Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2017

Z autotrackingiem

Aver PTC500
20.06.2017

Do budynków i na zewnątrz

Ubiquiti UAP-AC-HD
16.06.2017

Monitor 16:3

BenQ BH281
13.06.2017

Monitorowanie

Axence nVision 9.2
12.06.2017

Exatel Security Day –...

Już 20 czerwca w Warszawie rozpocznie się druga edycja Exatel Security Day. W tym roku...
09.06.2017

Automatyzacja...

Red Hat Ansible
06.06.2017

Optymalizacja wydatków

Snow for Office 365
01.06.2017

Zarządzanie końcówkami

baramundi Management Suite 2017
12.05.2017

SAP Executive Forum 2017

Jak rozwijać firmę w dobie digitalizacji? To jedno z wielu zagadnień, o których będą...

Branżowe kodeksy postępowania

Data publikacji: 26-05-2017 Autor: Magdalena Gąsowska

Wraz z rozpoczęciem stosowania unijnego ogólnego rozporządzenia o ochronie danych osobowych (rodo), które nastąpi 25 maja 2018 r., istotnym elementem realizowania oraz wykazywania spełnienia obowiązków związanych z ochroną danych osobowych staną się branżowe kodeksy postępowania w dziedzinie ochrony danych.

Kodeksy postępowania w zakresie ochrony danych osobowych są mechanizmami przewidzianymi przez unijne prawo ochrony danych, pozwalającymi na zdefiniowanie przez instytucje działające w interesie określonych uczestników rynku (np. izby gospodarcze i związki przedsiębiorców czy pracodawców działające w ramach branż) zestawień dobrych praktyk, procedur określających, jak w najlepszy sposób w danym rodzaju działalności biznesowej, gospodarczej, społecznej czy innej realizować zadania związane z ochroną danych osobowych przetwarzanych w ramach tej działalności. Ich istotną cechą jest, że powinny być instrumentami tworzonymi w ramach i dla poszczególnych branż, z uwzględnieniem ich specyfiki biznesowo-organizacyjnej.

W Polsce inicjatywa tworzenia kodeksów została zadeklarowana w branży internetowej i teleinformatycznej poprzez porozumienia podpisane pomiędzy PIIT i IAB Polska a GIODO. Na arenie wspólnotowej powstał także istotny z punktu widzenia systemów cloud computingu kodeks postępowania stworzony w ramach organizacji CISPE.

Postać kodeksów postępowania nie została w prawie unijnym sprecyzowana i może być różna od opisów na dużym poziomie ogólności niezawierających detalicznych szczegółów wykonywania czynności, aż do ścisłego określenia procedur postępowania. Kodeksy mogą pod względem zakresu obejmować organizacje jedynie krajowe, jak i mogą być tworzone dla kilku czy wszystkich krajów UE lub EOG.

> NOWE ZNACZENIE BRANŻOWYCH KODEKSÓW POSTĘPOWANIA W RODO

Tworzenie kodeksów postępowania w celu jak najlepszej implementacji prawa ochrony danych osobowych UE przewiduje obecnie obowiązujący art. 27 dyrektywy 95/46/WE. Co więcej, już w obecnym stanie prawnym kontekst, w jakim mają powstawać kodeksy postępowania, został określony dość zobowiązująco. W świetle dyrektywy państwa członkowskie i Komisja muszą zachęcać zainteresowane stowarzyszenia handlowe i inne zainteresowane organizacje reprezentatywne do opracowania kodeksów postępowania w celu ułatwienia stosowania dyrektywy, biorąc pod uwagę szczególne cechy procesu przetwarzania danych w niektórych sektorach.

Pomimo pozornie kategorycznego wymogu propagowania tworzenia kodeksów postępowania w rzeczywistości nie jest to obowiązek, a jedynie wskazanie o miękkim charakterze. Zgodnie z obowiązującą regulacją (wspomniana dyrektywa) państwa członkowskie mają promować tworzenie krajowych branżowych kodeksów postępowania, ułatwiających zapewnienie zgodności z wymogami europejskiego prawa ochrony danych, uwzględniając specyfikę i odmienności branżowe, oraz mają umożliwiać przedstawienie projektów lub propozycji zmian kodeksów do oceny krajowemu organowi ochrony danych oraz prowadzenie konsultacji przez ten organ. W odniesieniu do wspólnotowych kodeksów postępowania mogą one być przedkładane Grupie Roboczej artykułu 291 do oceny. To całość regulacji dotyczącej kodeksów w dyrektywie. Brak jest w szczególności negatywnych konsekwencji w razie niedoprowadzenia do powstania kodeksów postępowania, a co więcej, państwa członkowskie nie muszą w ogóle wprowadzić do swojego porządku prawnego, tj. w krajowych aktach prawnych implementujących dyrektywę, przepisów dotyczących tworzenia kodeksów postępowania.

W polskiej ustawie o ochronie danych osobowych nie implementowano powyższych przepisów dyrektywy odnoszących się do kodeksów postępowania. W swojej działalności GIODO zawarł co prawda szereg porozumień z rozmaitymi organizacjami i instytucjami, dotyczących dobrych praktyk w zakresie ochrony danych, jednak nie mają one oparcia w przepisach dyrektywy. Co zatem zmieni się w kwestii kodeksów postępowania po tym, jak RODO zacznie obowiązywać?

Po pierwsze przepisy dotyczące kodeksów postępowania będą obowiązywać bezpośrednio w całej UE, bez potrzeby (i możliwości selektywnej) ich implementacji. Istotne jest też, że wraz z rodo nadchodzi zmiana podejścia do prawa ochrony danych osobowych, wyrażająca się w przeniesieniu nacisku z następczych narzędzi egzekwowania prawa i sankcjonowania naruszeń post factum na oczekiwanie samoregulacji administratorów i podmiotów przetwarzających dane, i wykazywania zgodności stosowanych procedur z prawem na etapie ich uruchamiania czy wdrażania. W myśl powyższej tendencji nowe przepisy rodo istotnie wzmacniają ograniczone dotychczas znaczenie branżowych kodeksów postępowania, które obok mechanizmów certyfikacyjnych będą ważnym elementem wykazywania przestrzegania prawa ochrony danych, udostępnionym tym, którzy przetwarzają dane osobowe. Ten wymierny wzrost rangi i roli kodeksów postępowania najprawdopodobniej pociągnie za sobą, zwiększenie zainteresowania organizacji przedsiębiorców ich tworzeniem dla rozmaitych sektorów rynku. Zwiastują to podpisane 16 grudnia 2016 r. i 7 marca 2017 r. dwa porozumienia GIODO z organizacjami działającymi w branży teleinformatycznej i internetowej – z PIIT oraz z IAB Polska, z myślą o stworzeniu kodeksów postępowania dla tych branż pod nowe wymogi rodo.

 

[...]

Autorka jest aplikantką radcowską w zespole IT-Telco Kancelarii Traple Konarski Podrecki.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"