Poradnik Przedsiębiorcy

Ochrona danych osobowych przy rozliczaniu dotacji

Polskie prawo określa ścisłe zasady postępowania przy przetwarzaniu danych osobowych, czyli wykonywaniu jakichkolwiek operacji na tych danych (jak m.in. ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie). A jak wygląda ochrona danych osobowych przy rozliczaniu dotacji, gdy niezbędnym elementem we wniosku o dofinansowanie unijne czy polskie jest podanie swoich danych osobowych?

Czym są dane osobowe i dane wrażliwe?

Definicję danych osobowych możemy odnaleźć w art. 6 ustawy o ochronie danych osobowych (która wkrótce będzie dostosowana i zastąpiona unijnym rozporządzeniem o ochronie danych osobowych - RODO).

Art. 6 ustawy o ochronie danych osobowych (UODO)

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Na podstawie powyższego artykułu możemy zauważyć, że w skład danych osobowych wchodzą takie dane, jak np. PESEL, odciski palców, DNA, data urodzenia, e-mail (jeśli określa daną osobę) - czyli informacja lub zbiór informacji, które jednoznacznie identyfikują i rozpoznają konkretną osobę (podmiot). Nie zawsze pojedyncza informacja stanowi daną osobową (np. nazwisko), ale już w połączeniu z pozostałymi (np. z datą urodzenia) - jest chroniona jako dane osobowe.

Dane wrażliwe - są to informacje dotyczące życia osobistego. Wymienione są w art. 27 uodo, który mówi, że: “Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych (...)”, a RODO (w art. 9) rozszerzy ten katalog o przekonania światopoglądowe oraz dane biometryczne.

Przetwarzanie danych osobowych przez projektodawców

Zgodnie z art. 7 uodo za przetwarzanie danych osobowych rozumie się “jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.

Podczas wypełniania wniosku o dofinansowanie niezbędnym jest, aby podać w nim swoje dane osobowe - jest to potrzebne dla celów realizacji projektu, przyznania dofinansowania. Dane te są automatycznie zbierane oraz przechowywane przez podmiot, który przyznaje dofinansowanie - jest on administratorem danych, bo to on decyduje o celach i środkach przetwarzania danych. Obok administratora danych należy jeszcze wyróżnić ich odbiorcę  (czasami zwanego procesorem), czyli podmiot, któremu dane zostały udostępnione. Procesorem najczęściej jest koordynator projektu czy instytucja pośrednicząca.

Przykład 1.

Gdy marszałek województwa przyznaje dofinansowanie dla firm ze środków unijnych, to województwo jest odbiorcą danych, a organ unijny administratorem.

Aby projektodawca mógł zbierać i przetwarzać dane osobowe zgodnie z prawem, niezbędna jest zgoda osoby, której dane dotyczą, na ich przetwarzanie. Taka klauzula, czyli wyrażenie zgody, powinna być zawarta we wniosku o dofinansowanie. Inne podstawy prawne, które pozwalają legalnie zbierać i przetwarzać dane osobowe to:

  • odpowiedni przepis w uodo,

  • konieczność podania danych w związku z zawartą umową,

  • dobro publiczne,

  • prawnie usprawiedliwiony cel administratora.

W większości projektów unijnych administratorem danych jest podmiot rozdzielający środki, a beneficjent (podmiot realizujący projekty finansowe z budżetu unijnego na podstawie umowy o dofinansowanie) występuje jako procesor. Procesor (np. kierownik projektu) może przetwarzać dane na zlecenie administratora na podstawie umowy powierzenia, dlatego też obowiązkiem procesora jest dopilnowanie, aby podpisać umowy powierzenia przetwarzania danych osobowych oraz aby podmioty składające wniosek o dofinansowanie wyraziły zgodę na przetwarzanie danych osobowych w celach niezbędnych dla realizacji projektu.

Obowiązek informacyjny

Koordynator projektu, w ramach którego przyznawane jest dofinansowanie, ma obowiązek poinformować uczestników-wnioskodawców o tym, kto jest administratorem danych, podać jego adres, cel przetwarzania danych oraz wskazać podmioty, którym dane mogą być udostępnione. Informacja powinna również zawierać treść o możliwości wglądu do swoich danych oraz ich poprawiania.

Osoby zainteresowane mają prawo do uzyskania informacji na temat przetwarzania ich danych osobowych również na podstawie wystosowanego pytania, żądania. Mogą zapytać o to, w jakim zakresie przetwarzane są dane osobowe oraz skąd pochodzą. Odpowiedź, na którą procesor (np. koordynator projektu) ma 30 dni,  powinna być podana w powszechnie zrozumiałej formie. Jeśli pytający nie dostanie odpowiedzi w stosownym terminie - można złożyć skargę do GIODO.

Bezpieczeństwo danych, czyli poprawna ochrona danych osobowych

Odpowiednie zabezpieczenie danych osobowych jest najważniejszym obowiązkiem kierownika projektu. Wyróżnia się trzy rodzaje zabezpieczeń:

  • fizyczne,

  • techniczne,

  • organizacyjne.

Zabezpieczenia fizyczne to ograniczenie dostępu do danych, np. poprzez zastosowanie szaf pancernych, krat w oknach czy alarmów.

Zabezpieczenia techniczne to zabezpieczenia w systemach informatycznych, poczynając od komputerów, po odpowiednie programy w chmurach.

Zabezpieczenia organizacyjne to odpowiednia dokumentacja, czyli polityka bezpieczeństwa informacji oraz instrukcja zarządzania systemami informatycznymi, służącymi do przetwarzania danych.

Szczegółowe wytyczne co do bezpieczeństwa danych zawiera rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Oprócz odpowiedniego zabezpieczenia danych należy jeszcze przeszkolić kadrę, zespół w zakresie ochrony danych osobowych, aby zapewnić kompleksową i zgodną z prawem ochronę danych osobowych.