Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.10.2017

Ultrapanorama

Philips 492P8
13.10.2017

Druk w bieli

Oki Pro8342WT
11.10.2017

PolCAAT’ 2017 już w...

30 listopada 2017 r. w warszawskim hotelu Marriott odbędzie się XIII edycja konferencji...
10.10.2017

Pełna ochrona

Kaspersky Total Security 2018, Internet Security 2018
06.10.2017

Przeprowadzka do chmury

Oracle Exadata Cloud
03.10.2017

Automatyzacja...

Red Hat Ansible
02.10.2017

Bezpieczeństwo danych zaczyna...

Aby zapewnić bezpieczeństwo danych, w tym informacji poufnych o klientach i pracownikach,...
27.09.2017

Dotykowe 75 cali

BenQ RP750K
22.09.2017

Wydajne CPU

AMD Ryzen Threadripper

Branżowe kodeksy postępowania

Data publikacji: 26-05-2017 Autor: Magdalena Gąsowska

Wraz z rozpoczęciem stosowania unijnego ogólnego rozporządzenia o ochronie danych osobowych (rodo), które nastąpi 25 maja 2018 r., istotnym elementem realizowania oraz wykazywania spełnienia obowiązków związanych z ochroną danych osobowych staną się branżowe kodeksy postępowania w dziedzinie ochrony danych.

Kodeksy postępowania w zakresie ochrony danych osobowych są mechanizmami przewidzianymi przez unijne prawo ochrony danych, pozwalającymi na zdefiniowanie przez instytucje działające w interesie określonych uczestników rynku (np. izby gospodarcze i związki przedsiębiorców czy pracodawców działające w ramach branż) zestawień dobrych praktyk, procedur określających, jak w najlepszy sposób w danym rodzaju działalności biznesowej, gospodarczej, społecznej czy innej realizować zadania związane z ochroną danych osobowych przetwarzanych w ramach tej działalności. Ich istotną cechą jest, że powinny być instrumentami tworzonymi w ramach i dla poszczególnych branż, z uwzględnieniem ich specyfiki biznesowo-organizacyjnej.

W Polsce inicjatywa tworzenia kodeksów została zadeklarowana w branży internetowej i teleinformatycznej poprzez porozumienia podpisane pomiędzy PIIT i IAB Polska a GIODO. Na arenie wspólnotowej powstał także istotny z punktu widzenia systemów cloud computingu kodeks postępowania stworzony w ramach organizacji CISPE.

Postać kodeksów postępowania nie została w prawie unijnym sprecyzowana i może być różna od opisów na dużym poziomie ogólności niezawierających detalicznych szczegółów wykonywania czynności, aż do ścisłego określenia procedur postępowania. Kodeksy mogą pod względem zakresu obejmować organizacje jedynie krajowe, jak i mogą być tworzone dla kilku czy wszystkich krajów UE lub EOG.

> NOWE ZNACZENIE BRANŻOWYCH KODEKSÓW POSTĘPOWANIA W RODO

Tworzenie kodeksów postępowania w celu jak najlepszej implementacji prawa ochrony danych osobowych UE przewiduje obecnie obowiązujący art. 27 dyrektywy 95/46/WE. Co więcej, już w obecnym stanie prawnym kontekst, w jakim mają powstawać kodeksy postępowania, został określony dość zobowiązująco. W świetle dyrektywy państwa członkowskie i Komisja muszą zachęcać zainteresowane stowarzyszenia handlowe i inne zainteresowane organizacje reprezentatywne do opracowania kodeksów postępowania w celu ułatwienia stosowania dyrektywy, biorąc pod uwagę szczególne cechy procesu przetwarzania danych w niektórych sektorach.

Pomimo pozornie kategorycznego wymogu propagowania tworzenia kodeksów postępowania w rzeczywistości nie jest to obowiązek, a jedynie wskazanie o miękkim charakterze. Zgodnie z obowiązującą regulacją (wspomniana dyrektywa) państwa członkowskie mają promować tworzenie krajowych branżowych kodeksów postępowania, ułatwiających zapewnienie zgodności z wymogami europejskiego prawa ochrony danych, uwzględniając specyfikę i odmienności branżowe, oraz mają umożliwiać przedstawienie projektów lub propozycji zmian kodeksów do oceny krajowemu organowi ochrony danych oraz prowadzenie konsultacji przez ten organ. W odniesieniu do wspólnotowych kodeksów postępowania mogą one być przedkładane Grupie Roboczej artykułu 291 do oceny. To całość regulacji dotyczącej kodeksów w dyrektywie. Brak jest w szczególności negatywnych konsekwencji w razie niedoprowadzenia do powstania kodeksów postępowania, a co więcej, państwa członkowskie nie muszą w ogóle wprowadzić do swojego porządku prawnego, tj. w krajowych aktach prawnych implementujących dyrektywę, przepisów dotyczących tworzenia kodeksów postępowania.

W polskiej ustawie o ochronie danych osobowych nie implementowano powyższych przepisów dyrektywy odnoszących się do kodeksów postępowania. W swojej działalności GIODO zawarł co prawda szereg porozumień z rozmaitymi organizacjami i instytucjami, dotyczących dobrych praktyk w zakresie ochrony danych, jednak nie mają one oparcia w przepisach dyrektywy. Co zatem zmieni się w kwestii kodeksów postępowania po tym, jak RODO zacznie obowiązywać?

Po pierwsze przepisy dotyczące kodeksów postępowania będą obowiązywać bezpośrednio w całej UE, bez potrzeby (i możliwości selektywnej) ich implementacji. Istotne jest też, że wraz z rodo nadchodzi zmiana podejścia do prawa ochrony danych osobowych, wyrażająca się w przeniesieniu nacisku z następczych narzędzi egzekwowania prawa i sankcjonowania naruszeń post factum na oczekiwanie samoregulacji administratorów i podmiotów przetwarzających dane, i wykazywania zgodności stosowanych procedur z prawem na etapie ich uruchamiania czy wdrażania. W myśl powyższej tendencji nowe przepisy rodo istotnie wzmacniają ograniczone dotychczas znaczenie branżowych kodeksów postępowania, które obok mechanizmów certyfikacyjnych będą ważnym elementem wykazywania przestrzegania prawa ochrony danych, udostępnionym tym, którzy przetwarzają dane osobowe. Ten wymierny wzrost rangi i roli kodeksów postępowania najprawdopodobniej pociągnie za sobą, zwiększenie zainteresowania organizacji przedsiębiorców ich tworzeniem dla rozmaitych sektorów rynku. Zwiastują to podpisane 16 grudnia 2016 r. i 7 marca 2017 r. dwa porozumienia GIODO z organizacjami działającymi w branży teleinformatycznej i internetowej – z PIIT oraz z IAB Polska, z myślą o stworzeniu kodeksów postępowania dla tych branż pod nowe wymogi rodo.

 

[...]

Autorka jest aplikantką radcowską w zespole IT-Telco Kancelarii Traple Konarski Podrecki.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"