OCHRONA DANYCH OSOBOWYCH W PROJEKTACH PO KL

*Artykuł został zamieszczony w publikacji „Poradnik koordynatora projektów realizowanych w ramach POKL 2007-2013″ Ostrołęka, grudzień 2012

Temat ochrony danych osobowych jest bardzo ważnym obszarem działań przy realizacji projektów współfinansowanych z EFS w ramach PO KL. Jako trener specjalistyczny zajmujący się tematyką ochrony danych osobowych w PO KL obserwuję znaczny wzrost zapotrzebowania na szkolenia skierowane do beneficjentów z tego obszaru wynikający przede wszystkim z trudności interpretacyjnych zapisów prawnych w przełożeniu ich na praktyczne zastosowanie.

Czym zatem są dane osobowe i jak zgodnie z Ustawą[1] należy przetwarzać dane uczestników projektów?

Termin „dane osobowe” obejmuje informacje dotyczące życia prywatnego i rodzinnego sensu stricto danej osoby, ale także informacje dotyczące wszelkich działań przez nią podejmowanych, takich jak informacje dotyczące relacji zawodowych lub też zachowań ekonomicznych albo społecznych osoby.

Dla zakwalifikowania określonej informacji do kategorii danych osobowych nie ma znaczenia status prawny określonej osoby – to, czy posiada zdolność do czynności prawnych, czy przysługują jej prawa publiczne. Nie ma także znaczenia jej obywatelstwo. Ochronie, którą zapewnia ustawa o ochronie danych osobowych, w takim samym zakresie podlegają dane osobowe obywateli polskich, jak i cudzoziemców. Ustawie tej podlegają dane osobowe bez względu na wiek osoby, której one dotyczą, tj. czy jest ona pełnoletnia, czy też pełnoletności jeszcze nie osiągnęła.

Na potrzeby realizowanych projektów beneficjenci zbierają dane o uczestnikach w postaci zbiorów informacji stanowiących dane osobowe w tym dane szczególnie wrażliwe (art. 27 Ustawy) takie jak: fakt bycia osobą niepełnosprawną, bycie emigrantem oraz informacje o przynależności do mniejszości narodowej lub etnicznej. Należy podkreślić, że zbieranie danych szczególnie wrażliwych przez beneficjentów opiera się na deklaracjach i oświadczeniach potwierdzających np. posiadanie niepełnosprawności u uczestnika projektu, i co za tym idzie, nie jest wskazane zbieranie i przechowywanie danych medycznych w dokumentacji projektowej. Wynika to z faktu, iż wprowadzane dane do formularza PEFS w przypadku niepełnosprawności są jedynie informacją potwierdzającą niepełnosprawność uczestnika poprzez zaznaczenie odpowiedniego pola w formularzu.

Zbieranie danych osobowych jest możliwe w oparciu o zastosowanie zasady legalności, która wskazuje, że dane mogą być przetwarzane tylko na podstawie przepisów prawa. Dlatego bardzo istotna jest świadomość i wiedza beneficjenta w zakresie stosowanego przepisu prawa, w oparciu o który w sposób legalny może pozyskiwać dane o uczestnikach projektu. Przesłanką dopuszczalności przetwarzania jest art. 23, ust. 2 Ustawy, według którego przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”.
Na potrzeby legalności przetwarzania danych w projektach jako przepis prawa zastosowanie ma Ustawa z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju[2]. Wprowadzenie tego przepisu nastąpiło w oparciu o Zasady finansowania Programu Operacyjnego Kapitał Ludzki – 22.12.2011r (wraz z erratą z 18.01.2012), w myśl których od dnia 1 stycznia 2012 r. cofa wyrażenie zgody jako podstawę prawną do przetwarzania danych w zbiorze projektu (ust. 1 art. 23 Ustawy).

Funkcja Administratora Danych Osobowych w PO KL

Warto podkreślić i przypomnieć beneficjentom, że administratorem danych osobowych PEFS jest Minister Rozwoju Regionalnego, który decyduje o celach i środkach przetwarzania danych osobowych. W związku z tym, MRR określił jakie dane można zbierać i przetwarzać, które są niezbędne do uzupełnienia formularza PEFS i za takie ponosi odpowiedzialność. Należy również wskazać, że zbiór PEFS został przez MRR zarejestrowany w GIODO pod numerem księgi 091946.

Natomiast w przypadku zbierania danych osobowych dodatkowych (tzn. innych niż wymagane do wprowadzenia do PEFS), które wynikają ze specyfiki projektu PO KL należy zastanowić się na legalnością i celowością pozyskiwania tychże danych i umieć wskazać przepis prawa na podstawie, którego realizujemy przetwarzanie danych osobowych uczestników projektu. Przykładem przepisu, na podstawie którego beneficjent może zbierać dane osobowe uczestników jest art. 23 ust.1 Ustawy o ochronie danych osobowych mówiący o wrażeniu zgody osoby na przetwarzanie jej danych. Jednocześnie, podmiot/osoba/organ, który staje się właścicielem danych osobowych przyjmuje automatycznie funkcję administratora danych osobowych (ADO) z pełną konsekwencją odpowiedzialności wynikającą z ustawy o ochronie danych osobowych. Więc jeżeli beneficjent zbiera dane osobowe inne niż tylko te niezbędne do PEFS staje się ADO dla pozostałych danych przetwarzanych w projekcie PO KL.

Rejestracja zbiorów w GIODO

Jednym z zadań ADO jest m.in. obowiązek rejestracji zbiorów w GIODO (art.43 Ustawy), chyba że ADO jest zwolniony z obowiązku rejestracji zgodnie z art.43 ust.1. Należy podkreślić, że cytowany przepis wskazujący przypadki zwolnienia z obowiązku rejestracji dotyczy tylko tych ADO, którzy literalnie są opisani w tym przepisie. W związku z powyższym, jeżeli beneficjent przetwarza dane osobowe „szerzej” niż te niezbędne do wprowadzenia do systemu PEFS powinien swój zbiór zarejestrować w GIODO (chyba, że podlega zwolnieniu w myśl przepisu art.43 ust.1). Oczywiście zwolnienie z rejestracji zbioru nie zwalnia beneficjenta z pozostałych obowiązków wynikających z ustawy o ochronie danych osobowych.

Rola Administratora Bezpieczeństwa Informacji w PO KL

Ważną kwestią przy przetwarzaniu danych osobowych przez beneficjentów jest wyznaczenie osób funkcyjnych biorących udział w procesie przetwarzania danych osobowych. Oprócz opisanej powyżej funkcji ADO, wskazuje się również powołanie administratora bezpieczeństwa informacji – „ABI” (art. 36 ust.3 – „Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności”). Pożądane jest umieszczenie stanowiska ABI jak najwyżej w strukturze organizacyjnej administratora danych i podporządkowanie go wyłącznie ścisłemu kierownictwu administratora danych. W zakresie ochrony danych osobowych ABI powinien posiadać możliwość wydawania zaleceń wszystkim osobom upoważnionym do przetwarzania danych osobowych oraz innym osobom mającym wpływ na przetwarzanie tych danych. Ponadto ABI powinien mieć zagwarantowane warunki do jak najlepszej współpracy z poszczególnymi komórkami organizacyjnymi administratora danych, w tym zwłaszcza z działem kadr i informatyki. Do zadań ABI należy m.in.:

  • prowadzenie wykazu zbiorów danych osobowych przetwarzanych u beneficjenta oraz prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
  • kontrolowanie zakresu przedmiotowego i podmiotowego przetwarzanych danych osobowych;
  • dokonywanie okresowej analizy zagrożeń dla bezpieczeństwa danych osobowych oraz wdrażanie zmian w polityce bezpieczeństwa w celu zapewnienia właściwego poziomu ochrony przetwarzanych danych osobowych;
  • przeprowadzanie szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do przetwarzania danych osobowych.

Przedstawione obowiązki i co za tym idzie ich realizacja, uprawnia ABI do nadzorowania formy i zasad przetwarzania danych osobowych w zbiorach wraz z technikami i procedurami zabezpieczenia. Niezależnie od wielkości zbioru i ilości posiadanych zbiorów u beneficjenta należy stosować metody i środki bezpieczeństwa, za które w imieniu ADO odpowiada ABI. Takie same uwarunkowania są przekładane na przetwarzanie danych osobowych w zbiorach u beneficjenta niezależnie od tego czy jest to zbiór PEFS czy zbiór projektu beneficjenta.

Pytaniem stawianym często przez beneficjentów jest: czy funkcję ABI może pełnić jedna osoba dla zbioru PEFS i zbiorów, których właścicielem jest podmiot realizujący projekt oraz czy dokumentacja bezpieczeństwa opisująca zasady ochrony danych osobowych może być tożsama dla zbioru PEFS i innych zbiorów pozostających we właściwości beneficjenta?

Zgodnie z §3.1 Rozporządzenia[3] na dokumentację składa się POLITYKA BEZPICZEŃSTWA i INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. Są to dokumenty wymagane przepisem prawa, które każdy podmiot przetwarzający dane osobowe musi posiadać. Polityka bezpieczeństwa jest dokumentem, który opisuje środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych oraz wykazy zbiorów danych osobowych, osób upoważnionych do przetwarzania danych osobowych czy wykazy pomieszczeń i budynków, w których realizowany jest proces przetwarzania. Biorąc pod uwagę zakres informacji, jakie są zawarte w polityce bezpieczeństwa staje się zasadne aby taka dokumentacja była spójna dla wszystkich zbiorów jakie przetwarza podmiot/beneficjent projektu, a co za tym idzie aby osoba odpowiedzialna za zasady przestrzegania bezpieczeństwa, czyli ABI, była tą samą osobą. Takie rozwiązanie powoduje, że dokumentacja, która jest „żywym” dokumentem z uwagi na zmienność wykazów czy procedur pozostaje pod nadzorem jednej odpowiedzialnej osoby, administratora bezpieczeństwa informacji.

Refleksja

Reasumując, obszar szeroko rozumianej ochrony danych osobowych jest zagadnieniem prowokującym do ciągłej analizy i dostosowywania przepisów prawa do norm i zasad obowiązujących w zakresie bezpieczeństwa zbiorów u administratora danych osobowych.

Na zakończenie chciałabym podkreślić, że podejmując różne działania w obszarze przetwarzania danych osobowych należy pamiętać, że „każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym” (Art. 51 Konstytucji RP). Dlatego ważne jest aby beneficjenci projektów PO KL przetwarzający dane osobowe uczestników czuli się odpowiedzialni, niezależnie od pełnionych funkcji, za humanitarne i zgodne z prawem przestrzeganie zasad ochrony danych osobowych.

Elżbieta Nell Chojnowska

 


[1] Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. z późn. zmianami (tekst jednolity: Dz.U.
z 2002 r. Nr 101, poz. 926)

[2] Ustawa z dnia 6 grudnia 2006 r. o zasadach prowadzenia polityki rozwoju (Dz.U. z 2006 nr 227 poz. 1658)

[3] Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych  (DZ.U. 04 Nr 100 poz. 1024)

Szukaj