THINK MICE - RODO. Czy warto wdrożyć Kodeks postępowania?

RODO. Czy warto wdrożyć Kodeks postępowania?

Wielkimi krokami zbliża się dzień, w którym zacznie obowiązywać ogólne rozporządzenie o ochronie danych – RODO. Już 25 maja 2018 r. podmioty przetwarzające dane osobowe będą musiały zmierzyć się z nowymi prawnymi wymaganiami.

Jedną z podstawowych zmian wprowadzanych w RODO jest silnie elastyczne podejście do wymogów bezpieczeństwa stawianych administratorom danych osobowych. Koncepcja ta z jednej strony może cieszyć – sztywne listy obowiązków raczej się nie sprawdzają i mają w zwyczaju szybko się dezaktualizować. Z drugiej strony – nowe, elastyczne podejście stawia przed administratorem zasadnicze pytanie – jak mam oszacować ryzyko związane z przetwarzaniem danych i jakie konkretnie środki ochrony danych powinienem przyjąć? Receptą na powyższe dylematy ma być wprowadzenie tzw. Kodeksów postępowania tworzonych na potrzeby określonej kategorii podmiotów (np. firm z jednej branży), które niejako „hurtowo” mają zidentyfikować zagrożenia dotyczące przetwarzaniu danych np. w określonej gałęzi gospodarki i jednocześnie wskazywać właściwe środki zapobiegające tym zagrożeniom.

Kodeks ułatwi życie firmom
Celem kodeksów ma być doprecyzowanie przepisów RODO m.in. w zakresie zapewnienia rzetelnego i przejrzystego przetwarzania, celów przetwarzania, które należy uznać za uzasadnione, sposobu spełniania obowiązków informacyjnych przez administratora czy standardów w zakresie środków bezpieczeństwa, które należy uznać za adekwatne dla danej branży. Wprowadzenie kodeksu pozwoli więc w znacznym stopniu odciążyć firmy od obowiązku żmudnego procesu analizowania ryzyka i wskaże gotowe rozwiązania w zakresie właściwych procedur i środków bezpieczeństwa. Kodeksy postępowania powinny być stworzone przez zrzeszenia lub inne podmioty reprezentujące te sektory, których kodeks ma dotyczyć. Warunkiem wejścia w życie kodeksu jest jego zatwierdzenie przez krajowy organ nadzorczy, którym obecnie w Polsce jest GIODO. Organ nadzorczy nie tylko zatwierdza kodeks, lecz również akceptuje proponowane w nim zmiany oraz monitoruje jego przestrzeganie. Zgodnie z RODO, monitorowanie przestrzegania kodeksu może być również powierzone innemu, profesjonalnemu i niezależnemu podmiotowi, który zostanie zaakceptowany przez organ nadzorczy. Wdrożenie Kodeksu postępowania będzie bez wątpienia pracochłonne. Korzyści powinny być jednak warte wysiłku. Firmy z branży, którą obejmie kodeks, otrzymają jasne wytyczne – co przyspiesza i ułatwia wdrożenie wymagań. Ponadto, stosowanie zatwierdzonego kodeksu zmniejsza ryzyko problemów przy urzędowej kontroli – trudno bowiem sobie wyobrazić, aby organ kontroli wniósł zastrzeżenia wobec zasad, które sam uprzednio zaakceptował. Niebagatelny jest również fakt, iż zgodnie z RODO stosowanie zatwierdzonego kodeksu jest okolicznością łagodzącą w razie stwierdzenia naruszenia prawa przy przetwarzaniu oraz przy ustalaniu związanej z tym kary pieniężnej.

Kodeks elementem przewagi konkurencyjnej?
Przepisy również mocno sugerują, aby podmioty przetwarzające dane osobowe nawiązywały współpracę przede wszystkim z takimi przedsiębiorcami, którzy posiadają stosowne certyfikaty lub stosują zatwierdzone kodeksy postępowania. Ma to przede wszystkim spowodować, aby szczególnie duże, międzynarodowe koncerny, posiadające ogromne bazy danych, dobierały sobie na potrzeby przetwarzania danych osobowych partnerów i podwykonawców wiarygodnych i profesjonalnych, którzy będą w stanie przedstawić na tę okoliczność stosowne zaświadczenia. Nie da się zatem wykluczyć, że posiadanie i stosowanie Kodeksu postępowania może w przyszłości okazać się argumentem budującym przewagę konkurencyjną. Prace nad Kodeksem postępowania można rozpocząć już teraz – aby możliwie szybko po wejściu w życie RODO przedstawić go do akceptacji organowi nadzorczemu. Czas może mieć tu niebagatelne znaczenie. Należy bowiem przypuścić, że zatwierdzenie kodeksu będzie wiązać się z koniecznością licznych konsultacji i wyjaśnień. Branże, które rozpoczną prace zbyt późno mogą się więc liczyć z tym, że staną na końcu długiej kolejki i na korzyści wynikające z wdrożenia branżowych zasad będą musiały sporo poczekać.

Bartosz Mysiak
LSW Leśnodorski, Ślusarek i Wspólnicy
Radca prawny w firmie prawniczej
www.lsw.com.pl
www.lswipblog.pl

Używamy plików cookies, aby ułatwić Ci korzystanie z naszego serwisu oraz do celów statystycznych. Jeśli nie blokujesz tych plików, to zgadzasz się na ich użycie oraz zapisanie w pamięci urządzenia. Pamiętaj, że możesz samodzielnie zarządzać cookies, zmieniając ustawienia przeglądarki. To find out more about the cookies we use and how to delete them, see our privacy policy.
I accept cookies from this site. Agree