Celem kodeksów postępowania, jest pomoc we właściwym stosowaniu rozporządzenia GDPR. Pozwalają one uwzględnić specyfikę różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

W takich kodeksach można w szczególności dopasować obowiązki ADO i procesorów do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie.

Przepisy GDPR dotyczące i Kodeksów i certyfikacji są ogólne, wymagają doprecyzowania przez ustawodawcę krajowego, co w tym przypadku będzie dozwolone. Działania w tym zakresie zostaną z pewnością podjęte, konieczne jest zatem monitorowanie działań legislatora w tej kwestii.

Podmioty tworzące kodeksy postępowania

Opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, mogą:

reklama

1) zrzeszenia administratorów

2) podmioty reprezentujące określone kategorie administratorów; lub

3) podmioty przetwarzające.

Cel kodeksów postępowania

Celem kodeksu postępowania, jest doprecyzowanie zastosowania rozporządzenia GDPR, między innymi w odniesieniu do:

1) rzetelnego i przejrzystego przetwarzania;

2) prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;

reklama

3) zbierania danych osobowych;

4) pseudonimizacji danych osobowych;

5) informowania opinii publicznej i osób, których dane dotyczą;

6) wykonywania przez osoby, których dane dotyczą, przysługujących im praw;

7) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;

8) środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;

9) zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;

10) przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub

reklama

11) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.

Podmioty przestrzegające kodeksów postępowania

Poza podlegającymi rozporządzeniu administratorami i procesorami, kodeksów postępowania mogą przestrzegać też administratorzy lub procesorzy, których nie obejmuje terytorialny zakres zastosowania rozporządzenia GDPR.

Zobowiązanie się takiego podmiotu, do przestrzegania danego kodeksu, sprawia że wywiązuje się on z obowiązku zapewnienia odpowiednich zabezpieczeń, w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

Kodeks przestrzegany przez administratora lub procesora, którego nie obejmuje terytorialny zakres zastosowania rozporządzenia GDPR, musi mieć moc powszechnie obowiązującą. Tacy administratorzy lub takie podmioty przetwarzające, podejmują wiążące i egzekwowalne zobowiązanie, że będą stosować, przewidziane kodeksem, zabezpieczenia. Zobowiązanie powstaje, w drodze umowy lub poprzez inne prawnie wiążące instrumenty.

Podmiot monitorujący przestrzeganie kodeksu postępowania

Cechy podmiotu

Monitorowaniem przestrzegania kodeksu postępowania, może zajmować się podmiot, który:

1) dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu; i

2) został akredytowany w tym celu przez właściwy organ nadzorczy.

Przesłanki dokonania akredytacji podmiotu

Podmiot monitorujący przestrzeganie kodeksu postępowania, może zostać akredytowany w celu monitorowania przestrzegania kodeksu postępowania, jeżeli:

1) w sposób satysfakcjonujący wykazał on właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie będącej przedmiotem kodeksu;

2) dysponuje procedurami, które pozwalają mu ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania;

3) dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie kodeksu przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający oraz które pozwalają zapewnić przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej; oraz

4) w sposób satysfakcjonujący wykazał właściwemu organowi nadzorczemu, że jego zadania i obowiązki nie powodują konfliktu interesów.

Zadania i kompetencje podmiotu

Podmiot monitorujący przestrzeganie kodeksu postępowania, podejmuje odpowiednie działania w przypadku naruszenia kodeksu przez administratora lub podmiot przetwarzający. Może on m.in. zawiesić lub wykluczyć administratora lub podmiot przetwarzający spośród stosujących kodeks.

Informuje on właściwy organ nadzorczy o swoich działaniach i powodach ich podjęcia.

Cofnięcie akredytacji podmiotu

Organ nadzorczy cofa akredytację, jeżeli:

1) podmiot nie spełnia lub przestał spełniać warunki akredytacji; lub jeżeli

2) działania przez niego podejmowane nie są zgodne z rozporządzeniem GDPR.

Wyłączenie

Podmiotu monitorującego przestrzeganie kodeksu postępowania, nie można wyznaczyć do kontroli procesów przetwarzania, prowadzonego przez organy i podmioty publiczne.

Przeczytaj również:

UDOSTĘPNIJ
Poprzedni artykułDane osobowe
Następny artykułProcedura zatwierdzenia kodeksu
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.