Różne branże tworzą gotowe kodeksy postępowania o ochronie danych. GIODO opiniuje pierwsze takie dokumenty

Przepisy o ochronie danych osobowych, które zaczną obowiązywać od maja przyszłego roku, przewidują stworzenie branżowych kodeksów postępowania w tym zakresie. Mają ułatwić administratorom wdrażanie i stosowanie się do nowej regulacji, która na poziomie przyjętej dyrektywy jest dość ogólna. Kodeksy nie będą obowiązkowe, ale w razie kontroli lub incydentów naruszenia bezpieczeństwa mogą zapewnić przychylność GIODO. Część branż już przesłała je do zaopiniowania.

– Przepisy o ochronie danych osobowych, które będziemy stosować od maja przyszłego roku, przewidują stworzenie kodeksu postępowania dla określonej grupy administratorów. To oznacza, że grupa administratorów, zrzeszenie, izba czy jakakolwiek inna organizacja związkowa będą mogły przyjąć kodeks postępowania dla swoich członków. Co najważniejsze, wprowadzone zostały instrumenty monitorowania tego, jak są przestrzegane postanowienia tego kodeksu. Nie będzie to już czysto PR-owy glejt, ale dokument, do którego rzeczywiście trzeba się będzie stosować – mówi agencji informacyjnej Newseria Biznes Paweł Makowski, radca Generalnego Inspektora Ochrony Danych Osobowych.

Od 25 maja 2018 roku zacznie obowiązywać RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych. To unijna regulacja, która ma ujednolicić przepisy w tym zakresie na terenie wszystkich 28 państw członkowskich UE. Na wszystkie podmioty, które gromadzą i przetwarzają dane osobowe, nałoży szereg nowych, wyśrubowanych wymogów. RODO obejmie zarówno duże korporacje, podmioty publiczne, jak i niewielkie przedsiębiorstwa. Na dostosowanie się do nowych przepisów zostało jeszcze kilka miesięcy. Tym, którzy nie zdążą, grożą wielomilionowe kary finansowe, sięgające nawet 20 mln euro lub równowartości 4 proc. rocznego obrotu firmy na świecie.

RODO zawiera ogólne wytyczne, którymi powinny się kierować podmioty w zakresie ochrony danych osobowych. Nie precyzuje jednak, w jaki sposób i za pomocą jakich narzędzi mają to robić (te będą się różnić np. w zależności od branży czy wielkości firmy). Dlatego przepisy RODO przewidują możliwość stworzenia kodeksów postępowania dla poszczególnych grup administratorów.

– Celem kodeksów postępowania jest doprecyzowanie postanowień RODO. W wielu miejscach – szczególnie tam, gdzie czytamy o środkach technicznych i organizacyjnych, które należy wdrożyć, oraz jak zabezpieczać dane osobowe – rozporządzenie nie przynosi żadnych konkretnych wytycznych. Jest bardzo wiele klauzul ogólnych. To jest zadanie dla kodeksu postępowania – aby te wszystkie elementy doprecyzować, z uwzględnieniem specyfiki danej branży – mówi Paweł Makowski.

Ekspert GIODO zauważa, że w Polsce nie jest to nowe rozwiązanie. Kodeksy dotyczące standardów ochrony danych osobowych dla poszczególnych branż były tworzone już wcześniej. Jednak do tej pory takie inicjatywy miały głównie wartość wizerunkową.

– Wcześniej biuro GIODO uczestniczyło już w tworzeniu kilku kodeksów dobrych praktyk, chociażby dla przemysłu motoryzacyjnego czy branży marketingu bezpośredniego. Jednak te dokumenty miały przede wszystkim wartość PR-ową – można było pokazać, że dana branża przyjęła pełne reguły postępowania związane z ochroną danych – mówi Paweł Makowski.

Kodeksy dla administratorów danych będą opiniowane i zatwierdzane przez GIODO, który będzie je też rejestrować i publikować. Dzięki temu klienci będą mogli się zorientować w polityce dotyczącej ochrony danych osobowych, którą przyjęła dana firma czy branża.

– Jeżeli moje dane będą przetwarzane przez bank, a środowisko bankowe przyjmie taki kodeks postępowania, będę mógł zajrzeć na stronę Generalnego Inspektora i go przeczytać, dowiedzieć się trochę więcej na temat moich praw, sposobów przetwarzania moich danych osobowych przez banki. To zwiększy kontrolę osoby, której dane dotyczą, nad procesem ich przetwarzania – wyjaśnia Paweł Makowski.

GIODO będzie też kontrolować, czy administratorzy danych, którzy przyjęli kodeks, rzeczywiście przestrzegają jego zapisów. Jeżeli nie będą go przestrzegać, to w takiej sytuacji GIODO może wykluczyć ich z listy podmiotów objętych kodeksem postępowania.

– Stosowanie kodeksów jest elementem wykazywania zgodności z przepisami rozporządzenia. Ponadto artykuł 83., mówiący o administracyjnych karach pieniężnych, wymienia kilkanaście elementów, które GIODO będzie brać pod uwagę, decydując, czy i w jakiej wysokości nałożyć administracyjną karę pieniężną na dany podmiot. Wśród tych punktów jest również stosowanie zatwierdzonych kodeksów postępowania. Można powiedzieć, że kodeks jest w jakimś sensie okolicznością łagodzącą przy wymierzaniu administracyjnych kar pieniężnych. Dla nas – jako organu nadzorczego – stosowanie kodeksów będzie bardzo wyraźnym znakiem, że administrator poważnie podchodzi do przetwarzania danych – wyjaśnia Paweł Makowski.

Radca GIODO ocenia, że kodeksy postępowania dla grup administratorów to instrument, który pomoże we właściwy sposób wdrożyć i stosować nowe przepisy RODO. Zachęca, żeby już teraz przesyłać je do zaopiniowania przez biuro Generalnego Inspektora.

– Ten instrument oddaje ducha rozporządzenia RODO. Od maja przyszłego roku w systemie ochrony danych będzie więcej aktorów niż tylko jeden organ nadzorczy. Rola organizacji związkowych, zrzeszeń i izb, czyli samych administratorów, w ustalaniu reguł i zasad związanych z przetwarzaniem danych będzie bardzo duża. Zachęcamy wszystkie organizacje – wiele już się do nas zgłosiło – aby przygotowywali takie kodeksy. Już teraz zapraszamy do ich opiniowania, chociaż oficjalnie będziemy mogli je zatwierdzić dopiero w maju 2018 roku, kiedy będziemy mieli do tego podstawę prawną – mówi Paweł Makowski.

Jak informuje ekspert GIODO, stosowanie kodeksów postępowania przez administratorów danych to nie jest obligatoryjny obowiązek, lecz raczej propozycja, którą przedstawił unijny ustawodawca. Przystąpienie bądź nieprzystąpienie do kodeksu ma być dobrowolne i nie powodować żadnych konsekwencji.

– Nie będzie żadnych negatywnych konsekwencji niestosowania kodeksów. Z drugiej strony samo stosowanie kodeksu nie wyklucza kontroli Generalnego Inspektora. Nie jest tak, że jeśli firma ma kodeks lub certyfikat, to GIODO nie przyjdzie z kontrolą. GIODO zawsze ma prawo przyjść z kontrolą, ale widząc, że administrator ma kodeks postępowania, będzie to dla nas wyraźna wskazówka, że dba o ochronę danych osobowych w szczególny sposób – mówi Paweł Makowski.