W projektach naukowych prowadzonych przez instytucje naukowe (beneficjentów), finansowanych przez MNiSW lub inne instytucje finansujące (jak np. NCN czy NCBiR) dane osobowe wykonawców projektu (tj. osób zatrudnionych przez beneficjenta w danym projekcie) przekazywane są do wspomnianych instytucji finansujących w postaci raportów zawierających takie dane jak: imię i nazwisko, stopień/tytuł naukowy, PESEL, rodzaj stanowiska, forma zatrudnienia, wynagrodzenie. Zarówno MNiSW jak i inne instytucje finansujące postawiły siebie w roli administratora tych danych, które są im przekazywane przez beneficjentów w raportach. Często zdarza się, że finansowanie zostaje przyznane nie jednej jednostce, a konsorcjum. W takim przypadku wszyscy uczestnicy konsorcjum przekazują dane zatrudnionych przez siebie pracowników (wykonawców projektu) do lidera, a ten następnie składa raport zbiorczy do jednostki finansującej.

Powstaje więc pytanie - czy członkowie konsorcjum (nie czując się administratorem całości tych danych gromadzonych przez konsorcjum) powinni ze swojej strony uregulować kwestię przekazywania tych danych pomiędzy sobą czy też winno to być zadaniem administratora tj. MNiSW bądź innych jednostek finansujących?

Planując powstanie i działanie konsorcjum tworzonego w celu wspólnego wystąpienia z wnioskiem o finansowanie projektu powinno się uwzględniać przyszłe postępowanie z danymi osobowymi. Dla osób zaangażowanych w powstawanie konsorcjum konieczne jest zaplanowanie czyje dane i w jakich celach będą chcieli gromadzić i używać do tego żeby powstające konsorcjum mogło działać. Wymiana korespondencji czy organizacja spotkań i prac prowadzonych w ramach konsorcjum będą wymagały dystrybucji informacji i sporządzenia różnych dokumentów.  Część z nich będzie zawierać też dane osobowe personelu angażowanego przez Wykonawców. I właśnie każdy z Wykonawców w konsorcjum określa cele i sposoby przetwarzania danych osobowych. Jest też więc i administratorem tych danych a co za tym idzie ma określone prawa i obowiązki przewidziane przez RODO.

Trzeba pamiętać, że konsorcjum nie ma podmiotowości prawnej zatem każda ze stron zawierających umowę konsorcjum będzie sama indywidualnie odpowiedzialna za dane osobowe wykorzystywane przez siebie przy pracach konsorcjum. Strony umowy konsorcjum mogłyby się podzielić zadaniami i odpowiedzialnością z tym związaną - jeśli razem zechcą decydować o celach i środkach ochrony danych. Wówczas powinny sporządzić porozumienie o współadministrowaniu (danymi osobowymi) co jednak wymaga ustalenia pewnych kwestii organizacyjnych - a te dla osób realizujących badania bywają najzwyczajniej niezrozumiałe. Rezygnują z tej możliwości tracą możliwość dzielenia się pracą przy danych osobowych a instytucje naukowe, które ich zatrudniają pozostają odpowiedzialne - każda z osobna - za całość tego zagadnienia.

Z drugiej strony - instytucja naukowa zatrudniająca naukowców i badaczy unika ingerowania w ich warsztat pracy, nie narzuca sztywnych rozwiązań i pozostawia personelowi wolną rękę. Ogranicza się do określenia podstawowych zasad związanych z obiegiem dokumentów dla swoich celów i do ustalenia ogólnej polityki ochrony danych. Gdy ktoś z jej pracowników podejmuje starania o zawiązanie konsorcjum to musi sam przewidzieć jakich danych będzie potrzebował (aby konsorcjum mogło zacząć działać). Osoba taka zostaje z tym problemem pozostawiona samej sobie - musi określić cel zbierania danych, ustalić jak je przechowa, ochroni i komu je udostępni. Taka osoba nie działa w swoim własnym imieniu (ale w imieniu instytucji naukowej, którą reprezentuje i powinna posiadać upoważnienie do przetwarzania danych osobowych wydawane w tej instytucji).

Dzielenie się zadaniami przez współadministrowanie jest niepopularne nie tylko z powodu braków w przygotowaniu instytucji i osób wyznaczanych do prac organizacyjnych przy tworzeniu konsorcjów. Bywa też że Strony wolą zachować własną autonomię w zakresie decydowania o danych osobowych i nie chcą dzielić się wypracowanymi metodami. Niezależnie od przyczyn dla których tak się dzieje - wskazane jest aby przynajmniej w umowie konsorcjum wyraźnie napisać czy Strony są niezależnymi administratorami danych czy się umówiły na współadministrowanie. Zwłaszcza gdy taka umowa ma być dołączona do wniosku o finansowanie projektu. Ostatnio w dokumentacjach dotyczących takich konkursów zaczęto wymagać aby strony aplikujące jako konsorcjum określiły sposób w jaki będą przetwarzać dane osobowe. Instytucja finansująca oczekuje więc jasnych wskazówek do kogo ma się zwracać na etapie swoich kontroli po dane osobowe realizatorów - choćby przy kontroli wydatków osobowych.

Tu warto zauważyć, że także instytucje finansujące będą W SWOICH WŁASNYCH CELACH gromadziły i wykorzystywały dane osób, które w projekcie coś zbadały, udowodniły, wynalazły i zarobiły. Instytucje te stają się administratorem danych osobowych jeszcze zanim zdecydują się partycypować w kosztach projektu - już na etapie przyjmowania i oceny wniosków o finansowanie. Taka instytucja ma swoje własne cele przetwarzania danych osobowych. Każda z tych instytucji może być też objęta kontrolą i będzie się od niej oczekiwać wykazania dokumentów z danymi osobowymi. Każda z nich określa więc własne sposoby ochrony tych danych - jest odrębnym administratorem danych osobowych. Informacje o tym zazwyczaj umieszczane są w klauzuli informacyjnej gdzieś w treści wniosku o finansowanie projektu. Dokumentacja projektu trafia na strony www często w pierwszej kolejności i inicjuje tworzenie umowy konsorcjum. Osoby, które się za to biorą często nietrafnie interpretują informacje z dokumentacji projektowej. 

Przykładowo nie należy myśleć, że jeśli np. Centrum (NCN albo NCBR) nazywa siebie administratorem danych osobowych w celu oceny wniosków to strony umowy konsorcjum będą zwolnione już z jakiejkolwiek troski o dane osobowe. Konsorcjanci mają swój własny powód aby dane osobowe zbierać, używać i za nie odpowiadać. Zanim dojdzie do złożenia wniosku będą musieli zawrzeć przynajmniej umowę konsorcjum, uzgodnić własne cele, ustalić treść wniosku a może też wymieniać się informacjami - i do tego wszystkiego dane osobowe będą niezbędne. Będą niezbędne aby konsorcjum w ogóle mogło zacząć działać - żeby zaczęły się prace nad wnioskiem i projektem, który wymaga finansowania. 

W sekcji "Q&A" Systemu Informacji Prawnej LEX przeczytamy:

„Jeśli MNiSW jak i inne instytucje finansujące decydują o celu i o środkach przetwarzania w zakresie danych osobowych, to postawienie ich w roli administratora tych danych, które są im przekazywane przez beneficjentów w raportach jest jak najbardziej prawidłowe, co nie wyklucza uczestników konsorcjum jako odrębnych administratorów. W niniejszym stanie faktycznym najistotniejszą kwestią jest ustalenie w jakiej roli występuje konsorcjum, czy poszczególni członkowie będą współadministratorami, czy każdy z nich będzie osobnym administratorem, czy też działają oni jako podmiot realizujący działania w imieniu i na rzecz instytucji finansujących i przez to stają się procesorem. Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1 ze zm.) – dalej RODO wskazuje obowiązki dla każdego z tych podmiotów. W przypadku konsorcjum, jeśli uczestnicy konsorcjum decydują wspólnie o celach i o środkach przetwarzania, czyli są równorzędnymi jednostkami zawierającymi  umowę konsorcjum – mocą której ich uczestnicy wspólnie określają cele i sposoby przetwarzania danych osobowych kontrahentów, należy ich rolę określić jako współadministratorzy. Bez udostępnienia umowy konsorcjum nie jest możliwe potwierdzenie czy uczestnicy konsorcjum są współadministratorami [i].”

Co do zasady więc nie należy oczekiwać, że instytucja skłonna finansować badania naukowe i organizująca konkurs, z którego chcemy zapewnić finansowanie naszego projektu będzie administratorem danych osobowych, które musimy sami zebrać żeby najpierw złożyć wniosek, potem wykonać projekt a następnie się z niego rozliczyć i poddać odpowiednim kontrolom. Gdy w umowie konsorcjum dzielimy się działaniami i pracą z innymi stronami tej umowy to pamiętajmy, że złożenie wniosku o finansowanie będzie wymagało innych danych osobowych niż rozliczenie się z kosztów osobowych poniesionych w projekcie. Jeśli umowa przypisuje do Lidera nie tylko zadanie złożenia wniosku ale też wszelkie inne działania przy reprezentowaniu Konsorcjantów zobowiązanych przy tym do wspierania Lidera - to trudno się dziwić, że Lider próbuje się domagać przesłania mu umów o pracę, list płac, wyciągów z kont i innych danych o wynagrodzeniach personelu projektu (np. w związku z zapowiedzianą kontrolą). Jeśli mielibyśmy podawać w przyszłości tego typu dane Liderowi to osoby, które chcemy zaangażować do projektu należy o tym uprzedzać jeszcze przed wpisaniem ich do wniosku i przed podaniem ich danych innym stronom konsorcjum. Osoba pełniąca rolę kierownika projektu o zgodę na takie przetwarzanie danych mogłaby prosić już przy wykonywaniu obowiązków informacyjnych względem członków personelu gromadząc w tym celu odpowiednie dokumenty i dowody.  

[i] Opublikowano: QA 1263258; Status: aktualne Autor odpowiedzi: Lecińska Monika Odpowiedzi udzielono:  30 lipca 2019 r., stan prawny dotychczas nie uległ zmianie.