This privacy statement is related to the Erasmus+ 2014-2020 programme. It is relevant for projects still ongoing from that period.
You can also read the privacy statement of the new Erasmus+ 2021-2027 programme.
Narzędzie Mobility Tool+
To oświadczenie o ochronie prywatności zawiera informacje o przetwarzaniu i ochronie danych osobowych.
- Wprowadzenie
- Dlaczego i jak przetwarzamy dane osobowe?
- Na jakiej podstawie prawnej przetwarzamy dane osobowe?
- Jakie dane osobowe gromadzimy i przetwarzamy?
- Jak długo przechowujemy dane osobowe?
- Jak chronimy i zabezpieczamy dane osobowe?
- Kto ma dostęp do danych osobowych i komu są one ujawniane?
- Jakie prawa przysługują użytkownikowi i jak można ich dochodzić?
- Dane kontaktowe
- Gdzie można znaleźć więcej informacji?
Zob. również powiązane oświadczenie o ochronie prywatności „Uczestnicy programu Erasmus+ i Europejskiego Korpusu Solidarności dotknięci sytuacją wynikającą z pandemii COVID-19”.
1. Wprowadzenie
Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności użytkowników. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).
W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób wykorzystywane są pozyskiwane informacje oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy w nim również dane kontaktowe odpowiedniego administratora danych, u którego użytkownicy mogą dochodzić swoich praw, a także dane kontaktowe inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.
2. Dlaczego i jak przetwarzamy dane osobowe?
Cel przetwarzania danych:
- zarządzanie szczegółowymi informacjami na temat projektów finansowanych w ramach programów Erasmus+, Europejski Korpus Solidarności i „Uczenie się przez całe życie” (m.in. projekty w zakresie mobilności, projekty współpracy, działania wspierające realizację poszczególnych strategii), w tym na temat realizacji celów projektu, liczby i kategorii uczestników oraz aspektów budżetowych i finansowych
- zarządzanie organizacjami uczestniczącymi w projekcie w celu umożliwienia monitorowania i podejmowania działań następczych
- umożliwienie sprawozdawczości i rozliczalności dzięki statystykom zebranym w ramach projektu i odpowiedziom udzielonym w ankietach przez beneficjentów lub uczestników
- zarządzanie ankietami przeznaczonymi dla poszczególnych uczestników oraz dostarczanie statystyk podsumowujących udzielone odpowiedzi, co ma zasadnicze znaczenie dla wykazania, w jaki sposób wykorzystano fundusze na projekt i w jakim stopniu osiągnięto cele programu
- zapewnianie wsparcia przyszłym uczestnikom programów (w oparciu o wyrażoną zgodę, tj. na zasadzie dobrowolności)
- publiczne udostępnianie relacji na temat udziału w programach (w oparciu o wyrażoną zgodę, tj. na zasadzie dobrowolności)
- ułatwienie uczestniczenia w dalszych badaniach dotyczących odnośnych programów i kwestii związanych z UE (w oparciu o wyrażoną zgodę, tj. na zasadzie dobrowolności)
- umożliwienie sieciom studentów i absolwentów programu Erasmus+ kontaktowania się z uczestnikami programu Erasmus+, aby mogli wziąć udział w działaniach sieci (w oparciu o wyrażoną zgodę, tj. na zasadzie dobrowolności)
- dostarczanie przekazanych przez uczestników informacji zwrotnych na temat odbytych kursów (w oparciu o wyrażoną zgodę)
- umożliwienie sieci RAY (zajmującej się opartą na badaniach analizą europejskich programów na rzecz młodzieży) nawiązania kontaktu z uczestnikami po to, by mogli wziąć udział w badaniu (w oparciu o wyrażoną zgodę, tj. na zasadzie dobrowolności)
- zapewnianie dokładnych danych statystycznych Komisji w zakresie realizacji celów programu.
Dane osobowe nie będą wykorzystywane do celów zautomatyzowanego podejmowania decyzji, w tym do profilowania.
Dane osobowe są wprowadzane przez organizację macierzystą (np. instytucję wysyłającą) w systemie informatycznym, do którego dostęp przyznaje się różnym podmiotom przetwarzającym dane, jak opisano w pkt 7. Dostęp innego podmiotu – takiego jak agencja narodowa lub instytucja przyjmująca – do tych danych w celu zapewnienia ich jakości i spójności uznaje się za „przekazanie danych”. Rodzaje przekazania danych opisano w pkt 7.
3. Na jakiej podstawie prawnej przetwarzamy dane osobowe?
Przetwarzamy dane osobowe, ponieważ:
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na wniosek osoby, której dane dotyczą, przed zawarciem umowy.
Operacje przetwarzania są konieczne do wywiązania się z obowiązków i zadań w zakresie monitorowania i sprawozdawczości, które zostały nałożone na Komisję:
- decyzją nr 1720/2006/WE Parlamentu Europejskiego i Rady z dnia 15 listopada 2006 r. ustanawiającą program działań w zakresie uczenia się przez całe życie
- rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 1288/2013 z dnia 11 grudnia 2013 r. ustanawiającym „Erasmus+”: unijny program na rzecz kształcenia, szkolenia, młodzieży i sportu oraz uchylającym decyzje nr 1719/2006/WE, 1720/2006/WE i 1298/2008/WE
- rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1475 z dnia 2 października 2018 r. ustanawiającym ramy prawne Europejskiego Korpusu Solidarności oraz zmieniającym rozporządzenie (UE) nr 1288/2013, rozporządzenie (UE) nr 1293/2013 i decyzję nr 1313/2013/UE.
Przetwarzane dane nie są objęte zakresem przepisów dotyczących ograniczeń (art. 25) i uprzednich konsultacji (art. 40), o których mowa w rozporządzeniu (UE) 2018/1725.
4. Jakie dane osobowe gromadzimy i przetwarzamy?
W ramach tej operacji przetwarzania danych gromadzimy następujące kategorie danych osobowych:
Dane osób wyznaczonych do kontaktów i pełnomocników organizacji uczestniczących:
- zwrot grzecznościowy
- imię
- nazwisko
- płeć
- departament
- stanowisko
- tel. komórkowy
- tel. stacjonarny
- adres e-mail
- adres siedziby
- faks.
Dane pracowników agencji narodowej:
- zwrot grzecznościowy
- imię
- nazwisko
- płeć
- departament
- stanowisko.
Dane osoby uczestniczącej w działaniach Erasmus+ lub projekcie Europejskiego Korpusu Solidarności:
- nr identyfikacyjny uczestnika
- numer rejestracji uczestnika (portal EKS)
- zwrot grzecznościowy
- imię
- nazwisko
- data urodzenia
- płeć
- obywatelstwo
- wsparcie w związku ze specjalnymi potrzebami (tak/nie) – informacje te są gromadzone w przypadku, gdy mogłoby to mieć wpływ na uzgodnienia konieczne do umożliwienia zainteresowanej osobie udziału w projekcie lub przyznania dodatkowej kwoty w ramach stypendium, bądź też do celów statystycznych
- osoby w niekorzystnej sytuacji / o mniejszych szansach (tak/nie) – informacje te są gromadzone w przypadku, gdy mogłoby to mieć wpływ na przyznanie dodatkowej kwoty w ramach stypendium, bądź też do celów statystycznych.
W przypadku zarządzania projektami i związanymi z nimi działaniami/mobilnością podanie danych osobowych jest obowiązkowe.
5. Jak długo przechowujemy dane osobowe?
DG EAC przetwarza dane osobowe przez okres trwania projektu, w ramach którego przyznano stypendium. Okres ten może wynosić maksymalnie 36 miesięcy.
Po zakończeniu tego okresu DG EAC musi przechowywać dane osobowe tak długo, jak jest to wymagane na mocy rozporządzenia finansowego (ustanawiającego zasady finansowe mające zastosowanie do budżetu UE) do celów audytu, ponieważ kontrole lub dochodzenia dotyczące nadużyć finansowych są rutynowo przeprowadzane po zakończeniu działań, a dane muszą być dostępne, aby można było wykluczyć kwestie takie jak fałszywe uczestnictwo i podwójne finansowanie.
Usuniemy dane maksymalnie 10 lat od końca roku, w którym zakończono realizację umowy (tzw. umowy o przyznanie wkładu) zawartej między agencją narodową a Komisją. Umowy te obowiązują zazwyczaj od trzech do czterech lat.
6. Jak chronimy i zabezpieczamy dane osobowe?
Wszystkie dane są przechowywane przez Komisję Europejską w ośrodku przetwarzania danych znajdującym się na terytorium UE.
Wszystkie operacje przetwarzania tych danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.
Komisja Europejska wprowadziła środki techniczne i organizacyjne służące ochronie danych osobowych. Środki techniczne obejmują:
- odpowiednie działania w zakresie bezpieczeństwa online
- minimalizowanie ryzyka utraty danych
- zapobieganie modyfikowaniu danych i nieuprawnionemu dostępowi.
Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.
7. Kto ma dostęp do danych osobowych i komu są one ujawniane?
Przekazanie danych osobowych jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, której dane dotyczą, między administratorem danych (Komisją Europejską) a inną osobą fizyczną lub prawną (agencjami narodowymi w państwach członkowskich UE, państwami EOG, a także krajami uczestniczącymi w programie: Turcją, Serbią i Macedonią Północną). Przekazanie odbywa się przez umożliwienie dostępu do danych osobowych różnym organizacjom, jak opisano poniżej.
To, kto ma dostęp do danych osobowych i komu są one ujawniane, zależy od tego, gdzie dane osobowe są przekazywane. Obecnie rozróżniamy dwa rodzaje przekazywania danych, które zapewniają różny poziom ochrony:
- przekazywanie danych państwom członkowskim Unii Europejskiej, państwom Europejskiego Obszaru Gospodarczego lub państwom, w odniesieniu do których Komisja wydała decyzję stwierdzającą odpowiedni stopień ochrony
- przekazywanie danych państwom trzecim, w odniesieniu do których Komisja nie wydała decyzji stwierdzającej odpowiedni stopień ochrony – poziom ochrony praw osoby, której dane dotyczą, w odniesieniu do jej danych osobowych może nie być równoważny z poziomem zapewnionym w przepisach UE.
W przypadku przekazywania danych osobowych wewnątrz UE/EOG oraz do państw, w odniesieniu do których wydano decyzję stwierdzającą odpowiedni stopień ochrony:
Dostęp do danych osobowych mają pracownicy Komisji Europejskiej odpowiedzialni za prowadzenie odnośnej operacji przetwarzania danych oraz upoważnieni pracownicy zgodnie z zasadą ograniczonego dostępu. Pracownicy ci muszą przestrzegać zobowiązań regulaminowych, a także – w razie potrzeby – dodatkowych zasad zachowania poufności.
Poza Komisją Europejską dostęp do danych osobowych mają:
- pracownicy organizacji będących beneficjentami zarządzającymi projektem, w ramach którego przyznano stypendium, działaniami w zakresie mobilności i innymi działaniami, takimi jak projekty współpracy
- upoważnieni pracownicy organizacji partnerskich uczestniczących w projekcie
- upoważnieni pracownicy agencji narodowych
- odpowiedni wolontariusze z organizacji, które należą do sojuszu studentów i absolwentów Erasmusa+ (ESAA), oraz pracownicy konsorcjum wyznaczonego przez Komisję Europejską w celu wspierania ESAA
- upoważnieni użytkownicy w przedsiębiorstwach zewnętrznych, którym Komisja Europejska lub agencje krajowe zleciły świadczenie usług, na przykład opracowanie i rozwój narzędzia Mobility Tool+
- upoważnieni pracownicy Europejskiej Agencji Wykonawczej ds. Edukacji i Kultury odpowiedzialni za usługę katalogu kursów School Education Gateway
- w przypadku audytu lub dochodzenia dostępu do danych mogą potrzebować audytorzy zewnętrzni, aby zapewnić legalność i prawidłowość realizacji projektu
- wyznaczony zakład ubezpieczeń, który musi znać dane osób objętych umową ubezpieczenia (dotyczy Europejskiego Korpusu Solidarności)
- delegatura UE w kraju wysyłającym uczestnika
- pracownicy działu ds. usług umiędzynarodowienia na rzecz młodzieży, kultury i sportu w Fińskiej Krajowej Agencji ds. Edukacji (EDUFI) (gdy pełni ona funkcję koordynatora sieci RAY zajmującej się opartą na badaniach analizą programu Erasmus+ – młodzież w działaniu).
Informacje, które gromadzimy, nie zostaną przekazane żadnej osobie trzeciej, o ile nie będzie to wymagane – w określonym zakresie i w konkretnym celu – na mocy prawa krajowego.
W przypadku przekazywania danych osobowych do państw trzecich:
Dane osobowe są przekazywane do państwa trzeciego nienależącego do UE/EOG, w odniesieniu do którego nie wydano decyzji stwierdzającej odpowiedni stopień ochrony (w tym do krajów uczestniczących w programie – Turcji, Serbii i Macedonii Północnej), jeżeli osoba, której dane dotyczą, znajduje się w jednej z następujących sytuacji:
- w ramach mobilności podróżuje do kraju trzeciego
- uczestniczy w projekcie prowadzonym we współpracy z organizacją partnerską z kraju trzeciego
- uczestniczy w projekcie zarządzanym przez agencje narodowe w Turcji, Serbii lub Macedonii Północnej
- uczestniczy w projekcie prowadzonym we współpracy z organizacją będącą beneficjentem lub koordynatorem (tylko w przypadku projektów szkolnych) z Turcji, Serbii lub Macedonii Północnej
- jeżeli organizacja będąca beneficjentem zapewnia dostęp do danych dotyczących projektu upoważnionej osobie z kraju trzeciego.
Dostęp do danych osobowych mają następujące organizacje z kraju trzeciego:
- pracownicy organizacji będących beneficjentami z Turcji, Serbii lub Macedonii Północnej zarządzający projektem, w ramach którego przyznano stypendium, działaniami w zakresie mobilności i innymi działaniami, takimi jak projekty współpracy (jeżeli osoba, której dane dotyczą, uczestniczy w projekcie prowadzonym we współpracy z organizacją będącą beneficjentem lub koordynatorem z tych państw)
- upoważnieni pracownicy agencji narodowych, organów krajowych i delegatur UE w Turcji, Serbii lub Macedonii Północnej (jeżeli osoba, której dane dotyczą, uczestniczy w projekcie zarządzanym przez agencje krajowe z tych państw)
- upoważnieni pracownicy organizacji partnerskich z państw trzecich (jeżeli osoba, której dane dotyczą, uczestniczy w projekcie prowadzonym we współpracy z organizacją partnerską z kraju trzeciego)
- upoważnieni pracownicy biur krajowych programu Erasmus+ w przyjmującym państwie trzecim (do celów statystycznych, jeżeli osoba, której dane dotyczą, w ramach mobilności podróżuje do kraju trzeciego)
- upoważniona osoba z danej organizacji z kraju trzeciego (jeżeli dane osobowe udostępniła organizacja będąca w ramach tego projektu beneficjentem).
W takim przypadku poziom ochrony danych osobowych będzie zależał od prawa lub praktyki odnośnego kraju trzeciego. Prawa osoby, której dane dotyczą, w zakresie ochrony danych mogą jednak nie być równoważne z prawami przysługującymi w kraju UE/EOG lub kraju, w odniesieniu do którego wydano decyzję stwierdzającą odpowiedni stopień ochrony. Jeżeli instytucja wysyłająca ma siedzibę w kraju UE/EOG, przekazanie danych musi spełniać warunki określone w rozdziale V rozporządzenia (UE) 2018/1725.
Informacje, które gromadzimy, nie zostaną przekazane żadnej innej stronie mającej siedzibę w kraju trzecim poza UE/EOG, o ile nie będzie to wymagane – w określonym zakresie i w konkretnym celu – na mocy prawa krajowego.
8. Jakie prawa przysługują użytkownikowi i jak można ich dochodzić?
Osoby, których dane dotyczą, mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725, w szczególności prawo dostępu do danych osobowych lub ich sprostowania, a także prawo do ograniczenia ich przetwarzania.
Aby skorzystać z tych praw, należy skontaktować się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych Komisji Europejskiej. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe tych organów podano poniżej w punkcie 9.
Aby skorzystać z tych praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, należy w przesłanym wniosku podać opis operacji (tzn. numer referencyjny wskazany poniżej w pkt 10).
9. Dane kontaktowe
Administrator danych
Dyrekcja Generalna ds. Edukacji, Młodzieży, Sportu i Kultury, Dział B.4 ds. Koordynacji Programu Erasmus+
Aby skorzystać z praw na podstawie rozporządzenia (UE) 2018/1725 lub przesłać uwagi, pytania lub zastrzeżenia związane z przetwarzaniem danych osobowych, ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy skontaktować się z administratorem danych, pisząc na adres EU-ERASMUS-ESC-PERSONAL-DATA@ec.europa.eu.
W dalszej kolejności można skontaktować się z:
Inspektor ochrony danych Komisji Europejskiej
W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).
Europejski Inspektor Ochrony Danych (EIOD)
Osoby, których dotyczą dane, mają prawo odwołać się (wnieść skargę) do Europejskiego Inspektora Ochrony Danych, jeżeli uznają, że w wyniku przetwarzania danych osobowych przez administratora danych zostały naruszone ich prawa wynikające z rozporządzenia (UE) 2018/1725.
10. Gdzie można znaleźć więcej informacji?
Inspektor ochrony danych Komisji Europejskiej publikuje rejestr wszystkich operacji przetwarzania danych osobowych przez Komisję Europejską. Rejestr ten jest dostępny pod adresem: http://ec.europa.eu/dpo-register.
Ta operacja przetwarzania została ujęta w rejestrze publicznym inspektora ochrony danych pod numerem: DPR-EC-01069.
Więcej informacji na temat przetwarzania danych osobowych w ramach programu Erasmus+ i Europejskiego Korpusu Solidarności można znaleźć na stronie na temat programu Erasmus+ i ochrony danych.