Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v článcích 40 a 41 upravuje oblast přípravy a monitorování kodexů chování. Informace uvedené v tomto textu jsou pracovním názorem Úřadu a mohou se měnit v závislosti na přijetí pokynů Evropským sborem pro ochranu osobních údajů.
Úřad také uveřejnil
příručku Kodexy chování, jejímž cílem je vysvětlit podstatu kodexů chování, přiblížit a pomoci veřejnosti k lepší orientaci v této oblasti, naznačit základní pravidla a doporučit praktické postupy v jejich aplikaci. Naleznete ji v rubrice
Povinnosti správců.
Co je kodex chování?
Prokázání souladu s nařízením 2016/679 je možné podpisem a dodržování kodexu chování (pokud pro danou oblast existuje), vydání osvědčení (certifikátu) o shodě nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).
Kodex chování definuje základní zásady, postupy a požadavky na zpracování osobních údajů v konkrétním odvětví.
Komu je kodex chování určen?
Kodex chování je určen skupině správců nebo zpracovatelů stejného typu (příkladem by mohly být cestovní kanceláře, lékaři, pojišťovny, banky apod.).
Jaký je obsah kodexu chování?
Kodex musí být zpracován tak, aby pokryl požadavky upravené obecným nařízením o ochraně osobních údajů pro (operace) zpracování osobních údajů konkrétního druhu.
Text kodexu doporučujeme rozčlenit na části v souladu s články (zejména čl. 5 až 49) obecného nařízení upravujících činnost správce nebo zpracovatele při zpracování osobních údajů a v rámci nich definovat základní zásady, postupy a požadavky na zpracování osobních údajů, a to jak pozitivní (co správce nebo zpracovatel dělat musí), tak negativní (co správce nebo zpracovatel dělat nesmí).
Zásady, požadavky a postupy musí být formulovány natolik konkrétně, aby jejich plnění bylo ověřitelné v rámci monitorování prováděného nezávislým subjektem. Podrobnější informace lze nalézt v
pokynech Sboru.
Je závazek na dodržování kodexu povinný?
Neexistuje povinnost přihlásit se k dodržování kodexu chování, jedná se o jednu z volitelných variant ověření uplatňování obecného nařízení o ochraně osobních údajů. Pokud se však správce nebo zpracovatel přihlásí k dodržování kodexu chování, je povinen se podrobit pravidelnému monitorování kodexu chování nezávislým subjektem.
Kdo kodex chování schvaluje?
Příslušný dozorový úřad v případě národního kodexu (zahrnuje činnosti zpracování v jednom členském státě). V ČR Úřad pro ochranu osobních údajů.
V případě nadnárodního kodexu Evropský sbor pro ochranu osobních údajů na základě předložení příslušného dozorového úřadu.
Kdo provádí monitorování kodexu chování?
Monitorování dodržování kodexu chování provádí nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, který prokáže odborné znalosti oblasti (činnost prováděná skupinou správců), pro kterou je kodex určen, znalosti z ochrany osobních údajů a znalosti a zkušenosti s prováděním auditů.
V případě orgánů veřejné moci a veřejných subjektů neprovádí monitorování nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, ale monitorování případných kodexů chování musí být zajištěno v rámci vnitřních kontrolních mechanismů (například pověřencem pro ochranu osobních údajů nebo vnitřním kontrolním/auditním orgánem).
Monitorování se provádí v pravidelných intervalech, nejlépe jedno až dvouletých.
Jaký je časový harmonogram přípravy a monitorování kodexů chování?
Významná úloha při uplatňování obecného nařízení v oblasti kodexů chování připadá Evropskému sboru pro ochranu osobních údajů. Jedná se o
- vydání vodítek ke kodexům chování a monitorujícím subjektům (Pokyny 1/2019 týkající se kodexů chování a subjektů pro monitorování podle nařízení 2016/679),
- koordinační funkce k zajištění jednotného výkladu obecného nařízení o ochraně osobních údajů (schvalování akreditačních kritérií a některých kodexů chování).
Sladění systému přípravy a monitorování kodexů chování se schválenými vodítky Sboru je nezbytně nutné, aby nedocházelo k vytváření neschválitelných akreditačních požadavků a rychlým změnám v podmínkách pro akreditaci subjektů pro monitorování kodexů a struktuře kodexů chování. Proto je nutné předložit požadavky pro akreditaci subjektu monitorujícího dodržování kodexů Evropskému sboru pro ochranu osobních údajů ke schválení. V současné době má Úřad připravenu pracovní verzi tohoto dokumentu.
