Nové pokyny k výkladu GDPR: o kodexech chování a o akreditaci subjektů oprávněných vydávat osvědčení | Marwick.cz
Marwick.cz

Nové pokyny k výkladu GDPR: o kodexech chování a o akreditaci subjektů oprávněných vydávat osvědčení

Právo 10.7.2019 Ladislav Karas, Kateřina Randlová
Nové pokyny k výkladu GDPR: o kodexech chování a o akreditaci subjektů oprávněných vydávat osvědčení
Evropský sbor pro ochranu osobních údajů, složený ze zástupců dozorových úřadů jednotlivých členských států (dříve označovaný jako tzv. pracovní skupina podle čl. 29), na svém červnovém plenárním zasedání schválil dva nové pokyny k výkladu nařízení GDPR. První z nich se zabývá kodexy chování, druhý pojednává o akreditaci subjektů oprávněných vydávat osvědčení podle čl. 43.

Kodexy chování mají přispět k řádnému uplatňování obecného nařízení o ochraně osobních údajů (GDPR) ve vztahu ke konkrétní povaze a specifikům různých odvětví. Kodexy tak jsou jedním z dobrovolných nástrojů, které mají pomoci prokázat, že postup správců a zpracovatelů při zpracovávání osobních údajů je v souladu s GDPR. 

Přijatý pokyn uvádí, že kodexy chování by rozhodně neměly pouze kopírovat znění GDPR, ale měly by pro jednotlivá odvětví blíže upravit konkrétní postupy. Ty by měly odrážet tzv. best practises, tj. ty procesy, které se v minulosti osvědčily nejvíce. 

Kodexy by měly upravovat zejména tato témata: dosažení spravedlivého a transparentního zpracování osobních údajů, problematiku oprávněného zájmu ve specifických případech, shromažďování a pseudonymizaci osobních údajů, rozsah a způsob poskytování informací subjektům údajů, zejména ohledně uplatňování jejich práv, doporučovaná technická a organizační opatření, oznamování případů porušení zabezpečení nebo postupy pro řešení sporů. Aby byl kodex chování přípustný a mohl být schválen, musí obsahovat vysvětlení jeho účelu, rozsahu působnosti a způsobu, jakým přispěje k efektivní aplikaci GDPR. Návrh pak musí být podán oprávněným subjektem a musí splňovat i další náležitosti detailněji popsané v pokynu. Již v průběhu vytváření kodexu by měly probíhat konzultace s dotčenými stranami, včetně subjektů osobních údajů. Navrhovatel kodexu musí být schopen zejména prokázat, jak kodex přispívá ke správnému uplatňování GDPR, že naplňuje zvláštní potřeby daného odvětví a že poskytuje dostatečné záruky a účinné mechanismy pro sledování dodržování kodexu. 

Pokyn dále popisuje proces podání návrhu kodexu chování příslušnému orgánu ke schválení, způsob posuzování jeho přípustnosti a jeho následného schválení nebo zamítnutí. Samostatně se pokyn zabývá i otázkou monitorování dodržování kodexu a subjektů oprávněných k tomuto monitoringu. Druhý přijatý pokyn se zabývá výkladem článku 43 GDPR a popisuje možné způsoby akreditace subjektů oprávněných vydávat osvědčení, která mají dokládat náležitou ochranu osobních údajů a soulad s GDPR u konkrétních správců či zpracovatelů. Popisuje též role Evropské komise, jednotlivých členských států, dozorových úřadů a samotných akreditačních orgánů při vydávání akreditace. Tento pokyn je však primárně určen jednotlivým členským státům a dozorovým a akreditačním orgánům, pro zájemce o získání osvědčení o souladu s GDPR není příliš relevantní.

autor
Ladislav Karas, Kateřina Randlová
Nástrahy inteligentní domácnosti pohledem právníka

Nástrahy inteligentní domácnosti pohledem právníka

Kdo odpovídá za škodu způsobenou umělou inteligencí? Výrobce, majitel přístroje, nebo dodavatel dat? Také tento hlavolam zkouší vyřešit Evropská unie.

Google utržil další ránu za 2,42 mld. eur

Google utržil další ránu za 2,42 mld. eur

Společnost Google a její mateřská společnost Alphabet prohrály další spor s Evropskou komisí. Pokutu udělenou za zneužívání dominantního postavení na trhu potvrdil Tribunál Soudního dvora Evropské unie. Snaha Googlu zvrátit rozhodnutí Komise, které nejen že ukládá rekordní pokutu, ale zároveň naznačuje směr pro budoucí rozhodovací praxi, tak vyšla naprázdno.
Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Ladislav Karas: Pro přivýdělek ve stejném oboru je potřeba souhlas zaměstnavatele

Jak sladit přivýdělek s pracovní dobou je jedna věc. Jak ho sladit se zákoníkem práce, radí Ladislav Karas, advokát KPMG Legal.
Komise navrhla ambiciózní reformu digitálního prostoru

Komise navrhla ambiciózní reformu digitálního prostoru

Evropská komise chystá nová pravidla pro digitální služby. Měla by přinést největší změny od roku 2000.
EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

EDPB a jeho „návod“ pro datové přenosy po rozhodnutí Schrems II

V listopadu 2020 vydal Evropský sbor pro ochranu osobních údajů (European Data Protection Board – EDPB) dlouho očekávaná doporučení ohledně přenosu osobních údajů mimo EU. Navazují na přelomové rozhodnutí Soudního dvora EU známé jako „Schrems II (C-311/18)“.
Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Amazon opět v hledáčku Komise – tentokrát kvůli využití dat obchodníků na Marketplace

Evropská komise informovala největšího internetového prodejce Amazon o svém předběžném zjištění o porušení antimonopolních pravidel EU. Údajně měl narušit hospodářskou soutěž na maloobchodních trzích provozovaných online. 
Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Návrh nařízení o správě dat unikl před zveřejněním a sklidil kritiku

Podle uniklého návrhu je cílem vytvoření dobré infrastruktury pro sdílení dat, a přinést tak EU „digitální suverenitu“. 
Evropská regulace AI na obzoru

Evropská regulace AI na obzoru

Evropský parlament hlasoval v říjnu o návrzích pravidel pro umělou inteligenci (AI). Europoslanci přijali Etický rámec, zprávu o právech k duševnímu vlastnictví a především předběžný návrh nařízení o odpovědnosti za provoz systémů AI.