GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Stan prac nad kodeksami postępowania w wybranych państwach UE

Znaki paragrafów nad otwartą książką

Stan prac nad kodeksami postępowania w wybranych państwach UE

Portal GDPR.pl wystąpił do organów nadzorczych z krajów UE z serią pytań, z których jedno dotyczyło stanu prac nad kodeksami postępowania. Niniejsze opracowanie nie ma zatem charakteru kompletnego i opiera się na przesłanych odpowiedziach.

W UE zatwierdzono już pierwsze kodeksy postępowania. W ostatnim czasie kolejny projekt zaakceptował organ hiszpański. Prezes UODO nie może jednak dołączyć do tego grona ponieważ… czeka na zaakceptowanie przez Europejską Radę Ochrony Danych polskich wymogów akredytacji podmiotu monitorującego kodeksy. Ma to nastąpić jeszcze w grudniu. Jeśli opinia będzie pozytywna, wówczas twórcy kodeksów nie będą mieli już wątpliwości, jak powinny wyglądać zasady monitorowania, a zainteresowane jego prowadzeniem podmioty będą mogły następnie składać do UODO wnioski o akredytację. Czekając na rozstrzygnięcie, poniżej przedstawiono aktualny stan prac nad kodeksami w Polsce i innych wybranych państwach UE.

Kodeks w RODO i RODO w kodeksie

W myśl art. 40 RODO zachęca się zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu RODO – z uwzględnieniem specyfiki różnych sektorów oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Zakres takich kodeksów może być bardzo różny, od wybranych aspektów przetwarzania po całość procesów występujących u danego administratora.  Doprecyzowując zastosowanie RODO, mogą one uwzględniać w szczególności takie kwestie jak: rzetelność i przejrzystość przetwarzania, realizacja prawnie uzasadnionych interesów, zbieranie danych osobowych, prawa osób, których dane dotyczą czy też środki zapewniające bezpieczeństwo danych.

Projekt kodeksu jest przedkładany organowi nadzorczemu, który wydaje opinię i zatwierdza taki projekt, jeżeli uzna go za przydatny. Po zatwierdzeniu organ  rejestruje i publikuje taki kodeks.

Kodeksy w poszczególnych państwach UE

W Unii Europejskiej zgłoszono organom nadzorczym kilkadziesiąt kodeksów. Absolutnym liderem rankingu jest Norwegia – 19 projektów.

Polska plasuje się na drugim miejscu z ośmioma projektami, które wpłynęły do Prezesa UODO.  Dotyczą one następujących obszarów: badania rynku i opinii, branży medycznej (2 kodeksy), bankowej, spółdzielni mieszkaniowych, podatkowej, bibliotek i  centrów handlowych. W tle trwają prace nad kolejnymi kodeksami poświęconymi m.in. przetwarzaniu danych osobowych w reklamie elektronicznej, marketingu, rekrutacji, branży hotelarskiej, fotograficznej czy jednostkach oświatowych.

Do organów nadzoru w Belgii, Szwecji, na Łotwie i Słowacji wpłynęło po 6 projektów kodeksów. W Szwecji poświęcone są one transportowi publicznemu (projekt wycofany), przemysłowi fotograficznemu, sportowi, transportowi drogowemu, doradztwu płacowemu czy ochronie osób i mienia (projekt nie został przyjęty). Łotwa to ubezpieczenia (i brokerzy), finanse i bankowość, zarządzanie personelem oraz IT.

Do lokalnego organu w Berlinie wpłynęły dwa projekty: z zakresu badanie rynku i badań społecznych oraz windykacji. Słowenia to jeden kodeks dotyczący sprzedaży detalicznej.

W pozostałych państwach, które przesłały nam odpowiedzi nie zgłoszono żadnych projektów (co dziwi zwłaszcza w przypadku Wielkiej Brytanii i Irlandii).

 

Kodeksy zatwierdzone

Dziwić może też niewielka liczba zatwierdzonych kodeksów. Przyczyn można szukać w stosunkowo długich pracach Europejskiej Rady Ochrony Danych nad wytycznymi w sprawie kodeksów postępowania i podmiotów monitorujących, które zostały przyjęte dopiero w czerwcu 2019 r. Uwzględnić też należy konieczność sformułowania lokalnych wytycznych w tym zakresie przez poszczególne organy nadzorcze (w grudniu EROD ma zaakceptować polskie kryteria akredytacji podmiotu monitorującego przestrzeganie kodeksów).

Trzy pierwsze zatwierdzone kodeksy dotyczą reklamy (Hiszpania), IT (Niderlandy) i adwokatury (Słowacja). Mamy nadzieję, że wydanie wytycznych o których mowa wyżej będzie przełomem w przyjmowaniu kodeksów przez pozostałe organy nadzoru.

Kodeksy niosą ze sobą ogromne korzyści, i tak m.in.:

  1. kodeksy postępowania mogą służyć wykazaniu wywiązywania się z obowiązków zapewnienia bezpieczeństwa przetwarzania;
  2. uwzględnia się także ich przestrzeganie podczas przeprowadzania oceny skutków dla ochrony danych;
  3. w kontekście transferu danych poza UE, odpowiednie zabezpieczenia niezbędne do przekazania danych do państwa trzeciego, można m.in. zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą: zatwierdzonego kodeksu wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą (co dotyczy państw, wobec których KE nie wydała specjalnej decyzji uznającej je za obszary bezpieczne).

 

Okiem polskiego organu

Z informacji przekazanych nam przez UODO, wynika, że przedstawiciele wielu branż wyrażali wstępne zainteresowanie stworzeniem kodeksów postępowania, jednak, po wyjaśnieniu przez Urząd szczegółowych oczekiwań rezygnowali oni z przedstawienia projektu albo wydłużali prace koncepcyjne. W szczególności dotyczy to tworzenia wyższego standardu ochrony dającego się pogodzić z możliwościami uczestników rynku.

W ocenie Prezesa UODO, przystąpienie do stosowania kodeksu postępowania wiąże się z licznymi korzyściami dla podmiotów stosujących kodeks i wskazane jest tworzenie kodeksów postępowania we wszystkich sektorach, w których dochodzi do przetwarzania danych osobowych w szczególności np. w szerokorozumianym sektorze ochrony zdrowia, oświaty, czy też np. branży finansowej lub branży związanej z prowadzeniem portali internetowych.

Prezes UODO z dużym zadowoleniem przyjmuje fakt podejmowania przez zainteresowane podmioty tak licznych inicjatyw tworzących kodeksy postępowania dla poszczególnych sektorów. W ocenie organu nadzorczego projektodawcy włożyli znaczny nakład pracy oraz wykazali się zaangażowaniem w przygotowywanie treści kodeksów”.

Wskazano jednak, że projekty kodeksów postępowania, które zostały przedłożone do zatwierdzenia organowi nadzorczemu, różnią się od siebie zarówno pod względem m.in. przyjętej metodologii, obszerności regulacji, jak i szczegółowości rozwiązań zaproponowanych przez projektodawców. W części przedłożonych projektów zauważalne jest duże zrozumienie projektodawców dla zasad tworzenia oraz zatwierdzania kodeksów postępowania oraz ich zaangażowanie w dążeniu do zapewnienia przejrzystości rozwiązań, które mogą być pomocne dla podmiotów stosujących w przyszłości dany kodeks postępowania. Analiza treści niektórych projektów kodeksów wskazuje, że zaproponowane w nich rozwiązania jedynie pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO.

Wnioski o uprzednie konsultacje oczami organów nadzoru. Praktyka i statystyka.

Prezes UODO prowadzi postępowania w sprawie zatwierdzenia kodeksów postępowania, które aktualnie są w końcowej fazie, a pierwszy kodeks postępowania przygotowany w oparciu o przepisy RODO, może zostać zatwierdzony jeszcze w tym roku.

Z dotychczasowego doświadczenia Prezesa UODO w zakresie prowadzenia postępowań w sprawie zatwierdzenia kodeksów postępowania wynika, że niektórzy projektodawcy przedłożyli do zatwierdzenia projekty kodeksów, które zawierały regulacje o charakterze blankietowym, tj. nie zmierzające do uszczegółowienia przepisów z zakresu ochrony danych osobowych i nie służące zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych. Projektodawcy mieli również problemy z dostosowaniem projektów kodeksów do wymogów wynikających z Wytycznych EROD, w tym m.in. w zakresie przygotowania odpowiednich mechanizmów monitorowania kodeksu. Można też dostrzec problemy projektodawców związane z  odpowiednim wyważeniem i pogodzeniem w ramach danego kodeksu potrzeb danego sektora, interesów administratorów oraz osób, których dane dotyczą.

Czy 45 tysięcy inspektorów w Polsce to dużo czy mało?

Podsumowanie

Liczba kodeksów postępowania zgłoszonych do organów jest bardzo różna i waha się od zera do blisko dwudziestu. Polska plasuje się w tym zestawieniu wysoko, co oddaje duże zainteresowanie tą instytucją. Obecnie trwają prace nie tylko nad ośmioma już zgłoszonymi do zatwierdzenia kodeksami ale, też nad kilkoma projektami z różnych branż, które dopiero nabierają finalnego kształtu.

W oczekiwaniu na ich zatwierdzenie i publikację warto przyjrzeć się już funkcjonującym w innych państwach kodeksom, by porównać interpretacje i dobre praktyki wpisane w treść tych dokumentów.

W kodeksach dostrzec można ogromny potencjał i możliwość wsparcia administratorów danych w tym niełatwym okresie. Będziemy śledzić dalsze prace nad nimi, w szczególności nad kodeksem branży badawczej, którego jesteśmy autorem.

https://gdpr.pl/wp-content/uploads/2019/02/Wytyczne-1_2019-dotycz%C4%85ce-kodeks%C3%B3w-post%C4%99powania-i-podmiot%C3%B3w-monitoruj%C4%85cych-zgodn.pdf

Wytyczne 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących