Przetwarzanie danych osobowych w projektach
UWAGI DOTYCZĄCE WSZYSTKICH PROJEKTÓW
- OBOWIĄZEK INFORMACYJNY
Politechnika Śląska chcąc być liderem lub partnerem w projekcie, podpisuje umowy
z innymi instytucjami lub organizacjami, których przedmiotem jest podjęcie działań mających na celu przyznanie projektu lub podział obowiązków wynikających z realizacji już samego projektu. Przy okazji zawierania takich umów pozyskujemy dane osobowe zarówno osób, które takie umowy podpisują, jak i bardzo często pozyskujemy dane osobowe osób, które są wskazane do kontaktu przy realizacji postanowień umowy.
W takiej sytuacji jesteśmy zobowiązani do realizacji obowiązku informacyjnego. Generalnie do umów tego rodzaju załączyć należy klauzule informacyjne z art. 13 (dla osób podpisujących umowę) - Załącznik nr 1A lub 1B i art. 14 (dla osób wskazanych w umowie do kontaktu) - Załącznik nr 2A lub 2B.
W przeważającej części realizowanych projektów mamy do czynienia z relacją pomiędzy instytucjami/organizacjami o charakterze ADMINISTRATOR <=> ADMINISTRATOR, co skutkuje tym, że każda instytucja/organizacja odrębnie przetwarza dane osobowe i sama ponosi za nie odpowiedzialność w zakresie operacji jakie wykonuje na danych osobowych.
2. UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH
W momencie, kiedy Uczelnia przystępuje do realizacji projektu, kierownik projektu powinien sprawdzić czy wszystkie osoby, które realizują zadania projektowe i mają dostęp do danych osobowych, mają wydane upoważnienie do przetwarzania danych osobowych. Jeśli osobą tą jest pracownik to najprawdopodobniej posiada on już takie upoważnienie, jeśli jest to osoba niebędąca pracownikiem Politechniki Śląskiej to najprawdopodobniej trzeba będzie takie upoważnienie wydać.
Kwestię wydawania upoważnień szczegółowo uregulowano w paragrafie 6 w Polityki ochrony danych osobowych na Politechnice Śląskiej – zarządzenie nr 183/2024 z dnia 11.10.2024.
3. OBOWIĄZEK INFORMACYJNY DLA OSÓB FIZYCZNYCH BIORĄCYCH UDZIAŁ
W PROJEKCIE
Realizacja projektu może wiązać się z pozyskiwaniem dodatkowych danych osobowych (np. w ramach projektu prowadzone są szkolenia dla pracowników lub studentów). W takim wypadku wobec tych osób należy zrealizować obowiązek informacyjny. Trudno jest wprowadzić wzór, który byłby prawidłowy dla każdego rodzaju projektu. Jeśli klauzula informacyjna nie jest zawarta w dokumentach projektu i jej treść nie została wprost wskazana przez instytucję finansującą, zaleca się kontakt z Biurem Kontroli Zarządczej i Bezpieczeństwa celem opracowania właściwych jej zapisów.
UWAGI DOTYCZĄCE PROJEKTÓW ERASMUS +
Nieco inne zasady dotyczą programu ERASMUS +
1. POLITECHNIKA ŚLĄSKA JAKO PODMIOT PRZETWARZAJACY
Politechnika Śląska jak i inni partnerzy w projekcie są PODMIOTAMI PRZETWARZAJĄCYMI względem administratora danych osobowych, którym jest Komisja Europejska: Edukacja, Młodzież Sport i Kultura (EAC),
a zatem każda z instytucji biorących udział w projekcie jest zobowiązana
do prowadzenia odpowiedniej dokumentacji.
Kierownik projektu (na Politechnice Śląskiej), przed rozpoczęciem realizacji projektu jest zobowiązany do przesłania do Biura Kontroli Zarządczej i Bezpieczeństwa wypełnionych tabel w wersji pozwalającej na skopiowanie danych do centralnego rejestru. Wzór tabeli do wypełnienia stanowi Załącznik nr 3.
2. OBOWIĄZEK INFORMACYJNY DLA OSÓB FIZYCZNYCH BIORĄCYCH UDZIAŁ
W PROJEKCIE
Realizacja projektu, z dużym prawdopodobieństwem, będzie się wiązała z koniecznością pozyskania danych osobowych beneficjentów. W obowiązku Uczelni leży zrealizowanie
w imieniu Komisji Europejskiej obowiązku informacyjnego. Realizacja przywołanego obowiązku może się odbywać poprzez przesłanie osobie, której dane przetwarzamy linku do poniższych stron:
a) jeżeli finansowanie projektu odbywa się za pośrednictwem Narodowej Agencji
Programu Erasmus+
https://ec.europa.eu/research/participants/data/support/legal_notice/h2020-ssps-grants-sedia_en.pdf
b) w przypadku akcji zarządzanych przez EACEA:
Privacy notice | Erasmus+ and European Solidarity Corps programmes (europa.eu)
3. SPRAWOZDAWCZOŚĆ
W umowach projektowych zawarty jest również obowiązek sprawozdawczy w zakresie ochrony danych osobowych. W sprawozdaniach końcowych należy odnieść się do poniższych zagadnień:
- bezpieczeństwo przetwarzania danych,
- poufność przetwarzania danych,
- pomoc administratorowi danych,
- retencja danych,
- wkład w audyty, w tym inspekcje,
- prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora danych.