Eksperci nie mają wątpliwości, że kodeksy postępowania, które pokazują jak ogólne zapisy RODO należy stosować w danej branży, są bardzo potrzebne. W Polsce trwają prace nad 30 takimi kodeksami, zwanymi branżowymi, ale wciąż żaden nie został jeszcze przyjęty, mimo że RODO stosujemy już ponad dwa lata. Prezes UODO nie może jednak postawić kropki nad „i”, bo… czeka na zaakceptowanie przez Europejską Radę Ochrony Danych wymogów dla podmiotów monitorujących kodeksy - ich projekt przygotował w czerwcu br.
Ta ma się pojawić na początku grudnia. Jeśli będzie pozytywna, wówczas twórcy kodeksów nie będą mieli już wątpliwości, jak powinny wyglądać zasady monitoringu, a zainteresowane jego prowadzeniem podmioty będą mogły składać do UODO wnioski o akredytację. 

Czytaj w LEX: Zatwierdzone kodeksy postępowania i certyfikacja >


Kodeksów mamy dużo, tylko żaden nie został zatwierdzony

- Kodeksy branżowe są bardzo potrzebne – ocenia Adam Klimowski, główny specjalista od ochrony danych osobowych w firmie Jamano.  - Doniesienia w mediach, w tym społecznościowych oraz moje doświadczenie jasno pokazują, że wciąż są problemy ze stosowaniem RODO. Ich źródłem może być po części niejasny język przepisów, orzecznictwa, poradników, a po części specyfika różnych branż czy grup zawodowych. Inaczej wdraża RODO mała placówka medyczna, a inaczej duża szkoła. Kodeksy postępowania mogą pomóc rozwiązać te problemy – podkreśla.

Czytaj w LEX:  RODO w IT: atak hakerski a ochrona danych osobowych >

Jak dotąd w Polsce nie został przyjęty żaden kodeks branżowy, choć w trakcie przygotowania jest ich 30. Tak wynika ze statystyki kodeksów RODO prowadzonej przez Adama Klimowskiego.  – To już najwyższy czas, aby pojawiły się pierwsze zatwierdzone kodeksy – mówi Maciej Gawroński, radca prawny, partner w kancelarii Gawroński & Partners. Swój pierwszy oficjalny dokument mają już Holendrzy. W sierpniu 2020 r. tamtejszy odpowiednik UODO zatwierdził kodeks dla branży technologii informacyjnych i komunikacyjnych. – Pierwszy krok już został dokonany, a każdy kolejny zatwierdzony kodeks powinien wywoływać efekt domina – mówi Klimowski. Czy to może być polski dokument? W UODO jest już osiem wniosków o zatwierdzenie kodeksów. 

Czytaj w LEX: Analiza sprawozdania z działalności UODO za 2019 - przegląd wskazówek dla administratorów danych >

Osiem kodeksów jest prawie gotowych 

Są to dokumenty przygotowane przez lekarskie Porozumienie Zielonogórskie, Związek Banków Polskich, Polską Federację Szpitali, Związek Rewizyjny Spółdzielni Mieszkaniowych, Krajową Izbę Doradców Podatkowych, Związek Pracodawców Organizacji Firm Badania Opinii i Rynku, Polską Radę Centrów Handlowych oraz Stowarzyszenie Bibliotekarzy Polskich. Dlaczego wciąż są tylko projektami? - Cały czas trwają nad nimi prace, rozpatrywane są uwagi zgłoszone przez UODO w toku postępowania – wyjaśnia Adam Sanocki, rzecznik UODO. - Większość wniosków została zgłoszona na początku pandemii Covid-19, która wpływa na utrudnienie wyjaśnienia stanowisk – dodaje. Najbliżej zatwierdzenia są kodeksy z sektora medycznego, trafiły do UODO już ponad dwa lata temu.

Czytaj w LEX: Dokumentacja ochrony danych zgodna z RODO - zadania IOD-a >

Pierwsze będą kodeksy dla sektora ochrony zdrowia

Prezes UODO przedstawił już wnioskodawcom swoją ostateczną ocenę i oczekuje, że w listopadzie otrzyma zmodyfikowane projekty już do zatwierdzenia. W ostatnim czasie Federacja Związków Pracodawców Ochrony Zdrowia "Porozumienie Zielonogórskie" we współpracy z firmą Jamano pracowała nad ostateczną wersją kodeksu dla małych placówek medycznych. W tym tygodniu Porozumienie Zielonogórskie planuje przekazać tę wersję do UODO z wnioskiem o zatwierdzenie. - Byłby to ostatni etap przed zatwierdzeniem i publikacją dokumentu przez polski organ nadzorczy - mówi Klimowski. Na ostatniej prostej jest też kodeks przygotowany przez Polską Federację Szpitali we współpracy z pięcioma innymi organizacjami branżowymi oraz  kancelarią Domański, Zakrzewski, Palinka. Paweł Kaźmierczyk z DZP potwierdza, że UODO już przesłał im ostateczną opinię poprzedzającą decyzję w przedmiocie zatwierdzenia kodeksu. - Liczę, że do poniedziałku 23 listopada złożymy ostateczną wersję kodeksu, uzgodnioną ze wszystkimi organizacjami - mówi.  

Czytaj w LEX: Inspektor ochrony danych – wyznaczenie i status >

Na finiszu prac jest już kodeks ZBP. Jak dodaje dr Arwid Mednis, adwokat i partner w kancelarii Kobylańska, Lewoszewski, Mednis, merytorycznie już niewiele pozostało do uzgodnienia. W czym więc tkwi problem?

 


Przestrzeganie kodeksu musi monitorować niezależny podmiot

Kodeks nie jest formalnością, papierowym zbiorem dobrych praktyk. Ktoś musi weryfikować, czy firmy, które do niego przystąpiły, przestrzegają zasad. Dlatego zatwierdzenie kodeksu przez UODO jest powiązane z warunkami akredytacji podmiotów monitorujących. Tych jeszcze nie ma. UODO projekt warunków akredytacji przedstawił w czerwcu 2020 roku. By zostały oficjalnie ogłoszone, musi je zaopiniować EROD, by zapewnić spójność stosowania przepisów RODO w krajach Unii. Adam Sanocki przyznaje, że warunkiem ostatecznego zatwierdzenia kodeksu postępowania jest wyznaczenie podmiotu monitorującego. Bez oficjalnych wytycznych jest to niemożliwe. Jak ustaliło jednak Prawo.pl, EROD  ma wydać opinię na początku grudnia. - Jeśli EROD zaakceptuje dokument, to zakładam, że decyzję w sprawie naszego kodeksu poznamy jeszcze w grudniu - mówi Paweł Kaźmierczyk. I dodaje, że w kodeksie nie trzeba wskazywać podmiotu, który będzie go monitorował, a jedynie zasady na jakich będzie ten proces przebiegał. Tyle, że póki nie są uzgodnione wytyczne nie ma pewności, czy te zasady zostały dobrze określone. Ponadto skoro wymagania UODO nie są ostateczne, żaden podmiot nie chce się zobowiązać do monitorowania.

Czytaj w LEX: Jak dobrze zrobić audyt zgodności z RODO? >

Podmiot monitorujący - kto może nim zostać

Zgodnie z projektem, podmiot monitorujący musi być w pełni niezależny od twórców, kandydatów i członków kodeksu oraz przedstawicieli zawodu, branży lub sektora, do których ma zastosowanie dany kodeks, ma mieć wiedzę fachową w danej dziedzinie i gwarantować, że wykonywanie przez niego zadań i obowiązków nie powoduje konfliktu interesów. Może funkcjonować w dowolnej formie prawnej, np. spółki, fundacji czy w formie jednoosobowej działalności gospodarczej. Zawsze musi wykazać, że dysponuje niezbędnymi zasobami finansowymi, personalnymi i technicznymi do wykonywania swoich zadań. - Zapewnienie niezależności nie musi stanowić problemu - ocenia Paweł Kaźmierczyk. I dodaje, że podmiotów monitorujących może być kilka, np. dla indywidualnych praktyk samorządy zawodowe, a dla dużych podmiotów leczniczych, jak np. szpitale - wyspecjalizowane podmioty.  By zostać podmiotem monitorującym, trzeba jednak uzyskać akredytację UODO. To będzie kolejny proces. Zdaniem mec. Gawrońskiego najważniejsze jest jednak, aby dany podmiot nie tylko monitorował dany kodeks, ale też podpowiadał dobre praktyki. – W ten sposób powinien odciążyć firmy z danego sektora z myślenia jak osiągnąć zgodność z RODO – podsumowuje Maciej Gawroński.