Newsy

Różne branże tworzą gotowe kodeksy postępowania o ochronie danych. GIODO opiniuje pierwsze takie dokumenty

2017-11-08  |  06:50

Przepisy o ochronie danych osobowych, które zaczną obowiązywać od maja przyszłego roku, przewidują stworzenie branżowych kodeksów postępowania w tym zakresie. Mają ułatwić administratorom wdrażanie i stosowanie się do nowej regulacji, która na poziomie przyjętej dyrektywy jest dość ogólna. Kodeksy nie będą obowiązkowe, ale w razie kontroli lub incydentów naruszenia bezpieczeństwa mogą zapewnić przychylność GIODO. Część branż już przesłała je do zaopiniowania.

– Przepisy o ochronie danych osobowych, które będziemy stosować od maja przyszłego roku, przewidują stworzenie kodeksu postępowania dla określonej grupy administratorów. To oznacza, że grupa administratorów, zrzeszenie, izba czy jakakolwiek inna organizacja związkowa będą mogły przyjąć kodeks postępowania dla swoich członków. Co najważniejsze, wprowadzone zostały instrumenty monitorowania tego, jak są przestrzegane postanowienia tego kodeksu. Nie będzie to już czysto PR-owy glejt, ale dokument, do którego rzeczywiście trzeba się będzie stosować – mówi agencji informacyjnej Newseria Biznes Paweł Makowski, radca Generalnego Inspektora Ochrony Danych Osobowych.

 

Od 25 maja 2018 roku zacznie obowiązywać RODO, czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych. To unijna regulacja, która ma ujednolicić przepisy w tym zakresie na terenie wszystkich 28 państw członkowskich UE. Na wszystkie podmioty, które gromadzą i przetwarzają dane osobowe, nałoży szereg nowych, wyśrubowanych wymogów. RODO obejmie zarówno duże korporacje, podmioty publiczne, jak i niewielkie przedsiębiorstwa. Na dostosowanie się do nowych przepisów zostało jeszcze kilka miesięcy. Tym, którzy nie zdążą, grożą wielomilionowe kary finansowe, sięgające nawet 20 mln euro lub równowartości 4 proc. rocznego obrotu firmy na świecie.

RODO zawiera ogólne wytyczne, którymi powinny się kierować podmioty w zakresie ochrony danych osobowych. Nie precyzuje jednak, w jaki sposób i za pomocą jakich narzędzi mają to robić (te będą się różnić np. w zależności od branży czy wielkości firmy). Dlatego przepisy RODO przewidują możliwość stworzenia kodeksów postępowania dla poszczególnych grup administratorów.

– Celem kodeksów postępowania jest doprecyzowanie postanowień RODO. W wielu miejscach – szczególnie tam, gdzie czytamy o środkach technicznych i organizacyjnych, które należy wdrożyć, oraz jak zabezpieczać dane osobowe – rozporządzenie nie przynosi żadnych konkretnych wytycznych. Jest bardzo wiele klauzul ogólnych. To jest zadanie dla kodeksu postępowania – aby te wszystkie elementy doprecyzować, z uwzględnieniem specyfiki danej branży – mówi Paweł Makowski.

Ekspert GIODO zauważa, że w Polsce nie jest to nowe rozwiązanie. Kodeksy dotyczące standardów ochrony danych osobowych dla poszczególnych branż były tworzone już wcześniej. Jednak do tej pory takie inicjatywy miały głównie wartość wizerunkową.

– Wcześniej biuro GIODO uczestniczyło już w tworzeniu kilku kodeksów dobrych praktyk, chociażby dla przemysłu motoryzacyjnego czy branży marketingu bezpośredniego. Jednak te dokumenty miały przede wszystkim wartość PR-ową – można było pokazać, że dana branża przyjęła pełne reguły postępowania związane z ochroną danych – mówi Paweł Makowski.

Kodeksy dla administratorów danych będą opiniowane i zatwierdzane przez GIODO, który będzie je też rejestrować i publikować. Dzięki temu klienci będą mogli się zorientować w polityce dotyczącej ochrony danych osobowych, którą przyjęła dana firma czy branża.

– Jeżeli moje dane będą przetwarzane przez bank, a środowisko bankowe przyjmie taki kodeks postępowania, będę mógł zajrzeć na stronę Generalnego Inspektora i go przeczytać, dowiedzieć się trochę więcej na temat moich praw, sposobów przetwarzania moich danych osobowych przez banki. To zwiększy kontrolę osoby, której dane dotyczą, nad procesem ich przetwarzania – wyjaśnia Paweł Makowski.

GIODO będzie też kontrolować, czy administratorzy danych, którzy przyjęli kodeks, rzeczywiście przestrzegają jego zapisów. Jeżeli nie będą go przestrzegać, to w takiej sytuacji GIODO może wykluczyć ich z listy podmiotów objętych kodeksem postępowania.

– Stosowanie kodeksów jest elementem wykazywania zgodności z przepisami rozporządzenia. Ponadto artykuł 83., mówiący o administracyjnych karach pieniężnych, wymienia kilkanaście elementów, które GIODO będzie brać pod uwagę, decydując, czy i w jakiej wysokości nałożyć administracyjną karę pieniężną na dany podmiot. Wśród tych punktów jest również stosowanie zatwierdzonych kodeksów postępowania. Można powiedzieć, że kodeks jest w jakimś sensie okolicznością łagodzącą przy wymierzaniu administracyjnych kar pieniężnych. Dla nas – jako organu nadzorczego – stosowanie kodeksów będzie bardzo wyraźnym znakiem, że administrator poważnie podchodzi do przetwarzania danych – wyjaśnia Paweł Makowski.

Radca GIODO ocenia, że kodeksy postępowania dla grup administratorów to instrument, który pomoże we właściwy sposób wdrożyć i stosować nowe przepisy RODO. Zachęca, żeby już teraz przesyłać je do zaopiniowania przez biuro Generalnego Inspektora.

– Ten instrument oddaje ducha rozporządzenia RODO. Od maja przyszłego roku w systemie ochrony danych będzie więcej aktorów niż tylko jeden organ nadzorczy. Rola organizacji związkowych, zrzeszeń i izb, czyli samych administratorów, w ustalaniu reguł i zasad związanych z przetwarzaniem danych będzie bardzo duża. Zachęcamy wszystkie organizacje – wiele już się do nas zgłosiło – aby przygotowywali takie kodeksy. Już teraz zapraszamy do ich opiniowania, chociaż oficjalnie będziemy mogli je zatwierdzić dopiero w maju 2018 roku, kiedy będziemy mieli do tego podstawę prawną – mówi Paweł Makowski.

Jak informuje ekspert GIODO, stosowanie kodeksów postępowania przez administratorów danych to nie jest obligatoryjny obowiązek, lecz raczej propozycja, którą przedstawił unijny ustawodawca. Przystąpienie bądź nieprzystąpienie do kodeksu ma być dobrowolne i nie powodować żadnych konsekwencji.

– Nie będzie żadnych negatywnych konsekwencji niestosowania kodeksów. Z drugiej strony samo stosowanie kodeksu nie wyklucza kontroli Generalnego Inspektora. Nie jest tak, że jeśli firma ma kodeks lub certyfikat, to GIODO nie przyjdzie z kontrolą. GIODO zawsze ma prawo przyjść z kontrolą, ale widząc, że administrator ma kodeks postępowania, będzie to dla nas wyraźna wskazówka, że dba o ochronę danych osobowych w szczególny sposób – mówi Paweł Makowski.

Czytaj także

Kalendarium

Więcej ważnych informacji

Konkurs Polskie Branży PR

Jedynka Newserii

Jedynka Newserii

Handel

Polskie firmy z szansą na zdobycie azjatyckich rynków. Mogą otrzymać wsparcie na promocję podczas Expo 2025 w Osace

W 2025 roku w japońskiej Osace odbędzie się Wystawa Światowa Expo 2025. Udział w niej, a także towarzyszących imprezie wydarzeniach i targach to dla polskich firm szansa na wzrost rozpoznawalności swoich marek za granicą, a w konsekwencji na rozwój ich potencjału eksportowego. Expo 2025 będzie się koncentrowało na innowacjach służących zrównoważonemu rozwojowi. PARP, który jest partnerem wydarzenia w Polsce, do 26 września br. czeka na wnioski firm zainteresowanych udziałem w wydarzeniu i ekspansją na azjatyckie rynki. W ramach programu mogą one otrzymać wsparcie na udział w targach, na misje wyjazdowe i kampanie promocyjne przed i po zakończeniu Expo. Nabór finansowany jest z Funduszy Europejskich dla Nowoczesnej Gospodarki 2021–2027

Polityka

Rośnie ryzyko wybuchu epidemii w Strefie Gazy. Brakuje czystej wody, kanalizacji i toalet, a w zniszczonej enklawie wykryto polio

W Strefie Gazy brakuje praktycznie wszystkiego – od żywności i wody po podstawowe leki – ale najgorsze może dopiero nadejść – alarmuje Polska Akcja Humanitarna. – Kilka dni temu w wodzie w Strefie Gazy znaleziono polio typu 2. Ta woda jest bardzo zanieczyszczona, infrastruktura wodno-sanitarna na tym terenie tak naprawdę już nie istnieje. Na dodatek od dziewięciu miesięcy dzieci nie są szczepione, ponieważ nie ma warunków, żeby to zrobić, więc istnieje bardzo duże zagrożenie wybuchu epidemii – mówi Magdalena Foremska z PAH. W odpowiedzi na kryzys organizacja uruchomiła duże projekty pomocowe, które mają zapewnić żywność i opiekę medyczną w Strefie Gazy i na Zachodnim Brzegu.

IT i technologie

Gminy potrzebują inwestycji w cyberbezpieczeństwo. Eksperci widzą duże ryzyka wynikające z zaniedbań

Dane gromadzone przez jednostki samorządu terytorialnego mogą być bardzo niebezpiecznym narzędziem w rękach przestępców. Wykradzione mogą posłużyć do fałszowania tożsamości człowieka. Tymczasem poziom inwestycji w cyberbezpieczeństwo jest w gminach niski, a liczba ataków hakerskich na nie stale rośnie. Eksperci czekają na pozytywne skutki rządowego programu Cyberbezpieczny Samorząd. W jego ramach 1,5 mld zł trafi na inwestycje w poprawę bezpieczeństwa cybernetycznego samorządów: zarówno na poziomie sprzętu i oprogramowania, jak i kompetencji oraz procedur.

Partner serwisu

Instytut Monitorowania Mediów

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.