Kodeks branżowy dla spółdzielni mieszkaniowych – sposób na wykazanie przestrzegania wymagań RODO
Autor: Jakub WezgrajData dodania: Kategoria: Aktualności, Kodeks branżowy RODO dla spółdzielni mieszkaniowych, Rozporządzenie ogólne o ochronie danych osobowych (RODO)
Ogólna znajomość przepisów ogólnego rozporządzenia o ochronie danych (RODO) bardzo często nie wystarcza, aby konkretna spółdzielnia mieszkaniowa sprostała wymaganiom związanym z legalnym i bezpiecznym przetwarzaniem danych osobowych, a tym samym nie narażała się na potencjalne sankcje finansowe i roszczenia osób fizycznych.
Z własnego doświadczenia widzimy jak przepisy RODO są niezrozumiałe dla zdecydowanej większości zarządów spółdzielni mieszkaniowych. Dodatkowo wiele branż, w tym również mieszkalnictwo, funkcjonuje na podstawie regulacji sektorowych. Mają one zasadniczy wpływ na kierunek, podstawy i sposoby przetwarzania danych osobowych. Istotą jest więc „pogodzenie” obu tych żywiołów oraz znalezienie sposobu spójnej interpretacji, uwzględniającej zarówno przepisy sektorowe jak i RODO.
Opracowanie kodeksu branżowego w zakresie przetwarzania danych osobowych może być właśnie sposobem wypracowania tego typu rozwiązań, a więc z jednej strony zapewnić spółdzielniom jasne wytyczne, a z drugiej dać możliwość potwierdzenia wypracowanych ustaleń z organem nadzoru. Każdy kodeks branżowy w zakresie ochrony danych osobowych wymaga bowiem zatwierdzenia przez Prezesa Urzędu Ochrony Danych Osobowych.
Realne korzyści płynące z zatwierdzonego kodeksu branżowego
RODO w wielu miejscach wskazuje, że stosowanie zatwierdzonych kodeksów postępowania, może być wykorzystane jako rozwiązanie dające możliwość wykazania przestrzegania poszczególnych przepisów przez administratora danych. Spółdzielnie mieszkaniowe jako administratorzy danych mogą więc stosować kodeks branżowy jako mechanizm wykazujący zgodność z przepisami RODO.
W samych przepisach RODO nie znajdziemy konkretnych wytycznych gwarantujących pełną i skuteczną ochronę danych osobowych. To na każdej spółdzielni mieszkaniowej administratorze danych ciąży obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Każda spółdzielnia musi więc umieć wykazać, że przyjęte przez nią podejście i wdrożone rozwiązania są „odpowiednie”. W praktyce nie trudno zauważyć, że właśnie poziom ogólności wymagań RODO i wiele określeń wymagających indywidualizacji sprawia największą trudność w praktycznym stosowaniu tych przepisów. Jednocześnie ważną zmianą jakie wprowadziło RODO jest swoiste przyjęcie „domniemania winy administratora danych”, które wynika z zasady rozliczalności przewidzianej w art. 24 RODO i oznacza, że to właśnie administrator danych powinien umieć wykazać przed organem nadzorczym, że podjął odpowiednie środki, aby spełnić wymogi przepisów oraz chronić prawa osób, których dane podlegają przetwarzaniu. Jeżeli nie potrafi tego wykazać, przyjmuje się, że nie spełnia wymagań RODO.
I tu z pomocą przychodzi instytucja kodeksu postępowania przewidziana na gruncie art. 40 RODO. Prawidłowo opracowany kodeks postępowania szczegółowo reguluje zasady i sposoby przetwarzania danych osobowych w konkretnej branży, również z uwzględnieniem przepisów sektorowych. Jest także narzędziem służącym do wykazania przed organem nadzorczym przestrzegania przez administratora ciążących na nim obowiązków wynikających z RODO. W praktyce oznacza to możliwość oparcia się na jasnych i czytelnych wytycznych opracowanych dla konkretnej branży, które następnie zostały zatwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych, co z kolei przekłada się na mniejsze prawdopodobieństwo przeprowadzenia kontroli przez organ nadzoru wśród spółdzielni, które przystąpiły do kodeksu (choć oczywiście nie wyłącza takiej możliwości).
Nie można zapominać również o tym, że stosowanie zatwierdzonego kodeksu postępowania może okazać się skutecznym sposobem budowania zaufania wśród osób, których dane są przetwarzane, poprzez zagwarantowanie, że w procesie przetwarzania ich danych, stosowane są najwyższe standardy bezpieczeństwa – zgodne zarówno z aktualnymi przepisami prawa jak i środkami odpowiednio przystosowanymi do realiów danej branży.
Sam proces przeprowadzania konsultacji społecznych daje możliwość wzięcia udziału w szerokiej debacie na temat kształtu i kierunku kodeksu postępowania. Co najważniejsze, pozwala wypracować jednolite podejście do zagadnień i problemów, z którymi administratorzy najczęściej spotykają się przy wykonywaniu swoich zadań.
Proces tworzenia kodeksu branżowego i przyjęcia do stosowania
Zadanie opracowywania kodeksów postępowania zostało powierzone zrzeszeniom oraz innym organom reprezentującym określone kategorie administratorów danych. W praktyce jednak organizacje te przekazują kompetencję do nadzoru merytorycznego nad opracowaniem kodeksu kancelariom prawnym specjalizującym się w tematyce ochrony danych osobowych.
Przy tworzeniu kodeksu należy przeprowadzić szerokie konsultacje z reprezentantami danej branży. Tak więc w przypadku pracy nad kodeksem branżowym dla spółdzielni mieszkaniowych niezwykle istotnym elementem jest to, aby w konsultacjach tych wzięła udział jak największa liczba spółdzielni, tak, aby finalnie kodeks był kompleksowym i wyczerpującym dokumentem odpowiadającym realnym potrzebom danej branży w zakresie przetwarzania danych osobowych. Wysoce pożądane jest, aby – o ile jest to możliwe – przedmiotowe konsultacje odbyły się także z udziałem osób, których dane dotyczą (np. samych mieszkańców).
Kodeks postępowania obejmuje najważniejsze dla danej branży aspekty przetwarzania danych osobowych. Dotyczyć on może m. in. zasad zbierania i dalszego przetwarzania danych osobowych, środków i procedur zapewniających bezpieczeństwo przetwarzania, zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osoby, których dane dotyczą, stosowania polityk informacyjnych wobec osób, których dane podlegają przetwarzaniu oraz sposobu realizacji przysługujących im uprawnień, minimalnych standardów w zakresie technologii przetwarzania danych. Kodeks może również zwierać wzory dokumentacji związanej z przetwarzaniem danych osobowych (takich jak np. polityki bezpieczeństwa, wzory upoważnień, rejestrów czynności, umów powierzenia i innych).
Projekt kodeksu wraz z informacją o przeprowadzonych konsultacjach, a także informacją o wynikach tychże konsultacji przedkładany jest do akceptacji Prezesowi Urzędu Ochrony Danych Osobowych. W przypadku zatwierdzenia projektu kodeksu, jest on rejestrowany i publikowany przez organ nadzoru.
Przystąpienie do kodeksu branżowego ma charakter dobrowolny, co oznacza również, że spółdzielnie mieszkaniowe nie zostaną „przypisane” do jego stosowania w sposób automatyczny. Każdy zarząd spółdzielni może podjąć decyzję o przystąpieniu do stosowania kodeksu.
Nad przestrzeganiem przez poszczególne spółdzielnie wymagań kodeksowych czuwać będzie podmiot monitorujący, wyłoniony zgodnie z procedurą przyjętą w kodeksie. Podmiot ten jako posiadający odpowiedni poziom wiedzy fachowej, dysponujący właściwymi procedurami i strukturami organizacyjnymi musi uprzednio zostać akredytowany przez organ nadzorczy na zasadach wskazanych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych. Jego rolą jest podejmowanie odpowiednich działań w przypadku stwierdzenia naruszenia postanowień kodeksu, takich jak zawieszenie w prawach podmiotu stosującego przedmiotowy kodeks lub wykluczenie – o czym każdorazowo zawiadamia organ nadzorczy. Podmiot monitorujący w pełni podlega organowi nadzorczemu, przed którym odpowiada z tytułu wykonywania swoich uprawnień.
Komentarz ekspercki - Jakub Wezgraj, radca prawny, właściciel kancelarii ODOekspert
Kodeks branżowy dla spółdzielni mieszkaniowych może okazać się bardzo skutecznym rozwiązaniem w stosowaniu wymagań RODO. Ma on bowiem za zadanie „przefiltrować” ogólne i często niezrozumiałe przepisy RODO na język precyzyjny i zrozumiały dla danej branży, a przy okazji wskazać konkretne i akceptowalne rozwiązania, których stosowanie jednocześnie pozwoli na wykazanie zgodności z ogólnym rozporządzeniem o ochronie danych.
Opracowanie kodeksu spełniającego powyższe wymagania, to złożony i bardzo trudny proces, wymagający zarówno eksperckiej wiedzy prawnej z zakresu ochrony danych osobowych jak również bardzo dobrej znajomości branży spółdzielczej.
Uważam jednak, że wysiłek ten przyniósłby spółdzielniom mieszkaniowym wymierne korzyści. Zapewniłby ład w stosowaniu skomplikowanych wymagań prawnych, a jednocześnie pewność, że przyjęte rozwiązania są zgodne z opinią Prezesa Urzędu Ochrony Danych Osobowych.
ODOekspert pracuje nad kodeksem branżowym w zakresie stosowania RODO dla spółdzielni mieszkaniowych
Zapraszamy do kontaktu wszystkie spółdzielnie zainteresowane ideą opracowania kodeksu branżowego
Jesteśmy otwarci na Państwa sugestie dotyczące docelowego kształtu kodeksu postępowania i zagadnień, które powinien regulować. Czekamy na Państwa głos w dyskusji.
Wszelkie uwagi można kierować na adres: j.wezgraj@odoekspert.pl
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
dane osobowe w spółdzielni, GDPR, Jakub Wezgraj, kodeks branżowy dla spółdzielni mieszkaniowych, kodeks branżowy RODO, kodeks branżowy RODO dla spółdzielni mieszkaniowych, mieszkalnictwo, ochrona danych osobowych w spółdzielni, ODOekspert, RODO, SM, spółdzielnia mieszkaniowa