Przetwarzanie danych osobowych w perspektywie 2021-2027 – podejście
W latach 2021-2027 przepisy ustawy z 28 kwietnia 2022 o zasadach realizacji zadań finansowanych ze środków europejskich w perspektywie finansowej 2021-2027 (ustawy wdrożeniowej) wyznaczyły nowe ramy prawne dla ochrony i przetwarzania danych osobowych w procesie realizacji Funduszy Europejskich, w tych Interreg.
Zasadniczą zmianą jest odstąpienie od stosowanej w poprzedniej perspektywie 2014-2020 koncepcji jednego administratora danych osobowych - Ministra Funduszy i Polityki Regionalnej - na rzecz koncepcji wielu administratorów, którymi są m.in.:
- minister właściwy do spraw rozwoju regionalnego (dalej zwany Ministrem),
- minister właściwy do spraw finansów publicznych,
- instytucje zarządzające,
- wspólny sekretariat,
- koordynator programów Interreg,
- kontroler krajowy,
- beneficjenci i wnioskodawcy.
Wymienione wyżej podmioty samodzielnie określają sposób i środki przetwarzania danych osobowych do wykonywania przypisanych im zadań, a ponadto odpowiadają za ochronę danych osobowych bezpośrednio przed Prezesem Urzędu Ochrony Danych Osobowych.
Administratorzy mogą gromadzić i przetwarzać dane osobowe w systemach teleinformatycznych.
Administratorzy mogą wzajemnie udostępniać sobie dane osobowe na zasadach określonych w ustawie wdrożeniowej, co jednak nie zwalnia ich z realizowania obowiązku informacyjnego z art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) względem osób, których dane przetwarzają.
Minister przetwarza dane osobowe pozyskiwane bezpośrednio od osób, których dane dotyczą, a także z centralnego systemu teleinformatycznego (CST2021) lub z rejestrów publicznych.
Przetwarzanie danych osobowych w programach Interreg 2021-2027
Realizacja projektów w ramach programów Interreg w perspektywie 2021-2027 wiąże się m.in. z koniecznością gromadzenia i udostępniania danych osobowych. Przetwarzanie danych osobowych jest niezbędne do realizacji następujących celów:
- przeprowadzania naborów, w których wnioskodawcy ubiegają się o dofinansowanie,
- objęcia dofinansowaniem wnioskodawców ubiegających się o wsparcie z programów Interreg,
- realizacji projektów, potwierdzania kwalifikowalności wydatków,
- wnioskowania o płatności do Komisji Europejskiej, raportowania o nieprawidłowościach,
- ewaluacji,
- monitoringu,
- kontroli,
- audytu,
- sprawozdawczości,
- informacji i promocji.
Partnerzy (w tym partnerzy wiodący), którzy uczestniczą w realizacji projektu i przetwarzają dane osobowe m.in. w celu przygotowania, wdrożenia i rozliczenia projektu, są administratorami tych danych w rozumieniu RODO*. W toku realizacji projektu dochodzi do przekazywania różnego rodzaju dokumentów i informacji, które zawierają dane osobowe. Odbiorcami danych osobowych od partnerów (partnera wiodącego) są przede wszystkim wspólny sekretariat (Centrum Projektów Europejskich w Warszawie), właściwy kontroler (instytucja weryfikująca wnioski o płatność), a także instytucja zarządzająca (Minister Funduszy i Polityki Regionalnej). To przekazanie danych osobowych stanowi udostępnienie danych w rozumieniu RODO. W wyniku udostępnienia danych wskazane wyżej instytucje stają się samodzielnymi administratorami udostępnionych im danych osobowych, odrębnymi od partnerów i partnerów wiodących.
Wszyscy administratorzy odpowiadają za przetwarzanie danych osobowych i ich ochronę zgodnie z obowiązującymi przepisami prawa dotyczącymi danych osobowych i prywatności, w tym w szczególności zgodnie z RODO oraz przepisami państwa członkowskiego właściwego z uwagi na siedzibę administratora.
W związku z realizacją projektów Interreg administratorzy przetwarzają są następujące kategorie danych osobowych:
- dane osób reprezentujących (lub pracowników) wnioskodawców, beneficjentów i partnerów, którzy aplikują o środki i realizują projekty,
- dane osób reprezentujących lub pracowników podmiotów powiązanych z wnioskodawcami, beneficjentami i partnerami (kapitałowo, osobowo, w ramach instytucji nadzorujących itp.),
- dane osób reprezentujących oferentów, wykonawców i podwykonawców, realizujących umowy w sprawie zamówienia publicznego lub świadczących usługi na podstawie umów cywilnoprawnych,
- dane pracowników oferentów, wykonawców i podwykonawców zaangażowanych w przygotowanie oferty lub włączonych w wykonanie umowy,
- dane właścicieli (lub ich pełnomocników), od których nabywane są nieruchomości na potrzeby realizacji projektów albo przyłączanych (korzystających) z infrastruktury powstającej w wyniku realizacji projektów,
- dane uczestników działań projektowych.
Administratorzy zobowiązani są do wykonywania obowiązku informacyjnego wobec osób, których dane pozyskują. W przypadku partnerów i partnerów wiodących obowiązek ten istnieje wobec np. swoich pracowników, kontrahentów i wykonawców różnych zleceń oraz umów związanych z projektem. Aby zapewnić tym osobom kompleksową i czytelną informację o zasadach przetwarzania ich danych i prawach, które im przysługują, jako załącznik do umowy o dofinansowanie udostępniamy do stosowania wzór klauzuli informacyjnej. Należy z niej skorzystać w momencie pozyskania tych danych, jesteś bowiem zobowiązany realizować obowiązek informacyjny zarówno w imieniu swoim, jak i pozostałych administratorów, tj. wspólnego sekretariatu, kontrolera i instytucji zarządzającej.
Szczegółowe zapisy dotyczące przetwarzania danych osobowych w związku z realizacją projektu są zawarte w umowie o dofinansowanie i w umowie partnerskiej.
*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
