Jak stosować „ustawę Kamilka” w zgodzie ze standardami ochrony danych osobowych

Mija właśnie pół roku, jakie „ustawa Kamilka” dała na przygotowanie się do lepszej ochrony praw dzieci. Nowe prawo wprowadza ochronę także poprzez lepsze zbieranie sygnałów od dzieci i sprawdzanie kompetencji osób pracujących z dziećmi.

Dobrostan i bezpieczeństwo dzieci są wartościami, o które należy dbać także w myśl przepisów RODO. Dzieci wymagają szczególnej ochrony danych osobowych, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych (motyw 38 RODO).

Działania profilaktyczne i prewencyjne, jak bezpieczna rekrutacja i bezpieczne relacje z dziećmi - przewidziane zmienionymi w 2023 r. przepisami ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym, w tym w zakresie standardów ochrony małoletnich, które należy stosować od 15 sierpnia 2024 r. - wymagają uwzględnienia wymogów RODO.

Prezes UODO w związku z ostatnio napływającymi do niego sygnałami, pytaniami w zakresie przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich (dzieci), wskazuje – wraz ze Społecznym Zespołem Ekspertów przy Prezesie UODO – na co zwrócić uwagę przy przetwarzaniu ich danych osobowych.

Po śmierci Kamilka z Częstochowy prawo zostało zmienione tak, by wprowadzić standardy ochrony małoletnich we wszystkich placówkach, gdzie przebywają dzieci.

Nowe obowiązki dotyczą organów zarządzających jednostkami systemu oświaty (przedszkoli, szkół i schronisk młodzieżowych) oraz innych placówek oświatowych, opiekuńczych wychowawczych, resocjalizacyjnych, religijnych, artystycznych, medycznych, rekreacyjnych, sportowych lub związanymi z rozwijaniem zainteresowań, do których uczęszczają albo w której przebywają małoletni, a także organizatorzy tychże działalności oraz podmioty świadczące usługi hotelarskie, turystyczne czy prowadzące inne miejsca zakwaterowania zbiorowego.

Placówki te miały do 15 sierpnia 2024 r. czas na wprowadzenie standardów pracy i postępowania z dziećmi. Chodzi m.in. o to, by lepiej rejestrować i analizować sygnały o problemach zgłaszanych przez dzieci. Nowe wymogi dotyczą też opiekunów. Pracodawca lub inny organizator działalności musi uzyskać informacje, czy dane przyszłego pracownika lub osoby dopuszczanej do działalności są zamieszczone w Rejestrze z dostępem ograniczonym, lub w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w Rejestrze.

Osoba, z którą ma być nawiązany stosunek pracy lub która ma być dopuszczona do działalności, musi przedstawić również informacje o swojej karalności. Dotyczy to przestępstw o charakterze seksualnym, przestępstw przeciwko życiu i zdrowiu (np. pobicie, spowodowanie uszczerbku na zdrowiu), przestępstwa znęcania się, przestępstwa handlu ludźmi, przestępstw z ustawy o przeciwdziałaniu narkomanii lub informacji o odpowiadających tym przestępstwom czynach zabronionych określonych w przepisach prawa obcego.

Prezes UODO zwraca uwagę, że zarówno dane o pracownikach i kandydatach do pracy, jak i informacje przekazywane przez dzieci trzeba przetwarzać z poszanowaniem prawa ochrony danych osobowych. Zaniedbania w tej dziedzinie mogą narazić wszystkich na bardzo poważne problemy (rodzić wysokie ryzyka dla praw lub wolności tych osób).

Na co powinien zwrócić uwagę administrator związany zmienionymi przepisami ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym?

• By zminimalizować niebezpieczeństwo niewłaściwego przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich (dzieci) przeprowadzić należy ocenę (analizę) ryzyka, weryfikację dotąd obowiązujących w organizacji polityk ochrony danych, sposobów realizacji obowiązków wynikających z RODO.
• Dostosować przyjęte dotąd rozwiązania – uwzględniając ochronę danych w fazie projektowania oraz domyślną ochronę danych – do wymagań przewidzianych znowelizowanymi przepisami. Mechanizmy te administrator obowiązany jest bowiem stosować nie tylko określając sposoby przetwarzania, ale i dostosowując je do zmieniającego się stanu prawnego (nowe przepisy z punktu widzenia RODO wprowadzają nowe procesy przetwarzania danych osobowych). Jednym z obowiązków administratora jest czuwanie nad aktualizacją przyjętych rozwiązań, gdy wiążą go nowe regulacje prawne.

W kontekście nowych przepisów należy zweryfikować i zaktualizować:

• Kategorie osób, których dane są przetwarzane oraz zakres zbieranych i przetwarzanych danych osobowych – ograniczyć je do danych niezbędnych dla realizacji obowiązków nałożonych przepisami prawa.
• Klauzule obowiązków informacyjnych – zweryfikować w szczególności: cele, podstawę prawną przetwarzania, informacje o odbiorcach lub kategoriach odbiorców danych, retencję danych, źródła pochodzenia danych; dbać o przejrzystość informacji i komunikacji.
• Pamiętać, aby spełniać obowiązki informacyjne względem wszystkich osób od których dane będą pozyskiwane (stosownie do przepisów art. 13-14 RODO, przy uwzględnieniu wyłączeń wynikających z art. 14 ust. 5 RODO)
• Wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony małoletnich (dzieci); przyznać im odpowiednie zakresy upoważnień, zobowiązać je do zachowania danych w poufności, zweryfikować sposoby przekazywania poleceń administratora.
• Zweryfikować kanały przepływu / obiegu danych osobowych, stosowane w tym zakresie narzędzia.
• Upewnić się, że ustalone sposoby przetwarzania danych są znane osobom wyznaczonym / upoważnionym, i są dla nich zrozumiałe – tj. wprowadzić je, przeprowadzić stosowne szkolenia / treningi z procesów przetwarzania danych osobowych; zadbać zwłaszcza o świadomość przetwarzania danych szczególnych kategorii, informacji niezwykle wrażliwych.
• Rozważyć jakie dokumenty, i w jakiej formie (tradycyjnej i elektronicznej) oraz w jaki sposób mają być przetwarzane dla realizacji nowych regulacji prawnych; ograniczyć działania na dokumentach do jedynie niezbędnych.
• Ocenić obowiązki wynikające z realizowanych przepisów w kontekście relacji łączących administratora i osoby, których dane dotyczą i realizowanych przepisów prawa, w tym w zakresie prowadzonej dokumentacji – w szczególności w odniesieniu do: dzieci, ich rodziców / ustawowych przedstawicieli, podopiecznych placówki, klientów, pracowników, kandydatów do pracy, np. zapewniać poufność miejsc do rozmowy z dziećmi czy innymi osobami, których dane są przetwarzane.
• Zweryfikować i uaktualnić rozwiązania, w tym dokumentację dotyczącą rejestrowania czynności przetwarzania, procedurę zgłaszania naruszeń.

W działaniach tych administratora wesprzeć może i powinien inspektor ochrony danych (IOD).

• Trzeba koniecznie przeprowadzić analizę ryzyka, tak jak nakazuje to RODO. Należy więc zastanowić się, co złego może stać się z danymi, jak bardzo jest to prawdopodobne i jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, ale także osoby, których dane dotyczą. Na tej podstawie dopiero można wdrażać procedury bezpieczeństwa – techniczne i organizacyjne.
• Należy pozyskiwać tylko te dane, które są naprawdę potrzebne i nic więcej. Przy okazji zmiany należy zaktualizować klauzule informacyjne dla osób, których dane będziemy przetwarzać.
• Miejsca do rozmowy z dziećmi  muszą zapewniać poufność.
• Tam, gdzie to możliwe, trzeba dane anonimizować lub pseudonimizować, aby minimalizować ryzyko identyfikacji osób fizycznych.
• Dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia. Trzeba te osoby do tego upoważnić (niekoniecznie na piśmie), ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do danych (czy taka osoba ma to upoważnienie). Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi. Nie wolno też udostępniać danych autoryzacyjnych innym osobom. Należy również pamiętać o odebraniu dostępów odchodzącemu pracownikowi.
• Aktualność uprawnień trzeba sprawdzać regularnie – nie może być tak, że osoba, która otrzymała inne zadania, nadal korzysta z dostępu do danych, który nie jest jej potrzebny.
• Trzeba zadbać o bezpieczeństwo sprzętu – dane osobowe nie mogą trafiać na urządzenia niezabezpieczone (w tym na niezabezpieczone nośniki danych). Nie powinno się robić kopii, bo to tworzy dodatkowe ryzyko.
• Bardzo ważna staje się polityka korzystania z silnych haseł.
• Jeżeli standard wymaga przechowania określonych dokumentów w aktach osobowych, nie należy trzymać ich w innym miejscu. Dostęp do miejsc, gdzie przechowywane są dane osobowe (np. do serwerowni) mogą mieć tylko osoby uprawnione.
• Pamiętaj o zawarciu umowy powierzenia w przypadku powierzenia poza organizację pewnych czynności na danych (np. dotyczących przechowywania danych).