Rozporzadzenie nie precyzuje, w jaki sposób i za pomocą jakich narzędzi to robić. Jednym z mechanizmów, które mają wesprzeć administratorów w prawidłowym stosowaniu przepisów rozporządzenia, mają być kodeksy postępowania.
10 stycznia GIODO zorganizował warsztat na temat kodeksów postępowania w RODO. Swoimi doświadczeniami w ich opracowywaniu dzielili się przedstawiciele branży bankowej, internetowej, biobankowania ludzkiego materiału biologicznego oraz Konferencji Rektorów Uniwersytetów Medycznych.
– Kodeksy nie powinny mieć charakteru generalnego. Muszą odnosić się do określonego sektora, branży – mówił Piotr Drobek z biura GIODO. Pozwalają one na uwzględnienie specyfiki różnych sektorów dokonujących przetwarzania danych oraz szczególnych potrzeb mikro, małych i średnich przedsiębiorstw. Wynika to bezpośrednio z art. 40 RODO. Celem kodeksów jest doprecyzowanie przepisów, w szczególności w zakresie rekomendowanych środków organizacyjnych i technicznych, które mają służyć realizacji wymogów RODO.
Zidentyfikować ryzyka
RODO, wprowadzając szereg zmian w ochronie danych osobowych, za ich podstawę przyjmuje system wymagający identyfikacji ryzyk i dostosowania do nich adekwatnych środków organizacyjnych i technicznych. Jednocześnie nie doprecyzowuje, jakie środki powinny być zastosowane. To nie ułatwia zadania administratorom i rodzi szereg wątpliwości – mówi generalny inspektor ochrony danych osobowych dr Edyta Bielak-Jomaa.
Coraz więcej podmiotów dostrzega potrzebę dostosowania przepisów RODO do specyfiki swojej branży. Prace nad swoim kodeksem zakończyła właśnie branża bankowa – został on przekazany do zaopiniowania GIODO. W ostatnich dniach rozpoczęcie prac nad kodeksem zapowiedziała również branża rekrutacyjna.
Pożyteczne branżowe kodeksy
– Opracowanie kodeksów postępowania pozwala na przetransponowanie języka rozporządzenia na praktykę stosowania przepisów w określonym sektorze. Zatwierdzenie kodeksu przez GIODO dodatkowo potwierdza jego rangę – zaznacza dr Edyta Bielak-Jomaa.
– Chcemy patrzeć na kodeksy postępowania jako na te instrumenty, które przynoszą szereg korzyści zarówno dla administratorów, jak i dla podmiotów, których dane są przetwarzane – podkreśla Generalny Inspektor Ochrony Danych Osobowych. Dodaje, że administratorzy przyjmujący kodeksy otrzymają konkretne i zrozumiałe wytyczne dotyczące procesu przetwarzania danych. To istotne, szczególnie wtedy, gdy wymogi dot. ochrony danych nie są wystarczająco jasne i szczegółowe.
Ważne!
Zatwierdzony kodeks będzie miał istotne znaczenie dla stwierdzenia, że konkretny administrator danych wywiązuje się z ciążących na nim obowiązków. GIODO przypomina, że stosowanie kodeksu będzie uznawane za działalnie zmniejszające ryzyko naruszeń.
– Do tej pory kodeksy nie miały charakteru wiążącego, ale pod rządami RODO przestaną być dokumentami czystko wizerunkowymi. Będą musiały zawierać bowiem mechanizmy egzekwowania praw osób, w tym rozstrzygania sporów i obowiązkowego monitorowania ich przestrzegania. Te podmioty, które przyjmują kodeksy, zobowiązują się do stosowania ich postanowień – zaznacza dr Edyta Bielak-Jomaa.
Oczekiwanie na polską ustawę
Wszystkie organizacje muszą być gotowe na 25 maja br. – RODO stanie się wówczas obowiązującym prawem. Co prawda nie wiemy jeszcze, jaki będzie ostateczny kształt polskich przepisów dot. nowych zasad ochrony danych, ale to absolutnie nie przeszkadza w przygotowywaniu się do zmiany. Dr Edyta Bielak-Jomaa podkreśla, że należy przygotowywać się do stosowania RODO niezależnie od toczących się prac nad zmianą krajowych przepisów. To, co wynika z RODO, jest wystarczające do jego stosowania – zaznacza GIODO.
Ważne!
Organ nadzorczy (obecnie GIODO) uzyska uprawnienie do zatwierdzania kodeksów postępowania 25 maja 2018 roku. W tej chwili nie ma jeszcze takiej kompetencji.
Czytaj: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>
Edyta Bielak-Jomaa,Dominik Lubasz
RODO. Ogólne rozporządzenie o ochronie danych. Komentarz>>