Prezes Urzędu Ochrony Danych Osobowych opublikował obszerny komunikat1, w którym przypomniał o tym, że każdy podmiot leczniczy, w którym przebywają lub mogą przebywać małoletni, do 15 sierpnia 2024 r. miał obowiązek opracowania i wdrożenia procedury związanej z ochroną małoletnich zwanej Standardami Ochrony Małoletnich. Obowiązki w tym zakresie określają zmienionymi w 2023 r. przepisy ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym2.
UODO zwraca przy tym uwagę, że pracodawca musi w związku z tym uzyskać informacje, czy dane przyszłego pracownika lub osoby dopuszczanej do działalności z udziałem małoletnich są zamieszczone w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15 wydała postanowienie o wpisie w Rejestrze3. Osoba, z którą ma być nawiązany stosunek pracy musi także przedstawić również informacje o swojej karalności. Dane te przetwarzać należy z poszanowaniem prawa ochrony danych osobowych.
Komunikat Prezesa UODO zawiera przy tym szereg cennych wskazówek w zakresie ochrony danych osobowych przy opracowywania i wdrażaniu dokumentacji oraz procedur związanych z ochroną małoletnich. W szczególności minimalizacja niebezpieczeństwa niewłaściwego przetwarzania danych osobowych dla przyjęcia i realizacji standardów ochrony małoletnich polegać powinna na przeprowadzeniu analizy ryzyka oraz weryfikacji dotąd obowiązujących w organizacji polityk ochrony danych. Taka analiza powinna odpowiadać na pytanie, co złego może stać się z danymi, jak bardzo jest to prawdopodobne i jakie negatywne konsekwencje w takich przypadkach może ponieść instytucja, ale także osoby, których dane dotyczą.
W kontekście nowych przepisów należy także zweryfikować i zaktualizować kategorie osób, których dane są przetwarzane oraz zakres zbieranych i przetwarzanych danych osobowych. Nadto, należy wyznaczyć osoby działające z upoważnienia administratora mające dostęp do danych osobowych i zajmujące się realizacją zadań wynikających z nowych przepisów dotyczących standardu ochrony małoletnich, przyznać im odpowiednie zakresy upoważnień, zobowiązać do zachowania danych w poufności oraz zweryfikować sposoby przekazywania poleceń administratora. Dalej, konieczne jest upewnienie się, że ustalone sposoby przetwarzania danych są znane osobom wyznaczonym i są dla nich zrozumiałe poprzez przeprowadzenie stosownych szkoleń i treningów z procesów przetwarzania danych osobowych ze szczególnym uwzględnieniem danych wrażliwych.
Prezes UODO przypomina także, że miejsca do rozmowy z dziećmi muszą zapewniać poufność. Tam, gdzie to możliwe, trzeba dane anonimizować, aby minimalizować ryzyko identyfikacji osób fizycznych. Dostęp do danych mogą mieć tylko osoby, których zakres zadań to uzasadnia, a aktualność uprawnień trzeba sprawdzać regularnie. Dane osobowe nie mogą trafiać na urządzenia niezabezpieczone, w tym na niezabezpieczone nośniki danych. Nie powinno się robić kopii, bo to tworzy dodatkowe ryzyko.
Warto przypomnieć, że dopuszczenie do pracy osoby z orzeczonym zakazem zajmowania stanowisk związanych z wychowaniem, edukacją, leczeniem małoletnich lub z opieką nad nim, za które grozi kara kara pozbawienia wolności od 3 miesięcy do 5 lat.
1https://uodo.gov.pl/pl/138/3278 dostęp: 27.08.2024 r.
2Ustawa z dnia 13 maja 2016 r., Dz. U. z 2024 r. poz. 560.
3https://rps.ms.gov.pl/pl-PL/Public#/ dostęp: 27.08.2024 r.