Temat: Przetwarzanie danych w projektach dofinansowanych z EFS
Witam wszystkich.
Pozwolę sobie odświeżyć ten wątek ponieważ mam problem związany z ochroną danych osobowych w projektach dofinansowanych w ramach Regionalnych Programów Operacyjnych, w perspektywie finansowej 2014-2020.
Zgodnie z wzorami umów o dofinansowanie projektów w ramach Regionalnych Programów Operacyjnych (przejrzałem dokumentację dotyczącą kilku województw), administratorem danych osobowych uczestników projektu jest zawsze Zarząd Województw. Realizatorzy projektów (tzw. Beneficjenci) są natomiast podmiotami, którym Zarządy powierzają dane zgodnie z art. 31 uodo. Uczestnicy projektów każdorazowo podpisują oświadczenia dot. danych osobowych (standardowa informacja zgodna z art. 24 uodo o tym, iż to Zarząd jest ADO oraz o tym, że dane będą powierzane i udostępniane na potrzeby realizacji, ewaluacji, kontroli, itp) , a zakres przekazywanych danych został szczegółowy określony w tzw. wytycznych w zakresie warunków gromadzenia przekazywania danych w postaci elektronicznej na lata 2014-2020 (wytyczne ministerialne, w randze Rozporządzenia). Dane osobowe uczestników (w tym też dane wrażliwe) są przetwarzane na podstawie ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020 (Zarządy województw zgłosiły do GIODO zbiory zawierające dane uczestników projektów dofinansowanych w ramach Regionalnych Programów Operacyjnych). Dane uczestników wprowadzane są do systemu informatyczne zwanego SL 2014 i to w nim prowadzona jest ich ewidencja.
W związku z powyższym, mam następujące pytania, na które nie potrafię niestety znaleźć odpowiedzi.
1. Kto jest administratorem danych osób, które wezmą udział w rekrutacji do projektu? Osoby, kandydujące do działu w projekcie wypełniają różnego rodzaju ankiety rekrutacyjne/wnioski o udzielenie wsparcia. Czy Administratorem danych zawartych w ankiecie/wniosku jest Zarząd, czy też realizator projektu? Zwracam uwagę, że nie każdy kto taką ankietę wypełni i złoży staje się z automatu uczestnikiem projektu. Cześć osób odpadnie, a część zrezygnuje - takich osób nie wykazuje się Instytucjom Zarządzającym, ale ich ankiety pozostają u realizatorów.
2. Ponieważ część projektów dotyczy uczniów lub przedszkolaków, w ankiecie są również dane ich rodziców (rodzic nie jest uczestnikiem, reprezentuje jedynie niepełnoletnie dziecko). Czy administratorem ich danych (niezależnie czy uczeń zostanie uczestnikiem, czy nim nie zostanie) jest realizator, czy też Zarząd Województwa? W umowach o dofinansowanie i ich załącznikach mowa jedynie o uczestnikach projektów (mogę takie umowy i załączniki podesłać zainteresowanym osobom).
3. Czy realizator winien zgłosić do GIODO zbiór danych dzieci/uczniów kandydujących do projektu i ich rodziców?
4. Jeśli realizator winien zgłosić osobny zbiór, to na jakiej podstawie może on przetwarzać dane osób biorących udział w rekrutacji - ustawy o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020, czy też powinien znaleźć inną podstawę prawną lub uzyskać zgodę kandydatów (i ich rodziców) dotyczącą przetwarzania danych?
5. W projekcie oprócz pracowników realizatora będą również zatrudnione inne osoby na umowę cywilnoprawną - konkretnie nauczyciele prowadzący dodatkowe zajęcia w ramach projektu. Kto będzie administratorem ich danych? Realizatorzy jako podmioty podpisujący z nimi umowę, czy też Zarządy Województw (Samorządy Województw mają zarejestrowane zbiory dot. wykonawców w projektach w ramach RPO, a ich dane wprowadzane są do bazy personelu w SL 2014, którego właścicielem jest Minister Rozwoju)?
6. Czy każdemu z takich nauczycieli winno się wystawić upoważnienie do przetwarzania danych? A może należy podpisać z nimi umowę powierzenia/podpowierzenia?
7. Czy jest prawdą, że dla projektów realizowanych w ramach podmiotu/organizacji winna zostać napisana osobna polityka bezpieczeństwa? Jak taki dokument miałby mniej więcej wyglądać?
Wyrażam nadzieję,, iż będą Państwo w stanie udzielić mi odpowiedz na powyższe pytania (lub ewentualnie przekazać je komuś kto zna specyfikę projektów dofinansowanych). Niestety, ale sam nie potrafię nigdzie nic sensownego znaleźć. Jedyne przepisy prawa, które cokolwiek w tym temacie mówią to:
a) art. 71 ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów w zakresie polityki spójności finansowanych w perspektywie finansowej 2014-2020
Cyt.: Minister właściwy do spraw rozwoju regionalnego jest administratorem danych osobowych gromadzonych w centralnym systemie teleinformatycznym w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 i 2281).
b) Rozdział 8.2, pkt. 5 Wytycznych w zakresie kwalifikowalności wydatków w ramach Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego oraz Funduszu Spójności na lata 2014-2020.
Cyt.: Z chwilą przystąpienia do projektu każdy uczestnik projektu będący osobą fizyczną składa oświadczenie o przyjęciu przez niego do wiadomości informacji, o których mowa w art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz.1182, z późn. zm.). W przypadku uczestnika projektu nieposiadającego zdolności do czynności prawnych, o świadczenie składa jego opiekun prawny.
Z góry dziękuję za wszelką udzieloną w temacie pomoc.
Z poważaniem,
Dawid Ł.