Kolejnym środkiem prawnym ochrony danych osobowych sensu largo o charakterze pośrednim jest kodeks postępowania, stanowiący zespół norm prawnych opracowanych przez zrzeszenie lub inne podmioty reprezentują-ce administratora lub podmioty przetwarzająreprezentują-ce, zatwierdzony przez organ właściwy ze względu na zakres zastosowania tego kodeksu.
Kodeks ma na celu zapewnienie stosowania rozporządzenia 2016/679, z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarza-nia oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw549. Jednocześnie należy zaznaczyć, że ma on dobrowolny charakter550. Administrator, stosując zatwierdzony kodeks postępowania, może w ten sposób wykazać, że wywiązuje się ze swoich obowiązków określonych w tym rozporządzeniu551. Kodeks nie ma tylko wizerunkowe-go znaczenia, lecz może służyć rozstrzyganiu sporów, a także zawiera eg-zekwowalne normy552. Kodeks postępowań może zostać opracowany przez zrzeszenie i inne podmioty reprezentujące administratorów lub podmioty przetwarzające553. Kodeks może także obowiązywać administratorów i pod-mioty przetwarzające z państw trzecich lub organizacji międzynarodowych na podstawie umowy lub innego wiążącego instrumentu554.
Kodeks ma na celu doprecyzować rozporządzenie 2016/679555. Po-winien uwzględnić przy tym dotychczasowe dobre praktyki
przetwarza-549 Artykuł 40 ust. 1 RODO. Zob. P. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 40, [w:] P. Litwiński (red.), Rozporządzenie w sprawie ochrony osób fizycznych w związku z
przetwarza-niem danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, Warszawa
2018, s. 597; U. Góral, P. Makowski, Komentarz do art. 40, [w:] E. Bielak-Jomaa, D. Lubasz (red.),
RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018, s. 822‒823.
550 U. Góral, P. Makowski, op. cit., s. 823.
551 Motyw 81 zd. 2 RODO.
552 U. Góral, P. Makowski, op. cit., s. 820.
553 Art. 40 ust. 2 RODO.
554 Art. 40 ust. 3 RODO. Zob. P. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 40…, s. 599‒600.
nia danych osobowych556 oraz, w szczególności, dopasować obowiązki administratorów i podmiotów przetwarzających do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przetwa-rzanie557. Z tej przyczyny reguluje on: sposób rzetelnego i przejrzystego przetwarzania; określenie prawnie uzasadnionych interesów realizowa-nych przez administratorów w określorealizowa-nych kontekstach; sposób zbierania danych osobowych; pseudonimizację danych osobowych; sposób infor-mowania opinii publicznej i osób, których dane dotyczą; sposób wyko-nywania przez osoby, których dane dotyczą, przysługujących im praw; sposób informowania i ochrony dzieci oraz sposób pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem; środ-ki i procedury, do których wykonania jest zobowiązany administrator; środki zapewniające bezpieczeństwo przetwarzania; sposób zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz za-wiadamiania o takich naruszeniach osób, których dane dotyczą; sposób przekazywania danych osobowych do państw trzecich lub organiza-cji międzynarodowych; postępowania pozasądowe oraz inne tryby roz-strzygania sporów w celu rozroz-strzygania sporów między administratorami a osobami, których dane dotyczą558. Kodeks może zawierać także wska-zówki co do wdrożenia odpowiednich środków służących przestrzega-niu prawa ochrony danych oraz sposobu wykazania przestrzegania pra-wa przez administratora i podmiot przetpra-warzający559.
Zrzeszenie lub inny podmiot reprezentujący administratorów lub podmioty przetwarzające, mający zamiar opracować kodeks postępowa-nia, powinien przedłożyć projekt kodeksu Prezesowi Urzędu w celu jego
556 P. Punda, A.P. Czarnowski, M. Gawroński, Kodeksy postępowania i certyfikacja, [w:] M. Gawroński (red.), RODO. Przewodnik ze wzorami, Warszawa 2018, s. 165.
557 Motyw 98 zd. 2 RODO.
558 Artykuł 40 ust. 2 RODO. Zob. P. Litwiński, P. Barta, M. Kawecki, Komentarz do art.
40…, s. 598‒599.
zatwierdzenia560. Organ nadzorczy wydaje opinię o zgodności projektu ko-deksu z rozporządzeniem 2016/679 i zatwierdza go, jeżeli uzna, że stanowi on odpowiednie zabezpieczenia561. Odmienna procedura występuje, gdy kodeks będzie dotyczył czynności przetwarzania prowadzonych w kilku państwach członkowskich. Prezes Urzędu powinien wówczas zwrócić się o opinię do Europejskiej Rady Ochrony Danych. Opinia ta dotyczy zgod-ności projektu kodeksu z rozporządzeniem 2016/679, a jeżeli ma on obo-wiązywać także administratorów lub podmioty przetwarzające z państw trzecich i organizacji międzynarodowych, opinia powinna określać, czy projekt kodeksu stanowi odpowiednie zabezpieczenia562. Europejska Rada Ochrony Danych po wyrażeniu pozytywnej opinii przedkłada ją Komisji Europejskiej563. Komisja może, w drodze aktu wykonawczego, stwierdzić, że zatwierdzony kodeks postępowania jest powszechnie obowiązujący w Unii Europejskiej564, a następnie zapewnić odpowiednie upowszech-nienie zatwierdzonego kodeksu565. Procedura ta obwiązuje także w przy-padku zmiany i rozszerzenia tego kodeksu566.
Przestrzeganie kodeksu przez obowiązanych do jego stosowania administratorów lub podmiotów przetwarzających powinno być monito-rowane przez podmiot monitorujący, który został akredytowany w tym celu przez właściwy organ nadzorczy567. Jeżeli administrator lub podmiot
560 Artykuł 40 ust. 5 RODO. Zob. P. Litwiński, P. Barta, M. Kawecki, Komentarz do art.
40…, s. 600‒601; U. Góral, P. Makowski, op. cit., s. 829; P. Punda, A.P. Czarnowski, M.
Gaw-roński, op. cit., s. 165.
561 Artykuł 40 ust. 5 zd. 2 RODO.
562 Artykuł 40 ust. 7 w zw. z art. 40 ust. 3 RODO.
563 Artykuł 40 ust. 8 RODO.
564 Artykuł 40 ust. 9 zd. 1 RODO.
565 Artykuł 40 ust. 10 RODO. W świetle art. 40 ust. 11 RODO Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany i roz-szerzenia i udostępnia je opinii publicznej za pomocą odpowiednich środków. Zob. P. Litwiń-ski, P. Barta, M. Kawecki, Komentarz do art. 40…, s. 601‒602.
566 Artykuł 40 ust. 5; art. 40 ust. 6 w zw. z art. 40 ust. 5; art. 40 ust. 7‒9; art. 40 ust. 10 w zw. z art. 40 ust. 9; art. 40 ust. 11 RODO.
567 Artykuł 40 ust. 4 w zw. z art. 41 ust. 1 RODO. Zob. P. Litwiński, P. Barta, M. Kawecki,
fizycz-przetwarzający narusza kodeks, podmiot monitorujący zawiesza lub wy-klucza go spośród stosujących kodeks. Podmiot monitorujący informuje Prezesa Urzędu o tych działaniach i ich powodach568.
nych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu ta-kich danych. Komentarz, Warszawa 2018, s. 604.
568 Art. 41 ust. 4 RODO. Zob. P. Litwiński, P. Barta, M. Kawecki, Komentarz do art. 41…, s. 604‒605.