Kodeksy postępowań – instrument zapewniania i wykazywania zgodności z RODO, 11.01.2018 r.
Przepisy ogólnego rozporządzenia o ochronie danych (RODO) nadają kodeksom postępowań wysoką rangę. Dzięki temu ze znanego dotąd w postaci kodeksów dobrych praktyk narzędzia wizerunkowo-promocyjnego staną się one instrumentem o charakterze prawnym.
Biorąc pod uwagę ich znaczenie, Generalny Inspektor Ochrony Danych Osobowych (GIODO) zachęca zrzeszenia oraz inne podmioty reprezentujące administratorów danych i podmioty przetwarzające do tworzenia kodeksów postępowania. W celu ułatwienia im prac w tym zakresie, 11 stycznia 2018 r. zorganizował specjalny warsztat dotyczący tej problematyki. Od wielu innych wydarzeń poświęconych przygotowaniu do RODO, które GIODO organizuje lub w których bierze ekspercki udział, różniło go to, że skupiono się na jednym tylko instrumencie nowego systemu ochrony danych osobowych.
Kodeks daje wiele korzyści
Dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych, otwierając warsztaty wskazała, że celem kodeksów postępowania jest pomoc we właściwym stosowaniu przepisów rozporządzenia. Takie kodeksy mogą bowiem doprecyzować różne wymogi z uwzględnieniem specyfiki poszczególnych sektorów, w których dochodzi do przetwarzania danych osobowych. – Podmioty przyjmujące kodeks otrzymują jasne i zrozumiałe wytyczne dotyczące procesów przetwarzania danych, np. sposobu dokonywania operacji zbierania danych czy spełniania różnych obowiązków, choćby informacyjnych. Dotyczyć to może zwłaszcza tych przypadków, kiedy wymogi dotyczące ochrony danych nie są wystarczająco szczegółowe i wymagają doprecyzowania, bądź kiedy są uszczegóławiane na mocy innych przepisów – mówiła dr Edyta Bielak-Jomaa.
Dodała też, że stosowanie zatwierdzonych kodeksów postępowania będzie istotnym elementem, na podstawie którego będzie można stwierdzić, że administrator danych wywiązuje się z ciążących na nim obowiązków. Co również ważne, może być okolicznością łagodzącą przy podejmowaniu przez GIODO decyzji o nałożeniu administracyjnej kary pieniężnej oraz ustalaniu jej wysokości.
Tworzenie kodeksów – podstawy prawne i procedura
Szczegółowe informacje na temat tego, kto może przyjmować kodeksy postępowania, jakie przepisy i procedury będą obowiązywały przy ich tworzeniu oraz konsultowaniu i zatwierdzaniu przez organ nadzorczy, przedstawił Piotr Drobek, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO. Wskazał, że idea tworzenia kodeksów postępowań nie jest nowa, bowiem już teraz przedstawiciele różnych sektorów mogli przyjmować i przyjmowali tzw. kodeksy dobrych praktyk. Miały one jednak inną rangę, która pod rządami RODO znacznie wzrośnie.
Zatwierdzanie kodeksu przez organ nadzorczy oraz wprowadzenie procedury monitorowania jego przestrzegania powoduje, że staje się on instrumentem o charakterze prawnym.
Piotr Drobek podkreślał, że kodeksy mogą powstawać zarówno na poziomie krajowym, jak i unijnym, stąd tak ważne jest zapewnienie spójności w zakresie przyjmowanych rozwiązań, co potwierdziły późniejsze wypowiedzi przedstawicieli niektórych podmiotów pracujących obecnie nad stworzeniem kodeksów postępowań zgodnych z RODO, którzy zostali zaproszeni do udziału w warsztacie.
Spotkanie to było także okazją, by raz jeszcze wyraźnie wskazać, że w opinii GIODO, nie ma przeszkód, by tego typu regulacje były przyjmowane przez podmioty z sektora publicznego. Niemniej ekspert GIODO zaznaczał, że niektóre środowiska wyrażają odmienny pogląd w tym zakresie.
Mówiąc o zawartości kodeksów, Piotr Drobek wskazywał, że są to dokumenty, które mogą ułatwiać stosowanie RODO, rozwijać jego postanowienia, uzupełniać je czy doprecyzowywać, ale nie mogą wyłączać ich obowiązywania, gdyż są to przepisy bezwzględnie obowiązujące. Zaznaczał również, że zawarte w art. 41 ust. 2 RODO wyliczenie elementów, które mogą zostać określone w kodeksie, nie ma charakteru katalogu zamkniętego. Każda organizacja, która go tworzy, może wziąć pod uwagę tylko część z nich lub wprowadzić inne, które są istotne z jej punktu widzenia.
Wskazywał też na to, że kodeksy powinny nieść wartość dodaną. - Kodeksy postępowań mają zapewnić zgodność przetwarzania danych osobowych z RODO, ale nie mogą być powieleniem tych regulacji. Muszą dać coś więcej ponad to, co jest w przepisach prawa, np. jaśniejsze i precyzyjniejsze uregulowania kwestii istotnych dla danego sektora – wskazał.
Tworzenie kodeksów oczami praktyków
Ponieważ część środowisk w Polsce pracuje już nad stworzeniem kodeksów postępowań, GIODO zaprosił ich przedstawicieli, by podzielili się z uczestnikami warsztatów swoimi doświadczeniami w tym zakresie.
Z ich wystąpień jasno wynikało, że zawartość poszczególnych kodeksów jest zależna od specyfiki podmiotów, które mają je przyjąć i stosować. Przykładowo Tadeusz Białek, dyrektor Zespołu Prawno-Legislacyjnego Związku Banków Polskich (ZBP), prezentując zawartość kodeksu stworzonego przez ZBP mówił, że reguluje on np. takie kwestie jak profilowanie klientów czy scoring, ale nie odnosi się do przetwarzania danych osobowych dzieci, które co do zasady nie są klientami takich instytucji. Z kolei problem pozyskiwania zgód małoletnich – jako istotny dla branży – ma być uregulowany w kodeksie tworzonym przez Związek Pracodawców Branży Internetowej – IAB Polska.
Wszyscy mówcy podkreślali, jak ważne jest, by tego typu dokumenty były napisane prostym językiem, zrozumiałym zarówno dla wszystkich pracowników stosującego go podmiotu, jak i jego klientów, tym bardziej że duża część tego typu regulacji dotyczy właśnie praw osób, których dane są przetwarzane.
Warsztaty zakończyła dyskusja moderowana. Jej optymistycznym zwieńczeniem było nawiązanie współpracy przez trzy organizacje pracujące nad kodeksami postępowań w szeroko rozumianym sektorze zdrowia, które przyznały, że warto wymienić się doświadczeniami i przeanalizować, czy przyjmowane przez nich rozwiązania oraz terminologia są spójne.
W spotkaniu uczestniczyło blisko 200 osób reprezentujących różne środowiska z całej Polski.