Mimo że od wejścia w życie nowych unijnych przepisów i krajowych zasad ochrony danych osobowych minęły prawie trzy lata, nie ma w Polsce ani jednego zatwierdzonego kodeksu postępowania, z uwagi na brak ostatecznych przepisów dotyczących akredytacji podmiotu monitorującego. Ta sytuacja ma się w najbliższym czasie zmienić.
Zagadnienia związane z kodeksami postępowania oraz akredytacją podmiotów, które monitorują ich przestrzeganie, zostały określone w art. 40–43 RODO. Zrzeszenia i inne podmioty reprezentujące administratorów lub podmioty przetwarzające dane osobowe mogą opracować kodeksy postępowania, aby doprecyzować w swojej branży zastosowanie RODO.
Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych czy Komisja UE zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia RODO – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzanie danych oraz szczególnych potrzeb mikroprzedsiębiorców oraz małych i średnich przedsiębiorstw.
Kodeks postępowania – dobrowolne narzędzie, przewidziane przez rozporządzenie RODO, które uszczegóławia stosowanie przepisów o ochronie danych osobowych w konkretnej branży. Jak podkreśla UODO, kodeksy mogą być wręcz szczegółową instrukcją, zbiorem zasad, które sprawiają, że administrator przystępujący do takiej inicjatywy i stosujący się do zapisów takiego dokumentu będzie miał większą pewność działania zgodnie z RODO.
Każdy kodeks postępowania musi wskazać podmiot monitorujący przestrzeganie postanowień tego dokumentu przez organizacje, które do niego przystąpią.
Podmiot monitorujący musi spełniać określone wymagania, np. posiadanie fachowej wiedzy, zachowanie niezależności, dysponowanie procedurami pozwalającymi ocenić, czy administrator przestrzega zapisów kodeksu, oraz takimi, które pozwolą na rozpatrywanie skarg i zażaleń na jego naruszenia.
W przypadku naruszenia przez sygnatariusza postanowień kodeksu podmiot monitorujący może go zawiesić lub wykluczyć spośród stosujących kodeks i o takich działaniach jest zobowiązany powiadomić urząd nadzoru.
Problem akredytacji podmiotu monitorującego
Mimo że od wejścia w życie nowych unijnych przepisów i krajowych zasad ochrony danych osobowych minęły prawie trzy lata, nie ma w Polsce ani jednego zatwierdzonego kodeksu postępowania właśnie z uwagi na brak ostatecznych przepisów dotyczących akredytacji podmiotu monitorującego.
Ta sytuacja ma się w najbliższym czasie zmienić, ponieważ przygotowany w zeszłym roku przez prezesa UODO projekt wymogów akredytacji podmiotu monitorującego został zaopiniowany przez Europejską Radę Ochrony Danych (EROD) – spójność stosowania przepisów we wszystkich państwach członkowskich – i zalecenia Rady wprowadzono do ostatecznej wersji tego dokumentu.
Oznacza to w praktyce, że mamy już pełny model, w jakim może funkcjonować kodeks postępowania w danej branży.
(Wymogi akredytacji podmiotów monitorujących kodeksy postępowania – patrz strona UODO).
Kodeksy branżowe są bardzo potrzebne, bo wciąż są problemy z prawidłowym stosowaniem przepisów RODO z uwagi na dość ogólny charakter zapisów rozporządzenia oraz specyfiki różnych branż czy grup zawodowych.
Inaczej jest wdrażane i prowadzone RODO np. w instytucjach finansowych, a inaczej w jednostce medycznej lub szkole.
Procedura zatwierdzania kodeksu
Podmioty chcące opracować kodeks postępowania przedkładają jego projekt prezesowi UODO, a do wniosku dołączają informację o przeprowadzonych konsultacjach oraz ich wyniku.
Prezes UODO wydaje opinię o zgodności projektu kodeksu z RODO i zatwierdza go, jeżeli uzna, że stanowi odpowiednie zabezpieczenie, a następnie umieszcza go w rejestrze prowadzonym przez Urząd.
Obecnie złożono osiem wniosków o zatwierdzenie kodeksów:
- Porozumienie Zielonogórskie
- Związek Banków Polskich
- Polska Federacja Szpitali
- Związek Rewizyjny Spółdzielni Mieszkaniowych RP
- Krajowa Izba Doradców Podatkowych
- Związek Pracodawców Organizacji Firm Badania Opinii i Rynku
- Polska Rada Centrów Handlowych
- Stowarzyszenie Bibliotekarzy Polskich
(Wykaz i treść projektów kodeksów na stronie UODO)
Trwają jeszcze prace nad nimi, rozpatrywane są uwagi zgłoszone przez UODO w toku postępowania. Większość wniosków została zgłoszona na początku pandemii Covid-19, która wpłynęła na utrudnienia komunikacyjne pomiędzy stronami.
Najbliżej zatwierdzenia są kodeksy z sektora medycznego. Na finiszu prac jest też kodeks Związku Banków Polskich.
Urząd wie także, że są podejmowane inicjatywy, które jeszcze nie zostały przedstawione do zatwierdzenia, ale trwają nad nimi prace w poszczególnych sektorach. Z częścią przedstawicieli tych branż eksperci z urzędu na bieżąco wyjaśniają wątpliwości RODO.
Inicjatywy opracowania kodeksów/konsultacje / różny etap prac:
- Kodeks postępowania dla fotografów
- Kodeks postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego
- Kodeks postępowania w zakresie ochrony danych osobowych (dla uczelni medycznych)
- Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej
- Kodeks postępowania w zakresie przetwarzania danych osobowych w organizacjach społecznych
- Kodeks dotyczący zasad przetwarzania danych osobowych gości hotelowych
- Kodeks ochrony danych osobowych w rekrutacji
- Kodeks postępowania dla jednostek oświatowych, mający na celu doprecyzowanie stosowania rozporządzenia 2016/679
Kodeksy postępowania przyjęte w Unii Europejskiej:
- Austria – Kodeks prywatnych instytucji edukacyjnych
- Słowacja – Kodeks prawników zrzeszonych w Izbie adwokackiej
- Włochy – Kodeks postępowania przy wysyłce informacji handlowych
- Holandia – Kodeks firm z sektora IT
Dlaczego warto realizować projekt kodeksu postępowania?
Stosowanie zatwierdzonego kodeksu to:
- dość uniwersalne narzędzie do wykazania organowi nadzoru, że podmiot jest profesjonalny, wiarygodny i jako administrator lub procesor dobrze wywiązuje się ze swoich obowiązków w zakresie ochrony danych osobowych,
- dobry sposób legalizacji transferu danych do państw trzecich,
- znaczące ułatwienie w zdobyciu zaufania klientów,
- może być okolicznością łagodzącą przy podejmowaniu przez UODO decyzji o nałożeniu administracyjnej kary pieniężnej oraz ustalaniu jej wysokości.
Kodeksy postępowania a sektor ubezpieczeniowy
Niestety w prezentowanych przez UODO wykazach zarówno wniosków o zatwierdzenie kodeksu, jak i podjętych inicjatywach w tym zakresie nie ma przedstawicieli branży ubezpieczeniowej.
Rynek ubezpieczeniowy to dwa obszary wymagające odrębnych kodeksów postępowania:
- zakłady ubezpieczeń,
- pośrednicy ubezpieczeniowi (agenci i brokerzy).
W przypadku firm ubezpieczeniowych Polska Izba Ubezpieczeń w początkowym okresie obowiązywania RODO – w tym samym czasie co Związek Banków Polskich – rozpoczęła prace związane z takim kodeksem. Niestety prace w PIU zostały przerwane, a projekt kodeksu ZBP w najbliższych tygodniach otrzyma zielone światło od UODO. Może warto skorzystać z doświadczenia, jakie pozyskał w tym zakresie ZBP.
W przypadku pośredników ubezpieczeniowych zarówno Polskie Stowarzyszenie Brokerów Ubezpieczeniowych i Reasekuracyjnych, jak i Polska Izba Pośredników Ubezpieczeniowych i Finansowych nie podjęły działań w tym zakresie, co powoduje, że zarówno agenci, jak i brokerzy są pozbawieni możliwości stosowania takiego narzędzia, jakim jest kodeks postępowania w zakresie RODO.
Oczywiście duże firmy brokerskie czy multiagencje, podobnie jak towarzystwa ubezpieczeniowe zatrudniające Inspektorów Ochrony Danych (IOD), są w zupełnie innej sytuacji niż mikroprzedsiębiorstwa, dla których proces wdrożenia i stałej, prawidłowej realizacji przepisów RODO jest znaczącym wyzwaniem. Właśnie dla tych podmiotów narzędzie w postaci kodeksu postępowania, zawierające gotowy scenariusz działań, byłoby bezcenne, a stały monitoring prawidłowości przetwarzania danych osobowych wpłynie na wizerunek firmy oraz zwiększy jej konkurencyjność.
Warto podkreślić, że z uwagi na wzrastającą liczbę i poziom kar nakładanych przez prezesa UODO biznes przestał lekceważyć rozporządzenie i zaczął się liczyć z jego przepisami. Pytanie, jak wdrożona została polityka ochrony danych w waszej firmie, często teraz pada na spotkaniach przy nawiązywaniu współpracy.
Brak stosownych kodeksów postępowania to utrata szans na spokój i pewność, że dane osobowe powierzone przez klientów są przetwarzane w sposób gwarantujący ich bezpieczeństwo.
Dlatego mając na uwadze dobro swoich członków, warto, aby stowarzyszenia lub inne podmioty reprezentujące administratorów lub podmioty przetwarzające rozpoczęły prace nad stosownymi kodeksami postępowania w zakresie RODO.
Z uwagi na fakt, że od stycznia br. Urząd dysponuje kompletem przepisów w zakresie akredytacji podmiotów monitorujących, można się spodziewać, że proces akceptacji przy prawidłowo przygotowanej dokumentacji nie będzie trwał dwa lata.
Teresa Grabowska
TG-Doradztwo i Zarządzanie
