Nové pokyny k výkladu GDPR: o kodexech chování a o akreditaci subjektů oprávněných vydávat osvědčení
Právo 10.7.2019 Ladislav Karas, Kateřina RandlováKodexy chování mají přispět k řádnému uplatňování obecného nařízení o ochraně osobních údajů (GDPR) ve vztahu ke konkrétní povaze a specifikům různých odvětví. Kodexy tak jsou jedním z dobrovolných nástrojů, které mají pomoci prokázat, že postup správců a zpracovatelů při zpracovávání osobních údajů je v souladu s GDPR.
Přijatý pokyn uvádí, že kodexy chování by rozhodně neměly pouze kopírovat znění GDPR, ale měly by pro jednotlivá odvětví blíže upravit konkrétní postupy. Ty by měly odrážet tzv. best practises, tj. ty procesy, které se v minulosti osvědčily nejvíce.
Kodexy by měly upravovat zejména tato témata: dosažení spravedlivého a transparentního zpracování osobních údajů, problematiku oprávněného zájmu ve specifických případech, shromažďování a pseudonymizaci osobních údajů, rozsah a způsob poskytování informací subjektům údajů, zejména ohledně uplatňování jejich práv, doporučovaná technická a organizační opatření, oznamování případů porušení zabezpečení nebo postupy pro řešení sporů. Aby byl kodex chování přípustný a mohl být schválen, musí obsahovat vysvětlení jeho účelu, rozsahu působnosti a způsobu, jakým přispěje k efektivní aplikaci GDPR. Návrh pak musí být podán oprávněným subjektem a musí splňovat i další náležitosti detailněji popsané v pokynu. Již v průběhu vytváření kodexu by měly probíhat konzultace s dotčenými stranami, včetně subjektů osobních údajů. Navrhovatel kodexu musí být schopen zejména prokázat, jak kodex přispívá ke správnému uplatňování GDPR, že naplňuje zvláštní potřeby daného odvětví a že poskytuje dostatečné záruky a účinné mechanismy pro sledování dodržování kodexu.
Pokyn dále popisuje proces podání návrhu kodexu chování příslušnému orgánu ke schválení, způsob posuzování jeho přípustnosti a jeho následného schválení nebo zamítnutí. Samostatně se pokyn zabývá i otázkou monitorování dodržování kodexu a subjektů oprávněných k tomuto monitoringu. Druhý přijatý pokyn se zabývá výkladem článku 43 GDPR a popisuje možné způsoby akreditace subjektů oprávněných vydávat osvědčení, která mají dokládat náležitou ochranu osobních údajů a soulad s GDPR u konkrétních správců či zpracovatelů. Popisuje též role Evropské komise, jednotlivých členských států, dozorových úřadů a samotných akreditačních orgánů při vydávání akreditace. Tento pokyn je však primárně určen jednotlivým členským státům a dozorovým a akreditačním orgánům, pro zájemce o získání osvědčení o souladu s GDPR není příliš relevantní.