Jolanta Ojczyk: Czy RODO zobowiązuje branże do przygotowania kodeksów postępowań?

Piotr Drobek: RODO, czyli ogólne rozporządzenie o ochronie danych, przewidziało możliwość przyjmowania kodeksów postępowań po to, aby zapewnić efektywne przestrzeganie przepisów o ochronie danych osobowych. Ich celem jest przełożenie pewnych ogólnych postanowień RODO na poziom specyfiki danej branży bądź danego sektora, a także wprowadzenie dobrych praktyk. Kodeksy nie mają charakteru wyłącznie wizerunkowego i nie są tzw. instrumentem miękkim. Przede wszystkim muszą być one zatwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Ponadto poprzez spełnienie wymogów kodeksów, administratorzy i podmioty przetwarzające mogą zrealizować obowiązki wynikające z RODO. Kodeksy nie są jednak obowiązkowe. Ich stworzenie jest dobrowolną inicjatywą określonych środowisk, organizacji zrzeszających administratorów i podmioty przetwarzające. Jednak ze względu na wspomniane cele, które dzięki tym dokumentom mogą być osiągnięte, zachęcamy do przygotowywania kodeksów postępowań.

Dla branży bezpieczniej jest mieć kodeks?

Z perspektywy polskich doświadczeń kodeks może bardzo pomóc danej branży. Sektor może stworzyć pewne standardy, które nie mogą obniżyć wymagań RODO, ale mogą doprecyzować, jak je stosować w danej branży, na przykład wprowadzając dobre praktyki i rozwiązania. Polscy administratorzy są przyzwyczajeni do obowiązującego przez lata modelu, w którym wszystko jest bardzo szczegółowo opisane. Wszyscy to krytykowali. Gdy obecnie mamy RODO, będące zbiorem ogólnych zasad, to wszyscy szukają konkretnych rozwiązań. I kodeksy postępowania są właśnie takim narzędziem, które mogą takie konkretne rozwiązania dookreślać. RODO stanowi, czego mogą takie dokumenty dotyczyć. Przykładowo mogą to być kwestie legalności przetwarzania danych, sposobu informowania osób, a także inne zagadnienia związane z realizacją obowiązków wynikających z ogólnego rozporządzenia.

 


 

Czy kodeks może mieć formę poradnika?

Nie odrzucamy takiej formy z założenia. Niewykluczone, że w niektórych branżach może to być dobre rozwiązanie. Jednak bez względu na formę, jaką będą miały kodeksy, to muszą być one przejrzyste, zrozumiałe przez adresatów, w tym osoby, których dane są przetwarzane. Dlatego też organizacje przygotowujące kodeksy muszą przeprowadzić konsultacje z interesariuszami zarówno wewnętrznymi, jak i zewnętrznymi.

Proszę o jakiś przykład.

Takie konsultacje można przeprowadzić np. z organizacjami zrzeszającymi klientów czy z regulatorami sektorowymi. Nie ma tu jednolitych rozwiązań. Dlatego każdy musi się zastanowić, z kim warto się skonsultować podczas prac nad kodeksem.

Jakie branże już pracują nad kodeksami?

Nad kodeksami pracuje m.in.: szeroko rozumiany sektor zdrowia (w tym obejmujący szkolnictwo medyczne, biobankowanie), obszar zatrudnienia, sektor bankowy, rynek funduszy inwestycyjnych, marketing bezpośredni oraz internetowy, sektor telekomunikacyjny (zrzeszony w Polskiej Izbie Informatyki i Telekomunikacji). Ponadto kodeks postępowania powstaje również w branży budowlanej, organizacjach rzemieślniczych. Jest nawet jest inicjatywa ochotniczych straży pożarnych. W porównaniu z innymi krajami UE mogę powiedzieć, że w Polsce zainteresowanie kodeksami jest bardzo duże. Myślę, że to też nasza zasługa, bo jeszcze jako GIODO promowaliśmy kodeksy dobrych praktyk. Teraz to procentuje.

W sektorze zdrowia powstają aż trzy kodeksy. Czy nie zachodzi niebezpieczeństwo, że będą się wykluczać?

Jedno z pierwszych pytań, jakie zadajemy na etapie konsultacyjnym, przed formalnym złożeniem wniosku o zatwierdzenie kodeksu, brzmi: czy zidentyfikowali państwo w swoim sektorze obszary wspólne z innymi kodeksami i potencjalne konflikty z nimi związane. Sprawdzamy, czy inicjatorzy kodeksów będą w stanie wyjaśnić relacje między tymi dokumentami, wskazać, jaki jest ich zakres podmiotowy i przedmiotowy. To jest bowiem ich zadanie. Muszą oni zadbać bowiem, aby dokumenty te nie zachodziły merytorycznie na siebie, a gdyby to nastąpiło, to aby były ze sobą spójne. Mam nadzieję, że w sektorze medycznym nie będzie takiego zagrożenia. Zwracamy na to uwagę także w czasie formalnej procedury w sprawie zatwierdzenia kodeksu. Dwa kodeksy z tej branży są obecnie w fazie takiej procedury. Dlatego do zakończenia tych postępowań nie mogę się o tych kodeksach bardziej szczegółowo wypowiadać. Dobrym przykładem jest też branża marketingowa, która przygotowuje oddzielny kodeks dla marketingu bezpośredniego, i oddzielny dla internetowego.

 


Może się więc zdarzyć, że jeden szpital, firma będzie stosowała kilka kodeksów?

Tak, może się zdarzyć, że jeden podmiot będzie stosował kilka kodeksów, bo to będzie wynikało z jego działalności. Może być też firma, która nie specjalizuje się w marketingu, ale prowadzi taką działalność w związku ze swoimi produktami czy usługami, np. firmy technologiczne. Dlatego przed podjęciem decyzji o przystąpieniu do danego kodeksu, podmiot musi dobrze się zastanowić, do którego z nich przystępuje. Nie może być tak, że z jednego bierze jedną część, a z drugiego inną. Proszę pamiętać, że to nie jest tylko formalny dokument. Przystąpienie do kodeksu oznacza, że ma on być wdrażany przez administratora lub podmiot przetwarzający.

Jak organizacja ma zapewnić, że przystępujący do kodeksu będą go przestrzegać? Powinna zawrzeć z przystępującym jakieś porozumienie, umowę? Czy członkowie organizacji przystępują do niego z automatu?

Kodeks musi przewidywać sposób przystąpienia do niego. Z pewnością powinna pojawić się jakaś formalna deklaracja. W przypadku kodeksów przygotowywanych przez organizacje mamy dwa modele. Kodeks może przewidywać, że wszyscy członkowie z automatu stają się jego stronami, tak zrobił np. Związek Banków Polskich. Może też wymagać aktu przystąpienia. Możliwe są także inne wymogi związane z przystąpieniem do kodeksu. Dla przykładu jedna z organizacji zaproponowała, aby przystępujący do kodeksu, poddał się wstępnej ocenie.  

To, czy przystępujący do kodeksu rzeczywiście go stosują, ma weryfikować tzw. podmiot monitorujący. Ciągle jednak nie ma wytycznych w ich sprawie. Dlaczego?

Kodeksy mają charakter formalny, który wywołuje konsekwencje prawne i określone skutki. RODO zakłada, że muszą one funkcjonować realnie i jeśli dany podmiot do nich przystąpił, to musi je wdrożyć. To oznacza, że muszą być mechanizmy egzekwowania. W przypadku podmiotów z sektora prywatnego zapewnią je właśnie akredytowane podmioty monitorujące. Będą one musiały mieć akredytację Prezesa UODO, dokonaną na podstawie wymogów przez niego wydanych i zaopiniowanych przez Europejską Radę Ochrony Danych (EROD) zgodnie z mechanizmem spójności. Kryteria możemy jednak przygotować dopiero wówczas, gdy EROD wyda oficjalne wytyczne w tej sprawie. Obecnie Europejska Rada pracuje nad nimi. Zakładamy, że przyjmie je wkrótce.

Brak kryteriów akredytowania podmiotów monitorujących utrudnia przygotowanie kodeksów?

Dla samej treści kodeksu to nie ma znaczenia. Obecnie jest etap pracy nad materialnymi zasadami, obowiązkami, dobrymi praktykami. Wymogi akredytacji podmiotu monitorującego mają znaczenie dopiero dla ostatecznego sfinalizowania prac. Zatwierdzenie kodeksu jest bowiem powiązane z wnioskiem o akredytację podmiotu monitorującego jego przestrzeganie. Dopóki więc formalnie nie ma wymogów akredytacji, nie można złożyć wniosku o akredytację podmiotu monitorującego. Zatem to nie tyle wstrzymuje prace nad takimi dokumentami, ale ostateczne decyzje, co do sposobu monitorowania i zatwierdzenia kodeksów. Proszę też zwrócić uwagę, że w przypadku sektora publicznego nie ma obowiązku wskazania podmiotu monitorującego. A zatem kodeksy dla instytucji publicznych mogą być finalizowane bez wytycznych EROD i opracowanych na ich podstawie kryteriów UODO.

Kto w sektorze publicznym potrzebuje takiego kodeksu?

Na przykład szkoły. W małych gminach często funkcjonują tylko szkoły publiczne, które nie mają pieniędzy np. na prawników i innych ekspertów, którzy pomogliby wdrażać RODO. I dla nich kodeks mógłby by być bardzo dobrym wsparciem. Jego inicjatorem mogłaby być organizacja zrzeszająca samorządy, np. Związek Gmin Wiejskich.

Wracając do podmiotów monitorujących. Wiadomo już jednak częściowo chociaż, jaka będzie ich rola?

Tak. Ma być to instytucja aktywna, która nie tylko będzie rozpatrywała skargi, lecz również podejmowała działania o charakterze prewencyjnym, jak np. audyty Przede wszystkim jednak musi to być podmiot niezależny, fachowy oraz posiadać zasoby, które umożliwią faktyczną realizację zadań.

Co to znaczy? Czy podmiotem monitorującym może być wewnętrzna struktura w danej organizacji, czy musi to być zewnętrzna instytucja?

Podczas konsultacji dotyczących kodeksów toczyła się na ten temat dyskusja. Zakładamy, że będą to zarówno podmioty niezależne, rynkowe, którym organizacja zleci rolę podmiotu monitorującego, jak i wewnętrzne. Zarówno odrębny podmiot, jak i działający w strukturach organizacji muszą spełniać kryteria umożliwiające akredytację, w tym przeciwdziałać możliwym konfliktom interesów. Taki podmiot zewnętrzny nie może z jednej strony wdrażać RODO, a z drugiej monitorować jego przestrzegania. Na przykład kancelarie prawne czy firmy doradcze, które rozważają pełnienie roli podmiotu monitorującego przestrzeganie kodeksów, będą musiały się zdecydować, czy chcą doradzać wdrożenie jego postanowień, czy je weryfikować. Z drugiej strony może to być podmiot wewnętrzny, struktura utworzona w ramach organizacji branżowej.  

Czy taka struktura wewnętrzna nie kłóci się z niezależnością?

Wymaganą niezależność możemy osiągnąć w różny sposób, także wtedy, gdy podmiot monitorujący ma działać w strukturach organizacji. Wskazują na to doświadczenia z innych dziedzin. Mamy przecież do czynienia z różnymi ciałami powołanymi w ramach organizacji, np. arbitraż, audyt wewnętrzny. Należy tylko wprowadzić gwarancje niezależności podmiotu - np. poprzez tworzenie tzw. chińskich murów czy sposób wyboru członków. Choć w takiej sytuacji pełnej niezależności organizacyjnej nie będzie nigdy, to jednak jest możliwe ustanowienie niezbędnych elementów niezależności i przeciwdziałanie konfliktom interesów. Musimy budować zaufanie do kodeksów, mechanizmów ich egzekwowania. Podmiot monitorujący (niezależnie, kto nim będzie) jest akredytowany i oceniany przez prezesa UODO. Może też stracić akredytację. Tak więc naruszenie zasad wiąże się z różnymi konsekwencjami, w tym również sankcjami w postaci administracyjnych kar pieniężnych.

Jakie podmioty interesują się monitorowaniem przestrzegania kodeksów: zewnętrzne czy wewnętrzne? Czy pełnieniem takiej roli są też zainteresowane różnych organizacje?

Na podstawie współpracy z organizacjami, które przygotowują swoje kodeksy, mogę powiedzieć, że część chce stworzyć podmiot monitorujący, a część zakłada, że poszuka kogoś na rynku. Myślę więc, że pojawią się chętni do bycia takim zewnętrznym podmiotem monitorującym.