Już w maju w życie wejdzie wyczekiwane rozporządzenie o ochronie danych osobowych (tzw. RODO), które ma ujednolicić przepisy w zakresie danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Jego stosowanie budzi jednak wiele obaw, które wynikają głównie z ogólnego charakteru tego aktu prawnego. RODO zawiera bowiem jedynie ogólne wytyczne w zakresie ochrony danych osobowych, których administratorzy danych muszą przestrzegać z wykorzystaniem skutecznych – niemal dowolnych – narzędzi. W związku z tym, że RODO obowiązywać będzie nie tylko instytucje publiczne, samorządy, ale też dużych i małych przedsiębiorców, procedury przestrzegania wytycznych wskazanych w RODO będą się od siebie znacząco różnić – różne są bowiem problemy z ochroną danych w różnych branżach. Rozporządzenie przewiduje jednak rozwiązanie, które może ułatwić poszczególnym administratorom danych pracę. Istnieje możliwość przyjęcia doprecyzowanych reguł postępowania w tzw. kodeksach postępowania.
Kodeksy takie nie są szczególną nowością, bo funkcjonowały już w dyrektywie 95/46/WE (art. 27), zgodnie z którą państwa członkowskie i komisja zachęcały do opracowywania kodeksów postępowania, których celem miało być usprawnienie procesu prawidłowego wprowadzania krajowych przepisów przyjętych przez państwa na mocy tej dyrektywy, uwzględniając szczególne cechy różnych sektorów.
Kodeks postępowania w RODO
Podobny zapis znajdziemy już w art. 40 RODO: „Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw”.
Zgodnie z przepisami, które wejdą w życie w maju br., kodeksy postępowania – które, co bardzo istotne, będą dobrowolne – mogą zawierać wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane. W szczególności chodzi o zidentyfikowanie ryzyk związanych z przetwarzaniem danych, a także ich ocenę pod kątem źródła, charakteru, prawdopodobieństwa wystąpienia i wagi zagrożenia. W kodeksach mają znaleźć się również najlepsze praktyki, które pozwolą zminimalizować to ryzyko. Kodeksy będą formą samoregulacji, która nie zastąpi, a uzupełni bardzo ogólne przepisy RODO. Urszula Góral i Paweł Makowski (RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. Edyta Bielak-Jomaa, Dominik Lubasz, WKP 2008) tłumaczą, że kodeksy postępowania służą usprawnieniu procesu prawidłowego wdrażania przepisów rozporządzenia 2016/679 oraz krajowych przepisów przyjętych w oparciu o przepisy rozporządzenia. Sporządzenie kodeksów będzie więc wymagało wyjaśnienia, jak należy stosować ogólne zasady i realizować wymogi nakładane przepisami w konkretnych sytuacjach przetwarzania danych. Kodeksy nie będą dokumentami wizerunkowymi, ale zawierającymi konkretne reguły postępowania.
Co może się w takim kodeksie znaleźć? Zgodnie z art. 40 ust. 2 RODO kodeksy mogą doprecyzować zapisy rozporządzenia między innymi w odniesieniu do:
a) rzetelnego i przejrzystego przetwarzania;
b) prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;
c) zbierania danych osobowych;
d) pseudonimizacji danych osobowych;
e) informowania opinii publicznej i osób, których dane dotyczą;
f) wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
g) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
h) środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;
i) zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;
j) przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub
k) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.
Katalog ten nie został zamknięty, dlatego należy go traktować jako przykład obszarów, jakie mogą doregulować kodeksy.
Charakter instrukcyjny kodeksów to nie wszystko. Oprócz określenia reguł postępowania będą one mogły być wykorzystywane w procesie kontrolnym do stwierdzenia przestrzegania obowiązków przez administratora danych (w przedsiębiorstwach prywatnych funkcjonować będą nawet podmioty monitorujące stosowanie kodeksów). Z kolei w przypadku, gdy administrator skorzysta z usług podmiotów przetwarzających dane (np. zewnętrznej firmy) to wymagane gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych – by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą – podmiot przetwarzający będzie mógł wykazać właśnie przez stosowanie kodeksu.
Kodeksy postępowania posłużą również do oceny skutków operacji przetwarzania danych przez administratora lub podmiot przetwarzający. Zgodnie z art. 35 ust. 8 RODO podczas takiej oceny będzie uwzględniane przestrzeganie właśnie kodeksów postępowania.
Wreszcie, kodeksy będą miały znaczenie w przypadku nakładania administracyjnych kar pieniężnych. Zgodnie z art. 83 ust. lit. j decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, w każdym przypadku organ wymierzający karę będzie zwracał uwagę na stosowanie kodeksów postępowania.
Kto przygotuje kodeks?
Kodeksy będą mogły być tworzone w skali krajowej i unijnej. Tworzone będą także kodeksy do międzynarodowych transferów danych. Kodeksy dla samorządów terytorialnych będą kodeksami krajowymi. Kto miałby je przygotować? Motyw 98 RODO sugeruje, że należy zachęcać zrzeszenia lub inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających do sporządzania kodeksów postępowania, w granicach rozporządzenia, by ułatwiać jego skuteczne stosowanie. Podobny zapis znajdziemy w art. 40 rozporządzenia.
Z powyższego wynika, że inicjatorami tworzenia kodeksów mogą być zatem zrzeszenia i inne podmioty reprezentujące administratorów. Jest to dosyć istotne, bo zgodnie z tym zapisem inicjatorem takim nie może być pojedynczy administrator. Oznacza to, że stworzyć kodeksu nie może dla siebie jeden przedsiębiorca czy jeden samorząd, a np. ich zrzeszenie. Pojęcie „zrzeszenia” jest bardzo szerokie. W przypadku samorządów takim inicjatorem będą mogły być na pewno korporacje samorządowe, jak Związek Miast Polskich czy Związek Gmin Wiejskich, zrzeszające i reprezentujące samorządy. Na tę chwilę jednak Związek Miast Polskich w swoich planach nie przewiduje tworzenia takich kodeksów, choć to się może niedługo zmienić.
Inicjatorem będą mogły być najprawdopodobniej również inne, regionalne zrzeszenia gmin – choć z praktycznego punktu widzenia dobrze byłoby, gdyby kodeks był stworzony dla jak największej ilości samorządów (więcej w rozmowie z Piotrem Drobkiem – patrz: ramka).
Mimo że poszczególne podmioty, jak indywidualny samorząd, nie będą tworzyć kodeksu wyłącznie dla swojej działalności, to będą brać udział w tworzeniu kodeksu przez wspomniane wyżej zrzeszenia. Podobne rozwiązanie przewidziano w przypadku zmiany lub rozszerzenia zakresu kodeksu. Motyw 99 przewiduje bowiem, że sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, zrzeszenia i inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających powinny konsultować się z odpowiednimi stronami, których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji.
W przygotowaniu kodeksów postępowania bierze udział również Generalny Inspektor Ochrony Danych Osobowych (GIODO). Zrzeszenia i inne podmioty opracowujące kodeks (a także zmieniające lub rozszerzające jego zakres) przedkładają projekt kodeksu organowi nadzorczemu, czyli GIODO. Organ ten wydaje opinię o zgodności projektu kodeksu (zmiany lub jego rozszerzenia) i go zatwierdza, jeśli uzna, że stanowi on odpowiednie zabezpieczenie. W następnej kolejności ten sam organ rejestruje i publikuje kodeks.
