Przetwarzanie danych osobowych przez organy Wspólnoty Europejskiej (instytucje i organy Unii) odbywa się na podstawie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Rozporządzenie).
Rozporządzenie stanowi szczególną regulację procesów operowania danymi osobowymi przez organy Unii, jeżeli cel przetwarzania danych osobowych został przez taki organ określony. Erasmus+ to Program Unii Europejskiej w dziedzinie edukacji, szkoleń, młodzieży i sportu. Wobec tego podmiotem określającym cel Programu (a także cele przetwarzania danych osobowych, które pojawiają się w związku z realizacją Programu) jest Unia Europejska (dokładnie Komisja Europejska). Komisja Europejska pełni funkcję Administratora danych osobowych.
Oczywiście Fundacja Rozwoju Systemu Edukacji (Fundacja) jako Narodowa Agencja Programu w Polsce oraz Beneficjenci Programu (Beneficjenci) przetwarzają dane osobowe, jednakże są w tej sytuacji podmiotami przetwarzającymi, ponieważ cel operowania danymi osobowymi został określony przez Unię Europejską, która prowadzi Program i jest jego autorem.
Dane osobowe zawarte we wniosku o dofinansowanie w ramach Programu, umowie finansowej i innych dokumentach z nią powiązanych są przetwarzane przez Beneficjentów oraz Fundację w oparciu o postanowienia Rozporządzenia. Beneficjenci przetwarzają dane dotyczące procesu wnioskowania i finansowego zarządzania projektem z zastosowaniem systemów informatycznych Komisji Europejskiej na wszystkich etapach projektu realizowanego w ramach programu prowadzonego przez Komisję Europejską.
Fundacja oraz Beneficjenci pozyskują dane osobowe, realizując Program na podstawie art. 9 Rozporządzenia.
Stosowanie Rozporządzenia 2016/679
Gdy Fundacja i Beneficjenci wykonują zadania wykraczające poza zakres Programu, wówczas mogą mieć status Administratora danych osobowych. W takim przypadku właściwą regulacją prawną jest Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Dane osobowe przetwarzane przez Fundację i Beneficjentów – w celach samodzielnie określonych, poza zakresem celów Programu powinny być przetwarzane z poszanowaniem przepisów RODO.