Od 25 maja 2018 r. na terenie całej Unii Europejskiej stosowane są przepisy Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO. Od tego dnia wszystkie podmioty, które przetwarzają dane osobowe (poza wyjątkami) zostały zobowiązane do stosowania się do przepisów Rozporządzenia RODO.
Jak RODO wpłynęło na projekty realizowane przy wsparciu Funduszy unijnych?
Podmioty będące operatorami Funduszy unijnych także musiały podjąć odpowiednie działania, aby dostosować się do obowiązków Administratora danych osobowych. Mając na uwadze zmiany związane z Rozporządzeniem RODO, z jednej strony opracowali wewnętrzną dokumentację w zakresie przetwarzania danych osobowych, z drugiej zaś dostosowali wzory umów, załączników oraz regulaminów do wymogów ogólnego rozporządzenia o ochronie danych osobowych.
§ …. Ochrona danych osobowych
W praktyce, każdy podmiot realizujący projekt z Funduszy unijnych, podpisują umowę o dofinansowanie z klauzulą RODO oświadcza m.in., iż:
- zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO;
- zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą;
- ponosi odpowiedzialność, tak wobec osób trzecich, jak i wobec Powierzającego, za szkody powstałe w związku z nieprzestrzeganiem ustawy o ochronie danych osobowych, RODO, przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową.
Lista obowiązków jest znacznie dłuższa a konsekwencje za naruszenie przepisów mogą być bardzo kosztowne. Z jednej strony Beneficjent dofinansowania naraża się m.in. na obniżenie dofinansowania a z drugiej strony na nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych administracyjnej kary pieniężnej w wysokości do 4% wartości obrotów światowych za poprzedni rok obrotowy.
Obowiązki RODO a Poddziałanie 1.5.2. Wzmocnienie konkurencyjności kluczowych obszarów gospodarki regionu (Wielkopolska)
Analizując umowę o dofinansowanie RODO m.in. w ramach poddziałania Poddziałanie 1.5.2 Wzmocnienie konkurencyjności kluczowych obszarów gospodarki regionu (Wielkopolska) –wzór umowy poza standardowymi zapisami związanymi z realizacją projektu zawiera ona także przepisy dotyczące powierzenia przetwarzania danych osobowych. Należy zwrócić uwagę, że jeśli w jednym przypadku o stosowaniu przepisów informuje treść załącznika z opracowanym wzorem umowy, nie oznacza to, że podobny mechanizm zadziała w innych sytuacjach. Umowa o dofinansowanie i instrukcje RODO nie zawsze znajdują się w tym samym miejscu. Można je odszukać w innych załącznikach, na przykład w Regulaminie przyznawania dofinansowania.
Zgodnie z treścią § 21 ust. 8 wspomnianej Umowy 8 „powierzone dane osobowe mogą być przetwarzane przez Beneficjenta wyłącznie w celu aplikowania o środki europejskie i realizacji Projektu a tym samym realizacji Umowy, w tym w szczególności potwierdzania kwalifikowalności wydatków, potwierdzenia prawidłowości realizacji Projektu zgodnie z Umową, ewaluacji, monitoringu, kontroli, audytu, sprawozdawczości, działań informacyjno-promocyjnych oraz archiwizacji w ramach Programu w zakresie określonym w załączniku do Umowy.” Oznacza to, że składając wniosek, zobowiązujemy się do ścisłego przestrzegania obowiązku zabezpieczenia wrażliwych danych.
Administratorem danych osobowych jest Zarządem Województwa Wielkopolskiego, al. Niepodległości 34, 61-714 Poznań, działającym jako Instytucja Zarządzająca Wielkopolskim Regionalnym Programem Operacyjnym na lata 2014-2020, gdyż zgodnie z definicją to Administrator ustala cele i środki przetwarzania danych osobowych. Podmiot przetwarzający działa na zlecenie Administratora. Podmiotem przetwarzającym jest Beneficjent dofinansowania. Wskazuje na to także § 21 ust. 10. Beneficjent nie decyduje o celach i środkach przetwarzania powierzonych danych osobowych.
Dodatkowo Beneficjent musi m.in.
- wykonać obowiązek informacyjny wobec osób, których dane dotyczą w swoim imieniu, ale także w imieniu Instytucji zarządzającej;
- przygotować stosowane upoważnienia do przetwarzania danych;
- zachować poufność przetwarzania danych osobowych;
- podjąć właściwe działania w przypadku naruszenia ochrony danych osobowych;
- pomagać Instytucji zarządzającej wywiązać się z obowiązków z art. 32-36 Rozporządzenia RODO
Podsumowanie
Korzystając z Funduszy europejskich tak jak nigdy dotąd należy także zwrócić szczególną uwagę na przepisy dotyczące ochrony danych osobowych oraz listę obowiązków jakie się z nimi wiążą. Czasami będą one zawarte w Umowie o dofinansowanie RODO a czasami w Regulaminie konkursu.
Co zrobić, aby spełnić te wymogi?
- Po pierwsze przeprowadź audyt zgodności z RODO, ale także z zapisami w Umowie o dofinansowanie.
- Znając swoje braki oraz słabe punktu będziesz mógł dostosować Twoją organizację do wymagań Rozporządzenia RODO.
- Uświadom oraz przeszkol swoich pracowników z wymagań, jakie należy spełnić przy realizacji projektu.
Takie kompleksowe podejście do tematu pozwoli, nie tylko spełnić wymogi RODO, ale także zabezpieczyć dane firmy. Jak wskazują ostatnie doświadczenia bezpieczeństwo informacji powinno być jednym ze strategicznych działań firmy.