Zagadnienia związane z kodeksami postępowania oraz akredytacją podmiotów, które monitorują ich przestrzeganie, zostały określone w art. 40-43 RODO. Zrzeszenia i inne podmioty reprezentujące administratorów lub podmioty przetwarzające dane osobowe mogą opracować kodeksy postępowania, aby doprecyzować w swojej branży zastosowanie RODO. Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych czy Komisja UE zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia RODO pisze – Teresa Grabowska, TG-Doradztwo i Zarządzanie.
Kodeks postępowania – dobrowolne narzędzie, przewidziane przez rozporządzenie RODO, które uszczegóławia stosowanie przepisów o ochronie danych osobowych w konkretnej branży. Jak podkreśla UODO, kodeksy mogą być wręcz szczegółową instrukcją, zbiorem zasad, które sprawiają, że administrator przystępujący do takiej inicjatywy i stosujący się do zapisów takiego dokumentu będzie miał większą pewność działania zgodnie z RODO.
Każdy kodeks postępowania musi wskazać podmiot monitorujący przestrzeganie postanowień tego dokumentu przez organizacje, które do niego przystąpią.
Podmiot monitorujący musi spełniać określone wymagania, np. posiadanie fachowej wiedzy, zachowanie niezależności, dysponowanie procedurami pozwalającymi ocenić, czy administrator przestrzega zapisów kodeksu oraz takimi, które pozwolą na rozpatrywanie skarg i zażaleń na jego naruszenia.
W przypadku naruszenia przez sygnatariusza postanowień kodeksu podmiot monitorujący może go zawiesić lub wykluczyć spośród stosujących kodeks i o takich działaniach jest zobowiązany powiadomić urząd nadzoru.
Mimo że od wejścia w życie nowych unijnych przepisów i krajowych zasad ochrony danych osobowych minęły prawie 3 lata, nie ma w Polsce ani jednego zatwierdzonego kodeksu postępowania właśnie z uwagi na brak ostatecznych przepisów dotyczących akredytacji podmiotu monitorującego.
Ta sytuacja ma się w najbliższym czasie zmienić, ponieważ przygotowany w zeszłym roku przez prezesa UODO projekt wymogów akredytacji podmiotu monitorującego został zaopiniowany przez Europejską Radę Ochrony Danych (EROD) – spójność stosowania przepisów we wszystkich państwach członkowskich – i zalecenia Rady wprowadzono do ostatecznej wersji tego dokumentu. Oznacza to w praktyce, że mamy już pełny model, w jakim może funkcjonować kodeks postępowania w danej branży.
Cały artykuł ukazał się w „Gazecie Ubezpieczeniowej” nr 8 z datą wydawniczą 22 lutego.
(am)
