Kodeksy i certyfikacja

1. Certyfikacja - informacje ogólne

Certyfikacja jest nową instytucją dotyczącą ochrony danych osobowych, nieznaną przed wejściem w życie RODO – dyrektywa 95/46/WE i polska ustawa o ochronie danych osobowych z 1997 r. nie przewidywały mechanizmów certyfikacji w zakresie ochrony danych osobowych.

W ramach certyfikacji oceniana jest zgodność operacji przetwarzania danach osobowych z kryteriami certyfikacji, zatwierdzonymi odpowiednio przez organ nadzorczy lub Europejską Radę Ochrony Danych (EROD).

W celu spójnego stosowania we wszystkich państwach Europejskiego Obszaru Gospodarczego (EOG) przepisów RODO w zakresie certyfikacji oraz akredytacji podmiotów certyfikujących Europejska Rada Ochrony Danych wydała:

• Wytyczne 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia,  
• Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679), 
• Wytyczne 7/2022 w sprawie certyfikacji jako narzędzia do przekazywania danych,
• Poradnik dotyczący oceny kryteriów certyfikacji (Uzupełnienie do Wytycznych 1/2018 w sprawie certyfikacji i identyfikacji kryteriów certyfikacji zgodnie z art. 42 i 43 Rozporządzenia) – czyli Guidance – Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation),
• Procedurę przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.

Zgodnie z art. 42 ust. 5 RODO certyfikacji dokonuje akredytowany podmiot certyfikujący lub właściwy organ nadzorczy, natomiast akredytacji – właściwy organ nadzorczy lub krajowa jednostka akredytująca, co wynika z art. 43 ust. 1 RODO. Zatem możliwe są różne rozwiązania co do zaangażowanych w proces certyfikacji instytucji.

1.1. Procedura zatwierdzania kodeksu krajowego

Warunkiem przyjęcia kodeksu postępowania jest przedłożenie jego projektu organowi nadzorczemu do zatwierdzenia. Projekt taki musi spełniać wymogi określone w RODO i ustawie o ochronie danych osobowych, ale również te określone w Wytycznych EROD 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679.

Przedłożenie wniosku o zatwierdzenie kodeksu postępowania wiąże się również z obowiązkiem uiszczenia opłaty skarbowej w wysokości 10 złotych. Opłatę należy uiścić na właściwe konto Dzielnicy Śródmieście m.st. Warszawy.

Co ważne, poprawnie złożony wniosek o zatwierdzenie projektu kodeksu postępowania powinien zawierać informację o przeprowadzonych konsultacjach oraz ich wyniku. Konsultacje muszą zostać przeprowadzone przed złożeniem wniosku o zatwierdzenie kodeksu postępowania. Sprawozdanie z konsultacji nie musi obejmować całości zgłoszonych uwag, a jedynie najważniejsze wnioski z nich płynące wraz z odniesieniem projektodawców do przedstawionych stanowisk (raport z konsultacji). Konsultacje powinny zostać przeprowadzone w możliwie szerokim zakresie przy wykorzystaniu wszelkich możliwych kanałów komunikacji, w tym np. strony internetowej, prasy branżowej czy też pism kierowanych wprost do zainteresowanych podmiotów, organizacji oraz osób, których dane dotyczą.

Procedura zatwierdzenia kodeksu postępowania składa się z kilku etapów. W pierwszej kolejności organ nadzorczy bada, czy przedłożony projekt spełnia wymogi formalne oraz kryteria dopuszczalności, o których mowa w Wytycznych EROD. Po zakończeniu tej wstępnej oceny, jeśli projekt kodeksu wymaga uzupełnień, organ nadzorczy kieruje do wnioskodawcy pismo z uwagami i oczekuje ich przeanalizowania i ewentualnych zmian w projekcie. Gdy projekt nie wymaga zmian lub gdy wpłynie jego poprawiona wersja, możliwe jest przejście do kolejnego etapu, tj. do pełnej oceny treści przedłożonego projektu w świetle kryteriów zatwierdzania kodeksów. Etap ten służy wyjaśnieniu treści projektu z wnioskodawcą, umożliwiając mu wprowadzenie ewentualnych modyfikacji. Kończy się on wydaniem przez organ nadzorczy opinii o zgodności przedłożonego projektu z przepisami RODO. Ostatni etap obejmuje zatwierdzenie kodeksu postępowania w formie decyzji administracyjnej, o ile organ nadzorczy uzna, że stanowi on odpowiednie zabezpieczenie właściwego stosowania RODO.

Zatwierdzone kodeksy postępowania są następnie rejestrowane przez polski organ nadzorczyi EROD.

1.2. Procedura zatwierdzania kodeksu europejskiego

Co do zasady, procedury zatwierdzania kodeksu krajowego i europejskiego (transgranicznego) są do siebie zbliżone. Niezmiernie ważne jest jednak określenie wprost w projekcie kodeksu, czy kodeks jest jedynie krajowy, czy dotyczyć będzie również przetwarzania danych osobowych w innych państwach członkowskich UE. Kodeks transgraniczny musi spełniać dodatkowe wymagania formalne, np. w kontekście wersji językowych. Jego projekt – odmiennie niż w przypadku kodeksów krajowych – musi zostać również zaopiniowany przez EROD i Komisję Europejską.

Źródło: UODO

1.3. Kodeks jako narzędzie międzynarodowych transferów danych

Kodeksy postępowania mogą być również stosowane przez administratorów lub podmioty przetwarzające jako odpowiednie zabezpieczenia w rozumieniu art. 46 ust. 1 RODO – w przypadku przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, gdy nie ma decyzji, o których mowa w art. 45 ust. 3 RODO.

Zgodnie z art. 40 ust. 3 RODO, po zatwierdzeniu kodeksu postępowania przez właściwy organ nadzorczy i po uznaniu go przez Komisję za powszechnie obowiązujący w Unii Europejskiej mogą przestrzegać go oraz stosować administratorzy lub podmioty przetwarzające niepodlegające RODO znajdujące się w państwach trzecich w celu zapewnienia odpowiednich zabezpieczeń danych przekazywanych do państw trzecich. Od takich administratorów oraz podmiotów przetwarzających wymaga się podejmowania wiążących i egzekwowalnych zobowiązań – w drodze umowy lub poprzez inne prawnie wiążące instrumenty – do stosowania odpowiednich zabezpieczeń przewidzianych w kodeksie, w tym w odniesieniu do praw osób, których dane dotyczą, zgodnie z wymogiem określonym w art. 40 ust. 3 RODO.

Należy również zauważyć, że kodeks przeznaczony do przekazywania danych do państw trzecich lub organizacji międzynarodowych, którego przestrzega podmiot odbierający dane, może być stosowany przez podlegających RODO administratorów lub podmioty przetwarzające (tj. podmioty przekazujące dane) w celu wypełnienia ich obowiązków w przypadku przekazywania danych do państw trzecich zgodnie z RODO, bez konieczności przestrzegania takiego kodeksu przez samych administratorów lub podmioty przetwarzające.

Regulacje art. 40 ust. 3 RODO zostały doprecyzowane w przyjętych przez Europejską Radę Ochrony Danych 22 lutego 2022 r. Wytycznych 4/2021 dotyczących kodeksów postępowania jako narzędzi do przekazywania danych. Dostarczają one praktycznych wskazówek, w tym dotyczących treści kodeksów postępowania, procesu ich przyjmowania oraz zaangażowanych podmiotów, a także wymogów, które należy spełnić, i gwarancji, które należy zapewnić w ramach kodeksu postępowania przeznaczonego do przekazywania danych.

Wytyczne 4/2021 stanowią uzupełnienie Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, w których ustanowiono ogólne ramy przyjmowania kodeksów postępowania.

Kodeks postępowania można pierwotnie sporządzić wyłącznie w celu doprecyzowania zastosowania RODO zgodnie z art. 40 ust. 2 lub również jako kodeks przeznaczony do przekazywania danych zgodnie z art. 40 ust. 3.

W ocenie EROD w zakresie, w jakim jest najbardziej prawdopodobne, że z kodeksów przeznaczonych do przekazywania danych będą korzystać odpowiednie podmioty do określania ram przekazywania danych z więcej niż jednego państwa członkowskiego i biorąc pod uwagę, że te kodeksy postępowania powinny być powszechnie obowiązujące zgodnie z art. 40 ust. 9 RODO, jako takie kwalifikowałyby się jako „kodeksy transgraniczne” w rozumieniu Wytycznych 1/2019 (p. 9 Wytycznych 4/2021). Zatem, zatwierdzenie takiego kodeksu lub jego zmiana przez właściwy organ nadzorczy będzie poprzedzone uzyskaniem opinii EROD na podstawie art. 40 ust. 7 i art. 64 ust. 1 lit. b) RODO.

1.4. Mechanizmy monitorowania kodeksów

Projekt kodeksu musi zawierać propozycje mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów przez podmioty, które podjęły się jego stosowania. Dotyczy to zarówno kodeksów dla sektora publicznego, jak i dla sektora prywatnego.

Przepisy regulujące mechanizmy monitorowania przestrzegania kodeksów postępowania są ogólne, a to oznacza, iż dają twórcom kodeksów bardzo szerokie pole do wyboru odpowiednich rozwiązań. Twórca kodeksu ustala w ramach monitorowania szczegółowe (jasne i przejrzyste) procedury, ale sprawdzanie i egzekwowanie przestrzegania kodeksu należeć będzie do:

1)    podmiotu monitorującego przestrzeganie kodeksu – w przypadku kodeksu postępowania mającego zastosowanie do przetwarzania, którego dokonują podmioty prywatne

     lub

2)  innego podmiotu – w przypadku kodeksu postępowania mającego zastosowanie do przetwarzania, którego dokonują podmioty publiczne.

Podmiot monitorujący w celu uzyskania akredytacji organu nadzorczego musi wykazać swoją niezależność w stosunku do twórcy kodeksu oraz posiadanie odpowiednich zasobów finansowych, personalnych, środków organizacyjnych i materialnych (technicznych). Zatwierdzenie projektu kodeksu postępowania i udzielenie akredytacji podmiotowi monitorującemu prowadzone są w dwóch oddzielnych, ale zależnych postępowaniach. Organ nadzorczy nie może zatwierdzić projektu kodeksu postępowania, który będzie miał zastosowanie do podmiotów prywatnych, dla którego nie został wskazany podmiot monitorujący, i jednocześnie – nie może być udzielona akredytacja uprawniająca do monitorowania przestrzegania kodeksu, jeżeli nie został on zatwierdzony.

Organ nadzorczy dokonuje akredytacji podmiotu monitorującego kodeks na podstawie przepisów RODO (art. 41 RODO), Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 27 i n.) oraz Wymogów akredytacji podmiotów monitorujących kodeksy postępowania.

Prezes Urzędu Ochrony Danych Osobowych udostępnia wykaz podmiotów akredytowanych na swojej stronie internetowej i dokonuje jego aktualizacji.

Przepisy dotyczące podmiotu monitorującego nie mają zastosowania do przetwarzania prowadzonego przez organy i podmioty publiczne (art. 41 ust. 6 RODO). Jednak, jak wynika z ww. Wytycznych 1/2019 (p. 26, przyp. 35 do p. 27, p. 88), kodeksy obejmujące podmioty sektora publicznego muszą zawierać skuteczny mechanizm monitorowania, o którym mowa w p. 40 Wytycznych 1/2019. Cel taki można osiągnąć poprzez dostosowanie obowiązujących mechanizmów audytów i kontroli w administracji publicznej, tak aby obejmowały one monitorowanie kodeksu.

Mechanizmy monitorowania

Można wyodrębnić kilka elementów monitorowania:

I. Audyty:

1. Etap wstępny związany z oceną możliwości przystąpienia organizacji do kodeksu.

2. Ocena przestrzegania kodeksu przez członka kodeksu. W ramach tego etapu można wyodrębnić:

a)    okresowy audyt w ramach przyjętego planu sprawdzania przestrzegania kodeksu;

b)    audyt doraźny, np. na podstawie skargi, która wpłynęła do podmiotu monitorującego czy informacji o naruszeniu ochrony danych.

II. Działania podejmowane przez podmiot monitorujący albo inny podmiot w przypadku kodeksów postępowania dla sektora publicznego.Zaliczyć do nich można m.in.:

a)      rozpatrywanie skarg na członka kodeksu;

b)      wydawanie uwag, rekomendacji, zaleceń pokontrolnych (czy poskargowych lub ponaruszeniowych), np. zmian w polityce ochrony danych audytowanej organizacji, zmian organizacyjnych, zmiany zabezpieczeń danych itp. (środki zaradcze);

c)      sprawdzanie, czy zmiany zostały wdrożone (jest to szczególnie ważne dla zapewnienia egzekwowania przestrzegania kodeksu);

d)      nakładanie sankcji, łącznie z zawieszeniem i wykluczeniem z członkostwa w kodeksie;

e)      rozpatrywanie odwołań od sankcji nakładanych przez podmiot monitorujący w pierwszej instancji;

f)       współpraca z organem nadzorczym;

g)      współpraca z twórcami kodeksu (m.in. udział w mechanizmie przeglądu kodeksu);

h)      edukacja i promocja zasad ochrony danych w zakresie objętym kodeksem postępowania;

i)       bieżąca współpraca z członkami kodeksu (np. w przypadku zgłoszenia naruszenia ochrony danych), wyjaśnianie wątpliwości i pomoc w zapewnieniu odpowiedniego poziomu ochrony danych osobowych.

1.5. Wymogi akredytacji podmiotów monitorujących kodeksy

W 2020 r. Prezes Urzędu Ochrony Danych Osobowych przygotował i konsultował z zainteresowanymi podmiotami projekt wymogów akredytacji podmiotów monitorujących. Wskazanie w kodeksie postępowania, który ma być stosowany przez administratorów lub podmioty przetwarzające z sektora prywatnego, akredytowanego podmiotu, który ma kontrolować przestrzeganie kodeksu postępowania jest warunkiem koniecznym do tego, by organ nadzorczy mógł zatwierdzić przedstawiony mu kodeks.

Zgodnie z mechanizmem spójności określonym w RODO ww. projekt został zaopiniowany przez Europejską Radę Ochrony Danych (EROD), by zapewnić spójność stosowania przepisów RODO w państwach członkowskich Unii Europejskiej. Wymogi akredytacji podmiotów monitorujących kodeksy postępowania zostały zatwierdzone przez Prezesa UODO 13 stycznia 2021 r.

15 lutego 2021 r. zorganizowano webinarium poświęcone akredytacji podmiotów monitorujących przestrzeganie kodeksów postępowania. Omówiono bardzo szczegółowo m.in. status podmiotu monitorującego i podstawy prawne jego funkcjonowania, wymogi formalne wniosku oraz procedury i struktury, które wnioskodawca musi przygotować. Eksperci UODO podkreślali, że kodeksy postępowania są jednym z narzędzi, które mają ułatwić administratorom lub podmiotom przetwarzającym działającym w poszczególnych branżach zapewnienie zgodności z RODO. Naczelnik Wydziału Kodeksów i Certyfikacji, Krzysztof Król zwrócił również uwagę na istotę wewnętrznych procedur kontrolnych oraz niezależności podmiotu monitorującego. Podkreślił, że: „Podmiot monitorujący musi zachować niezależność od twórców kodeksu, członków kodeksu i przedstawicieli branży objętej kodeksem. Ta niezależność jest niezbędna i ją podczas procesu akredytacji podmiot monitorujący będzie musiał wykazać w obszarach: prawnym, decyzyjnym, ekonomicznym, organizacyjnym i personalnym”.

Radca Piotr Drobek, wyjaśniając rolę i charakter prawny kodeksów postępowania, podkreślił znaczenie mechanizmów monitorowania ich przestrzegania, w tym funkcjonowania podmiotów monitorujących. W swoim wystąpieniu znaczył, że: „Kodeks postępowania (…) to (…) zobowiązanie, zarówno branży, jak i tych podmiotów, które do kodeksu przystąpią. Oznacza to, że to nie jest tylko dobra praktyka czy pewna deklaracja woli właściwego postępowania, lecz jest to zobowiązanie. Zobowiązanie, które w sektorze prywatnym musi być monitorowane przez akredytowane przez Prezesa UODO podmioty monitorujące”.

1.6. Błędy najczęściej popełniane podczas przygotowania kodeksu

Z dotychczasowych doświadczeń UODO zebranych w czasie prac na projektami kodeksów postępowania wynika, że środowiska inicjujące prace nad tymi dokumentami popełniają błędy, które często wpływają na wydłużenie procedury zatwierdzenia kodeksu, zawieszenie prac nad projektem, a nawet całkowite zaniechanie przygotowania takiego dokumentu. Do powtarzających się problemów należą:

• brak właściwego uzasadnienia, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO. Tymczasem kodeks, aby być pomocny administratorom we właściwym stosowaniu przepisów o ochronie danych osobowych, powinien zawierać odrębne uzasadnienie, w formie wstępu lub osobnego rozdziału. Uzasadnienie powinno w sposób jasny i precyzyjny określać wszystkie elementy wskazane w p. 20 Wytycznych EROD 1/2019, tj. cel, zakres, sposób w jaki ułatwi on skuteczne stosowanie RODO;
• podmiot wnioskujący o zatwierdzenie kodeksu nie reprezentuje sektora. Jak wskazano w p. 22 Wytycznych EROD 1/2019, twórcy kodeksów muszą wykazać, że są faktycznym organem przedstawicielskim i że potrafią zrozumieć potrzeby swoich członków. Tak więc wnioskodawca musi udowodnić, że stanowi rzeczywistą reprezentację środowiska, w imieniu którego składa wniosek o zatwierdzenie kodeksu;
• żaden uprawniony podmiot nie podejmuje się przyjęcia roli wnioskodawcy w postępowaniu o zatwierdzenie kodeksu, np. projekt kodeksu postępowania został przygotowany dla sektora przez kilku inspektorów ochrony danych, ale żaden z podmiotów, który mógłby być uznany za przedstawiciela branży, nie chciał złożyć kodeksu do zatwierdzenia;

• zbyt wąski zakres przeprowadzonych konsultacji (np. nieobejmujący osób, których dane dotyczą – użytkowników albo klientów czy organizacji działających na ich rzecz) oraz przedstawianie zbyt szczegółowego sprawozdania z konsultacji.

Tymczasem wnioskodawca powinien przedstawić Prezesowi UODO syntetyczne sprawozdanie z przeprowadzonych konsultacji, zawierające kluczowe kwestie z nimi związane. Należy podkreślić, że rolą Prezesa UODO nie jest analiza obszernej dokumentacji, stanowiącej odzwierciedlenie całego przebiegu przeprowadzonych konsultacji, a jedynie ocena, czy konsultacje zostały przeprowadzone w odpowiednim zakresie, jak również to, czy oraz jakie przepisy projektu kodeksu postępowania zostały zmodyfikowane w efekcie przeprowadzonych konsultacji.

Konsultacje społeczne są przydatne m.in. do stwierdzenia, czy treść projektu jest zrozumiała w rozumieniu art. 12 RODO. Należy pamiętać, że odbiorcami tego dokumentu nie są jedynie członkowie regulowanego sektora – administratorzy i podmioty przetwarzające oraz współpracujące z nimi organizacje. Są to także, a często przede wszystkim (z uwagi na ich liczbę) osoby, których dane dotyczą. To konsumenci, pacjenci, usługobiorcy, pracownicy, których dane osobowe mają być przetwarzane w podwyższonym standardzie. To przede wszystkim dla nich postanowienia kodeksu muszą być jasne i zrozumiałe;

• zbyt kompleksowe, szerokie podejście do zagadnień przetwarzania danych zamiast rozstrzygnięcia najważniejszych problemów sektora. Powoduje to niemożność zatwierdzenia kodeksu ze względu na istnienie zbyt wielu kwestii spornych, które trudno jest rozstrzygnąć w jednym dokumencie. Objęcie kodeksem zbyt wielu zagadnień może prowadzić do prób uregulowania w nim zagadnień wychodzących szeroko poza branżę, dla której stworzono kodeks. Kodeks powinien przede wszystkim regulować kwestie dotyczące specyfiki sektora, dla którego powstał.

Warto w tym miejscu zwrócić uwagę na brzmienie ustępu 2 art. 40 RODO. Wymieniono tam zagadnienia, jakie mogą obejmować kodeksy postępowania. Wyliczenie to ma charakter przykładowy i nie jest wyliczeniem wyczerpującym, tzn. nie wszystkie wskazane w nim zagadnienia muszą być uregulowane w kodeksie;

• powtórzenie w kodeksie przepisów RODO lub ustawy o ochronie danych osobowych bez praktycznego wyjaśnienia ich stosowania. Tymczasem, jak wskazano w Wytycznych EROD 1/2019 (p. 37), „Kodeks nie powinien ograniczać się do ponownego przedstawienia przepisów RODO. Jego celem powinna być natomiast kodyfikacja tego, jak stosować RODO w sposób konkretny, praktyczny i precyzyjny. Uzgodnione normy i zasady będą musiały być jednoznaczne, konkretne, osiągalne i wykonalne (możliwe do sprawdzenia). Określenie odrębnych reguł w danej dziedzinie jest akceptowalną metodą, dzięki której kodeks może stanowić wartość dodaną. Stosowanie terminologii charakterystycznej jedynie dla danego sektora i przedstawianie konkretnych scenariuszy lub przykładów „najlepszych praktyk” może pomóc w spełnieniu tego wymogu”. Nie oznacza to braku możliwości cytowania przepisów, jeżeli mają służyć edukowaniu odbiorców i są graficznie wyodrębnione od treści normatywnej kodeksu;
• niewskazanie w kodeksie przepisów sektorowych oraz wytycznych, opinii i stanowisk EROD w odniesieniu do konkretnego sektora lub konkretnej czynności przetwarzania lub tylko ogólne ich wskazanie bez odniesienia się do konkretnych przepisów związanych z przetwarzaniem danych osobowych w sektorze, dla którego powstał kodeks;
• niepowoływanie się przez twórców kodeksu na istniejące orzecznictwo rozstrzygające zagadnienia regulowane w kodeksie. Wszystkie przepisy prawa i dokumenty wyjaśniające, mające wpływ na procesy przetwarzania powinny zostać przez twórców kodeksów uwzględnione w przygotowaniu jego treści;

Niezależnie od wskazanych wyżej błędów popełnianych podczas prac nad tworzeniem kodeksów, wpływ na czas trwania postępowania o zatwierdzenie kodeksu ma też oczekiwanie przez środowiska pracujące nad takim dokumentem na zmianę przepisów sektorowych (gdy ich projekt jest przygotowywany przez rząd lub spodziewane jest implementowanie przepisów unijnych). Rozsądnym rozwiązaniem jest wstrzymanie się z konsultacjami albo ze złożeniem wniosku o zatwierdzenie kodeksu, jeżeli regulowane operacje przetwarzania mogą po nowelizacji ulec zmianie. Inicjatywy kodeksowe powinny swoje wątpliwości i postulaty sygnalizować w procesie legislacyjnym, w którym najczęściej bierze także udział organ nadzorczy.

Inne błędy i problemy dotyczą kwestii związanych z niedostatecznym opisaniem w projekcie kodeksu mechanizmów umożliwiających jego monitorowania, czy niewskazaniem podmiotu monitorującego (podmiotów monitorujących).

1.7. Organizacje pracujące nad kodeksami

Projekty kodeksów postępowania, które nie zostały jeszcze przedłożone organowi nadzorczemu do zatwierdzenia, ale trwają nad nimi prace:

• Kodeks postępowania w zakresie ochrony danych dla branży sportowej – twórca: Instytut Sportu - Państwowy Instytut Badawczy (www.insp.pl),
• Kodeks dotyczący zasad przetwarzania danych osobowych gości hotelowych – twórca: Izba Gospodarcza Hotelarstwa Polskiego (www.ighp.pl),
• Kodeks postępowania z danymi osobowymi w jednostkach samorządu terytorialnego (dla jednostek samorządu terytorialnego) – twórca: Instytut Szkoleniowo – Doradczy, 93-453 Łódź, ul. Gdańska 116/7 (adres e-mail:magdalena@kuszmider.com.pl) oraz Związek Województw RP, ul. Świętojerska 5/7, 00-236 Warszawa (www.polskieregiony.pl),
• Kodeks postępowania w sądach powszechnych [obejmujący czynności niewchodzące w zakres wymiaru sprawiedliwości] – twórcy: grupa inspektorów ochrony danych z sądów apelacyjnych i okręgowych (adres e-mail: kodeks@ms.gov.pl),
• Kodeks postępowania dla branży badań medycznych - twórcy: INFARMA. Związek Pracodawców Innowacyjnych Firm Farmaceutycznych (www.infarma.pl),
• Kodeks postępowania w zakresie ochrony danych osobowych (dla uczelni medycznych) - twórca: Uczelnie Członkowskie Konferencji Rektorów Akademickich Uczelni Medycznych (www.kraum.org.pl),
• Kodeks postępowania ochrony danych osobowych dla branży wodociągowo-kanalizacyjnej - twórcy: IGWP Izba Gospodarcza „Wodociągi Polskie” (www.igwp.org.pl).

Powyższa lista nie obejmuje projektów kodeksów postępowania, które zostały przedłożone organowi nadzorczemu do zatwierdzenia. Ich lista znajduje się tutaj.

1.8. Wnioski o zatwierdzenie kodeksów

Projekty kodeksów postępowania, które zostały przedłożone organowi nadzorczemu do zatwierdzenia:

• Krajowa Izba Doradców Podatkowych - https://kidp.pl/
• Związek Pracodawców Organizacja Firm Badania Opinii i Rynku - http://rodowbranzybadawczej.pl/
• Polska Rada Centrów Handlowych - https://prch.org.pl/pl/aktualnosci/711-projekt-kodeksu-rodo-dla-branzy-retail-trafil-do-prezesa-uodo
• Sieć Badawcza Łukasiewicz – PORT Polski Ośrodek Rozwoju Technologii -http://bbmri.pl/pl/elsi/166-kodeksu-postepowania-w-sprawie-przetwarzania-danych-osobowych-dla-celow-badan-naukowych-przez-biobanki-w-polsce

2. Certyfikacja - informacje ogólne

Certyfikacja jest nową instytucją dotyczącą ochrony danych osobowych, nieznaną przed wejściem w życie RODO – dyrektywa 95/46/WE i polska ustawa o ochronie danych osobowych z 1997 r. nie przewidywały mechanizmów certyfikacji w zakresie ochrony danych osobowych.

W ramach certyfikacji oceniana jest zgodność operacji przetwarzania danach osobowych z kryteriami certyfikacji, zatwierdzonymi odpowiednio przez organ nadzorczy lub Europejską Radę Ochrony Danych (EROD).

W celu spójnego stosowania we wszystkich państwach Europejskiego Obszaru Gospodarczego (EOG) przepisów RODO w zakresie certyfikacji oraz akredytacji podmiotów certyfikujących Europejska Rada Ochrony Danych wydała:

• Wytyczne 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia,  
• Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679), 
• Wytyczne 7/2022 w sprawie certyfikacji jako narzędzia do przekazywania danych,
• Poradnik dotyczący oceny kryteriów certyfikacji (Uzupełnienie do Wytycznych 1/2018 w sprawie certyfikacji i identyfikacji kryteriów certyfikacji zgodnie z art. 42 i 43 Rozporządzenia) – czyli Guidance – Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation),
• Procedurę przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.

Zgodnie z art. 42 ust. 5 RODO certyfikacji dokonuje akredytowany podmiot certyfikujący lub właściwy organ nadzorczy, natomiast akredytacji – właściwy organ nadzorczy lub krajowa jednostka akredytująca, co wynika z art. 43 ust. 1 RODO. Zatem możliwe są różne rozwiązania co do zaangażowanych w proces certyfikacji instytucji.

2.1. Cel certyfikacji

Ustanowienie mechanizmów certyfikacji oraz wprowadzenie znaków jakości i oznaczeń w dziedzinie ochrony danych ma pozwolić:

1. osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi,

2. administratorom i podmiotom przetwarzającym wykazać, że przestrzegają nałożonych na nich obowiązków wynikających z RODO, w szczególności w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych, również w przypadku przekazywania danych osobowych do państw trzecich (certyfikacja jest dobrowolnym instrumentem zapewniającym realizację przez administratorów i podmioty przetwarzające zasady rozliczalności).

Ponadto organ nadzorczy, decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, będzie zwracał uwagę na stosowanie mechanizmów certyfikacji.

2.2. Uczestnicy procesu certyfikacji w Polsce

Podmioty certyfikujące

W Polsce certyfikacja będzie udzielana przez podmioty certyfikujące, które uzyskają akredytację od Polskiego Centrum Akredytacji (PCA).

Akredytacja ta będzie odbywała się na podstawie:

• normy ISO/IEC 17065/2012
• oraz Dodatkowych wymogów akredytacji podmiotów certyfikujących, określonych przez Prezesa Urzędu.

Akredytacja będzie mogła zostać udzielona na maksymalny okres 5 lat, będzie można ją przedłużyć.

PCA będzie miała obowiązek przekazywania Prezesowi Urzędu informacje o udzieleniu bądź cofnięciu akredytacji.

Rolą podmiotu certyfikującego jest udzielenie certyfikacji, dokonywanie jej przeglądu, przedłużania i cofanie. Wymaga to od podmiotu certyfikującego lub od właściciela systemu certyfikacji określenia i ustalenia kryteriów certyfikacji i procedur certyfikacji

Podmioty wnioskujące o udzielenie certyfikacji

Z art. 42 ust. 7 RODO wynika, że certyfikacji na podstawie RODO udziela się wyłącznie administratorom i podmiotom przetwarzającym. Szczegółowe wyjaśnienia EROD w tym zakresie zostały ujęte w p. 50-57 Wytycznych 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia.

Certyfikacja będzie udzielana na maksymalny okres 3 lat, który będzie można przedłużyć.

2.3. Dodatkowe wymogi akredytacji podmiotów certyfikujących w Polsce (art. 43 ust. 3 RODO)

W 2021 roku Prezes Urzędu Ochrony Danych Osobowych prowadził prace nad projektem dodatkowych wymogów akredytacji podmiotów certyfikujących. Dokument ten został sporządzony m.in. w oparciu o Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679)366.

W styczniu 2022 roku projekt ten został przedłożony Europejskiej Radzie Ochrony Danych do zaopiniowania w trybie art. 64 RODO.

W lipcu 2022 r. EROD wydała opinię w przedmiotowej kwestii, wskazując m.in. zmiany, jakie należy wprowadzić do ww. projektu dodatkowych wymogów akredytacji podmiotów certyfikujących. Polski organ nadzorczy przyjął opinię EROD w całości i przesłał Radzie poprawiony projekt dodatkowych wymogów akredytacji podmiotów certyfikujących.

Prezes Urzędu Ochrony Danych Osobowych zatwierdził 8 grudnia 2023 r. Dodatkowe wymogi akredytacji podmiotów certyfikujących - poniżej treść tego dokumentu.

2.4. Kryteria certyfikacji (art. 42 ust. 5 RODO)

Podmiot certyfikujący lub właściciel systemu certyfikacji opracowują kryteria certyfikacji. Dużą pomoc przy ustalaniu treści kryteriów certyfikacji stanowią dokumenty przyjęte przez EROD:

• Wytyczne 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia,
• Guidance – Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
• oraz Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679)

Kryteria certyfikacji muszą zostać zatwierdzone przez:

• właściwy organ nadzorczy, po uzyskaniu opinii EROD – w przypadku krajowych kryteriów certyfikacji,
• Europejską Radę Ochrony Danych – w przypadku wspólnej certyfikacji, europejskiego znaku jakości ochrony danych.

W obydwu przypadkach do zatwierdzenia kryteriów certyfikacji zastosowanie ma Procedura przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.

Zatwierdzenie kryteriów certyfikacji co do zasady powinno nastąpić przed procesem akredytacji podmiotu certyfikującego, gdyż akredytacja odnosi się do konkretnego systemu certyfikacji, którego elementem są zatwierdzone kryteria certyfikacji.

Prezes Urzędu będzie publikował zatwierdzone przez siebie kryteria certyfikacji oraz kryteria certyfikacji zatwierdzone przez EROD, jeśli za jego pośrednictwem był składany wniosek.

2.5. Rola Europejskiej Rady Ochrony Danych

1. Wydaje opinię w przypadku, gdy właściwy organ nadzorczy zamierza przyjąć i zgłasza do EROD projekt decyzji dotyczącej zatwierdzenia:
• wymogów akredytacji podmiotu certyfikującego,
• kryteriów certyfikacji.
2. Zatwierdza kryteria certyfikacji w przypadku wspólnej certyfikacji (europejskiego znaku jakości).
3. Gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej.
4. Prowadzi publiczny rejestr administratorów lub podmiotów przetwarzających certyfikowanych zgodnie z art. 42 ust. 7 RODO, mających siedzibę w państwie trzecim.

2.6. Europejski znak jakości ochrony danych

Gdy kryteria certyfikacji są zatwierdzane przez Europejską Radę Ochrony Danych (EROD) może to skutkować udzieleniem wspólnej certyfikacji, europejskim znakiem jakości ochrony danych. Certyfikacja udzielona w oparciu o takie kryteria certyfikacji będzie obowiązywała we wszystkich państwach członkowskich EOG.

Z Wytycznych 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia (dalej: Wytyczne EROD 1/2018) wynika, że:

• właściciel systemu certyfikacji,
• albo podmiot certyfikujący

mogą złożyć do EROD wniosek o zatwierdzenie ogólnoeuropejskich kryteriów certyfikacji za pośrednictwem własciwego organu nadzorczego. Wybór miejsca,
w którym należy złożyć wniosek o zatwierdzenie kryteriów, będzie zależał od właścicieli systemu certyfikacji lub siedziby podmiotu certyfikującego (p. 36-37 Wytycznych 1/2018 EROD).

Europejskie mechanizmy certyfikacji muszą być przeznaczone do stosowania we wszystkich państwach członkowskich.

EROD zgodnie z art. 42 ust. 8 RODO gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej za pomocą odpowiednich środków.
Z informacji dostępnej na stronie internetowej EROD wynika, że do 19 września 2023 r. EROD zatwierdziła tylko jedne kryteria certyfikacji dotyczące certyfikacji skutkującej europejskim znakiem jakości ochrony danych - Opinia 28/2022 w sprawie kryteriów certyfikacji Europrivacy dotycząca ich zatwierdzenia przez Radę jako europejskiego znaku jakości ochrony danych zgodnie z art. 42 ust. 5 (RODO).

Administratorzy i podmioty przetwarzające zainteresowane uzyskaniem certyfikatu w ramach mechanizmu Europrivacy mogą znaleźć informacje na stronie internetowej luksemburskiego organu nadzorczego (CNPD) lub na stronie internetowej European Center for Certification and Privacy in Luxembourg, podmiotu który zarządza mechanizmem certyfikacji Europrivacy.

2.7. Certyfikacja jako narzędzie do przekazywania danych

Z art. 42 ust. 2 RODO wynika, że mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych mogą być ustanowione do wykazania odpowiednich zabezpieczeń przez administratorów lub podmioty przetwarzające, którzy zgodnie z art. 3 nie podlegają RODO, w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych na warunkach określonych w art. 46 ust. 2 lit. f).

Szczegółowe wskazówki dotyczące certyfikacji jako narzędzia transferu znajdują się w Wytycznych 7/2022 w sprawie certyfikacji jako narzędzia do przekazywania danych, które stanowią uzupełnienie już istniejących Wytycznych 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia i odnoszą się do szczegółowych wymogów zawartych w rozdziale V RODO, gdy certyfikacja jest wykorzystywana jako narzędzie transferu. Nie można zapominać, że zgodnie z art. 44 RODO każde przekazanie danych osobowych do państw trzecich lub organizacji międzynarodowych, oprócz zgodności z rozdziałem V RODO, musi spełniać również warunki określone w innych przepisach RODO.

Zatwierdzenie kryteriów certyfikacji, które mają stanowić narzędzie transferu, przez właściwy organ nadzorczy lub EROD odbywa się tak samo, jak w przypadku kryteriów certyfikacji określonych w art. 42 RODO, tzn. zgodnie z Procedurą przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.

2.8. Wykaz podmiotów, którym udzielono certyfikacji

Na podstawie art. 23 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych prowadzi wykaz podmiotów, którym:

• udzielono certyfikacji
• i tym którym cofnięto certyfikację, wraz ze wskazaniem przyczyny.

Obecnie nie ma podmiotów, którym udzielono certyfikacji lub ją cofnięto, na podstawie kryteriów certyfikacji zatwierdzonych przez Prezesa UODO.