Stosowanie „ustawy Kamilka” a ochrona danych osobowych
Dowiedz się, jak stosować „ustawę Kamilka” w zgodzie ze standardami ochrony danych osobowych według zaleceń Prezesa UODO.
„Ustawa Kamilka”
Minęło pół roku, jakie „ustawa Kamilka” dała na przygotowanie się do lepszej ochrony praw dzieci. Nowe prawo wprowadza ochronę również poprzez lepsze zbieranie sygnałów od dzieci oraz sprawdzanie kompetencji osób pracujących z dziećmi.
Dobro oraz bezpieczeństwo dzieci są wartościami, o które należy dbać również w myśl przepisów RODO. Dzieci wymagają szczególnej ochrony danych osobowych, ponieważ mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń oraz praw przysługujących im w związku z przetwarzaniem danych osobowych (według motywu 38 RODO).
Działania profilaktyczne oraz prewencyjne, jak bezpieczna rekrutacja i bezpieczne relacje z dziećmi - przewidziane zmienionymi w 2023 r. przepisami ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym, w tym też w zakresie standardów ochrony małoletnich, które należy stosować od 15 sierpnia 2024 r. - wymagają uwzględnienia wymogów RODO.
Prezes UODO w związku z ostatnio napływającymi do niego zgłoszeniami i pytaniami w zakresie przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich (dzieci), wskazał – wraz ze Społecznym Zespołem Ekspertów przy Prezesie UODO – na co zwrócić uwagę przy przetwarzaniu ich danych osobowych. Dowiedz się, co zaleca.
Nowe standardy ochrony małoletnich
Po śmierci Kamilka z Częstochowy prawo zostało zmienione tak, żeby wprowadzić standardy ochrony małoletnich we wszystkich placówkach, w których przebywają dzieci.
Nowe obowiązki dotyczą organów zarządzających jednostkami systemu oświaty (przedszkoli, szkół, jak też schronisk młodzieżowych) i innych placówek oświatowych, opiekuńczych wychowawczych, resocjalizacyjnych, religijnych, artystycznych, medycznych, rekreacyjnych, sportowych, jak również związanych z rozwijaniem zainteresowań, do których uczęszczają albo w której przebywają małoletni, a także organizatorzy tych działalności i podmioty świadczące usługi hotelarskie, turystyczne oraz prowadzące inne miejsca zakwaterowania zbiorowego.
Placówki te miały do 15 sierpnia 2024 r. czas na wprowadzenie standardów pracy oraz postępowania z dziećmi. Chodzi np. o to, żeby lepiej rejestrować i analizować sygnały o problemach zgłaszanych przez dzieci. Nowe wymagania dotyczą również opiekunów. Pracodawca bądź inny organizator działalności musi uzyskać informacje, czy dane przyszłego pracownika czy osoby dopuszczanej do działalności są zamieszczone w "Rejestrze z dostępem ograniczonym" bądź w "Rejestrze osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w Rejestrze".
Osoba, z którą ma być nawiązany stosunek pracy bądź która ma być dopuszczona do działalności, musi przedstawić także informacje o swojej karalności. Dotyczy to przestępstw o charakterze seksualnym, przestępstw przeciwko życiu oraz zdrowiu (jak m.in. pobicie, spowodowanie uszczerbku na zdrowiu), przestępstwa znęcania się, przestępstwa handlu ludźmi, przestępstw z ustawy o przeciwdziałaniu narkomanii bądź informacji o odpowiadających tym przestępstwom czynach zabronionych określonych w przepisach prawa obcego.
Prezes UODO zalecił, żeby zarówno dane o pracownikach oraz kandydatach do pracy, jak też informacje przekazywane przez dzieci przetwarzać z poszanowaniem prawa ochrony danych osobowych. Zaniedbania w tej dziedzinie mogą narazić wszystkich na bardzo poważne problemy (rodzić wysokie ryzyka dla praw i wolności tych osób).
Na co winien zwrócić uwagę administrator związany nowymi przepisami ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym?
Żeby zminimalizować niebezpieczeństwo niewłaściwego przetwarzania danych osobowych dla przyjęcia oraz realizacji standardów ochrony małoletnich (dzieci) trzeba przeprowadzić ocenę (analizę) ryzyka, weryfikację dotąd obowiązujących w organizacji polityk ochrony danych, sposobów realizacji obowiązków wynikających z RODO.
Należy dostosować przyjęte dotąd rozwiązania – uwzględniając ochronę danych w fazie projektowania oraz domyślną ochronę danych – do wymagań przewidzianych znowelizowanymi przepisami. Mechanizmy te administrator obowiązany jest bowiem stosować nie tylko określając sposoby przetwarzania, ale i dostosowując je do zmieniającego się stanu prawnego (nowe przepisy z punktu widzenia RODO wprowadzają nowe procesy przetwarzania danych osobowych). Jednym z obowiązków administratora jest czuwanie nad aktualizacją przyjętych rozwiązań, gdy wiążą go nowe regulacje prawne.
W kontekście nowych przepisów trzeba zweryfikować oraz zaktualizować:
- kategorie osób, których dane są przetwarzane oraz zakres zbieranych i przetwarzanych danych osobowych – ograniczyć je należy do danych niezbędnych dla realizacji obowiązków nałożonych przepisami prawa;
- klauzule obowiązków informacyjnych – zweryfikować należy m.in.: cele, podstawę prawną przetwarzania, informacje o odbiorcach i kategoriach odbiorców danych, retencję danych, źródła pochodzenia danych, a także dbać o przejrzystość informacji i komunikacji. Pamiętać należy, aby spełniać obowiązki informacyjne względem wszystkich osób od których dane będą pozyskiwane (zgodnie z przepisami art. 13-14 RODO, przy uwzględnieniu wyłączeń wynikających z art. 14 ust. 5 RODO).
Trzeba przy tym wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony małoletnich (dzieci), a także przyznać im odpowiednie zakresy upoważnień, zobowiązać je do zachowania danych w poufności, zweryfikować sposoby przekazywania poleceń administratora.
Należy zweryfikować kanały przepływu czy obiegu danych osobowych, stosowane w tym zakresie narzędzia. Trzeba przy tym upewnić się, że ustalone sposoby przetwarzania danych są znane osobom wyznaczonym czy upoważnionym i są dla nich zrozumiałe – tzn. wprowadzić je, przeprowadzić stosowne szkolenia i treningi z procesów przetwarzania danych osobowych, a także zadbać zwłaszcza o świadomość przetwarzania danych szczególnych kategorii, informacji niezwykle wrażliwych.
Rozważyć należy, jakie dokumenty oraz w jakiej formie (tradycyjnej czy elektronicznej) i w jaki sposób mają być przetwarzane dla realizacji nowych regulacji prawnych. Trzeba przy tym ograniczyć działania na dokumentach tylko do niezbędnych.
Należy ocenić obowiązki wynikające z realizowanych przepisów w kontekście relacji łączących administratora oraz osób, których dane dotyczą i realizowanych przepisów prawa, w tym w zakresie prowadzonej dokumentacji – m.in. w odniesieniu do: dzieci, ich rodziców lub ustawowych przedstawicieli, podopiecznych placówki, klientów, pracowników, kandydatów do pracy, np. zapewniać poufność miejsc do rozmowy z dziećmi lub innymi osobami, których dane są przetwarzane.
Należy także zweryfikować oraz uaktualnić rozwiązania, w tym dokumentację dotyczącą rejestrowania czynności przetwarzania i procedurę zgłaszania naruszeń.
W działaniach tych administratora wesprzeć może i powinien inspektor ochrony danych (IOD).
Trzeba koniecznie przeprowadzić analizę ryzyka, tak jak nakazuje to RODO. Należy więc zastanowić się, co złego może stać się z danymi, jak bardzo jest to prawdopodobne oraz jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, lecz również osoby, których dane dotyczą. Na tej podstawie dopiero można wdrażać procedury bezpieczeństwa – techniczne oraz organizacyjne.
Należy pozyskiwać jedynie te dane, które są naprawdę potrzebne, i nic więcej. Przy okazji zmiany należy zaktualizować klauzule informacyjne dla osób, których dane będziemy przetwarzać.
Miejsca do rozmowy z dziećmi muszą zapewniać poufność.
Tam, gdzie to możliwe, należy dane anonimizować bądź pseudonimizować, żeby minimalizować ryzyko identyfikacji osób fizycznych.
Dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia. Należy te osoby do tego upoważnić (niekoniecznie na piśmie), ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do danych (czy taka osoba ma to upoważnienie). Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi. Nie wolno także udostępniać danych autoryzacyjnych innym osobom. Trzeba też pamiętać o odebraniu dostępów odchodzącemu pracownikowi.
Aktualność uprawnień należy sprawdzać regularnie – nie może być tak, że osoba, która otrzymała inne zadania, nadal korzysta z dostępu do danych, który nie jest jej potrzebny.
Ponadto należy zadbać o bezpieczeństwo sprzętu – dane osobowe nie mogą trafiać na urządzenia niezabezpieczone (w tym na niezabezpieczone nośniki danych). Nie powinno się robić kopii, gdyż to tworzy dodatkowe ryzyko.
Bardzo ważna jest polityka korzystania z silnych haseł.
Jeśli standard wymaga przechowania określonych dokumentów w aktach osobowych, to nie należy trzymać ich w innym miejscu. Dostęp do miejsc, gdzie przechowywane są dane osobowe (m.in. do serwerowni) mogą mieć tylko osoby uprawnione.
Należy pamiętać o zawarciu umowy powierzenia w razie powierzenia poza organizację pewnych czynności na danych (m.in. dotyczących przechowywania danych).
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?