Nowe rozdanie środków unijnych. Jak rozkładają się role w kontekście RODO.
Ruszyło już pełną parą podpisywanie umów na realizację projektów finansowanych ze środków unijnych i … nagle okazuje się że Beneficjent to administrator danych osobowych, a nie procesor.
Wszyscy Beneficjenci przyzwyczaili się w poprzednim okresie programowania do bycia podmiotem przetwarzającym podczas realizacji projektów. Jednakże w nowym okresie programowanie już tak łatwo nie będzie. Artykuł 87 ust. 1 ustawy z dnia 28 kwietnia 2022 r. o zasadach realizacji zadań finansowanych ze środków europejskich w perspektywie finansowej 2021–2027 wymienia cały szereg podmiotów, w tym beneficjentów i wnioskodawców, którzy w kolejnych przepisach nazywani są ADMINISTRATORAMI DANYCH OSOBOWYCH.
O co cała awantura?
Przecież i tak każdy beneficjent w ramach prowadzonej działalności pozaprojektowej i tak był administratorem danych osobowych.
Owszem, jednak jako procesor, w umowie dofinansowania, beneficjent miał wprost wskazane co i jak ma robić z danymi osobowymi. Zakres ten podlegał kontroli, podczas której sprawdzane były klauzule informacyjne, ewidencje upoważnień, same upoważnienia, rejestr wszystkich kategorii czynności przetwarzania, analiza ryzyka oraz fakt czy instytucja zarządzająca dostała informacje o nowym podmiocie przetwarzającym i … w zasadzie to wszystko.
Efektem takiego konstruowania relacji między beneficjentem a instytucją zarządzającą i wysokie prawdopodobieństwo kontroli u realizatorów projektów był fakt, że to na tych zadaniach związanych z ochroną danych osobowych koncertowali się beneficjenci. Wiemy jednak, że to tylko mały wycinek zadań w porównaniu do wszystkich obowiązków należących do administratora danych osobowych. Część beneficjentów posiada wprawdzie wdrożone procedury pozwalające na wypełnienie zadań administratora danych osobowych i traktuje tą rolę poważnie, jednak pozostali posiadają jedynie na pokaz dokumentację wymaganą umową projektową.
„Nowe” role realizatorów projektów finansowanych ze środków unijnych
W nowym okresie programowania beneficjenci nareszcie potraktowani są jako pełnoprawni administratorzy, którym dane są udostępniane, a nie powierzane. Wiąże się to jednak z nowymi dla wielu z tych podmiotów zadaniami zastosowanie podstawowych zasad przetwarzania danych osobowych zawartych w art. 5 RODO, zapewnienie mechanizmów pozwalających na realizację praw podmiotów danych, stosowanie zasad privacy by design i privacy by default, opracowanie faktycznie efektywnych procedur, w tym zapewniających zastosowanie adekwatnych środków organizacyjnych i technicznych lub skutecznego reagowania w przypadku naruszeń, stanowi ogromne wyzwanie.
Nowa rola to nowe obowiązki
Nowy okres programowania przynosi beneficjentom funduszy unijnych nie tylko możliwości finansowania ich projektów, ale również wymaga od nich adaptacji do roli administratorów danych osobowych. Chociaż zadania te mogą wydawać się obciążające, są one kluczowe dla zapewnienia zgodności z obowiązującymi przepisami i ochrony prywatności osób, których dane dotyczą. Przy właściwym podejściu i odpowiednim wsparciu, beneficjenci mogą skutecznie sprostać tym nowym wyzwaniom.
Nowe rozdanie środków unijnych. Jak rozkładają się role w kontekście RODO.
Ruszyło już pełną parą podpisywanie umów na realizację projektów finansowanych ze środków unijnych i … nagle okazuje się że Beneficjent to administrator danych osobowych, a nie procesor.
Wszyscy Beneficjenci przyzwyczaili się w poprzednim okresie programowania do bycia podmiotem przetwarzającym podczas realizacji projektów. Jednakże w nowym okresie programowanie już tak łatwo nie będzie. Artykuł 87 ust. 1 ustawy z dnia 28 kwietnia 2022 r. o zasadach realizacji zadań finansowanych ze środków europejskich w perspektywie finansowej 2021–2027 wymienia cały szereg podmiotów, w tym beneficjentów i wnioskodawców, którzy w kolejnych przepisach nazywani są ADMINISTRATORAMI DANYCH OSOBOWYCH.
O co cała awantura?
Przecież i tak każdy beneficjent w ramach prowadzonej działalności pozaprojektowej i tak był administratorem danych osobowych.
Owszem, jednak jako procesor, w umowie dofinansowania, beneficjent miał wprost wskazane co i jak ma robić z danymi osobowymi. Zakres ten podlegał kontroli, podczas której sprawdzane były klauzule informacyjne, ewidencje upoważnień, same upoważnienia, rejestr wszystkich kategorii czynności przetwarzania, analiza ryzyka oraz fakt czy instytucja zarządzająca dostała informacje o nowym podmiocie przetwarzającym i … w zasadzie to wszystko.
Efektem takiego konstruowania relacji między beneficjentem a instytucją zarządzającą i wysokie prawdopodobieństwo kontroli u realizatorów projektów był fakt, że to na tych zadaniach związanych z ochroną danych osobowych koncertowali się beneficjenci. Wiemy jednak, że to tylko mały wycinek zadań w porównaniu do wszystkich obowiązków należących do administratora danych osobowych. Część beneficjentów posiada wprawdzie wdrożone procedury pozwalające na wypełnienie zadań administratora danych osobowych i traktuje tą rolę poważnie, jednak pozostali posiadają jedynie na pokaz dokumentację wymaganą umową projektową.
„Nowe” role realizatorów projektów finansowanych ze środków unijnych
W nowym okresie programowania beneficjenci nareszcie potraktowani są jako pełnoprawni administratorzy, którym dane są udostępniane, a nie powierzane. Wiąże się to jednak z nowymi dla wielu z tych podmiotów zadaniami zastosowanie podstawowych zasad przetwarzania danych osobowych zawartych w art. 5 RODO, zapewnienie mechanizmów pozwalających na realizację praw podmiotów danych, stosowanie zasad privacy by design i privacy by default, opracowanie faktycznie efektywnych procedur, w tym zapewniających zastosowanie adekwatnych środków organizacyjnych i technicznych lub skutecznego reagowania w przypadku naruszeń, stanowi ogromne wyzwanie.
Nowa rola to nowe obowiązki
Nowy okres programowania przynosi beneficjentom funduszy unijnych nie tylko możliwości finansowania ich projektów, ale również wymaga od nich adaptacji do roli administratorów danych osobowych. Chociaż zadania te mogą wydawać się obciążające, są one kluczowe dla zapewnienia zgodności z obowiązującymi przepisami i ochrony prywatności osób, których dane dotyczą. Przy właściwym podejściu i odpowiednim wsparciu, beneficjenci mogą skutecznie sprostać tym nowym wyzwaniom.
Ostatnie wpisy
O mnie
Michał Cupiał
Kategorie