Kodexy chování - otázky a odpovědi ÚOOÚ

Úřad pro ochranu osobních údajů uveřejnil na svých webových stránkách odpovědi na nejčastější otázky týkající se kodexů chování, se kterými se setkává ve své praxi.

Úřad upozorňuje, že informace zde uvedené jsou jeho pracovním názorem a mohou se měnit v závislosti na přijetí pokynů Pracovní skupinou WP29 – budoucího Evropského sboru pro ochranu osobních údajů.
  
Systém uplatňování nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů prostřednictvím vypracování a monitorování kodexů chování totiž dosud není připraven, a to z důvodu přípravy klíčových metodických návodů evropskou Pracovní skupinou WP29 (mělo by jít o Guidelines on Codes of Conduct and Monitoring Bodies under Regulation 2016/679). V rámci jednotného uplatňování výše uvedeného nařízení podléhají totiž některé dokumenty schválení Evropským sborem pro ochranu osobních údajů a tudíž by systém vypracování a monitorování kodexů chování mohl, bez zohlednění uvedeného dokumentu, podléhat zásadním změnám.   

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v článcích 40 a 41 upravuje problematiku přípravy a monitorování kodexů chování. Informace uvedené v tomto textu jsou pracovním názorem Úřadu a mohou se měnit v závislosti na přijetí pokynů Pracovní skupinou WP29. 

Co je kodex chování?

Prokázání souladu s nařízením 2016/679  je možné podpisem a dodržování kodexu chování (pokud pro danou oblast existuje), vydání osvědčení (certifikátu) o shodě nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Kodex chování definuje základní zásady, postupy a požadavky na zpracování osobních údajů v konkrétním odvětví.

Komu je kodex chování určen?

Kodex chování je určen skupině správců nebo zpracovatelů stejného typu (příkladem by mohly být cestovní kanceláře, lékaři, pojišťovny, banky apod.).

Jaký je obsah kodexu chování?

Kodex musí být zpracován tak, aby pokryl požadavky upravené obecným nařízením o ochraně osobních údajů pro (operace) zpracování osobních údajů konkrétního druhu. Text kodexu doporučujeme rozčlenit na části v souladu s články (zejména čl. 5 až 49) obecného nařízení upravujících činnost správce nebo zpracovatele při zpracování osobních údajů a v rámci nich definovat základní zásady, postupy a požadavky na zpracování osobních údajů, a to jak pozitivní (co správce nebo zpracovatel dělat musí), tak negativní (co správce nebo zpracovatel dělat nesmí).

Zásady, požadavky a postupy musí být formulovány natolik konkrétně, aby jejich plnění bylo ověřitelné v rámci monitorování prováděného nezávislým subjektem.

Je závazek na dodržování kodexu a jeho dodržování povinné?

Neexistuje povinnost přihlásit se k dodržování kodexu chování, jedná se o jednu z volitelných variant ověření uplatňování obecného nařízení o ochraně osobních údajů. Pokud se však správce nebo zpracovatel přihlásí k dodržování kodexu chování, je povinen se podrobit pravidelnému monitorování kodexu chování nezávislým subjektem.

Kdo provádí monitorování kodexu chování?

Monitorování dodržování kodexu chování provádí nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, který prokáže odborné znalosti oblasti (činnost prováděná skupinou správců), pro kterou je kodex určen, znalosti z ochrany osobních údajů a znalosti a zkušenosti s prováděním auditů. 

V případě orgánů veřejné moci a veřejných subjektů neprovádí monitorování nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, ale monitorování případných kodexů chování musí být zajištěno v rámci vnitřních kontrolních mechanismů (například pověřencem pro ochranu osobních údajů nebo vnitřním kontrolním/auditním orgánem).

Monitorování se provádí v pravidelných intervalech, nejlépe jedno až dvouletých. 

Jaký je časový harmonogram přípravy a monitorování kodexů chování?

Významná úloha při uplatňování obecného nařízení v oblasti kodexů chování připadá Evropskému sboru pro ochranu osobních údajů (současná WP29), jedná se o přípravu metodických návodů (Guidelines on Codes of Conduct and Monitoring Bodies under Regulation 2016/679) a také koordinační funkce k zajištění jednotného výkladu obecného nařízení pro ochranu osobních údajů (schvalování akreditačních kritérií a některých kodexů chování). Z toho důvodu je nutné vyčkat na dokončení výše uvedených návodů a až poté začít zakládat celý systém přípravy a monitorování kodexů. Sladění s připravovanými vodítky WP29 je nezbytně nutné, aby nedocházelo k vytváření neschválitelných kritérií a rychlým změnám v podmínkách akreditací subjektů pro monitorování kodexů a struktuře kodexů chování. 

Vzhledem k tomu, že pro každý kodex budou pravděpodobně připravována samostatná kritéria pro akreditaci subjektů pro monitorování kodexů chování (kodex chován a kritéria pro akreditaci budou vydány společně), která jsou v rámci zajištění jednotného výkladu předkládána Evropskému sboru pro ochranu osobních údajů, lze očekávat vydání prvních akreditací nejdříve v první polovině roku 2019.

• Kodexy chování - otázky a odpovědi ÚOOÚ