GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Certyfikacja oraz kodeksy postępowania – omówienie nowych instytucji

business leadership illustrations

W rozporządzeniu ogólnym dotyczącym ochrony danych osobowych z 27 kwietnia 2016 r. (GDPR) wprowadzono dwie nowe instytucje: kodeksy postępowania oraz mechanizm certyfikacji.

Certyfikacja

W części wstępnej GDPR wskazano, iż aby zwiększyć przejrzystość i poprawić przestrzeganie tego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi (motyw 100, art. 42 ust. 1).

Założeniem tego rozwiązania jest motywowanie podmiotów do uzyskania widocznego dla innych potwierdzenia, iż dane są przez nich przetwarzane zgodnie z prawem, a co za tym idzie w sposób dający poczucie bezpieczeństwa klientom, kontrahentom lub pracownikom.

Proces certyfikacji będzie dobrowolny. Dokonywać go będą wyznaczone podmioty certyfikujące lub właściwy organ nadzorczy w danym państwie, na podstawie przyjętych przez nie lub przez Europejską Radę Ochrony Danych kryteriów. W tym ostatnim przypadku może to skutkować wspólną certyfikacją – europejskim znakiem jakości ochrony danych.

Certyfikacja administratora lub podmiotu przetwarzającego udzielana będzie na maksymalny okres 3 lat, z możliwością przedłużania na tych samych warunkach. Jeśli stosowne wymogi nie będą spełnione – w każdym czasie może zostać cofnięta.

Szczególnie istotna będzie rola Komisji, która na podstawie art. 43 ust. 9 GDPR została uprawniona do przyjmowania aktów wykonawczych określających techniczne standardy mechanizmów certyfikacji oraz sposoby ich upowszechniania.

Odnosząc powyższe do przepisów projektu nowej ustawy o ochronie danych osobowych  (NUODO) z  12 września 2017 r., wskazać należy, iż procedura certyfikacji ma być powierzona wyłącznie Prezesowi Urzędu Ochrony Danych Osobowych (pomiotowi, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych). On też opracuje i opublikuje jej kryteria. Projekt określa treść i formę wniosku o certyfikację, procedurę jego rozpatrywania, wysokość pobieranej opłaty (trzykrotność przeciętnego miesięcznego wynagrodzenia), treść samego certyfikatu, a także czynności sprawdzające dokonywane po jego nadaniu. Wprowadzony zostanie publicznie dostępny wykaz certyfikowanych podmiotów (art. 6-16 NUODO).

Niewątpliwą zaletą wprowadzanego przez GDPR rozwiązania jest zarówno dążenie do przeciwdziałania niejednolitej i nieustandaryzowanej certyfikacji, jak i do zapewnienia – dzięki kryteriom przyjętym na poziomie krajów lub Europejskiej Rady Ochrony Danych – poczucia pewności (podbudowanego udzielonym certyfikatem) po stronie administratorów, podmiotów przetwarzających, a przede wszystkim osób, których dane dotyczą – iż dane są przetwarzane w sposób prawidłowy.

Zatwierdzone kodeksy postępowania

W myśl motywu 98 GDPR należy również zachęcać zrzeszenia lub inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających do sporządzania kodeksów postępowania, w granicach GDPR, by ułatwiać  jego skuteczne stosowanie, z uwzględnieniem szczególnych cech przetwarzania prowadzonego w niektórych sektorach i szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. W takich kodeksach można w szczególności dopasować obowiązki administratorów i podmiotów przetwarzających do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie (art. 40 ust. 1).

Intencją prawodawcy było więc usprawnienie wdrażania i stosowania nowego prawa w poszczególnych sektorach, z uwzględnieniem:

W tym też celu, sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, powinno się konsultować projektowane rozwiązania z odpowiednimi stronami, których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji (motyw 99). Organ nadzorczy wydaje opinię o zgodności projektu z GDPR i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia (art. 40 ust. 5). Zatwierdzone kodeksy będą następnie rejestrowane i publikowane w BIP.

Kodeksy mogą mieć szerszy lub węższy zakres i dotyczyć w szczególności takich zagadnień jak: rzetelne i przejrzyste przetwarzanie, prawnie uzasadnione interesy realizowane przez administratorów w określonych kontekstach, zbieranie danych osobowych, ich pseudonimizacja,  wykonywanie przez osoby, których dane dotyczą, przysługujących im praw, czy też informowanie i ochrona dzieci oraz sposób pozyskiwania zgody osoby sprawującej nad nimi władzę rodzicielską lub opiekę (art. 40 ust. 2).

Prawodawca europejski wprowadził obowiązek, by w kodeksach przewidziane były mechanizmy pozwalające upoważnionemu podmiotowi na prowadzenie obowiązkowego monitorowania przestrzegania jego postanowień przez administratorów lub podmioty przetwarzające, którzy podjęli się  ich stosowania (art. 40 ust. 4). Wskazać przy tym należy, iż taki podmiot, akredytowany przez właściwy organ nadzorczy, wykonuje swoje zadanie niezależnie i bez uszczerbku dla kompetencji tego organu. Jego obowiązkiem będzie także podejmowanie odpowiednich działań w przypadku naruszenia kodeksu, w tym zawieszenie lub wykluczenie danego podmiotu spośród stosujących kodeks (art. 40 ust. 4).

Organizacje starające się o akredytację będą musiały wykazać (art. 41 ust. 2):

W projekcie NUODO przewidziano, iż wykaz podmiotów akredytowanych przez Prezesa Urzędu Ochrony Danych Osobowych będzie publicznie dostępny. Projekt szczegółowo określa procedurę przyznania akredytacji, formę i treść wniosków (w formie papierowej albo elektronicznej), termin ich rozpatrzenia (do 3 miesięcy), a także minimalną  treść samego certyfikatu (art. 17-19 NUODO).

Instytucje zatwierdzonych kodeksów postępowania zestawić można z funkcjonującymi obecnie i przyjmowanymi przez przedsiębiorców lub ich zrzeszenia kodeksami dobrych praktyk. Te ostanie zwykle jedynie fragmentarycznie odnoszą się do problematyki danych osobowych (np. przyjmowane przez firmy telekomunikacyjne zasady usług i reklam kierowanych do dzieci). Efektywność takich dobrych praktyk zależy także często od zaangażowania kierownictwa danego podmiotu, w szczególności egzekwowania jego wdrożenia w całej organizacji. A contrario, zatwierdzone kodeksy postępowania będą akceptowane przez organ nadzorczy, co zapewni ich zgodność z GDPR, a stosowanie monitorowane przez akredytowane podmioty. Obowiązki z nich wynikające będą więc z założenia faktycznie egzekwowane.

Podsumowanie

O ile proces certyfikacji będzie przebiegał na jednolitych warunkach wobec wszystkich podmiotów w odniesieniu do praw i obowiązków wynikających z GDPR i może stanowić użyteczne świadectwo zgodności z tym aktem, o tyle zatwierdzone kodeksy postępowania mogą w szerszym zakresie uwzględniać specyfikę danej branży, potrzeby i  interesy stron, a także inkorporować dotychczas wypracowane dobre praktyki, oczywiście jeśli pozostają one w zgodzie z nowym prawem.

Oba rozwiązania są elementem nowego podejścia do ochrony danych – propagowania proaktywnej postawy zaangażowanych podmiotów.

Nadmienić można, iż prace nad kryteriami certyfikacji trwają już w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Pomiędzy GIODO a podmiotami z branży internetowej i teleinformatycznej (PIIT i IAB Polska) a GIODO zostały również zawarte porozumienia w celu przygotowania kodeksów postępowania.