RODO, czyli unijne ogólne rozporządzenie o ochronie danych osobowych, przewidziało możliwość przyjmowania kodeksów postępowań. To takie przewodniki stosowania RODO w danym sektorze, które zatwierdza prezes UODO. Ich inicjatorami zwykle są izby branżowe. Firmy, które zdecydują się je przestrzegać, łatwiej wykażą, że starają się zapewnić efektywne przestrzeganie przepisów o ochronie danych osobowych. – To trochę taki Compliance RODO – tłumaczy Xawery Konarski, adwokat i wiceprezes Polskiej Izby Informatyki i Telekomunikacji. – Dlatego branże, w tym nasza, czekają na przyjęcie wytycznych. Dopiero wówczas ruszy procedura zatwierdzania kodeksów – dodaje. To, czy przystępujący do kodeksu rzeczywiście go stosują, ma weryfikować tzw. podmiot monitorujący. Bez wytycznych nie wiadomo jak taka instytucja ma funkcjonować i ile mogą kosztować jej usługi. 

Czytaj również: Potrzebny niezależny monitoring kodeksów postępowań >>
 

Długi proces konsultacji

Pierwszą wersję wytycznych Europejska Rada Ochrony Danych Osobowych przyjęła w lutym 2019. Do 30 kwietnia trwały ich konsultacje. Ostateczna wersja ma być gotowa przed wakacjami. Piotr Drobek, dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych zapewnia, że nie będą radykalnie zmienione. - Wytyczne potwierdziły, wszystkie stanowiska, które prezentowaliśmy przez ostatni rok – tłumaczy Piotr Drobek.  I dodaje, że po ich zatwierdzeniu prezes UODO przygotuje wymogi akredytacji podmiotu monitorującego, które jednak będą jeszcze opiniowane przez EROD. Kiedy zostaną ostatecznie przyjęte? - Myślę, że na  początku jesieni – zapowiada Piotr Drobek.

RODO nie jest tanie

Z punktu widzenia firm dopiero wówczas będzie wiadomo, ile będzie kosztowało wdrożenie kodeksów postępowania. – Nie wiem jak ma wyglądać monitoring prewencyjny, audyt. Bez tego  nie jesteśmy w stanie oszacować kosztów funkcjonowania takiego podmiotu monitorującego, a te mogą być znaczne – mówi Xawery Konarski.

Zobacz: Zatwierdzone kodeksy postępowania i certyfikacja >

PIIT na podstawie danych o funkcjonowaniu Rady Mediów, która pilnuje, by przez płynący z reklam był uczciwy oraz zgodny ze standardami określonymi przez Kodeks Etyki Reklamy, nie wprowadzał w błąd, nie naruszał podstawowych wartości społecznych oraz nie zagrażał uczciwej konkurencji, wyliczyła, że ze składek nie jest w stanie utrzymać podmiotu monitorującego. Z jednej strony jego zadania zapewne będą miały szerszy zasięg niż Rady Reklamy, a nie wszystkie firmy będą chciały przystąpić do kodeksu.

Piotr Drobek zaznacza, że urząd od początku starał się uświadamiać inicjatorom kodeksów, że muszą myśleć o finansowaniu. – Kodeksy nie mogą działać bezkosztowo – podkreśla Piotr Drobek. Dlaczego? – To ma być to instytucja aktywna, która nie tylko będzie rozpatrywała skargi, lecz również podejmowała działania o charakterze prewencyjnym, jak np. audyty Przede wszystkim jednak musi to być podmiot niezależny, fachowy oraz posiadać zasoby, które umożliwią faktyczną realizację zadań – tłumaczy Piotr Drobek.
I tu pojawia się kolejny problem. Nie ma pewności, jak często mają być przeprowadzane audyty.

Dokumentacja ochrony danych osobowych ze wzorami ebook

Mariusz Jagielski

Sprawdź  

– Jeśli ma być pełny co roku, to oznacza bardzo duże koszty. Nawet jak będzie, co pięć lat to też jest duże przedsięwzięcie, o ile dotyczy wszystkich operacji. Tych w firmach z branży telekomunikacyjnej i informatycznej są bowiem miliony – tłumaczy Barbara Sawina z Orange Polska.  Dlatego zdaniem PIIT warto pomyśleć, by audyt dotyczył pewnych obszarów, a nie całości. Wówczas jego przeprowadzenie byłoby łatwiejsze.

Pierwszy rok był OK

Eksperci PIIT podkreślają jednak, że pierwszy rok RODO oceniają dobrze – Szkoda tylko, że ustawa sektorowa nie została przygotowana wraz z ustawą o ochronie danych osobowych. To powoduje, że teraz pojawiają się pewne rozbieżności. Liczymy na wyjaśnienia regulatora, nie tylko w kodeksach branżowych – mówi Xawery Konarski. Dodaje jednak, że widać chęć współpracy regulatora z branżą.