Błędy najczęściej popełniane podczas przygotowania kodeksu

Z dotychczasowych doświadczeń UODO zebranych w czasie prac na projektami kodeksów postępowania wynika, że środowiska inicjujące prace nad tymi dokumentami popełniają błędy, które często wpływają na wydłużenie procedury zatwierdzenia kodeksu, zawieszenie prac nad projektem, a nawet całkowite zaniechanie przygotowania takiego dokumentu. Do powtarzających się problemów należą:

• brak właściwego uzasadnienia, w którym przedstawia się szczegółowe informacje o celu kodeksu, zakresie jego stosowania oraz sposobie, w jaki ułatwi on skuteczne stosowanie RODO. Tymczasem kodeks, aby być pomocny administratorom we właściwym stosowaniu przepisów o ochronie danych osobowych, powinien zawierać odrębne uzasadnienie, w formie wstępu lub osobnego rozdziału. Uzasadnienie powinno w sposób jasny i precyzyjny określać wszystkie elementy wskazane w p. 20 Wytycznych EROD 1/2019, tj. cel, zakres, sposób w jaki ułatwi on skuteczne stosowanie RODO;
• podmiot wnioskujący o zatwierdzenie kodeksu nie reprezentuje sektora. Jak wskazano w p. 22 Wytycznych EROD 1/2019, twórcy kodeksów muszą wykazać, że są faktycznym organem przedstawicielskim i że potrafią zrozumieć potrzeby swoich członków. Tak więc wnioskodawca musi udowodnić, że stanowi rzeczywistą reprezentację środowiska, w imieniu którego składa wniosek o zatwierdzenie kodeksu;
• żaden uprawniony podmiot nie podejmuje się przyjęcia roli wnioskodawcy w postępowaniu o zatwierdzenie kodeksu, np. projekt kodeksu postępowania został przygotowany dla sektora przez kilku inspektorów ochrony danych, ale żaden z podmiotów, który mógłby być uznany za przedstawiciela branży, nie chciał złożyć kodeksu do zatwierdzenia;

• zbyt wąski zakres przeprowadzonych konsultacji (np. nieobejmujący osób, których dane dotyczą – użytkowników albo klientów czy organizacji działających na ich rzecz) oraz przedstawianie zbyt szczegółowego sprawozdania z konsultacji.

Tymczasem wnioskodawca powinien przedstawić Prezesowi UODO syntetyczne sprawozdanie z przeprowadzonych konsultacji, zawierające kluczowe kwestie z nimi związane. Należy podkreślić, że rolą Prezesa UODO nie jest analiza obszernej dokumentacji, stanowiącej odzwierciedlenie całego przebiegu przeprowadzonych konsultacji, a jedynie ocena, czy konsultacje zostały przeprowadzone w odpowiednim zakresie, jak również to, czy oraz jakie przepisy projektu kodeksu postępowania zostały zmodyfikowane w efekcie przeprowadzonych konsultacji.

Konsultacje społeczne są przydatne m.in. do stwierdzenia, czy treść projektu jest zrozumiała w rozumieniu art. 12 RODO. Należy pamiętać, że odbiorcami tego dokumentu nie są jedynie członkowie regulowanego sektora – administratorzy i podmioty przetwarzające oraz współpracujące z nimi organizacje. Są to także, a często przede wszystkim (z uwagi na ich liczbę) osoby, których dane dotyczą. To konsumenci, pacjenci, usługobiorcy, pracownicy, których dane osobowe mają być przetwarzane w podwyższonym standardzie. To przede wszystkim dla nich postanowienia kodeksu muszą być jasne i zrozumiałe;

• zbyt kompleksowe, szerokie podejście do zagadnień przetwarzania danych zamiast rozstrzygnięcia najważniejszych problemów sektora. Powoduje to niemożność zatwierdzenia kodeksu ze względu na istnienie zbyt wielu kwestii spornych, które trudno jest rozstrzygnąć w jednym dokumencie. Objęcie kodeksem zbyt wielu zagadnień może prowadzić do prób uregulowania w nim zagadnień wychodzących szeroko poza branżę, dla której stworzono kodeks. Kodeks powinien przede wszystkim regulować kwestie dotyczące specyfiki sektora, dla którego powstał.

Warto w tym miejscu zwrócić uwagę na brzmienie ustępu 2 art. 40 RODO. Wymieniono tam zagadnienia, jakie mogą obejmować kodeksy postępowania. Wyliczenie to ma charakter przykładowy i nie jest wyliczeniem wyczerpującym, tzn. nie wszystkie wskazane w nim zagadnienia muszą być uregulowane w kodeksie;

• powtórzenie w kodeksie przepisów RODO lub ustawy o ochronie danych osobowych bez praktycznego wyjaśnienia ich stosowania. Tymczasem, jak wskazano w Wytycznych EROD 1/2019 (p. 37), „Kodeks nie powinien ograniczać się do ponownego przedstawienia przepisów RODO. Jego celem powinna być natomiast kodyfikacja tego, jak stosować RODO w sposób konkretny, praktyczny i precyzyjny. Uzgodnione normy i zasady będą musiały być jednoznaczne, konkretne, osiągalne i wykonalne (możliwe do sprawdzenia). Określenie odrębnych reguł w danej dziedzinie jest akceptowalną metodą, dzięki której kodeks może stanowić wartość dodaną. Stosowanie terminologii charakterystycznej jedynie dla danego sektora i przedstawianie konkretnych scenariuszy lub przykładów „najlepszych praktyk” może pomóc w spełnieniu tego wymogu”. Nie oznacza to braku możliwości cytowania przepisów, jeżeli mają służyć edukowaniu odbiorców i są graficznie wyodrębnione od treści normatywnej kodeksu;
• niewskazanie w kodeksie przepisów sektorowych oraz wytycznych, opinii i stanowisk EROD w odniesieniu do konkretnego sektora lub konkretnej czynności przetwarzania lub tylko ogólne ich wskazanie bez odniesienia się do konkretnych przepisów związanych z przetwarzaniem danych osobowych w sektorze, dla którego powstał kodeks;
• niepowoływanie się przez twórców kodeksu na istniejące orzecznictwo rozstrzygające zagadnienia regulowane w kodeksie. Wszystkie przepisy prawa i dokumenty wyjaśniające, mające wpływ na procesy przetwarzania powinny zostać przez twórców kodeksów uwzględnione w przygotowaniu jego treści;

Niezależnie od wskazanych wyżej błędów popełnianych podczas prac nad tworzeniem kodeksów, wpływ na czas trwania postępowania o zatwierdzenie kodeksu ma też oczekiwanie przez środowiska pracujące nad takim dokumentem na zmianę przepisów sektorowych (gdy ich projekt jest przygotowywany przez rząd lub spodziewane jest implementowanie przepisów unijnych). Rozsądnym rozwiązaniem jest wstrzymanie się z konsultacjami albo ze złożeniem wniosku o zatwierdzenie kodeksu, jeżeli regulowane operacje przetwarzania mogą po nowelizacji ulec zmianie. Inicjatywy kodeksowe powinny swoje wątpliwości i postulaty sygnalizować w procesie legislacyjnym, w którym najczęściej bierze także udział organ nadzorczy.

Inne błędy i problemy dotyczą kwestii związanych z niedostatecznym opisaniem w projekcie kodeksu mechanizmów umożliwiających jego monitorowania, czy niewskazaniem podmiotu monitorującego (podmiotów monitorujących).