Paweł Makowski, radca Generalnego Inspektora Ochrony Danych Osobowych zachęca przedsiębiorców do tworzenia kodeksu postępowania w zakresie ochrony danych osobowych. Jak tłumaczy, dokument taki może pomóc w realizacji obowiązków wynikających z RODO.
Ogólne rozporządzenie UE dot ochrony danych osobowych zawiera ogólne wytyczne, którymi powinny się kierować podmioty w zakresie ochrony danych osobowych. Nowe regulacje nie precyzują jednak, w jaki sposób i za pomocą jakich narzędzi przedsiębiorcy mają osiągnąć ten cel. Będą one różne w zależności od branży i wielkości firmy. W związku z tym przepisy RODO przewidują możliwość stworzenia kodeksów postępowania dla poszczególnych grup administratorów.
– Celem kodeksów postępowania jest doprecyzowanie postanowień RODO. W wielu miejscach – szczególnie tam, gdzie czytamy o środkach technicznych i organizacyjnych, które należy wdrożyć, oraz jak zabezpieczać dane osobowe – rozporządzenie nie przynosi żadnych konkretnych wytycznych. Jest bardzo wiele klauzul ogólnych. To jest zadanie dla kodeksu postępowania, aby te wszystkie elementy doprecyzować, z uwzględnieniem specyfiki danej branży – tłumaczy Paweł Makowski w rozmowie z agencją informacyjną Newseria Biznes.
Ekspert przypomina, że kodeksy dla administratorów danych będą opiniowane i zatwierdzane przez GIODO, a następnie rejestrowane i publikowane przez Inspektora. Dzięki temu klienci będą mogli zapoznać się z polityką ochrony danych osobowych, która obowiązuje w danej firmie lub branży.
GIODO będzie też kontrolować, czy administratorzy danych, którzy przyjęli kodeks, rzeczywiście przestrzegają jego zapisy. W razie wykrycia nadużyć GIODO może wykluczyć podmiot z listy jednostek objętych kodeksem postępowania.
– Stosowanie kodeksów jest elementem wykazywania zgodności z przepisami rozporządzenia. Ponadto artykuł 83, mówiący o administracyjnych karach pieniężnych, wymienia kilkanaście elementów, które GIODO będzie brać pod uwagę, decydując, czy i w jakiej wysokości nałożyć administracyjną karę pieniężną na dany podmiot. Wśród tych punktów jest również stosowanie zatwierdzonych kodeksów postępowania. Można powiedzieć, że kodeks jest w jakimś sensie okolicznością łagodzącą przy wymierzaniu administracyjnych kar pieniężnych. Dla nas – jako organu nadzorczego – stosowanie kodeksów będzie bardzo wyraźnym znakiem, że administrator poważnie podchodzi do przetwarzania danych – wyjaśnia Paweł Makowski.
Jak informuje ekspert, stosowanie kodeksów postępowania przez administratorów danych nie jest obligatoryjne. Stanowi raczej propozycję. – Nie będzie żadnych negatywnych konsekwencji niestosowania kodeksów. Z drugiej strony samo stosowanie kodeksu nie wyklucza kontroli Generalnego Inspektora. Nie jest tak, że jeśli firma ma kodeks lub certyfikat, to GIODO nie przyjdzie z kontrolą. GIODO zawsze ma prawo przyjść z kontrolą, ale widząc, że administrator ma kodeks postępowania, będzie to dla nas wyraźna wskazówka, że dba o ochronę danych osobowych w szczególny sposób – mówi Paweł Makowski.
O możliwości tworzenia kodeksu postępowania w zakresie stosowania przepisów RODO w branży ubezpieczeniowej i bankowej informował dr Maciej Kawecki, autor projektu ustawy o ochronie danych osobowych, podczas IX Kongresu Bancassurance (czytaj więcej: Podsumowanie II dnia IX Kongresu Bancassurance – branża goni króliczka legislacyjnego zamiast rozwijać biznes).