przejdź
przejdź
  2. Serwis Prawny
  3. Ochrona danych
  4. Naruszenie ochrony danych osobowych w projekcie unijnym

Naruszenie ochrony danych osobowych w projekcie unijnym

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Każda instytucja realizująca projekt unijny odpowiada za ochronę danych osobowych uczestników, a błędy w tym zakresie mogą prowadzić do poważnych konsekwencji, jakimi jest naruszenie ochrony danych osobowych. Dane te powinny być zbierane tylko w niezbędnym zakresie oraz przechowywane w sposób bezpieczny. W niniejszym artykule wyjaśniamy, jakie procedury oraz praktyki stosować, aby nie naruszyć prywatności osób i właściwie chronić ich dane.

Na początek warto wspomnieć, że nie w każdym projekcie unijnym będziemy mieli do czynienia z ochroną danych osobowych. Jeżeli przedsiębiorca realizuje ze środków unijnych tylko zakup sprzętu, rozlicza wydatki za pomocą kilku faktur od dostawców zewnętrznych, nie gromadzi on ani nie przetwarza danych osobowych. 

Zgoła odmienna sytuacja ma miejsce w przypadku firmy szkoleniowej, która pozyskała środki z Europejskiego Funduszu Społecznego Plus na podnoszenie kwalifikacji osób dorosłych, które z własnej inicjatywy chcą zdobyć nowe kompetencje. W takiej sytuacji zgodnie z regulaminem zostanie przeprowadzona rekrutacja uczestników, a przedsiębiorca wejdzie w posiadanie danych osobowych, które może gromadzić i przetwarzać wyłącznie zgodnie z przepisami prawa oraz na potrzeby realizacji projektu. Jego specyfika i charakter decydują o tym, jakich przepisów oraz wymogów musimy przestrzegać.

W jaki sposób zapewnić ochronę danych osobowych podczas realizacji projektu?

Zanim przystąpimy do realizacji projektu, w ramach którego będziemy gromadzić i  przetwarzać dane osobowe, warto przeanalizować wszystkie etapy oraz procesy z tym związane. Chodzi tutaj o rekrutację uczestników, sporządzanie i gromadzenie list obecności, raporty z przeprowadzonych działań, a także promocję projektu. 

Warto na początku stworzyć politykę ochrony danych osobowych oraz procedury bezpieczeństwa w projekcie, które znacznie ułatwią cały proces zarządzania danymi osobowymi. Kolejny krok to wyznaczenie administratora danych osobowych, który będzie decydować o celach i sposobach przetwarzania danych osobowych. To na nim ciąży obowiązek prowadzenia dokumentacji ochrony danych osobowych oraz reagowania na wszelkie naruszenia. 

Mimo wyznaczenia administratora należy pamiętać, że cały zespół odpowiedzialny za realizację projektu powinien być przeszkolony w zakresie bezpieczeństwa danych. Podczas zbierania danych osobowych uczestników projektu należy mieć na uwadze, że:

  • każdy formularz rekrutacyjny oraz lista obecności musi być opatrzona klauzulą RODO (czyli zawierać informację, przez jaki okres i dla jakich celów dane są gromadzone i przetwarzane),
  • jeżeli w trakcie projektu (zazwyczaj do celów promocyjnych albo na potrzeby kontroli) są robione zdjęcia uczestników, to każdy z nich musi wyrazić zgodę na publikację wizerunku,
  • powinny być one zbierane tylko w minimalnym zakresie takim, jaki jest to niezbędne do realizacji projektu,
  • mogą być one wykorzystywane jedynie w celu, dla którego zostały zebrane. 

Jak się zabezpieczyć przed utratą danych osobowych? 

Kolejnym bardzo ważnym aspektem ochrony danych osobowych (gdy już zostały zebrane i są przetwarzane) jest zapewnienie ich bezpieczeństwa. W dobie ciągle powtarzających się cyberataków, wycieków danych osobowych oraz coraz to nowych metod wyłudzania danych przez przestępców temat nie stanowi to prostego zadania. Aby nie narazić się na to, że dane uczestników projektu trafią w niepowołane ręce, warto:

  1. w przypadku dokumentacji papierowej trzymać ją w zamkniętych szafach lub pomieszczeniach, 
  2. korzystać z silnych haseł oraz regularnie je zmieniać, (każda osoba z zespołu projektowego musi mieć swój login) podczas logowania się do systemów teleinformatycznych służących do rozliczania projektu,
  3. dodatkowo szyfrować pliki z danymi osobowymi,
  4. tworzyć kopie zapasowe i przechowywać je w bezpiecznym miejscu,
  5. korzystać tylko z bezpiecznych, licencjonowanych systemów operacyjnych oraz oprogramowania,
  6. zapewnić, że transport dokumentów zawierających dane osobowe będzie odbywać się tylko w zamkniętych teczkach,
  7. przechowywać dane osobowe tylko przez okres, do którego zobowiązuje nas umowa o dofinansowaniu, a później zniszczyć w niszczarce oraz sporządzić protokół zniszczenia.

Należy również zwrócić uwagę, że każdy członek zespołu projektowego musi mieć pisemne upoważnienie do przetwarzania danych. Jeżeli dane osobowe trafiają do innych podmiotów (biura rachunkowego, partnera projektu), niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych regulującej zasady ich przekazywania podmiotowi zewnętrznemu, który będzie przetwarzał dane w imieniu administratora. Zgodnie z art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) umowa powierzenia musi mieć formę pisemną i zawierać konkretne elementy: 

  • przedmiot i czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych i kategorie osób,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego,
  • postanowienia dotyczące bezpieczeństwa danych,
  • zasady po zakończeniu współpracy,
  • odpowiedzialność i audyt,
  • dobre praktyki w projektach unijnych.

Podsumowując, można powierzyć przetwarzanie danych osobowych jedynie takiemu podmiotowi, który zapewni odpowiednie środki bezpieczeństwa i gwarantuje przestrzeganie zasad ochrony danych. 

Naruszenie ochrony danych osobowych - jakie czynności podjąć?

Zawsze może zdarzyć się błąd lub zaniechanie, w wyniku którego dojdzie do naruszenia ochrony danych. Podczas realizacji projektu może dojść m.in. do:

  • publikacji zdjęć uczestników szkolenia bez ich zgody,
  • zgubienia laptopa, który nie jest odpowiednio zabezpieczony,
  • przesłania listy uczestników, która nie jest właściwie zaszyfrowana, na zły adres e-mail,
  • złamania zasady minimalizacji danych (zbieranie większej liczby danych, niż jest to wymagane dla celów projektu). 

W takich sytuacjach najważniejsza jest szybka reakcja, która może finalnie zmniejszyć negatywne skutki. Po pierwsze trzeba zabezpieczyć pozostałe dane i ocenić, jakie ryzyka wiążą się z danym incydentem. Następnym krokiem jest zgłoszenie tego faktu do Urzędu Ochrony Danych Osobowych (UODO), czyli organu nadzorczego odpowiedzialnego za egzekwowanie przepisów dotyczących ochrony danych osobowych. UODO po przeprowadzeniu postępowania może nałożyć na beneficjenta karę finansową za naruszenie przepisów o ochronie danych osobowych. Warunkiem koniecznym jest również powiadomienie wszystkich osób poszkodowanych, że ich dane lub wizerunek został upubliczniony. Ostatnim etapem jest wyciągnięcie odpowiednich wniosków i podjęcie działań naprawczych, aby uniknąć takiej sytuacji w przyszłości.     

Jakie są dobre praktyki w zakresie ochrony danych osobowych?

Polskie przepisy o ochronie danych osobowych w obecnym kształcie weszły w życie w 25 maja 2018 roku. Ich nowelizacja miała miejsce 4 maja 2019 roku w związku z zapewnieniem stosowania rozporządzenia RODO. Można zatem zauważyć, że historia prawnej ochrony danych osobowych nie jest zbyt długa. W pierwszych latach obowiązywania nowych przepisów wszystkie instytucje dopiero uczyły się, w jaki sposób dostosować sytuacje faktyczne do norm prawnych. W zakresie wdrażania Funduszy Europejskich najlepszym rozwiązaniem jest stosowanie się do wypracowanych dobrych praktyk. Zaleca się zatem, aby beneficjenci przystępujący do realizacji projektu unijnego przeszkolili cały zespół na temat zasad bezpiecznego przetwarzania danych osobowych oraz reagowania na wszelkiego rodzaju incydenty. 

W razie naruszenia dane powinny być niezwłocznie zabezpieczone, a zdarzenie zgłoszone do inspektora ochrony danych oraz ewentualnie do UODO (w ciągu 72 godzin). Warto pamiętać, że dostęp do danych uczestników projektu powinny mieć wyłącznie osoby, które są zaangażowane w ich obsługę. Dokumenty zawierające dane osobowe nie mogą być pozostawione na biurku po zakończonej pracy. Koordynator projektu powinien zaś regularnie prowadzić kontrole wewnętrzne oraz audyty RODO, które pozwolą wykryć błędy, zanim dojdzie do naruszenia. 

Cała wymiana informacji pomiędzy podmiotem realizującym projekt a uczestnikiem musi odbywać się za pomocą zaszyfrowanych systemów (nie zaś za pośrednictwem e-maila). Wszystkie raporty i analizy powinny być przygotowane na podstawie anonimizacji danych. 

Podsumowując, ochrona danych osobowych stanowi obowiązek każdej instytucji, która wdraża projekty unijne. Dane powinny być zbierane i przetwarzane wyłącznie w zakresie, w jakim jest to potrzebne. Wdrażanie przepisów RODO, to proces ciągły, który wymaga aktualizacji, szkoleń oraz sprawdzania wdrożonych procedur.

Polecamy:

Skala podatkowa 2026 a kwota wolna od podatku w 2026 roku

Czym jest cyfrowa godność i jak chroni ją unijny A...
Anonimizacja danych – jak poprawnie zabezpieczyć d...
Podobne
Styczeń 2026
08
Czwartek
  • Dzień ustawowo wolny od pracy
  • Remanent początkowy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  4. Komu można udostępnić dane osobowe - prawne aspekty bezpiecznego udostępniania danych osobowych
  5. Fikcyjne doręczenie - czym się charakteryzuje?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku
Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW!
Smart City Forum – miasta przyszłości w epoce danych, bezpieczeństwa i cyfrowej odporności
XIV Ogólnopolska Konferencja Naukowa „Rachunkowość i Finanse. Teoria i Praktyka”
Kongres For Social Media 2025 Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów