Kalkulator podatkowy
Portal
Publikacje26 listopada 2024

Ustawa Kamilka” w zgodzie z RODO

„Ustawa Kamilka” w zgodzie z RODO

 

„Ustawa Kamilka” to znowelizowana ustawa z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich. W związku z nowymi standardami ochrony małoletnich, które wdrożyła „Ustawa Kamilka”, przetwarzane są dane o pracownikach i kandydatach do pracy, jak również informacje przekazywane przez dzieci. Te dane należy przetwarzać z poszanowaniem prawa ochrony danych osobowych. Zaniedbania w tej dziedzinie mogą narazić wszystkich na poważne konsekwencje, co może rodzić wysokie ryzyka dla praw lub wolności tych osób.

 

Kogo dotyczą obowiązki?

  • organów zarządzających jednostkami systemu oświaty (przedszkolami, szkołami, schroniskami młodzieżowymi) oraz innymi placówkami oświatowymi, opiekuńczymi, wychowawczymi, resocjalizacyjnymi, religijnymi, artystycznymi, medycznymi, rekreacyjnymi, sportowymi lub związanymi z rozwijaniem zainteresowań, do których uczęszczają albo w której przebywają małoletni,
  • organizatorów działalności oświatowej, opiekuńczej, wychowawczej, resocjalizacyjnej, religijnej, artystycznej, medycznej, rekreacyjnej, sportowej lub związanej z rozwijaniem zainteresowań przez małoletnich,
  • podmioty świadczące usługi hotelarskie, turystyczne bądź prowadzące inne miejsca zakwaterowania zbiorowego w zakresie niezbędnym do zapewnienia ochrony małoletnich.

 

Na co Administrator danych powinien zwrócić szczególną uwagę, co powinien zrobić?

  • Administrator danych powinien zwrócić szczególną uwagę, aby zminimalizować niebezpieczeństwo nieprawidłowego przetwarzania danych osobowych dla przyjęcia i realizacji standardów wynikających z Ustawy Kamilka. W tym celu powinien przeprowadzić analizę ryzyka, weryfikację obowiązujących w Organizacji dokumentów z zakresu ochrony danych osobowych, w tym Polityki bezpieczeństwa informacji, procedur oraz sposobów realizacji obowiązków, które wynikają z RODO.

Przeprowadzając analizę ryzyka, Administrator danych powinien zastanowić się:

  1. co złego może stać się z danymi,
  2. jak bardzo jest to prawdopodobne,
  3. jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, jak również osoby, których dane dotyczą

i dopiero na tej podstawie może wdrażać procedury bezpieczeństwa – techniczne i organizacyjne.

 

A więc, co należy robić?

  • miejsca do rozmowy z dziećmi powinny zapewniać poufność,
  • anonimizować lub pseudonimizować dane, żeby minimalizować ryzyko identyfikacji osób fizycznych,
  • dostęp do danych mogą mieć jedynie osoby, których zakres zadań to uzasadnia:
  • te osoby należy do tego upoważnić

! Administrator danych powinien sprawdzić, czy takie osoby mają upoważnienia.

  • uprawnienia dostępowe w systemie informatycznym powinny być do tego dostosowane:
  • nikt nie może widzieć więcej niż musi,
  • nie wolno też udostępniać danych autoryzacyjnych innym osobom,
  • należy odebrać dostępy odchodzącemu pracownikowi,
  • aktualność uprawnień trzeba sprawdzać regularnie,
  • Administrator danych musi zadbać o bezpieczeństwo sprzętu. Nie powinny być robione kopie, bo to tworzy dodatkowe ryzyko,
  • należy korzystać z silnych haseł,
  • jeżeli dokumenty powinny być przechowywane w aktach osobowych, to tam powinny się znajdować i nie należy ich trzymać w innym miejscu. Dostęp do miejsc, gdzie przechowywane są dane osobowe mogą mieć jedynie osoby uprawnione,
  • należy pamiętać o zawarciu umowy powierzenia przetwarzania danych osobowych w przypadku powierzenia poza organizację pewnych czynności na danych (np. dotyczących przechowywania danych).

 

  • Administrator danych powinien również dostosować przyjęte dotąd rozwiązania w organizacji, mając na uwadze ochronę danych w fazie projektowania oraz domyślną ochronę danych, do wymagań, które zostały przyjęte znowelizowanymi przepisami. Mechanizmy te Administrator danych obowiązany jest stosować określając sposoby przetwarzania i dostosowując je do zmieniającego się stanu prawnego, który z punktu widzenia RODO wprowadza nowe procesy przetwarzania danych osobowych. Dlatego bardzo ważnym obowiązkiem jest dbanie o aktualizację przyjętych rozwiązań, gdy Administrator danych jest związany nowymi regulacjami prawnymi.

 

Jakie zatem obowiązki spoczywają na Administratorze danych?

Administrator danych powinien:

  • określić, jakie będzie przetwarzał kategorie osób oraz wskazać zakres przetwarzanych danych (dane powinny być ograniczone do danych niezbędnych dla realizacji obowiązków, które zostały nałożone przepisami prawa).

Wskazówka! Należy pozyskiwać tylko te dane, które są potrzebne.

 

  • zweryfikować obowiązki informacyjne, w szczególności w zakresie: celów, podstawy prawnej przetwarzania, informacji o odbiorcach lub kategoriach odbiorców danych, retencji danych, źródła pochodzenia danych.

Wskazówka! Obowiązki informacyjne powinny być realizowane względem wszystkich osób, których dane będą przetwarzane mając na uwadze art. 13-14 RODO. Należy również uwzględnić wyłączenia wynikające z art. 14 ust. 5 RODO.

 

  • wskazać osoby działające z upoważnienia Administratora danych, które będą zajmowały się realizacją zadań wynikających z „Ustawy Kamilka”, a tym samym będą miały dostęp do danych osobowych, nadać tym osobom upoważnienia do przetwarzania danych osobowych oraz zobowiązać je do zachowania danych w poufności.
  • zweryfikować kanały przepływu danych osobowych, stosowane w tym zakresie narzędzia.
  • rozważyć jakie dokumenty i w jakiej formie (tradycyjnej i elektronicznej) oraz w jaki sposób mają być przetwarzane dla realizacji nowych obowiązków.

Wskazówka! Działania na dokumentach powinny być ograniczone jedynie do niezbędnych.

 

  • zweryfikować i uaktualnić wprowadzone rozwiązania, w tym dokumentację dotyczącą rejestrowania czynności przetwarzania, procedurę zgłaszania naruszeń.
  • upewnić się, że ustalone sposoby przetwarzania danych są znane upoważnionym osobom oraz dla nich zrozumiałe.

Wskazówka! Administrator danych powinien przeprowadzić pracownikom szkolenia z ochrony danych osobowych oraz zadbać o świadomość przetwarzania danych, w szczególności danych wrażliwych.

 

Inspektor Ochrony Danych (IOD) powinien wesprzeć Administratora danych we wszelkich podejmowanych przez niego działaniach.

Joanna Mikulczyńska – radca prawny | ekspert ds. ochrony danych osobowych
NK Legal Partners

Share
previous
Prawo pierwokupu na terenach powodziowych

Porozmawiajmy o tym, w czym możemy Ci pomóc

SKONTAKUJ SIĘ Z NAMI
https://nklegalpartners.pl/wp-content/uploads/2022/05/logo_nk_legal_white.png

Od 1992 roku zapewniamy Klientom pełen zakres obsługi prawnej, co stawia nas w gronie jednej z najbardziej doświadczonych kancelarii w Polsce.

Nasze usługi

https://nklegalpartners.pl/wp-content/uploads/2022/09/logo_sygnalisto.png

Program pełnego wdrożenia procedur oraz obsługi anonimowych zgłoszeń dla sygnalistów

Bądźmy w kontakcie

71 300 12 09
ul. Objazdowa 50, 54-513 Wrocław

NK Legal Partners

©2022 NK Legal Partners. All rights reserved

Created by KOLA+BRANDY

©2022 NK Legal Partners. All rights reserved

Created by KOLA+BRANDY