Stosowanie RODO w projektach współfinansowanych z EFS w ramach IZ RPO WP 2014-2020

Wkrótce minie rok od kiedy stosowane są przepisy unijnego rozporządzenia o ochronie danych osobowych - Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Ochrona danych osobowych jest istotnym zagadnieniem podczas realizacji projektów współfinansowanych z Europejskiego Funduszu Społecznego w ramach Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata 2014-2020 (dalej RPO WP 2014-2020). Należy przestrzegać przepisów ochrony przetwarzania danych osobowych na każdym etapie aplikowania
o środki pochodzące z RPO WP 2014-2020 oraz w trakcie realizacji projektu.

W związku z powyższym Instytucja Zarządzająca Województwa Pomorskiego (dalej IZ), która pełni rolę administratora, w procesie przetwarzania danych osobowych przygotowała listę zagadnień, na które powinniście Państwo zwrócić szczególną uwagę w procesie przetwarzania danych osobowych podczas realizacji projektu:

1. W związku z przetwarzaniem danych osobowych są Państwo zobowiązani do przestrzegania zasad wskazanych w umowie o dofinansowanie, RODO, ustawie o ochronie danych oraz innych przepisach prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą. Obowiązek stosowania aktualnie obowiązujących przepisów prawa nie jest uzależniony od ewentualnego wprowadzenia zmian do umów o dofinansowanie.

2. Jesteście Państwo zobowiązani do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Podejmując się realizacji projektu zobowiązują się również Państwo podejmować wszelkie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa, w tym między innymi (w stosownym przypadku): (i) pseudonimizację i szyfrowanie danych osobowych (w szczególności danych osobowych wysyłanych za pomocą poczty elektronicznej), (ii) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, (iii) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, oraz (iv) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, o których mowa w art. 32 RODO.

Dodatkowo w odniesieniu do danych osobowych gromadzonych w:

- Centralnym Systemie Teleinformatycznym są Państwo zobowiązani do zapewnienia środków technicznych i organizacyjnych określonych w Regulaminie bezpieczeństwa informacji przetwarzanych w aplikacji głównej centralnego systemu teleinformatycznego, którego aktualna wersja dostępna jest na stronie internetowej Programu: www.rpo.pomorskie.eu.

- Generatorze Wniosków Aplikacyjnych są Państwo zobowiązani do zapewnienia środków technicznych i organizacyjnych określonych w Regulaminie użytkownika Generatora Wniosków Aplikacyjnych Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata 2014-2020, którego aktualna wersja dostępna jest na stronie internetowej www.gwa.pomorskie.eu.

3. IZ umocowuje Państwa do powierzania przetwarzania danych osobowych podmiotom świadczącym usługi na jego rzecz, w związku z realizacją projektu, pod warunkiem niewyrażenia sprzeciwu przez IZ i pod warunkiem, że zawrą Państwo z każdym podmiotem, któremu powierzą przetwarzanie danych osobowych umowę powierzenia przetwarzania danych osobowych.

4. Zakres danych osobowych powierzanych przez Państwa podmiotom, powinien być adekwatny do celu powierzenia oraz każdorazowo dostosowany przez Państwa, przy czym nie może być szerszy niż zakres, który został Państwu powierzony do przetwarzania.

5. Jednocześnie są Państwo zobowiązani do przekazywania IZ wykazu podmiotów, za każdym razem, gdy takie powierzenie przetwarzania danych osobowych nastąpi.

6. Do przetwarzania danych osobowych mogą być dopuszczeni jedynie pracownicy oraz pracownicy podmiotów, posiadający upoważnienie do przetwarzania danych osobowych.

7. Zobowiązują się Państwo do podjęcia wszelkich kroków służących zachowaniu poufności danych osobowych przetwarzanych przez mających do nich dostęp pracowników upoważnionych do przetwarzania danych osobowych, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

8. Niezwłocznie informują Państwo IZ o:

- wszelkich przypadkach naruszenia tajemnicy danych osobowych lub o ich niewłaściwym użyciu oraz naruszeniu ochrony danych osobowych powierzonych do przetwarzania, co oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; oraz naruszeniu obowiązków dotyczących ochrony danych osobowych powierzonych do przetwarzania. Zgłoszenie musi zawierać wszystkie elementy określone w art. 33 ust. 3 RODO oraz informacje umożliwiające określenie, czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych - za pomocą poczty elektronicznej na adres incydent@pomorskie.eu,

- wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, organami nadzorczymi, urzędami państwowymi, policją lub przed sądem,

- wynikach kontroli prowadzonych przez podmioty uprawnione w zakresie przetwarzania danych osobowych wraz z informacją na temat zastosowania się do wydanych zaleceń.

9. Umożliwią Państwo ministrowi właściwemu ds. rozwoju regionalnego, IZ lub podmiotom przez nie upoważnionym, w miejscach, w których są przetwarzane powierzone dane osobowe, dokonanie audytu lub kontroli zgodności przetwarzania powierzonych danych osobowych z umową, RODO, ustawą o ochronie danych lub z innymi przepisami prawa w zakresie zgodności z ochroną danych.

10. Ponoszą Państwo odpowiedzialność, tak wobec osób trzecich jak i wobec IZ, za szkody powstałe w związku z nieprzestrzeganiem RODO i innych przepisów prawa powszechnie obowiązującego, dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie z umową. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec IZ za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

11. Jako podmiot, któremu zostało powierzone przetwarzanie danych osobowych mają Państwo obowiązek prowadzenia rejestru kategorii czynności, o którym mowa w art. 30 ust. 2 RODO.

12. Zobowiązują się Państwo do przestrzegania zapisów zwartych w politykach bezpieczeństwa lub innych dokumentach regulujących sprawy ochrony danych osobowych zgodnych z RODO obowiązujących w Państwa instytucjach.

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE znajdują się na stronie Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl/404/224

Jednocześnie IZ przypomina, że wszelkie informacje dotyczące, m.in.: administratora danych osobowych, danych kontaktowych inspektora ochrony danych, celu przetwarzania danych osobowych, odbiorców danych osobowych, praw osób, których dane dotyczą znajdziecie Państwo na naszej stronie internetowej http://www.rpo.pomorskie.eu/-/wejscie-w-zycie-rodo-komunikat-dot-projektow-wspolfinansowanych-z-europejskiego-funduszu-spolecznego-w-ramach-iz-rpo-wp-2014-2020