Kodeksy postępowania - jaka jest ich rola?

Kodeksy postępowania a RODO

RODO, czyli ogólne rozporządzenie o ochronie danych, z założenia daje administratorom wiele swobody co do stosowanych rozwiązań. Dzięki temu mogą oni dopasować organizację swojego systemu ochrony danych do specyfiki prowadzonej działalności. Ta elastyczność powoduje jednocześnie, że przy zapewnianiu zgodności z RODO administratorzy muszą wykazać się kreatywnością i aktywnością. Nie zawsze jest to łatwe. Każda branża jest inna i pewne rozwiązania, które sprawdzą się np. w dużym sklepie internetowym, niekoniecznie będą odpowiednie dla placówki medycznej.

Polecamy: Ulgi na rozwój i innowacje w PIT i CIT. Zmiany 2021

Jaka jest rola kodeksów postępowania?

Pomocny w wyborze właściwych i adekwatnych do specyfiki danej branży rozwiązań może być kodeks postępowania. Jest to dobrowolne narzędzie, przewidziane przez RODO, uszczegóławiające stosowanie przepisów o ochronie danych osobowych przez administratorów i podmioty przetwarzające z konkretnego sektora. Mogą być one wręcz pewnego rodzaju szczegółową instrukcją, zbiorem zasad, które sprawią, że administrator przystępujący do takiej inicjatywy i stosujący się do postanowień takiego dokumentu będzie miał większą pewność działania zgodnie z RODO. Kodeksy mają bowiem uszczegóławiać wiele kwestii i podpowiadać administratorom m.in.: jak mają postępować przy zbieraniu danych, jak podchodzić do realizacji obowiązków informacyjnych i praw osób, których dane przetwarzają, czy jakie środki techniczne i organizacyjne powinny w ich branży zastosowane, by zapewnić odpowiedni poziom ochrony danych.

Kto może pracować nad kodeksem?

Z inicjatywą opracowania kodeksu i przedłożenia go Prezesowi Urzędu Ochrony Danych Osobowych w celu jego zatwierdzenia mogą wystąpić zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające. Do wniosku dołącza się informację o przeprowadzonych konsultacjach oraz ich wyniku.

UODO dokonuje oceny przedstawionego projektu. Podczas tej oceny może się on kontaktować z przedstawicielami organizacji, które przygotowały projekt kodeksu postępowania, w celu uzyskania wyjaśnień czy dodatkowych odpowiedzi.

Urząd następnie przekazuje swoją opinię dotyczącą zgodności projektu kodeksu z RODO. Warto w tym miejscu podkreślić, że jak wskazuje Europejska Rada Ochrony Danych w Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, do procedury zatwierdzania kodeksu należy podchodzić z pełnym zaangażowaniem i przygotowaniem.

W związku z tym że RODO nie określa, jak dokładnie ma wyglądać procedura zatwierdzania kodeksów, UODO wychodzi naprzeciw każdej inicjatywie, angażując się w wyjaśnianie wszelkich wątpliwości związanych z przepisami i wytycznymi dotyczącymi kodeksu jeszcze przed złożeniem formalnego wniosku o zatwierdzenie. Najczęściej przybiera to formę spotkań z autorami projektów w celu uzyskania wyjaśnień, jak i przekazania ewentualnych wątpliwości czy wskazania problematycznych kwestii, które w danym przypadku będą powodowały kolizje z przepisami o ochronie danych osobowych.

Konieczność wskazania podmiotu monitorującego

Każdy kodeks postępowania musi wskazywać podmiot monitorujący przestrzeganie tego dokumentu przez organizacje, które do niego przystąpią. Nie dotyczy to kodeksów mających mieć zastosowanie wyłącznie do przetwarzania danych przez organy publiczne. Jednak nie oznacza to braku nadzoru – monitorowanie wykonuje wtedy inny podmiot sprawujący nadzór nad takim podmiotem publicznym.

Podmiot monitorujący przestrzeganie danego kodeksu musi spełniać określone wymagania, jak np. posiadanie fachowej wiedzy w dziedzinie będącej przedmiotem kodeksu, zachowanie niezależności, dysponowanie procedurami pozwalającymi ocenić, czy administratorzy przestrzegają kodeksu oraz takimi, które pozwolą mu rozpatrywać skargi na naruszenia kodeksu.

Podmiot monitorujący musi też spełnić wymogi akredytacji, które są określone przez UODO i zaopiniowane przez Europejską Radę Ochrony Danych w celu zapewnienia spójności stosowania przepisów RODO we wszystkich państwach członkowskich.

Polskie wymogi akredytacji dla podmiotów monitorujących zostały niedawno zaopiniowanie przez EROD. Jednocześnie toczą się postępowania nad projektami kodeksów, które zostały przedstawione UODO do zatwierdzenia. Prace Urzędu oceniające szczegółowe rozwiązania mogą trwać, mimo że warunkiem pełnego obowiązywania kodeksu jest wyznaczenie podmiotu monitorującego jego przestrzeganie.

Szczegółowe rozwiązania, a nie powtarzanie RODO

Instytucja kodeksów postępowania spotkała się w Polsce z dużym zainteresowaniem. Do UODO wpłynęło dotąd osiem wniosków o zatwierdzenie kodeksów postępowania. Z informacji medialnych wynika, że są też podejmowane inicjatywy, które nie zostały przedstawione UODO do zatwierdzenia, ale trwają nad nimi prace w poszczególnych sektorach. Z częścią przedstawicieli tych branż eksperci Urzędu spotkali się albo na bieżąco wyjaśniają wątpliwości związane z obowiązującym prawem. Co prawda w obecnym czasie epidemia COVID utrudnia bezpośrednie kontakty, ale UODO nie rezygnuje z zachęcania do sporządzania kodeksów postępowania, które podniosą poziom ochrony danych w Polsce.

W niektórych jednak przypadkach po początkowym zainteresowaniu kodeksami rezygnowano z podjęcia prac lub wydłużono prace koncepcyjne nad projektami takich dokumentów. Działo się tak, gdy UODO wyjaśnił zainteresowanym, jakie wymagania RODO stawia kodeksom.

Wśród części przedłożonych projektów kodeksów można zauważyć duże zrozumienie projektodawców dla zasad tworzenia oraz zatwierdzania kodeksów postępowania. Inicjatorzy są też mocno zaangażowani w konstruowanie przejrzystych rozwiązań, które będą użyteczne dla podmiotów stosujących dane rozwiązania.

Są jednak i takie projekty kodeksów, które pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO. W innych projektodawcy przedstawiali rozwiązania, które nie prowadziły do uszczegółowienia przepisów z zakresu ochrony danych osobowych, nie służyły zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych. Również mechanizmy monitorowania przestrzegania kodeksów niekiedy nie były dostosowane do wymogów wynikających z Wytycznych ERODTen dokument, szeroko wyjaśniający przepisy art. 40 i 41 RODO i zawierający kryteria dopuszczalności projektu, powinien być szczegółowo stosowany przez autorów, by przyszłe postępowanie o zatwierdzenie kodeksu mogło zakończyć się pomyślnie.

W przypadku niektórych projektów kodeksów Urząd już kilka miesięcy temu przedstawił ich autorom swoje uwagi. Jeżeli twórcy tych kodeksów byli przez ten czas aktywnie zaangażowani w pracę nad tymi dokumentami, to należy spodziewać się, że niebawem zostanie przedłożony organowi nadzoru kodeks, który będzie można zatwierdzić.

Jakie korzyści daje kodeks?

Kodeks postępowania, który zostanie przygotowany zgodnie z przepisami o ochronie danych osobowych, będzie spełniał stawiane mu wymagania i nie będzie jedynie powtórzeniem RODO, a przede wszystkim doprecyzuje wiele kwestii z uwzględnieniem specyfiki danej branży, przyniesie jej wiele korzyści. Administratorom i podmiotom przetwarzającym będącym członkami kodeksu ułatwi stosowanie przepisów i wypełnianie szeregu obowiązków, wskaże właściwe rozwiązania, tam gdzie dziś istnieją dylematy. Pomoże też odpowiednio organizować cały system ochrony danych osobowych w danej branży. Będzie to pozytywny aspekt nie tylko dla administratorów, podmiotów przetwarzających, ale i osób, których dane są przetwarzane, gdyż dodatkowo będą one mogły liczyć na zbliżony standard ochrony danych oraz obsługę w zakresie realizacji ich praw przez daną branżę.

Zaletą odpowiednio przygotowanego kodeksu jest nie tylko gwarancja pewności stosowania określonych rozwiązań zatwierdzonych przez Prezesa UODO. Administratorzy mogą także liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks.

Więcej informacji znajdziesz w serwisie MOJA FIRMA