Share
Warto. Ale zachęcam do czytania dalej.
Wielu przedsiębiorców (administratorów danych osobowych oraz podmiotów przetwarzających dane osobowe) już dziś dużo energii poświęca na przeprowadzenie projektu pt. dostosowanie się do wymogów RODO.
Jednym z elementów pomocnych w byciu zgodnym z przepisami RODO (i rozwiązaniami krajowymi) są kodeksy postępowania. Jest to jedna z dwóch instytucji wprowadzonych do RODO w tym celu – druga to certyfikacja (o której w kolejnym wpisie).
Zatem po co angażować czas w przygotowanie dobrego, zatwierdzonego kodeksu postępowania?
Weźmy pod uwagę treść art. 35 RODO dot. bezpieczeństwa:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).
Jak wiadomo, na poziomie legislacyjnym nie zostaną przyjęte żadne minimalne standardy dot. środków bezpieczeństwa. W konsekwencji to administrator danych / podmiot przetwarzający będą samodzielnie podejmować decyzję jakie środki są „odpowiednie”.
Przyjmując i stosując się do zatwierdzonego kodeksu postępowania taki administrator lub podmiot przetwarzający może skorzystać z następującej normy prawnej:
„Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu [czyli bezpieczeństwo], można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.”
W kontekście obowiązku rozliczalność – tego typu „pomoc” w wykazaniu spełnienia norm prawnych RODO może okazać się bardzo pomocna.
Inne elementy w których przyjęcie zatwierdzonego kodeksu postępowania może być pomocne to:
- wykazanie przestrzegania art. 24 – obowiązki administratora
- wykazanie gwarancji w relacji do podmiotów, którym dane są powierzane – art. 28
- uwzględnienie przy ocenie skutków operacji przetwarzania danych osobowych – art. 35
- fakt stosowanie zatwierdzonych kodeksów postępowania jest brany pod uwagę zgodnie z art. 83 RODO pod uwagę przy wymierzaniu administracyjnej kary pieniężnej…
Jaki kodeks postępowania przygotować?
Zgodnie z RODO to zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres. Aktualnie najbardziej zainteresowane kodeksami są konkretne branże i organizacje pracodawców.
Sam dokument nie jest pisany jedynie do szuflady. Aby miał status „ważnego”, zatwierdzonego kodeksu musi on przejść weryfikację. Zrzeszenia i inne podmioty chcące opracować kodeks postępowania lub zmienić lub rozszerzyć zakres kodeksu już obowiązującego przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu (aktualnie GIODO). Organ nadzorczy wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.
Co najważniejsze jednak, z pracą nad kodeksem nie trzeba czekać do dnia 25 maja 2018 r. Wręcz przeciwnie – tworzenie takiego dokumentu powinno się rozpocząć już dziś.
