GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

UODO otwiera drogę do akredytacji podmiotów monitorujących

Rozłożone dokumenty na stole,, a obok długopis

UODO otwiera drogę do akredytacji podmiotów monitorujących

Urząd Ochrony Danych Osobowych (UODO) opublikował na swojej stronie internetowej – długo przez wszystkich wyczekiwane – wymogi akredytacji podmiotów monitorujących kodeksy postępowania. Jak dowiadujemy się z komunikatu organu nadzorczego, dokument został w toku prac poddany konsultacjom społecznym z zainteresowanymi podmiotami, a następnie przekazany do zaopiniowania Europejskiej Radzie Ochrony Danych (EROD) w celu zagwarantowania, że przepisy RODO stosowane są spójnie we wszystkich państwach członkowskich. Pojawienie się wymogów to bardzo dobra wiadomość dla wszystkich podmiotów pracujących nad projektami kodeksów postępowania.

PM co do zasady musi być

Zgodnie z RODO, zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać kodeksy postępowania. Ich celem jest doprecyzowanie zastosowania przepisów RODO w określonej branży, przy uwzględnieniu m.in. jej specyfiki. Aby taki kodeks zaczął wywierać jakiekolwiek skutki, musi on zostać zatwierdzony przez organ nadzorczy (w Polsce – Prezes UODO).

Warunków zatwierdzenia kodeksu jest bardzo dużo. Jednym z nich, a jednocześnie niezmiernie ważnym – jest wskazanie w treści kodeksu stosownych mechanizmów monitorowania przestrzegania jego postanowień przez podmioty, które podjęły się jego stosowania (tzw. członkowie kodeksu). Co do zasady, wymóg odpowiedniego monitorowania przestrzegania kodeksu wiąże się również z obowiązkiem wskazania w jego treści podmiotu monitorującego. Mówimy – „co do zasady”, gdyż RODO wprost wyłącza ten obowiązek w stosunku do monitorowania kodeksów postępowania utworzonych dla organów i podmiotów publicznych.

Co istotne, podmiot monitorujący musi zostać akredytowany przez regulatora, jako podmiot będący w stanie skutecznie monitorować stosowanie danego kodeksu. Oznacza to, że procedura akredytacji jest odrębnym postępowaniem względem zatwierdzenia treści samego kodeksu. To bardzo ważna kwestia, biorąc pod uwagę, że – co do zasady – bez akredytowanego podmiotu monitorującego, kodeks nie może być skutecznie stosowany.

Akredytacja rozwiąże impas

Warto zauważyć, że zgodnie z przepisami oraz wytycznymi EROD, wymogiem koniecznym do zatwierdzenia kodeksu postępowania jest wskazanie w kodeksie podmiotu monitorującego, który jest akredytowany przez organ nadzorczy. Dotychczas sytuacja w tym zakresie wydawała się dość patowa. Z jednej strony wnioskodawca (twórca kodeksu) musiał przedstawić regulatorowi akredytowany podmiot monitorujący. Z drugiej natomiast, uzyskanie akredytacji nie było możliwe, biorąc pod uwagę brak wymogów dotyczących akredytacji takich podmiotów.

Impas zapewne rozwiąże fakt opublikowania przez Prezesa UODO wymogów akredytacji podmiotów monitorujących. Od tego momentu możliwe jest bowiem złożenie wniosku do organu nadzorczego o udzielenie akredytacji podmiotów monitorujących określone kodeksy postępowania. Co ciekawe, finalna wersja wymogów akredytacji, która znajduje się na stronie UODO zawiera zapis, zgodnie z którym akredytacja udzielana jest na okres 5 lat. Dokument, który przekazany był do konsultacji społecznych nie zawierał takiego postanowienia. Wydaje się zatem, że organ nadzorczy dodał postanowienia dotyczące terminowości udzielania akredytacji, na skutek zaleceń otrzymanych od EROD.

Stan prac nad kodeksami postępowania w wybranych państwach UE

Pierwszy kodeks coraz bliżej

Pojawienie się wymogów akredytacji z pewnością jest bardzo dobrą wiadomością dla wszelkich organizacji pracujących nad projektami kodeksów postępowania. Jak czytamy na stronie internetowej UODO, organ nadzorczy otrzymał 8 wniosków o zatwierdzenie kodeksów postępowania. Jak dotąd nie zatwierdził jednak żadnego z nich.

UODO informuje, że do zatwierdzenia pierwszych kodeksów jest coraz bliżej. Wydaje się jednak, że nie jest to kwestią najbliższych miesięcy. Zgodnie bowiem z ustawą o ochronie danych osobowych, organ nadzorczy ma 3 miesiące na dokonanie akredytacji podmiotu monitorującego. Wydaje się, że w praktyce może to zająć nawet dłużej. Wątpliwe jest zatem, abyśmy mogli spodziewać się pierwszych zatwierdzonych kodeksów w najbliższych kilku miesiącach. Chyba, że organ nadzorczy zatwierdzi kodeks zanim procedura akredytacji podmiotu monitorującego zostanie zakończona.

Pełna treść opinii EROD:

https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-312020-draft-decision-competent_en

Źródła:

https://uodo.gov.pl/pl/138/1861

https://uodo.gov.pl/pl/426/1109

https://uodo.gov.pl/pl/138/1858

Wytyczne 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem