dnes je 22.12.2024
Input:

1.7 GDPR - kodexy chování a certifikační mechanismy

20.9.2017, , Zdroj: Verlag Dashöfer

1.7
GDPR – kodexy chování a certifikační mechanismy

Mgr. David Burian, Mgr. Zuzana Radičová

posledním našem článku jsme se věnovali novým právním nástrojům ochrany osobních údajů.

Nyní bychom chtěli jejich výčet zkompletovat a zabývat se kodexy chování a certifikacemi, které rovněž řadíme mezi nové instrumenty ochrany údajů, jenž by měly přispět k jednotnému uplatňování nařízení a posílení ochrany osobních údajů. Jedná se tedy o další z nástrojů, jejichž prostřednictvím mohu správci a zpracovatelé doložit soulad s nařízením a naplnit tak jednu z klíčových zásad celého nařízení – zásadu odpovědnosti. Zásadním rozdílem oproti nástrojům popsaných v předešlém článku (vedení záznamů o činnostech zpracování, posouzení vlivu, hlášení porušení zabezpečení osobních údajů či předběžné konzultace) spočívá v tom, že kodexy a certifikace jsou dobrovolné, kdežto dříve zmíněné nástroje jsou povinnostmi a jejich aplikace se odvíjí od míry definovaného rizika.

Kodexy chování

Kodexy jsou nástrojem, který zohledňuje specifika různých odvětví. Cílem výsledného kodexu by v žádném případě nemělo být opsání jednotlivých článků nařízení, ale vyplnění nejasností, které vznikají při zpracování osobních údajů v rámci daného odvětví (pojišťovnictví, bankovnictví, cestovní ruch apod.). Jak je uvedeno v recitálu (98) nařízení, kodexy by měly zejména upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob. Jelikož v případě kodexů se jedná o samoregulační nástroj, nařízení počítá s tím, že dodržování kodexu chování bude monitorováno buď samotným dozorovým úřadem, nebo subjektem akreditovaným dozorovým úřadem.

Historie kodexů chování

Kodexy chování nejsou úplnou novinkou. I předchozí legislativa s kodexy počítala1, ale v praxi se do dnešního dne příliš neuplatnily. Byl to pravděpodobně důsledek toho, že s jejich existencí nebyly spojovány žádné přímé důsledky. Otázkou samozřejmě zůstává, zda kodexy mají v nových podmínkách ochrany údajů budoucnost či nikoliv. Doposud není veřejnosti k dispozici mnoho informací, na základě kterých by mohli zájemci o kodex zvážit výhody a nevýhody, zda např. finanční a administrativní náklady s tímto spojené budou adekvátní přínosům apod.

Kodexy chování zatím nejsou na rozdíl od jiných, nařízením zaváděných institutů (DPIA, pověřenci, data breaches apod.) považovány ze strany Komise ani WP 29 za prioritu a není jim věnována velká pozornost.2 WP 29 zatím neplánuje ani žádné výkladové stanovisko, takže bude nejspíše záležet na jednotlivých dozorových úřadech, jakým způsobem přistoupí k naplnění čl. 40 nařízení, které ukládá členským státům, dozorovým úřadům, sboru a Komisi podporovat vypracování kodexů chování.

Nicméně z textu nařízení lze jednoznačně dovodit, že právě kodexy společně s certifikacemi jsou významnými nástroji, které můžou přispět nejen k dokládání souladu, ale také k jednotnému uplatňování nařízení.

Schvalovací procedura

  1. Kodex vypracovává sám správce, případně jeho vypracování může zadat externí společnosti.
  2. Správce návrh kodexu, případně jeho úpravu nebo rozšíření, předloží dozorovému úřadu.
  3. Dozorový úřad návrh posoudí a vydá stanovisko o tom, zda je kodex v souladu s nařízením a následně jej schválí.

Tento postup se však uplatní jen v případě, kdy se kodex týká pouze činností zpracování na území ČR. Schválené kodexy jsou rovněž zveřejňovány dozorovým úřadem.

V případě, že se kodex týká zpracování prováděných ve více členských zemí, dozorový úřad předloží návrh kodexu nově vzniklému Sboru pro ochranu osobních údajů, který následně vydá stanovisko o tom, zda je kodex v souladu s nařízením či nikoli. Pokud je stanovisko kladné, je kodex předán Komisi. Komise může rozhodnout, že kodex má všeobecnou platnost v rámci Unie. V tom případě Komise následně zajistí jeho zveřejnění.

Monitorování schválených kodexů

Podle nařízení musí být dodržování kodexu jednotlivými správci nebo zpracovateli pravidelně monitorováno.

Podle GDPR provádí monitorování přímo dozorový úřad, nebo dozorový úřad může prováděním monitorování pověřit (akreditovat) subjekt, který má příslušnou úroveň odborných znalostí a ke spokojenosti Úřadu:

  1. prokáže svou nezávislost a odborné znalosti ohledně předmětu kodexu,
  2. stanoví postupy, které umožňují posoudit způsobilost správce nebo zpracovatele a monitorovat, zda příslušná ustanovení kodexu jsou z jejich strany dodržována, jakož i pravidelně prozkoumávat jeho fungování,
  3. stanoví postupy pro řešení stížností na porušování kodexu a tyto postupy transparentním způsobem zveřejní,
  4. a zároveň prokáže, že jeho úkoly a povinnosti nejsou ve střetu zájmu.

Pokud se dozorový úřad rozhodne monitorování delegovat na akreditované subjekty, musí zpracovat kritéria pro akreditaci subjektů monitorujících dodržování kodexů a předložit je ke schválení Sboru pro ochranu osobních údajů. Pokud dozorový úřad akreditaci vydal, může jí i zrušit, a to v případě, že zjistí, že akreditovaný subjekt nesplňuje podmínky akreditace nebo jedná v rozporu s nařízením. Pravomocí akreditovaného subjektu je naopak, že v případě, kdy zjistí porušování kodexu zavázaným správcem nebo zpracovatelem, přijme vhodná opatření k nápravě, včetně jejich vyloučení z účasti na kodexu nebo pozastavení jejich účasti na kodexu. O tomto kroku akreditovaný subjekt musí informovat dozorový úřad.

V praxi to bude znamenat, že každý subjekt, který se přihlásí k dodržování kodexu, se bude muset zároveň zavázat, že se podrobí monitorování shody ze strany buď dozorového úřadu, nebo akreditovaného subjektu. Například bankovní asociace se rozhodne vytvořit kodex. K jeho dodržování se mohou, ale nemusí přihlásit jednotliví členové asociace. Subjektem monitorujícím shodu, tedy dozorovým úřadem akreditovaný subjekt, by teoreticky mohla být sama asociace, pokud by dostatečným způsobem prokázala svou nezávislost a nestrannost. Kontrola ze strany akreditovaného subjektu nikterak neomezuje pravomoci dozorového úřadu, který může při zjištění nedodržování nařízení uplatnit své dozorové kompetence v plném rozsahu.

Výhody přihlášení se ke kodexům

Kodex chování je podle nařízení jedním z prvků, kterým může správce nebo zpracovatel doložit plnění některých nařízením předpokládaných povinností. Jsou to:

  1. Povinnost zavést vhodná technická a organizační opatření, aby správce zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením (čl. 24).
  2. Povinnosti správce využívat pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření (čl. 28).
  3. Povinnosti správce a zpracovatele provést vhodná technická a organizační opatření, aby byla zajištěna úroveň zabezpečení odpovídající danému riziku (čl. 32).
  4. Povinnosti správce v případě, že zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provést před zpracováním posouzení vlivu na ochranu osobních údajů. Dodržování schválených kodexů chování příslušnými správci nebo zpracovateli se zohlední při posuzování dopadu operací zpracování prováděných těmito správci či zpracovateli (čl. 35).
  5. Schválené kodexy chování se uplatní i v oblasti předávání do třetích zemí. Vedle závazných podnikových pravidel nebo standardních smluvních doložek jsou dalším vhodným nástrojem zajišťujícím bezpečný přenosu osobních údajů do třetích zemí.
  6. Schválené kodexy chování se zohlední při rozhodování, zda dozorový úřad udělí správní pokutu, případně v jaké výši.

Certifikační mechanismy

Podle GDPR (čl. 42, odst. 1) se vydávání osvědčení uplatní v případě operací zpracování prováděných správcem nebo zpracovatelem, a má osvědčit soulad s nařízením. Toto pojetí podporuje i text dalšího ustanovení (čl. 42. odst. 2), který uvádí, že při předávání osobních údajů do zahraniční je vydání osvědčení jednou z možností, jak prokáže správce nebo zpracovatel, a to

Nejnovější
více článků
Nejčtenější články
více článků
Nejnavštěvovanější semináře
                    Nahrávám...