Kodexy chování - otázky a odpovědi ÚOOÚ

Úřad pro ochranu osobních údajů uveřejnil na svých webových stránkách odpovědi na nejčastější otázky týkající se kodexů chování, se kterými se setkává ve své praxi.

Úřad upozorňuje, že informace zde uvedené jsou jeho pracovním názorem a mohou se měnit v závislosti na přijetí pokynů Pracovní skupinou WP29 – budoucího Evropského sboru pro ochranu osobních údajů.
  
Systém uplatňování nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů prostřednictvím vypracování a monitorování kodexů chování totiž dosud není připraven, a to z důvodu přípravy klíčových metodických návodů evropskou Pracovní skupinou WP29 (mělo by jít o Guidelines on Codes of Conduct and Monitoring Bodies under Regulation 2016/679). V rámci jednotného uplatňování výše uvedeného nařízení podléhají totiž některé dokumenty schválení Evropským sborem pro ochranu osobních údajů a tudíž by systém vypracování a monitorování kodexů chování mohl, bez zohlednění uvedeného dokumentu, podléhat zásadním změnám.   

Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v článcích 40 a 41 upravuje problematiku přípravy a monitorování kodexů chování. Informace uvedené v tomto textu jsou pracovním názorem Úřadu a mohou se měnit v závislosti na přijetí pokynů Pracovní skupinou WP29. 

Co je kodex chování?

Prokázání souladu s nařízením 2016/679  je možné podpisem a dodržování kodexu chování (pokud pro danou oblast existuje), vydání osvědčení (certifikátu) o shodě nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Kodex chování definuje základní zásady, postupy a požadavky na zpracování osobních údajů v konkrétním odvětví.

Komu je kodex chování určen?

Kodex chování je určen skupině správců nebo zpracovatelů stejného typu (příkladem by mohly být cestovní kanceláře, lékaři, pojišťovny, banky apod.).

Jaký je obsah kodexu chování?

Kodex musí být zpracován tak, aby pokryl požadavky upravené obecným nařízením o ochraně osobních údajů pro (operace) zpracování osobních údajů konkrétního druhu. Text kodexu doporučujeme rozčlenit na části v souladu s články (zejména čl. 5 až 49) obecného nařízení upravujících činnost správce nebo zpracovatele při zpracování osobních údajů a v rámci nich definovat základní zásady, postupy a požadavky na zpracování osobních údajů, a to jak pozitivní (co správce nebo zpracovatel dělat musí), tak negativní (co správce nebo zpracovatel dělat nesmí).

Zásady, požadavky a postupy musí být formulovány natolik konkrétně, aby jejich plnění bylo ověřitelné v rámci monitorování prováděného nezávislým subjektem.

Je závazek na dodržování kodexu a jeho dodržování povinné?

Neexistuje povinnost přihlásit se k dodržování kodexu chování, jedná se o jednu z volitelných variant ověření uplatňování obecného nařízení o ochraně osobních údajů. Pokud se však správce nebo zpracovatel přihlásí k dodržování kodexu chování, je povinen se podrobit pravidelnému monitorování kodexu chování nezávislým subjektem.

Kdo provádí monitorování kodexu chování?

Monitorování dodržování kodexu chování provádí nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, který prokáže odborné znalosti oblasti (činnost prováděná skupinou správců), pro kterou je kodex určen, znalosti z ochrany osobních údajů a znalosti a zkušenosti s prováděním auditů. 

V případě orgánů veřejné moci a veřejných subjektů neprovádí monitorování nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, ale monitorování případných kodexů chování musí být zajištěno v rámci vnitřních kontrolních mechanismů (například pověřencem pro ochranu osobních údajů nebo vnitřním kontrolním/auditním orgánem).

Monitorování se provádí v pravidelných intervalech, nejlépe jedno až dvouletých. 

Jaký je časový harmonogram přípravy a monitorování kodexů chování?

Významná úloha při uplatňování obecného nařízení v oblasti kodexů chování připadá Evropskému sboru pro ochranu osobních údajů (současná WP29), jedná se o přípravu metodických návodů (Guidelines on Codes of Conduct and Monitoring Bodies under Regulation 2016/679) a také koordinační funkce k zajištění jednotného výkladu obecného nařízení pro ochranu osobních údajů (schvalování akreditačních kritérií a některých kodexů chování). Z toho důvodu je nutné vyčkat na dokončení výše uvedených návodů a až poté začít zakládat celý systém přípravy a monitorování kodexů. Sladění s připravovanými vodítky WP29 je nezbytně nutné, aby nedocházelo k vytváření neschválitelných kritérií a rychlým změnám v podmínkách akreditací subjektů pro monitorování kodexů a struktuře kodexů chování. 

Vzhledem k tomu, že pro každý kodex budou pravděpodobně připravována samostatná kritéria pro akreditaci subjektů pro monitorování kodexů chování (kodex chován a kritéria pro akreditaci budou vydány společně), která jsou v rámci zajištění jednotného výkladu předkládána Evropskému sboru pro ochranu osobních údajů, lze očekávat vydání prvních akreditací nejdříve v první polovině roku 2019.


Téma: Zavedení GDPR, Zdroj: Úřad pro ochranu osobních údajů; Obrázek: Pixabay
Štítky: Certifikace, Změny zákonů
26.04.2018 (autor Redakce)

Související

Zpřesnění a zjednodušení nakládání s osobními údaji. Sněmovna schválila adaptační legislativu k GDPR

Poslanecká sněmovna ve středu 5. prosince 2018 schválila v závěrečném čtení tzv. adaptační zákon k GDPR....

 vydáno 12.12.2018 
Téma: Zavedení GDPR

Pokud správce jedná čestně, lze mnohé napravit

O minulých i současných povinnostech a cílech ÚOOÚ hovořil jeho ředitel sekce správní Josef Prokeš na...

 vydáno 27.11.2018 
Téma: Zavedení GDPR

Splňujete všechny povinnosti stanovené GDPR?

Obecné nařízení (GDPR) vstoupilo v platnost v květnu 2018. Mnoho organizací přistoupilo k naplnění GDPR s...

 vydáno 16.08.2018 
Téma: Systém GDPR

Další ke štítku: Certifikace / Změny zákonů


Související dotazy
Odpovídá Mgr. Martin Leskovjan
Kodex chování a Osvědčení o ochraně osobních údajů, jsou instituty dle Obecného nařízení pro ochranu osobních údajů (GDPR), které jsou založeny na...

Odpovídá Mgr. Zuzana Kohútová
Ne nutně, nicméně v mnoha případech bude obtížné se tomu vyhnout. Pracovní smlouvy jako takové budou ovlivněny jen minimálně a GDPR se u...


www.helpgdpr.cz
© Copyright 2000 - 2019, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz