Prezes UODO w związku z ostatnio napływającymi do niego sygnałami, pytaniami w
zakresie przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich (dzieci), opublikował na stronie internetowej urzędu informacje/wytyczne na co zwrócić uwagę przy
przetwarzaniu danych osobowych.
Przypominamy, że chodzi o zmiany w ustawie o przeciwdziałaniu zagrożeniom przestępczością na tle
seksualnym, w zakresie posiadania i stosowania standardów ochrony małoletnich (które należy stosować od 15 sierpnia 2024 r.) oraz obowiązki weryfikacyjne w stosunku do osób mających kontakt z małoletnimi.
Prezes UODO wskazuje na co powinien zwrócić uwagę administrator związany zmienionymi
przepisami ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym:
1) By zminimalizować niebezpieczeństwo niewłaściwego przetwarzania danych osobowych dla przyjęcia i
realizacji standardów ochrony małoletnich (dzieci) przeprowadzić należy ocenę (analizę) ryzyka,
weryfikację dotąd obowiązujących w organizacji polityk ochrony danych, sposobów realizacji obowiązków
wynikających z RODO.
2) Należy dostosować przyjęte dotąd rozwiązania – uwzględniając ochronę danych w fazie projektowania
oraz domyślną ochronę danych – do wymagań przewidzianych znowelizowanymi przepisami. Mechanizmy te administrator obowiązany jest bowiem stosować nie tylko określając sposoby przetwarzania, ale i dostosowując je do zmieniającego się stanu prawnego (nowe przepisy z punktu widzenia RODO wprowadzają nowe procesy przetwarzania danych osobowych). Jednym z obowiązków administratora jest czuwanie nad aktualizacją przyjętych rozwiązań, gdy wiążą go nowe regulacje prawne.
Prezes UODO wskazuje, że w kontekście nowych przepisów należy zweryfikować i zaktualizować:
3) Kategorie osób, których dane są przetwarzane oraz zakres zbieranych i przetwarzanych danych
osobowych – ograniczyć je do danych niezbędnych dla realizacji obowiązków nałożonych przepisami
prawa.
4) Klauzule obowiązków informacyjnych – zweryfikować w szczególności: cele, podstawę prawną
przetwarzania, informacje o odbiorcach lub kategoriach odbiorców danych, retencję danych, źródła
pochodzenia danych; dbać o przejrzystość informacji i komunikacji.
5) Pamiętać, aby spełniać obowiązki informacyjne względem wszystkich osób od których dane będą
pozyskiwane (stosownie do przepisów art. 13-14 RODO, przy uwzględnieniu wyłączeń wynikających z art.
14 ust. 5 RODO)
6) Wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i
zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony
małoletnich (dzieci); przyznać im odpowiednie zakresy upoważnień, zobowiązać je do zachowania danych
w poufności, zweryfikować sposoby przekazywania poleceń administratora.
7) Zweryfikować kanały przepływu / obiegu danych osobowych, stosowane w tym zakresie narzędzia.
8) Upewnić się, że ustalone sposoby przetwarzania danych są znane osobom wyznaczonym / upoważnionym, i są dla nich zrozumiałe – tj. wprowadzić je, przeprowadzić stosowne szkolenia / treningi z procesów przetwarzania danych osobowych; zadbać zwłaszcza o świadomość przetwarzania danych szczególnych kategorii, informacji niezwykle wrażliwych.
9) Rozważyć jakie dokumenty i w jakiej formie (tradycyjnej i elektronicznej) oraz w jaki sposób mają być
przetwarzane dla realizacji nowych regulacji prawnych; ograniczyć działania na dokumentach do jedynie
niezbędnych.
10) Ocenić obowiązki wynikające z realizowanych przepisów w kontekście relacji łączących administratora i osoby, których dane dotyczą i realizowanych przepisów prawa, w tym w zakresie prowadzonej
dokumentacji – w szczególności w odniesieniu do: dzieci, ich rodziców / ustawowych przedstawicieli,
podopiecznych placówki, klientów, pracowników, kandydatów do pracy, np. zapewniać poufność miejsc do rozmowy z dziećmi czy innymi osobami, których dane są przetwarzane.
11) Zweryfikować i uaktualnić rozwiązania, w tym dokumentację dotyczącą rejestrowania czynności
przetwarzania, procedurę zgłaszania naruszeń.
12) Trzeba koniecznie przeprowadzić analizę ryzyka, tak jak nakazuje to RODO. Należy więc zastanowić się, co złego może stać się z danymi, jak bardzo jest to prawdopodobne i jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, ale także osoby, których dane dotyczą. Na tej podstawie
dopiero można wdrażać procedury bezpieczeństwa – techniczne i organizacyjne.
13) Należy pozyskiwać tylko te dane, które są naprawdę potrzebne i nic więcej. Przy okazji zmiany należy
zaktualizować klauzule informacyjne dla osób, których dane będziemy przetwarzać.
14) Miejsca do rozmowy z dziećmi muszą zapewniać poufność.
15) Tam, gdzie to możliwe, trzeba dane zanonimizować lub pseudonimizować, aby minimalizować ryzyko
identyfikacji osób fizycznych.
16) Dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia. Trzeba te osoby do tego upoważnić (niekoniecznie na piśmie), ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do danych (czy taka osoba ma to upoważnienie). Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi. Nie wolno też udostępniać danych
autoryzacyjnych innym osobom. Należy również pamiętać o odebraniu dostępów odchodzącemu
pracownikowi.
17) Aktualność uprawnień trzeba sprawdzać regularnie – nie może być tak, że osoba, która otrzymała inne
zadania, nadal korzysta z dostępu do danych, który nie jest jej potrzebny.
18) Trzeba zadbać o bezpieczeństwo sprzętu – dane osobowe nie mogą trafiać na urządzenia
niezabezpieczone (w tym na niezabezpieczone nośniki danych). Nie powinno się robić kopii, bo to tworzy
dodatkowe ryzyko.
19) Bardzo ważna staje się polityka korzystania z silnych haseł.
20) Jeżeli standard wymaga przechowania określonych dokumentów w aktach osobowych, nie należy trzymać ich w innym miejscu. Dostęp do miejsc, gdzie przechowywane są dane osobowe (np. do serwerowni) mogą mieć tylko osoby uprawnione.
21) Należy pamiętać o zawarciu umowy powierzenia w przypadku powierzenia poza organizację pewnych
czynności na danych (np. dotyczących przechowywania danych).
W razie potrzeby służymy pomocą i wsparciem w realizacji powyższych obowiązków.