Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Monitorowanie kodeksów postępowania

22-09-2020 Autor: Michał Czerniawski

W Europie pojawiają się pierwsze zatwierdzone zgodnie z rodo kodeksy postępowania. Elementem koniecznym każdego kodeksu postępowania, niezbędnym do rozpoczęcia jego funkcjonowania, jest ustanowienie mechanizmu monitorowania przestrzegania jego postanowień. EROD opracowała w tym zakresie szczegółowe wytyczne i wydała już szereg opinii co do wymogów w poszczególnych państwach członkowskich UE.

 

Ogólne rozporządzenie o ochronie danych znacząco rozwinęło obecną już w dyrektywie 95/46/WE koncepcję kodeksów postępowania. Poświęcone są im art. 40 i 41 rodo. O ile kodeksy istniały już w poprzednim stanie prawnym, pod rządami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz wspomnianej dyrektywy, w Polsce pierwszą taką regulacją był kodeks dla branży marketingowej z 2008 r., który stanowił element porozumienia organizacji branżowej z polskim organem, o tyle jednym z podstawowych problemów związanych z kodeksami pozostawała kwestia możliwości egzekwowania postanowień kodeksów. Sytuację tę zmieniło rodo i wprowadzone w nim przepisy dotyczące obowiązku monitorowania przestrzegania kodeksów postępowania.


Co jakiś czas do opinii publicznej docierają informacje o rozpoczęciu prac nad kolejnym kodeksem postępowania – ich niewyczerpującą listę można znaleźć na stronie polskiego organu. Tego typu prace toczą się również w innych państwach członkowskich, a także na poziomie europejskim. Pierwsze zatwierdzone zgodnie z rodo kodeksy już się pojawiły. Zatwierdzenie kodeksu jest powiązane z wnioskiem o akredytację podmiotu monitorującego jego przestrzeganie. Żeby jednak mogło dojść do zatwierdzenia kodeksu postępowania, każdy krajowy organ nadzorczy powinien opracować kryteria akredytacji dla podmiotów monitorujących funkcjonowanie kodeksów postępowania. Są one następnie przedmiotem zatwierdzenia przez Europejską Radę Ochrony Danych (dalej: Rada, EROD). Dotychczas Rada zatwierdziła kryteria przedłożone przez organy z Austrii, Holandii, Grecji, Danii, Włoch, Finlandii, Irlandii, Niemiec, Hiszpanii, Belgii, Francji, Wielkiej Brytanii. Polski organ rozpoczął w tym roku konsultacje publiczne swoich wytycznych nie można więc wykluczyć, że przedstawi swoje wymogi do zaopiniowania przez Radę jeszcze w bieżącym roku.


Poza aktami prawa powszechnie obowiązującego podstawowym dokumentem w odniesieniu do kodeksów postępowania są Wytyczne Europejskiej Rady Ochrony Danych nr 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679. Dla ułatwienia wytycznym towarzyszy lista kontrolna czynności, które twórca kodeksu powinien wypełnić. Ważnym punktem odniesienia są też już zatwierdzone, zgodnie z art. 64 ust. 1 lit. c rodo, wymogi akredytacji dla organów krajowych z innych państw członkowskich i wydane do nich opinie Rady. Rada stara się zapewnić spójność między przyjmowanymi w poszczególnych państwach członkowskich kryteriami, stąd też raz przyjęte przez Radę stanowisko, co do zasady, będzie podtrzymane w kolejnych opiniach.


Kodeksy postępowania


Kodeksy postępowania powinny stanowić praktyczny mechanizm, który może pomóc w wykazaniu zgodności z rodo, ale, co należy podkreślić, też same z siebie takiej zgodności nie zapewniają. Mogą one odegrać rolę przy harmonizacji procedur czy czynności przetwarzania danych w poszczególnych sektorach lub branżach i pomagać we właściwym stosowaniu rodo. Kodeksy powinny być praktyczne, napisane językiem zrozumiałym i jasno wskazywać, jaki jest cel ich powstania. Jednocześnie pozostają one narzędziem samoregulacji – przystąpienie do kodeksu jest dobrowolne.


Rolę kodeksów można postrzegać szerzej niż tylko z poziomu prawa. Powinny one pokazywać nie tylko to, co jest zgodne z prawem, ale także to, co jest etyczne, oraz wspierać zapewnianie przejrzystości operacji przetwarzania danych. Wreszcie nie budzi wątpliwości, że aby mechanizm, jakim są kodeksy postępowania, miał rację bytu, musi zostać uzgodniony i skonsultowany z przedstawicielami branży, której ma dotyczyć.

 

Podmioty monitorujące

 

Do rozpoczęcia funkcjonowania kodeksu postępowania, z wyjątkiem kodeksów dotyczących sektora publicznego, konieczne jest powołanie przez twórcę kodeksu podmiotu monitorującego. Musi on spełnić opracowane przez krajowy organ nadzorczy, a następnie zatwierdzone przez EROD wymogi akredytacji. W praktyce to krajowy organ nadzorczy, poprzez akredytację, formalnie potwierdza kompetencje danego podmiotu do bycia podmiotem monitorującym. Roli podmiotu monitorującego nie sposób przecenić, odpowiada on m.in. za ocenę, czy administratorzy i podmioty przetwarzające kwalifikują się do stosowania kodeksu, monitoruje zgodność ich działań z postanowieniami kodeksu, a także przeprowadza przeglądy tego, jak kodeks postępowania funkcjonuje w praktyce. Podmiot monitorujący może być zarówno podmiotem zewnętrznym wobec twórcy kodeksu, jak i działać w ramach jego organizacji (podmiot wewnętrzny, np. odrębny departament w danej organizacji).
Jak już wspomniano, zgodnie z art. 41 ust. 6 rodo podmiot monitorujący nie jest wymagany w przypadku kodeksów regulujących przetwarzanie danych prowadzone wyłącznie przez organy i podmioty publiczne. Natomiast zgodnie ze stanowiskiem Rady, wyjątek ten nie pomniejsza w żaden sposób znaczenia wymogu wdrożenia skutecznych mechanizmów monitorowania kodeksu, a organy i podmioty publiczne powinny monitorować kodeksy za pomocą innych rozwiązań, w szczególności poprzez audyty.

 

[...]

 

Autor jest prawnikiem w sekretariacie Europejskiej Rady Ochrony Danych.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.