Przetwarzanie danych osobowych w projektach IZ FEP współfinansowanych z EFS

Zapisz w moje

Klauzula Informacyjna dla beneficjentów IZ FEP 2021-2027 (EFS+) 

Zgodnie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1) (dalej: RODO) Instytucja Zarządzająca FEP 2021-2027, zwana dalej „Instytucją Zarządzającą” informuje, że:

  1. Administratorem danych osobowych Beneficjenta będzie Zarząd Województwa Pomorskiego z siedzibą w Gdańsku, 80-810 Gdańsk, ul. Okopowa 21/27, nr tel. 58 326 81 90;
  2. Dane kontaktowe inspektora ochrony danych to e-mail: iod@pomorskie.eu;

  3. Dane osobowe osób reprezentujących Beneficjenta przetwarzane będą w celu wykonania umowy o dofinansowanie Projektu, na podstawie art. 6 ust. 1 lit. b RODO. Dane osobowe osób do kontaktu wskazanych przez Beneficjenta w umowie będą przetwarzane w celu współpracy w sprawach związanych z realizacją umowy, na podstawie art.6 ust. 1 lit. e RODO (tj. w interesie publicznym).

    Dane ww. osób będą również przetwarzane w celu:

    a) wykonywania obowiązków Instytucji Zarządzającej w zakresie realizacji programu regionalnego Fundusze Europejskie dla Pomorza 2021-2027, dalej zwanego „FEP 2021-2027″, w szczególności potwierdzania kwalifikowalności wydatków, płatności ze środków europejskich i krajowego współfinansowania, dochodzenie zwrotu środków od beneficjentów, w tym prowadzenie postępowań administracyjnych w celu wydania decyzji o zwrocie środków, udzielania wsparcia uczestnikom projektów, ewaluacji, monitoringu, kontroli, audytu, sprawozdawczości oraz działań informacyjno-promocyjnych i edukacyjnych w ramach FEP 2021-2027 współfinansowanego z EFS+ i EFRR;

    b) rejestrowania i przechowywania w formie elektronicznej za pomocą CST2021 danych dotyczących każdej operacji, niezbędnych do wykonywania funkcji Instytucji Zarządzającej oraz

    c) wypełnienia obowiązku archiwizacji dokumentów na podstawie art. 6 ust. 1 lit. c RODO;

  4. Dane osobowe będą udostępniane pozostałym administratorom wymienionym w art. 87 ustawy z dnia 28 kwietnia 2022 r. o zasadach realizacji zadań finansowanych ze środków europejskich w perspektywie finansowej 2021–2027 (Dz. U. poz. 1079) oraz stronom i innym uczestnikom postępowań związanych z dochodzeniem zwrotu środków od beneficjentów, w tym prowadzonych postępowań administracyjnych w celu wydania decyzji o zwrocie środków. Dane będą przekazywane innym podmiotom, którym zlecimy usługi związane z przetwarzaniem danych osobowych (tj. podmiotom wspierającym systemy informatyczne, podmiotom świadczącym usługi na rzecz Zarządu Województwa Pomorskiego w związku z realizacją FEP 2021-2027). Wskazane podmioty będą przetwarzać dane na podstawie umowy z nami i tylko zgodnie z naszymi poleceniami. Ponadto w zakresie stanowiącym informację publiczną dane będą ujawniane każdemu zainteresowanemu taką informacją lub publikowane w Biuletynie Informacji Publicznej Urzędu czy na stronie internetowej programu regionalnego FEP 2021-2027;
  5. Dane osobowe będą przechowywane przez okres niezbędny do realizacji celów określonych w punkcie 3, z uwzględnieniem postanowień art. 82 i art. 65 rozporządzenia Parlamentu Europejskiego i Rady (EU) 2021/1060 z dnia 24 czerwca 2021 r. ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności, Funduszu na rzecz Sprawiedliwej Transformacji i Europejskiego Funduszu Morskiego, Rybackiego i Akwakultury, a także przepisy finansowe na potrzeby tych funduszy oraz na potrzeby Funduszu Azylu, Migracji i Integracji, Funduszu Bezpieczeństwa Wewnętrznego i Instrumentu Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (Dz. Urz. UE L 231 z 30.06.2021, str. 159, z późn. zm.). Bieg okresu, o którym mowa powyżej zostaje przerwany w przypadku wszczęcia postępowania administracyjnego lub sądowego dotyczącego wydatków rozliczonych w projekcie albo na wniosek Komisji Europejskiej, zgodnie z art. 82 ust. 2 ww. rozporządzenia;
  6. Osoba, której dane dotyczą posiada prawo do żądania od administratora danych dostępu do danych ich sprostowania, usunięcia lub ograniczenia przetwarzania lub prawo wniesienia sprzeciwu wobec przetwarzania;
  7. Osoba, której dane dotyczą posiada prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie danych osobowych narusza przepisy RODO;
  8. Podanie danych osobowych jest warunkiem realizacji projektu zgodnie z umowy o dofinansowanie projektu, a konsekwencją niepodania danych osobowych będzie brak możliwości zawarcia i realizacji umowy.

Stosowanie RODO w projektach IZ FEP współfinansowanych z EFS+ 

WAŻNE!  W perspektywie  finansowej 2021- 2027 administratorem danych osobowych, poza Instytucją Zarządzającą, Instytucją Pośredniczącą jest również Beneficjent, Wnioskodawca oraz pozostałe podmioty wymienione w art. 87 ust. 1 w zw. z art. 88 ustawy z dnia 28 kwietnia 2022 r. o zasadach realizacji zadań finansowanych ze środków europejskich w perspektywie finansowej 2021-2027 (dalej ustawy wdrożeniowej). Jednocześnie, uwzględniając przepisy RODO oraz ich obowiązującą wykładnię należy zauważyć, że istnieje możliwość uznania podmiotów niewymienionych w ustawie wdrożeniowej za administratorów danych osobowych w sytuacji, w której wskazuje na to ocena okoliczności faktycznych związanych z przetwarzaniem.

Uzyskanie statusu administratora danych osobowych (ADO) oznacza konieczność wypełniania obowiązków nałożonych przez RODO, w tym do:

  • zapewnienia zgodności przetwarzania danych z RODO, zgodnie z art. 5, 6, 9 i 10;
  • wypełnienia obowiązku informacyjnego wobec odpowiednich osób albo w momencie zbierania danych osobowych (najpóźniej w chwili ich zebrania), albo bezpośrednio przed ich zebraniem, zgodnie z art. 13 i 14 RODO – informując o możliwym przetwarzaniu danych przez pozostałych administratorów wskazanych w ustawie wdrożeniowej zgodnie z systemem instytucjonalnym FEP 2021-2027;
  • stosowania odpowiednich zabezpieczeń organizacyjnych i technicznych, zgodnie z art. 24 RODO;
  • powierzenia, o ile obowiązek taki wynika z RODO, przetwarzania danych podmiotom przetwarzającym  w związku z realizacją zadań w ramach projektu, zgodnie z art. 28 RODO;
  • ustanowienia systemu upoważnień do przetwarzania danych osobowych obejmującego swoim zakresem przetwarzanie danych osobowych w CST2021 w zakresie czynności przetwarzania, które realizuje;
  • prowadzenia rejestru czynności przetwarzania danych i udostępnianie go na żądanie organu nadzorczego, zgodnie z art. 30 RODO;
  • samodzielnego zgłaszania naruszenia ochrony danych osobowych, o ile obowiązek taki wynika z RODO, do organu nadzorczego, a także zawiadamiania o nich podmioty danych dotknięte danym incydentem bezpieczeństwa zgodnie z art. 33 RODO.

Jednym z obowiązków nałożonych na ADO przez RODO jest obowiązek informacyjny. Beneficjent ma obowiązek poinformować osobę fizyczną (w tym uczestnika projektu) o przetwarzaniu jej danych osobowych i jej prawach przysługujących w związku z przetwarzaniem danych, zgodnie z art.13 lub 14 RODO, tj. podać informacje o:

  • administratorze danych, inspektorze danych osobowych,
  • celach i podstawie prawnej przetwarzania danych,
  • odbiorcach danych i okresie przechowywania danych,
  • uprawnieniach przysługujących osobie fizycznej,
  • wymogu ustawowym lub umownym podania danych oraz konsekwencjach niepodania danych.

W przypadku, gdy dane nie są zbierane bezpośrednio od osoby fizycznej, należy podać też informacje o kategoriach danych osobowych i źródle pochodzenia danych (np. że pochodzą ze źródeł publicznie dostępnych).

W praktyce realizacja obowiązku informacyjnego sprowadza się do:

  • dołączenia klauzuli informacyjnej do formularza służącego gromadzeniu danych uczestników projektu/ formularza zgłoszeniowego (np. deklaracji uczestnictwa w projekcie), do oświadczeń uczestników projektu, do umów itp.;
  • opublikowania klauzuli informacyjnej na stronie internetowej beneficjenta;
  • umieszczenia klauzuli informacyjnej w widocznym miejscu w siedzibie beneficjenta np. na tablicy ogłoszeń, w sekretariacie, w miejscu w którym prowadzona jest rekrutacja do projektu;
  • przesłania klauzuli informacyjnej w pierwszej odpowiedzi do uczestnika projektu;
  • możliwości stosowania tzw. warstwowego obowiązku informacyjnego. W takim modelu w pierwszej warstwie (np. w stopce e-maila) podaje się informacje o administratorze, celu przetwarzania oraz o prawach przysługujących osobie. Natomiast w drugiej warstwie powinna się znaleźć pełna klauzula informacyjna np. za pomocą bezpośredniego linku internetowego.

Należy podkreślić, że konieczne jest aby administrator był w stanie wykazać, iż udzielił osobie, której dane dotyczą, wszystkich informacji z ww. obowiązku informacyjnego. Jednocześnie należy mieć na uwadze zapisy niniejszych zasad w podrozdziale 1.4 Kwalifikowalność uczestników projektu/podmiotów otrzymujących wsparcie w zakresie potwierdzania zapoznanie się przez uczestnika projektu z informacjami wynikającymi z art. 13 i art. 14 RODO w momencie przystąpienia do projektu. Sposób udokumentowania zapoznania się z powyższymi informacjami musi pozwalać na zachowanie ścieżki audytu zgodnie z Wytycznymi kwalifikowalności (rozdz. 4 pkt. 8).

Przy przetwarzaniu danych osobowych należy zachować zgodność z zasadami wprowadzonymi przez RODO:

  • zgodności z prawem (legalności), rzetelności i przejrzystości – np.: należy sprawdzić, czy jest przepis prawa pozwalający na zbieranie danych, pozwalający na udostępnianie danych innemu podmiotowi; upublicznienie danych na stronie internetowej; czy spełniony został obowiązek informacyjny – czy przekazano osobie klauzulę informacyjną?;
  • ograniczonego celu – np.: należy sprawdzić, czy cel przetwarzania jest zgodny z przepisem prawa i określony w momencie zbierania danych;
  • minimalizacji danych - np.: należy sprawdzić, czy nie zbierane są  nadmiarowe dane;
  • prawidłowości – np.: należy sprawdzić, czy dane są prawidłowe (poprawne) i w razie potrzeby aktualizowane;
  • ograniczonego przechowywania – np.: należy ustalić prawidłowy okres przechowywania zgodnie z umową o dofinansowanie, instrukcją kancelaryjną beneficjenta (jeżeli dotyczy),
  • integralności i poufności – np.: należy stosować zasady bezpieczeństwa informacji – sprawdzić m.in. czy jest upoważnienie do przetwarzania danych osobowych dla personelu projektu, czy przeprowadzana jest analiza ryzyka.

Jednocześnie należy wykazać przestrzeganie powyższych zasad (zasada rozliczalności) zgodnie z art. 5 ust. 2 RODO.

Zakres przetwarzanych danych osobowych wskazany jest w art. 87 ust. 2 ustawy wdrożeniowej. Dane osobowe tam wymienione w ramach prowadzonych projektów są przetwarzane na podstawie art. 6 ust. 1 lit. c) (obowiązek prawny), art. 6 ust. 1 lit e) RDODO (interes publiczny) oraz art. 9 ust. 2 lit. g) RODO (dot. danych szczególnych kategorii).

W zakresie potrzebnym do potwierdzenia kwalifikowalności wydatków istnieje możliwość przetwarzania szerszego zakresu danych niż przetwarzanych w CST2021 oraz wskazanych w ustawie wdrożeniowej. W takim wypadku należy - wypełniając obowiązek informacyjny - przedstawić podstawę prawną przetwarzania tych danych np. art. 6 ust. 1 lit. b) RODO w przypadku zawarcia umowy; art. 6 ust. 1 lit. c) RODO- przepisy prawa.

IZ FEP 2021-2027 nie rekomenduje wskazywania jako podstawy prawnej przetwarzania danych osobowych art. 6 ust. 1 lit . a) RODO- zgoda osoby. W związku z tym nie jest zasadne zamieszczanie w dokumentach projektowych oświadczeń dotyczących wyrażenia zgody. W myśl art. 7 RODO warunkiem wyrażenia zgody na przetwarzanie danych osobowych jest możliwość wycofania zgody w każdym momencie przez osobę, której te dane dotyczą. Natomiast skutkiem wycofania zgody w tym przypadku jest brak możliwości realizacji zadań projektowych a tym samym wywiązania się z umowy o dofinansowanie. Zgoda może wystąpić jedynie w przypadku konieczności wykorzystania/publikacji wizerunku uczestnika. Należy jednak podkreślić, że wizerunek uczestnika nie jest wymagany na potrzeby realizacji projektu.

Niemniej, przy przetwarzaniu wizerunku osób fizycznych należy mieć na uwadze, że takie rozpowszechnianie musi być zgodne zarówno z wymogami RODO, jak też z warunkami wynikającymi z Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.

Przykładowy formularz zgody na wykorzystanie wizerunku uczestnika Projektu (który powinien zawierać w sobie również klauzulę informacyjną):

Zgoda na wykorzystanie wizerunku uczestnika Projektu

Wyrażam zgodę/nie wyrażam zgody* na nieodpłatną publikację mojego wizerunku/wizerunku mojego dziecka* wraz z imieniem i nazwiskiem utrwalonego podczas realizacji Projektu na zdjęciach, filmach i/lub spotach promocyjnych przez … (nazwa beneficjenta)  poprzez udostępnianie:

  • w mediach społecznościowych … (w jakich?)*,
  • na stronach internetowych prowadzonych przez … (jakich?)*,
  • na kanale youtube …*,
  • na prezentacjach podczas eventów promujących Projekt w ramach Funduszy Europejskich*,
  • w programach telewizyjnych …, na publikacjach i ulotkach opracowanych przez … (nazwa beneficjenta)*

w celu promocji Projektu w ramach Funduszy Europejskich: … (Tytuł i numer projektu) realizowanego w ramach programu Fundusze Europejskie dla Pomorza 2021-2027, zgodnie z przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2021 r. poz. 1062).

Cofnięcie zgody jest możliwe poprzez……..(wskazać formę cofnięcia zgody).

…………………………..

Data i czytelny podpis

*niepotrzebne skreślić (można wyrazić zgodę na publikację w wybranych miejscach)

Klauzula informacyjna

Administratorem moich danych osobowych będzie….

Tu powinna być zmieszczona dalsza część klauzuli informacyjnej ADO (beneficjenta) skierowanej do uczestników projektu.

Podczas pozyskiwania danych osobowych dla celów realizacji projektu, zgodnie z zasadą minimalizacji danych -  należy jednak prowadzić odpowiednią ich selekcję pod kątem niezbędności do realizacji zadań, dla których wykonania zostały one zebrane.

WAŻNE! Ochrona danych osobowych jest istotnym zagadnieniem podczas realizacji projektów współfinansowanych z EFS+ w ramach FEP 2021-2027. Należy przestrzegać przepisów ochrony danych osobowych na każdym etapie aplikowania o środki pochodzące z FEP 2021-2027 oraz w trakcie realizacji projektów.

Obowiązujące przepisy RODO oraz niezbędne informacje na temat ochrony danych osobowych znajdują się na stronie Urzędu Ochrony Danych Osobowych.

W projektach przetwarzanie danych osobowych odbywa się zgodnie z zasadami określonymi w RODO, w rozdziale 18 ustawy z dnia 28 kwietnia 2022 r. o zasadach realizacji zadań finansowanych ze środków europejskich w perspektywie finansowej 2021-2027 (dalej ustawy wdrożeniowej) i umowie o dofinansowanie projektu.

Zamieszczony materiał ma charakter informacyjny i pomocniczy.