OCHRONA DANYCH W PROJEKTACH
Grudziądz, 16 kwietnia 2021 r.
Opracowanie i prowadzenie: Piotr Mazur
Opracowanie:
Piotr
Mazur
Czy RODO jest straszne?
A może to głupota?
Coś niepotrzebnego?
Opracowanie:
Piotr
Mazur
Opracowanie:
Piotr
Mazur
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych)
(Dz. Urz. UE L Nr 119, s.1, z późn. zm.)
Opracowanie:
Piotr
Mazur
ustawa z dnia 10 maja 2018 r.
o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) (Dz. U. z 2019 r. poz. 1781)
Opracowanie:
Piotr
Mazur
Ustawa
o ochronie danych osobowych
RODO
Opracowanie:
Piotr
Mazur
ustawa z dnia 21 lutego 2019 r.
o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
(ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730)
Opracowanie:
Piotr
Mazur
KATEGORIE OSÓB KTÓRYCH DANE DOTYCZĄ
PRACOWNICY, ZLECENIOBIORCY,
KONTRAHENCI, WOLONTARIUSZE,
DARCZYŃCY
UCZESTNICY PROJEKTÓW
Opracowanie:
Piotr
Mazur
PODSTAWOWE INFORMACJE
• Polityka ochrony danych
• Administrator/Podmiot przetwarzający
• IOD (outsourcing)
• ASI/Serwisant (outsourcing)
• Osoba upoważniona
• Osoba trzecia
• Uczestnik projektu
Opracowanie:
Piotr
Mazur
PODSTAWOWE INFORMACJE
Polityka ochrony danych – dokumentacja opisująca sposób zabezpieczenia danych
Administrator – Administrator Danych Osobowych, Podmiot przetwarzający – podmiot działający na zlecenie Administratorze,
IOD – Inspektor Ochrony Danych,
ASI/Serwisant – Administrator Systemu Informatycznego/Serwisant
Osoba upoważniona – osoba/pracownik, który jest upoważniony do przetwarzania danych i
uprawniony do pracy w systemie informatycznym Osoba trzecia – osoba, która nie posiada
upoważnienia
Uczestnik projektu – osoba której dane są przetwarzane Opracowanie:
Piotr
Mazur
www.uodo.gov.pl
Opracowanie:
Piotr
Mazur
PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH
WZÓR OBOWIĄZUJĄCY OD 30 KWIETNIA 2019 R. (DZ. U. POZ. 697)
Opracowanie:
Piotr
Mazur
OBOWIĄZEK INFORMACYJNY
Po 25 maja 2018 roku zakres obowiązku informacyjnego ulegnie znacznemu rozszerzeniu. Zgodnie z RODO administrator danych w przypadku
pozyskiwania informacji od osoby, której one dotyczą będzie zobowiązany do podania:
1. swojej tożsamości, pełnej nazwy i danych kontaktowych;
2. danych kontaktowych IOD;
3. celu i podstawy przetwarzania danych osobowych;
4. prawnie uzasadnionego interesu/-ów administratora danych (jeżeli takowy istnieje);
5. informacji o odbiorcach danych osobowych lub o kategoriach odbiorców;
6. informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
7. okresu przechowywania danych;
8. informacji o prawach podmiotu (dostęp do danych, ich przenoszenie, sprzeciw, sprostowanie, usunięcie etc.);
9. informacji o prawie do cofnięcia zgody;
10. informacji o prawie do wniesienia skargi do organu nadzorczego;
11. informacji czy podanie danych to wymóg ustawowy lub umowny lub warunek zawarcia umowy oraz konsekwencji nie podania danych;
12. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (w tym o zasadach podejmowania, znaczeniach i konsekwencjach).
Opracowanie:
Piotr
Mazur
.
Nazwa administratora danych lub podmiotu
przetwarzającego/przedstawiciela administratora lub podmiotu przetwarzającego
Współadministratorzy
Inspektor ochrony danych osobowych Cel przetwarzania
Opis kategorii osób
zakres danych (wrażliwe lub zwykłe),
Kategorie odbiorców
Informacje o przekazaniu do państwa trzeciego lub organizacji międzynarodowej
Planowany termin usunięcia danych osobowych Opis technicznych i organizacyjnych środków bezpieczeństwa
Stowarzyszenie Lokalna Grupa Działania Grudziądzki Spichlerz
Podmiot XYZ
Piotr Mazur, tel. AAA BBB CCC; e-mail:p.mazur@xx.eu Realizacja prawnie zleconych obowiązków - zadań
własnych oraz zleconych.
Dane osobowe interesantów, osób załatwiających sprawy w urzędzie. Imię, nazwisko, PESEL, ADRES, inne dane wymagane przepisami prawa. Rejestr zbiorów, który zawiera nazwy zbiorów kategorie danych oraz cel
przetwarzania stanowi załącznik do niniejszego rejestru.
Pracownicy jednostki zostali zaznajomieni z przepisami dotyczącymi ochrony danych osobowych oraz przeszkoleni. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. Ewidencja osób upoważnionych stanowi załącznik niniejszego rejestru.
Pracownicy firm zewnętrznych, z którymi podpisano umowy powierzenia przetwarzania danych osobowych
Dane nie są przekazywane
3 lata
• Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych
• Poza środkami zabeczenia warto wskazać, czy zastosowano pesudonimizację, szyfrowanie, integralność systemu
• Z polityki bezpieczeństwa danych osobowych:
• Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
• Kontrola przetwarzania i stanu zabezpieczenia danych osobowych
• Obszar, w którym przetwarzane są dane osobowe 14
Wzór rejestru czynności przewarzania danych osób
Opracowanie:
Piotr
Mazur
Podstawy przetwarzania danych zwykłych art. 6 RODO
a) osoba, której dane dotyczą wyraziła na to zgodę;
b) jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem;
c) jest niezbędne do wypełnienia obowiązku prawnego;
d) jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby
fizycznej;
e) jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania
władzy publicznej;
f) jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Opracowanie:
Piotr
Mazur
ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH
Na podstawie art. 6 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/96/WE (ogólnie
rozporządzenie o ochronie danych - RODO ) (Dz. Urz. UE L 119, s. 1, z późn.
zm.) wyrażam zgodę na przetwarzanie moich danych (oraz mojego dziecka )
……… w zakresie imion i nazwisk, imiona i nazwiska rodziców, adresu zamieszkania lub pobytu dziecka i rodziców, rok urodzenia, PESEL, adres
poczty elektronicznej oraz nr telefonu rodziców, dane szkoły do której
uczęszcza dziecko, wizerunek dziecka, dane o stanie zdrowia, przez ABC, ul.
AAAA 14 w celu realizacji procesu rekrutacji, umowy lub innego zadania….. , przekazywania danych innym odbiorcom oraz w celach marketingowych w tym zamieszczanie wizerunku na stronach www ABC, tablicach ogłoszeń,
portalach społecznościowych (jakich wymienić). Wyrażona zgoda na
przetwarzanie wizerunku jest dobrowolnym oświadczeniem. Zgoda w każdej chwili może być wycofana. Wycofanie zgody nie wpływa na zgodność z
prawem przetwarzania, którego dokonano na podstawie zgody przed jej
wycofaniem.
Opracowanie:
Piotr
Mazur
polityka „czystego biurka” - w trakcie pracy użytkownik powinien mieć na biurku tylko te materiały, które są
niezbędne do wykonywania obowiązków służbowych.
W przypadku opuszczenia stanowiska pracy materiały zawierające dane, wymagające szczególnej ochrony powinny być zabezpieczone przed dostępem stron trzecich. Po zakończeniu dnia pracy, każda osoba upoważniona zobowiązana jest do zabezpieczenia wszelkich dokumentów i nośników zawierających
istotne dane, w celu uniemożliwienia dostępu do nich stron trzecich;
Opracowanie:
Piotr
Mazur
polityka „czystego ekranu” - w przypadku chwilowego
opuszczenia stanowiska pracy użytkownik zobowiązany jest do wylogowania się z systemu bądź zablokowania dostępu do pulpitu stacji roboczej w celu uniemożliwienia dostępu do systemu operacyjnego lub aplikacji przez osoby
niepowołane. Ponadto w trakcie pracy użytkownik powinien mieć otwarte tylko te aplikacje, które są
niezbędne do wykonywania obowiązków służbowych,
Opracowanie:
Piotr
Mazur
wniosek
Wybór
odpowiedniej procedur
Udzielenie
odpowiedzi/spełnienie wniosku
Schemat „szynowy” rozpatrzenia wniosków
Opracowanie:
Piotr
Mazur
plan
Wprowadzenie i zapoznanie z dokumentacją
Stosowanie Schemat wprowadzania dokumentacji i jej aktualizacja
Analizowanie i ulepszanie
Opracowanie:
Piotr
Mazur
Przyjęty pracownik
Ustalenie zakresu obowiązków
IOD* przygotowanie upoważnień
Nadawanie upoważnień
IOD* prowadzenie ewidencji
upoważnień
Opracowanie:
21Piotr
Mazur
Opracowanie:
22Piotr
Mazur
Nadawanie upoważnień
Opracowanie:
23Piotr
Mazur
Opracowanie:
24Piotr
Mazur
Naruszenie ochrony
Podmiot przetwarzający (jeśli istnieje)
ADMINISTRATOR
Organ nadzoru (Prezes UODO)
Osoba, której dane dotyczą Bez zbędnej -
zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia
Zgłoszenie bez zbędnej
zwłoki
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,
administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu
Jasnym i prostym językiem opisuje
charakter naruszenia ochrony danych
osobowych (art. 34 ust.
2 RODO)
Opracowanie:
Piotr
Mazur
Opracowanie:
26Piotr
Mazur
Opracowanie:
27Piotr
Mazur
Instytucja zarządzająca/
koordynująca
Instytucja wdrażająca
LGD Spichlerz Grudziądzki Realizacja projektu
Administrator
Podmiot przetwarzający Dysponent
Beneficjent
28
Odbiorca projektu
Opracowanie:
Piotr
Mazur
Opracował: Piotr Mazur
Opracowanie:
29Piotr
Mazur
Opracowanie:
30Piotr
Mazur
Opracowanie:
31Piotr
Mazur
Opracowanie:
32Piotr
Mazur
urzędy, osoby fizyczne, osoby prawne - spółki publiczne i prywatne, osoby
fizyczne prowadzące działalność gospodarczą,
33
Realizacja projektu a przetwarzanie danych
KTO?
Opracowanie:
Piotr
Mazur
Centralny System Teleinformatyczny System Obsługi Wniosków
Aplikacyjnych
34
Realizacja projektu a przetwarzanie danych
PRZY POMOCY?
Opracowanie:
Piotr
Mazur
1. udzielania wsparcia beneficjentom ubiegającym się o dofinansowanie realizacji projektów,
2. potwierdzania kwalifikowalności wydatków,
3. wnioskowania o płatności do Komisji Europejskiej, 4. raportowania o nieprawidłowościach,
5. ewaluacji, 6. monitoringu, 7. kontroli,
8. audytu,
9. sprawozdawczości oraz
10. działań informacyjno-promocyjnych.
35
Realizacja projektu a przetwarzanie danych
CELE?
Opracowanie:
Piotr
Mazur
art. 6 ust. 1 lit. c RODO art. 6 ust. 1 lit. b RODO art. 6 ust. 1 lit. e RODO art. 6 ust. 1 lit. f RODO
art. 6 ust. 1 lit. a, w związku z art. 9 ust.
2 lit. a oraz g RODO
36
Realizacja projektu a przetwarzanie danych PODSTAWY PRAWNE?
Opracowanie:
Piotr
Mazur
1. pracowników, wolontariuszy, praktykantów i stażystów reprezentujący lub wykonujący zadania na rzecz podmiotów zaangażowanych w
obsługę i realizację programów operacyjnych (Instytucji
Koordynujących, Instytucji Zarządzających, Instytucji Pośredniczących, Instytucji Wdrażających oraz organu wdrażającego dany instrument), 2. osób wskazanych do kontaktu, osób upoważnionych do podejmowania
wiążących decyzji oraz innych osób wykonujących zadania na rzecz wnioskodawców, beneficjentów, dotacjobiorców i partnerów,
3. uczestników szkoleń, konkursów, konferencji, komitetów
monitorujących, grup roboczych, grup sterujących oraz spotkań informacyjnych,
4. odbiorców pomocy lub wsparcia oraz uczestników projektów, 5. pracowników, których wynagrodzenia są finansowane lub
współfinansowane ze środków różnych programów,
6. kandydatów na ekspertów zewnętrznych i ekspertów zewnętrznych, 7. osób, których dane będą przetwarzane w związku z badaniem
kwalifikowalności środków w projekcie. 37
Realizacja projektu a przetwarzanie danych
KOGO?
Opracowanie:
Piotr
Mazur
1. dane identyfikacyjne, w szczególności: imię, nazwisko, miejsce zatrudnienia/formę prowadzenia działalności gospodarczej,
stanowisko; w niektórych przypadkach także nr PESEL/NIP/REGON, 2. dane dotyczące stosunku pracy, w szczególności otrzymywane
wynagrodzenie oraz wymiar czasu pracy,
3. dane kontaktowe, które obejmują w szczególności adres e-mail, nr telefonu, nr fax, adres do korespondencji,
4. dane o charakterze finansowym, w szczególności nr rachunku bankowego, kwotę przyznanych środków, informacje dotyczące
nieruchomości (nr działki, nr księgi wieczystej, nr przyłącza gazowego), kwotę wynagrodzenia,
5. dane zbierane w celu realizacji obowiązków sprawozdawczych do
których realizacji zobowiązane są państwa członkowskie, obejmujące w szczególności: płeć, wiek w chwili przystąpienia do projektu,
wykształcenie, wykonywany zawód, narodowość, informacje o niepełnosprawności.
38
Realizacja projektu a przetwarzanie danych
ZAKRES?
Opracowanie:
Piotr
Mazur
1. Po upływie ww. okresu dane osobowe będą
podlegały archiwizacji zgodnie z przepisami ustawy z dnia 14 lipca 1983 r. o narodowym zasobie
archiwalnym i archiwach.
2. Data wynikająca z projektu np.: 2 lat od
zakończenia roku, w którym Minister przekaże organom Unii Europejskiej zbiorcze zestawienie wydatków zawierające wydatki ostatecznie
rozliczające zakończony projekt
39
Realizacja projektu a przetwarzanie danych
CZAS?
Opracowanie:
Piotr
Mazur
1. podmioty, którym Minister powierzył wykonywanie zadań w ramach obsługi Funduszy Europejskich, w tym w szczególności podmioty pełniące funkcje instytucji pośredniczących i
wdrażających, a także beneficjenci, eksperci, podmioty
prowadzące audyty, kontrole, szkolenia, wsparcia i ewaluacje, 2. instytucje, organy i agencje Unii Europejskiej (UE), a także inne
podmioty, którym UE powierzyła wykonywanie zadań związanych z obsługą Funduszy Europejskich,
3. podmioty świadczące na rzecz Ministra usługi związane z obsługą i rozwojem systemów teleinformatycznych oraz
zapewnieniem łączności, w szczególności dostawcy rozwiązań
IT i operatorzy telekomunikacyjni.
40Realizacja projektu a przetwarzanie danych
ODBIORCY?
Opracowanie:
Piotr
Mazur
prawo dostępu do danych osobowych i ich sprostowania
Realizując te prawo, osoba której dane dotyczą może zwrócić się do Ministra z pytanie m.in. o to czy Minister przetwarza jej dane osobowe, jakie dane osobowe przetwarza i skąd je pozyskał, jaki jest cel przetwarzania i jego podstawa prawna oraz jak długo dane te będą przetwarzane.
W przypadku, gdy przetwarzane dane okażą się nieaktualne, osoba, której dane dotyczą może zwrócić się do Ministra z wnioskiem o ich aktualizację,
41
Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?
Opracowanie:
Piotr
Mazur
prawo usunięcia lub ograniczenia ich przetwarzania – jeżeli spełnione są przesłanki określone w art. 17 i 18 RODO,
Żądanie usunięcia danych osobowych realizowane jest w szczególności gdy dalsze przetwarzanie danych nie jest już niezbędne do realizacji celu Ministra lub dane
osobowe były przetwarzane niezgodnie z prawem. Szczegółowe warunki korzystania z tego prawa określa art. 17 RODO.
Ograniczenie przetwarzania danych osobowych powoduje, że Minister może jedynie przechowywać dane osobowe. Minister nie może przekazywać tych danych innym podmiotom, modyfikować ich ani usuwać.
Ograniczanie przetwarzania danych osobowych ma charakter czasowy i trwa do momentu dokonania przez Ministra oceny, czy dane osobowe są prawidłowe, przetwarzane zgodnie z prawem oraz niezbędne do realizacji celu przetwarzania.
Ograniczenie przetwarzania danych osobowych następuje także w przypadku wniesienia sprzeciwu wobec przetwarzania danych – do czasu rozpatrzenia przez Ministra tego sprzeciwu.
42
Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?
Opracowanie:
Piotr
Mazur
prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych,
prawo do cofnięcia zgody, w każdym momencie - w przypadku, gdy podstawą przetwarzania danych jest zgoda (art. 9 ust. 2 lit a RODO). Cofnięcie zgody nie spowoduje, że dotychczasowe
przetwarzanie danych zostanie uznane za niezgodne z prawem.
43
Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?
Opracowanie:
Piotr
Mazur
prawo otrzymania danych osobowych w ustrukturyzowanym powszechnie używanym formacie, przenoszenia tych danych do innych administratorów lub żądania, o ile jest to technicznie
możliwe, przesłania ich przez administratora innemu
administratorowi - w przypadku, gdy podstawą przetwarzania danych jest zgoda lub realizacja umowy z osobą, której dane dotyczą (art. 6 ust. 1 lit b RODO)
44
Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?
Opracowanie:
Piotr
Mazur
prawo wniesienia sprzeciwu wobec przetwarzania danych
osobowych - w przypadku, gdy podstawą przetwarzania danych jest realizacja zadań publicznych administratora lub jego prawnie uzasadnionych interesów (art. 6 ust. 1 lit e lub f RODO).
Wniesienie sprzeciwu powoduje zaprzestanie przetwarzania
danych osobowych przez Ministra, chyba że wykaże on, istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania,
nadrzędnych wobec interesów, praw i wolności osoby, której
dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
45