UODO zachęca jednostki samorządu terytorialnego do opracowania kodeksu postępowania

Kodeks postępowania mógłby ułatwić jednostkom samorządu terytorialnego właściwe wdrożenie zasad ochrony danych osobowych. Obecnie miewają one z tym problemy m.in. ze względu na nieprecyzyjne przepisy prawa czy różny poziom świadomości w zakresie realizacji obowiązków w związku z przetwarzaniem danych osobowych. UODO zachęca przedstawicieli samorządu do podjęcia wysiłku
w tym zakresie i deklaruje eksperckie wsparcie.

W 2024 roku z inicjatywy Prezesa Urzędu Ochrony Danych Osobowych odbył się cykl spotkań z przedstawicielami najważniejszych organizacji zrzeszających jednostki samorządu terytorialnego (JST) wszystkich szczebli:

• Unią Metropolii Polskich,
• Związkiem Miast Polskich,
• Związkiem Gmin Wiejskich,
• Związkiem Województw Rzeczypospolitej Polskiej,
• Związkiem Powiatów Polskich.

Były one okazją do omówienia problemów związanych ze stosowaniem przepisów dotyczących ochrony danych osobowych przez administratorów i podmioty przetwarzające z sektora samorządu terytorialnego oraz do wymiany poglądów i doświadczeń. Przeprowadzone rozmowy potwierdzają, że główną przyczyną rozbieżności i wątpliwości w stosowaniu zasad ochrony danych osobowych są przede wszystkim nieprecyzyjne przepisy prawa, na podstawie których zobowiązane są działać jednostki samorządu terytorialnego. Problemem jest także różny poziom świadomości i wiedzy administratorów oraz podmiotów przetwarzających z tego sektora co do obowiązków, jakie ciążą na nich w związku z przetwarzaniem danych osobowych. To z kolei powoduje m.in. niewłaściwe usytuowanie w strukturze organizacyjnej urzędu inspektora ochrony danych, a także błędne określenie jego zadań.

Na kłopoty – kodeks postępowania

Ogólne rozporządzenie o ochronie danych (RODO) umożliwia administratorom oraz podmiotom przetwarzającym z danego sektora (branży) zbudowanie wspólnej bazy dobrych praktyk w zakresie ochrony danych osobowych w postaci kodeksu postępowania. Zasady jego tworzenia i procedurę zatwierdzenia przed Prezesem UODO regulują:

• art. 40 RODO,
• art. 27 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz
• wydane przez Europejską Radę Ochrony Danych (EROD) Wytyczne 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących zgodnie z rozporządzeniem 2016/679.

Taki dokument może być bardzo pomocny w codziennej pracy, gdyż wskazuje, jak zastosować RODO i przepisy branżowe w konkretnych sytuacjach. Jednocześnie pozwala wyeliminować ryzyko niewłaściwej interpretacji przepisów prawa, a także ryzyko nieadekwatnego przetwarzania danych czy wprowadzania zbędnych procesów przetwarzania danych. Oprócz standaryzacji w zakresie realizacji obowiązków wynikających z RODO kodeksy postępowania mają także stanowić narzędzie rozliczalności (por. art. 5 ust. 2, art. 24 ust. 3, art. 28 ust. 5, art. 32 ust. 3, art. 46 ust. 2 lit. e RODO). Ponadto ich stosowanie jest brane pod uwagę przez Prezesa UODO przy podejmowaniu decyzji o ewentualnym nałożeniu administracyjnej kary pieniężnej i jej wysokości (art. 83 ust. 2 lit. j RODO).

Z kolei dla osób, których dane przetwarzają podmioty, które przystąpiły do kodeksu, to gwarancja odpowiedzialnego i zgodnego z prawem podchodzenia do ochrony tych danych. Zatem korzyści ze stosowania kodeksu postępowania są bezdyskusyjne. Warto zatem, by jednostki samorządu terytorialnego rozważyły zasadność opracowania takiego dokumentu wspólnie lub oddzielnie dla poszczególnych jego szczebli. Nie ma zamkniętego katalogu zagadnień, które kodeks postępowania musi regulować. Może więc powstać kodeks obejmujący niewielki wycinek spraw, za to charakterystycznych i ważnych dla danego sektora. Pierwsze kroki na tej drodze zostały już zresztą zrobione. Prace nad kodeksem postępowania z danymi osobowymi w jednostkach samorządu terytorialnego zostały bowiem zainicjowane przez Instytut Szkoleniowo – Doradczy z Łodzi oraz Związek Województw RP. W lipcu 2024 r. z przedstawicielami tej inicjatywy spotkali się pracownicy Wydziału Kodeksów i Certyfikacji w Departamencie Orzecznictwa i Legislacji UODO, a w październiku również Zastępca Prezesa UODO – Konrad Komornicki.

Główne wyzwania

Mając jednak na uwadze:

• wymogi, jakie musi spełniać kodeks, aby został zatwierdzony przez Prezesa UODO (por. p. 19 – 41 Wytycznych EROD 1/2019 oraz przepisy Kodeksu postępowania administracyjnego
w zw. z art. 7 ustawy z 10 maja 2018 r. o ochronie danych osobowych)

• oraz dużą liczbę jednostek samorządu terytorialnego różnego szczebla (gminy, powiaty, województwa) i szeroki zakres realizowanych przez nie zadań wydaje się, że największymi wyzwaniami dla twórców kodeksów dla tego sektora będzie ustalenie przez nich następujących kwestii:

1. zakresu podmiotowego kodeksu, czyli wskazanie, którzy administratorzy/ podmioty przetwarzające będą mogli przystąpić do kodeksu, np. czy tylko z gmin, powiatów, województw, czy jednostki organizacyjne tych samorządów, a może kodeks będzie dedykowany wszystkim;
2. kto będzie twórcą kodeksu, czyli podmiotem reprezentującym określone kategorie administratorów lub podmioty przetwarzające, którzy będą mogli zostać członkami kodeksu (por. pkt. 21 i 22 Wytycznych EROD 1/2019). W postępowaniu przed Prezesem UODO ws. zatwierdzenia kodeksu jego twórca musi wykazać, że jest faktycznym organem przedstawicielskim i że rozumie potrzeby swoich członków. Wpływ na określenie twórcy kodeksu dla JST będzie miał zakres podmiotowy stosowania kodeksu, o którym mowa powyżej;
3. zakresu przedmiotowego kodeksu, czyli operacji przetwarzania danych osobowych, do których kodeks będzie miał zastosowanie, a także kategorii administratorów/podmiotów przetwarzających, którzy w nich uczestniczą. To twórca kodeksu, znając specyfikę problemów ze stosowaniem zasad ochrony danych osobowych pojawiających się w reprezentowanym przez niego sektorze, podejmuje decyzję, co powinno zostać uregulowane w kodeksie. Kodeks ma standaryzować i rozwiązywać problemy związane z przetwarzaniem danych osobowych – ma przedstawiać praktyczne rozwiązania. Twórcy kodeksu powinni mieć zatem na uwadze art. 40 ust. 2 RODO, z zastrzeżeniem, że nie jest to katalog zamknięty i obowiązkowy do uwzględnienia w pracach nad kodeksem. Identyfikując zagadnienia do uregulowania, twórcy kodeksów muszą uwzględnić cele, jakie ma spełniać ten kodeks (por. pkt 20 Wytycznych EROD 1/2019) oraz przyjąć rozwiązania zgodne z tzw. kryteriami zatwierdzenia kodeksu (por. pkt. 32-41 Wytycznych EROD 1/2019);
4. mechanizmu monitorowania, czyli ustanowienie struktur i procedur, które umożliwią przede wszystkim:

• weryfikowanie, czy administratorzy/podmioty przetwarzające, którzy chcą przystąpić do kodeksu postępowania, spełniają warunki wynikające z tego kodeksu,

• bieżący nadzór nad przestrzeganiem postanowień kodeksu przez jego członków (np. audyty planowe i doraźne),

• rozpatrywanie skarg na członków kodeksu,

• cykliczny przegląd funkcjonowania kodeksu w celu dostosowania jego treści do obowiązujących przepisów prawa czy wprowadzenie zmian wynikających z praktyki stosowania kodeksu itd.,

• przekazywanie Prezesowi UODO sprawozdań dotyczących funkcjonowania kodeksu oraz innych niezbędnych informacji.

Twórcy kodeksu postępowania dla JST muszą sami zaprojektować taki mechanizm, który obejmowałby powyższe czynności, mając jednak na uwadze treść art. 41 ust. 6 RODO, który wyłącza możliwość prowadzenia monitorowania kodeksu skierowanego do sektora publicznego przez podmiot monitorujący. W ocenie EROD sektor publiczny może rozważyć dostosowanie wymogów w zakresie audytu, tak aby obejmowały one również monitorowanie kodeksu (por. pkt 88 Wytycznych EROD 1/2019). Warto przypomnieć, że w grudniu 2023 r. Prezes UODO zatwierdził Kodeks postępowania dla sektora ochrony zdrowia (PFSz), który zawiera m.in. rozwiązania dotyczące mechanizmu monitorowania przestrzegania jego postanowień przez podmioty z sektora publicznego;

5) przeprowadzenie konsultacji treści projektu kodeksu ze wszystkimi zainteresowanymi, czyli przede wszystkim z sektorem, który ma stosować kodeks i z osobami, których będzie dotyczyło opisane w tym kodeksie przetwarzanie danych osobowych. W przypadku kodeksu dla JST zapewne należałoby również nawiązać kontakt z resortami spraw wewnętrznych i administracji oraz cyfryzacji, ale nie tylko – będzie to uzależnione od tego, jakich procesów przetwarzania danych osobowych będzie dotyczył kodeks.

Twórcy kodeksów, które zostały już zatwierdzone przez Prezesa UODO, kontaktowali się także z organizacjami statutowo zajmującymi się ochroną danych osobowych. Dobrym sposobem na przeprowadzenie konsultacji projektu kodeksu jest zamieszczenie jego treści np. na stronie internetowej twórcy kodeksu czy jego przyszłych członków i wyznaczenie terminu, do którego można zgłaszać uwagi co do jego treści. Należy podkreślić, że Prezes UODO nie jest uczestnikiem tych konsultacji, ale może na tym etapie promować i wspierać inicjatywę kodeksową. Twórca kodeksu w postępowaniu w sprawie zatwierdzenia projektu kodeksu ma obowiązek wykazać przeprowadzenie konsultacji (por. art. 27 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz pkt 28 Wytycznych EROD 1/2019). Projekt kodeksu musi zawierać informację dotyczącą zakresu przeprowadzonych konsultacji, a do wniosku o zatwierdzenie projektu kodeksu należy dołączyć raport z tych konsultacji, z którego będzie wynikało m.in., czy zgłoszone uwagi zostały uwzględnione.

Wsparcie UODO

Informacje na temat opracowania kodeksu postępowania, wymogów formalnych, które musi spełniać wniosek o zatwierdzenie takiego kodeksu i przebiegu takiego postępowania są dostępne na stronie internetowej UODO w zakładce: DLA ADMINISTRATORA/Kodeksy i certyfikacja. Ponadto Prezes UODO zaprasza wszystkie inicjatywy planujące rozpoczęcie prac nad kodeksem do kierowania pytań na adres e-mail Departamentu Prawa i Nowych Technologii dpnt@uodo.gov.pl.

Jednym ze sposobów zachęcania różnych środowisk do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu RODO – co należy do zadań organu nadzorczego – są też spotkania przedstawicieli UODO z inicjatywami, które rozważają opracowanie lub już pracują nad tymi dokumentami. Doskonałą okazją do omawiania zasad i procedur związanych z tworzeniem kodeksów postępowania oraz do wymiany doświadczeń w zakresie stosowania zasad ochrony danych osobowych przez jednostki samorządu terytorialnego są wydarzenia organizowane przez Prezesa Urzędu Ochrony Danych Osobowych w ramach akcji „UODO rusza w kraj”. Pierwsze spotkania odbyły się już w województwie małopolskim i śląskim (komunikat po tym wydarzeniu). Kolejne odbędą się w 2025 r., a szczegółowe informacje na ich temat będą sukcesywnie zamieszczane na stronie internetowej UODO.