Kodeksy i certyfikacja

1.4. Mechanizmy monitorowania kodeksów

Projekt kodeksu musi zawierać propozycje mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów przez podmioty, które podjęły się jego stosowania. Dotyczy to zarówno kodeksów dla sektora publicznego, jak i dla sektora prywatnego.

Przepisy regulujące mechanizmy monitorowania przestrzegania kodeksów postępowania są ogólne, a to oznacza, iż dają twórcom kodeksów bardzo szerokie pole do wyboru odpowiednich rozwiązań. Twórca kodeksu ustala w ramach monitorowania szczegółowe (jasne i przejrzyste) procedury, ale sprawdzanie i egzekwowanie przestrzegania kodeksu należeć będzie do:

1)    podmiotu monitorującego przestrzeganie kodeksu – w przypadku kodeksu postępowania mającego zastosowanie do przetwarzania, którego dokonują podmioty prywatne

     lub

2)  innego podmiotu – w przypadku kodeksu postępowania mającego zastosowanie do przetwarzania, którego dokonują podmioty publiczne.

Podmiot monitorujący w celu uzyskania akredytacji organu nadzorczego musi wykazać swoją niezależność w stosunku do twórcy kodeksu oraz posiadanie odpowiednich zasobów finansowych, personalnych, środków organizacyjnych i materialnych (technicznych). Zatwierdzenie projektu kodeksu postępowania i udzielenie akredytacji podmiotowi monitorującemu prowadzone są w dwóch oddzielnych, ale zależnych postępowaniach. Organ nadzorczy nie może zatwierdzić projektu kodeksu postępowania, który będzie miał zastosowanie do podmiotów prywatnych, dla którego nie został wskazany podmiot monitorujący, i jednocześnie – nie może być udzielona akredytacja uprawniająca do monitorowania przestrzegania kodeksu, jeżeli nie został on zatwierdzony.

Organ nadzorczy dokonuje akredytacji podmiotu monitorującego kodeks na podstawie przepisów RODO (art. 41 RODO), Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 27 i n.) oraz Wymogów akredytacji podmiotów monitorujących kodeksy postępowania.

Prezes Urzędu Ochrony Danych Osobowych udostępnia wykaz podmiotów akredytowanych na swojej stronie internetowej i dokonuje jego aktualizacji.

Przepisy dotyczące podmiotu monitorującego nie mają zastosowania do przetwarzania prowadzonego przez organy i podmioty publiczne (art. 41 ust. 6 RODO). Jednak, jak wynika z ww. Wytycznych 1/2019 (p. 26, przyp. 35 do p. 27, p. 88), kodeksy obejmujące podmioty sektora publicznego muszą zawierać skuteczny mechanizm monitorowania, o którym mowa w p. 40 Wytycznych 1/2019. Cel taki można osiągnąć poprzez dostosowanie obowiązujących mechanizmów audytów i kontroli w administracji publicznej, tak aby obejmowały one monitorowanie kodeksu.

Mechanizmy monitorowania

Można wyodrębnić kilka elementów monitorowania:

I. Audyty:

1. Etap wstępny związany z oceną możliwości przystąpienia organizacji do kodeksu.

2. Ocena przestrzegania kodeksu przez członka kodeksu. W ramach tego etapu można wyodrębnić:

a)    okresowy audyt w ramach przyjętego planu sprawdzania przestrzegania kodeksu;

b)    audyt doraźny, np. na podstawie skargi, która wpłynęła do podmiotu monitorującego czy informacji o naruszeniu ochrony danych.

II. Działania podejmowane przez podmiot monitorujący albo inny podmiot w przypadku kodeksów postępowania dla sektora publicznego.Zaliczyć do nich można m.in.:

a)      rozpatrywanie skarg na członka kodeksu;

b)      wydawanie uwag, rekomendacji, zaleceń pokontrolnych (czy poskargowych lub ponaruszeniowych), np. zmian w polityce ochrony danych audytowanej organizacji, zmian organizacyjnych, zmiany zabezpieczeń danych itp. (środki zaradcze);

c)      sprawdzanie, czy zmiany zostały wdrożone (jest to szczególnie ważne dla zapewnienia egzekwowania przestrzegania kodeksu);

d)      nakładanie sankcji, łącznie z zawieszeniem i wykluczeniem z członkostwa w kodeksie;

e)      rozpatrywanie odwołań od sankcji nakładanych przez podmiot monitorujący w pierwszej instancji;

f)       współpraca z organem nadzorczym;

g)      współpraca z twórcami kodeksu (m.in. udział w mechanizmie przeglądu kodeksu);

h)      edukacja i promocja zasad ochrony danych w zakresie objętym kodeksem postępowania;

i)       bieżąca współpraca z członkami kodeksu (np. w przypadku zgłoszenia naruszenia ochrony danych), wyjaśnianie wątpliwości i pomoc w zapewnieniu odpowiedniego poziomu ochrony danych osobowych.