Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

ikona tłumacz ikona flaga angielska ikona kontakt
Inne aktualności
Ikonka home dla okruszków  » Aktualności

Kodeksy postępowania muszą spełniać określone wymagania

Zdjęcie ilustracyjne- otwarty kodeks oraz notatnik leżące na biurku

Choć do zatwierdzenia pierwszych kodeksów postępowania jest już coraz bliżej, to wciąż nie mamy w Polsce takiego dokumentu, który byłby już stosowany. Powodów tej sytuacji jest kilka.

RODO, czyli ogólne rozporządzenie o ochronie danych, z założenia daje administratorom wiele swobody co do stosowanych rozwiązań. Dzięki temu mogą oni dopasować organizację swojego systemu ochrony danych do specyfiki prowadzonej działalności. Ta elastyczność powoduje jednocześnie, że przy zapewnianiu zgodności z RODO administratorzy muszą wykazać się kreatywnością i aktywnością. Nie zawsze jest to łatwe. Każda branża jest inna i pewne rozwiązania, które sprawdzą się np. w dużym sklepie internetowym, niekoniecznie będą odpowiednie dla placówki medycznej.

Rola kodeksów postępowania

Pomocny w wyborze właściwych i adekwatnych do specyfiki danej branży rozwiązań może być kodeks postępowania. Jest to dobrowolne narzędzie, przewidziane przez RODO, uszczegóławiające stosowanie przepisów o ochronie danych osobowych przez administratorów i podmioty przetwarzające z konkretnego sektora. Mogą być one wręcz pewnego rodzaju szczegółową instrukcją, zbiorem zasad, które sprawią, że administrator przystępujący do takiej inicjatywy i stosujący się do postanowień takiego dokumentu będzie miał większą pewność działania zgodnie z RODO. Kodeksy mają bowiem uszczegóławiać wiele kwestii i podpowiadać administratorom m.in.: jak mają postępować przy zbieraniu danych, jak podchodzić do realizacji obowiązków informacyjnych i praw osób, których dane przetwarzają, czy jakie środki techniczne i organizacyjne powinny w ich branży zastosowane, by zapewnić odpowiedni poziom ochrony danych.

Praca nad projektem kodeksu

Z inicjatywą opracowania kodeksu i przedłożenia go Prezesowi Urzędu Ochrony Danych Osobowych w celu jego zatwierdzenia mogą wystąpić zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające. Do wniosku dołącza się informację o przeprowadzonych konsultacjach oraz ich wyniku.

UODO dokonuje oceny przedstawionego projektu. Podczas tej oceny może się on kontaktować z przedstawicielami organizacji, które przygotowały projekt kodeksu postępowania, w celu uzyskania wyjaśnień czy dodatkowych odpowiedzi.

Urząd następnie przekazuje swoją opinię dotyczącą zgodności projektu kodeksu z RODO. Warto w tym miejscu podkreślić, że jak wskazuje Europejska Rada Ochrony Danych w Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679 (dostępne pod linkiem: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_pl.pdf), do procedury zatwierdzania kodeksu należy podchodzić z pełnym zaangażowaniem i przygotowaniem.

W związku z tym że RODO nie określa, jak dokładnie ma wyglądać procedura zatwierdzania kodeksów, UODO wychodzi naprzeciw każdej inicjatywie, angażując się w wyjaśnianie wszelkich wątpliwości związanych z przepisami i wytycznymi dotyczącymi kodeksu jeszcze przed złożeniem formalnego wniosku o zatwierdzenie. Najczęściej przybiera to formę spotkań z autorami projektów w celu uzyskania wyjaśnień, jak i przekazania ewentualnych wątpliwości czy wskazania problematycznych kwestii, które w danym przypadku będą powodowały kolizje z przepisami o ochronie danych osobowych.

Konieczność wskazania podmiotu monitorującego

Każdy kodeks postępowania musi wskazywać podmiot monitorujący przestrzeganie tego dokumentu przez organizacje, które do niego przystąpią. Nie dotyczy to kodeksów mających mieć zastosowanie wyłącznie do przetwarzania danych przez organy publiczne. Jednak nie oznacza to braku nadzoru – monitorowanie wykonuje wtedy inny podmiot sprawujący nadzór nad takim podmiotem publicznym.

Podmiot monitorujący przestrzeganie danego kodeksu musi spełniać określone wymagania, jak np. posiadanie fachowej wiedzy w dziedzinie będącej przedmiotem kodeksu, zachowanie niezależności, dysponowanie procedurami pozwalającymi ocenić, czy administratorzy przestrzegają kodeksu oraz takimi, które pozwolą mu rozpatrywać skargi na naruszenia kodeksu.

Podmiot monitorujący musi też spełnić wymogi akredytacji, które są określone przez UODO i zaopiniowane przez Europejską Radę Ochrony Danych w celu zapewnienia spójności stosowania przepisów RODO we wszystkich państwach członkowskich.

Polskie wymogi akredytacji dla podmiotów monitorujących zostały niedawno zaopiniowanie przez EROD. Jednocześnie toczą się postępowania nad projektami kodeksów, które zostały przedstawione UODO do zatwierdzenia. Prace Urzędu oceniające szczegółowe rozwiązania mogą trwać, mimo że warunkiem pełnego obowiązywania kodeksu jest wyznaczenie podmiotu monitorującego jego przestrzeganie.

Szczegółowe rozwiązania, a nie powtarzanie RODO

Instytucja kodeksów postępowania spotkała się w Polsce z dużym zainteresowaniem. Do UODO wpłynęło dotąd osiem wniosków o zatwierdzenie kodeksów postępowania. Z informacji medialnych wynika, że są też podejmowane inicjatywy, które nie zostały przedstawione UODO do zatwierdzenia, ale trwają nad nimi prace w poszczególnych sektorach. Z częścią przedstawicieli tych branż eksperci Urzędu spotkali się albo na bieżąco wyjaśniają wątpliwości związane z obowiązującym prawem. Co prawda w obecnym czasie epidemia COVID utrudnia bezpośrednie kontakty, ale UODO nie rezygnuje z zachęcania do sporządzania kodeksów postępowania, które podniosą poziom ochrony danych w Polsce.

W niektórych jednak przypadkach po początkowym zainteresowaniu kodeksami rezygnowano z podjęcia prac lub wydłużono prace koncepcyjne nad projektami takich dokumentów. Działo się tak, gdy UODO wyjaśnił zainteresowanym, jakie wymagania RODO stawia kodeksom.

Wśród części przedłożonych projektów kodeksów można zauważyć duże zrozumienie projektodawców dla zasad tworzenia oraz zatwierdzania kodeksów postępowania. Inicjatorzy są też mocno zaangażowani w konstruowanie przejrzystych rozwiązań, które będą użyteczne dla podmiotów stosujących dane rozwiązania.

Są jednak i takie projekty kodeksów, które pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO. W innych projektodawcy przedstawiali rozwiązania, które nie prowadziły do uszczegółowienia przepisów z zakresu ochrony danych osobowych, nie służyły zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych. Również mechanizmy monitorowania przestrzegania kodeksów niekiedy nie były dostosowane do wymogów wynikających z Wytycznych EROD[1]. Ten dokument, szeroko wyjaśniający przepisy art. 40 i 41 RODO i zawierający kryteria dopuszczalności projektu, powinien być szczegółowo stosowany przez autorów, by przyszłe postępowanie o zatwierdzenie kodeksu mogło zakończyć się pomyślnie.

W przypadku niektórych projektów kodeksów Urząd już kilka miesięcy temu przedstawił ich autorom swoje uwagi. Jeżeli twórcy tych kodeksów byli przez ten czas aktywnie zaangażowani w pracę nad tymi dokumentami, to należy spodziewać się, że niebawem zostanie przedłożony organowi nadzoru kodeks, który będzie można zatwierdzić.

Kodeks daje korzyści

Kodeks postępowania, który zostanie przygotowany zgodnie z przepisami o ochronie danych osobowych, będzie spełniał stawiane mu wymagania i nie będzie jedynie powtórzeniem RODO, a przede wszystkim doprecyzuje wiele kwestii z uwzględnieniem specyfiki danej branży, przyniesie jej wiele korzyści. Administratorom i podmiotom przetwarzającym będącym członkami kodeksu ułatwi stosowanie przepisów i wypełnianie szeregu obowiązków, wskaże właściwe rozwiązania, tam gdzie dziś istnieją dylematy. Pomoże też odpowiednio organizować cały system ochrony danych osobowych w danej branży. Będzie to pozytywny aspekt nie tylko dla administratorów, podmiotów przetwarzających, ale i osób, których dane są przetwarzane, gdyż dodatkowo będą one mogły liczyć na zbliżony standard ochrony danych oraz obsługę w zakresie realizacji ich praw przez daną branżę.

Zaletą odpowiednio przygotowanego kodeksu jest nie tylko gwarancja pewności stosowania określonych rozwiązań zatwierdzonych przez Prezesa UODO. Administratorzy mogą także liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks.

Dlatego Prezes UODO zachęca kolejne branże do podejmowania takich inicjatyw, a tych, którzy już to uczynili, do zaangażowania w dalszą pracę nad ostatecznym kształtem kodeksów postępowania. Szczegółowe informacje o kodeksach są dostępne w sekcji Kodeksy postępowania.


[1] Wytyczne 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z RODO

 

2021-01-22 Metadane artykułu
Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację: Adam Sanocki 2021-01-22
Wprowadził‚ informację: Ewelina Janczylik-Foryś 2021-01-22 13:01:05
Ostatnio modyfikował: Ewelina Janczylik-Foryś 2021-01-22 14:41:05
Inne aktualności
  • Infolinia UODO
  • 606-950-000
  • czynna w dni robocze od: 10:00-14:00
Logo biura
  • Urząd Ochrony Danych Osobowych
  • ul. Stawki 2, 00-193 Warszawa
  • kancelaria@uodo.gov.pl
  • Godziny pracy: 8.00-16.00
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt