Kodeksy postępowania na gruncie RODO i ich znaczenie
30.08.2023
Kodeksy branżowe z zakresu ochrony danych osobowych są nie tylko narzędziem pomocnym dla administratorów i podmiotów przetwarzających w przestrzeganiu wymogów RODO i wykazywaniu zgodności z tym aktem prawnym, ale także pełnią praktyczną rolę w dążeniu do zachowania jak najwyższego poziomu spójności w stosowaniu przepisów dotyczących ochrony danych osobowych.
W krajach członkowskich UE z inicjatywy organizacji branżowych powstaje co raz więcej tego typu kodeksów. W Polsce pierwszym formalnie zatwierdzonym kodeksem jest dedykowany sektorowi medycznemu „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”.
Jak przebiega procedura zatwierdzania kodeksu?
Na wstępie warto wspomnieć o ścieżce prawnej zatwierdzania kodeksów postępowania w obszarze ochrony danych osobowych. W art. 40 ust. 2 RODO przewidziano, że zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie RODO. Inicjatywę opracowywania kodeksów mogą więc podejmować przykładowo zrzeszenia przedsiębiorców, stowarzyszenia, izby gospodarcze.
Warunkiem przyjęcia kodeksu postępowania jest przedłożenie jego projektu organowi nadzorczemu do zatwierdzenia. Projekt taki musi spełniać wymogi określone w RODO i ustawie o ochronie danych osobowych, ale również te określone w Wytycznych Europejskiej Rady Ochrony Danych Osobowych nr 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących , w szczególności zawierać jasne i zwięzłe uzasadnienie, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO. Złożenie wniosku do organu nadzorczego o zatwierdzenie kodeksu postępowania powinno być poprzedzone konsultacjami. Konsultacje powinny zostać przeprowadzone w jak najszerszym zakresie przy wykorzystaniu wszelkich dostępnych kanałów komunikacji, w tym np. strony internetowej, prasy branżowej czy też pism kierowanych wprost do zainteresowanych podmiotów i organizacji. Poprawnie złożony do organu nadzorczego wniosek o zatwierdzenie projektu kodeksu postępowania powinien zawierać informację o przeprowadzonych konsultacjach oraz ich wyniku. W treści projektu musi się znaleźć również propozycja mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów, co stanowi wymóg formalny.
Zgodnie z wytycznymi EROD twórcy kodeksów powinni być w stanie wykazać, że ich projekt kodeksu zaspokaja określoną potrzebę danego sektora dokonującego przetwarzania lub danej czynności przetwarzania, ułatwia stosowanie RODO, doprecyzowuje stosowanie RODO, zapewnia wystarczające zabezpieczenia oraz zapewnia skuteczne mechanizmy monitorowania przestrzegania kodeksu (tzw. kryteria zatwierdzania kodeksów).
W pierwszej kolejności organ nadzorczy rozpatruje czy przedłożony projekt spełnia wymogi formalne oraz kryteria dopuszczalności, o których mowa w Wytycznych EROD. Po zakończeniu tej wstępnej oceny, możliwe jest przejście do kolejnego etapu, tj. do pełnej oceny treści przedłożonego projektu w świetle kryteriów zatwierdzania kodeksów. Etap ten służy wyjaśnieniu treści projektu z wnioskodawcą, umożliwiając mu wprowadzenie ewentualnych modyfikacji. Kończy się on wydaniem przez organ nadzorczy opinii o zgodności projektu kodeksu z RODO. Na ostatnim etapie organ nadzorczy zatwierdza projekt kodeksu w formie decyzji administracyjnej, jeżeli uzna, że stanowi on odpowiednie zabezpieczenie właściwego stosowania RODO. Zatwierdzone kodeksy postępowania podlegają rejestracji przez właściwy organ nadzorczy i EROD.
Nadzór nad stosowaniem kodeksu
Kodeks musi zawierać propozycje mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów przez zainteresowane strony, które podjęły się jego stosowania. W kodeksie należy również wskazać podmiot monitorujący i określić mechanizmy umożliwiające temu podmiotowi wykonywanie jego zadań zgodnie z art. 41 RODO. Co ciekawe, obowiązek wskazania podmiotu monitorującego nie dotyczy kodeksów odnoszących się do przetwarzania danych osobowych wyłącznie przez organy i podmioty publiczne, aczkolwiek w przypadku takich kodeksów również należy uwzględnić skuteczne mechanizmy monitorowania kodeksu.
Monitorowaniem przestrzegania kodeksu postępowania może się zajmować podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i został akredytowany w tym celu przez właściwy organ nadzorczy. Musi on wykazać organowi nadzorczemu w sposób satysfakcjonujący, że jego zadania i obowiązki nie powodują konfliktu interesów. Powinien być niezależny pod względem bezstronności pełnionej funkcji od członków, którzy zobowiązali się do stosowania kodeksu, oraz od przedstawicieli zawodu, branży lub sektora, do których ma zastosowanie dany kodeks. Podmiot ten musi dysponować procedurami, które pozwalają mu ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania, a także posiadać procedury i struktury, które pozwalają rozpatrywać skargi na naruszenie kodeksu, sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający.
Pierwszy kodeks branżowy zatwierdzony przez PUODO
Opisana wyżej procedura zatwierdzania kodeksu postępowania została wykorzystana już w wielu krajach członkowskich Unii Europejskiej. W Polsce tego typu procedura również została zastosowana, a jej zwieńczeniem było zatwierdzenie przez Prezesa Urzędu Ochrony Danych Osobowych w dniu 14 grudnia 2022 r. pierwszego w Polsce kodeksu branżowego tj. Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych . Opracowała go federacja Porozumienie Zielonogórskie.
Organ nadzorczy stwierdził, że w kodeksie zapewniono wystarczające zabezpieczenia, o których mowa wytycznych EROD, do których zaliczyć należy przede wszystkim wskazanie zakresu danych, które mogą być przetwarzane, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją oraz szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.
Organ nadzorczy udzielił również akredytacji dla RS Jamano spółka z ograniczoną odpowiedzialnością spółka komandytowa, który to podmiot został wpisany do Wykazu podmiotów akredytowanych prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych.
Znaczenie kodeksów postępowania
Przystąpienie do stosowania kodeksu postępowania wiąże się z wieloma korzyściami dla podmiotów stosujących kodeks. Biorąc pod uwagę, że RODO nie wskazuje jakiego rodzaju środki techniczne i organizacyjne powinny być zastosowane, kodeks postępowania jest mechanizmem umożlwiającym wykazywanie spełnienia obowiązków dotyczących stosowanych środków organizacyjnych i technicznych. Podejście oparte na ryzyku zakłada bowiem, że administratorzy będą prowadzić analizę ryzyka naruszenia praw i wolności osób, których dane dotyczą, a jej rezultatem będzie dobór odpowiednich środków technicznych i organizacyjnych. Podejście to z jednej strony daje większą elastyczność w doborze rozwiązań zabezpieczających, z drugiej jednak strony wiąże się z trudnością w praktycznym zastosowaniu wymogów RODO. Wobec takiej rzeczywistości prawnej kodeksy postępowania odgrywają niezwykle istotną rolę, umożliwiając administratorom i podmiotom przetwarzającym wykazywanie zgodności z RODO. Mają oni gwarancję pewności stosowania określonych rozwiązań zatwierdzonych przez organ nadzorczy.
Niewątpliwą korzyścią ze stosowania kodeksu jest także swoista ochrona w kontekście ewentualnych kar pieniężnych. Organ nadzorczy w razie nakładania kary na dany podmiot bierze bowiem pod uwagę w każdym przypadku, czy podmiot ten właściwie stosował kodeks postępowania, który został zatwierdzony przez organ nadzorczy. Stosowanie się do zatwierdzonego kodeku postępowania umożliwia potwierdzenie wywiązywania się z obowiązków nałożonych przez RODO i jest dla podmiotów stosujących kodeks doskonałym narzędziem rozliczalności pozwalającym na udowodnienie przestrzegania RODO. W praktyce oznaczać to może uchylenie się od potencjalnie kilkumilionowej kary.
Nie bez znaczenia również jest fakt, że kodeksy postępowania przyczyniają się do uspójnienia praktyki stosowania RODO oraz zwiększenia transparentności sygnatariuszy kodeksu w zakresie stosowanych zabezpieczeń, co wpływa pozytywnie na zaufanie ze strony osób, których dane dotyczą i innych administratorów i podmiotów przetwarzających. Wymiana danych z sygnatariuszami kodeksu i weryfikacja tych podmiotów jest ułatwiona.
Wspomniany Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych stanowi ogromne ułatwienie dla gabinetów lekarskich w stosowaniu RODO i właściwej polityki bezpieczeństwa danych przetwarzanych w placówce medycznej. Kodeks uwzględnia specyfikę sektora związaną z przetwarzaniem danych dotyczących zdrowia pacjenta i procesów występujących w placówkach medycznych. Jest źródłem wielu cennych praktycznych wskazówek np. w kwestii okresu przechowywania dokumentacji, wykonywania badań satysfakcji, zakresu zbieranych danych osobowych, sposobu udzielania teleporad i ich nagrywania.
Podsumowując, kodeksy postępowania są bardzo cennym źródłem wskazówek dotyczących praktycznego zastosowania RODO w danym sektorze. Branżowy kodeks nie może obniżyć wymagań RODO, ale może doprecyzować, jak je stosować w danej branży, na przykład wprowadzając dobre praktyki i rozwiązania. Dzięki temu podmioty, który przystępują do stosowania kodeksu i respektują jego postanowienia mają łatwiejszą drogę do wykazania zgodności swoich działań z RODO. Z pewnością kodeksy postępowania są potrzebne i ułatwiłyby stosowanie przepisów także w innych niż branża medyczna sektorach.
Z tej samej kategorii
Kategorie
