UODO przedstawia kolejne błędy najczęściej popełniane przy pracach nad projektami kodeksów branżowych. Błędy te wpływają najczęściej na wydłużenie procedury zatwierdzenia kodeksu, zawieszenie prac nad projektem, a nawet całkowite zaniechanie jego przygotowania.
UODO wskazuje na częsty brak jasnego i zwięzłego uzasadnienia, w którym byłyby przedstawione szczegółowe informacje o celu kodeksu, zakresie jego stosowania i ułatwieniach w tym zakresie.
Kodeks branżowy powinien zawierać odrębne uzasadnienie, w którym należy w sposób jasny i precyzyjny określić:
cel,
zakres,
sposób w jaki kodeks ułatwi skuteczne stosowanie RODO.
Bywa, że podmiot wnioskujący o zatwierdzenie kodeksu nie spełnia wymogu reprezentacji większości danego sektora.
Wnioskodawca musi wykazać, że stanowi rzeczywistą reprezentację środowiska, w imieniu którego składa wniosek o zatwierdzenie kodeksu.
Zatwierdzenie kodeksu wymaga też przyjęcia roli wnioskodawcy w procedurze w sprawie tego zatwierdzenia. Jeśli żaden z twórców, który może być uznany za przedstawiciela branży, nie chce złożyć kodeksu do zatwierdzenia, wówczas do takiego zatwierdzenia po prostu nie dojdzie.
Organ nadzorczy zauważa także, że konsultacje są przeprowadzane w zbyt wąskim zakresie.
Przykład
Bywa, że konsultacja nie obejmuje podmiotów danych np. użytkowników albo klientów czy organizacji działających na ich rzecz.
Tymczasem kodeks de facto jest kierowany nie tylko do członków danego sektora, ale także do podmiotów danych, takich jak konsumenci, pacjenci, usługobiorcy czy pracownicy, których dane osobowe mają być przetwarzane w podwyższonym standardzie.
UODO zarzuca także przedstawianie zbyt szczegółowych sprawozdań z konsultacji. W ocenie organu nadzorczego sprawozdania te powinny być syntetyczne i ograniczać się do kluczowych kwestii z nimi związanymi.
Zauważono także, że zbyt duży nacisk kładziony jest na zagadnienia przetwarzania danych kosztem rozstrzygnięcia najważniejszych problemów danego sektora. Rodzi to wiele nierozstrzygalnych na poziomie jednego dokumentu kwestii spornych.
Kodeks branżowy nie musi zawierać wszystkich elementów ujętych w art. 40 ust. 2 RODO. Są one wyliczone jedynie przykładowo.
Oczywistym błędem jest przepisywanie w kodeksie branżowych przepisów RODO lub ustawy o ochronie danych osobowych z pominięciem praktycznego wyjaśnienia ich stosowania
W Wytycznych wskazano: „Kodeks nie powinien ograniczać się do ponownego przedstawienia przepisów RODO. Jego celem powinna być natomiast kodyfikacja tego, jak stosować RODO w sposób konkretny, praktyczny i precyzyjny. Uzgodnione normy i zasady będą musiały być jednoznaczne, konkretne, osiągalne i wykonalne (możliwe do sprawdzenia). Określenie odrębnych reguł w danej dziedzinie jest akceptowalną metodą, dzięki której kodeks może stanowić wartość dodaną. Stosowanie terminologii charakterystycznej jedynie dla danego sektora i przedstawianie konkretnych scenariuszy lub przykładów „najlepszych praktyk”może pomóc w spełnieniu tego wymogu”.
Cytowanie przepisów RODO i ustawy o ochronie danych osobowych jest dopuszczalne, jeśli mają one służyć edukowaniu odbiorców i są graficznie wyodrębnione od treści normatywnej kodeksu.
Z drugiej strony brakuje w takich wskazaniach odniesienia do konkretnych sektorów czy czynności przetwarzania. Pomijane jest też orzecznictwo, które mogłoby rozstrzygać zagadnienia ujęte w kodeksie.
Strona internetowa UODO (uodo.gov.pl)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
