Polityka prywatności
Polityka przetwarzania danych osobowych
Stowarzyszenia Wspólne Szczęście
wersja lipiec 2022
Użyte w niniejszej polityce (zwanej też w dalszej części zasadami) określenia oznaczają:
1) RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z późn. zm.,
2) dane osobowe – dane osobowe, w rozumieniu art. 4 pkt. 1) RODO, dotyczące:
– pracowników Stowarzyszenia,
– pracowników partnera(ów),
– uczestników projektów realizowanych w ramach Regionalnego Programu Operacyjnego Województwa
Małopolskiego 2014-2020, osób których dane są przetwarzane w związku z badaniem kwalifikowalności wydatków w projekcie, w tym w szczególności personelu projektu, przetwarzane przez Stowarzyszenia w celu wykonania postanowień umowy o dofinansowanie projektu;
3) Administrator Danych Osobowych – Stowarzyszenie Wspólne Szczęście, zwane Stowarzyszeniem
4) przetwarzanie danych osobowych- przetwarzanie w rozumieniu art. 4 pkt 2) RODO, tj. oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; w zakresie niezbędnym do realizacji umowy
5) dokument – dowolny nośnik, tradycyjny lub elektroniczny, na którym są zapisane dane osobowe;
6) SL2014 – aplikacja główna Centralnego systemu teleinformatycznego (CST) administrowanego przez
ministra właściwego do spraw rozwoju regionalnego.
ZASADY GÓLNE
Obowiązek informacyjny realizowany w związku z art. 13 i 14 RODO
Administratorem danych osobowych jest Stowarzyszenie Wspólne Szczęście, ul. Lipowa 5C/22, 32-050 Skawina.
Przetwarzanie danych osobowych jest zgodne z prawem i spełnia warunki, o których mowa w art. 6 ust. 1 lit. c) oraz art. 9 ust. 2 lit g) RODO.
Dane osobowe będą przetwarzane wyłącznie w celu realizacji Regionalnego Programu Operacyjnego Województwa Małopolskiego 2014-2020.
Dane osobowe będą przechowywane do momentu zakończenia realizacji projektu i jego rozliczenia oraz do momentu zamknięcia i rozliczenia Regionalnego Programu Operacyjnego Województwa Małopolskiego 2014-2020 oraz zakończenia okresu trwałości dla projektu i okresu archiwizacyjnego w zależności od tego, która z tych dat nastąpi później.
Podanie danych ma charakter dobrowolny, aczkolwiek jest wymogiem ustawowym, a konsekwencją odmowy ich podania jest brak możliwości udzielenia wsparcia w ramach projektu. Osoba, której dane dotyczą posiada prawo dostępu do treści swoich danych oraz prawo ich: sprostowania, ograniczenia przetwarzania, zgodnie z art. 15, 16, 18 RODO. Osoba, której dane dotyczą ma prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie jej danych osobowych narusza przepisy RODO.
Dane osobowe mogą zostać ujawnione innym podmiotom upoważnionym na podstawie przepisów prawa.
Dane osobowe nie będą przetwarzane w sposób zautomatyzowany, w tym również profilowane.
Nie ustanawia się Inspektora Ochrony Danych Osobowych.
Polityka dotyczy wszystkich danych osobowych przetwarzanych w Stowarzyszeniu, niezależnie od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne, systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w siedzibie Administratora.
Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do przetwarzania danych osobowych, na wniosek tych osób, a także osobom, którym ma zostać nadane upoważnienie do przetwarzania danych osobowych, celem zapoznania się z jej treścią.
§ 1
1. Stowarzyszenie jest administratorem danych osobowych swoich pracowników i współpracowników. Stowarzyszenie jako administrator danych osobowych zobowiązany jest dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą i spełnić wszystkie wymagania wynikające z zapisów RODO, w tym w szczególności w zakresie obowiązków informacyjnych, o których mowa w art. 13 i art. 14 RODO.
2. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego działania Administrator wykona czynności określone w art. 35 i nast. RODO.
§ 2
1. Stowarzyszenie jest uprawnione do dalszego powierzenia powierzonych do przetwarzania danych osobowych podmiotom świadczącym usługi na rzecz Stowarzyszenia w związku z realizacją projektu w ramach Regionalnego Programu Operacyjnego Województwa Małopolskiego 2014-2020.
2. Powierzenie przetwarzania danych osobowych podmiotom, o których mowa w ust. 1, odbywa się na podstawie odrębnych upoważnień. Stowarzyszenie wykonuje wobec osób, których dane dotyczą, obowiązki informacyjne wynikających z art. 13 i art. 14 RODO.
3. Wzór upoważnienia do przetwarzania danych osobowych, jest określony w załączniku nr 1 do niniejszych zasad.
4. Wzór odwołania upoważnienia do przetwarzania danych osobowych, jest określony w załączniku nr 2 do niniejszych zasad.
§ 3
1. Stowarzyszenie jest zobowiązane do wydawania i odwoływania upoważnień do przetwarzania danych osobowych w Centralnym systemie teleinformatycznym.
2. Stowarzyszenie ograniczy dostęp do danych osobowych wyłącznie do osób posiadających uprawnienie do przetwarzania danych osobowych. Upoważnienia wydawane są zgodnie z Procedurą zgłaszania osób uprawnionych w ramach projektu stanowiącą załącznik nr 4 do Wytycznych w zakresie warunków
gromadzenia i przekazywania danych. Zgłoszenie ww. osób jest dokonywane na podstawie wniosku zgodnie z załącznikiem nr 3 do wskazanych Wytycznych.
§ 4
1. Dane osobowe w CST są przetwarzane na podstawie art. 6 ust. 1 lit. c) RODO, uwzględniając zapisy art. 54 ust. 2, art. 65, art. 115, art. 122 ust. 3, art. 125 ust. 2 lit. d, ust. 4 lit. a oraz ust. 5 i 6 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 z dnia 17 grudnia 2013 r. ustanawiającego wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu Morskiego i Rybackiego oraz ustanawiającego przepisy ogólne dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności i Europejskiego Funduszu Morskiego i Rybackiego oraz uchylającego rozporządzenie Rady (WE) nr 1083/2006 oraz pkt 3 A ppkt iv załącznika XIII Kryteria desygnacji Instytucji Zarządzającej i Instytucji Certyfikującej do tego rozporządzenia, art. 5 oraz art. 19 ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1304/2013 z dnia 17 grudnia 2013 r. w sprawie Europejskiego Funduszu Społecznego i uchylającego rozporządzenie Rady (WE) nr 1081/2006 oraz załącznika I i II do tego rozporządzenia, art. 9 ust. 2, art 22 – 24 i 26 ustawy z dnia 11 lipca 2014 r. o zasadach realizacji programów
w zakresie polityki spójności finansowanych w perspektywie finansowej 2014 – 2020, rozporządzenia wykonawczego Komisji (UE) nr 1011/2014 z dnia 22 września 2014 r. ustanawiającego szczegółowe przepisy wykonawcze do rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1303/2013 w odniesieniu do wzorów służących do przekazywania Komisji określonych informacji oraz szczegółowe przepisy dotyczące wymiany informacji między Stowarzyszenieami a instytucjami zarządzającymi, certyfikującymi, audytowymi i pośredniczącymi.
2. Stowarzyszenie, w przypadku przetwarzania powierzonych danych osobowych w systemie informatycznym, zobowiązuje się do przetwarzania ich w systemie CST.
§ 5
1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną przez Administratora Danych Polityką przetwarzania danych osobowych
2. Wszystkie dane osobowe są przetwarzane z poszanowaniem zasad przetwarzania przewidzianych przez przepisy prawa na podstawie jednej z przewidzianych przepisami prawa podstaw dla przetwarzania danych.
3. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:
a. naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe, w razie ich przetwarzania w takich systemach;
b. udostępnianie lub umożliwienie udostępniania danych osobom lub podmiotom do tego nieupoważnionym;
c. niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
d. zaniechanie dopełnienia obowiązku zapewnienia danym osobowym ochrony;
e. przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
f. spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie danych osobowych;
g. naruszenie praw osób, których dane są przetwarzane.
4. W przypadku stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do powiadomienia Administratora Danych o zdarzeniu niezwłocznie jednak nie później niż po upływie 3 godzin od powzięcia wiedzy o wystąpieniu zdarzenia.
§ 6
1. Stowarzyszenie jest zobowiązane zapewnić gwarancje ochrony praw i wolności osób trzecich.
2. Stowarzyszenie dba o przejrzystość i sposób przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
3. Stowarzyszenie ułatwia osobom korzystanie z ich praw poprzez wszelkie działania prawem dozwolone.
4. Stowarzyszenie dokłada wszelkich starań w celu terminowej realizacji obowiązków względem tych osób.
5. Stowarzyszenie dokumentuje sposób realizacji obowiązków informacyjnych, zawiadomień i żądań osób.
6. Na żądanie osoby dotyczące dostępu do jej danych, Stowarzyszenie informuje osobę o przetwarzaniu jej danych oraz informuje osobę o szczegółach przetwarzania, zgodnie z art. 15 RODO (zakres odpowiada obowiązkowi informacyjnemu przy zbieraniu danych), a także udziela osobie dostępu do danych jej dotyczących.
7. Stowarzyszenie niezwłocznie informuje osobę o rozpatrzeniu lub odmowie rozpatrzenia żądania i o prawach osoby z tym związanych.
8. Stowarzyszenie uzupełnia i aktualizuje dane, w tym na żądanie osoby. Stowarzyszenie ma prawo odmówić uzupełnienia danych, jeżeli uzupełnienie byłoby niezgodne z celami przetwarzania danych.
9. Na żądanie osoby, Stowarzyszenie usuwa dane, gdy:
a. dane nie są niezbędne do celów, w których zostały zebrane ani przetwarzane w innych celach,
b. dane były przetwarzane niezgodnie z prawem
c. zgoda na ich przetwarzanie została cofnięta,
d. brak jest podstawy prawnej przetwarzania,
e. osoba wniosła skuteczny sprzeciw względem przetwarzania tych danych,
f. konieczność usunięcia wynika z realizacji obowiązku prawnego.
§ 7
1. Wobec osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny zgodnie z treścią art. 13 i 14 RODO.
2. Stowarzyszenie informuje osobę o przetwarzaniu jej danych podczas pozyskiwania danych od tej osoby.
3. Stowarzyszenie informuje osoby o wszelkich operacjach przeprowadzanych na danych osobowych, w tym o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych,
4. Stowarzyszenie niezwłocznie zawiadamia osobę o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby.
§ 8
1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności przetwarzanych danych.
Administrator Danych będzie w szczególności:
a. prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę ni bezpieczeństwo przetwarzanych danych osobowych, w tym w szczególności politykę
b. przechowywać dokumenty w przeznaczonych do tego szafach zamykanych na zamek lub w zamykanych na zamek pomieszczeniach, niedostępnych dla osób nieupoważnionych do przetwarzania danych osobowych oraz zapewniających ochronę dokumentów przed utratą, uszkodzeniem, zniszczeniem, a także przetwarzaniem z naruszeniem RODO,
2. Stowarzyszenie zobowiąże osoby upoważnione do przetwarzania danych osobowych do przestrzegania następujących zasad postępowania z dokumentami:
a. pracowania jedynie z dokumentami niezbędnymi do wykonania obowiązków wynikających z niniejszej umowy;
b. przechowywania dokumentów w czasie nie dłuższym niż czas niezbędny do zrealizowania zadań, do których wykonania dokumenty są przeznaczone;
c. nietworzenia kopii dokumentów innych, niż niezbędne do realizacji niniejszej umowy;
d. zachowania w poufności danych osobowych oraz informacji o stosowanych sposobach ich zabezpieczenia, także po ustaniu stosunku prawnego łączącego osobę upoważnioną do przetwarzania danych osobowych z Stowarzyszenieem;
e. zabezpieczenia dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, przetwarzaniem z naruszeniem RODO, nieautoryzowaną zmianą, utratą,
uszkodzeniem lub zniszczeniem.
3. Administrator będzie stale nadzorował osoby upoważnione do przetwarzania danych osobowych, w zakresie zabezpieczenia przetwarzanych danych osobowych.
4. Administrator będzie wymagał od osób upoważnionych do przetwarzania danych osobowych przestrzegania należytej staranności, w zakresie zachowania w poufności danych osobowych oraz ich zabezpieczenia.
5. Administrator ponosi odpowiedzialność, wobec osób trzecich, za szkody powstałe w związku z nieprzestrzeganiem RODO, innych przepisów prawa powszechnie obowiązującego dotyczącego ochrony danych osobowych oraz za przetwarzanie powierzonych do przetwarzania danych osobowych niezgodnie
z niniejszymi zasadami.
6. Administrator zobowiązuje się do:
a. zachowania w poufności wszystkich danych osobowych powierzonych mu w trakcie obowiązywania niniejszej umowy o dofinansowanie projektu lub dokumentów uzyskanych w związku z wykonywaniem czynności objętych niniejszą umową o dofinansowanie projektu, a także zachowania w poufności informacji o stosowanych sposobach zabezpieczenia danych osobowych, również po rozwiązaniu niniejszej umowy o dofinansowanie projektu;
b. zabezpieczenia korespondencji i wszelkich dokumentów przed dostępem osób nieupoważnionych do przetwarzania powierzonych do przetwarzania danych osobowych, a w szczególności przed kradzieżą, uszkodzeniem i zaginięciem;
c. niewykorzystywania zebranych na podstawie niniejszej umowy danych osobowych dla celów innych niż określone w niniejszej umowie o dofinansowanie projektu;
d. usunięcia z elektronicznych nośników informacji wielokrotnego zapisu w sposób trwały i nieodwracalny oraz zniszczenia nośników papierowych i elektronicznych nośników informacji jednokrotnego zapisu, na których utrwalone zostały powierzone do przetwarzania dane osobowe, po zakończeniu obowiązywania okresu archiwizowania danych.
§ 9
1. W przypadku stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osoby fizycznej.
2. Administrator:
a. bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin po stwierdzeniu naruszenia, zgłosi każde naruszenie ochrony danych osobowych. Zgłoszenie powinno, oprócz elementów określonych w art. 33 ust. 3 RODO, zawierać informacje umożliwiające określenie czy naruszenie skutkuje wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli informacji, o których mowa w art. 33 ust 3 RODO nie da się udzielić w tym samym czasie, Administrator może je udzielać sukcesywnie bez zbędnej
zwłoki.
b. informuje o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przed Prezesem Urzędu Ochrony Danych Osobowych, Europejskim Inspektorem Ochrony Danych Osobowych, urzędami państwowymi, policją lub przed sądem.
c. zobowiązuje się do udzielenia, na każde żądanie, informacji na temat przetwarzania powierzonych do przetwarzania danych osobowych przez Stowarzyszenie.
Załącznik nr 1:
Wzór upoważnienia
do przetwarzania danych osobowych
UPOWAŻNIENIE Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem ………………………… r., na podstawie art. 29 w związku z art. 28Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), upoważniam
Pana/Panią* …………………………………………
do przetwarzania danych osobowych w zbiorze danych
Upoważnienie wygasa z chwilą ustania Pana/Pani* stosunku prawnego z
…………………………………………………
———————————————
Czytelny podpis osoby upoważnionej do wydawania i odwoływania upoważnień.
Upoważnienie otrzymałem
miejscowość, data, podpis
————————————————————–
Oświadczam, że zapoznałem/am się z przepisami obowiązującymi dotyczącymi ochrony danych osobowych, w tym z RODO, a także z obowiązującymi opisem technicznych i organizacyjnych środków zapewniających ochronę i bezpieczeństwo przetwarzania danych osobowych i zobowiązuję się do przestrzegania zasad przetwarzania danych osobowych określonych w tych dokumentach.
Zobowiązuję się do zachowania w tajemnicy przetwarzanych danych osobowych, z którymi zapoznałem/am się oraz sposobów ich zabezpieczania, zarówno w okresie trwania umowy jak również po ustania stosunku prawnego łączącego mnie ze Stowarzyszeniem.
——————————————————–
Czytelny podpis osoby składającej oświadczenie
Załącznik nr 2:
Wzór odwołania upoważnienia
do przetwarzania danych osobowych
ODWOŁANIE UPOWAŻNIENIA Nr
DO PRZETWARZANIA DANYCH OSOBOWYCH
Z dniem r., na podstawie art. 29 w związku z art. 28 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), odwołuję upoważnienie Pana/Pani* ……………………………………nr……………… do przetwarzania danych osobowych wydane w dniu……………………………………………
Czytelny podpis osoby, upoważnionej
————————————————————
do wydawania i odwoływania upoważnień.
————————————————————-
Upoważnienie otrzymałem
miejscowość, data, podpis