praktycz n ie
bezpiecze ń stw o d a n ych
Pozytywna opinia UODO dotycząca kodeksów postępowania dla sektora ochrony zdrowia W ostatnich dniach lutego Prezes Urzędu Ochrony Danych Osobowych wydał pozytywną opinię dotyczącą dwóch projektów kodeksów postępowania dedykowanych sektorowi ochrony zdrowia. Jest to okazja do zapoznania się z mechanizmem kodeksów branżowych. Karolina Szuścik, CISA, Inspektor Ochrony Danych, KAMSOFT S.A.
Czym są kodeksy postępowania? Kodeksy postępowania są mechanizmami pozwalającymi na zdefiniowanie w określonych sektorach (np. sektorze ochrony zdrowia, oświaty, administracji publicznej), a także w poszczególnych branżach (np. bibliotekarze, fryzjerzy, fotografowie) dobrych praktyk, poradników, wskazówek traktujących o tym, jak w najlepszy sposób w danym środowisku biznesowo–organizacyjnym wykonywać zadania związane z ochroną danych osobowych. Forma kodeksów postępowania może być różna, od wysokopoziomowych
34
OSOZ Polska 2/2021
opisów nie zawierających szczegółów dotyczących przetwarzania danych osobowych, aż do precyzyjnie określonych procesów i ścieżek postępowania. Kodeksy postępowania muszą być zweryfikowane i formalnie zaakceptowane przez organ nadzorczy. Jeżeli kodeks obejmuje swym zakresem jedynie instytucje znajdujące się na terenie jednego z krajów wspólnoty, wówczas podmiotem odpowiedzialnym za jego akceptację jest krajowy organ nadzorczy, którym w Polsce jest Prezes UODO. RODO powołuje mechanizm kodeksów postępowania w artykule 40, a polska ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. odnosi się do tego mechanizmu w art 27. Wyżej
wskazane przepisy określają cel sporządzania kodeksów branżowych i warunki ich zatwierdzania. Co więcej, państwa członkowskie i organy nadzorcze mają obowiązek prowadzenia działań zachęcających do sporządzania kodeksów postępowania, których celem nadrzędnym jest pomoc we właściwym stosowaniu RODO. Kodeksy te mają mieć charakter regulacji sektorowych, gdyż intencją było, aby kodeksy postępowania uwzględniały specyfikę różnych sektorów dokonujących przetwarzania danych. Ponadto powinny uwzględniać szczególne potrzeby odpowiadające rozmiarom prowadzonej działalności gospodarczej – mikroprzedsiębiorstw, małych i średnich przedsiębiorstw. Formuła ta jest niezwykle istotna, ponieważ niecałe 3 lata stosowania RODO udowodniły nam nie raz, że wiele branż miało niemałe problemy z interpretacją przepisów RODO i przeniesieniem ich na grunt swojej działalności. W związku z tym, szczegółowe wskazówki dotyczące sposobów przetwarzania danych są niezwykle istotne.
