Aktualny

Kodeks dobrych praktyk – sprawdź, jak i dlaczego warto go wdrożyć

Autor: Marcin Sierpień

Dodano: 6 listopada 2018
Szykują się zmiany w Kodeksie spółek handlowych

RODO pozwala na wdrożenie i stosowania wewnętrznych kodeksów postępowania, zwanych inaczej kodeksami dobrych praktyk. Mianem takim określa się zespół norm mających stanowić wsparcie w przestrzeganiu RODO przez administratorów i procesorów. Co prawda wprowadzenie kodeksu dobrych praktyk nie jest obowiązkiem administratora i ani też podmiotu przetwarzającego. Niemniej jednak art. 40 ust. 1 RODO wskazuje, że państwa członkowskie UE, organy ds. ochrony danych osobowych oraz Komisja Europejska powinny zachęcać administratorów danych osobowych oraz podmioty przetwarzające (oba podmioty dalej zwane ADO) do sporządzania kodeksów postępowania. Czy zatem warto wdrożyć taki kodeks? W wielu przypadkach niewątpliwie tak. Sprawdź, kiedy uzasadnienie znajduje wprowadzenie kodeksu dobrych praktyk i jak go wdrożyć w swojej firmie.

Z artykułu dowiesz się:

  • kto może wprowadzić kodeks dobrych praktyk,
  • jakie są zalety stosowania takiego kodeksu,
  • jakie działania należy podjąć, aby wprowadzić kodeks,
  • czy konieczne jest zatwierdzenie takiego kodeksu.

Dla kogo kodeks będzie dobrym rozwiązaniem?

Zgodnie z art. 40 ust. 1 RODO kodeksy dobrych praktyk mają pomóc we właściwym stosowaniu RODO, uwzględniając specyfikę różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Innymi słowy kodeks dobrych praktyk ma zagwarantować stosowanie RODO z uwzględnieniem specyfiki danego sektora czy też wielkości przedsiębiorstwa. W praktyce oznacza to, że kodeks postępowania może zostać opracowany np. w służbie zdrowia, w sektorze bankowym, dla szkół wyższych czy jednostek oświatowych, a także stowarzyszeń i fundacji – bez względu na wielkość podmiotów objętych kodeksem. Niezależnie od tego ze wspólnego kodeksu mogą skorzystać podmioty różnych branż o podobnej wielkości (normy zawarte w tym kodeksie mogą być bowiem dopasowane do rozmiarów tych podmiotów).

Nie zawsze jednak możliwe jest objęcie kodeksem wszystkich podmiotów z danej branży.

Przykład

Można wyobrazić sobie stworzenie kodeksu dobrych praktyk wyłącznie dla takich podmiotów z branży, które promują badania materiału genetycznego oraz pośredniczą w przesyłaniu tego materiału do wyspecjalizowanych laboratoriów na całym świecie (celem np. znalezienia wspólnego przodka dla danej populacji w oparciu o technologię stosowaną w kilku laboratoriach na świecie). Taki kodeks może obowiązywać nawet wówczas, jeżeli inny kodeks obowiązuje dla laboratoriów, które faktycznie wykonują badania genetyczne. Podmioty te wyróżnia bowiem to, że, materiał genetyczny – jeżeli np. w oparciu o sposób jego przesłania da się ustalić osobę, która go wysyła – stanowi dane osobowe ujawniające np. pochodzenie rasowe lub etniczne.

Uwaga

Co istotne, kodeksem dobrych praktyk może zostać również objęty podmiot mający swoją siedzibę w państwie nienależącym do Europejskiego Obszaru Gospodarczego, Może mieć to na celu zagwarantowanie odpowiednich zabezpieczeń w ramach przekazywania przez administratorów danych osobowych do państw trzecich lub organizacji międzynarodowych.

Więcej na ten temat przeczytasz tutaj>>

Dlaczego warto wprowadzić kodeks dobrych praktyk?

Niewątpliwie stosowanie kodeksu opracowanego przez wiele podmiotów pozwala na wymianę wiedzy dotyczącej bezpieczeństwa danych osobowych. To jednak nie wszystko. Stosowanie zatwierdzonego kodeksu dobrych praktyk świadczy o tym, że administratorzy lub procesorzy stosujący ten kodeks przestrzegają RODO. Innymi słowy stosowanie kodeksu świadczy o bezpieczeństwie przetwarzania danych (art. 32 RODO). Co więcej, to, że kodeks jest stosowany przez podmiot przetwarzający lub podprzetwarzający, świadczy, że podmiot ten wystarczająco wypełnia gwarancje wdrożenia odpowiednich środków, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 RODO).

Nie mniej ważną zaletą stosowania kodeksu postępowania jest zapewnienie możliwości legalnego przekazywania danych osobowych do podmiotów mieszczących się poza Europejskim Obszarem Gospodarczym. Korzystając z zatwierdzonego kodeksu dobrych praktyk (pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą) podmiot przekazujący te dane nie musi już uzyskiwać  specjalnego zezwolenia ze strony organu ds. ochrony danych osobowych (art. 46 RODO).

Co zawrzeć w kodeksie?

Uprawnienie do opracowywania kodeksów postępowania, a także ich nowelizowania, w tym rozszerzania zakresu stosowania mają zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające (art. 40 ust. 2 RODO).

Jak wskazuje RODO, w kodeksie dobrych praktyk można uregulować (a właściwie doprecyzować w kontekście rozporządzenia) w szczególności kwestie dotyczące:

  • rzetelnego i przejrzystego przetwarzania danych osobowych,
  • prawnie uzasadnionych interesów realizowanych przez ADO w określonych kontekstach (chodzi tu przesłankę przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO),
  • zbierania danych osobowych,
  • ich pseudonimizacji,
  • informowania opinii publicznej i osób, których dane dotyczą,
  • wykonywania przez osoby, których dane dotyczą, przysługujących im praw,
  • informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem,
  • obowiązków ADO w zakresie dostosowania przetwarzania danych do RODO,
  • zasad uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
  • zasad bezpieczeństwa przetwarzania danych,
  • zgłaszania Prezesowi Urzędu Ochrony Danych Osobowych (dalej: Prezesowi UODO) naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą,
  • przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych,
  • postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między ADO a osobami fizycznymi w zakresie przetwarzania ich danych (niezależnie od uprawnień, jakie te osoby mają zgodnie z przepisami, np. prawo do wniesienia skargi do Prezesa UODO).

Krok 1. Aby wdrożyć kodeks dobrych praktyk, najpierw zgromadź zainteresowane podmioty

Jak już wskazano, kodeks dobrych praktyk może być wprowadzony przez zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów i podmiotów przetwarzających. W związku z tym należy ustalić, kto podejmie się opracowania kodeksu. Podmiot, który jest zainteresowany jego wprowadzeniem, powinien więc wystąpić do właściwego zrzeszenia ze swojej branży z inicjatywą wprowadzenia kodeksu. Jeżeli istnieje taka możliwość, wówczas wraz z inicjatywą warto przedstawić projekt lub choćby założenia do kodeksu (z prośbą o rozesłanie do pozostałych zrzeszonych podmiotów, które kodeks miałby objąć). Nie można także wykluczać założenia własnego zrzeszenia i opracowania kodeksu dla wybranych podmiotów z branży. Oprócz tego można też przystąpić do zrzeszenia, które już korzysta z takiego kodeksu (wtedy, co oczywiste, nie ma konieczności wykonywania pozostałych kroków).

Krok 2. Skonsultuj z innymi podmiotami treść projektu

Projekt kodeksu dobrych praktyk powinien być skonsultowany z podmiotami, które mają być nim objęte. Nie ma możliwości, aby jeden podmiot doprowadził do zatwierdzenia kodeksu postępowania z pominięciem uwag innych podmiotów z branży. Jest to niezwykle istotny krok, gdyż warunkuje zatwierdzenie kodeksu przez Prezesa UODO.

Krok 3. Przekaż projekt kodeksu do zatwierdzenia Prezesowi UODO

Nie wystarczy samo opracowanie projektu kodeksu dobrych praktyk i jego skonsultowanie z zainteresowanymi podmiotami. Aby kodeks mógł być stosowany i wywoływał skutki opisane powyżej, powinien być on zatwierdzony przez Prezesa UODO. Projekt powinien przekazać wnioskodawca, czyli zrzeszenie, choć przepisy pozwalają, aby konsultacje z Prezesem UODO przeprowadzała np. jedna firma z branży.  Na marginesie, Prezesowi UODO należy również zgłaszać do akceptacji wszelkie zmiany w zatwierdzonym już kodeksie.

Uwaga

Prezesowi UODO należy przedłożyć:

  • projekt kodeksu postępowania,
  • informację o przeprowadzonych konsultacjach dotyczących tego kodeksu wraz z informacją o ich wyniku.

Istnieje ryzyko uznania przez Prezesa UODO przeprowadzonych konsultacji za wystarczające. W takiej sytuacji Prezes UODO wezwie do przeprowadzenia ponownych konsultacji i wskaże ich zakres.

Następnie Prezes UODO zatwierdza kodeks, rejestrując go i publikując, jeżeli kodeks dotyczy czynności przetwarzania dokonywanych na terenie kraju. Jeśli natomiast kodeks obejmuje czynności przetwarzania prowadzone w kilku państwach członkowskich Unii Europejskiej, wówczas Prezes UODO, nim dojdzie do zatwierdzenia, przedkłada projekt kodeksu Europejskiej Radzie Ochrony Danych, która wydaje opinię o jego zgodności z RODO, natomiast gdy projekt reguluje kwestie zapewnienia odpowiednich zabezpieczeń w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych - opinię, czy kodeks stanowi odpowiednie zabezpieczenie. Jeżeli Europejska Rada Ochrony Danych wyda pozytywną opinię w przedmiocie projektu, wówczas jest on przedkładany Komisji Europejskiej, która może w drodze aktów wykonawczych stwierdzić, że zatwierdzony kodeks postępowania jest powszechnie obowiązujący na terenie UE. Co więcej Komisja Europejska zapewnia odpowiednie upowszechnianie zatwierdzonego kodeksu, a Europejska Rada Ochrony Danych kodeksów, a EROD gromadzi je w rejestrze i udostępnia  opinii publicznej.

Krok 4. Zapewnij monitorowanie przestrzegania kodeksu przez akredytowany podmiot

Już po wdrożeniu kodeksu konieczne jest zagwarantowanie, aby przestrzeganie kodeksu było monitorowane. Może tym zajmować się podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie objętej regulacją kodeksu. Podmiot ten musi być posiadać stosowną akredytację Prezesa UODO. Nie ma przeszkód, by monitorowaniem zajmował się jeden z podmiotów w zrzeszeniu objętym kodeksem albo nawet samo zrzeszenie. W związku z tym konieczne jest, aby w treści kodeksu przewidziane były mechanizmy pozwalające na weryfikację jego przestrzegania.

Uwaga

Jak uzyskać akredytację Prezesa UODO?

Uzyskanie akredytacji wymaga przeprowadzenia postępowania uregulowanego w art. 29 – art. 33 ustawy o ochronie danych osobowych. Podmiot akredytujący musi legitymować się niezależnością, a także wykazać brak konfliktu interesów oraz posiadać odpowiednią wiedzę i środki umożliwiające wykonywanie swych zadań (art. 41 ust. 2 RODO). Najprawdopodobniej w grudniu 2018 r. Europejska Rada Ochrony Danych opublikuje wytyczne dotyczące kryteriów akredytacji.

Autor: Marcin Sierpień

specjalista w zakresie ochrony danych osobowych

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x