Kodex chování jako nástroj prokázání souladu s GDPR

Kodexem chování rozumíme dle GDPR dokument, který definuje základní zásady, postupy a požadavky zpracování osobních údajů v konkrétním odvětví průmyslu (např. pro oblast zdravotnictví nebo bankovnictví). Kodexy se mají vypořádat jak se specifiky daného odvětví, tak s případnými nejasnostmi právní úpravy a přihlédnout k možným rizikům pro práva a svobody subjektů údajů. Zároveň jde nově o jednu z možností, jak prokázat soulad zpracovávání osobních údajů s GDPR.

Ačkoliv kodexy chování obsahovala již předchozí úprava směrnice 95/46/ES, český zákon o ochraně osobních údajů kodexy chování neupravoval. Například v Německu jsou kodexy chování součástí právního řádu od roku 2003, přičemž ke Kodexu německých pojistitelů, jenž je používán od roku 2012, přistoupily pojišťovny s tržním podílem přesahujícím 95 %.

V reakci na novou úpravu se začaly kodexy chování připravovat i České republice. Práci na kodexu zahájila například Asociace pro elektronickou komerci. Proces schvalování kodexů chování však dosud nezačal. Vzhledem k tomu, že dosud nejsou stanoveny podmínky pro udělování akreditací pro subjekty, které budou monitorovat dodržování kodexů, tak není jasné, zda do konce tohoto roku proces schvalování vůbec začne.

Novinkou je, že na rozdíl od směrnice GDPR spojuje s přijetím kodexu chování právní následky. Nařízení chce pomocí regulace přimět správce a zpracovatele, aby právně nezávazné závazky učiněné nezávislým sdružením a organizacím skutečně dodržovali. Cílem přijetí kodexu chování je vytvořit smysluplná, závazná a vymahatelná pravidla v oblasti ochrany osobních údajů pro dané odvětví, která posílí postavení subjektů údajů a správcům a zpracovatelům poskytnou příležitost prokázat soulad s požadavky GDPR.

Tvorba kodexu chování

Obsah a znění kodexu vytváří oborová asociace či sdružení správců a zpracovatelů v daném odvětví formou konzultací. V rámci konkrétního odvětví by měla mít skupina správců a zpracovatelů pouze jeden kodex. Kodexy chování jsou určeny pro všechny správce a zpracovatele v daném odvětví, kteří splní kodexem požadované podmínky, nikoliv pro jednotlivé správce nebo zpracovatele, nebo pro jejich početně omezené skupiny.

Konzultace na obsahu kodexu probíhají jak mezi jednotlivými správci a zpracovateli, tak s Úřadem pro ochranu osobních údajů a pokud možno i se subjekty údajů, přičemž jimi vyjádřené návrhy a stanoviska by měly být při tvorbě kodexu zohledňovány. Výsledné znění kodexu chování Úřad schválí a zveřejní. Následně se k dodržování kodexu mohou hlásit jednotliví správci a zpracovatelé v daném odvětví, přičemž účast je nejvhodnější pro mikropodniky, malé a středně velké podniky. 

Monitorování dodržování 

Účast na kodexu je sice dobrovolná, avšak po přistoupení ke kodexu jsou správci a zpracovatelé povinni podrobit se monitorování jeho dodržování a poskytnout součinnost monitorujícímu subjektu, který je akreditován Úřadem. Tento akreditovaný subjekt si správce nebo zpracovatel zvolí dle Metodiky Úřadu ze seznamu uveřejněného na stránkách Úřadu.

Akreditovaný subjekt je (i) oprávněn kontrolovat dodržování kodexu chování ze strany správců a zpracovatelů a (ii) je mu dána pravomoc pozastavit účast správce nebo zpracovatele na kodexu v případě jeho nedodržování, popřípadě správce a zpracovatele z účasti na kodexu vyloučit. Úplné podmínky pro udělení této akreditace nejsou v České republice dosud stanoveny, vzhledem k tomu, že Úřad čeká na vydání pokynů Evropského sboru pro ochranu osobních údajů (Guidelines on Codes of Conduct and Monitoring Bodies). Tyto podmínky mají být vydány v průběhu roku 2019. Následně na to Úřad předloží jím stanovené požadavky pro udělování akreditací Sboru ke schválení. Teprve poté začne Úřad udělovat akreditace a schvalovat navrhované kodexy chování, přičemž dle informací od Úřadu se v tuto chvíli nedá říci, zda se tak do konce tohoto roku stane.

GDPR předpokládá, že akreditovaný subjekt bude muset prokázat Úřadu svou nezávislost a odborné znalosti, což mají být znalosti jak v oblasti bezpečnosti a ochrany osobních údajů, tak odbornost týkající se činnosti daného sdružení správců a zpracovatelů (např. odbornost v oblasti zdravotnictví).Metodika předpokládá, že akreditace budou udělovány všem subjektům, které splní požadavky, na 5 let s tím, že Úřad za určitých podmínek může akreditaci zrušit. Monitorování bude prováděno pravidelně (1x za rok) a o výsledku akreditovaný subjekt vypracuje auditní zprávu.

Je nutno podotknout, že monitorování a činnost akreditovaného subjektu v žádném rozsahu neomezuje pravomoci Úřadu. Shledá-li Úřad, že správce nebo zpracovatel porušil povinnosti vyplývající z GDPR, využije svou pravomoc bez ohledu na to, jaké kroky proti správcům a zpracovatelům podnikl akreditovaný subjekt. Přitom však zohlední členství na kodexu chování při udělování a výši případné pokuty.

Má smysl se ke kodexu chování přihlásit?

V rozhodnutí přijmout kodex chování pro dané odvětví lze spatřovat, že oborová asociace či sdružení správců a zpracovatelů v daném odvětví jsou si vědomy rizik, která se zpracováním osobních údajů souvisí a zavazují se přijmout jim odpovídající opatření. Vedle toho, že pro jednotlivé správce a zpracovatele zvyšuje přihlášení se ke kodexu chování jejich důvěryhodnost a může být tedy konkurenční výhodou na trhu, je hlavní výhodou to, že podpis kodexu je způsob, jakým prokázat soulad s GDPR, a to jak Úřadu a dalším správcům a zpracovatelům, tak subjektům osobních údajů. 

Rovněž jde o nařízením předvídaný způsob, jakým může správce nebo zpracovatel doložit splnění dílčích povinností, např. zavedení vhodných technických a organizačních opatření tak aby zpracování osobních údajů probíhalo v souladu s GDPR (čl. 24 GDPR), nebo provedení vhodných opatření, aby správce nebo zpracovatel zajistil úroveň zabezpečení odpovídající danému riziku (čl. 32 GDPR). Správcům pak kodexy usnadní proces ověřování věrohodnosti zpracovatelů, jejichž služeb využívají, pokud ti mohou prokázat přijetí vhodných opatření odkazem na kodex chování, čímž splní povinnosti dle čl. 28 odst. 1 GDPR. Účast na kodexu se zohlední jak při zpracovávání posouzení vlivu na ochranu osobních údajů před zpracováním, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob, tak je lze použít jako vhodnou záruku úrovně ochrany při předávání osobních údajů do třetích zemí. Vedle závazných podnikových pravidel nebo standardních smluvních doložek jde o další vhodný nástroj prokazující bezpečný přenos osobních údajů do třetích zemí. Rovněž se schválené kodexy chování se zohlední při rozhodování, zda dozorový úřad udělí správní pokutu, přičemž dodržování kodexu může ovlivnit výši případné pokuty.

Nevýhody přijetí kodexu 

Na druhou stranu jednou z nevýhod podpis kodexu je to, že ačkoliv jde o dobrovolný závazek, po podpisu je nutno kodex chování dodržovat. Správci a zpracovatelé se jeho přijetím kodexu podřizují monitorujícímu subjektu akreditovanému Úřadem, který bude v pravidelných kontrolách) na dodržování kodexu chování dohlížet. Akreditovaný subjekt je oprávněn účast na kodexu pozastavit, nebo z ní správce a zpracovatele vyloučit. Zároveň lze předpokládat, že s účastí na kodexu budou spojeny finanční a administrativní náklady, a to jak fázi ověřování souladu s kodexem a přistoupení k němu, tak následné pravidelné náklady související s monitorováním dodržování kodexu. Ty totiž nese správce nebo zpracovatel sám. 

Závěrem

Zavedení kodexů chování se vyplatí především menším a středním podnikům, na což míří i zákonodárce. Umožní jim na jednu stranu získat některé výhody, jako jsou zvýšená důvěryhodnost u zákazníků a snazší prokazování dosažení souladu s GDPR, na druhou stranu však přináší nutnost podřídit se dalším pravidlům a jsou s nimi spojené další náklady. Vzhledem k tomu, že k jejich schvalování dosud nedošlo, se jejich uplatnění v praxi teprve ukáže.