Zawarte 16 grudnia 2016 r. i 7 marca 2017 r. porozumienia GIODO z organizacjami działającymi w branży teleinformatycznej i internetowej: z PIIT oraz z IAB Polska, w celu stworzenia branżowych kodeksów postępowania, mają zapewnić upowszechnienie i jednolite wdrażanie zasad ochrony danych osobowych, w szczególności wynikających z nowego ogólnego rozporządzenia o ochronie danych osobowych (RODO). Czym będą branżowe kodeksy postępowania?

****

Kodeksy postępowania w RODO – co się zmienia?

Już w ramach obowiązującej obecnie dyrektywy 95/46/WE o ochronie danych osobowych przewiduje się tworzenie kodeksów postępowania w celu ułatwienia stosowania dyrektywy, biorąc pod uwagę szczególne cechy procesu przetwarzania danych w niektórych sektorach. Nie jest zatem nowa idea propagowania oddolnych inicjatyw dla wdrażania prawa ochrony danych, pochodzących od kręgów reprezentujących biznes i mających lepszą niż ustawodawca znajomość specyfiki działalności w poszczególnych branżach.

Obecnie, zgodnie z art. 27 dyrektywy 95/46/WE, państwa członkowskie mają promować tworzenie krajowych branżowych kodeksów postępowania ułatwiających zapewnienie zgodności z wymogami europejskiego prawa ochrony danych, uwzględniając specyfikę i odmienności branżowe, oraz mają umożliwiać przedstawienie projektów lub propozycji zmian kodeksów do oceny krajowemu organowi ochrony danych oraz prowadzenia konsultacji przez ten organ. W odniesieniu do wspólnotowych kodeksów postępowania, mogą one być przedkładane Grupie Roboczej artykułu 29 do oceny.

RODO wprowadza istotną zmianę w kwestii kodeksów postępowania, ponieważ przypisana im zostanie znacznie donioślejsza rola w zakresie zapewniania przez przedsiębiorców zgodności przetwarzania z prawem ochrony danych oraz wykazywania tej zgodności. Jest to związane ze zmianą podejścia do prawa ochrony danych osobowych w RODO, polegającą na przypisaniu większego niż dotychczas znaczenia samoregulacji administratorów i podmiotów przetwarzających dane i wykazywaniu zgodności stosowanych procedur z prawem na etapie ich uruchamiania czy wdrażania. Branżowe kodeksy postępowania, obok mechanizmów certyfikacyjnych, będą ważnym elementem realizacji nowego podejścia i wykazywania przestrzegania prawa ochrony danych. W związku z tym ranga i rola branżowych kodeksów postępowania wymiernie wzrośnie, co, jak należy się spodziewać, pociągnie za sobą zainteresowanie organizacji przedsiębiorców ich tworzeniem dla rozmaitych sektorów rynku. Widoczną zapowiedzią szykowania się izb gospodarczych i związków pracodawców do przyjęcia kodeksów przetwarzania danych osobowych są deklaracje rozpoczęcia prac nad kodeksami poczynione przez  PIIT i IAB w porozumieniach zawartych z GIODO.

Nowe obszary zastosowania kodeksów postępowania

W RODO kodeksom poświęcono znacznie więcej miejsca niż w obowiązującej dyrektywie. Ogólną funkcją zatwierdzonych kodeksów postępowania będzie rozpowszechnianie wskazówek wdrażania odpowiednich środków ochrony danych oraz umożliwienie wykazywania przestrzegania prawa ochrony danych przez administratorów danych osobowych oraz podmioty, którym powierzono ich przetwarzanie. W tym wyrażać się będzie bodaj najważniejsza rola kodeksów postępowania – inaczej niż dotychczas, będą one oficjalnym instrumentem zgodności (compliance) z przepisami o ochronie danych osobowych. Kodeksy mają uwzględniać specyfikę działalności małych i średnich przedsiębiorców, poprzez dopasowanie w nich sposobu wykonywania obowiązków związanych z przetwarzaniem do skali działalności przedsiębiorcy i, co za tym idzie, skali ryzyk dla danych z nią związanych. Wykazanie stosowania kodeksów postępowania ma łagodzić potencjalne sankcje związane z naruszeniem przepisów ochrony danych.

Zgodnie z art. 40 ust. 2 RODO, kodeksy postępowania będą mogły być tworzone w celu doprecyzowania zastosowania przepisów RODO dotyczących praktycznie wszystkich aspektów przetwarzania danych: rzetelnego i przejrzystego przetwarzania, prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach, zbierania danych osobowych, pseudonimizacji danych osobowych, informowania opinii publicznej i osób, których dane dotyczą, wykonywania przez osoby, których dane dotyczą, przysługujących im praw, środków i procedur bezpieczeństwa, informowania i ochrony dzieci, przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, i in.

Zidentyfikować można istotne aspekty przetwarzania danych, w których wprost wskazano w RODO możliwość stosowania kodeksów postępowania. Administrator będzie mógł, powołując się na stosowanie kodeksu postępowania przez podmiot, któremu powierza przetwarzanie danych, wykazać, że wybór osoby przetwarzającego jest rzetelny (art. 28 ust. 5 RODO). Kodeksy dadzą również możliwość wykazania spełniania obowiązków związanych z wdrażaniem środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych (art. 32 ust. 3 RODO). Także dla prowadzenia tzw. impact assessment, czyli oceny skutków przetwarzania dla ochrony danych, która będzie na gruncie RODO obowiązkowa w przypadkach planowania takiego rodzaju przetwarzania danych, które może rodzić wyższe dla nich ryzyko, istotne staną się kodeksy postępowania, ponieważ fakt ich stosowania przez przetwarzającego znacznie może tę (opartą o niedookreślone przesłanki) ocenę ułatwić (art. 35 ust. 8 RODO). Podobnie w przypadku transferu danych osobowych do państw trzecich – w braku umożliwiającej go decyzji Komisji, wykazanie zapewnienia odpowiednich  zabezpieczeń będzie mogło odbyć się w oparciu o zatwierdzony kodeks postępowania (art. 46 ust. 2 lit. e RODO).

Nadzór nad wprowadzaniem i wykonywaniem kodeksów

Obecnie, na gruncie dyrektywy, Generalny Inspektor ma jedynie kompetencję do opiniowania i przeprowadzania konsultacji kodeksów, nie przewidziano natomiast elementu formalnego zatwierdzania kodeksów przez GIODO. Natomiast w stanie prawnym wprowadzonym przez RODO, kodeksy postępowania będą mogły służyć jako narzędzie compliance’owe jedynie pod warunkiem ich zatwierdzenia przez organ nadzorczy (GIODO lub odpowiednik obecnego GIODO). Już sam fakt wprowadzenia wymogu oficjalnego zatwierdzenia kodeksów postępowania przez organ nadzorczy decydować będzie o wzmocnieniu ich rangi, roli i znaczenia (art. 40 ust. 5 RODO). Jeżeli zaś kodeks postępowania ma obejmować zasięgiem kilka państw Unii Europejskiej, wówczas za jego zaakceptowanie będzie odpowiedzialna Europejska Rada Ochrony Danych (art. 40 ust. 7 RODO).

Istotną nowością, o której także warto wspomnieć, jest wprowadzony w RODO wymóg ustanowienia w kodeksach postępowania mechanizmów obowiązkowego monitorowania ich przestrzegania w działalności administratorów danych osobowych lub podmiotów je przetwarzających, którzy zobowiązali się do stosowania kodeksu. To monitorowanie powierzone ma być organowi akredytowanemu, administrującemu danym kodeksem, bez uszczerbku dla kompetencji krajowych organów nadzorczych.

Kodeksy postępowania dotychczas

Polska ustawa o ochronie danych osobowych nie wprowadziła implementacji przepisów dyrektywy 95/46/WE dotyczących tworzenia kodeksów podstępowania. Istniejące porozumienia pomiędzy GIODO a rozmaitymi organizacjami i instytucjami, dotyczące dobrych praktyk w zakresie ochrony danych, nie mają oparcia w przepisach dyrektywy. W przestrzeni wspólnotowej natomiast stworzono dwa kodeksy postępowania poddane ocenie Grupy Roboczej art. 29. Pierwszy z nich to kodeks postępowania dotyczący użycia danych osobowych w marketingu bezpośrednim, stworzony w 2000 r. przez FEDMA (Federation of European Direct Marketing) i zmieniany w 2010 r. (obecnie prowadzone są przez FEDMA prace nad unowocześnieniem kodeksu i jego dostosowaniem do nowej regulacji). Drugi, który jest obecnie przedmiotem szerokiego zainteresowania, to przyjęty we wrześniu 2016 r. kodeks postępowania w dziedzinie ochrony danych w chmurze, stworzony przez CISPE (Cloud Infrastructure Services Providers in Europe), koalicję ponad 20 dostawców usług chmurowych działających na terenie Europy[1]. Jest to jednak już inicjatywa podjęta z myślą o RODO – nowy kodeks  postępowania CISPE został skonstruowany w taki sposób, aby był zgodny z RODO, gdy rozpocznie się jego stosowanie. Kodeks CISPE skierowany jest przede wszystkim do dostawców usług IaaS.

Jedno pozostaje bez zmian – branżowe kodeksy postępowania nadal nie będą stanowić instrumentu przymusowo stosowanego przez administratorów czy podmioty przetwarzające dane i pod kątem charakteru prawnego pozostają narzędziami tzw. soft law.

[1]Treść Kodeksu CISPE dostępna pod linkiem: https://cispe.cloud/wp-content/uploads/2017/03/Code-of-Conduct-27-January-2017-logo-table-A-corrected.pdf (dostęp 14.04.2017 r.).