Dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia. Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi – wskazał Urząd Ochrony Danych Osobowych. Według UODO zaniedbania w tej dziedzinie mogą rodzić wysokie ryzyka dla praw lub wolności zarówno dzieci jak i pracowników oraz kandydatów do pracy.
Urząd Ochrony Danych Osobowych przygotował wytyczne w związku z obowiązkiem wdrożenia standardów ochrony dzieci wynikającego z tzw. ustawy Kamilka. Nowe obowiązki dotyczą m.in. organów zarządzających jednostkami systemu oświaty, w tym przedszkoli, szkół i schronisk młodzieżowych oraz innych placówek oświatowych, opiekuńczych wychowawczych, resocjalizacyjnych lub związanych z rozwijaniem zainteresowań, gdzie uczęszczają małoletni.
„Zarówno dane o pracownikach i kandydatach do pracy, jak i informacje przekazywane przez dzieci trzeba przetwarzać z poszanowaniem prawa ochrony danych osobowych. Zaniedbania w tej dziedzinie mogą narazić wszystkich na bardzo poważne problemy” – wskazał Urząd Ochrony Danych Osobowych.
Jak wskazano w wytycznych, dostęp do danych gromadzonych w związku z wdrożeniem ustawy Kamilka mogą mieć tylko osoby, których zakres zadań to uzasadnia.
„Trzeba te osoby do tego upoważnić (niekoniecznie na piśmie), ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do danych (czy taka osoba ma to upoważnienie). Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi. Nie wolno też udostępniać danych autoryzacyjnych innym osobom. Należy również pamiętać o odebraniu dostępów odchodzącemu pracownikowi” – wskazano.
Nowelizacja Kodeksu rodzinnego i opiekuńczego oraz szeregu innych przepisów, czyli tzw. ustawa Kamilka swoją potoczną nazwę wzięła od ośmioletniego Kamilka z Częstochowy, który został zakatowany przez ojczyma. Zgodnie z ustawą, do 15 sierpnia organy zarządzające placówkami do których uczęszczają lub w których przebywają dzieci mają obowiązek wprowadzenia standardów ochrony małoletnich. Natomiast od 15 lutego 2024 r. należy stosować zmienione przepisy dotyczące obowiązku przedstawiania przyszłemu pracodawcy zaświadczeń o niekaralności za określone typy przestępstw (w tym przestępstwa przeciwko wolności seksualnej i obyczajności).
• By zminimalizować niebezpieczeństwo niewłaściwego przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich (dzieci) przeprowadzić należy ocenę (analizę) ryzyka, weryfikację dotąd obowiązujących w organizacji polityk ochrony danych, sposobów realizacji obowiązków wynikających z RODO.
• Dostosować przyjęte dotąd rozwiązania – uwzględniając ochronę danych w fazie projektowania oraz domyślną ochronę danych – do wymagań przewidzianych znowelizowanymi przepisami. Mechanizmy te administrator obowiązany jest bowiem stosować nie tylko określając sposoby przetwarzania, ale i dostosowując je do zmieniającego się stanu prawnego (nowe przepisy z punktu widzenia RODO wprowadzają nowe procesy przetwarzania danych osobowych). Jednym z obowiązków administratora jest czuwanie nad aktualizacją przyjętych rozwiązań, gdy wiążą go nowe regulacje prawne.
• Kategorie osób, których dane są przetwarzane oraz zakres zbieranych i przetwarzanych danych osobowych – ograniczyć je do danych niezbędnych dla realizacji obowiązków nałożonych przepisami prawa.
• Klauzule obowiązków informacyjnych – zweryfikować w szczególności: cele, podstawę prawną przetwarzania, informacje o odbiorcach lub kategoriach odbiorców danych, retencję danych, źródła pochodzenia danych; dbaj o przejrzystość informacji i komunikacji.
• Spełnić obowiązki informacyjne względem wszystkich osób od których dane będą pozyskiwane (stosownie do przepisów art. 13-14 RODO, przy uwzględnieniu wyłączeń wynikających z art. 14 ust. 5 RODO)
• Wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony małoletnich (dzieci); przyznać im odpowiednie zakresy upoważnień, zobowiązać je do zachowania danych w poufności, zweryfikować sposoby przekazywania poleceń administratora.
• Zweryfikować kanały przepływu / obiegu danych osobowych, stosowane w tym zakresie narzędzia.
• Upewnić się, że ustalone sposoby przetwarzania danych są znane osobom wyznaczonym / upoważnionym, i są dla nich zrozumiałe – tj. wprowadzić je, przeprowadzić stosowne szkolenia / treningi z procesów przetwarzania danych osobowych; zadbać zwłaszcza o świadomość przetwarzania danych szczególnych kategorii, informacji niezwykle wrażliwych.
• Rozważyć jakie dokumenty, i w jakiej formie (tradycyjnej i elektronicznej) oraz w jaki sposób mają być przetwarzane dla realizacji nowych regulacji prawnych; ograniczyć działania na dokumentach do jedynie niezbędnych.
• Ocenić obowiązki wynikające z realizowanych przepisów w kontekście relacji łączących administratora i osoby, których dane dotyczą i realizowanych przepisów prawa, w tym w zakresie prowadzonej dokumentacji – w szczególności w odniesieniu do: dzieci, ich rodziców / ustawowych przedstawicieli, podopiecznych placówki, klientów, pracowników, kandydatów do pracy, np. zapewniać poufność miejsc do rozmowy z dziećmi czy innymi osobami, których dane są przetwarzane.
• Zweryfikować i uaktualnić rozwiązania, w tym dokumentację dotyczącą rejestrowania czynności przetwarzania, procedurę zgłaszania naruszeń.
W działaniach tych administratora wesprzeć może i powinien inspektor ochrony danych (IOD).
• Trzeba koniecznie przeprowadzić analizę ryzyka, tak jak nakazuje to RODO. Należy więc zastanowić się, co złego może stać się z danymi, jak bardzo jest to prawdopodobne i jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, ale także osoby, których dane dotyczą. Na tej podstawie dopiero można wdrażać procedury bezpieczeństwa – techniczne i organizacyjne.
• Należy pozyskiwać tylko te dane, które są naprawdę potrzebne i nic więcej. Przy okazji zmiany należy zaktualizować klauzule informacyjne dla osób, których dane będziemy przetwarzać.
• Miejsca do rozmowy z dziećmi muszą zapewniać poufność.
• Tam, gdzie to możliwe, trzeba dane anonimizować lub pseudonimizować, aby minimalizować ryzyko identyfikacji osób fizycznych.
• Dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia. Trzeba te osoby do tego upoważnić (niekoniecznie na piśmie), ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do danych (czy taka osoba ma to upoważnienie). Uprawnienia dostępowe w systemie informatycznym muszą być do tego dostosowane: nikt nie powinien widzieć więcej niż musi. Nie wolno też udostępniać danych autoryzacyjnych innym osobom. Należy również pamiętać o odebraniu dostępów odchodzącemu pracownikowi.
• Aktualność uprawnień trzeba sprawdzać regularnie – nie może być tak, że osoba, która otrzymała inne zadania, nadal korzysta z dostępu do danych, który nie jest jej potrzebny.
• Trzeba zadbać o bezpieczeństwo sprzętu – dane osobowe nie mogą trafiać na urządzenia niezabezpieczone (w tym na niezabezpieczone nośniki danych). Nie powinno się robić kopii, bo to tworzy dodatkowe ryzyko.
• Bardzo ważna staje się polityka korzystania z silnych haseł.
• Jeżeli standard wymaga przechowania określonych dokumentów w aktach osobowych, nie należy trzymać ich w innym miejscu. Dostęp do miejsc, gdzie przechowywane są dane osobowe (np. do serwerowni) mogą mieć tylko osoby uprawnione.
• Pamiętaj o zawarciu umowy powierzenia w przypadku powierzenia poza organizację pewnych czynności na danych (np. dotyczących przechowywania danych).
mr/