UODO wskazał, jak stosować ustawę Kamilka w zgodzie ze standardami ochrony danych

Nowe standardy ochrony małoletnich, których wdrożenie zakładała tzw. ustawa Kamilka zaczęły obowiązywać 15 sierpnia 2024 r.

W komunikacie przekazanym w piątek PAP prezes UODO wskazał, że dzieci wymagają szczególnej ochrony danych osobowych, "gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych".

Jego autorzy przypomnieli, że po śmierci Kamilka z Częstochowy prawo zostało zmienione tak, aby wprowadzić standardy ochrony małoletnich we wszystkich placówkach, gdzie przebywają dzieci.

Nowe obowiązki dotyczą organów zarządzających jednostkami systemu oświaty: przedszkolami, szkołami i schroniskami młodzieżowych oraz innymi placówkami oświatowymi, opiekuńczymi, resocjalizacyjnymi, religijnymi, artystycznymi, medycznymi, rekreacyjnymi, sportowymi lub związanymi z rozwijaniem zainteresowań, do których uczęszczają albo w której przebywają małoletni, a także podmioty świadczące usługi hotelarskie, turystyczne czy prowadzące inne miejsca zakwaterowania zbiorowego.

Placówki te miały do 15 sierpnia 2024 r. czas na wprowadzenie standardów pracy i postępowania z dziećmi. Chodzi m.in. o to, by lepiej rejestrować i analizować sygnały o problemach przez nie zgłaszanych. Nowe wymogi dotyczą też opiekunów. Pracodawca lub inny organizator działalności musi uzyskać informacje, czy dane przyszłego pracownika lub osoby dopuszczanej do działalności są zamieszczone w rejestrze z dostępem ograniczonym lub w rejestrze osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w rejestrze.

Osoba, z którą ma być zatrudniona w takim miejscu lub która ma być dopuszczona do działalności, musi przedstawić również informacje o swojej karalności. Dotyczy to przestępstw o charakterze seksualnym, przestępstw przeciwko życiu i zdrowiu (np. pobicie, spowodowanie uszczerbku na zdrowiu), przestępstw znęcania się, przestępstw handlu ludźmi, przestępstw z ustawy o przeciwdziałaniu narkomanii lub informacji o odpowiadających tym przestępstwom czynach zabronionych określonych w przepisach prawa obcego.

Prezes UODO zwrócił uwagę, że dane o pracownikach i kandydatach do pracyi informacje przekazywane przez dzieci trzeba przetwarzać z poszanowaniem prawa ochrony danych osobowych.

W związku z nowymi przepisami administrator danych osobowych powinien przeprowadzić ocenę ryzyka i weryfikację dotąd obowiązujących w organizacji polityk ochrony danych i sposobów realizacji obowiązków wynikających z RODO. Powinien też dostosować przyjęte dotąd rozwiązania do wymagań przewidzianych znowelizowanymi przepisami.

Z komunikatu wynika również, że w kontekście nowych przepisów należy zweryfikować i zaktualizować kategorie osób, których dane są przetwarzane i zakres zbieranych i przetwarzanych danych osobowych, a także klauzule obowiązków informacyjnych.

Należy również wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony małoletnich; przyznać im odpowiednie zakresy upoważnień, zobowiązać je do zachowania danych w poufności, zweryfikować sposoby przekazywania poleceń administratora; zweryfikować kanały obiegu danych osobowych i stosowane w tym zakresie narzędzia; upewnić się, że ustalone sposoby przetwarzania danych są znane osobom upoważnionym i są dla nich zrozumiałe – tzn. przeprowadzić stosowne szkolenia; rozważyć jakie dokumenty, i w jakiej formie oraz w jaki sposób mają być przetwarzane i ograniczyć działania na dokumentach do jedynie niezbędnych; zweryfikować i uaktualnić dokumentację dotyczącą rejestrowania czynności przetwarzania i procedurę zgłaszania naruszeń.

"Należy zastanowić się, co złego może stać się z danymi, jak bardzo jest to prawdopodobne i jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, ale także osoby, których dane dotyczą" – czytamy w komunikacie.

Według UODO należy pozyskiwać tylko te dane, które są naprawdę potrzebne i nic więcej. Ponadto miejsca do rozmowy z dziećmi muszą zapewniać poufność, a tam, gdzie to możliwe, trzeba dane anonimizować lub pseudonimizować, aby minimalizować ryzyko identyfikacji osób fizycznych.

Autorzy komunikatu wskazali, że dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia. Trzeba te osoby do tego upoważnić – niekoniecznie na piśmie – ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do danych.

"Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi. Nie wolno też udostępniać danych autoryzacyjnych innym osobom. Należy również pamiętać o odebraniu dostępów odchodzącemu pracownikowi" – zaznaczyli. Dodali, że aktualność uprawnień trzeba regularnie sprawdzać.

Według UODO należy również zadbać o bezpieczeństwo sprzętu – dane osobowe nie mogą trafiać na urządzenia niezabezpieczone. Nie powinno się robić kopii, bo to tworzy dodatkowe ryzyko. Należy również korzystać z silnych haseł.

Tzw. ustawa Kamilka, inaczej lex Kamilek, została uchwalona 28 lipca 2023 r. Sejm zmienił wówczas Kodeks rodzinny i opiekuńczy i niektóre inne ustawy. Głównym celem nowelizacji było wzmocnienie systemowej ochrony dzieci przed skrzywdzeniem.

Zmienione przepisy weszły w życie 15 lutego 2024 r. Wymagania dotyczące tzw. standardów ochrony małoletnich zaczęły obowiązywać 15 sierpnia 2024 r. Projekt ustawy został przygotowany po tragicznej śmierci ośmioletniego Kamilka z Częstochowy zakatowanego przez ojczyma. (PAP)

iżu/ mam/