Nariadenie 2016/679 o ochrane fyzických osôb pri
spracúvaní osobných údajov a o voľnom pohybe takýchto údajov („GDPR“) prináša novú možnosť čiastočnej
samoregulácie zo strany prevádzkovateľov a sprostredkovateľov vo forme
tzv. kódexov správania.
1. Čo sú to kódexy správania?
Kódexy správania budú v zásade
nezáväzné[1] súbory pravidiel v oblasti
ochrany osobných údajov vyvinuté združeniami alebo inými subjektami zastupujúcimi
určité kategórie prevádzkovateľov a sprostredkovateľov.
2. Aký je účel a funkcia kódexov
správania
Jednotliví prevádzkovatelia a sprostredkovatelia
pôsobia v rôznych sektoroch, spracúvajú rôzne kategórie osobných údajov s rôznou
úrovňou „citlivosti“, v rôznom kvantitatívnom rozsahu a rozdielnym
spôsobom. Inými slovami povedané, iné osobné údaje, v inom rozsahu a iným
spôsobom spracúva na jednej strane banka a na druhej strane podnikateľ,
ktorý predáva drobný tovar a má jedného zamestnanca. Ustanovenia GDPR sú
však v mnohých prípadoch veľmi všeobecné, keďže ich účelom je vytvoriť
komplexnú reguláciu pre ochranu osobných údajov a nedostatočne rozlišujú
medzi povinnosťami rôznych druhov prevádzkovateľov, predovšetkým s ohľadom
na potenciálne riziká vyplývajúce zo spracúvania osobných údajov dotknutých
osôb.
Účelom kódexov správania je
prispieť k správnemu uplatňovaniu GDPR berúc do úvahy osobitné črty rôznych
sektorov podnikania. Medzi základné funkcie spomenutých kódexov teda možno
zaradiť:
a) vytvorenie samoregulačného mechanizmu pre jednotlivé sektory, ktoré si môžu prostredníctvom svojich spoločných zástupcov vypracovať kódexy správania upresňujúce ich povinnosti v súlade s GDPR;
b) vytvorenie „best practices“ pre spracovanie osobných údajov v jednotlivých sektoroch;
c) zabezpečenie podkladu pre vznik záväznej regulácie v danom sektore.
3. Kto vypracúva kódexy správania
a) vytvorenie samoregulačného mechanizmu pre jednotlivé sektory, ktoré si môžu prostredníctvom svojich spoločných zástupcov vypracovať kódexy správania upresňujúce ich povinnosti v súlade s GDPR;
b) vytvorenie „best practices“ pre spracovanie osobných údajov v jednotlivých sektoroch;
c) zabezpečenie podkladu pre vznik záväznej regulácie v danom sektore.
GDPR ponecháva vypracovanie kódexov
správania na „združeniach alebo iných subjektoch zastupujúcich určité kategórie
prevádzkovateľov a sprostredkovateľov“. Nie je presne stanovené, o aké
združenia má ísť, a aké kategórie prevádzkovateľov a sprostredkovateľov
majú byť vytvorené.
Keďže ide o samoreguláciu, je
na prevádzkovateľoch a sprostredkovateľoch, či kódexy správania vytvoria,
a aké spoločné združenie za týmto účelom využijú. Z praktického hľadiska
bude samozrejme vhodné, aby takéto združenie zastupovalo záujmy a požiadavky
tých subjektov, ktorí spracúvajú podobné kategórie osobných údajov podobným
spôsobom (napr. poskytovatelia cloudových služieb, banky, poisťovne, subjekty
pôsobiace vo farmaceutickom priemysle a pod.).
Kódexy správania vo všeobecnosti
záväzné nebudú, ich cieľom je predovšetkým vytvárať „best practices“ a usmernenia pre daný sektor. GDPR však
reguluje postup, na základe ktorého Európska komisia môže
prostredníctvom vykonávacích aktov rozhodnúť, že určitý kódex správania,
ktorý sa týka spracovateľských činností vo viacerých štátoch, sa stane všeobecne
záväzný.
Pri kódexoch správania ide o čiastočnú
samoreguláciu, pričom GDPR upravuje kontrolný mechanizmus pre ich fungovanie.
Vo všeobecnosti platí, že návrhy
kódexov správania je potrebné predkladať príslušnému dozornému orgánu na
schválenie.
Pokiaľ nepôjde o záväzné kódexy
správania (pozri bod č. 4), bude na prevádzkovateľoch a sprostredkovateľoch, či
sa k určitému kódexu „pripoja“ a budú dodržiavať jeho ustanovenia.
Pokiaľ sa tak rozhodnú, budú podliehať monitorovaniu zo strany akreditovaného
subjektu.
V prípade porušovania kódexu
budú mať akreditované subjekty oprávnenie prevádzkovateľom resp. sprostredkovateľom
pozastaviť členstvo alebo ich z kódexu vylúčiť.
Je na prevádzkovateľoch a sprostredkovateľoch
(resp. subjektoch, ktoré ich združujú), či a kedy dôjde k vypracovaniu
kódexu správania pre daný sektor. Uvedená otázka je ponechaná v plnej miere
na samoregulácii.
Výhodou vypracovania a „pridania sa“
ku kódexu správania bude bližšia špecifikácia konkrétnych ustanovení GDPR
(napr. vo vzťahu k oprávneným záujmom, ktoré prevádzkovatelia sledujú v konkrétnych
situáciách; spôsobu pseudonymizácie osobných údajov; uplatňovaniu práv
dotknutých osôb a pod.). Pokiaľ sa teda daný prevádzkovateľ alebo
sprostredkovateľ pridá k určitému kódexu správania, mal by mať väčšiu mieru
právnej istoty, že spĺňa príslušné požiadavky GDPR. Rovnako môže takýto
prevádzkovateľ alebo sprostredkovateľ skutočnosť, že sa pridal ku kódexu
správania využívať v rámci svojho marketingu na uistenie dotknutých osôb,
že spĺňa štandardy uvedené v kódexe.
Tento článok slúži len ako všeobecná informácia
a nenahrádza právne poradenstvo v konkrétnej veci.
[1] Existuje možnosť, že určité kódexy
správania nadobudnú všeobecnú záväznosť, a to za podmienok uvedených nižšie.