Kodeks dobrych praktyk – sprawdź, jak i dlaczego warto go wdrożyć

Zgodnie z art. 40 ust. 1 RODO kodeksy dobrych praktyk mają pomóc we właściwym stosowaniu RODO, uwzględniając specyfikę różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Innymi słowy kodeks dobrych praktyk ma zagwarantować stosowanie RODO z uwzględnieniem specyfiki danego sektora czy też wielkości przedsiębiorstwa. W praktyce oznacza to, że kodeks postępowania może zostać opracowany np. w służbie zdrowia, w sektorze bankowym, dla szkół wyższych czy jednostek oświatowych, a także stowarzyszeń i fundacji – bez względu na wielkość podmiotów objętych kodeksem. Niezależnie od tego ze wspólnego kodeksu mogą skorzystać podmioty różnych branż o podobnej wielkości (normy zawarte w tym kodeksie mogą być bowiem dopasowane do rozmiarów tych podmiotów).

Nie zawsze jednak możliwe jest objęcie kodeksem wszystkich podmiotów z danej branży.

Niewątpliwie stosowanie kodeksu opracowanego przez wiele podmiotów pozwala na wymianę wiedzy dotyczącej bezpieczeństwa danych osobowych. To jednak nie wszystko. Stosowanie zatwierdzonego kodeksu dobrych praktyk świadczy o tym, że administratorzy lub procesorzy stosujący ten kodeks przestrzegają RODO. Innymi słowy stosowanie kodeksu świadczy o bezpieczeństwie przetwarzania danych (art. 32 RODO). Co więcej, to, że kodeks jest stosowany przez podmiot przetwarzający lub podprzetwarzający, świadczy, że podmiot ten wystarczająco wypełnia gwarancje wdrożenia odpowiednich środków, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 RODO).

Nie mniej ważną zaletą stosowania kodeksu postępowania jest zapewnienie możliwości legalnego przekazywania danych osobowych do podmiotów mieszczących się poza Europejskim Obszarem Gospodarczym. Korzystając z zatwierdzonego kodeksu dobrych praktyk (pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą) podmiot przekazujący te dane nie musi już uzyskiwać  specjalnego zezwolenia ze strony organu ds. ochrony danych osobowych (art. 46 RODO).

Uprawnienie do opracowywania kodeksów postępowania, a także ich nowelizowania, w tym rozszerzania zakresu stosowania mają zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające (art. 40 ust. 2 RODO).

Jak wskazuje RODO, w kodeksie dobrych praktyk można uregulować (a właściwie doprecyzować w kontekście rozporządzenia) w szczególności kwestie dotyczące:

• rzetelnego i przejrzystego przetwarzania danych osobowych,
• prawnie uzasadnionych interesów realizowanych przez ADO w określonych kontekstach (chodzi tu przesłankę przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO),
• zbierania danych osobowych,
• ich pseudonimizacji,
• informowania opinii publicznej i osób, których dane dotyczą,
• wykonywania przez osoby, których dane dotyczą, przysługujących im praw,
• informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem,
• obowiązków ADO w zakresie dostosowania przetwarzania danych do RODO,
• zasad uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
• zasad bezpieczeństwa przetwarzania danych,
• zgłaszania Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezesowi UODO) naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą,
• przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych,
• postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między ADO a osobami fizycznymi w zakresie przetwarzania ich danych (niezależnie od uprawnień, jakie te osoby mają zgodnie z przepisami, np. prawo do wniesienia skargi do Prezesa UODO).

Jak już wskazano, kodeks dobrych praktyk może być wprowadzony przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów i podmiotów przetwarzających. W związku z tym należy ustalić, kto podejmie się opracowania kodeksu. Podmiot, który jest zainteresowany jego wprowadzeniem, powinien więc wystąpić do właściwego zrzeszenia ze swojej branży z inicjatywą wprowadzenia kodeksu. Jeżeli istnieje taka możliwość, wówczas wraz z inicjatywą warto przedstawić projekt lub choćby założenia do kodeksu (z prośbą o rozesłanie do pozostałych zrzeszonych podmiotów, które kodeks miałby objąć). Nie można także wykluczać założenia własnego zrzeszenia i opracowania kodeksu dla wybranych podmiotów z branży. Oprócz tego można też przystąpić do zrzeszenia, które już korzysta z takiego kodeksu (wtedy, co oczywiste, nie ma konieczności wykonywania pozostałych kroków).

Projekt kodeksu dobrych praktyk powinien być skonsultowany z podmiotami, które mają być nim objęte. Nie ma możliwości, aby jeden podmiot doprowadził do zatwierdzenia kodeksu postępowania z pominięciem uwag innych podmiotów z branży. Jest to niezwykle istotny krok, gdyż warunkuje zatwierdzenie kodeksu przez Prezesa UODO.

Nie wystarczy samo opracowanie projektu kodeksu dobrych praktyk i jego skonsultowanie z zainteresowanymi podmiotami. Aby kodeks mógł być stosowany i wywoływał skutki opisane powyżej, powinien być on zatwierdzony przez Prezesa UODO. Projekt powinien przekazać wnioskodawca, czyli zrzeszenie, choć przepisy pozwalają, aby konsultacje z Prezesem UODO przeprowadzała np. jedna firma z branży.  Na marginesie, Prezesowi UODO należy również zgłaszać do akceptacji wszelkie zmiany w zatwierdzonym już kodeksie.

Następnie Prezes UODO zatwierdza kodeks, rejestrując go i publikując, jeżeli kodeks dotyczy czynności przetwarzania dokonywanych na terenie kraju. Jeśli natomiast kodeks obejmuje czynności przetwarzania prowadzone w kilku państwach członkowskich Unii Europejskiej, wówczas Prezes UODO, nim dojdzie do zatwierdzenia, przedkłada projekt kodeksu Europejskiej Radzie Ochrony Danych, która wydaje opinię o jego zgodności z RODO, natomiast gdy projekt reguluje kwestie zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych - opinię, czy kodeks stanowi odpowiednie zabezpieczenie. Jeżeli Europejska Rada Ochrony Danych wyda pozytywną opinię w przedmiocie projektu, wówczas jest on przedkładany Komisji Europejskiej, która może w drodze aktów wykonawczych stwierdzić, że zatwierdzony kodeks postępowania jest powszechnie obowiązujący na terenie UE. Co więcej Komisja Europejska zapewnia odpowiednie upowszechnianie zatwierdzonego kodeksu, a Europejska Rada Ochrony Danych kodeksów, a EROD gromadzi je w rejestrze i udostępnia  opinii publicznej.

Już po wdrożeniu kodeksu konieczne jest zagwarantowanie, aby przestrzeganie kodeksu było monitorowane. Może tym zajmować się podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie objętej regulacją kodeksu. Podmiot ten musi być posiadać stosowną akredytację Prezesa UODO. Nie ma przeszkód, by monitorowaniem zajmował się jeden z podmiotów w zrzeszeniu objętym kodeksem albo nawet samo zrzeszenie. W związku z tym konieczne jest, aby w treści kodeksu przewidziane były mechanizmy pozwalające na weryfikację jego przestrzegania.