GIODO: Kodeksy postępowania wyłącznie dla konkretnych branż
Przypominamy o tym z racji tegorocznego Dnia Ochrony Danych Osobowych. I od razu wyjaśniamy – 28 stycznia 1981 r. została otwarta do podpisu Konwencja Rady Europy nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. – To pierwsza w historii prawa międzynarodowego regulacja, która odnosiła się do tego obszaru – przypomina dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych. Z tej okazji Komitet Ministrów Rady Europy ustanowił 28 stycznia każdego roku Dniem Ochrony Danych Osobowych.
Tegoroczne obchody tego święta przypadają na czas szczególny. Od maja wszystkie podmioty funkcjonujące na terenie Wspólnoty będą bowiem musiały dostosować się do postanowień ogólnego rozporządzenia o ochronie danych (RODO). Może to być szczególnie problematyczne dla podmiotów z sektora mikro i MŚP, dlatego twórcy nowej ustawy o ochronie danych osobowych zamierzają zwolnić te grupy z części obowiązków o charakterze informacyjnym. Według deklaracji resortów cyfryzacji i rozwoju, zwolnienie ma objąć firmy zatrudniające nie więcej niż 250 pracowników. GIODO przypomina jednak, iż przepis ten nie obejmie tych reguł, które zostały określone bezpośrednio w nowym prawie unijnym. – Uczulam wszystkich, aby realizowali obowiązki wynikające wprost z RODO – przestrzega dr Edyta Bielak-Jomaa.
Wsparciem dla niedużych firm może być stworzenie kodeksu postępowania danej branży, który w znacznym stopniu doprecyzowywałby dość ogólne reguły RODO. Należy jednak pamiętać, iż taki zbiór zasad nie może objąć całej grupy mikrofirm czy MŚP. Kryterium dla utworzenia kodeksu nie może bowiem być liczba pracowników zatrudnionych przez dany podmiot ani też poziom jego przychodów, a to przecież te kryteria klasyfikują przedsiębiorstwo do kategorii mikro, małych czy średnich firm. – Celem kodeksu postępowania jest ułatwienie stosowania RODO w konkretnym sektorze, na przykład marketingu bezpośredniego czy branży bankowej. Dlatego zakres działalności podmiotów objętych kodeksem musi być taki sam, lub przynajmniej bardzo podobny, aby można było przetransponować przepisy rozporządzenia do realiów konkretnej branży – przypomina GIODO.
Przepisy RODO przewidują ponadto, iż tego rodzaju zbiory zasad mogą być tworzone jedynie przez zrzeszenia przedsiębiorców, a te z reguły działają w ramach określonych sektorów. Nie należy również zapominać o tym, że kodeks nie ma charakteru informacyjnego tylko regulacyjny. – Administratorzy przynależący do danego zrzeszenia są obowiązani realizować zasady, określone przez tę organizację w kodeksie. Przyjmując na siebie obowiązki wynikające z kodeksu, godzą się zarazem na odpowiedzialność za ich niezrealizowanie, która zostanie określona wprost w kodeksie – wskazuje dr Edyta Bielak-Jomaa.