Chodzi o kodeksy postępowań. Można je nazwać zbiorami dobrych praktyk, tyle że przyjmowanymi w bardziej sformalizowany sposób i zatwierdzanymi przez prezesa UODO. Pozwalają one uszczegółowić przepisy RODO i w praktyczny sposób dostosować do specyfiki danej branży. Administratorzy, którzy deklarują przestrzeganie takiego kodeksu, są nim związani. Weryfikuje to tzw. podmiot monitorujący, który w przypadku stwierdzenia naruszenia może wykluczyć administratora z grona podmiotów stosujących kodeks.
Potencjał, jaki daje taka samoregulacja, wzbudził spore zainteresowanie w Polsce. Związek Banków Polskich przygotował swój projekt, jeszcze zanim zaczęto stosować RODO. Od czasu jego formalnego złożenia minęły już ponad dwa lata, a wciąż nie został zatwierdzony. Podobnie jak siedem pozostałych projektów. Są to kodeksy adresowane do małych placówek medycznych i osobno dla szpitali, firm badania rynku, doradców podatkowych, spółdzielni mieszkaniowych, bibliotek i centrów handlowych.
Reklama
Dlaczego tak długo to trwa? Powodów jest kilka. UODO zauważa, że niektóre organizacje, po tym jak wyjaśniono im wymagania stawiane przez RODO, straciły zainteresowanie projektami lub też przedłużyły prace koncepcyjne. Problemem jest chociażby powtarzanie przepisów rozporządzenia zamiast ich uszczegółowienia.
„Są projekty kodeksów, które pobieżnie regulują poszczególne kwestie ochrony danych osobowych w danym sektorze lub stanowią bezrefleksyjne powtórzenie przepisów RODO. W innych projektodawcy przedstawiali rozwiązania, które nie prowadziły do uszczegółowienia przepisów z zakresu ochrony danych osobowych, nie służyły zapewnieniu przejrzystości oraz rzetelności procesu przetwarzania danych osobowych” – można przeczytać w komunikacie UODO.
Mimo tego jest szansa, że w niedługim czasie pierwsze kodeksy zostaną zatwierdzone. Niektórzy projektodawcy kilka miesięcy temu otrzymali szczegółowe uwagi UODO.
„Jeżeli twórcy tych kodeksów byli przez ten czas aktywnie zaangażowani w pracę nad tymi dokumentami, to należy spodziewać się, że niebawem zostanie przedłożony organowi nadzoru kodeks, który będzie można zatwierdzić” – napisano w komunikacie.
Jest jeszcze jeden warunek. Każda z organizacji zgłaszających kodeks musi wskazać wspomniany podmiot monitorujący, który będzie czuwał nad przestrzeganiem przyjętych zasad. Ten zaś musi zostać akredytowany przez UODO. Dotychczas nie było procedury, która by to umożliwiała. Niedawno jednak Europejska Rada Ochrony Danych zaopiniowała polskie wymogi akredytacji dla podmiotów monitorujących. Oznacza to, że niebawem będzie możliwość akredytowania wspomnianych podmiotów.