Opracowanie: Piotr Mazur

(1)

OCHRONA DANYCH W PROJEKTACH

Grudziądz, 16 kwietnia 2021 r.

Opracowanie i prowadzenie: Piotr Mazur

Opracowanie:

Piotr

Mazur

(2)

Czy RODO jest straszne?

A może to głupota?

Coś niepotrzebnego?

Opracowanie:

Piotr

Mazur

(3)

Opracowanie:

Piotr

Mazur

(4)

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679

z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych

i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

(ogólne rozporządzenie o ochronie danych)

(Dz. Urz. UE L Nr 119, s.1, z późn. zm.)

Opracowanie:

Piotr

Mazur

(5)

ustawa z dnia 10 maja 2018 r.

o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) (Dz. U. z 2019 r. poz. 1781)

Opracowanie:

Piotr

Mazur

(6)

Ustawa

o ochronie danych osobowych

RODO

Opracowanie:

Piotr

Mazur

(7)

ustawa z dnia 21 lutego 2019 r.

o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia

Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób

fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

(ogólne rozporządzenie o ochronie danych) (Dz. U. poz. 730)

Opracowanie:

Piotr

Mazur

(8)

KATEGORIE OSÓB KTÓRYCH DANE DOTYCZĄ

PRACOWNICY, ZLECENIOBIORCY,

KONTRAHENCI, WOLONTARIUSZE,

DARCZYŃCY

UCZESTNICY PROJEKTÓW

Opracowanie:

Piotr

Mazur

(9)

PODSTAWOWE INFORMACJE

• Polityka ochrony danych

• Administrator/Podmiot przetwarzający

• IOD (outsourcing)

• ASI/Serwisant (outsourcing)

• Osoba upoważniona

• Osoba trzecia

• Uczestnik projektu

Opracowanie:

Piotr

Mazur

(10)

PODSTAWOWE INFORMACJE

Polityka ochrony danych – dokumentacja opisująca sposób zabezpieczenia danych

Administrator – Administrator Danych Osobowych, Podmiot przetwarzający – podmiot działający na zlecenie Administratorze,

IOD – Inspektor Ochrony Danych,

ASI/Serwisant – Administrator Systemu Informatycznego/Serwisant

Osoba upoważniona – osoba/pracownik, który jest upoważniony do przetwarzania danych i

uprawniony do pracy w systemie informatycznym Osoba trzecia – osoba, która nie posiada

upoważnienia

Uczestnik projektu – osoba której dane są przetwarzane Opracowanie:

Piotr

Mazur

(11)

www.uodo.gov.pl

Opracowanie:

Piotr

Mazur

(12)

PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH

WZÓR OBOWIĄZUJĄCY OD 30 KWIETNIA 2019 R. (DZ. U. POZ. 697)

Opracowanie:

Piotr

Mazur

(13)

OBOWIĄZEK INFORMACYJNY

Po 25 maja 2018 roku zakres obowiązku informacyjnego ulegnie znacznemu rozszerzeniu. Zgodnie z RODO administrator danych w przypadku

pozyskiwania informacji od osoby, której one dotyczą będzie zobowiązany do podania:

1. swojej tożsamości, pełnej nazwy i danych kontaktowych;

2. danych kontaktowych IOD;

3. celu i podstawy przetwarzania danych osobowych;

4. prawnie uzasadnionego interesu/-ów administratora danych (jeżeli takowy istnieje);

5. informacji o odbiorcach danych osobowych lub o kategoriach odbiorców;

6. informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

7. okresu przechowywania danych;

8. informacji o prawach podmiotu (dostęp do danych, ich przenoszenie, sprzeciw, sprostowanie, usunięcie etc.);

9. informacji o prawie do cofnięcia zgody;

10. informacji o prawie do wniesienia skargi do organu nadzorczego;

11. informacji czy podanie danych to wymóg ustawowy lub umowny lub warunek zawarcia umowy oraz konsekwencji nie podania danych;

12. informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (w tym o zasadach podejmowania, znaczeniach i konsekwencjach).

Opracowanie:

Piotr

Mazur

(14)

.

Nazwa administratora danych lub podmiotu

przetwarzającego/przedstawiciela administratora lub podmiotu przetwarzającego

Współadministratorzy

Inspektor ochrony danych osobowych Cel przetwarzania

Opis kategorii osób

zakres danych (wrażliwe lub zwykłe),

Kategorie odbiorców

Informacje o przekazaniu do państwa trzeciego lub organizacji międzynarodowej

Planowany termin usunięcia danych osobowych Opis technicznych i organizacyjnych środków bezpieczeństwa

Stowarzyszenie Lokalna Grupa Działania Grudziądzki Spichlerz

Podmiot XYZ

Piotr Mazur, tel. AAA BBB CCC; e-mail:p.mazur@xx.eu Realizacja prawnie zleconych obowiązków - zadań

własnych oraz zleconych.

Dane osobowe interesantów, osób załatwiających sprawy w urzędzie. Imię, nazwisko, PESEL, ADRES, inne dane wymagane przepisami prawa. Rejestr zbiorów, który zawiera nazwy zbiorów kategorie danych oraz cel

przetwarzania stanowi załącznik do niniejszego rejestru.

Pracownicy jednostki zostali zaznajomieni z przepisami dotyczącymi ochrony danych osobowych oraz przeszkoleni. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. Ewidencja osób upoważnionych stanowi załącznik niniejszego rejestru.

Pracownicy firm zewnętrznych, z którymi podpisano umowy powierzenia przetwarzania danych osobowych

Dane nie są przekazywane

3 lata

• Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych

• Poza środkami zabeczenia warto wskazać, czy zastosowano pesudonimizację, szyfrowanie, integralność systemu

• Z polityki bezpieczeństwa danych osobowych:

• Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

• Kontrola przetwarzania i stanu zabezpieczenia danych osobowych

• Obszar, w którym przetwarzane są dane osobowe 14

Wzór rejestru czynności przewarzania danych osób

Opracowanie:

Piotr

Mazur

(15)

Podstawy przetwarzania danych zwykłych art. 6 RODO

a) osoba, której dane dotyczą wyraziła na to zgodę;

b) jest niezbędne do wykonania umowy lub podjęcia działań przed jej zawarciem;

c) jest niezbędne do wypełnienia obowiązku prawnego;

d) jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby

fizycznej;

e) jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania

władzy publicznej;

f) jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Opracowanie:

Piotr

Mazur

(16)

ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH

Na podstawie art. 6 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/96/WE (ogólnie

rozporządzenie o ochronie danych - RODO ) (Dz. Urz. UE L 119, s. 1, z późn.

zm.) wyrażam zgodę na przetwarzanie moich danych (oraz mojego dziecka )

……… w zakresie imion i nazwisk, imiona i nazwiska rodziców, adresu zamieszkania lub pobytu dziecka i rodziców, rok urodzenia, PESEL, adres

poczty elektronicznej oraz nr telefonu rodziców, dane szkoły do której

uczęszcza dziecko, wizerunek dziecka, dane o stanie zdrowia, przez ABC, ul.

AAAA 14 w celu realizacji procesu rekrutacji, umowy lub innego zadania….. , przekazywania danych innym odbiorcom oraz w celach marketingowych w tym zamieszczanie wizerunku na stronach www ABC, tablicach ogłoszeń,

portalach społecznościowych (jakich wymienić). Wyrażona zgoda na

przetwarzanie wizerunku jest dobrowolnym oświadczeniem. Zgoda w każdej chwili może być wycofana. Wycofanie zgody nie wpływa na zgodność z

prawem przetwarzania, którego dokonano na podstawie zgody przed jej

wycofaniem.

Opracowanie:

Piotr

Mazur

(17)

polityka „czystego biurka” - w trakcie pracy użytkownik powinien mieć na biurku tylko te materiały, które są

niezbędne do wykonywania obowiązków służbowych.

W przypadku opuszczenia stanowiska pracy materiały zawierające dane, wymagające szczególnej ochrony powinny być zabezpieczone przed dostępem stron trzecich. Po zakończeniu dnia pracy, każda osoba upoważniona zobowiązana jest do zabezpieczenia wszelkich dokumentów i nośników zawierających

istotne dane, w celu uniemożliwienia dostępu do nich stron trzecich;

Opracowanie:

Piotr

Mazur

(18)

polityka „czystego ekranu” - w przypadku chwilowego

opuszczenia stanowiska pracy użytkownik zobowiązany jest do wylogowania się z systemu bądź zablokowania dostępu do pulpitu stacji roboczej w celu uniemożliwienia dostępu do systemu operacyjnego lub aplikacji przez osoby

niepowołane. Ponadto w trakcie pracy użytkownik powinien mieć otwarte tylko te aplikacje, które są

niezbędne do wykonywania obowiązków służbowych,

Opracowanie:

Piotr

Mazur

(19)

wniosek

Wybór

odpowiedniej procedur

Udzielenie

odpowiedzi/spełnienie wniosku

Schemat „szynowy” rozpatrzenia wniosków

Opracowanie:

Piotr

Mazur

(20)

plan

Wprowadzenie i zapoznanie z dokumentacją

Stosowanie Schemat wprowadzania dokumentacji i jej aktualizacja

Analizowanie i ulepszanie

Opracowanie:

Piotr

Mazur

(21)

Przyjęty pracownik

Ustalenie zakresu obowiązków

IOD* przygotowanie upoważnień

Nadawanie upoważnień

IOD* prowadzenie ewidencji

upoważnień

Opracowanie:

21

Piotr

Mazur

(22)

Opracowanie:

22

Piotr

Mazur

(23)

Nadawanie upoważnień

Opracowanie:

23

Piotr

Mazur

(24)

Opracowanie:

24

Piotr

Mazur

(25)

Naruszenie ochrony

Podmiot przetwarzający (jeśli istnieje)

ADMINISTRATOR

Organ nadzoru (Prezes UODO)

Osoba, której dane dotyczą Bez zbędnej -

zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia

Zgłoszenie bez zbędnej

zwłoki

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,

administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu

Jasnym i prostym językiem opisuje

charakter naruszenia ochrony danych

osobowych (art. 34 ust.

2 RODO)

Opracowanie:

Piotr

Mazur

(26)

Opracowanie:

26

Piotr

Mazur

(27)

Opracowanie:

27

Piotr

Mazur

(28)

Instytucja zarządzająca/

koordynująca

Instytucja wdrażająca

LGD Spichlerz Grudziądzki Realizacja projektu

Administrator

Podmiot przetwarzający Dysponent

Beneficjent

28

Odbiorca projektu

Opracowanie:

Piotr

Mazur

(29)

Opracował: Piotr Mazur

Opracowanie:

29

Piotr

Mazur

(30)

Opracowanie:

30

Piotr

Mazur

(31)

Opracowanie:

31

Piotr

Mazur

(32)

Opracowanie:

32

Piotr

Mazur

(33)

urzędy, osoby fizyczne, osoby prawne - spółki publiczne i prywatne, osoby

fizyczne prowadzące działalność gospodarczą,

33

Realizacja projektu a przetwarzanie danych

KTO?

Opracowanie:

Piotr

Mazur

(34)

Centralny System Teleinformatyczny System Obsługi Wniosków

Aplikacyjnych

34

Realizacja projektu a przetwarzanie danych

PRZY POMOCY?

Opracowanie:

Piotr

Mazur

(35)

1. udzielania wsparcia beneficjentom ubiegającym się o dofinansowanie realizacji projektów,

2. potwierdzania kwalifikowalności wydatków,

3. wnioskowania o płatności do Komisji Europejskiej, 4. raportowania o nieprawidłowościach,

5. ewaluacji, 6. monitoringu, 7. kontroli,

8. audytu,

9. sprawozdawczości oraz

10. działań informacyjno-promocyjnych.

35

Realizacja projektu a przetwarzanie danych

CELE?

Opracowanie:

Piotr

Mazur

(36)

art. 6 ust. 1 lit. c RODO art. 6 ust. 1 lit. b RODO art. 6 ust. 1 lit. e RODO art. 6 ust. 1 lit. f RODO

art. 6 ust. 1 lit. a, w związku z art. 9 ust.

2 lit. a oraz g RODO

36

Realizacja projektu a przetwarzanie danych PODSTAWY PRAWNE?

Opracowanie:

Piotr

Mazur

(37)

1. pracowników, wolontariuszy, praktykantów i stażystów reprezentujący lub wykonujący zadania na rzecz podmiotów zaangażowanych w

obsługę i realizację programów operacyjnych (Instytucji

Koordynujących, Instytucji Zarządzających, Instytucji Pośredniczących, Instytucji Wdrażających oraz organu wdrażającego dany instrument), 2. osób wskazanych do kontaktu, osób upoważnionych do podejmowania

wiążących decyzji oraz innych osób wykonujących zadania na rzecz wnioskodawców, beneficjentów, dotacjobiorców i partnerów,

3. uczestników szkoleń, konkursów, konferencji, komitetów

monitorujących, grup roboczych, grup sterujących oraz spotkań informacyjnych,

4. odbiorców pomocy lub wsparcia oraz uczestników projektów, 5. pracowników, których wynagrodzenia są finansowane lub

współfinansowane ze środków różnych programów,

6. kandydatów na ekspertów zewnętrznych i ekspertów zewnętrznych, 7. osób, których dane będą przetwarzane w związku z badaniem

kwalifikowalności środków w projekcie. ₃₇

Realizacja projektu a przetwarzanie danych

KOGO?

Opracowanie:

Piotr

Mazur

(38)

1. dane identyfikacyjne, w szczególności: imię, nazwisko, miejsce zatrudnienia/formę prowadzenia działalności gospodarczej,

stanowisko; w niektórych przypadkach także nr PESEL/NIP/REGON, 2. dane dotyczące stosunku pracy, w szczególności otrzymywane

wynagrodzenie oraz wymiar czasu pracy,

3. dane kontaktowe, które obejmują w szczególności adres e-mail, nr telefonu, nr fax, adres do korespondencji,

4. dane o charakterze finansowym, w szczególności nr rachunku bankowego, kwotę przyznanych środków, informacje dotyczące

nieruchomości (nr działki, nr księgi wieczystej, nr przyłącza gazowego), kwotę wynagrodzenia,

5. dane zbierane w celu realizacji obowiązków sprawozdawczych do

których realizacji zobowiązane są państwa członkowskie, obejmujące w szczególności: płeć, wiek w chwili przystąpienia do projektu,

wykształcenie, wykonywany zawód, narodowość, informacje o niepełnosprawności.

38

Realizacja projektu a przetwarzanie danych

ZAKRES?

Opracowanie:

Piotr

Mazur

(39)

1. Po upływie ww. okresu dane osobowe będą

podlegały archiwizacji zgodnie z przepisami ustawy z dnia 14 lipca 1983 r. o narodowym zasobie

archiwalnym i archiwach.

2. Data wynikająca z projektu np.: 2 lat od

zakończenia roku, w którym Minister przekaże organom Unii Europejskiej zbiorcze zestawienie wydatków zawierające wydatki ostatecznie

rozliczające zakończony projekt

39

Realizacja projektu a przetwarzanie danych

CZAS?

Opracowanie:

Piotr

Mazur

(40)

1. podmioty, którym Minister powierzył wykonywanie zadań w ramach obsługi Funduszy Europejskich, w tym w szczególności podmioty pełniące funkcje instytucji pośredniczących i

wdrażających, a także beneficjenci, eksperci, podmioty

prowadzące audyty, kontrole, szkolenia, wsparcia i ewaluacje, 2. instytucje, organy i agencje Unii Europejskiej (UE), a także inne

podmioty, którym UE powierzyła wykonywanie zadań związanych z obsługą Funduszy Europejskich,

3. podmioty świadczące na rzecz Ministra usługi związane z obsługą i rozwojem systemów teleinformatycznych oraz

zapewnieniem łączności, w szczególności dostawcy rozwiązań

IT i operatorzy telekomunikacyjni.

₄₀

Realizacja projektu a przetwarzanie danych

ODBIORCY?

Opracowanie:

Piotr

Mazur

(41)

prawo dostępu do danych osobowych i ich sprostowania

Realizując te prawo, osoba której dane dotyczą może zwrócić się do Ministra z pytanie m.in. o to czy Minister przetwarza jej dane osobowe, jakie dane osobowe przetwarza i skąd je pozyskał, jaki jest cel przetwarzania i jego podstawa prawna oraz jak długo dane te będą przetwarzane.

W przypadku, gdy przetwarzane dane okażą się nieaktualne, osoba, której dane dotyczą może zwrócić się do Ministra z wnioskiem o ich aktualizację,

41

Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?

Opracowanie:

Piotr

Mazur

(42)

prawo usunięcia lub ograniczenia ich przetwarzania – jeżeli spełnione są przesłanki określone w art. 17 i 18 RODO,

Żądanie usunięcia danych osobowych realizowane jest w szczególności gdy dalsze przetwarzanie danych nie jest już niezbędne do realizacji celu Ministra lub dane

osobowe były przetwarzane niezgodnie z prawem. Szczegółowe warunki korzystania z tego prawa określa art. 17 RODO.

Ograniczenie przetwarzania danych osobowych powoduje, że Minister może jedynie przechowywać dane osobowe. Minister nie może przekazywać tych danych innym podmiotom, modyfikować ich ani usuwać.

Ograniczanie przetwarzania danych osobowych ma charakter czasowy i trwa do momentu dokonania przez Ministra oceny, czy dane osobowe są prawidłowe, przetwarzane zgodnie z prawem oraz niezbędne do realizacji celu przetwarzania.

Ograniczenie przetwarzania danych osobowych następuje także w przypadku wniesienia sprzeciwu wobec przetwarzania danych – do czasu rozpatrzenia przez Ministra tego sprzeciwu.

42

Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?

Opracowanie:

Piotr

Mazur

(43)

prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych,

prawo do cofnięcia zgody, w każdym momencie - w przypadku, gdy podstawą przetwarzania danych jest zgoda (art. 9 ust. 2 lit a RODO). Cofnięcie zgody nie spowoduje, że dotychczasowe

przetwarzanie danych zostanie uznane za niezgodne z prawem.

43

Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?

Opracowanie:

Piotr

Mazur

(44)

prawo otrzymania danych osobowych w ustrukturyzowanym powszechnie używanym formacie, przenoszenia tych danych do innych administratorów lub żądania, o ile jest to technicznie

możliwe, przesłania ich przez administratora innemu

administratorowi - w przypadku, gdy podstawą przetwarzania danych jest zgoda lub realizacja umowy z osobą, której dane dotyczą (art. 6 ust. 1 lit b RODO)

44

Realizacja projektu a przetwarzanie danych PRZYSŁUGUJĄCE PRAWA?

Opracowanie:

Piotr

Mazur

(45)

prawo wniesienia sprzeciwu wobec przetwarzania danych

osobowych - w przypadku, gdy podstawą przetwarzania danych jest realizacja zadań publicznych administratora lub jego prawnie uzasadnionych interesów (art. 6 ust. 1 lit e lub f RODO).