Kódexy správania a cezhraničné prenosy údajov
Schválené kódexy správania uľahčia aj cezhraničné prenosy osobných údajov. Prevádzkovatelia alebo sprostredkovatelia, ktorí nie sú inak predmetom GDPR, môžu prostredníctvom dodržiavania kódexu správania preukázať, že poskytujú vhodné záruky na prenos osobných údajov do tretích krajín alebo medzinárodných organizácií.
Vhodné ochranné opatrenia pre prevádzkovateľa alebo sprostredkovateľa so sídlom mimo EÚ môžu zahŕňať dodržiavanie schváleného kódexu správania podľa článku 30 spoločne s vykonaním vynútiteľného záväzku GDPR a rešpektovať práva dotknutých osôb.
GDPR odkazuje na záväznú a vynútiteľnú povahu kódexov správania len pokiaľ ide o ich použitie pri cezhraničných prevodoch osobných údajov. Nariadenie to ďalej hlbšie nerieši, ale analógiou k tejto situácii sú, samozrejme, záväzné firemné pravidlá.
Prevádzkovatelia, ktorí prijímajú kódexy správania, musia preukázať ich záväznosť vytvorením povinností vnútorných súladov s dcérskymi spoločnosťami, stanovením práv príjemcov tretích strán pre dotknuté osoby, prijímaním zodpovednosti a podliehaním jurisdikcii národného dozorného orgánu (Úradu pre ochranu osobných údajov SR). Taktiež potvrdením dostatočnej bonity na zaplatenie náhrady škody za porušenie.
Ako sa uplatňuje dodržiavanie kódexov správania a aké sú následky nesúladu?
Kľúčovým prielomom GDPR, pokiaľ ide o kódexy správania, je ideová podstata, že môžu byť záväzné a vynútiteľné - skôr ako len dobrovoľné a samoregulačné.
GDPR vyžaduje, aby schválené kódexy správania umožnili povinné monitorovanie súladu s jeho ustanoveniami. Monitorovací orgán musí byť akreditovaný príslušným dozorným orgánom po tom, ako preukáže primeranú úroveň odborných znalostí vo vzťahu k tej časti kódexov správania, ktoré sa týkajú dotknutých osôb.
Akreditácia je možná, ak ten, kto bude vystupovať v pozícii monitorovacieho orgánu:
- preukáže svoju nezávislosť a odborné znalosti v súvislosti s predmetom kódexov správania k spokojnosti príslušného dozorného orgánu;
- zaviedol postupy, ktoré mu umožňujú posúdiť spôsobilosť príslušných prevádzkovateľov a sprostredkovateľov uplatňovať kódexy správania, monitorovať ich súlad s GDPR, plus pravidelne kontrolovať súlad pri možných revíziách;
- vytvoril postupy a štruktúry na riešenie sťažností týkajúcich sa porušení kódexov správania alebo spôsobu, akým sú alebo boli implementované prevádzkovateľom alebo sprostredkovateľom, a aby tieto postupy boli pre dotknuté osoby a verejnosť transparentné; a
- preukáže k spokojnosti príslušného dozorného orgánu, že jeho úlohy a povinnosti nevedú ku konfliktu záujmov.
Akreditovaný orgán má podniknúť príslušné kroky, ak prevádzkovateľ alebo sprostredkovateľ porušuje kódexy správania. Následne musí byť dozorný orgán informovaný o konaní o porušení.
Vynucovanie akreditovaným orgánom sa vykonáva bez toho, aby boli dotknuté úlohy a právomoci dozorného orgánu, teda Úradu na ochranu osobných údajov SR.
Ak akreditovaný orgán alebo dozorný orgán začne konanie v súvislosti s porušením kódexov správania, prednosť bude mať interpretácia vynucovacieho orgánu - nie jeho autora. Prevádzkovatelia a sprostredkovatelia, ktorí dodržiavajú kódexy správania, preto za istých okolností môžu čeliť riziku, že pridržiavanie sa kódexov správania nemusí vždy zaručovať dodržiavanie súladu s GDPR z pohľadu dozorného orgánu.
Dozorný orgán môže zvážiť dodržiavanie kódexov správania pri posudzovaní sumy správnej pokuty. Článok 83 ods. 2 písm. j) naznačuje, že dodržiavanie kódexu správania je poľahčujúcim faktorom umožňujúcim udelenie nižšej sankcie. Naopak, nedodržiavanie pravidiel by mohlo byť priťažujúcou okolnosťou.
Navyše akreditovaný monitorovací orgán čelí pokutám až do výšky 10 miliónov eur za to, že neprijme vhodné opatrenia, ak prevádzkovateľ alebo sprostredkovateľ porušia kódexy správania.
Čo sú certifikáty podľa GDPR?
Certifikáty sú novou charakteristikou formálneho práva EÚ na ochranu osobných údajov. Na rozdiel od starej smernice, nariadenie GDPR výslovne uznáva certifikáty (ako aj pečate a známky) za prijateľné mechanizmy na preukázanie zhody s ustanoveniami samotného GDPR.
Certifikáty a rôzne ochranné známky už dlhé roky slúžia ako užitočné signály pre spotrebiteľov o tom, že obchodné subjekty dodržiavajú určité želané zásady alebo dodržiavajú konkrétne postupy výroby, zberu alebo získavania surovín. Napríklad v sektore potravín a nápojov môžu certifikáty naznačovať "spravodlivý obchod (fair trade)" alebo "bez geneticky modifikovaných organizmov (GMO-free)".
V oblasti ochrany súkromia je pečať EuroPriSe hlavným európskym certifikátom podľa starej smernice. Jeho cieľom je podporiť dôveru spotrebiteľov v nástroje a služby informačných technológií. Výrobcovia a predajcovia produktov a služieb v oblasti informačných technológií sa podrobujú nezávislému hodnoteniu svojich postupov v oblasti ochrany osobných údajov a bezpečnosti, po ktorom sú oprávnení preukazovať sa pečaťou EuroPriSe dva roky. Po ich uplynutí musia prejsť certifikačným kontrolným procesom znovu.
GDPR v článku 42 stanovuje, že členské štáty, dozorné orgány, Správna rada a Komisia povzbudzujú, najmä na úrovni Únie, zavedenie mechanizmov certifikácie ochrany osobných údajov na preukázanie zhody ich spracúvania prevádzkovateľmi a sprostredkovateľmi s týmto nariadením.
Prevádzkovatelia a sprostredkovatelia mimo EÚ, ktorí sa zapájajú do cezhraničných prenosov osobných údajov, môžu takisto použiť takéto certifikáty, pečate alebo známky na preukázanie súladu s GDPR.
Okrem toho musia prevádzkovatelia a sprostredkovatelia mimo EÚ zabezpečiť vynútiteľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov a uplatňovať tieto primerané záruky.
Tento koncept je posilnený v článku 46 ods. (f), v ktorom sa ustanovuje, že kompatibilné cezhraničné prenosy údajov môžu zahŕňať schválený certifikačný mechanizmus, ale musia zahŕňať aj vynútiteľné záväzky v tretej krajine.
Treba podotknúť, že certifikáty neslúžia na zníženie zodpovednosti prevádzkovateľa alebo sprostredkovateľa v súvislosti so zlučiteľnosťou s GDPR.
Certifikáty môžu byť vydané buď akreditovaným certifikačným orgánom alebo príslušným dozorným orgánom na základe kritérií, ktoré ustanovujú. V hre je aj vytvorenie spoločného certifikátu - európskej pečate na ochranu osobných údajov. V tejto súvislosti bude zaujímavé sledovať, či prevádzkovatelia a sprostredkovatelia uprednostnia vládne alebo súkromné certifikačné procesy.
Akreditácia je k dispozícii certifikačnému orgánu iba vtedy, ak:
- preukáže svoju nezávislosť a odbornosť v súvislosti s predmetom certifikácie k spokojnosti príslušného dozorného orgánu;
- sa zaväzuje dodržiavať kritériá uvedené v článku 42 ods. 5 a schválené dozorným orgánom;
- stanovuje "postupy na vydávanie, pravidelné preskúmanie a zrušenie certifikátov, pečatí a známok na ochranu údajov;
- stanovuje postupy na vybavovanie sťažností týkajúcich sa porušení certifikácie alebo spôsobu, akým je alebo bola vykonaná certifikácia prevádzkovateľom alebo sprostredkovateľom, a aby tieto postupy boli transparentné pre verejnosť a dotknuté osoby; a
- preukáže k spokojnosti príslušného dozorného orgánu, že jeho úlohy a povinnosti nevedú ku konfliktu záujmov.
Akreditácia je platná až päť rokov a môže sa obnoviť, ak akreditačný orgán dodržiava tieto normy.
Dozorné orgány môžu vytvoriť normy a udeliť a odobrať akreditáciu certifikačným orgánom na území svojich štátov. Správna rada je tiež splnomocnená na akreditáciu certifikačných orgánov a vedenie registra akreditovaných orgánov.
Ak certifikačný orgán, dozorný orgán alebo Rada udeľujú certifikát, jeho platnosť je maximálne tri roky, následne môže byť opätovne obnovený, ak sú podmienky a požiadavky stále splnené. Certifikát odoberie vydávajúci orgán, ak prevádzkovateľ alebo sprostredkovateľ už nespĺňajú požiadavky.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.