Coraz bliżej branżowych kodeksów postępowania

W związku z ogłoszeniem przez Prezesa Urzędu Ochrony Danych Osobowych wymogów akredytacyjnych podmiotów monitorujących kodeksy postępowania, procedura ustalania kryteriów działania kodeksów dobiega końca. Do tej pory zgłoszonych zostało 8 projektów kodeksów postępowania, które niestety, ze względu na brak odpowiedniej regulacji postępowania w sprawie ich zatwierdzania, nie mogły wejść w życie.

Podstawy podstaw

Należy zacząć od określenia kim jest podmiot monitorujący, organ nadzorczy czy twórcy kodeksu. Wszelkie definicje oraz informacje dotyczące akredytacji kodeksów postępowania znajdują się w Wymogach akredytacji podmiotów monitorujących kodeksy postępowania z dnia 13 stycznia 2021 roku udostępnionych na stronie Urzędu Ochrony Danych Osobowych.

Organ nadzorczy – jak można się spodziewać jest  to Prezes Urzędu Ochrony Danych Osobowych.

Twórca kodeksu – podmiot opracowujący kodeks, który przedkłada go do zatwierdzenia oraz samodzielnie lub przez swoich przedstawicieli może być stroną postępowania przed organem nadzorczym zgodnie z kodeksem postępowania administracyjnego. Jak wskazuje UODO, takim podmiotem może być między innymi zrzeszenie.

Podmiot monitorujący – organ bądź komitet, jedna lub wiele osób fizycznych bądź prawnych, jednostek organizacyjnych nie posiadających osobowości prawnej lub szereg organów/komitetów, które pełnia funkcję monitorującą w celu stwierdzenia i zapewnienia przestrzegania kodeksu.

Członek kodeksu – administrator, podmiot przetwarzający, który zastosował się do postanowień konkretnego kodeksu, będzie go stosował oraz przestrzegał. Sytuacja i zdolność tego podmiotu musi zostać ocenia pozytywnie przez podmiot monitorujący.

Najważniejsze postanowienia Wymogów

1. kodeksy postępowania muszą być zawsze monitorowane przez podmiot akredytowany przez organ nadzorczy, w tym wypadku Prezesa Urzędu Ochrony Danych Osobowych
2. wymogi akredytacyjne będą publikowane oraz opracowywane przez Urząd Ochrony Danych Osobowych.
3. podmiot monitorujący uzyskuje akredytację na okres 5 lat. Okres akredytacji można przedłużyć. W tym celu podmiot monitorujący powinien zgłosić się z wnioskiem o akredytację przez upływem 5-cio letniego terminu uwzględniając przy tym czas trwania procedury przed organem nadzorczym. Co ważne, akredytacja może zostać cofnięta przez organ nadzorujący
4. podmiot monitorujący może mieć status podmiotu zewnętrznego bądź wewnętrznego w stosunku do twórcy kodeksu postępowania
5. zasady oceny podmiotu monitorującego w procesie akredytacji są następujące

• według wymogów, które są multidyscyplinarne, istotne (tzw. mają istotny wpływ na przetwarzanie danych), zrozumiałe, mierzalne, edukacyjne („kształtujące praktykę”). Wymogi dotyczą struktury organizacyjnej oraz procesów podmiotu monitorującego
• aspekt edukacyjny – edukacja oraz współpraca między podmiotami – organem nadzorczym, twórcą kodeksu oraz podmiotem monitorującym. Takie działanie ma zapewnić wyższy poziom ochrony danych osobowych
• przegląd okresowy – organ nadzorczy ma prawo do przeprowadzenia kontroli dotyczącej spełniania wymogów akredytacji przez podmiot monitorujący
• samoocena (podmiotu monitorującego) – wskazuje na poziom dostosowania się do wymogów akredytacji oraz elementy, które należy poprawić po udzieleniu akredytacji. Jest bezwzględnie wymagana w toku sporządzania wniosku o akredytację

Wymogi formalne dla potencjalnego podmiotu monitorującego

Przede wszystkim Urząd Ochrony Danych Osobowych wskazuje, iż potencjalny podmiot monitorujący musi udowodnić:

1. swoją niezależność w stosunku do: twórców kodeksu, kandydatów, członków kodeksu, przedstawicieli zawodu, branży lub sektora, do których ma zastosowanie dany kodeks
2. swoją wiedzę w dziedzinie, której dotyczyć ma kodeks postępowania
3. wdrożenie procedur mających zagwarantować brak konfliktu interesów przy wykonywaniu przez ten podmiot zadań i obowiązków

Kolejnym wymogiem spoczywającym na podmiocie monitorującym jest przedstawienie odpowiednich dokumentów wyrażających:

1. opracowane procedury i struktury zarządzania, dzięki którym będzie można ocenić czy kandydat na członka danego kodeksu postępowania kwalifikuje się do stosowania oraz przestrzegania kodeksu
2. procedurę monitorowania zgodności działań członka kodeksu z jego przepisami
3. procedury dokonywania przeglądu kodeksu
4. opracowanie publicznie dostępnej procedury i struktury, która umożliwi skuteczne rozpatrywanie skarg dotyczących naruszeń kodeksu

Dalej, UODO poinformował, że nie jest ważna forma prawna podmiotu monitorującego. Jednakże, podmiot ten musi wykazać, że dysponuje odpowiednią infrastrukturą do pełnienia tego obowiązku. Oznacza to, że potencjalny podmiot monitorujący musi mieć odpowiednią ilość pracowników oraz zaplecze techniczne i finansowe.

Określone zostały także wymogi wniosku. Wniosek musi zawierać następujące dane:

1. informacje dotyczące spełnienia powyższych wymogów
2. informacje z Krajowego Rejestru Sądowego bądź Centralnej Ewidencji i Informacji o Działalności Gospodarczej lub inne dokumenty, które umożliwią identyfikację podmiotów
3. Imię, nazwisko oraz dane kontaktowe osoby odpowiedzialnej wraz z dokumentem potwierdzającym jej tożsamość (upoważnionej do reprezentowania podmiotu) w procesie akredytacji
4. wskazanie pola lub obszaru działalności, które będzie obejmował kodeks postępowania, z odniesieniem do twórcy i członków takiego kodeksu postępowania
5. wskazanie innych niż powyżej przedstawicieli podmiotu monitorującego, jeśli mają być oni odpowiedzialni za stosowanie zobowiązań zawartych w kodeksie postępowania
6. dokumentacja ma być sporządzona w języku polskim. Jeśli została sporządzona w języku obcym, należy ją przetłumaczyć

Do tej pory zostało zgłoszonych do Prezesa Urzędu Ochrony Danych Osobowych 8 projektów kodeksów postępowania. Miejmy nadzieję, że niedługo zostaną one zatwierdzone i wprowadzone do użytku. Więcej informacji znajdziecie Państwo pod tym linkiem na stronie www UODO.