Powrót 27.02.2026

Projekty realizowane przy wsparciu z funduszy unijnych a RODO

Realizacja przez operatorów telekomunikacyjnych projektów finansowanych ze środków europejskich – zarówno w ramach Krajowego Planu Odbudowy i Zwiększenia Odporności (KPO), jak i programu Fundusze Europejskie na Rozwój Cyfrowy (FERC) – wiąże się z istotnymi obowiązkami prawnymi po stronie ich beneficjentów. O ile w praktyce największą uwagę poświęca się realizacji obowiązków związanych z wymogami technicznymi, finansowymi i sprawozdawczymi, o tyle równie doniosłe znaczenie ma prawidłowe wywiązanie się z obowiązków dotyczących ochrony danych osobowych.

Zgodnie z art. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2021/1060 państwa członkowskie i Komisja mogą przetwarzać dane osobowe tylko wtedy, gdy jest to konieczne do celów wykonywania ich odpowiednich obowiązków wynikających ze ww. rozporządzenia, w szczególności do celów monitorowania, sprawozdawczości, komunikacji, publikacji, ewaluacji, zarządzania finansowego, weryfikacji i audytów oraz, w stosownych przypadkach, do celów określenia kwalifikowalności uczestników. Tym samym, realizacja zadań beneficjentów korzystających ze wsparcia z funduszy europejskich powinna odbywać się zgodnie z poszanowaniem przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych i w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), a także praw podmiotów tych danych.

Obowiązek przeprowadzenia testu prywatności

W ślad za zaleceniami Prezesa Urzędu Ochrony Danych Osobowych (UODO) oraz Ministerstwa Funduszy i Polityki Regionalnej (MFiPR), jeżeli beneficjent projektu, w ramach jego realizacji, przetwarza dane osobowe, jest zobowiązany do przeprowadzenia tzw. testu prywatności. Test prywatności pozwala ocenić, czy dane osobowe przetwarzane są przez beneficjenta zgodnie z przepisami RODO.

Test prywatności powinien zostać przeprowadzony w ramach każdego z projektów w których beneficjent:

  • tworzy lub rozwija systemy informatyczne, rejestr lub bazę danych;
  • przetwarza dane szczególnej kategorii (m.in. dane o zdrowiu lub dane biometryczne);
  • przyjmuje, że istnieje ryzyko naruszenia praw lub wolności osób fizycznych.

Elementy testu prywatności

Test prywatności powinien obejmować następujące elementy:

  • ocenę skutków dla ochrony danych osobowych (zgodnie z art. 35 RODO);
  • mechanizmy uwzględnienia ochrony danych w fazie projektowania (art. 25 ust. 1 RODO);
  • mechanizmy domyślnej ochrony danych (art. 25 ust. 2 RODO).

Objęcie określonego projektu testem prywatności ma kluczowe znaczenie dla określenia ryzyk jakie realizacja projektu może wywołać w sferze ochrony danych osobowych i prywatności.

Projekty finansowane z funduszy europejskich, realizowane w sektorze telekomunikacyjnym – obejmujące m.in. budowę i rozbudowę sieci szerokopasmowych, podłączanie nowych użytkowników końcowych, prowadzenie działań informacyjno-promocyjnych czy obsługę procesów rozliczeniowych – niemal zawsze będą się wiązać z przetwarzaniem danych osobowych. Dane te mogą dotyczyć m.in. podmiotów udostępniających nieruchomości na cele związane z budową sieci w ramach programów finansowanych z funduszy unijnych, dane przedstawicieli operatorów korzystających z infrastruktury beneficjenta jak również dane przedstawicieli organów w związku z realizacją obowiązków sprawozdawczych przez beneficjenta.

W ramach przeprowadzonego testu prywatności dla każdej z kategorii odrębnie należy przeprowadzić analizę ryzyka obejmującą ocenę m.in. następujących zakresów:

  • charakter przetwarzanych danych;
  • zakres przetwarzania danych;
  • kontekst przetwarzania danych;
  • cel przetwarzania danych;
  • prawdopodobieństwo wystąpienia ryzyk w związku z czynnością;
  • waga ryzyka;
  • obowiązek dokonania oceny skutków.

Ponadto, przy uznaniu, że w związku z daną kategorią danych zachodzi obowiązek dokonania oceny skutków przetwarzania, należy przeprowadzić taką ocenę przy uwzględnieniu m.in.:

  • opisu planowanych operacji przetwarzania i celów przetwarzania wraz z opisem prawnie uzasadnionych interesów realizowanych przez administratora danych;
  • ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • opisu środków planowanych w celu zaradzenia ryzyku, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa.

Przypominamy, że wykonanie testu prywatności przez beneficjentów programów realizowanych z wykorzystaniem finansowania ze środków unijnych jest warunkiem prawidłowej realizacji projektów i zapewnienie zgodności z przepisami RODO.