Mechanizmy monitorowania kodeksów

Projekt kodeksu musi zawierać propozycje mechanizmów umożliwiających monitorowanie przestrzegania jego przepisów przez podmioty, które podjęły się jego stosowania. Dotyczy to zarówno kodeksów dla sektora publicznego, jak i dla sektora prywatnego.

Przepisy regulujące mechanizmy monitorowania przestrzegania kodeksów postępowania są ogólne, a to oznacza, iż dają twórcom kodeksów bardzo szerokie pole do wyboru odpowiednich rozwiązań. Twórca kodeksu ustala w ramach monitorowania szczegółowe (jasne i przejrzyste) procedury, ale sprawdzanie i egzekwowanie przestrzegania kodeksu należeć będzie do:

1)    podmiotu monitorującego przestrzeganie kodeksu – w przypadku kodeksu postępowania mającego zastosowanie do przetwarzania, którego dokonują podmioty prywatne

     lub

2)  innego podmiotu – w przypadku kodeksu postępowania mającego zastosowanie do przetwarzania, którego dokonują podmioty publiczne.

Podmiot monitorujący w celu uzyskania akredytacji organu nadzorczego musi wykazać swoją niezależność w stosunku do twórcy kodeksu oraz posiadanie odpowiednich zasobów finansowych, personalnych, środków organizacyjnych i materialnych (technicznych). Zatwierdzenie projektu kodeksu postępowania i udzielenie akredytacji podmiotowi monitorującemu prowadzone są w dwóch oddzielnych, ale zależnych postępowaniach. Organ nadzorczy nie może zatwierdzić projektu kodeksu postępowania, który będzie miał zastosowanie do podmiotów prywatnych, dla którego nie został wskazany podmiot monitorujący, i jednocześnie – nie może być udzielona akredytacja uprawniająca do monitorowania przestrzegania kodeksu, jeżeli nie został on zatwierdzony.

Organ nadzorczy dokonuje akredytacji podmiotu monitorującego kodeks na podstawie przepisów RODO (art. 41 RODO), Wytycznych 1/2019 dotyczących kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 27 i n.) oraz Wymogów akredytacji podmiotów monitorujących kodeksy postępowania.

Prezes Urzędu Ochrony Danych Osobowych udostępnia wykaz podmiotów akredytowanych na swojej stronie internetowej i dokonuje jego aktualizacji.

Przepisy dotyczące podmiotu monitorującego nie mają zastosowania do przetwarzania prowadzonego przez organy i podmioty publiczne (art. 41 ust. 6 RODO). Jednak, jak wynika z ww. Wytycznych 1/2019 (p. 26, przyp. 35 do p. 27, p. 88), kodeksy obejmujące podmioty sektora publicznego muszą zawierać skuteczny mechanizm monitorowania, o którym mowa w p. 40 Wytycznych 1/2019. Cel taki można osiągnąć poprzez dostosowanie obowiązujących mechanizmów audytów i kontroli w administracji publicznej, tak aby obejmowały one monitorowanie kodeksu.

Mechanizmy monitorowania

Można wyodrębnić kilka elementów monitorowania:

I. Audyty:

1. Etap wstępny związany z oceną możliwości przystąpienia organizacji do kodeksu.

2. Ocena przestrzegania kodeksu przez członka kodeksu. W ramach tego etapu można wyodrębnić:

a)    okresowy audyt w ramach przyjętego planu sprawdzania przestrzegania kodeksu;

b)    audyt doraźny, np. na podstawie skargi, która wpłynęła do podmiotu monitorującego czy informacji o naruszeniu ochrony danych.

II. Działania podejmowane przez podmiot monitorujący albo inny podmiot w przypadku kodeksów postępowania dla sektora publicznego.Zaliczyć do nich można m.in.:

a)      rozpatrywanie skarg na członka kodeksu;

b)      wydawanie uwag, rekomendacji, zaleceń pokontrolnych (czy poskargowych lub ponaruszeniowych), np. zmian w polityce ochrony danych audytowanej organizacji, zmian organizacyjnych, zmiany zabezpieczeń danych itp. (środki zaradcze);

c)      sprawdzanie, czy zmiany zostały wdrożone (jest to szczególnie ważne dla zapewnienia egzekwowania przestrzegania kodeksu);

d)      nakładanie sankcji, łącznie z zawieszeniem i wykluczeniem z członkostwa w kodeksie;

e)      rozpatrywanie odwołań od sankcji nakładanych przez podmiot monitorujący w pierwszej instancji;

f)       współpraca z organem nadzorczym;

g)      współpraca z twórcami kodeksu (m.in. udział w mechanizmie przeglądu kodeksu);

h)      edukacja i promocja zasad ochrony danych w zakresie objętym kodeksem postępowania;

i)       bieżąca współpraca z członkami kodeksu (np. w przypadku zgłoszenia naruszenia ochrony danych), wyjaśnianie wątpliwości i pomoc w zapewnieniu odpowiedniego poziomu ochrony danych osobowych.