This privacy statement is related to the Erasmus+ 2014-2020 programme. It is relevant for projects still ongoing from that period.
You can also read the privacy statement of the new Erasmus+ 2021-2027 programme.
Rejestracja organizacji, formularze zgłoszeniowe i EPlusLink
To oświadczenie o ochronie prywatności zawiera informacje o przetwarzaniu i ochronie danych osobowych.
- Wprowadzenie
- Dlaczego i jak przetwarzamy dane osobowe?
- Na jakiej podstawie prawnej przetwarzamy dane osobowe?
- Jakie dane osobowe gromadzimy i przetwarzamy?
- Jak długo przechowujemy dane osobowe?
- Jak chronimy i zabezpieczamy dane osobowe?
- Kto ma dostęp do danych osobowych i komu są one ujawniane?
- Jakie prawa przysługują użytkownikowi i jak można ich dochodzić?
- Punkty kontaktowe
- Gdzie można znaleźć więcej informacji?
Wprowadzenie
Komisja Europejska (zwana dalej „Komisją”) jest zobowiązana do ochrony danych osobowych i do poszanowania prywatności osób, których dotyczą dane. Komisja gromadzi i przetwarza dane osobowe zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych (uchylającym rozporządzenie (WE) nr 45/2001).
W tym oświadczeniu o ochronie prywatności wyjaśniamy, dlaczego przetwarzamy dane osobowe, w jaki sposób je gromadzimy i przetwarzamy oraz jak zapewniamy ich ochronę, a także w jaki sposób wykorzystywane są pozyskiwane informacje oraz jakie prawa przysługują osobom, których dotyczą dane, w odniesieniu do tych danych. Podajemy w nim również dane kontaktowe odpowiedniego administratora danych, u którego użytkownicy mogą dochodzić swoich praw, inspektora ochrony danych i Europejskiego Inspektora Ochrony Danych.
Poniżej przedstawiono informacje dotyczące operacji przetwarzania danych „ rejestracja organizacji, formularze zgłoszeniowe i EPlusLink”: rejestracja informacji o organizacjach i zarządzanie tymi informacjami, obsługa zgłoszeń w ramach programu Erasmus+ i Europejskiego Korpusu Solidarności, prowadzone przez dział DG EAC.B.4.
Dlaczego i jak przetwarzamy dane osobowe?
Cel przetwarzania danych
Dyrekcja Generalna ds. Edukacji, Młodzieży, Sportu i Kultury (DG EAC) gromadzi i wykorzystuje dane osobowe do następujących celów:
- umożliwienie organizacjom rejestracji w celu uczestnictwa w programie Erasmus+ oraz w działaniach Europejskiego Korpusu Solidarności zarządzanych przez agencje narodowe
- identyfikacja organizacji wnioskujących o dotację Komisji Europejskiej dla projektu w programie Erasmus+ oraz w działaniach Europejskiego Korpusu Solidarności zarządzanych przez agencje narodowe
- ułatwienie składania wniosków dotyczących różnego rodzaju zdecentralizowanych działań w ramach programu Erasmus+ i Europejskiego Korpusu Solidarności
- zarządzanie procedurami wyboru wniosków w programie Erasmus+ oraz w działaniach Europejskiego Korpusu Solidarności zarządzanych przez agencje narodowe
- tworzenie anonimowych statystyk na temat zarejestrowanych organizacji, organizacji składających wnioski, beneficjentów, projektów, partnerów i uczestników
- dopełnienie obowiązków związanych z monitorowaniem, oceną, sprawozdawczością i audytem
- ocena wpływu uczestnictwa w programach Erasmus+ i Europejski Korpus Solidarności na organizacje będące beneficjentami oraz lepsze poznanie grup uczestniczących w celu dopracowania strategii informacyjnych przez zastosowanie kwestionariuszy i innych technik
- rozpowszechnianie wyników projektu za pomocą odpowiednich narzędzi informatycznych programu Erasmus+ i Europejskiego Korpusu Solidarności (platformy wyników), w przypadku czego potrzebna będzie jednoznaczna i świadoma zgoda osób wyznaczonych do kontaktu przed opublikowaniem ich danych kontaktowych
- przeniesienie danych do systemu OLS (system wsparcia językowego online) w celu umożliwienia zarządzania licencjami na szkolenia językowe dla poszczególnych uczestników w ramach działań w zakresie mobilności
- przeniesienie danych dotyczących akredytacji i znaków jakości Europejskiego Korpusu Solidarności do Europejskiego Portalu Młodzieżowego, w przypadku czego potrzebna będzie jednoznaczna i świadoma zgoda osób wyznaczonych do kontaktu przed opublikowaniem ich danych kontaktowych.
Dane osobowe nie są wykorzystywane do zautomatyzowanego podejmowania decyzji ani do profilowania.
Na jakiej podstawie prawnej przetwarzamy dane osobowe?
Przetwarzamy dane osobowe, ponieważ:
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej instytucji lub organowi Unii
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
- operacje przetwarzania są niezbędne do dopełnienia przez Komisję obowiązków w zakresie monitorowania i sprawozdawczości określonych w rozporządzeniach Parlamentu Europejskiego i Rady ustanawiających program Erasmus+ i Europejski Korpus Solidarności:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) NR 1288/2013 z dnia 11 grudnia 2013 r. ustanawiające „Erasmus+”: unijny program na rzecz kształcenia, szkolenia, młodzieży i sportu oraz uchylające decyzje nr 1719/2006/WE, 1720/2006/WE i 1298/2008/WE
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2018/1475 z dnia 2 października 2018 r. ustanawiające ramy prawne Europejskiego Korpusu Solidarności oraz zmieniające rozporządzenie (UE) nr 1288/2013, rozporządzenie (UE) nr 1293/2013 i decyzję nr 1313/2013/UE.
Przetwarzane dane nie są objęte zakresem przepisów dotyczących ograniczeń (art. 25) i uprzednich konsultacji (art. 40), o których mowa w rozporządzeniu 2018/1725.
Jakie dane osobowe gromadzimy i przetwarzamy?
W ramach operacji przetwarzania danych DG EAC gromadzi następujące kategorie danych osobowych:
Dane osobowe osoby wyznaczonej do kontaktów oraz upoważnionych użytkowników w zarejestrowanej organizacji, a także dane osobowe przedstawiciela prawnego i osób wyznaczonych do kontaktów w organizacjach ubiegających się o finansowanie lub uczestniczących w projekcie:
- płeć
- imię
- nazwisko
- departament
- stanowisko w organizacji
- e-mail służbowy
- nr telefonu
- nazwa ulicy i numer budynku
Przekazanie danych osobowych jest obowiązkowe na potrzeby zarejestrowania organizacji i przetwarzania wniosków o finansowanie.
Jak długo przechowujemy dane osobowe?
DG EAC przechowuje dane osobowe wyłącznie przez okres konieczny do osiągnięcia celu, w którym dane te były gromadzone lub do ich przetwarzania.
- Rejestracja organizacji. Dane organizacji uczestniczących w projektach zostaną usunięte po 10 latach od końca roku, w którym zamknięto ostatni projekt w ramach danego programu (zamknięcie projektu wyznacza ostatnia transakcja finansowa między agencją narodową a organizacją będącą beneficjentem), chyba że organizacja uczestniczy w innym programie. Ponadto co 3 lata usuwane będą dane organizacji, które nie złożyły wniosku o finansowanie ani nie uczestniczyły w projekcie w tym okresie.
- Formularze zgłoszeniowe. Dane zostaną usunięte po 5 latach od daty składania wniosków w ramach danego zaproszenia do składania wniosków.
- EPlusLink. Dane osobowe zostaną poddane anonimizacji po 10 latach od końca roku, w którym zamknięto ostatni projekt w ramach danego programu (zamknięcie projektu wyznacza ostatnia transakcja finansowa między agencją narodową a organizacją będącą beneficjentem).
Obowiązek oceny skutków programów, przewidziany w decyzjach ustanawiających program Erasmus+ i Europejski Korpus Solidarności, nie wiąże się z wymogiem zachowania danych osobowych.
Jak chronimy i zabezpieczamy dane osobowe?
Wszystkie dane są przechowywane przez Komisję (na centralnych serwerach). Dane EPlusLink są również przechowywane w bazie danych prowadzonej przez każdą agencję narodową (zawierającej jej własne dane).
Wszystkie operacje przetwarzania danych prowadzone są zgodnie z decyzją Komisji (UE, Euratom) 2017/46 z dnia 10 stycznia 2017 r. w sprawie bezpieczeństwa systemów teleinformatycznych w Komisji Europejskiej.
W celu ochrony danych osobowych Komisja wprowadziła szereg środków technicznych i organizacyjnych. Środki techniczne obejmują m.in. odpowiednie działania w zakresie bezpieczeństwa online, ryzyka utraty danych, zmiany danych lub nieuprawnionego dostępu, z uwzględnieniem ryzyka związanego z przetwarzaniem danych oraz charakteru przetwarzanych danych. Środki organizacyjne obejmują ograniczenie dostępu do danych osobowych – dostęp do nich mają wyłącznie osoby upoważnione, które z uzasadnionych względów muszą mieć do nich dostęp w celu ich przetwarzania.
Od agencji narodowych wymaga się wprowadzenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w odniesieniu do ochrony danych osobowych.
Kto ma dostęp do danych osobowych i komu są one ujawniane?
Odpowiedź na to pytanie zależy od tego, gdzie dane osobowe są przekazywane. Obecnie istnieją dwa rodzaje przekazywania danych, które wiążą się z różnym poziomem ochrony:
- przekazywanie danych do państw członkowskich Unii Europejskiej, do państw Europejskiego Obszaru Gospodarczego oraz do państw, w odniesieniu do których Komisja przyjęła decyzję stwierdzającą odpowiedni stopień ochrony.
- przekazywanie danych do państw trzecich, w odniesieniu do których Komisja nie przyjęła decyzji stwierdzającej odpowiedni stopień ochrony i gdzie poziom ochrony praw w zakresie danych osobowych może nie być równoważny z poziomem gwarantowanym przepisami UE.
W przypadku przekazywania danych osobowych w UE/EOG i do państw, w odniesieniu do których wydano decyzję stwierdzającą odpowiedni stopień ochrony
Dostęp do danych osobowych mają pracownicy Komisji odpowiedzialni za prowadzenie odnośnej operacji przetwarzania danych oraz upoważnieni pracownicy zgodnie z zasadą ograniczonego dostępu. Pracownicy ci muszą przestrzegać zobowiązań regulaminowych, a także – w razie potrzeby – dodatkowych zasad zachowania poufności.
Poza instytucją UE dostęp do danych osobowych mają:
- pracownicy agencji narodowych odpowiadający za zarządzanie programem Erasmus+ i Europejskim Korpusem Solidarności
- upoważnieni użytkownicy w przedsiębiorstwach zewnętrznych, którym Komisja zleciła świadczenie usług
- w przypadku audytu: audytorzy zewnętrzni
- zewnętrzny dostawca systemu OLS
- wyznaczony zakład ubezpieczeń (w odniesieniu do Europejskiego Korpusu Solidarności).
Informacje, które gromadzimy, nie zostaną przekazane żadnej osobie trzeciej, o ile nie zostaniemy do tego zobowiązani – w określonym zakresie i w konkretnym celu – na mocy prawa.
W przypadku przekazywania danych osobowych do państw trzecich
Dane osobowe są przekazywane do państwa trzeciego spoza UE/EOG, w odniesieniu do którego nie wydano decyzji stwierdzającej odpowiedni stopień ochrony (w tym do państw objętych programem – Turcji, Serbii i Macedonii Północnej) w następujących przypadkach:
- osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub upoważnionym użytkownikiem w zarejestrowanej organizacji albo osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji, która składa wniosek lub uczestniczy w projekcie zarządzanym przez agencje narodowe z Turcji, Serbii i Macedonii Północnej
- osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji, która błędnie złożyła wniosek do agencji narodowej w państwie członkowskim UE/EOG, podczas gdy wniosek ten należało złożyć w agencji krajowej w Turcji, Serbii lub Macedonii Północnej; w takim przypadku wniosek (wraz z danymi osobowymi) zostaje przekierowany do takiej agencji narodowej
- osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji z Turcji, Serbii lub Macedonii Północnej, która składa wniosek lub uczestniczy w projekcie KA2 zarządzanym przez agencję narodową w UE/EOG
- osoba, której dane dotyczą, jest pracownikiem agencji narodowej programu Erasmus+ lub Europejskiego Korpusu Solidarności.
- osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji składającej wniosek, która udzieliła dostępu do wniosku osobie upoważnionej z państwa trzeciego.
Dostęp do danych osobowych mają następujące organizacje z państwa trzeciego:
- upoważnieni pracownicy agencji narodowych z Turcji, Serbii i Macedonii Północnej (jeżeli: osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub upoważnionym użytkownikiem w zarejestrowanej organizacji albo osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji, która składa wniosek lub uczestniczy w projekcie zarządzanym przez te agencje krajowe; osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji, która błędnie złożyła wniosek do agencji narodowej w Turcji, Serbii lub Macedonii Północnej, podczas gdy wniosek ten należało złożyć w agencji krajowej w państwie członkowskim UE/EOG; osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji z Turcji, Serbii lub Macedonii Północnej, która składa wniosek lub uczestniczy w projekcie KA2 zarządzanym przez agencję narodową w UE/EOG; osoba, której dane dotyczą, jest pracownikiem agencji narodowej).
- upoważniona osoba z organizacji w państwie trzecim (jeżeli osoba, której dane dotyczą, jest osobą wyznaczoną do kontaktów lub przedstawicielem prawnym organizacji składającej wniosek, która udzieliła dostępu do wniosku osobie upoważnionej z państwa trzeciego).
W takim przypadku poziom ochrony danych osobowych będzie zależał od przepisów lub zwyczajów w danym państwie trzecim. Prawa w zakresie ochrony danych mogą jednak nie być równoważne z prawami w państwie UE/EOG lub w państwie, w odniesieniu do którego wydano decyzję stwierdzającą odpowiedni stopień ochrony.
Informacje, które gromadzimy, nie zostaną przekazane żadnej osobie trzeciej z siedzibą w państwie spoza UE/EOG, o ile nie zostaniemy do tego zobowiązani – w określonym zakresie i w konkretnym celu – na mocy prawa krajowego danego państwa.
Jakie prawa przysługują użytkownikowi i jak można ich dochodzić?
Użytkownicy jako „osoby, których dane dotyczą” mają szczególne prawa na podstawie rozdziału III (art. 14–25) rozporządzenia (UE) 2018/1725, w szczególności prawo dostępu do danych osobowych lub ich sprostowania, a także prawo do ograniczenia ich przetwarzania.
Użytkownikom przysługuje prawo wniesienia sprzeciwu wobec przetwarzania ich danych osobowych, a w przypadku gdy sprzeciw zostanie uznany – możliwość doprowadzenia do usunięcia tych danych osobowych.
Aby skorzystać z tych praw, należy skontaktować się z administratorem danych lub, w przypadku konfliktu, z inspektorem ochrony danych Komisji Europejskiej. W razie potrzeby można również zwrócić się do Europejskiego Inspektora Ochrony Danych. Dane kontaktowe tych organów podano poniżej w punkcie 9.
Użytkownicy, którzy chcą dochodzić swoich praw w odniesieniu do jednej lub kilku konkretnych operacji przetwarzania, muszą podać we wniosku ich opis (tj. ich numer w rejestrze zgodnie z punktem 10 [Gdzie można znaleźć więcej informacji?] poniżej).
Dane kontaktowe
Administrator danych
Dyrekcja Generalna ds. Edukacji, Młodzieży, Sportu i Kultury, Dział B.4 – Koordynacja programu Erasmus+.
Aby skorzystać z praw na podstawie rozporządzenia (UE) 2018/1725 lub przesłać uwagi, pytania lub zastrzeżenia dotyczące przetwarzania danych osobowych, ewentualnie aby złożyć skargę w związku z gromadzeniem i wykorzystywaniem danych osobowych, należy wysłać wiadomość e-mail do administratora danych na adres eu-erasmus-esc-personal-data@ec.europa.eu.
W dalszej kolejności można skontaktować się z:
- administratorem danych: eac-na-coordination@ec.europa.eu
- koordynatorem ds. ochrony danych DG ds. Edukacji i Kultury: eac-data-protection@ec.europa.eu
Inspektor ochrony danych Komisji Europejskiej
W kwestiach związanych z przetwarzaniem danych osobowych na podstawie rozporządzenia (UE) 2018/1725 można skontaktować się z inspektorem ochrony danych (DATA-PROTECTION-OFFICER@ec.europa.eu).
Europejski Inspektor Ochrony Danych (EIOD)
Osoby, których dotyczą dane, mają prawo odwołać się (wnieść skargę) do Europejskiego Inspektora Ochrony Danych, jeżeli uznają, że w związku z przetwarzaniem danych osobowych przez administratora danych zostały naruszone ich prawa wynikające z rozporządzenia (UE) 2018/1725.
Gdzie można znaleźć więcej informacji?
Inspektor ochrony danych Komisji publikuje rejestr wszystkich udokumentowanych i zgłoszonych mu operacji przetwarzania danych osobowych przez Komisję. Informacje te są dostępne w rejestrze inspektora ochrony danych.
Ta operacja przetwarzania została ujęta w rejestrze publicznym inspektora ochrony danych pod numerem: DPR-EC-01069.
Więcej informacji na temat przetwarzania danych osobowych w programach Erasmus+ i Europejski Korpus Solidarności można znaleźć na stronie poświęconej programowi Erasmus+ i ochronie danych.