Jak efektywnie prowadzić prace nad kodeksem postępowania – rekomendacje UODO
Zbyt wąski zakres konsultacji społecznych, brak propozycji mechanizmów umożliwiających monitorowanie przestrzegania kodeksu, zbyt ogólne podchodzenie do zagadnień przetwarzania danych albo powtarzanie przepisów RODO – to częste błędy popełniane przez środowiska pracujące nad projektami kodeksów postępowania. Powodują one wydłużanie prac koncepcyjnych nad tymi dokumentami lub ich zawieszanie, a niekiedy prowadzą do zaniechania inicjatyw.
Wraz z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO), wiele organizacji zainicjowało prace nad stworzeniem branżowych kodeksów postępowania. Stanęły one jednak przed wieloma wyzwaniami. Przede wszystkim projekty te muszą spełniać określone standardy, aby mogły być zatwierdzone przez Prezesa UODO. Niestety, często są one obarczone błędami, dlatego UODO, wychodząc naprzeciw oczekiwaniom administratorów i tzw. inicjatyw kodeksowych, przygotował trzyczęściowy cykl publikacji na ten temat. Pierwsza z nich jest poświęcona kluczowym organizacyjnym aspektom pracy nad przyjęciem kodeksu i korzyściom z jego przyjęcia.
Gdzie szukać wskazówek?
Ponieważ w RODO przewidziano ogólne rozwiązania dotyczące tworzenia kodeksów postępowania, pomocne we właściwym prowadzeniu prac nad takimi dokumentami są przyjęte na początku czerwca 2019 r. Wytyczne Europejskiej Rady Ochrony Danych (EROD) dotyczące kodeksów postępowania i podmiotów monitorujących[1] (Wytyczne). Doprecyzowano w nich wymogi RODO odnośnie do treści i formy kodeksów, a ich twórcy otrzymali wiele cennych wskazówek i wyjaśnień na temat procedur i przepisów związanych z przedkładaniem, zatwierdzaniem i publikowaniem kodeksów – zarówno na szczeblu krajowym, jak i europejskim.
Z powołanych Wytycznych wynika, że procedura zatwierdzenia kodeksu przez właściwy organ nadzorczy składa się z dwóch etapów:
- na początku sprawdza się, czy projekt kodeksu jest dopuszczalny, tzn. czy wypełnia warunki wskazane w rozdz. 5 Wytycznych,
- jeśli Urząd potwierdzi, że projekt spełnia te warunki albo jego twórcy usuną braki, bada się, czy projekt wypełnia kryteria zatwierdzania kodeksu opisane w rozdz. 6 Wytycznych. Do ostatecznego zatwierdzenia kodeksu niezbędne jest też uzyskanie akredytacji przez podmiot monitorujący. Tak więc, by kodeks mógł pełnić swoją funkcję wskazaną w RODO musi uzyskać pozytywną opinię organu nadzorczego, a wskazany w nimpodmiot monitorujący musi zostać akredytowany do tego kodeksu. Dopiero wtedy podmioty zainteresowane przystąpieniem do kodeksu będą mogły ubiegać się o status członka kodeksu.
Jakie korzyści daje przyjęcie kodeksu
Kodeks postępowania, który zostanie przygotowany zgodnie z przepisami o ochronie danych osobowych, będzie spełniał stawiane mu wymagania i nie będzie jedynie powtórzeniem RODO, a przede wszystkim doprecyzuje wiele kwestii z uwzględnieniem specyfiki danej branży, przyniesie wiele korzyści. Administratorom i podmiotom przetwarzającym będącym członkami kodeksu ułatwi stosowanie przepisów i wypełnianie szeregu obowiązków, wskaże właściwe rozwiązania, tam gdzie dziś istnieją dylematy. Pomoże też odpowiednio organizować cały system ochrony danych osobowych w danej branży podnosząc jego poziom. Będzie to pozytywny aspekt nie tylko dla administratorów, podmiotów przetwarzających, ale i osób, których dane są przetwarzane, gdyż dodatkowo będą one mogły liczyć na zbliżony standard ochrony danych oraz obsługę w zakresie realizacji ich praw przez daną branżę.
Zaletą odpowiednio przygotowanego kodeksu jest nie tylko gwarancja pewności stosowania określonych rozwiązań zatwierdzonych przez Prezesa UODO. Administratorzy mogą także liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks.
Poza tym, jak wskazał EROD[2] „[s]tosowanie zatwierdzonego kodeksu postępowania będzie również czynnikiem branym pod uwagę przez organy nadzorcze przy ocenie konkretnych cech przetwarzania danych, takich jak aspekty bezpieczeństwa[3], przy ocenie skutków operacji przetwarzania w ramach oceny skutków dla ochrony danych[4] lub przy nakładaniu administracyjnej kary pieniężnej[5]. W przypadku naruszenia jednego z przepisów rozporządzenia przestrzeganie zatwierdzonego kodeksu postępowania może stanowić wskaźnik tego, w jakim stopniu należy zainterweniować za pomocą skutecznej, proporcjonalnej, odstraszającej administracyjnej kary pieniężnej lub innego środka naprawczego stosowanego przez organ nadzorczy[6].”
Dlatego Prezes UODO zachęca kolejne branże do podejmowania takich inicjatyw, a tych, którzy już to uczynili, do zaangażowania w dalszą pracę nad ostatecznym kształtem kodeksów postępowania.
W kolejnym tygodniu przedstawimy „Najczęściej popełniane błędy przez środowiska pracujące nad projektami kodeksów postępowania”.
[1] Wytyczne nr 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, zob. https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_pl.pdf.
[2] P. 18 Wytycznych.
[3] Art. 32 ust. 3 RODO.
[4] Art. 35 ust. 8 RODO.
[5] Art. 83 ust. 2 lit. j) RODO. Należy również zwrócić uwagę na stosowanie kodeksów w odniesieniu do Wytycznych WP 253/17 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679, przyjętych przez EROD.
[6] Ibid.
| Podmiot udostępniający: | Departament Komunikacji Społecznej | |
| Wytworzył informację: | Adam Sanocki | 2021-10-20 |
| Wprowadził‚ informację: | Edyta Madziar | 2021-10-19 13:10:35 |
| Ostatnio modyfikował: | Edyta Madziar | 2021-10-20 11:20:58 |
