osobowych lub ich niewłaściwym użyciu, a także
o wszelkich czynnościach związanych z niniejszą umową, prowadzonych przed Generalnym Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub sądami;
b) umożliwienia Instytucji Zarządzającej dokonania kontroli w miejscach, w których są przetwarzane powierzone dane osobowe, w zakresie stosowania niniejszej umowy w terminie ustalonym przez strony, nie później jednak niż 5 dni kalendarzowych od dnia powiadomienia Beneficjenta przez Instytucję Zarządzającą o zamiarze przeprowadzenia kontroli, w celu sprawdzenia prawidłowości przetwarzania oraz zabezpieczania danych osobowych;
c) w przypadku powzięcia przez Instytucję Zarządzającą wiadomości o rażącym naruszeniu przez Beneficjenta zobowiązań wynikających z Ustawy o ochronie danych osobowych lub niniejszej umowy, Beneficjent umożliwi Instytucji Zarządzającej dokonanie niezapowiedzianej kontroli;
d) zastosowania się do zaleceń pokontrolnych Instytucji Zarządzającej, dotyczących poprawy jakości zabezpieczania danych osobowych oraz sposobu ich przetwarzania.

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

A tu treść oświadczenia uczestników projektu:

WZÓR OŚWIADCZENIA UCZESTNIKA PROJEKTU

W związku z przystąpieniem do projektu pn. ……………………………………………………….. oświadczam, że przyjmuję do wiadomości, iż:
1. Administratorem moich danych osobowych jest Zarząd Województwa , mający siedzibę przy ul. ;
2. Dane osobowe są przetwarzane wyłącznie w celu realizacji obowiązków związanych z realizacją projektu, w szczególności potwierdzenia kwalifikowalności wydatków, udzielenia wsparcia, monitoringu, ewaluacji, kontroli, audytu i sprawozdawczości oraz działań informacyjno-promocyjnych w ramach RPO 2014-2020;
3. Podanie danych przez uczestnika projektu jest dobrowolne, lecz niezbędne do uczestnictwa
w projekcie. Odmowa ich podania jest równoznaczna z brakiem możliwości udzielenia wsparcia
w ramach projektu;
4. Dane osobowe są niezbędne dla realizacji Regionalnego Programu Operacyjnego na lata 2014 – 2020. W odniesieniu do zbioru „Dane uczestników projektów RPO na lata 2014 – 2020” podstawą prawną przetwarzania moich danych osobowych stanowi
art. 23 ust. 1 pkt 2 oraz art. 27 ust. 2 pkt 2 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182 z późn. zm.) w powiązaniu z aktami prawnymi w tym:
a) Rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr 1303/2013 z dnia
17 grudnia 2013 r. ustanawiające wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu Morskiego i Rybackiego oraz ustanawiające przepisy ogólne dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności
i Europejskiego Funduszu Morskiego i Rybackiego oraz uchylające rozporządzenie Rady (WE) nr 1083/2006;
b) Rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr 1304/2013 z dnia 17 grudnia 2013 r. w sprawie Europejskiego Funduszu Społecznego i uchylające rozporządzenie Rady (WE) nr 1081/2006;
c) Ustawą z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 (t.j. Dz. U z 2014 r. poz. 1146 z późn. zm.);
5. Moje dane osobowe zostały powierzone do przetwarzania Beneficjentowi realizującemu projekt - …………………………………………………………………………………… (nazwa i adres beneficjenta) oraz podmiotom, które na zlecenie beneficjenta uczestniczą w realizacji projektu - ………………………………………………………………………………… ………………………………………………. (nazwa i adres ww. podmiotów);
6. Moje dane osobowe mogą zostać powierzone do przetwarzania podmiotom realizującym badania ewaluacyjne lub inne działania związane z realizacją Regionalnego Programu Operacyjnego na lata 2014 - 2020 na zlecenie Instytucji Koordynującej, Instytucji Zarządzającej, Instytucji Pośredniczącej lub Beneficjenta;
7. Moje dane osobowe nie będą przekazywane podmiotom innym, niż upoważnione na podstawie przepisów prawa. Dane będą także przekazywane do Centralnego Systemu Teleinformatycznego prowadzonego przez Ministerstwo Infrastruktury i Rozwoju, ul. Wspólna 2/4 00-926 Warszawa;
8. W ciągu 4 tygodni po zakończeniu udziału w projekcie udostępnię dane dot. mojego statusu na rynku pracy oraz informacje nt. udziału w kształceniu lub szkoleniu oraz uzyskania kwalifikacji lub nabycia kompetencji, potwierdzone stosownym dokumentem**;
9. W ciągu trzech miesięcy po zakończeniu udziału w projekcie udostępnię dane dot. mojego statusu na rynku pracy, potwierdzone stosownym dokumentem**;
10. Mam prawo dostępu do treści swoich danych i ich poprawiania.

Proszę zauważyć, że wszędzie tutaj mowa jest wyłącznie o uczestnikach, natomiast nie ma ani słowa o osobach, które aplikowały, ale nie uczestniczą w projekcie (rezygnacja, zbyt mało miejsc, itp).

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

A tutaj kategorie danych zbieranych od uczestników na postawie ustawy o z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014–2020 i Rozporządzeń unijnych.

Instytucja Zarządzająca powierza Beneficjentowi do przetwarzania następujący zbiór danych osobowych w zakresie dofinansowanego projektu zawierający kategorie danych osobowych:

Dane uczestników projektów RPO 2014-2020

a) nazwiska i imiona
b) adres zamieszkania lub pobytu
c) PESEL
d) miejsce pracy
e) zawód
f) wykształcenie
g) numer telefonu
h) wiek
i) adres email
j) informacja o bezdomności
k) sytuacja społeczna i rodzinna
l) migrant
m) pochodzenie etniczne
n) stan zdrowia

- zakres danych zgodny z załącznikiem nr I do Rozporządzenia Parlamentu Europejskiego
i Rady (UE) nr 1304/2013 z dnia 17 grudnia 2013 r. w sprawie Europejskiego Funduszu Społecznego
i uchylającego rozporządzenie Rady (WE) nr 1081/2006 (Dz. U. UE. z 2013 r. L 347/470):

Lp. NazwaI Dane uczestnika1 Imię 2 Nazwisko 3 PESEL 4 Kraj 5 Rodzaj uczestnika 6 Nazwa Instytucji 7 Płeć 8 Wiek w chwili przystąpienia do projektu 9 WykształcenieII Dane kontaktowe uczestnika10 Województwo 11 Powiat 12 Gmina 13 Miejscowość 14 Ulica 15 Nr budynku 16 Nr lokalu 17 Kod pocztowy 18 Obszar wg stopnia urbanizacji (DEGURBA) 19 Telefon kontaktowy 20 Adres e-mailIII Szczegóły i rodzaj wsparcia21 Data rozpoczęcia udziału w projekcie 22 Data zakończenia udziału w projekcie 23 Status osoby na rynku pracy w chwili przystąpienia do projektu 24 Wykonywany zawód 25 Zatrudniony w 26 Sytuacja (1) osoby w momencie zakończenia udziału w projekcie 27 Sytuacja (2) osoby w momencie zakończenia udziału w projekcie 28 Inne rezultaty dotyczące osób młodych 29 Zakończenie udziału osoby w projekcie zgodnie z zaplanowaną dla niej ścieżką uczestnictwa 30 Rodzaj przyznanego wsparcia 31 Data rozpoczęcia udziału we wsparciu 32 Data zakończenia udziału we wsparciu 33 Data założenia działalności gospodarczej 34 Kwota przyznanych środków na założenie działalności gospodarczej 35 PKD założonej działalności gospodarczejIV Status uczestnika projektu w chwili przystąpienia do projektu36 Osoba należąca do mniejszości narodowej lub etnicznej, migrant, osoba obcego pochodzenia 37 Osoba bezdomna lub dotknięta wykluczeniem z dostępu do mieszkań 38 Osoba z niepełnosprawnościami 39 Osoba przebywająca w gospodarstwie domowym bez osób pracujących 40 w tym: w gospodarstwie domowym z dziećmi pozostającymi na utrzymaniu 41 Osoba żyjąca w gospodarstwie składającym się z jednej osoby dorosłej i dzieci pozostających na utrzymaniu 42 Osoba o innej niekorzystnej sytuacji społecznej (innej niż wymienione) 43 Przynależność do grupy docelowej zgodnie ze Szczegółowym Opisem Priorytetów Programu Operacyjnego / Zatwierdzonym do realizacji wnioskiem o dofinansowanie projektu

Jak Państwo widzą powyżej, nie ma tu ani słowa odnośnie danych rodziców uczestników i/lub kandydatów na uczestników

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

Dawid Ł.:
Problem w tym, że tak samo jak ja nie wiem czy realizator jest ADO, tak samo nie będą tego wiedzieć pracownicy IZ ponieważ się na tym nie znają.

Dostaną pismo, to się pochylą nad tematem.

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

Dawid Ł.:
Proszę zauważyć, że wszędzie tutaj mowa jest wyłącznie o uczestnikach, natomiast nie ma ani słowa o osobach, które aplikowały, ale nie uczestniczą w projekcie (rezygnacja, zbyt mało miejsc, itp).

Czujny jesteś, to dobrze.
Moim zdaniem to jest ten sam zbiór, bo ten sam cel przetwarzania. Jednak wydzieliłbym to jako podzbiór, bo krótszy będzie okres retencji danych.

Rodzice małoletnich - GIODO zawsze traktuje to jako dane uczestników, nie przejmuj się tym.

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

Paweł G.:

Dawid Ł.:
Proszę zauważyć, że wszędzie tutaj mowa jest wyłącznie o uczestnikach, natomiast nie ma ani słowa o osobach, które aplikowały, ale nie uczestniczą w projekcie (rezygnacja, zbyt mało miejsc, itp).

Czujny jesteś, to dobrze.
Moim zdaniem to jest ten sam zbiór, bo ten sam cel przetwarzania. Jednak wydzieliłbym to jako podzbiór, bo krótszy będzie okres retencji danych.

A czy nie jest tak, że osobno rejestruje się zbiór pracowników, a osobno zbiór związany z kandydatami do pracy? Chyba nawet na tym forum o tym czytałem...

Idąc tym tokiem myślenia, osobno winien być zbiór uczestników, a osobno zbiór dotyczący kandydatów. Poza tym, dokumentacja, która realizator podpisuje z IZ wyraźnie mówi o danych uczestników, reszta ich tak jakby nie interesuje. Tyle tylko, że w tym wypadku byłoby dwóch różnych ADO, a dokumentacja byłaby niespójna - jeden dokument informowałby, iż ADO jest Prezydent, a drugi, że ADO jest Zarząd Województwa.

Chyba rzeczywiście pokuszę się o napisanie prośby o interpretację przepisów z IZ.

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

Dawid Ł.:
A czy nie jest tak, że osobno rejestruje się zbiór pracowników, a osobno zbiór związany z kandydatami do pracy?

Nie fetyszyzuj rejestracji zbiorów. To ma małe znaczenie. Przede wszystkim nie reprezentujesz administratora, lecz procesora.

Idąc tym tokiem myślenia, osobno winien być zbiór uczestników, a osobno zbiór dotyczący kandydatów. Poza tym, dokumentacja, która realizator podpisuje z IZ wyraźnie mówi o danych uczestników, reszta ich tak jakby nie interesuje.

Cóż ty opowiadasz? Jak to ich nie interesuje? Masz powierzony cały zbiór, po prostu przeczytaj tylko uważnie umowę i się do niej stosuj. To oczywiste, że w imieniu małoletnich podpisują rodzice.Ten post został edytowany przez Autora dnia 25.04.17 o godzinie 16:45

Temat: Przetwarzanie danych w projektach dofinansowanych z EFS

Dawid Ł.:

A czy nie jest tak, że osobno rejestruje się zbiór pracowników, a osobno zbiór związany z kandydatami do pracy? Chyba nawet na tym forum o tym czytałem...

To bardzo zależy od ustanowionego celu dla tego zbioru.

Jeśli kandydaci są przetwarzani w celu włączenia do zbioru (analogia: pracodawca otwiera rekrutację na stanowisko do swojej firmy) to jest to ten sam zbiór, pod warunkiem, że po rekrutacji usuwa dane i nie zostawia sobie ich na dalsze rekrutacje.

Jeśli natomiast kandydaci są zbierani bo w jakiejś przyszłości będziemy mieć projekt / projektu europejskie i tworzymy sobie zbiór potencjalnych uczestników to wtedy będzie to odrębny zbiór.