Gdzie te kodeksy?

Dużo jest narzekania na to, że „nie wiadomo jak rozumieć” przepisy nowego rozporządzenia o ochronie danych osobowych (RODO). Cóż, dobrze napisane prawo musi być elastyczne i dość abstrakcyjne by wytrzymać próbę czasu. Ale to nie znaczy, że jesteśmy skazani na zgadywanie. Jednym z instrumentów, które mogą pomóc w interpretacji i doprecyzowaniu abstrakcyjnych reguł są tzw. kodeksy postępowania (potoczenie zwane kodeksami dobrych praktyk). Każda branża może – na swoje potrzeby – taki kodeks wypracować. Czas już dawno wystartował.

Sygnały, że w różnych branżach – od firm farmaceutycznych po banki i marketing – trwają zaawansowane prace nad kodeksami postępowań, docierały do Panoptykonu na długo przed 25 maja tego roku (datą, od której RODO jest w pełni stosowane). Koordynujące te prace izby branżowe liczyły na to, że uda się uzgodnić treść kodeksów z GIODO jeszcze przed 25 maja, a zaraz po tej dacie uzyskać formalne zatwierdzenie branżowych przepisów przez nowy urząd (UODO). Biuro GIODO już w styczniu organizowało spotkania informacyjne poświęcone kodeksom i zachęcało do konsultacji. Sądząc po efektach, w którymś momencie tryby tej współpracy musiały się jednak zaciąć, bo do dziś światło dzienne ujrzał tylko jeden kodeks, opracowany przez Związek Banków Polskich.

Zgodnie z wymaganiami, jakie na autorów kodeksów nakłada ustawa o ochronie danych osobowych, ZBP przekazało swój projekt kodeksu do konsultacji społecznych. W porozumieniu z autorami, opublikowaliśmy ten dokument na naszej stronie, tak żeby wszyscy zainteresowani mogli się z nim zapoznać. Swoje uwagi przedyskutowaliśmy z ZBP na roboczym spotkaniu w ubiegłym tygodniu, a dziś wysyłamy je na piśmie. W rozmowie okazało się, że podobnie rozumiemy sens i intencje RODO, a podstawowe kwestie nie są sporne. Sami napisalibyśmy ten kodeks nieco inaczej – kładąc nacisk na konkretne przykłady rozwiązań, a nie na reguły ogólne – ale rozumiemy, że uzgodnienie takiego dokumentu w gronie ponad 100 zaangażowanych instytucji jest naprawdę trudne, jeśli nie niemożliwe.

Słabe, nieskonsultowane i sporne kodeksy postępowań nie mają sensu. Potrzebujemy dobrych praktyk.

Nasze doświadczenie współpracy z ZBP pokazuje, że konsultacje społeczne kodeksów postępowania naprawdę mają sens. Autorzy dostają konstruktywne uwagi, uczciwą recenzję i spojrzenie kogoś spoza branży, Prezes UODO (który takie kodeksy zatwierdza) dostaje sygnał, co na temat zaproponowanych reguł sądzą ich odbiorcy (konsumenci/obywatele), a my mamy szansę zrozumieć, jakie były intencje banków i zasygnalizować im ew. problemy, zanim taka samoregulacja stanie się faktem. Wszyscy mamy interes w tym, żeby kodeksy postępowań były dobrze przygotowane: ostatecznie mają promować dobre praktyki i pomagać firmom z danej branży w stosowaniu RODO, a nie wywoływać niepotrzebne kontrowersje i prawne batalie.

To, że żadna inna branża (poza bankową) nie przedstawiła jeszcze swojego urobku do konsultacji społecznych jest dla nas zaskoczeniem. Wysłaliśmy właśnie do UODO wniosek o dostęp do informacji publicznej z pytaniem o to, czy nie pojawiły się kolejne projekty. Jednocześnie staramy się przyjmować tę „ciszę w eterze” za dobrą monetę i znak, że wypracowywanie wspólnych standardów jest traktowane przez izby branżowe poważnie. Widzimy, że np. firmy z branży interaktywnej i portale internetowe od maja testują różne klauzule informacyjne i sposoby zbierania zgody na przetwarzanie danych. Nie wszystkie chwalimy, niektóre wprost krytykujemy (por. RODO na tacy. Sezon II), ale nadal liczymy na to, że ostatecznie z tego ucierania i negocjowania standardów wyjdzie coś dobrego. Coś, co zasłuży na status kodeksu dobrych praktyk.

Katarzyna Szymielewicz

Lista kodeksów, które skonsultowaliśmy:

1. Banki
2. Małe placówki medyczne
3. Branża reklamy internetowej
4. Biobanki
5. Rekrutacja
6. Branża marketingu bezpośredniego