Monitorowanie kodeksów. Jak stworzyć odpowiedni mechanizm? Na co zwrócić uwagę a czego unikać

Kodeks postępowania obejmujący podmioty prywatne musi wskazywać podmiot monitorujący przestrzeganie tego dokumentu przez organizacje, które do niego przystąpią. Podmiot ten musi spełniać określone wymagania, jak np. posiadanie fachowej wiedzy w dziedzinie będącej przedmiotem kodeksu, zachowanie niezależności, dysponowanie procedurami pozwalającymi ocenić, czy administratorzy przestrzegają kodeksu oraz takimi, które pozwolą mu rozpatrywać skargi na naruszenia kodeksu.

Podmiot monitorujący musi też spełnić wymogi akredytacji, które są określone przez UODO i zaopiniowane przez Europejską Radę Ochrony Danych w celu zapewnienia spójności stosowania przepisów RODO we wszystkich państwach członkowskich. UODO przedstawił takie wymogi akredytacji podmiotów monitorujących przestrzeganie postanowień kodeksów postępowania oraz dodatkowo zorganizował webinarium, którego głównymi tematami było objaśnienie przepisów prawa dot. kodeksów postępowania i podmiotów monitorujących, a także etapów prac Prezesa UODO nad projektem wymogów akredytacji oraz przegląd treści wymogów.

Mimo to w przypadku prac nad kodeksami postępowania pojawiają się liczne błędy dotyczące właśnie podmiotów monitorujących. Niemniejsza publikacja jest już ostatnią z cyklu „Jak efektywnie prowadzić prace nad kodeksem postępowania”.

Często występującą wadą przy tworzeniu kodeksów postępowania jest brak propozycji mechanizmów umożliwiających monitorowanie przestrzegania przepisów kodeksu, zarówno dla podmiotów publicznych, jak i prywatnych. EROD w swoich Wytycznych owym mechanizmom monitorowania poświęcił dużo miejsca, wymagając, by były one badane przez organ nadzorczy na obu etapach zatwierdzania kodeksu.

Przepisy regulujące omawiane zagadnienia są ogólne, a to oznacza, iż dają one twórcom kodeksów bardzo szerokie pole do wyboru odpowiednich rozwiązań. Pierwszorzędne znaczenie ma funkcjonowanie mechanizmu monitorowania, a nie jego konstrukcja. Ponadto monitorowanie powinno być prowadzone w ten sposób, by zapobiegać obchodzeniu postanowień kodeksu przez jego członków. Gwarancją osiągnięcia tego celu jest wymóg legitymowania się przez podmiot monitorujący niezależnością i fachową wiedzą.

Należy też wskazać, że to twórca kodeksu ustala w ramach monitorowania szczegółowe procedury, ale sprawdzanie i egzekwowanie przestrzegania kodeksu należeć będzie do podmiotu monitorującego. Przyjęte procedury powinny być jasne i przejrzyste.

Na podstawie powyższych rozważań organ nadzorczy zauważa, że wyodrębnić można kilka elementów monitorowania:

I. Audyty:

1. Etap wstępny związany z oceną możliwości przystąpienia organizacji do kodeksu. Oceny takiej może dokonać podmiot monitorujący, ale też i inny podmiot.

2. Ocena przestrzegania kodeksu przez członka kodeksu. W ramach tego etapu można wyodrębnić:

a) okresowy audyt w ramach przyjętego planu sprawdzania przestrzegania kodeksu;

b) audyt doraźny, podejmowany przez podmiot monitorujący, gdy uzna on to za stosowne, np. na podstawie skargi, która wpłynęła do podmiotu monitorującego czy informacji o naruszeniu ochrony danych.

II. Działania podejmowane przez podmiot monitorujący. Zaliczyć do nich można m.in.:

a)      rozpatrywanie skarg na członka kodeksu;

b)      wydawanie uwag, rekomendacji, zaleceń pokontrolnych (czy poskargowych lub ponaruszeniowych), np. zmian w polityce ochrony danych audytowanej organizacji, zmian organizacyjnych, zmiany zabezpieczeń danych itp. (środki zaradcze);

c)      sprawdzanie, czy zmiany zostały wdrożone – (jest to szczególnie ważne dla zapewnienia egzekwowania przestrzegania kodeksu);

d)      nakładanie sankcji, łącznie z zawieszeniem i wykluczeniem z członkostwa w kodeksie;

e)      rozpatrywanie odwołań od sankcji nakładanych przez podmiot monitorujący w pierwszej instancji;

f)       współpraca z organem nadzorczym;

g)      współpraca z twórcami kodeksu (m.in. udział w mechanizmie przeglądu kodeksu);

h)      edukacja i promocja zasad ochrony danych w zakresie objętym kodeksem postępowania;

i)       bieżąca współpraca z członkami kodeksu (np. w przypadku zgłoszenia naruszenia ochrony danych), wyjaśnianie wątpliwości i pomoc w zapewnieniu odpowiedniego poziomu ochrony danych osobowych.

Kolejnym czynnikiem, która wpływa na wydłużenie postępowania o zatwierdzenie kodeksu jest niemożność powołania podmiotu monitorującego kodeks. Może to wynikać z braku podmiotu, który podjąłby się takiego zadania. Może też być skutkiem braku przepisów krajowych umożliwiających wykonywanie swoich zadań przez podmiot monitorujący w przypadku, gdy do monitorowania członków kodeksu niezbędny jest dostęp do danych objętych tajemnicą prawnie chronioną.

Warto w tym miejscu zwrócić też uwagę na to, że podmioty monitorujące w celu uzyskania akredytacji organu nadzorczego muszą wykazać swoją niezależność w stosunku do twórcy kodeksu oraz posiadanie odpowiednich: zasobów finansowych, personalnych, środków organizacyjnych i materialnych (technicznych). Szczegółowe wymagania w tym zakresie zostały opisane w Wymogach akredytacji podmiotów monitorujących przestrzeganie postanowień kodeksów postępowania przygotowanych przez Prezesa UODO (https://www.uodo.gov.pl/pl/138/1861).

Zbliżone charakterem do wyżej przedstawionych jest zagadnienie monitorowania podmiotów publicznych. Otóż, zgodnie z art. 41 ust. 6 RODO, przepisy dotyczące podmiotu monitorującego nie mają zastosowania do przetwarzania prowadzonego przez organy i podmioty publiczne. Jednak, jak wynika z Wytycznych (p. 26, przyp. 35 do p. 27, p. 88), kodeksy obejmujące podmioty sektora publicznego, choć nie podlegają obowiązkowi wskazania podmiotu monitorującego, to muszą zawierać skuteczny mechanizm monitorowania, o którym mowa w p. 40 Wytycznych. Cel taki można osiągnąć poprzez dostosowanie obowiązujących mechanizmów audytów i kontroli w administracji publicznej, tak aby obejmowały one monitorowanie kodeksu.

2021-11-03