Celem kodeksów postępowania, jest pomoc we właściwym stosowaniu RODO. Pozwalają one uwzględnić specyfikę różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
W takich kodeksach można w szczególności dopasować obowiązki ADO i procesorów do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwarzanie.
Podmioty tworzące kodeksy postępowania
Opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, mogą:
- zrzeszenia administratorów
- podmioty reprezentujące określone kategorie administratorów; lub
- podmioty przetwarzające.
Cel kodeksów postępowania
Celem kodeksu postępowania, jest doprecyzowanie zastosowania rozporządzenia GDPR, między innymi w odniesieniu do:
- rzetelnego i przejrzystego przetwarzania;
- prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;
- zbierania danych osobowych;
- pseudonimizacji danych osobowych;
- informowania opinii publicznej i osób, których dane dotyczą;
- wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
- informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
- środków i procedur, o których mowa w art. 24 i 25, oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;
- zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;
- przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub
- postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.
Podmioty przestrzegające kodeksów postępowania
Poza podlegającymi rozporządzeniu administratorami i podmiotami przetwarzającymi, kodeksów postępowania mogą przestrzegać też administratorzy lub podmioty przetwarzające, których nie obejmuje terytorialny zakres zastosowania rozporządzenia GDPR.
Zobowiązanie się takiego podmiotu, do przestrzegania danego kodeksu, sprawia że wywiązuje się on z obowiązku zapewnienia odpowiednich zabezpieczeń, w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
Kodeks przestrzegany przez administratora lub procesora, którego nie obejmuje terytorialny zakres zastosowania rozporządzenia GDPR, musi mieć moc powszechnie obowiązującą. Tacy administratorzy lub takie podmioty przetwarzające, podejmują wiążące i egzekwowalne zobowiązanie, że będą stosować, przewidziane kodeksem, zabezpieczenia. Zobowiązanie powstaje, w drodze umowy lub poprzez inne prawnie wiążące instrumenty.
Podmiot monitorujący przestrzeganie kodeksu postępowania
Cechy podmiotu
Monitorowaniem przestrzegania kodeksu postępowania, może zajmować się podmiot, który:
- dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu; i
- został akredytowany w tym celu przez właściwy organ nadzorczy.
Przesłanki dokonania akredytacji podmiotu
Podmiot monitorujący przestrzeganie kodeksu postępowania, może zostać akredytowany w celu monitorowania przestrzegania kodeksu postępowania, jeżeli:
- w sposób satysfakcjonujący wykazał on właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie będącej przedmiotem kodeksu;
- dysponuje procedurami, które pozwalają mu ocenić zdolność konkretnych administratorów i podmiotów przetwarzających do stosowania kodeksu, monitorować przestrzeganie przez nich jego przepisów oraz okresowo dokonywać przeglądu jego funkcjonowania;
- dysponuje procedurami i strukturami, które pozwalają rozpatrywać skargi na naruszenie kodeksu przez administratora lub podmiot przetwarzający lub na sposób wdrożenia lub wdrażania kodeksu przez administratora lub podmiot przetwarzający oraz które pozwalają zapewnić przejrzystość tych procedur i struktur dla osób, których dane dotyczą, i opinii publicznej; oraz
- w sposób satysfakcjonujący wykazał właściwemu organowi nadzorczemu, że jego zadania i obowiązki nie powodują konfliktu interesów.
Zadania i kompetencje podmiotu
Podmiot monitorujący przestrzeganie kodeksu postępowania, podejmuje odpowiednie działania w przypadku naruszenia kodeksu przez administratora lub podmiot przetwarzający. Może on m.in. zawiesić lub wykluczyć administratora lub podmiot przetwarzający spośród stosujących kodeks.
Informuje on właściwy organ nadzorczy o swoich działaniach i powodach ich podjęcia.
Cofnięcie akredytacji podmiotu
Organ nadzorczy cofa akredytację, jeżeli:
- podmiot nie spełnia lub przestał spełniać warunki akredytacji; lub jeżeli
- działania przez niego podejmowane nie są zgodne z rozporządzeniem GDPR.
Wyłączenie
Podmiotu monitorującego przestrzeganie kodeksu postępowania, nie można wyznaczyć do kontroli procesów przetwarzania, prowadzonego przez organy i podmioty publiczne.