Kodeksy postępowania w

systemie ochrony danych

osobowych
  KODEKSY POSTĘPOWANIA
W RODO – art. 40 i 41
• Zmiana charakteru kodeksów
KODEKSY • Określenie zakresu podmiotowego i przedmiotowego
• Procedura przyjmowania kodeksu
POSTĘPOWANIA
• Kryteria opiniowania i zatwierdzania kodeksu postępowania
W RODO • Procedura opiniowania i zatwierdzania kodeksu postępowania
• Rola podmiotów monitorujących
  Motyw 77 Wskazówki co do tego, jak wdrożyć odpowiednie
środki oraz wykazać przestrzeganie prawa przez administratora
KODEKSY lub podmiot przetwarzający dane – w szczególności jeżeli chodzi
o identyfikowanie ryzyka związanego z przetwarzaniem, o jego
POSTĘPOWANIA ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi
W RODO zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować
to ryzyko – mogą być przekazane w szczególności w formie
zatwierdzonych kodeksów postępowania
  Art. 24 ust. 3 Stosowanie zatwierdzonych kodeksów
postępowania, o których mowa wart. 40, może być wykorzystane
jako element dla stwierdzenia przestrzegania przez
administratora ciążących na nim obowiązków.
 Art. 28 ust. 5. Wystarczające gwarancje, o których mowa w ust. 1
KODEKSY i 4 niniejszego artykułu, podmiot przetwarzający może wykazać
między innymi poprzez stosowanie zatwierdzonego kodeksu
POSTĘPOWANIA postępowania, o którym mowa w art. 40 lub zatwierdzonego
W RODO mechanizmu certyfikacji, o którym mowa w art. 42.
 Art. 32 ust. 3. Wywiązywanie się z obowiązków, o których mowa
w ust. 1 niniejszego artykułu, można wykazać między innymi
poprzez stosowanie zatwierdzonego kodeksu postępowania, o
którym mowa w art. 40 lub zatwierdzonego mechanizmu
certyfikacji, o którym mowa w art. 42.
  Art. 35 ust. 8 Oceniając – w szczególności do celów oceny skutków
dla ochrony danych – skutki operacji przetwarzania
wykonywanych przez administratora lub podmiot przetwarzający,
uwzględnia się przestrzeganie przez takiego administratora lub
taki podmiot przetwarzający zatwierdzonych kodeksów
postępowania, o których mowa w art. 40.
KODEKSY
POSTĘPOWANIA  Art. 46 ust. 2 lit. e Odpowiednie zabezpieczenia, o których mowa
W RODO w ust. 1, można zapewnić – bez konieczności uzyskania
specjalnego zezwolenia ze strony organu nadzorczego – za
pomocą zatwierdzonego kodeksu postępowania zgodnie z art. 40
wraz z wiążącymi i egzekwowalnymi zobowiązaniami
administratora lub podmiotu przetwarzającego w państwie
trzecim do stosowania odpowiednich zabezpieczeń, w tym w
odniesieniu do praw osób, których dane dotyczą.
  Art. 83 ust. 2 lit. j Administracyjne kary pieniężne nakłada się,
zależnie od okoliczności każdego indywidualnego przypadku,
KODEKSY oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit.
a)–h) oraz j). Decydując, czy nałożyć administracyjną karę
POSTĘPOWANIA pieniężną, oraz ustalając jej wysokość, zwraca się w każdym
W RODO indywidualnym przypadku należytą uwagę na stosowanie
zatwierdzonych kodeksów postępowania na mocy art. 40 lub
zatwierdzonych mechanizmów certyfikacji na mocy art. 42;
  Art. 40 ust. 1. Państwa członkowskie, organy nadzorcze,
KODEKSY Europejska Rada Ochrony Danych oraz Komisja zachęcają do
sporządzania kodeksów postępowania mających pomóc we
POSTĘPOWANIA właściwym stosowaniu niniejszego rozporządzenia – z
uwzględnieniem specyfiki różnych sektorów dokonujących
W RODO przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw
oraz małych i średnich przedsiębiorstw.
  Motyw 98 Należy zachęcać zrzeszenia lub inne organy
reprezentujące kategorie administratorów lub podmiotów
przetwarzających do sporządzania kodeksów postępowania, w
granicach niniejszego rozporządzenia, by ułatwiać skuteczne
stosowanie niniejszego rozporządzenia, z uwzględnieniem
KODEKSY szczególnych cech przetwarzania prowadzonego w niektórych
sektorach i szczególnych potrzeb mikroprzedsiębiorstw oraz
POSTĘPOWANIA małych i średnich przedsiębiorstw.
W RODO  W takich kodeksach można w szczególności dopasować
obowiązki administratorów i podmiotów przetwarzających do
ryzyka naruszenia praw lub wolności osób fizycznych, jakie
może powodować przetwarzanie.
KODEKSY • Zrzeszenia lub inne organy reprezentujące kategorie
POSTĘPOWANIA administratorów lub podmiotów przetwarzających

W RODO
• Sektor publiczny i sektor prywatny
zakres
podmiotowy
KODEKSY
POSTĘPOWANIA • Krajowe
W RODO • Unijne

rodzaje • Wykorzystywane do międzynarodowych transferów danych

kodeksów
  Art. 40 ust. 2. Zrzeszenia i inne podmioty reprezentujące
określone kategorie administratorów lub podmioty
przetwarzające mogą opracowywać lub zmieniać kodeksy
KODEKSY postępowania lub rozszerzać ich zakres, aby doprecyzować
zastosowanie niniejszego rozporządzenia, między innymi w
POSTĘPOWANIA odniesieniu do:
 a) rzetelnego i przejrzystego przetwarzania;
W RODO
 b)prawnie uzasadnionych interesów realizowanych przez
zakres administratorów w określonych kontekstach;
przedmiotowy  c) zbierania danych osobowych;
 d) pseudonimizacji danych osobowych;
 e) informowania opinii publicznej i osób, których dane dotyczą;
  Art. 40 ust. 2. Zrzeszenia i inne podmioty reprezentujące
określone kategorie administratorów lub podmioty
przetwarzające mogą opracowywać lub zmieniać kodeksy
postępowania lub rozszerzać ich zakres, aby doprecyzować
KODEKSY zastosowanie niniejszego rozporządzenia, między innymi w
odniesieniu do:
POSTĘPOWANIA  f) wykonywania przez osoby, których dane dotyczą,
W RODO przysługujących im praw;
zakres  g) informowania i ochrony dzieci oraz sposobu pozyskiwania
zgody osoby sprawującej władzę rodzicielską lub opiekę nad
przedmiotowy dzieckiem;
 h) środków i procedur, o których mowa w art. 24 i 25, oraz środków
zapewniających bezpieczeństwo przetwarzania, o których mowa
w art. 32;
  Art. 40 ust. 2. Zrzeszenia i inne podmioty reprezentujące
określone kategorie administratorów lub podmioty
przetwarzające mogą opracowywać lub zmieniać kodeksy
postępowania lub rozszerzać ich zakres, aby doprecyzować
zastosowanie niniejszego rozporządzenia, między innymi w
KODEKSY odniesieniu do:
POSTĘPOWANIA  i) zgłaszania organowi nadzorczemu naruszeń ochrony danych
osobowych oraz zawiadamiania o takich naruszeniach osób,
W RODO których dane dotyczą;
zakres  j) przekazywania danych osobowych do państw trzecich lub
organizacji międzynarodowych; lub
przedmiotowy  k) postępowań pozasądowych oraz innych trybów rozstrzygania
sporów w celu rozstrzygania sporów między administratorami a
osobami, których dane dotyczą, w zakresie przetwarzania, bez
uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i
79.
  Art. 40 ust. 3. Poza administratorami lub podmiotami
przetwarzającymi, którzy podlegają niniejszemu rozporządzeniu,
kodeksów postępowania zatwierdzonych na mocy ust. 5
niniejszego artykułu i powszechnie obowiązujących zgodnie z ust.
KODEKSY 9 niniejszego artykułu, mogą przestrzegać także administratorzy
lub podmioty przetwarzające, którzy zgodnie z art. 3 nie podlegają
POSTĘPOWANIA niniejszemu rozporządzeniu, w celu zapewnienia odpowiednich
zabezpieczeń w ramach przekazywania danych osobowych do
W RODO państw trzecich lub organizacji międzynarodowych na warunkach
określonych w art. 46 ust. 2 lit. e). Tacy administratorzy lub takie
transfer danych podmioty przetwarzające podejmują wiążące i egzekwowalne
zobowiązanie – w drodze umowy lub poprzez inne prawnie
wiążące instrumenty – do stosowania tych odpowiednich
zabezpieczeń, w tym w odniesieniu do praw osób, których dane
dotyczą.
KODEKSY  Art. 40 ust. 1 . Bez uszczerbku dla zadań i uprawnień właściwego
organu nadzorczego wynikających z art. 57 i 58 monitorowaniem
POSTĘPOWANIA przestrzegania kodeksu postępowania na mocy art. 40 może się
W RODO zajmować podmiot, który dysponuje odpowiednim poziomem
wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i
podmiot został akredytowany w tym celu przez właściwy organ nadzorczy.
.
monitorujący
  Art. 41 ust. 2. Podmiot, o którym mowa w ust. 1, może zostać
akredytowany w celu monitorowania przestrzegania kodeksu
postępowania, jeżeli:
 a) w sposób satysfakcjonujący wykazał on właściwemu organowi
nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie
KODEKSY będącej przedmiotem kodeksu;
 b) dysponuje procedurami, które pozwalają mu ocenić zdolność
POSTĘPOWANIA konkretnych administratorów i podmiotów przetwarzających do
stosowania kodeksu, monitorować przestrzeganie przez nich jego
W RODO przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania;
 c) dysponuje procedurami i strukturami, które pozwalają rozpatrywać
podmiot skargi na naruszenie kodeksu przez administratora lub podmiot
przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez
monitorujący administratora lub podmiot przetwarzający oraz które pozwalają
zapewnić przejrzystość tych procedur i struktur dla osób, których
dane dotyczą, i opinii publicznej; oraz
 d)w sposób satysfakcjonujący wykazał właściwemu organowi
nadzorczemu, że jego zadania i obowiązki nie powodują konfliktu
interesów.
KODEKSY  Art.. 40 ust. 4. Kodeks postępowania przewiduje mechanizmy
POSTĘPOWANIA pozwalające podmiotowi, o którym mowa w art. 41 ust. 1,
prowadzić obowiązkowe monitorowanie przestrzegania
W RODO przepisów kodeksu przez administratorów lub podmioty
przetwarzające, którzy podjęli się jego stosowania, bez
podmiot uszczerbku dla zadań i uprawnień organów nadzorczych
właściwych na mocy art. 55 lub 56.
monitorujący
  Art. 40 ust. 5. Zrzeszenia i inne podmioty, o których mowa w ust.
2 niniejszego artykułu, chcące opracować kodeks postępowania
lub zmienić lub rozszerzyć zakres kodeksu już obowiązującego
przedkładają projekt kodeksu, zmiany lub rozszerzenia organowi
nadzorczemu właściwemu na mocy art. 55. Organ nadzorczy
KODEKSY wydaje opinię o zgodności projektu kodeksu, zmiany lub
POSTĘPOWANIA rozszerzenia z niniejszym rozporządzeniem i zatwierdza taki
projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią
W RODO one odpowiednie zabezpieczenia.

postępowanie
 Art. 40 ust. 6. W przypadku zatwierdzenia zgodnie z ust. 5
projektu kodeksu, zmiany lub rozszerzenia, organ nadzorczy
rejestruje i publikuje ten kodeks, o ile nie dotyczy on czynności
przetwarzania prowadzonych w kilku państwach członkowskich.
  Art. 40 ust. 7. Jeżeli projekt kodeksu postępowania dotyczy
czynności przetwarzania prowadzonych w kilku państwach
członkowskich, organ nadzorczy właściwy na mocy art. 55 przed
zatwierdzeniem projektu kodeksu, zmiany lub rozszerzenia
przedkłada go zgodnie z procedurą, o której mowa w art. 63,
KODEKSY Europejskiej Radzie Ochrony Danych, która wydaje opinię o
zgodności projektu kodeksu, zmiany lub rozszerzenia z niniejszym
POSTĘPOWANIA rozporządzeniem lub w sytuacji określonej w ust. 3 niniejszego
W RODO artykułu opinię o tym, czy stanowią one odpowiednie
zabezpieczenia.
postępowanie  Art. 40 ust. 8. Jeżeli opinia, o której mowa w ust. 7, potwierdza, że
projekt kodeksu, zmiany lub rozszerzenia jest zgodny z niniejszym
rozporządzeniem lub w sytuacji określonej w ust. 3 stanowią
odpowiednie zabezpieczenia, Europejska Rada Ochrony Danych
przedkłada tę opinię Komisji.
  Art. 40 ust. 9. Komisja może, w drodze aktów wykonawczych,
stwierdzić, że zatwierdzony kodeks postępowania, zmiana lub
rozszerzenie przedłożone jej na mocy ust. 8 niniejszego artykułu
są powszechnie obowiązujące w Unii. Te akty wykonawcze są
przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w
art. 93 ust. 2.
KODEKSY
POSTĘPOWANIA  Art. 40 ust. 10. Komisja zapewnia odpowiednie upowszechnianie
W RODO zatwierdzonych kodeksów, których powszechne obowiązywanie
stwierdziła zgodnie z ust. 9.
postępowanie
 Art. 40 ust. 11. Europejska Rada Ochrony Danych gromadzi w
rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany
i rozszerzenia i udostępnia je opinii publicznej za pomocą
odpowiednich środków.
  Art. 40 ust. 9. Komisja może, w drodze aktów wykonawczych,
stwierdzić, że zatwierdzony kodeks postępowania, zmiana lub
rozszerzenie przedłożone jej na mocy ust. 8 niniejszego artykułu
są powszechnie obowiązujące w Unii. Te akty wykonawcze są
przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w
art. 93 ust. 2.
KODEKSY
POSTĘPOWANIA  Art. 40 ust. 10. Komisja zapewnia odpowiednie upowszechnianie
W RODO zatwierdzonych kodeksów, których powszechne obowiązywanie
stwierdziła zgodnie z ust. 9.
postępowanie
 Art. 40 ust. 11. Europejska Rada Ochrony Danych gromadzi w
rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany
i rozszerzenia i udostępnia je opinii publicznej za pomocą
odpowiednich środków.
  RODO wspiera tworzenie kodeksów postępowania, podobnie jak
KODEKSY dyrektywa 95/46/WE, która w art. 27 przewidywała, że państwa
członkowskie oraz Komisja Europejska powinny podejmować
POSTĘPOWANIA działania mające zachęcać do opracowania takich kodeksów.
  Soft law to normy postępowania, które chociaż nie wiążą prawnie,
to mogą mieć praktyczne znaczenie, w szczególności ze względu
na autorytet podmiotów je wydających, swoiste
KODEKSY przyzwolenie/zgodę podmiotów, do których odnosi się związanie
jego postanowieniami czy w końcu wpływ innych
POSTĘPOWANIA podporządkowanych konkretnemu soft law podmiotów. Pomimo
więc braku formalnego związania adresatów ich postanowieniami
są przez nich przestrzegane, a ich ukształtowanie i stosowanie
powinno opierać się na intencji uzasadniającej wprowadzenie.
  Normy prawa miękkiego (soft law) odgrywają ważną rolę
zwłaszcza w procesach ujednolicania, standaryzacji i
innowacyjności. Kodeksy postępowania zaliczane są do tej grupy
instrumentów o charakterze samoregulacyjnym (a właściwie
koregulacyjnym), które mają pomóc we wdrażaniu przepisów.
Kodeksy postępowania, jak wiele innych dokumentów soft law,
przypominają pod względem budowy tekstu prawo stanowione,
KODEKSY są podzielone na jednostki redakcyjne oraz wyraźnie
sformułowane normy. Jest to instrument wpisujący się w zasadę
POSTĘPOWANIA RODO tzw. podejścia opartego na ryzyku oraz nieokreślania
precyzyjnych wymogów właściwego wdrożenia obowiązków
wynikających z rozporządzenia. Ma to być, z jednej strony,
uwzględnienie w kodeksach praktycznych rozwiązań
charakterystycznych dla branży, z drugiej, oparcie się na
wskazanej w RODO procedurze ich przyjmowania, opiniowania i
zatwierdzania.
  Kodeks musi być tworzony przez organizacje zrzeszające
jednostki samorządowe bądź organizacje, które skupiają
podmioty o jednorodnym charakterze, np. galerie, archiwa,
miasta, powiaty. Nie można przygotować kodeksów
postępowania w rozumieniu RODO dla pojedynczego podmiotu,
KODEKSY np. muzeum czy gminy. Nie będzie także można uznać np. miasta
za podmiot reprezentujący szkoły jako administratorów danych
POSTĘPOWANIA pomimo to, że jest dla nich organem prowadzącym. Zrzeszenie
nie jest zdefiniowane w przepisach RODO, może więc być dość
szeroko rozumiane, obejmując stosunkowo różnorodne pod
względem struktury formalnej i organizacyjnej podmioty. Pozwala
je również dookreślać w sposób specyficzny dla ustawodawstwa
krajowego i w oparciu na jego przepisach.
  Kodeksy nie powinny mieć charakteru generalnego, lecz odnosić
się do określonego sektora, branży. Biorąc pod uwagę charakter
RODO jako rozporządzenia unijnego, które uniemożliwia
doprecyzowanie danego obszaru przez przepisy krajowe w
niewskazanym zakresie, kodeks postępowania może być
KODEKSY instrumentem je konkretyzującym. Podmioty przyjmujące mają
jasne wskazania dotyczące przetwarzania danych, związanych z
POSTĘPOWANIA nim procesów i obowiązków, np. informacyjnych. W kodeksie
łączone są zarówno funkcje precyzujące przepisy RODO, jak i inne
przepisy je uszczegóławiające, zwłaszcza sektorowe. Rozwijanie w
kodeksach przepisów RODO nie może wyłączać obowiązywania
tych ostatnich jako bezwzględnie obowiązujących.
  Nie można również przecenić znaczenia kodeksów dla jednostek
samorządu terytorialnego. Ważną rolę porządkującą mogą pełnić
np. w szkołach, domach kultury czy ośrodkach pomocy społecznej.
Adresatem norm zawartych w kodeksach może być także
administracja, np. urzędy gmin (nie jedna gmina, gdyż musi to być
KODEKSY organizacja reprezentująca grupę podmiotów, zob. wyżej Nb 5).
Przykładowo, przy realizacji projektów otwartych danych
POSTĘPOWANIA publicznych dla zagwarantowania swobodnego korzystania z tych
danych można określić w kodeksach warunki ponownego
wykorzystywania (zob. B. Fischer, Ustawa o ponownym
wykorzystywaniu, s. 15 i n.) czy dostępu do informacji publicznej
organizacji zrzeszających jednostki samorządowe bądź
organizacji, które skupiają podmioty o jednorodnym charakterze.
  Na poziomie unijnym przyjęto European Code of Practice for the
Use of Personal Data in Direct Marketing opracowany przez
Federation of European Direct Marketing
 (https://www.fedma.org/;
http://www.eesc.europa.eu/sites/default/files/resources/docs/57-
markt-2003-fedma-personal-data-in-direct-marketing.pdf,
dostęp: 20.1.2018 r.)
KODEKSY  oraz Data Protection Code of Conduct for Cloud Infrastructure
Service Providers
POSTĘPOWANIA
 (https://cispe.cloud/wp-content/uploads/2017/03/Code-of-
Conduct-27-January-2017-logo-table-A-corrected.pdf, dostęp:
20.1.2018 r.)
 przygotowany przez Cloud Infrastructure Services Providers in
Europe (CISPE) – stowarzyszenie zrzeszające podmioty
świadczące w Europie usługi w tzw. chmurze obliczeniowej
(https://cispe.cloud/, dostęp: 20.1.2018 r.),
  Na poziomie unijnym przyjęto European Code of Practice for the
Use of Personal Data in Direct Marketing opracowany przez
Federation of European Direct Marketing
 (https://www.fedma.org/;
http://www.eesc.europa.eu/sites/default/files/resources/docs/57-
markt-2003-fedma-personal-data-in-direct-marketing.pdf,
dostęp: 20.1.2018 r.)
KODEKSY  oraz Data Protection Code of Conduct for Cloud Infrastructure
Service Providers
POSTĘPOWANIA  (https://cispe.cloud/wp-content/uploads/2017/03/Code-of-
Conduct-27-January-2017-logo-table-A-corrected.pdf, dostęp:
20.1.2018 r.)
 przygotowany przez Cloud Infrastructure Services Providers in
Europe (CISPE) – stowarzyszenie zrzeszające podmioty
świadczące w Europie usługi w tzw. chmurze obliczeniowej
(https://cispe.cloud/, dostęp: 20.1.2018 r.), uwzględniający
zmiany w ochronie danych osobowych przewidziane w RODO.