• 29 marca 2024

Kodeksy postępowania

 Kodeksy postępowania

Kodeksy postępowania to swego rodzaju poradnik, mówiący o tym, jak najlepiej zabezpieczać dane osobowe w różnych środowiskach biznesowych. Taka lista kodeksów może zawierać ogólnikowo przedstawione zasady jak i złożone opisy z detalami wykonywania poszczególnych czynności.

Istnieją trzy rodzaje kodeksów postępowania w RODO: krajowe, unijne oraz wykorzystywane do międzynarodowych transferów danych. Ich celem jest głównie usprawnienie procesu prawidłowego wprowadzania przepisów, przyjętych przez Państwa Członkowskie, uwzględniając szczególne cechy różnych sektorów oraz indywidualne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw. Regulacja unijna umożliwia  opracowywanie oraz rozszerzanie projektów kodeksów postępowania przez organizacje reprezentujące administratorów lub podmioty przetwarzające dane osobowe. Wszystko w celu doprecyzowania RODO w swojej branży. Administratorzy oraz podmioty przetwarzające dane mają prawa sporządzać kodeksy, zmieniać je, bądź rozszerzać ich zakresy w odniesieniu do:

  • prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;
  • zbierania danych osobowych;
  • pseudonimizacji danych osobowych;
  • informowania opinii publicznej i osób, których dane dotyczą;
  • wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
  • informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
  • środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;
  • zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;
  • przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub
  • postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.

Istotnym elementem tworzenia takiego opracowania kodeksu bądź jego modyfikacji są konsultacje i podkreśla to również Prezes UODO. Informacja ta zawarta jest też w RODO i brzmi następująco:

„Sporządzając kodeks postępowania bądź zmieniając go lub rozszerzając jego zakres, zrzeszenia i inne organy reprezentujące kategorie administratorów lub podmiotów przetwarzających powinny konsultować się z odpowiednimi stronami, których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji.”

W przypadku kodeksów krajowych, po ustaleniu projektu, całość musi zostać zaakceptowana przez organ nadzorczy, który wydaje opinię o zgodności propozycji kodeksu i go zatwierdza, jeśli uzna, że stanowi odpowiednie zabezpieczenia. Z kodeksami unijnymi proces ten jest bardziej skomplikowany, ponieważ po zatwierdzeniu przez urząd nadzorczy, projekt kodeksu musi zostać zaakceptowany również przez Europejską Radę Ochrony Danych, która następnie oddaje swoją opinię Komisji. Wtedy Komisja stwierdza, czy zatwierdzony kodeks jest powszechnie obowiązujący w Unii. Następnie rozpowszechnia go i udostępnia opinii publicznej.

Samo wprowadzanie takiego kodeksu zawiera w sobie jednak wciąż wiele niewiadomych, przez które firma musi przebrnąć, zanim będzie mogła używać swojego, spersonalizowanego kodeksu. Właśnie takie tematy poruszymy ze ekspertem w zakresie compliance, ochrony danych osobowych i polityki przeciwdziałania praniu pieniędzy, Przemysławem Olszewskim.

Co muszą zawierać projekt kodeksu bądź jego modyfikacja, żeby zostały zatwierdzone?

Pani redaktor na wstępie wymieniła już obszary które mogą być regulowane kodeksami. W mojej ocenie kodeks można porównać z „małą konstytucją” celem tego dokumentu jest opisanie szczegółowo zagadnień, które są istotne dla konkretnej branży, a nie zostały odpowiednio jasno uregulowane w przepisach. Bardzo często przedsiębiorcy regulują w ten sposób ważne dla nich kwestie, które do tej pory regulowane były przez kilka przepisów prawa i często rodzą obawy  u tych przedsiębiorców czy zastosowane przez nich rozwiązania nie będą kwestionowane przez kontrolerów z UODO.

Przykładem takim może być dość często poruszana kwestia skanowania dokumentów. To zagadnienie na początku tego roku podlegało kontroli UODO. Myślę, że doprecyzowanie tego procesu w treści kodeksu pozwoliłoby z jednej strony uzgodnić bardzo istotny proces KYC z organem nadzoru ale z drugiej uświadomić klientom banków po co to się robi i że jest to zgodne z prawem.

Czyli jak dobrze rozumiem, myśli Pan, że kodeksy powinny regulować sprawy, które są problematyczne takie jak np. biometria.

Tak, z pewnością nie ma sensu tworzyć kolejnego dokumentu który będzie powielać istniejące przepisy prawne,  za to możemy w tej sposób uregulować kwestie, które wiemy że mogą rodzić problemy i być źródłem potencjalnych skarg klientów. Biometria jest kolejnym bardzo dobrym przykładem. Dziś organ nadzoru stanowczo zabrania prowadzić ewidencji czasu pracy w za pomocą urządzeń identyfikujących linie papilarne. Z drugiej jednak strony uważam że może dopuścić stosowanie tych rozwiązań np. do zabezpieczenia pomieszczeń o szczególnym znaczeniu. Pamiętam jak kiedyś podczas rozmowy dr. Wojciech Wiewiórowski ówczesny Generalny Inspektor Ochrony Danych (2010-2014) wspomniał, że mógłbym w ten sposób zabezpieczyć magazyn z materiałami wybuchowymi. Był to dla mnie bardzo cenny przykład gdyż wtedy zastanawialiśmy się nad wprowadzeniem odpowiednich silnych zabezpieczeń do pomieszczeń, w których przechowywane były dane zdrowotne. W swojej karierze kilka jako ABI/IOD lub konsultant zewnętrzny kilka razy wypowiadałem się w kwestii stosowanie tego typu zabezpieczeń.

Kogo najlepiej prosić o pomoc w tworzeniu projektu kodeksu?

Samo napisanie projektu kodeksu jest dopiero początkiem drogi. W mojej ocenie dość trudnym etapem jest jego uzgadnianie. Ten etap powinien być trudny gdyż będą tu ścierać się propozycje i poglądy rożnych uczestników. Warto jest wiec aby ciężar koordynacji powierzyć profesjonalnej osobie, która zna regulacje prawne i jest w stanie przygotować zapisy, które będą zgodne z normami prawnymi oraz ze stanowiskami uczestników tego procesu uzgadniania. W swojej karierze zawodowej uczestniczyłem w kilku taki procesach tworzenia kodeksów, a zaczynałem jeszcze zanim RODO wprowadziło taką możliwość.

Czyli kodeksy tworzono już wcześniej?

O tak, dla mnie bardzo istotnym był jeden z pierwszych kodeksów stworzonych w Polsce przez stowarzyszenie marketingu bezpośredniego, Był on nie tylko narzędziem stosowanym przez podmioty świadczące usługi telemarketingu, ale był wspaniałym punktem odniesienia dla każdego kto prowadził call center. Dziś te usługi są często przeniesione poza przedsiębiorstwo ale jak pokazują kontrole UODO nie każdy z tych podmiotów działa zgodnie z RODO dlatego warto jest sprawdzić, czy podmiot, z którym podpisujemy umowę, spełnia standardy RODO. Art. 29 Wspomina właśnie o tym „Wystarczające gwarancje, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania”.

Możliwość wprowadzenia takich regulacji w kodeksach nie tylko daje swobodę administratorom ale zapewnia również większą stabilizację dla klientów i podmiotów zrzeszonych przez indywidualizację projektu. Jakie jeszcze plusy niesie ze sobą elastyczność modyfikowania kodeksów?

Ostateczna treść kodeksu będzie wypadkową wielu stanowisk ale myślę, że wprowadza ona większą pewność prawną czy ja wolę czasami mówić „zgodność z prawem”, co znacząco podnosi komfort pracy, zwłaszcza dla mały przedsiębiorców, za którymi nie stoi grupa prawników wspierana przez inne działy takie jak np. compliance. Z drugiej strony jest to przewaga konkurencyjna i może umożliwić zawarcie umów z ważniejszymi klientami. Wracając do przykładu z call center. Jeśli jako bank mam wybrać podmiot mający wdrożony kodeks i taki który jeszcze go nie zaakceptował to prawdopodobnie wybiorę ten z kodeksem.

Jeżeli kodeks został już zatwierdzony, w jaki sposób poprawnie z niego korzystać i czy jest on w jakiś sposób kontrolowany?

Tu często podmioty chcące stworzyć kodeks bagatelizują kwestię monitoringu. Warto jest jednak zrozumieć, że ten mechanizm, dając nam większe bezpieczeństwo i niższe ryzyko niezgodności z RODO, aby poprawnie funkcjonował, musi być kontrolowany. Tu chyba najlepszym porównaniem będzie odniesienie się do normy jakości 9001 która również wymaga przeprowadzania okresowych audytów certyfikujących. Nie powinno więc to dziwić. Ma to jednak w mojej ocenie kolejną zaletę, a mianowicie możliwość zweryfikowania, czy moje przedsiębiorstwo działa zgodnie z RODO. Każdy chyba na koniec dnia woli wdrożyć zalecenia od audytora niż otrzymać decyzję od kontrolerów UODO wymierzającą wysoką karę administracyjną za wykryte naruszenia przepisów prawa.

Można powiedzieć, że spersonalizowane kodeksy postępowania niosą ze sobą tyle samo pozytywów co obowiązków, a jednak każda firma powinna je mieć. Chociaż wymaga ona współpracy oraz szczegółowych analiz, jest rozwiązaniem długoterminowym w kwestii bezpieczeństwa przedsiębiorstw. Zapewnia też spokój i komfort nie tylko pracownikom ale i klientom, co niewątpliwie wpłynie na jakość pracy i wzrost zaufania do firmy.