Polska w czołówce Europy pod względem liczby zatwierdzonych kodeksów postępowania

2026-04-04

Prezes Urzędu Ochrony Danych Osobowych zatwierdził już trzy branżowe kodeksy postępowania. To tyle samo, ile organy nadzorcze w Niemczech i Hiszpanii, a więcej niż np. we Francji. Ogólnie liczba zatwierdzonych kodeksów postępowania w UE nie jest duża, a wiele krajów nie ma żadnego. Z czego to wynika i jakie problemy towarzyszą przygotowywaniu tego typu dokumentów?

Kodeksy przewidziane w RODO to dobrowolne narzędzia w zakresie rozliczalności, zawierające szczegółowe postanowienia o ochronie danych. Mogą one stanowić użyteczne i skuteczne narzędzie w zakresie rozliczalności, zawierające dokładny opis najodpowiedniejszych, zgodnych z prawem i etycznych zbiorów zachowań w sektorze. Z punktu widzenia ochrony danych osobowych kodeksy mogą zatem funkcjonować jako zbiór instrukcji dla administratorów danych i podmiotów przetwarzających, którzy projektują i wdrażają zgodne z RODO czynności przetwarzania danych, nadających znaczenie operacyjne zasadom ochrony danych określonym w prawie europejskim i krajowym. Kodeksy zapewniają możliwość ustanowienia zbioru reguł, które przyczyniają się do właściwego stosowania RODO w sposób praktyczny, przejrzysty i potencjalnie opłacalny, a przy tym uwzględniający specyfikę danego sektora lub prowadzonych w nim czynności przetwarzania.

– Kodeksy muszą zwiększać bezpieczeństwo tych danych względem przepisów ogólnych. Mają gwarantować wyższy standard ochrony – tłumaczy dr Roman Sobotka, główny specjalista w Departamencie Prawa i Nowych Technologii UODO.

Przykładem zwiększania poziomu ochrony może być uznanie numeru telefonu za daną osobową w kodeksie dla prywatnych agencji badania opinii i rynku. Twórcy kodeksu uznali, że takie podejście lepiej zabezpieczy prywatność osób, do których wykonywane są połączenia telefoniczne w ramach badania opinii, i przyczyni się do zapewnienia większej jednolitości orzecznictwa sądowego. W tym kodeksie nałożono też na członków kodeksu obowiązek powołania Inspektora Ochrony Danych, mimo że nie wynika on z przepisów prawa.

Zatwierdzanie kodeksu

Organ nadzorczy zatwierdzając kodeks postępowania, opiera się głównie na Wytycznych EROD nr 1/2019 –wiążą o ne krajowe organy nadzorcze (zob. Grzelak A., Charakter prawny zaleceń i wytycznych Europejskiej Rady Ochrony Danych, dodatek Monitor Prawniczy 23/2021). Najpierw sprawdza się, czy wniosek o zatwierdzenie kodeksu złożył podmiot uprawniony tj. taki, który wykaże, że jest reprezentatywny dla administratorów lub podmiotów przetwarzających w pewnej branży. Kodeks musi zawierać szereg elementów, m.in.: zakres podmiotowy i przedmiotowy, raport z przeprowadzonych konsultacji, odpowiednie mechanizmy monitorowania.

Przed złożeniem projektu kodeksu do zatwierdzenia należy sprawdzić listę kontrolną (załącznik 3 do wspomnianych wytycznych). Ocena formalna wniosku o zatwierdzenie kodeksu postępowania jest przeprowadzona z uwzględnieniem kryteriów dopuszczalności określonych przez EROD w ww. wytycznych i przepisów Kpa. Następnie podczas oceny merytorycznej treści kodeksu analizowana jest jego treść w kontekście spełnienia kryteriów dopuszczalności, wskazanych w Wytycznych 1/2019.

Najważniejsze jest ustalenie zakresu obowiązywania kodeksu

Jak podkreśla dr Sobotka, główna trudność przy tworzeniu takich kodeksów, jak również późniejszego zatwierdzania ich przez UODO, polega na właściwym wyznaczeniu zakresu, jaki on obejmie. Może być on bardzo wąski, ale za to dokładnie określony. Dr Sobotka podkreśla, iż ciężko wyobrazić sobie stworzenie kodeksu obejmującego wszystkie czynności przetwarzania danych osobowych w konkretnej branży. Możliwe wydaje się natomiast przygotowanie kodeksu obejmującego np. zasady przetwarzania danych w procesie rekrutacyjnym, do którego mogłyby dołączać firmy z różnych branż.

W kodeksie trzeba dokładnie wskazać, do jakich czynności przetwarzania ma on zastosowanie i jakie podmioty (administratorzy lub podmioty przetwarzające) mogą do niego przystąpić. Jest to bardzo ważne również z perspektywy kontroli prowadzonych przez organ nadzorczy, który później ocenia, czy kodeks ten jest przestrzegany. Przykładowo – jak wskazuje Agnieszka Kociełkiewicz, naczelniczka Wydziału Kodeksów i Analiz w Departamencie Prawa i Nowych Technologii UODO – kodeks może się odnosić do przetwarzania danych klientów, ale już nie do danych pracowników.

Uprawniony podmiot i utrwalona praktyka

Kolejny problem, jaki zauważają pracownicy Wydziału Kodeksów i Analiz, polega na tym, że o zatwierdzenie kodeksu wnioskują często podmioty, które nie mają do tego uprawnień. Zgodnie z przepisami musi to bowiem być podmiot reprezentatywny dla danej branży, zrzeszający administratorów lub podmioty przetwarzające dane (ich bowiem obejmują kodeksy). Z tego względu niemożliwe było zatwierdzenie kodeksu postępowania zgłoszonego przez stowarzyszenie zrzeszające pracowników czy inspektorów ochrony danych danego sektora. Podobnie w innej branży: firma posiadająca ponad połowę udziału w rynku sama stworzyła kodeks i wnioskowała o jego zatwierdzenie. UODO musiał odmówić, gdyż nie wykazała ona reprezentatywności dla całej branży.

Gdy w postępowaniu o zatwierdzenie kodeksu pojawiają się problemy interpretacyjne, istnieje możliwość ustalenia, jak organy nadzorcze innych krajów rozumieją konkretne zagadnienie. Takie konsultacje wpływają na jednolitość stosowania RODO. Nieraz problematyczne są same zapisy w kodeksie. Zgodnie z wytycznymi EROD powinny one uwzględniać krajowe przepisy i orzecznictwo. Niestety, twórcy kodeksów rzadko odwołują się do wytycznych EROD dotyczących zgody, przejrzystości, prawnie uzasadnionego interesu, zgłaszania naruszeń itd. Wytyczne EROD zawierają szereg praktycznych przykładów i mogą stanowić wzór dla rozwiązań kodeksowych.

– Poważne trudności sprawia także przedstawienie w kodeksie rozwiązań charakterystycznych dla konkretnej branży. Mają one bowiem doprecyzowywać RODO i dostosowywać sposób działania z zakresu ochrony danych. Wprowadzać pewien standard postępowania dla wszystkich podmiotów z branży, które zdecydują się przystąpić do stosowania kodeksu. I tu pojawi się największy problem, bo często okazuje się, że trudno znaleźć jakiś wspólny mianownik, by przedstawić go w kodeksie – wyjaśnia Agnieszka Kociełkiewicz.

Ważne jest również, by kodeks napisany był językiem precyzyjnym, prawniczym, ale też zrozumiałym dla osób, których dane będą przetwarzane na podstawie jego postanowień. W przypadku danych dzieci przyjmuje się, że tekst musi być zrozumiały dla ich rodziców lub opiekunów, gdyż to oni będą ewentualnie składać skargi w imieniu podopiecznych.

Kluczowe znaczenie ma podmiot monitorujący wykonywanie kodeksu

Jak wskazuje naczelniczka Agnieszka Kociełkiewicz, trudności powoduje także stworzenie systemu monitorowania przestrzegania kodeksu. Przepisy wymagają bowiem, by każdy kodeks ustanawiał odpowiednie mechanizmy monitorowania, a kodeksy dla podmiotów niepublicznych muszą dodatkowo wskazać podmiot monitorujący lub sposób, w jaki zostanie on powołany. Ponieważ nie można wyznaczyć podmiotu monitorującego dla podmiotów publicznych (w Polsce definiowanych zgodnie z ustawa o finansach publicznych), kodeks dla sektora publicznego musi zawierać szczegółowe mechanizmy monitorowania oparte na przepisach powszechnie obowiązujących. Aby podmiot monitorujący mógł wypełniać swoją rolę, musi uzyskać akredytację Prezesa UODO – jest ona przyznawana w ramach odrębnego postępowania przed Prezesem UODO.

Podmiot monitorujący sprawdza, czy potencjalny członek kodeksu spełnia warunki, by do niego przystąpić (audyt wstępny). Później pilnuje także, czy postanowienia kodeksu są przestrzegane. Osoba, która czuje, że jej prawa zostały naruszone, może więc wnieść skargę zarówno do UODO, jak i do podmiotu monitorującego (w zakresie objętym postanowieniami kodeksu). W związku z tym, że w ramach jednego działania członka kodeksu skargi mogą trafić i do urzędu, i do podmiotu monitorującego, niezbędne jest współdziałanie obu podmiotów. Należy zwrócić uwagę, że postępowania mogą być prowadzone niezależnie.

– Inny jest też zakres kar, którymi może posłużyć się UODO oraz podmiot monitorujący. Ten ostatni może np. zalecić wprowadzenie pewnych konkretnych zmian w procedurze przetwarzania danych (które mogą być inne niż te, które zaleca Urząd), albo wykluczyć dany podmiot z grona członków kodeksu – zwraca uwagę dr Sobotka.

Ekspert wskazuje, że w przypadku prowadzonych postępowań organ nadzorczy zawsze weryfikuje, czy administrator jest członkiem kodeksu (informację o tym też można uzyskać od podmiotu monitorującego).

– Jeśli dany podmiot przystąpił do kodeksu, ale go nie przestrzega, UODO może zaostrzyć wymierzoną mu karę. Wprowadza on bowiem w błąd osoby, których dane dotyczą, sugerując, iż stosuje wyższy stopień ochrony danych, podczas gdy faktycznie tego nie robi – podkreśla dr Sobotka.

Obecnie UODO proceduje wnioski o zatwierdzenie kodeksów podstępowań m.in. dla jednego z samorządów zawodów zaufania publicznego, a także pewnej dużej branży biznesowej – prace są już na zaawansowanym etapie. W kilku innych branżach trwają rozmowy z zainteresowanymi organiza-cjami. W minionych latach parę innych wniosków o zatwierdzenie zostało zaś wycofanych po uwa-gach Urzędu. UODO aktywnie zachęca kolejne sektory do tworzenia własnych kodeksów postępo-wania – od niektórych z nich spodziewa się szybkiego wniosku o zatwierdzenie, w wielu innych przypadkach jednak po wyrażeniu wstępnego zainteresowania sprawa nie nabiera dalszego biegu.

Kodeksy postępowania w różnych państwach UE

Po kliku latach obowiązywania RODO kodeksy postępowań wciąż sprawiają liczne problemy i mało podmiotów je tworzy lub dołącza do nich. W całej Unii Europejskiej jest nieco ponad 30 zatwierdzonych kodeksów (przynajmniej tych zgłoszonych do EROD), przy czym oprócz Polski występują one jedynie w krajach tzw. starej Unii, czyli tych które dołączyły przed 2004 r. Jak wskazano na wstępie, w Polsce zatwierdzono trzy kodeksy postępowania, co stawia nasz kraj na europejskim podium. Trzecie miejsce dzielimy z Niemcami i Hiszpanią.

Jak wskazuje powyższy wykres, liderem w kwestii zatwierdzonych kodeksów postępowania jest Austria, w której obowiązuje ich aż siedem. Na drugim miejscu uplasowały się Włochy, które zatwierdziły sześć kodeksów postępowań (w tym dwa nie znajdują się jeszcze na stronie EROD). Kilka krajów ma też po dwa kodeksy: Francja, Belgia, Niderlandy i Portugalia. W Danii i Luksemburgu zatwierdzono po jednym kodeksie.

Kodeksy zatwierdzone w Austrii obejmują następujące branże: pracodawców prywatnych instytucji oświatowych, księgowych, brokerów i doradców ubezpieczeniowych dostawców inteligentnych urządzeń do pomiaru zużycia prądu, stowarzyszenia na rzecz integracji zawodowej i społecznej, dostawców urządzeń mierzących zużycie wody i energii cieplnej, podmioty prowadzące marketing bezpośredni.

Z kolei we Włoszech funkcjonują kodeksy dotyczące informacji handlowej, telemarketingu i telesprzedaży, a także agencji zatrudnienia. Osobny kodeks mają firmy ubezpieczeniowe (reguluje on dostęp do wspólnych baz danych), a także twórcy programowania i podmioty wykorzystujące wtórnie dane pacjentów do badań klinicznych. Ten ostatni kodeks obejmuje tylko region Veneto.

Również w Niemczech istnieje kodeks postępowania dla dostawców urządzeń pomiarowych do zużycia wody i ciepła. Swój kodeks mają tam też notariusze (ma on charakter publiczny) oraz agencje kredytowe (reguluje kwestię retencji danych). Z kolei w Hiszpanii zatwierdzono kodeks dotyczący przetwarzania danych w badaniach klinicznych, w branży reklamowej i ubezpieczeniowej.

Francja posiada dwa zatwierdzone kodeksy, przyjęcie trzeciego planowane jest wkrótce. Oba mają charakter transgraniczny, pierwszy dotyczy dostawców usług w chmurze, drugi zaś – podwykonawców w badaniach klinicznych, działających na zlecenie sponsora (CRO). Belgia również posiada transgraniczny kodeks dla dostawców usług chmurowych oraz publiczny kodeks postępowania dla notariuszy.

W Portugalii zatwierdzono dwa kodeksy o bardzo wąskim charakterze – jeden dotyczy wymiany danych między dwiema gminami, drugi – zarządzania danymi przez administrację kilku wskazanych portów. Z kolei w Niderlandach istnieje ogólny kodeks dla podmiotów przetwarzających, a także dla dostawców inteligentnych urządzeń do zarządzania siecią energetyczną. Kodeks duński dotyczy przetwarzania danych przez rady parafialne, a ten w Luksemburgu obejmuje agencje pracy tymczasowej.

Wymienione kodeksy najczęściej liczą od kilkunastu do kilkudziesięciu stron, choć najkrótszy z nich ma sześć stron, a najdłuższy – 140. Również tutaj Polska znajduje się w czołówce, gdyż wszystkie kodeksy zatwierdzone w naszym kraju liczą ok. 100 stron.

Agnieszka Kociełkiewicz, naczelniczka Wydziału Kodeksów i Analiz Departament Prawa i Nowych Technologii Urząd Ochrony Dany Osobowych

dr Roman Sobotka, główny specjalista Departament Prawa i Nowych Technologii Urząd Ochrony Dany Osobowych