Kodeksy postępowania muszą spełniać określone wymagania

RODO, czyli ogólne rozporządzenie o ochronie danych, z założenia daje administratorom wiele swobody co do stosowanych rozwiązań. Dzięki temu mogą oni dopasować organizację swojego systemu ochrony danych do specyfiki prowadzonej działalności. Ta elastyczność powoduje jednocześnie, że przy zapewnianiu zgodności z RODO administratorzy muszą wykazać się kreatywnością i aktywnością. Nie zawsze jest to łatwe. Każda branża jest inna i pewne rozwiązania, które sprawdzą się np. w dużym sklepie internetowym, niekoniecznie będą odpowiednie dla placówki medycznej.

Rola kodeksów postępowania

Pomocny w wyborze właściwych i adekwatnych do specyfiki danej branży rozwiązań może być kodeks postępowania. Jest to dobrowolne narzędzie, przewidziane przez RODO, uszczegóławiające stosowanie przepisów o ochronie danych osobowych przez administratorów i podmioty przetwarzające z konkretnego sektora. Mogą być one wręcz pewnego rodzaju szczegółową instrukcją, zbiorem zasad, które sprawią, że administrator przystępujący do takiej inicjatywy i stosujący się do postanowień takiego dokumentu będzie miał większą pewność działania zgodnie z RODO. Kodeksy mają bowiem uszczegóławiać wiele kwestii i podpowiadać administratorom m.in.: jak mają postępować przy zbieraniu danych, jak podchodzić do realizacji obowiązków informacyjnych i praw osób, których dane przetwarzają, czy jakie środki techniczne i organizacyjne powinny w ich branży zastosowane, by zapewnić odpowiedni poziom ochrony danych.

Praca nad projektem kodeksu

Z inicjatywą opracowania kodeksu i przedłożenia go Prezesowi Urzędu Ochrony Danych Osobowych w celu jego zatwierdzenia mogą wystąpić zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające. Do wniosku dołącza się informację o przeprowadzonych konsultacjach oraz ich wyniku.

UODO dokonuje oceny przedstawionego projektu. Podczas tej oceny może się on kontaktować z przedstawicielami organizacji, które przygotowały projekt kodeksu postępowania, w celu uzyskania wyjaśnień czy dodatkowych odpowiedzi.

Urząd następnie przekazuje swoją opinię dotyczącą zgodności projektu kodeksu z RODO. Warto w tym miejscu podkreślić, że jak wskazuje Europejska Rada Ochrony Danych w Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679 (dostępne pod linkiem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_pl.pdf), do procedury zatwierdzania kodeksu należy podchodzić z pełnym zaangażowaniem i przygotowaniem.

W związku z tym że RODO nie określa, jak dokładnie ma wyglądać procedura zatwierdzania kodeksów, UODO wychodzi naprzeciw każdej inicjatywie, angażując się w wyjaśnianie wszelkich wątpliwości związanych z przepisami i wytycznymi dotyczącymi kodeksu jeszcze przed złożeniem formalnego wniosku o zatwierdzenie. Najczęściej przybiera to formę spotkań z autorami projektów w celu uzyskania wyjaśnień, jak i przekazania ewentualnych wątpliwości czy wskazania problematycznych kwestii, które w danym przypadku będą powodowały kolizje z przepisami o ochronie danych osobowych.

Konieczność wskazania podmiotu monitorującego

Każdy kodeks postępowania musi wskazywać podmiot monitorujący przestrzeganie tego dokumentu przez organizacje, które do niego przystąpią. Nie dotyczy to kodeksów mających mieć zastosowanie wyłącznie do przetwarzania danych przez organy publiczne. Jednak nie oznacza to braku nadzoru – monitorowanie wykonuje wtedy inny podmiot sprawujący nadzór nad takim podmiotem publicznym.

Podmiot monitorujący przestrzeganie danego kodeksu musi spełniać określone wymagania, jak np. posiadanie fachowej wiedzy w dziedzinie będącej przedmiotem kodeksu, zachowanie niezależności, dysponowanie procedurami pozwalającymi ocenić, czy administratorzy przestrzegają kodeksu oraz takimi, które pozwolą mu rozpatrywać skargi na naruszenia kodeksu.

Podmiot monitorujący musi też spełnić wymogi akredytacji, które są określone przez UODO i zaopiniowane przez Europejską Radę Ochrony Danych w celu zapewnienia spójności stosowania przepisów RODO we wszystkich państwach członkowskich.

Polskie wymogi akredytacji dla podmiotów monitorujących zostały niedawno zaopiniowanie przez EROD. Jednocześnie toczą się postępowania nad projektami kodeksów, które zostały przedstawione UODO do zatwierdzenia. Prace Urzędu oceniające szczegółowe rozwiązania mogą trwać, mimo że warunkiem pełnego obowiązywania kodeksu jest wyznaczenie podmiotu monitorującego jego przestrzeganie.

Szczegółowe rozwiązania, a nie powtarzanie RODO

Instytucja kodeksów postępowania spotkała się w Polsce z dużym zainteresowaniem. Do UODO wpłynęło dotąd osiem wniosków o zatwierdzenie kodeksów postępowania. Z informacji medialnych wynika, że są też podejmowane inicjatywy, które nie zostały przedstawione UODO do zatwierdzenia, ale trwają nad nimi prace w poszczególnych sektorach. Z częścią przedstawicieli tych branż eksperci Urzędu spotkali się albo na bieżąco wyjaśniają wątpliwości związane z obowiązującym prawem. Co prawda w obecnym czasie epidemia COVID utrudnia bezpośrednie kontakty, ale UODO nie rezygnuje z zachęcania do sporządzania kodeksów postępowania, które podniosą poziom ochrony danych w Polsce.

W niektórych jednak przypadkach po początkowym zainteresowaniu kodeksami rezygnowano z podjęcia prac lub wydłużono prace koncepcyjne nad projektami takich dokumentów. Działo się tak, gdy UODO wyjaśnił zainteresowanym, jakie wymagania RODO stawia kodeksom.

Wśród części przedłożonych projektów kodeksów można zauważyć duże zrozumienie projektodawców dla zasad tworzenia oraz zatwierdzania kodeksów postępowania. Inicjatorzy są też mocno zaangażowani w konstruowanie przejrzystych rozwiązań, które będą użyteczne dla podmiotów stosujących dane rozwiązania.

Są jednak i takie projekty kodeksów, które pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO. W innych projektodawcy przedstawiali rozwiązania, które nie prowadziły do uszczegółowienia przepisów z zakresu ochrony danych osobowych, nie służyły zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych. Również mechanizmy monitorowania przestrzegania kodeksów niekiedy nie były dostosowane do wymogów wynikających z Wytycznych EROD[1]. Ten dokument, szeroko wyjaśniający przepisy art. 40 i 41 RODO i zawierający kryteria dopuszczalności projektu, powinien być szczegółowo stosowany przez autorów, by przyszłe postępowanie o zatwierdzenie kodeksu mogło zakończyć się pomyślnie.

W przypadku niektórych projektów kodeksów Urząd już kilka miesięcy temu przedstawił ich autorom swoje uwagi. Jeżeli twórcy tych kodeksów byli przez ten czas aktywnie zaangażowani w pracę nad tymi dokumentami, to należy spodziewać się, że niebawem zostanie przedłożony organowi nadzoru kodeks, który będzie można zatwierdzić.

Kodeks daje korzyści

Kodeks postępowania, który zostanie przygotowany zgodnie z przepisami o ochronie danych osobowych, będzie spełniał stawiane mu wymagania i nie będzie jedynie powtórzeniem RODO, a przede wszystkim doprecyzuje wiele kwestii z uwzględnieniem specyfiki danej branży, przyniesie jej wiele korzyści. Administratorom i podmiotom przetwarzającym będącym członkami kodeksu ułatwi stosowanie przepisów i wypełnianie szeregu obowiązków, wskaże właściwe rozwiązania, tam gdzie dziś istnieją dylematy. Pomoże też odpowiednio organizować cały system ochrony danych osobowych w danej branży. Będzie to pozytywny aspekt nie tylko dla administratorów, podmiotów przetwarzających, ale i osób, których dane są przetwarzane, gdyż dodatkowo będą one mogły liczyć na zbliżony standard ochrony danych oraz obsługę w zakresie realizacji ich praw przez daną branżę.

Zaletą odpowiednio przygotowanego kodeksu jest nie tylko gwarancja pewności stosowania określonych rozwiązań zatwierdzonych przez Prezesa UODO. Administratorzy mogą także liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks.

Dlatego Prezes UODO zachęca kolejne branże do podejmowania takich inicjatyw, a tych, którzy już to uczynili, do zaangażowania w dalszą pracę nad ostatecznym kształtem kodeksów postępowania. Szczegółowe informacje o kodeksach są dostępne w sekcji Kodeksy postępowania.

Źródło: https://uodo.gov.pl/pl/138/1858




 

Wypróbuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności