Standardy ochrony małoletnich a RODO – jak stosować ustawę Kamilka
Termin na wdrożenie standardów ochrony małoletnich w szkołach i placówkach oświatowych zgodnie z tzw. ustawą Kamilka upłynął 15 sierpnia 2024 r. W związku z tym Prezes Urzędu Ochrony Danych Osobowych wskazuje, jakie obowiązki związane z RODO ciążą na szkołach i placówkach oświatowych a także innych jednostkach wdrażających standardy.
Opracowanie: Michał Kowalski
Kto ma obowiązek wprowadzenia standardów ochrony małoletnich
Obowiązek wprowadzenia standardów ochrony małoletnich zgodnie z ustawą Kamilka spoczywa na:
-
organie zarządzającym jednostką systemu oświaty oraz inną placówką oświatową, opiekuńczą, wychowawczą, resocjalizacyjną, religijną, artystyczną, medyczną, rekreacyjną, sportową lub związaną z rozwijaniem zainteresowań, do której uczęszczają albo w której przebywają lub mogą przebywać małoletni;
-
organizatorze działalności oświatowej, opiekuńczej, wychowawczej, resocjalizacyjnej, religijnej, artystycznej, medycznej, rekreacyjnej, sportowej lub związanej z rozwijaniem zainteresowań przez małoletnich.
Przetwarzanie danych osobowych w wykonaniu standardów ochrony małoletnich
Standardy to dokument lub zbiór dokumentów regulujących – ogólnie rzecz ujmując – sposób postępowania wobec małoletnich. Podmioty, które je wprowadziły, są zarazem administratorami danych osobowych małoletnich, w związku z czym spoczywają na nich obowiązki wynikające z RODO.
Standardy ochrony małoletnich w kontekście RODO – 9 wskazówek Prezesa UODO
O obowiązkach tych przypomina Prezes Urzędu Ochrony Danych Osobowych, podkreślając także celowość skorzystania ze wsparcia inspektora ochrony danych.
|
Dokonaj analizy ryzyka |
Przetwarzanie danych osobowych w wykonywaniu standardów ochrony małoletnich może generować nowe rodzaje ryzyk. Dlatego administratorzy powinni w pierwszej kolejności przeprowadzić analizę ryzyka RODO. Na podstawie dokonanej analizy należy zaś zaktualizować dotychczas stosowane rozwiązania w zakresie bezpieczeństwa danych osobowych (w tym dokumentację ochrony danych). |
|
Uwzględnij zasady privacy by design i privacy by default |
Nowe przepisy wiążą się z nowymi procesami przetwarzania danych osobowych m.in. w ramach stosowania standardów małoletnich. Projektując rozwiązania służące do tego celu, administratorzy muszą uwzględniać ochronę danych na etapie projektowania i domyślną ochronę danych. |
|
Zaktualizuj klauzule informacyjne RODO |
W związku ze stosowaniem standardów ochrony małoletnich przetwarzane będą dane osobowe małoletnich i nie tylko. W związku z tym zachodzi konieczność aktualizacji informacji o przetwarzania danych osobowych. |
|
Zapewnij poufność małoletnim |
Prezes UODO kładzie nacisk, na konieczność zapewnienia poufnych miejsc do rozmowy z dziećmi. |
|
Postępuj zgodnie z regułą minimalizacji |
Należy pozyskiwać tylko takie dane osobowe małoletnich, jakie są niezbędne do realizacji obowiązków nałożonych w standardach. W pozostałym zakresie dane należy poddać anonimizacji (usuwać). Warto rozważyć także zastosowanie środka bezpieczeństwa w postaci pseudonimizacji. |
|
Ogranicz dostęp personelu do danych osobowych |
Dostęp do danych osobowych małoletnich powinny mieć wyłącznie upoważnieni do tego członkowie personelu organizacji. Nie muszą oni wprawdzie mieć pisemnych upoważnień, ale administrator musi systematycznie sprawdzać, czy zakres tego dostępu nie jest przekraczany. Poza tym należy na bieżąco sprawdzać aktualność uprawnień. Należy też pamiętać o bezpiecznym miejscu przechowywania danych osobowych (w tym również w aktach osobowych pracowników, jeżeli to konieczne). Ważna jest również polityka haseł. |
|
Zawieraj umowy powierzenia przetwarzania danych w razie konieczności |
Jeżeli administrator, zapewniając ochronę małoletnich, korzysta z zewnętrznego narzędzia (np. w celu obsługi zgłoszeń podejrzenia przemocy wobec dzieci), to musi on zawrzeć z producentem tego narzędzia umowę powierzenia przetwarzania danych osobowych. Dotyczy to oczywiście przypadku, w którym w takim narzędziu przetwarzane będą dane osobowe. |
|
Zadbaj o bezpieczeństwo urządzeń |
Nie należy umieszczać danych osobowych na niezabezpieczonych urządzeniach i nośnikach. |
|
Zorganizuj szkolenia |
Personel administratora musi wiedzieć, jak stosować standardy ochrony małoletnich również w aspekcie ochrony danych osobowych dzieci. Dlatego zasadne jest zorganizowanie stosownych szkoleń z procesów przetwarzania danych osobowych. |
Drugim istotnym zagadnieniem w ustawie Kamilka jest rozszerzona weryfikacja niekaralności. O przetwarzaniu danych osobowych w związku z tą weryfikacją przeczytasz w artykule: Ustawa Kamilka a RODO – ochrona danych osobowych w związku z weryfikacją niekaralności
-
Strona internetowa UODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
- Ochrona sygnalistów - dane osobowe w zgłoszeniu naruszenia prawa
- Zastępca IOD na czas nieobecności inspektora ochrony danych osobowych - czy jego wyznaczenie jest konieczne
- Jaki jest czas na wdrożenie przepisów dyrektywy NIS 2?
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
