GDPR schvaľuje používanie kódexov správania a certifikátov s cieľom poskytnúť signál dotknutým osobám a regulátorom, že organizácia je v súlade s nariadením, a ponúka dohľad tretej strany ako ďalšiu kontrolu postupov prevádzkovateľov a sprostredkovateľov na zaobchádzanie s osobnými údajmi.
Tieto nástroje budú pravdepodobne tvoriť základ v podnikových plánoch legitímnych cezhraničných prenosov údajov. Ak sa ukážu ako účinné, môžu navyše podliehať globálnym mechanizmom prenosu údajov - v súlade so systémami, ktoré sa už používajú v USA a v rámci Ázijsko-tichomorskej hospodárskej spolupráce (APEC = Asia Pacific Economic Cooperation) - a budú sa podieľať na znižovaní nákladov na dodržiavanie ochrany súkromia na celom svete.
Kódexy správania a certifikáty sa môžu oba používať na preukázanie súladu, ale existujú jemné rozdiely medzi nimi a tým ako GDPR predpokladá ich nasadenie. Hoci kódexy správania boli uvedené v starej smernici, zohrali len malú úlohu v porovnaní s ich významom v nariadení GDPR. Certifikáty sú navyše v súlade s bezpečnostnými režimami EÚ a v rámci GDPR môžu tvoriť formálnu súčasť regulácie ochrany osobných údajov.
Oficiálnym uznávaním týchto nástrojov EÚ prijíma právne konštrukcie, ktoré sú podobné zákonom o ochrane osobných údajov platiacim v USA, a to konkrétne tým, že prostredníctvom mechanizmov presadzovania právnych predpisov môžu spoločnosti dodržiavať záväzné sľuby voči mimovládnym tretím stranám.
Napriek tomu GDPR stanovuje v rámci týchto programov spravovaných tretími stranami veľkú dávku regulačného dohľadu a usmerňovania, čím vytvára v podstate hybridný spoločný regulačný verejno-súkromný systém na vytvorenie zmysluplného, záväzného a vynútiteľného režimu ochrany osobných údajov.
Vďaka týmto systémom čelia prevádzkovatelia aj sprostredkovatelia na jedne strane príležitostiam na to, aby demonštrovali dodržiavanie pravidiel GDPR, a na strane druhej aj potenciálnym úskaliam.
Aké sú kódexy správania podľa GDPR?
Schválené kódexy správania podľa GDPR slúžia ako nástroje signalizácie zhody pre prevádzkovateľov a sprostredkovateľov.
Nariadenie predbežne riadi regulačné orgány na ochranu údajov na všetkých úrovniach - členské štáty, orgány dohľadu, Európska rada na ochranu údajov a Komisia - na podporu vypracovania kódexov správania na pomoc pri "riadnej aplikácii" GDPR.
GDPR výslovne oprávňuje združenia alebo iné orgány zastupujúce prevádzkovateľov alebo sprostredkovateľov, aby vypracovali kódexy správania alebo zmenili existujúce pravidlá na implementáciu konkrétnych požiadaviek GDPR. Takéto kódexy by sa mali okrem iného zamerať na:
- Spravodlivé a transparentné spracovanie osobných údajov.
- Legitímne záujmy sledované prevádzkovateľmi v špecifických súvislostiach.
- Zhromažďovanie osobných údajov.
- Pseudonymizáciu osobných údajov.
- Informácie poskytované verejnosti a dotknutým osobám.
- Výkon práv dotknutých osôb.
- Ochranu detí a spôsob, akým sa má získať súhlas držiteľov rodičovských práv a povinností voči deťom.
- Všeobecné povinnosti v oblasti ochrany údajov prevádzkovateľov vrátane ochrany súkromia už v štádiu návrhu a opatrenia na zabezpečenie bezpečnosti spracovania údajov.
- Oznámenie porušovania ochrany osobných údajov orgánom dohľadu a oznamovanie takýchto incidentov dotknutým osobám.
- Prenos osobných údajov do tretích krajín alebo medzinárodných organizácií.
- Mimosúdne konania a iné postupy riešenia sporov na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracovaním bez toho, aby boli dotknuté práva dotknutých osôb.
Keď súkromné združenia pripravujú kódexy správania alebo menia existujúce pravidlá na účely umožnenia členom označiť súlad s GDPR, odôvodnenie 99 ich povzbudzuje k tomu, aby konzultovali príslušné zainteresované strany vrátane dotknutých osôb, ak je to možné, a zohľadnili prijaté podania a názory vyjadrené v reakcii na takéto konzultácie.
Návrhový kódex musí byť tiež predložený príslušnému orgánu dohľadu s cieľom určiť, či poskytuje dostatočné primerané záruky. Ak sa návrh predpisu týka spracovateľských činností v niekoľkých členských štátoch, orgán dohľadu ho musí pred jeho schválením predložiť Európskej rade na ochranu údajov, aby vydala stanovisko týkajúce sa súladu kódexu s nariadením GDPR. Následne ho musí prehodnotiť Európska komisia.
Schválené kódexy správania budú zverejnené Komisiou a budú uverejnené v registri vytvorenom a udržiavanom správnou radou.
V akých situáciách sú kódexy správania užitočné?
GDPR aktívnejšie ako smernica zahŕňa kódexy správania do svojich mechanizmov súladu a presadzovania.
V odôvodnení 77 sa podporuje používanie schválených kódexov správania zo strany prevádzkovateľov a sprostredkovateľov. Tieto kódexy môžu preukázať, že prevádzkovateľ alebo sprostredkovateľ zistil akékoľvek riziko súvisiace so spracovaním údajov; posúdil pôvod, povahu, pravdepodobnosť a závažnosť rizika; a určil, ako najlepšie zmierniť riziko.
Článok 32 výslovne pripúšťa dodržiavanie schváleného kódexu správania ako jedného z prostriedkov na preukázanie súladu s povinnosťami týkajúcimi sa bezpečnosti údajov v nariadení GDPR.
Článok 24, ktorý stanovuje hlavné zodpovednosti prevádzkovateľa pri spracúvaní osobných údajov, tiež podporuje kódexy správania na preukázanie súladu s GDPR. Okrem toho článok 28 a odôvodnenie 81 výslovne stanovujú, že dodržiavanie schváleného kódexu správania sprostredkovateľom je prvkom na preukázanie súladu s povinnosťami prevádzkovateľa.
Sprostredkovatelia, ktorí sa snažia udržať prevádzkovateľov ako klientov, sa čoskoro dostanú na trh, aby sa pripojili k združeniam, ktoré dodržiavajú kódex správania schválený GDPR.
Dodržiavanie týchto kódexov môže viesť k zvýšeniu efektívnosti trhu. Združenie, ktoré ich vytvára, vykonáva rozsiahlu revíziu každého žiadateľa, ktorý sa usiluje o členstvo, alebo inak žiada o uplatnenie kódexu.
To napríklad ukladá prevádzkovateľovi aby musel vykonať vlastné preskúmanie systémov potenciálnych sprostredkovateľov. Prevádzkovateľ môže jednoducho nakupovať pre sprostredkovateľov, u ktorých sa už predpokladá, že spĺňajú požiadavky kódexu, a spoliehať sa na združenie, aby vykonávalo dohľad nad jeho dodržiavaním zo strany sprostredkovateľa.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.