Urzad postanowił wskazać najczęściej popełniane błędy przez środowiska pracujące nad projektami kodeksów postępowania, by wskazać te problemy, i w ten sposób pomóc kolejnym podmiotom uniknąć ich w przyszłości.

Trzeba jasno i precyzyjnie wskazać cele

Brak jasnego i zwięzłego uzasadnienia, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO, to jeden z częstych błędów stwierdzanych przez organ nadzorczy na pierwszym etapie badania projektów kodeksów. Tymczasem kodeks postępowania, aby być pomocny administratorom we właściwym stosowaniu przepisów o ochronie danych osobowych, powinien zawierać odrębne uzasadnienie, w formie wstępu lub osobnego rozdziału. Uzasadnienie powinno w sposób jasny i precyzyjny określać wszystkie elementy wskazane w Wytycznych, tj. cel, zakres, sposób w jaki ułatwi on skuteczne stosowanie RODO.

Czytaj: Jest pierwszy w UE kodeks do ochrony danych w chmurze>>

Kto reprezentuje środowisko

Zdarza się też, że podmiot wnioskujący o zatwierdzenie kodeksu nie reprezentuje większości sektora. UODO przypomina, że jak zaś wskazano w p. 22 Wytycznych, twórcy kodeksów muszą wykazać, że są faktycznym organem przedstawicielskim i że potrafią zrozumieć potrzeby swoich członków. Tak więc wnioskodawca musi udowodnić, że stanowi rzeczywistą reprezentację środowiska, w imieniu którego składa wniosek o zatwierdzenie kodeksu.

Podobnym problemem jest sytuacja, w której żaden uprawniony podmiot, nie podejmuje się przyjęcia roli wnioskodawcy w postępowaniu o zatwierdzenie kodeksu. W przypadku, z którym zetknęli się przedstawiciele UODO, projekt kodeksu postępowania został przygotowany dla sektora przez kilku inspektorów ochrony danych, ale żaden z podmiotów, który mógłby być uznany za przedstawiciela branży, nie chciał złożyć kodeksu do zatwierdzenia.

 


Potrzebne szerokie konsultacje

Kolejnymi wymianymi przez UODO brakami, z którymi często spotyka się organ nadzorczy na pierwszym etapie badania projektu kodeksu, są zbyt wąski zakres przeprowadzonych konsultacji (np. nie obejmujący w ogóle osób, których dane dotyczą – użytkowników albo klientów czy organizacji działających na ich rzecz) oraz przedstawianie zbyt szczegółowego sprawozdania z konsultacji.

Tymczasem wnioskodawca powinien przedstawić Prezesowi UODO syntetyczne sprawozdanie z przeprowadzonych konsultacji, zawierające kluczowe kwestie z nimi związane. UODO podkreśla, że rolą Prezesa Urzędu nie jest analiza obszernej dokumentacji, stanowiącej odzwierciedlenie całego przebiegu przeprowadzonych konsultacji, a jedynie ocena, czy konsultacje zostały przeprowadzone w odpowiednim zakresie, jak również to, czy oraz jakie przepisy projektu kodeksu postępowania zostały zmodyfikowane w efekcie przeprowadzonych konsultacji.

Jak wskazuje UODO, konsultacje społeczne są przydatne m.in. do stwierdzenia, czy treść projektu jest zrozumiała w rozumieniu art. 12 RODO. - Należy pamiętać, że odbiorcami tego dokumentu nie są jedynie członkowie regulowanego sektora – administratorzy i podmioty przetwarzające oraz współpracujące z nimi podmioty. Są to także, a często przede wszystkim (z uwagi na ich liczbę) osoby, których dane dotyczą. To konsumenci, pacjenci, usługobiorcy, pracownicy, których dane osobowe mają być przetwarzane w podwyższonym standardzie. To dla nich postanowienia kodeksu muszą być jasne i zrozumiałe - czytamy w komunikacie UODO.

Czytaj także: RODO: Wkrótce ma być zatwierdzony pierwszy kodeks branżowy>>

Za szerokie podejście to też błąd

UODO stwierdza też, że z doświadczeń Urzęu wynika, że przyczyną trudności w stworzeniu odpowiedniego kodeksu jest także zbyt kompleksowe/szerokie podejście do zagadnień przetwarzania danych zamiast rozstrzygnięcia najważniejszych problemów sektora. To powoduje niemożność zatwierdzenia kodeksu ze względu na istnienie zbyt wielu kwestii spornych, które trudno jest rozstrzygnąć w jednym dokumencie. Objęcie kodeksem zbyt wielu zagadnień może prowadzić do prób uregulowania w nim zagadnień wychodzących szeroko poza branżę, dla której stworzono kodeks. Kodeks powinien przede wszystkim regulować kwestie dotyczące specyfiki sektora, dla którego powstał.

W tym miejscu Urząd zwraca uwagę na brzmienie ustępu 2 art. 40 RODO. Wymieniono tam zagadnienia, jakie mogą obejmować kodeksy postępowania. Wyliczenie to ma charakter przykładowy i nie jest wyliczeniem wyczerpującym, tzn. nie wszystkie wskazane w nim zagadnienia muszą być uregulowane w kodeksie.

 

 

Nie przepisywać przepisów z ustawy

Jak stwierdza UODO, przepisanie w kodeksie przepisów RODO lub ustawy o ochronie danych osobowych bez praktycznego wyjaśnienia ich stosowania to kolejny błąd popełniany przez środowiska tworzące kodeks. Tymczasem, jak wskazano w Wytycznych (p. 37), „Kodeks nie powinien ograniczać się do ponownego przedstawienia przepisów RODO. Jego celem powinna być natomiast kodyfikacja tego, jak stosować RODO w sposób konkretny, praktyczny i precyzyjny. Uzgodnione normy i zasady będą musiały być jednoznaczne, konkretne, osiągalne i wykonalne (możliwe do sprawdzenia). Określenie odrębnych reguł w danej dziedzinie jest akceptowalną metodą, dzięki której kodeks może stanowić wartość dodaną. Stosowanie terminologii charakterystycznej jedynie dla danego sektora i przedstawianie konkretnych scenariuszy lub przykładów „najlepszych praktyk". może pomóc w spełnieniu tego wymogu”. Nie oznacza to braku możliwości cytowania przepisów, jeżeli mają służyć edukowaniu odbiorców i są graficznie wyodrębnione od treści normatywnej kodeksu.

Nawiązać do wtycznych i stanowisk organów

Niewskazanie w kodeksie przepisów sektorowych oraz wytycznych, opinii i stanowisk EROD w odniesieniu do konkretnego sektora lub konkretnej czynności przetwarzania lub tylko ogólne ich wskazanie bez odniesienia się do konkretnych przepisów związanych z przetwarzaniem danych osobowych w sektorze, dla którego powstał kodeks to kolejny z braków stwierdzanych przez Prezesa UODO. Podobnym jest niepowoływanie się przez twórców na istniejące orzecznictwo rozstrzygające zagadnienia regulowane w kodeksie. Wszystkie przepisy prawa i dokumenty wyjaśniające mające wpływ na procesy przetwarzania powinny zostać przez twórców kodeksów uwzględnione w przygotowaniu jego treści.

Oczekiwanie na zmianę przepisów

UODO stwierdza też, że niezależnie od wskazanych wyżej błędów popełnianych podczas prac nad tworzeniem kodeksów, wpływ na czas trwania postępowania o zatwierdzenie kodeksu ma też oczekiwanie przez środowiska pracujące nad takim dokumentem na zmianę przepisów sektorowych (gdy ich projekt jest przygotowywany przez rząd lub spodziewane jest implementowanie przepisów unijnych). - Rozsądnym rozwiązaniem jest wstrzymanie się z konsultacjami albo złożeniem wniosku o zatwierdzenie kodeksu, jeżeli regulowane operacje przetwarzania mogą po nowelizacji ulec zmianie. Inicjatywy kodeksowe powinny swoje wątpliwości i postulaty sygnalizować w procesie legislacyjnym, w którym najczęściej bierze także udział organ nadzorczy - czytamy w poradniku UODO.

Jego autorzy wskazują też, że inne błędy dotyczą kwestii związanych z podmiotami monitorującymi, brakiem wypracowania odpowiednich mechanizmów umożliwiających monitorowanie czy po prostu niemożności ich powołania. Urząd zapowiada, że zostaną one jednak w sposób szczegółowy omówione w kolejnej przyszłotygodniowej publikacji pt.: „Podmiot monitorujący kodeksy postępowania. Dlaczego jest tak ważny? Na co zwrócić uwagę a czego unikać”