Najczęściej popełniane błędy przez środowiska pracujące nad projektami kodeksów postępowania
Z dotychczasowych doświadczeń UODO zebranych w czasie prac na projektami kodeksów postępowania wynika, że środowiska inicjujące prace nad tymi dokumentami popełniają błędy, które często wpływają na wydłużenie procedury zatwierdzenia kodeksu, zawieszenie prac nad projektem, a nawet całkowite zaniechanie przygotowania takiego dokumentu.
Stąd inicjatywa UODO, by wskazać te problemy, i w ten sposób pomóc kolejnym podmiotom uniknąć ich w przyszłości.
Brak jasnego i zwięzłego uzasadnienia, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO, to jeden z częstych błędów stwierdzanych przez organ nadzorczy na pierwszym etapie badania projektów kodeksów. Tymczasem kodeks postępowania, aby być pomocny administratorom we właściwym stosowaniu przepisów o ochronie danych osobowych, powinien zawierać odrębne uzasadnienie, w formie wstępu lub osobnego rozdziału. Uzasadnienie powinno w sposób jasny i precyzyjny określać wszystkie elementy wskazane w Wytycznych, tj. cel, zakres, sposób w jaki ułatwi on skuteczne stosowanie RODO.
Zdarza się też, że podmiot wnioskujący o zatwierdzenie kodeksu nie reprezentuje większości sektora. Jak zaś wskazano w p. 22 Wytycznych, twórcy kodeksów muszą wykazać, że są faktycznym organem przedstawicielskim i że potrafią zrozumieć potrzeby swoich członków. Tak więc wnioskodawca musi udowodnić, że stanowi rzeczywistą reprezentację środowiska, w imieniu którego składa wniosek o zatwierdzenie kodeksu.
Podobnym problemem jest sytuacja, w której żaden uprawniony podmiot, nie podejmuje się przyjęcia roli wnioskodawcy w postępowaniu o zatwierdzenie kodeksu. W przypadku, z którym zetknęli się przedstawiciele UODO, projekt kodeksu postępowania został przygotowany dla sektora przez kilku inspektorów ochrony danych, ale żaden z podmiotów, który mógłby być uznany za przedstawiciela branży, nie chciał złożyć kodeksu do zatwierdzenia.
Kolejnymi brakami, z którymi często spotyka się organ nadzorczy na pierwszym etapie badania projektu kodeksu, są zbyt wąski zakres przeprowadzonych konsultacji (np. nie obejmujący w ogóle osób, których dane dotyczą – użytkowników albo klientów czy organizacji działających na ich rzecz) oraz przedstawianie zbyt szczegółowego sprawozdania z konsultacji.
Tymczasem wnioskodawca powinien przedstawić Prezesowi UODO syntetyczne sprawozdanie z przeprowadzonych konsultacji, zawierające kluczowe kwestie z nimi związane. Należy podkreślić, że rolą Prezesa Urzędu nie jest analiza obszernej dokumentacji, stanowiącej odzwierciedlenie całego przebiegu przeprowadzonych konsultacji, a jedynie ocena, czy konsultacje zostały przeprowadzone w odpowiednim zakresie, jak również to, czy oraz jakie przepisy projektu kodeksu postępowania zostały zmodyfikowane w efekcie przeprowadzonych konsultacji.
Konsultacje społeczne są przydatne m.in. do stwierdzenia, czy treść projektu jest zrozumiała w rozumieniu art. 12 RODO. Należy pamiętać, że odbiorcami tego dokumentu nie są jedynie członkowie regulowanego sektora – administratorzy i podmioty przetwarzające oraz współpracujące z nimi podmioty. Są to także, a często przede wszystkim (z uwagi na ich liczbę) osoby, których dane dotyczą. To konsumenci, pacjenci, usługobiorcy, pracownicy, których dane osobowe mają być przetwarzane w podwyższonym standardzie. To dla nich postanowienia kodeksu muszą być jasne i zrozumiałe.
Z dotychczasowych doświadczeń Prezesa UODO wynika, że przyczyną trudności w stworzeniu odpowiedniego kodeksu jest także zbyt kompleksowe/szerokie podejście do zagadnień przetwarzania danych zamiast rozstrzygnięcia najważniejszych problemów sektora. To powoduje niemożność zatwierdzenia kodeksu ze względu na istnienie zbyt wielu kwestii spornych, które trudno jest rozstrzygnąć w jednym dokumencie. Objęcie kodeksem zbyt wielu zagadnień może prowadzić do prób uregulowania w nim zagadnień wychodzących szeroko poza branżę, dla której stworzono kodeks. Kodeks powinien przede wszystkim regulować kwestie dotyczące specyfiki sektora, dla którego powstał.
Warto w tym miejscu zwrócić uwagę na brzmienie ustępu 2 art. 40 RODO. Wymieniono tam zagadnienia, jakie mogą obejmować kodeksy postępowania. Wyliczenie to ma charakter przykładowy i nie jest wyliczeniem wyczerpującym, tzn. nie wszystkie wskazane w nim zagadnienia muszą być uregulowane w kodeksie.
Przepisanie w kodeksie przepisów RODO lub ustawy o ochronie danych osobowych bez praktycznego wyjaśnienia ich stosowania to kolejny błąd popełniany przez środowiska tworzące kodeks. Tymczasem, jak wskazano w Wytycznych (p. 37), „Kodeks nie powinien ograniczać się do ponownego przedstawienia przepisów RODO. Jego celem powinna być natomiast kodyfikacja tego, jak stosować RODO w sposób konkretny, praktyczny i precyzyjny. Uzgodnione normy i zasady będą musiały być jednoznaczne, konkretne, osiągalne i wykonalne (możliwe do sprawdzenia). Określenie odrębnych reguł w danej dziedzinie jest akceptowalną metodą, dzięki której kodeks może stanowić wartość dodaną. Stosowanie terminologii charakterystycznej jedynie dla danego sektora i przedstawianie konkretnych scenariuszy lub przykładów „najlepszych praktyk”[1] może pomóc w spełnieniu tego wymogu[2]”. Nie oznacza to braku możliwości cytowania przepisów, jeżeli mają służyć edukowaniu odbiorców i są graficznie wyodrębnione od treści normatywnej kodeksu.
Niewskazanie w kodeksie przepisów sektorowych oraz wytycznych, opinii i stanowisk EROD w odniesieniu do konkretnego sektora lub konkretnej czynności przetwarzania lub tylko ogólne ich wskazanie bez odniesienia się do konkretnych przepisów[3] związanych z przetwarzaniem danych osobowych w sektorze, dla którego powstał kodeks to kolejny z braków stwierdzanych przez Prezesa UODO. Podobnym jest niepowoływanie się przez twórców na istniejące orzecznictwo rozstrzygające zagadnienia regulowane w kodeksie. Wszystkie przepisy prawa i dokumenty wyjaśniające mające wpływ na procesy przetwarzania powinny zostać przez twórców kodeksów uwzględnione w przygotowaniu jego treści.
Oczekiwanie na zmianę przepisów
Niezależnie od wskazanych wyżej błędów popełnianych podczas prac nad tworzeniem kodeksów, wpływ na czas trwania postępowania o zatwierdzenie kodeksu ma też oczekiwanie przez środowiska pracujące nad takim dokumentem na zmianę przepisów sektorowych (gdy ich projekt jest przygotowywany przez rząd lub spodziewane jest implementowanie przepisów unijnych). Rozsądnym rozwiązaniem jest wstrzymanie się z konsultacjami albo złożeniem wniosku o zatwierdzenie kodeksu, jeżeli regulowane operacje przetwarzania mogą po nowelizacji ulec zmianie. Inicjatywy kodeksowe powinny swoje wątpliwości i postulaty sygnalizować w procesie legislacyjnym, w którym najczęściej bierze także udział organ nadzorczy.
Inne błędy dotyczą kwestii związanych z podmiotami monitorującymi, brakiem wypracowania odpowiednich mechanizmów umożliwiających monitorowanie czy po prostu niemożności ich powołania. Zostaną one jednak w sposób szczegółowy omówione w kolejnej przyszłotygodniowej publikacji pt.: „Monitorowanie kodeksów postępowania. Jak stworzyć odpowiedni mechanizm? Na co zwrócić uwagę a czego unikać."
[1] Oraz „niedopuszczalnych praktyk”.
[2] W miarę możliwości kodeks nie powinien być napisany językiem nadmiernie prawniczym.
[3] Zob. p. 38 Wytycznych.
| Podmiot udostępniający: | Departament Komunikacji Społecznej | |
| Wytworzył informację: | Adam Sanocki | 2021-10-27 |
| Wprowadził‚ informację: | Edyta Madziar | 2021-10-27 08:10:36 |
| Ostatnio modyfikował: | Ewelina Janczylik-Foryś | 2021-10-28 09:16:57 |
