Prezes Urzędu Ochrony Danych Osobowych wystąpił do Ministra Sprawiedliwości z prośbą o podjęcie prac legislacyjnych prowadzących do zmiany przepisów ustawy o ochronie małoletnich pod kątem dostosowania ich do zasad ochrony danych osobowych. Poniżej główne tezy wystąpienia.
Szeroki zakres danych
W ocenie UODO liczne pytania i uwagi uwidoczniły problemy systemowe i interpretacyjne, które wymagają podjęcia działań w kierunku doprecyzowania treści tego aktu w obszarze ochrony danych osobowych. Podkreślono, że informacje przetwarzane w związku z wprowadzeniem procedur i standardów mających na celu ochronę małoletnich dotyczą zdarzeń o szczególnym charakterze, a tym samym szczególnych kategorii danych, w tym danych dziecka i osób trzecich odnoszących się do informacji o zdrowiu (np. informacje dotyczące krzywdzenia dziecka), czy seksualności – objętych reżimem art. 9 RODO. Natomiast przetwarzanie danych osobowych związanych z weryfikacją pracowników odnosi się z kolei do danych dotyczących wyroków skazujących oraz czynów zabronionych, a zatem danych o szczególnym reżimie przetwarzania (zgodnie z art. 10 RODO – wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii). Ich niewłaściwe przetwarzanie może stanowić poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych.
Zasadnicze wątpliwości
UODO podnosi brak właściwych regulacji ustawowych. Nie zapewniono bowiem odpowiedniej podstawy prawnej wdrażającej standardy ochrony małoletnich, o których mowa w art. 22c ust. 1 i 3 ustawy. Zastąpiono ją wytycznymi, które nie mają charakteru norm prawnych. Tam też (w akcie wewnętrznym) uregulowano zasady przetwarzania danych osobowych, zastrzeżone dla regulacji ustawowej. Podniesiono także niedookreśloność przepisów – w szczególności co do sfery praw podmiotów danych, brak regulacji przewidujących okres przechowywania danych osobowych i gwarantujących bezpieczeństwo danych.
Brak testu prywatności
W ocenie organu ustawodawca w celu zapewnienia właściwej ochrony danych osobowych w tym obszarze – stosownie do treści zasady poufności i integralności – powinien w szczególności wykonać tzw. test prywatności – ocenę skutków dla ochrony danych osobowych (art. 35 ust. 1 i 10 RODO), z uwzględnieniem ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 RODO).
Obowiązki informacyjne
Podniesiono, w odniesieniu do ustanowionych procedur mających na celu ochronę małoletnich (standardów ochrony małoletnich) – że aktualne brzmienie przepisów wskazuje, iż obowiązek informacyjny ma być realizowany na takich samych warunkach wobec osób poszkodowanych negatywnym działaniem, jak i wobec sprawcy negatywnego zdarzenia, co jest przedmiotem licznych wątpliwości zgłaszanych przez administratorów zobowiązanych do jego realizacji. Jego spełnienie wobec sprawcy negatywnego zdarzenia powinno bowiem następować tak, aby z jednej strony osiągnięty został cel regulacji jakim jest zapewnienie rzeczywistej ochrony dzieci, a z drugiej strony zostały zagwarantowane prawa osób, których dane dotyczą, wynikające ze wskazanych przepisów rozporządzenia.
Weryfikacja pracowników
Przepis w bardzo ogólny sposób reguluje obowiązki pracodawców i pracowników dotyczących pozyskiwania informacji o niekaralności pracownika. Choć odnosi się do sfery praw podmiotów danych, a także obowiązków administratora, ustawodawca nie uregulował w precyzyjny sposób zakresu podmiotowego i przedmiotowego tych regulacji, ani zasad przetwarzania danych, co budzi wątpliwości z punktu widzenia zasady legalności, rzetelności.
W wystąpieniu wskazano również, iż ustawodawca określił szeroki zakres przestępstw, które wiążą się z ograniczeniem działalności zawodowej osób fizycznych. Zakres pozyskiwania danych o karalności nałożony na pracodawców lub innych organizatorów działalności skierowanej do osób małoletnich oraz jego konstrukcja może w obecnym kształcie budzić wątpliwości na gruncie zasady minimalizacji danych, a także zasady celowości (art. 5 ust. 1 lit b i c RODO). Może bowiem w pewnych wypadkach prowadzić do sytuacji, gdy przy braku ryzyka dla osób małoletnich okoliczność skazania będzie obligatoryjnie wykluczała takie osoby z możliwości podjęcia pracy czy współpracy o określonym charakterze. Stąd pytanie co do rzeczywistej niezbędności nałożenia takich ograniczeń dla realizacji celu jakim jest ochrona osób małoletnich.
Zwrócono także uwagę na uregulowaną w wytycznych możliwość pozyskiwania i gromadzenia informacji na temat niekarności w przypadku wątpliwości pracodawcy w odniesieniu do procedury weryfikacji pracownika (tj. art. 21 ust. 1 ustawy) – „w sytuacji jakichkolwiek wątpliwości pracodawca zawsze może poprosić pracowników, którzy nie zajmują się bezpośrednio pracą z dziećmi, ale mogą mieć z nimi pośredni kontakt, do podpisania dobrowolnych oświadczeń o niekaralności i dołączyć je do akt osobowych” (s. 12 wytycznych dotyczących obiektów oferujących miejsca noclegowe). Żądanie tych informacji w szerszym zakresie, „na przyszłość”, powoduje nieuzasadnione i nadmiarowe przetwarzanie danych osobowych osób fizycznych.
Kto właściwie jest zobowiązany?
Sposób sformułowania przepisu art. 21 ust. 91 ustawy o ochronie małoletnich – co do tego, że „na pracodawcy lub innym organizatorze działalności” ciążą obowiązki określone w ustawie – wskazuje na otwarty katalog osób, które zobowiązane są do dokonywania weryfikacji pracowników, nieograniczony do formy czy sposobu współpracy. Ponadto, zastosowano w tym przepisie łącznik „lub” utrudniający określenie osób, na których ciążą obowiązki w tym zakresie. Zgłaszane organowi nadzorczemu wątpliwości dotyczą zaś tego, który z podmiotów powinien dokonywać weryfikacji w sytuacji realizacji tych przepisów przez podwykonawców danej działalności (tj. pracodawca, zleceniobiorca, agencja pracy tymczasowej) oraz tego, czy przedmiotowe informacje powinny być udostępniane między tymi podmiotami (w jaki sposób, na jakim etapie). Regulacje nakładające obowiązki na podmioty organizujące pracę z dziećmi powinny jednak być doprecyzowane w ten sposób, aby nie budziły wątpliwości administratorów danych, że jedynie podmioty bezpośrednio zobowiązane do wprowadzenia i przestrzegania standardów ochrony małoletnich, mogły pozyskiwać dane dotyczące karalności osób zatrudnianych.
Obowiązki pracownika
Jednocześnie, przetwarzanie danych osobowych na podstawie art. 21 ustawy, w celu zapewnienia ochrony małoletnich nie powinno odbywać się przy okazji każdej pracy czy działalności dotyczącej dzieci, a jedynie tej, która wynika z zakresu obowiązków pracownika. Tymczasem, aktualne brzmienie przepisu w zakresie w jakim odnosi się do określenia rodzaju pracy czy rodzaju działalności związanej z dziećmi budzi wątpliwości interpretacyjne. W szczególności wątpliwości dotyczą osób okresowo przebywających i pracujących z dziećmi, czy też osób mających incydentalny kontakt z małoletnim (np. sekretarka medyczna, salowa).
Czas weryfikacji?
W odniesieniu do art. 21 ust. 1 Ustawy wskazano, iż wątpliwości budzą regulacje dotyczące czasu dokonywania weryfikacji faktu karalności przez podmioty zobowiązane, tj. sprawdzenia informacji o przyszłych pracownikach w rejestrze sprawców na tle seksualnym z ograniczonym dostępem (art. 21 ust. 2 ustawy) oraz przedstawienia przez przyszłych pracowników informacji z Krajowego Rejestru Karnego lub złożenia oświadczenia o niekaralności (art. 21 ust. 3-7 ustawy). Zgłaszane wątpliwości dotyczą tego, czy pracodawca / organizator ma obowiązek wywiązać się z nakładanego na niego obowiązku również w trakcie trwania zatrudnienia, czy także w przypadku powierzenia pracownikom nowych obowiązków związanych z kontaktem z małoletnimi. Określenie precyzyjnych norm prawnych dotyczących konkretnego momentu dokonywania weryfikacji niekaralności pracownika przez pracodawcę jest niezwykle istotne, gdyż wiąże się z częstotliwością pozyskiwania danych z rejestrów publicznych.
Retencja
Przepisy ustawy o ochronie małoletnich nie określają okresu retencji danych przetwarzanych przez administratorów dla realizacji celów wynikających z ustawy o ochronie małoletnich. Określenie okresu czy czasu przechowywania informacji – także np. poprzez wyraźnie wskazanie czynności, dla których realizacji przetwarzanie danych jest niezbędne – ma istotne znaczenie z punktu widzenia zapewnienia właściwej ochrony tych informacji, a także zabezpieczenia praw i wolności podmiotów danych.
Kwestie bezpieczeństwa
Ustawodawca nie sprecyzował też warunków przetwarzania danych osobowych, takich jak sposób i forma dokumentowania, zasady i czas przechowywania informacji (ujawnionych lub zgłoszonych incydentów lub zdarzeń), czy wreszcie krąg podmiotów przetwarzających dane osobowe. Aktualne regulacje nie określają w szczególności kto ma mieć dostęp i pod jakimi warunkami do pozyskiwanych danych. Ustawodawca nie wskazał też na jakich warunkach ma się odbywać wdrażanie standardów małoletnich, zważywszy na różnorodność i specyfikę sektorów, w których będą obowiązywać.
Z pełną treścią wystąpienia Prezesa UODO na temat ustawy o ochronie małoletnich znanej jako ustawa Kamilka można zapoznać się tutaj: https://uodo.gov.pl/pl/138/3377