Ważne: ten dokument jest praktycznym szablonem przygotowanym dla KRC App, a nie gwarancją zgodności prawnej. Administrator powinien przed publikacją potwierdzić podstawy prawne, okresy przechowywania i odbiorców zgodnie z dokumentacją konkretnego projektu.
1. Administrator danych
Administratorem danych przetwarzanych w ramach tego Klubu Rozwoju Cyfrowego jest:
- Nazwa
- Nie skonfigurowano
- Adres
- Nie skonfigurowano
- Nie skonfigurowano
- Telefon
- Nie skonfigurowano
- Kontakt do IOD
- Nie skonfigurowano
2. Podmiot przetwarzający i hosting
Jeżeli utrzymanie aplikacji lub wsparcie techniczne wiąże się z przetwarzaniem danych osobowych w imieniu administratora, dostawca działa jako podmiot przetwarzający. Dla tego wdrożenia wskazano:
- Nazwa procesora
- Nie skonfigurowano
- Adres
- Nie skonfigurowano
- Nie skonfigurowano
- Telefon
- Nie skonfigurowano
- Lokalizacja hostingu
- Nie skonfigurowano
- Umowa powierzenia / odniesienie
- Nie skonfigurowano
Jeżeli zewnętrzny dostawca faktycznie przetwarza dane w imieniu administratora, administrator powinien przed uruchomieniem produkcyjnym zweryfikować jego gwarancje oraz zawrzeć odpowiednią umowę lub zastosować inny wiążący akt zgodny z art. 28 RODO. Samo wpisanie danych dostawcy w aplikacji nie zastępuje takiej umowy.
3. Jakie dane przetwarza KRC App
Zakres zależy od roli użytkownika i przebiegu wsparcia. System może przetwarzać:
- dane uczestnika: wewnętrzny identyfikator, imię i nazwisko, telefon lub e-mail, płeć, poziom wykształcenia, status zawodowy oraz daty i status udziału;
- informację o niepełnosprawności wyłącznie jako „tak”, „nie” albo „brak deklaracji”; może ona stanowić dane dotyczące zdrowia wymagające szczególnej ochrony;
- IPRC, cele i potrzeby edukacyjne, deklaracje tematów, wyniki pre-testów i post-testów oraz ocenę postępu;
- obecności na warsztatach, wsparcie indywidualne i stan kompletności dokumentacji papierowej;
- zdjęcia oraz pliki dodane do konkretnego warsztatu lub spotkania, w tym ich opis i dane techniczne;
- dane kont pracowników i uczestników, role, daty logowania oraz wpisy audytowe, w tym czas operacji, identyfikator konta, adres IP i dane przeglądarki.
KRC App nie przechowuje numeru PESEL ani adresu zamieszkania uczestnika. Podstawową dokumentacją finansową pozostają formularze i IPRC przechowywane w wersji papierowej.
4. Cele i podstawy przetwarzania
Dane służą rekrutacji, diagnozie kompetencji, organizacji wsparcia, ewidencji obecności, pomiarowi rezultatów, rozliczalności projektu, obsłudze kont i ochronie systemu.
Właściwa podstawa prawna musi wynikać z dokumentacji konkretnego KRC i charakteru jego operatora. Zależnie od operacji mogą mieć zastosowanie podstawy z art. 6 ust. 1 RODO, a dla informacji o niepełnosprawności także odpowiednia przesłanka z art. 9 ust. 2 RODO. Administrator powinien wskazać je precyzyjnie w klauzuli przekazywanej osobie, której dane dotyczą — aplikacja nie wybiera ich automatycznie.
5. Odbiorcy danych
Dostęp mogą otrzymać wyłącznie osoby upoważnione zgodnie z rolą w KRC oraz podmioty świadczące administratorowi usługi IT, hostingu, wsparcia i bezpieczeństwa na podstawie właściwych umów. Dane mogą być także udostępniane instytucjom kontrolującym lub rozliczającym projekt oraz uprawnionym organom, jeżeli wynika to z prawa.
KRC App nie eksportuje danych bezpośrednio do SM EFS+. Upoważniony pracownik może ręcznie przepisywać wymagane informacje do systemu raportowego.
6. Jak długo przechowujemy dane
Okresy przechowywania ustala administrator zgodnie z dokumentacją projektu, obowiązkami rozliczeniowymi i archiwizacyjnymi oraz terminami dochodzenia lub obrony roszczeń. Po ich upływie dane powinny zostać usunięte albo zanonimizowane. Obecna wersja KRC App nie usuwa danych automatycznie według terminu — administrator musi wdrożyć i udokumentować harmonogram retencji.
7. Prawa osób
W granicach przewidzianych przez RODO możesz żądać dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania i przeniesienia, a także wnieść sprzeciw. Jeżeli podstawą jest zgoda, możesz ją wycofać bez wpływu na zgodność wcześniejszego przetwarzania.
W sprawach dotyczących danych skontaktuj się z administratorem lub IOD. Masz również prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.
8. Bezpieczeństwo i minimalizacja
System stosuje konta z rolami, rejestr operacji, ochronę sesji oraz ograniczenie dostępu do załączników. Użytkownicy powinni dodawać tylko pliki niezbędne do realizacji projektu i unikać fotografowania dodatkowych dokumentów lub osób, jeżeli nie jest to potrzebne.
Źródła urzędowe
Szablon oparto na zasadach przejrzystości i minimalizacji z RODO oraz materiałach UODO o obowiązkach administratora.