Kodeks został wdrożony po trwającym ponad cztery lata postępowaniu, pierwotnie projekt został złożony w listopadzie 2018 roku. Wręczono też pierwszą akredytację podmiotowi upoważnionemu do monitorowania przestrzegania takiego kodeksu.
Kodeksy postępowania nie są nowością, możliwość ich wprowadzenia była przewidziana jeszcze w starej Dyrektywie UE 95/46 (art. 27). Przepisy te nie zostały jednak zaimplementowane do prawa polskiego. W innych krajach Unii Europejskiej kodeksy są rzadko używane i uznawane za niespełniające oczekiwań prywatnych podmiotów.
Czytaj w LEX: Analiza sprawozdania z działalności UODO za 2020 r. - przegląd wskazówek dla administratorów danych >>>
Kodeksy to wciąż rzadkość
Przyjęte regulaminy postępowania często były mniej dokładne niż same przepisy prawa, a ich przygotowanie było długotrwałe. Zwiększenie roli kodeksów w RODO miało na celu stworzenie skuteczniejszych mechanizmów certyfikacji i oddolnego tworzenia zasad postępowania. Koncepcją stojącą za takim podejściem jest chęć dostosowania prawa do specyfiki danej branży. RODO kładzie duży nacisk na charakterystykę ryzyka dotyczącego ochrony danych osobowych. Współpraca podmiotów specjalistycznych, które znają dokładnie specyfikę danego obszaru, pozwoli lepiej dostosować reguły postępowania do problemów danego obszaru.
Wytyczne Europejskiej Rady Ochrony Danych dotyczące kodeksów postępowania kładą nacisk na cel opracowania takiego kodeksu. Ma nim być raczej „określenie zasad postępowania”, a nie wyłącznie wsparcie w zakresie zgodności z istniejącymi wymogami RODO. Kodeksy postępowania nie mają przy tym charakteru wiążącego, ponieważ działają jedynie jako wytyczne, z dobrowolnym członkostwem. Chociaż można wyobrazić sobie sytuację, w której oddolnie wprowadzony jest obowiązek ich stosowania, np. wymóg członkostwa w określonej grupie bądź stowarzyszeniu.
Czytaj w LEX: Procesor jako podmiot weryfikowany – czyli o co może pytać i co może sprawdzać administrator danych? >>>
Prace nad kodeksami wszędzie toczą się wolno
Do prezesa Urzędu Ochrony Danych Osobowych złożonych zostało kilka wniosków dotyczących zatwierdzenia kodeksów postępowania. Aktualnie są one na rożnym etapie rozpatrywania. W sześciu przypadkach PUODO został zaangażowany w prace nad takim kodeksem. Dalsze regulaminy jak np. kodeks ochrony danych osobowych w rekrutacji – były przygotowywane, ale nie zakończyło się to złożeniem projektów do PUODO.
Czytaj: RODO: Osiem projektów kodeksów, ale żaden jeszcze nie zatwierdzony>>
Czytaj w LEX: Indywidualny monitoring pracownika – zagadnienie monitorowania pracowników i ich danych >>>
Widzimy więc, że proces przyjmowania kodeksów postępowania jest stosunkowo powolny, a w niektórych przypadkach kończy się nawet bez osiągnięcia konkretnych skutków. Zjawisko to było wskazywane jako jeden z zarzutów przed zmianą przepisów o ochronie danych. Nasuwa się więc pytanie: jak Polska wypada na tle innych krajów odnośnie do przyjęcia kodeksów postępowania?
Francuski organ ochrony danych CNIL zaakceptował jak dotąd jeden kodeks postępowania, skierowany do dostawców infrastruktury usług chmurowych. Podobnie w Niemczech, gdzie do tej jeden kodeks postępowania uzyskał aprobatę organu nadzorczego (w tym przypadku dla landu Badenii Wirtembergii). Hiszpański Organ Ochrony Danych AEPD zaaprobował dwa kodeksy postępowania - dla działalności reklamowej oraz w dziedzinie badań klinicznych. Włoski organ GPDP zaakceptował do tej pory trzy kodeksy postępowania. Dotyczyły one informacji handlowej, systemów informatycznych informacji kredytowej oraz publikacji naukowych.
Widać więc, że stosunkowo powolny proces aprobaty kodeksów postępowania przez PUODO nie odbiega szczególnie od standardów europejskich. Pierwsze z wymienionych kodeksów postępowania przyjęte były dopiero w roku 2021, czyli 3 lata po rozpoczęciu stosowania RODO. Różnicy możemy dopatrzyć się w zakresie czasu niezbędnego na rozpatrzenie. Przykładowo we Francji projekt wraz z wnioskiem o aprobatę został złożony w lutym 2021 roku, a przyjęty został po 4 miesiącach. Jednak taka różnica może także wynikać z specyfiki i sposobu prowadzenia prac.
W takim przypadku nasuwa się pytanie na ile proces odpowiada na zarzuty dotyczące starego procesu przyjmowania kodeksów postępowania pod dyrektywą 95/46. W przypadku kodeksów już przyjętych w innych krajach zainteresowanie biznesu wydaje się być stosunkowo duże. Przykładowo organ monitorujący włoski Kodeks Działalności Reklamowej wymienia 43 podmioty które podjęły się jego stosowania. Niestety w większości przypadków takie dane nie są przedstawiane publicznie. Na liczbę podmiotów przystępujących wpływa także krótki czas od uzyskania przez kodeksy aprobaty, np. do niemieckiego kodeksu dla procesorów przystąpiły dopiero 2 podmioty, a aprobata organu nadzorczego obyła się w listopadzie 2022 roku. Widać więc wyraźnie, że odpowiada on na zapotrzebowanie w tym zakresie. Niestety niewątpliwie przygotowanie kodeksów postępowania jest procesem długotrwałym i skomplikowanym, wymagającym współdziałania wielu podmiotów.
Autor: Krzysztof Kaźmierczak, data protection specialist RODO RK Legal
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.