Jak wdrożyć kodeks branżowy w 5 krokach

Kodeks postępowania (inaczej branżowy) to zbiór norm, instrukcji, regulujących określony sposób zachowania danej grupy adresatów w zakresie przetwarzania danych osobowych i ich ochrony prawnej w danym sektorze. Jak wskazuje Prezes UODO, jest to dobrowolne

narzędzie uszczegóławiające stosowanie przepisów o ochronie danych osobowych przez administratorów i podmioty przetwarzające z konkretnego sektora.

Te kwestie należy wziąć pod uwagę, oceniając czy kodeks branżowy jest potrzebny.

Z pewnością zastanawiacie się, jak wdrożyć kodeks branżowy i kto powinien go sporządzić. Z projektem kodeksu mogą wystąpić zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających.

Z kolei podmioty z branż zorganizowanych według struktury rozproszonej mogą mieć realną trudność w podjęciu skutecznej pracy nad projektem kodeksu, jak również jego przeprowadzeniem przez etapy zatwierdzania. Wszak proces projektowania zatwierdzania kodeksu wymaga nadzorowania przez projektodawców.

Kodeks postępowania nie zastępuje przepisów dotyczących ochrony danych osobowych i ich przetwarzania. Ma on bowiem doprecyzować zastosowanie tych przepisów, wskazując m.in.:

• jak postępować przy zbieraniu danych,

• jak podchodzić do realizacji obowiązków informacyjnych i praw osób, których dane przetwarzają,

• jakie środki techniczne i organizacyjne powinny być zastosowane.

Doprecyzowanie ma oczywiście dotyczyć konkretnej branży.

Należy przy tym odnieść się do reguł:

• rzetelnego i przejrzystego przetwarzania,

• prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach,

• zbierania danych osobowych,

• pseudonimizacji danych osobowych,

• informowania opinii publicznej i osób, których dane dotyczą,

• wykonywania przez osoby, których dane dotyczą, przysługujących im praw,

• informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem,

• środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32,

• zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą,

• przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych lub

• postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79,

• mechanizmów pozwalających prowadzić obowiązkowe monitorowanie przestrzegania przepisów kodeksu przez podmioty, które podjęły się jego stosowania w ramach swojego sektora (branży).

Kodeks branżowy powinien również odnosić się do kwestii analizy ryzyka związanego z przetwarzaniem danych osobowych, w tym jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia, a także najlepszych praktyk pozwalających zminimalizować to ryzyko.

W kodeksie branżowym należy także wyznaczyć podmiot monitorujący przestrzeganie kodeksu. Musi on spełniać określone wymagania, w szczególności:

• posiadanie fachowej wiedzy w dziedzinie będącej przedmiotem kodeksu,

• zachowanie niezależności,

• dysponowanie procedurami pozwalającymi ocenić, czy administratorzy przestrzegają kodeksu oraz takimi, które pozwolą mu rozpatrywać skargi na naruszenia kodeksu,

• wymogi akredytacji, które są określone przez UODO i zaopiniowane przez Europejską Radę Ochrony Danych w celu zapewnienia spójności stosowania przepisów RODO we wszystkich państwach członkowskich.

W toku prac nad kodeksem należy także prowadzić konsultacje. Prowadzi się je:

• ze stronami, których regulacja kodeksowa będzie dotyczyła w praktyce,

• z osobami, których dane osobowe w ramach danej branży są przetwarzane (pod warunkiem, że jest to możliwe).

Tylko w ten sposób zapewnimy, by przepisy kodeksu miały realny wpływ na ochronę procesów przetwarzania danych osobowych.

Do projektu kodeksu należy dołączyć także wnioski wyprowadzone z uwag zgłoszonych w toku konsultacji.

Następnie należy złożyć kompletny wniosek obejmujący projekt kodeksu wraz z wynikiem konsultacji do Prezesa UODO. Ma to na celu uzyskanie opinii o zgodności oraz zatwierdzenia dla wnioskującego zrzeszenia

Po zatwierdzeniu kodeks zyskuje moc prawną i może posłużyć do wykazania wywiązywania się z obowiązków wynikających z RODO, w szczególności z art. 32 ust. 3.

W ostatnim kroku Prezes UODO ewidencjonuje kodeks w rejestrze zatwierdzonych kodeksów postępowania. Jeśli zaś kodeks dotyczy czynności przetwarzania w kilku państwach członkowskich UE, rejestr będzie prowadziła Europejska Rada Ochrony Danych.