Ustawa Kamilka wymaga korekt. Wystąpienie PUODO do Ministra Sprawiedliwości
Prezes UODO zwrócił się do ministra sprawiedliwości Adama Bodnara o zainicjowanie zmian przepisów ustawy o ochronie małoletnich (znanej jako ustawa Kamilka) pod kątem dostosowania ich do zasad ochrony danych osobowych.
Nowe prawo – zmieniające dotychczasowe przepisy ustawy o ochronie małoletnich – zwiększyło ochronę praw dzieci poprzez lepsze zbieranie sygnałów od nich i sprawdzanie kompetencji osób pracujących z dziećmi, co było bardzo potrzebne. Jednak doprecyzowanie ustawy wydaje się konieczne, ponieważ zbieranie i przetwarzanie danych – w tym danych szczególnie wrażliwych i danych objętych szczególnym reżimem przetwarzania – jakie ustawa nakazuje wobec wychowawców i osób mających kontakt z dziećmi, może stanowić poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty Praw Podstawowych UE.
Prezes UODO przedstawia precyzyjną analizę (w załączeniu), jak zastosować zasady RODO do ulepszenia i uzupełnienia ustawy. Prosi ministra sprawiedliwości o odniesienie się do tego wystąpienia na piśmie w ciągu 30 dni od daty jego otrzymania.
Standardy RODO
Zgodnie z art. 5 RODO przetwarzanie danych osobowych powinno odbywać się zgodnie z podstawowymi zasadami przetwarzania danych osobowych, tj.:
- legalności, rzetelności i przejrzystości przetwarzania danych;
- ograniczenia celu przetwarzania danych;
- adekwatności (minimalizacji) danych;
- prawidłowości danych; ograniczenia przetwarzania danych;
- oraz integralności i poufności danych.
Prawo do prywatności i prawo do ochrony danych osobowych nie mają oczywiście charakteru absolutnego. Ograniczenia praw i wolności mogą być jednak wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego lub potrzebom ochrony praw i wolności innych osób.
Aby dane osobowe były odpowiednio chronione – stosownie do treści zasady poufności i integralności – ustawodawca powinien wykonać tzw. test prywatności – ocenę skutków dla ochrony danych osobowych (art. 35 ust. 1 i 10 RODO). Taka analiza skutków i wyważenie wartości jest w tym przypadku niezwykle istotne. Chodzi o przepisy służące bardzo ważnemu celowi, jakim jest bezpieczeństwo dzieci. Jednocześnie zapewnienie realizacji tego celu wiąże się z głęboką ingerencją w sferę praw i wolności osób fizycznych.
Problemy z przetwarzaniem danych osobowych na podstawie ustawy Kamilka
Zasada legalności, rzetelności i przejrzystości.
Prezes UODO zwraca uwagę, że ustawa nie zapewnia odpowiedniej podstawy prawnej dla standardów ochrony małoletnich (mowa o nich w art. 22c ust. 1 i 3 ustawy). Odsyła bowiem do wytycznych, które jednak nie mają charakteru norm prawnych. Nie mogą więc kształtować kluczowych elementów przetwarzania danych.
Przepisy odnoszące się do sfery praw podmiotów danych, a także obowiązków administratorów są niedookreślone (art. 21 ust. 1 w zw. z ust. 2 - 8 ustawy, art. 22c ust. 1 i 3 ustawy).
Nieprecyzyjny jest zakres podmiotowy i przedmiotowy przepisów, nie ma regulacji dotyczącej zasad przetwarzania danych, w tym przewidujących okres przechowywania danych osobowych i gwarantujących bezpieczeństwo danych. Wiąże się to z ryzykiem przetwarzania danych osobowych nadmiarowych, na zapas, a zatem niezgodnie z zasadami ograniczenia celu i minimalizacji danych. W odniesieniu do wzoru standardów ochrony małoletnich określony został wyłącznie na ich poziomie model weryfikacji tożsamości dziecka i weryfikacji więzi z rodzicem / opiekunem – zamiast na poziomie ustawowym.
Obowiązek informacyjny
Zgodnie z aktualnym brzmieniem, obowiązek informacyjny ma być realizowany na takich samych warunkach wobec osób poszkodowanych negatywnym działaniom, jak i wobec sprawcy negatywnego zdarzenia, co jest przedmiotem licznych wątpliwości zgłaszanych przez administratorów zobowiązanych do jego realizacji. Konieczna może być w takiej sytuacji analiza art. 23 rozporządzenia 2016/679,którego zastosowanie pozwoli przyjąć proporcjonalne rozwiązanie w zakresie realizacji praw podmiotów danych.
Zasada celowości i proporcjonalności
Wątpliwości PUODO budzi przepis, który wymaga od pracownika danych z rejestru przestępstw (art. 21 ust. 3 ustawy). Ustawodawca określił bowiem szeroko zakres przestępstw, które wiążą się z ograniczeniem działalności zawodowej osób fizycznych. Może to prowadzić do sytuacji, gdy przy braku ryzyka dla osób małoletnich okoliczność skazania będzie obligatoryjnie wykluczała takie osoby z możliwości podjęcia pracy czy współpracy. Głębokiej i precyzyjnej analizy wymaga więc katalog przestępstw w odniesieniu do których konieczne jest pozyskanie informacji z Krajowego Rejestru Karnego, mających wpływ na ocenę dopuszczenia do sprawowania pieczy nad dzieckiem określonej osoby.
Weryfikacja pracownika w rejestrze karnym i rejestrze przestępstw na tle seksualnym
Istotne wątpliwości interpretacyjne dotyczą przepisu o obowiązku ciążącym na pracodawcach oraz innych organizatorach, który dotyczy weryfikacji karalności osób podejmujących pracę lub działalność związaną z pracą z dziećmi (art. 21 ust. 1 ustawy w zw. z ust. 2-8 ustawy o ochronie małoletnich). Przed zatrudnieniem przyszły pracownik ma przedstawić informacje z Krajowego Rejestru Karnego lub złożyć oświadczenie o niekaralności (art. 21 ust. 3-7 ustawy), a pracodawca dodatkowo ma dane kandydata do pracy zweryfikować w rejestrze sprawców na tle seksualnym (art. 21 ust. 2 ustawy ). Dla administratorów oznacza to przetwarzanie danych osobowych o szczególnym reżimie przetwarzania (art. 10 RODO).
Wątpliwości budzi krąg podmiotów zobowiązanych do weryfikacji informacji dotyczącej karalności. Sposób sformułowania przepisu art. 21 ust. 1 ustawy – co do tego, że „na pracodawcy lub innym organizatorze działalności” ciążą obowiązki określone w ustawie – wskazuje na otwarty katalog osób. Łącznik „lub” utrudnia określenie osób, na których ciążą obowiązki w tym zakresie. Zgłaszane organowi nadzorczemu wątpliwości dotyczą zaś tego, kto powinien to weryfikować. Nawet jeśli intencją ustawodawcy było zapewnienie szerokiej ochrony, to nie można jednocześnie przyjąć, że pozyskiwanie danych służących weryfikacji pracowników / wykonawców działalności we wskazanym celu, może odbywać się przez nieograniczoną liczbę podmiotów.
Jednocześnie, przetwarzanie danych osobowych na podstawie art. 21 ustawy nie powinno odbywać się przy okazji każdej pracy czy działalności dotyczącej dzieci, a jedynie tej, która wynika z zakresu obowiązków pracownika. Obecne brzmienie przepisu budzi tu wątpliwości interpretacyjne.
Kolejnym problemem jest to, że ustawa nie określa, czy i jak ma wyglądać weryfikacja pracowników w trakcie zatrudnienia, a także tych, którzy byli już zatrudnieni przed wejściem przepisów ustawy rozszerzającej krąg działalności dotyczącej pracy z dziećmi i podlegającej sprawdzaniu. Określenie precyzyjnych norm prawnych dotyczących konkretnego momentu dokonywania weryfikacji niekaralności pracownika przez pracodawcę jest natomiast niezwykle istotne, gdyż wiąże się z częstotliwością pozyskiwania danych z rejestrów publicznych.
Dane zbierane na zapas w wytycznych dotyczących standardów małoletnich
W przypadku osób, co do których pracodawca nie wie, czy sprawdzać ich karalność (ze względu na zadania, jakie wykonują w organizacji), pojawia się kolejny problem.
Wytyczne, do których odsyła ustawa, w niedopuszczalny sposób z punktu widzenia RODO zakładają, że „w sytuacji jakichkolwiek wątpliwości pracodawca zawsze może poprosić pracowników, którzy nie zajmują się bezpośrednio pracą z dziećmi, ale mogą mieć z nimi pośredni kontakt, do podpisania dobrowolnych oświadczeń o niekaralności i dołączyć je do akt osobowych” (s. 12 wytycznych dotyczących obiektów oferujących miejsca noclegowe).
Żądanie informacji w szerszym zakresie, „na przyszłość”, powoduje nieuzasadnione i nadmiarowe przetwarzanie danych osobowych osób fizycznych.
Wytyczne przewidują również zakres dokumentów mających posłużyć identyfikacji dziecka i jego relacji z osobą dorosłą z którą przybywa w obiekcie, np. Internetowe Konto Pacjenta. Dodatkowo, z wytycznych wynika możliwość pozyskiwania szerokiego zakresu informacji, w przypadku braku dokumentu tożsamości lub odmowy jego okazania przez co stwarzają możliwość poszukiwania także innych sposobów uwierzytelnienia dziecka i jego opiekuna.
Sposoby uwierzytelniania podmiotów danych powinny być więc jasno i konkretnie określone w przepisach ustawy, a także powinny realizować zasadę proporcjonalności.
Zasada ograniczonego przechowywania
Przepisy ustawy nie wskazują okresu retencji danych przetwarzanych przez administratorów dla realizacji celów wynikających z ustawy o ochronie małoletnich. Ustawa nie określa, co się stanie, jeśli na potrzeby rekrutacji pracodawca zbierze wymagane dane, ale do współpracy z daną osobą nie dojdzie. Do tego przepis stanowiący o dokumentacji dotyczącej interwencji w sytuacji podejrzenia krzywdzenia małoletniego (art. 22c ust. 1 pkt 8) nie przewiduje, przez jaki czas taka dokumentacja ma być przechowywana.
Zasada integralności i poufności danych.
Z ustawy nie wynikają warunki przetwarzania danych osobowych, takie jak sposób i forma dokumentowania, zasady i czas przechowywania informacji (ujawnionych lub zgłoszonych incydentów lub zdarzeń), czy wreszcie krąg podmiotów przetwarzających dane osobowe. Aktualne regulacje nie określają w szczególności kto ma mieć dostęp i pod jakimi warunkami do pozyskiwanych danych. Ustawodawca nie wskazał też na jakich warunkach ma się odbywać wdrażanie standardów małoletnich, zważywszy na różnorodność i specyfikę sektorów, w których będą obowiązywać (np. działalność hotelarska, kulturalna, działalność edukacyjna, działalność medyczna, itd.) Ma to szczególne znaczenie w obliczu wyzwań, jakie niesie za sobą rozwój nowych technologii i gwarancji, jakie ustawodawca powinien zapewnić przetwarzaniu danych szczególnych kategorii określonych w art. 9 ust. 3 i 4 rozporządzenia 2016/679 .
O zasadach przetwarzania danych osobowych, w związku z "ustawą Kamilka", UODO przypominał już wcześniej w komunikacie Jak stosować „ustawę Kamilka” w zgodzie ze standardami ochrony danych osobowych
Z treścią wystąpienia Prezesa UODO na temat ustawy o ochronie małoletnich znanej jako ustawa Kamilka można zapoznać się w załączonym poniżej dokumencie - DOL.413.9.2024