UODO zwraca uwagę na stosowanie przepisów RODO przy realizacji Standardów Ochrony Małoletnich.
UODO przypomina, że w szczególności należy:
1) przeprowadzić analizę ryzyka i na jej podstawie wdrażać procedury
bezpieczeństwa – techniczne i organizacyjne;
2) pozyskiwać tylko te dane, które są naprawdę potrzebne i nic więcej;
3) pamiętać, aby spełniać obowiązki informacyjne względem wszystkich osób od
których dane będą pozyskiwane (stosownie do przepisów art. 13-14 RODO, przy
uwzględnieniu wyłączeń wynikających z art. 14 ust. 5 RODO);
4) upewnić się, że ustalone sposoby przetwarzania danych są znane osobom
wyznaczonym / upoważnionym, i są dla nich zrozumiałe – tj. wprowadzić je,
przeprowadzić stosowne szkolenia / treningi z procesów przetwarzania danych
osobowych; zadbać zwłaszcza o świadomość przetwarzania danych
szczególnych kategorii, informacji niezwykle wrażliwych;
5) rozważyć jakie dokumenty, i w jakiej formie (tradycyjnej i elektronicznej) oraz w
jaki sposób mają być przetwarzane dla realizacji nowych regulacji prawnych;
ograniczyć działania na dokumentach do jedynie niezbędnych;
6) ocenić obowiązki wynikające z realizowanych przepisów w kontekście relacji
łączących administratora i osoby, których dane dotyczą i realizowanych przepisów
prawa, w tym w zakresie prowadzonej dokumentacji – w szczególności w
odniesieniu do: dzieci, ich rodziców / ustawowych przedstawicieli, podopiecznych
placówki, klientów, pracowników, kandydatów do pracy, np. zapewniać poufność
miejsc do rozmowy z dziećmi czy innymi osobami, których dane są przetwarzane;
7) zorganizować miejsca do rozmowy z dziećmi zapewniające poufność;
8) anonimizować lub pseudonimizować dane (tam gdzie to możliwe), aby
minimalizować ryzyko identyfikacji osób fizycznych;
9) zapewnić by dostęp do danych miały tylko osoby, których zakres zadań to
uzasadnia;
10) zadbać o bezpieczeństwo sprzętu – dane osobowe nie mogą trafiać na
urządzenia niezabezpieczone (w tym na niezabezpieczone nośniki danych);
11) ograniczyć robienie kopii danych;
12) przechowywać wymagane dokumenty w aktach osobowych (nie wolno trzymać
ich w innym miejscu;
13) zadbać by dostęp do miejsc, gdzie przechowywane są dane osobowe (np. do
serwerowni) mogą mieć tylko osoby uprawnione.
W kontekście nowych przepisów należy zweryfikować i zaktualizować:
- kategorie osób, których dane są przetwarzane oraz zakres zbieranych i
przetwarzanych danych osobowych – ograniczyć je do danych niezbędnych dla
realizacji obowiązków nałożonych przepisami prawa;
- klauzule obowiązków informacyjnych – zweryfikować w szczególności: cele,
podstawę prawną przetwarzania, informacje o odbiorcach lub kategoriach
odbiorców danych, retencję danych, źródła pochodzenia danych; dbać o
przejrzystość informacji i komunikacji;
- zakres upoważnień do przetwarzania danych - wyznaczyć osoby działające z
upoważnienia administratora mające dostęp do danych osobowych i zajmujące
się realizacją zadań wynikających z nowych przepisów dotyczących standardu
ochrony małoletnich (dzieci); przyznać im odpowiednie zakresy upoważnień,
zobowiązać je do zachowania danych w poufności, zweryfikować sposoby
przekazywania poleceń administratora; Trzeba te osoby do tego upoważnić
(niekoniecznie na piśmie), ale zawsze trzeba sprawdzać, kto uzyskuje dostęp do
danych (czy taka osoba ma to upoważnienie). Uprawnienia dostępowe w
systemie informatycznym muszą być do tego dostosowane: nikt nie powinien
widzieć więcej niż musi. Nie wolno też udostępniać danych autoryzacyjnych
innym osobom. Należy również pamiętać o odebraniu dostępów odchodzącemu
pracownikowi. Aktualność uprawnień trzeba sprawdzać regularnie – nie może
być tak, że osoba, która otrzymała inne zadania, nadal korzysta z dostępu do
danych, który nie jest jej potrzebny.
Źródło: https://uodo.gov.pl/pl/138/3278