HR | EN

logo
header pozadina-min

Akreditacijski zahtjevi za tijela za praćenje kodeksa ponašanja

Objavljeno: 20.5.2026.

Kodeksi ponašanja – često postavljana pitanja i odgovori

Na temelju Smjernica Europskog odbora za zaštitu podataka 1/2019 o kodeksima ponašanja i tijelima za praćenje prema Uredbi 2016/679,

U skladu s člankom 41. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka; u daljnjem tekstu GDPR),

Uzimajući u obzir članke 1. i 4. Zakona o provedbi Opće uredbe o zaštiti podataka („Narodne novine“ br. 42/2018),

ravnatelj Agencije za zaštitu osobnih podataka donosi sljedeću Odluku o zahtjevima za akreditaciju tijela za praćenje kodeksa ponašanja

Definicije

Akreditacija – odnosi se na utvrđivanje da predloženo tijelo za nadzor ispunjava zahtjeve utvrđene u članku 41. GDPR-a za provođenje nadzora usklađenosti s Kodeksom ponašanja. Ovu provjeru provodi nadzorno tijelo kojem se Kodeks podnosi na odobrenje (članak 41.(1)). Akreditacija tijela za nadzor primjenjuje se samo za određeni Kodeks.

Vlasnici kodeksa – udruženja i druga tijela koja sastavljaju kodekse u smislu članka 40. stavka (2) GDPR-a i podnose ih na odobrenje te imaju odgovarajući pravni status kako je propisano Kodeksom i u skladu s nacionalnim pravom.

Tijelo za praćenje – tijelo/odbor ili više tijela/odbora (unutarnjih ili vanjskih u odnosu na vlasnike Kodeksa), jedna ili više fizičkih osoba koje obavljaju nadzornu funkciju kako bi utvrdile i osigurale da se Kodeks poštuje u skladu s člankom 41. GDPR-a.

Član kodeksa – voditelj ili izvršitelj koji je implementirao odredbe Kodeksa i obvezao se na njegovu primjenu i poštivanje, a njegove karakteristike i kapacitet pozitivno je ocijenilo nadzorno tijelo.

Osoblje tijela za praćenje – sve fizičke osobe koje obavljaju tehničke ili pravne zadatke i dužnosti, uključujući administrativne/organizacijske, za nadzorno tijelo, bez obzira na oblik zaposlenja.

Uprava tijela za praćenje – fizičke osobe koje obavljaju funkcije donošenja odluka u tijelu za praćenje.

Agencija za zaštitu osobnih podataka (u daljnjem tekstu „AZOP“) – nadležno nadzorno tijelo na području Republike Hrvatske u skladu s člankom 55. GDPR-a.

Predmetno nadzorno tijelo – ima isto značenje kao u članku 4(22) GDPR-a.

Nacionalni kodeks ponašanja – odnosi se na Kodeks koji obuhvaća aktivnosti obrade podataka u jednoj državi članici.

Transnacionalni kodeks ponašanja – odnosi se na Kodeks koji obuhvaća aktivnosti obrade u više od jedne države članice.

Uvod

U skladu s člankom 41. stavkom (1) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka) i Smjernicama Europskog odbora za zaštitu podataka 1/2019 o kodeksima ponašanja i tijelima za nadzor prema Uredbi 2016/679 (u daljnjem tekstu: Smjernice EDPB-a), nacionalne i transnacionalne kodekse ponašanja mora nadzirati tijelo za praćenje koje je akreditiralo za provedbu nadzora nad relevantnim kodeksom.

Prema članku 41. stavku 6. Opće uredbe o zaštiti podataka, akreditirano tijelo za praćenje nije potrebno za obradu koju provode tijela javne vlasti i javna tijela.

Članak 41. stavak 2. Opće uredbe o zaštiti podataka propisuje niz zahtjeva koje predloženo tijelo za praćenje mora ispuniti kako bi dobilo akreditaciju.

Tijela za praćenje moraju:

  • Pokazati neovisnost i stručnost u odnosu na predmet kodeksa;
  • Pokazati utvrđene postupke koji im omogućuju procjenu podobnosti dotičnih voditelja i izvršitelja za primjenu kodeksa, praćenje njihove usklađenosti s njegovim odredbama i periodično preispitivanje njegove primjene; ​​
  • Demonstrirati uspostavljene postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili načina na koji je voditelj ili izvršitelj provodio ili provodi kodeks te učiniti te postupke i strukture transparentnima za ispitanike i javnost;
  • Dokazati do zadovoljavajuće razine nadležnom nadzornom tijelu da njihovi zadaci i dužnosti ne rezultiraju sukobom interesa.

Smjernice EDPB-a pružaju važne praktične smjernice i pomoć u tumačenju u vezi s primjenom članka 41. stavka 2. Opće uredbe o zaštiti podataka. U tu svrhu, smjernice EDPB-a ocrtavaju zahtjeve za akreditaciju u članku 41. stavku 2. u sljedećih osam kategorija:

  • Neovisnost;
  • Nepostojanje sukoba interesa;
  • Stručnost;
  • Utvrđivanje postupaka i struktura;
  • Transparentno rješavanje pritužbi;
  • Komunikacija s nadležnim nadzornim tijelom (AZOP-om);
  • Mehanizam pregleda;
  • Pravni status

Zahtjevi navedeni u ovom dokumentu temelje se na zahtjevima članka 41. stavka 2. Opće uredbe o zaštiti podataka i zahtjevima utvrđenima u odjeljku 12. Smjernica EDPB-a, uzimajući u obzir Smjernice 04/2021 o kodeksima ponašanja kao alatima za prijenos podataka.

Uvjeti akreditacije

Da bi bilo akreditirano od strane AZOP-a, tijelo za praćenje mora ispuniti sve uvjete akreditacije navedene u ovom dokumentu.

Zahtjevi se primjenjuju na tijelo za praćenje, bez obzira je li riječ o internom ili eksternom tijelu za praćenje, osim ako nije drugačije određeno.

Prema članku 41. stavku 1. Opće uredbe o zaštiti podataka, akreditacija kao tijelo za praćenje moguća je samo u odnosu na predmet kodeksa na koji se odnosi zahtjev.

Akreditacija za tijelo za praćenje temelji se na pisanom zahtjevu AZOP-u. Zahtjev mora sadržavati dokaz o ispunjavanju uvjeta dostavljanjem sve relevantne dokumentacije.

Jezik postupka je hrvatski, a zahtjev se mora podnijeti na hrvatskom jeziku. Ako se zahtjevi podnose AZOP-u na stranom jeziku ili ako se dostavljaju bilo kakvi podnesci, dokazi ili drugi dokumenti, APOZ će odmah zatražiti njihov prijevod.

Zahtjev mora sadržavati najmanje sljedeće podatke:

  1. Podaci koji identificiraju tijelo za praćenje kao podnositelja zahtjeva, tj. identifikacijski brojevi kao što je OIB poduzeća itd.
  2. Prebivalište ili registrirano sjedište tijela za praćenje, koje se u oba slučaja mora nalaziti u Europskom gospodarskom prostoru (EGP).
  3. Kontaktni podaci koji će se koristiti za bilo kakvu komunikaciju u vezi sa zahtjevom za akreditaciju.
  4. Opće informacije o tijelu za praćenje, uključujući organizacijsku shemu i unutarnju organizacijsku strukturu te sve odnose s nadređenim, podređenim ili subjektima iste razine unutar grupe ili pridruženih organizacija grupe;
  5. Specifikacija vrste tijela za praćenje (tj. je li interno ili eksterno);
  6. Specifikacija kodeksa ponašanja za koji se traži akreditacija;
  7. Određivanje kategorija voditelja obrade, izvršitelja obrade i sektora za koje je odgovorno tijelo za praćenje.
  8. Određivanje nacionalnog ili transnacionalnog područja primjene Kodeksa ponašanja.

Daljnji zahtjevi za dokumentaciju uključeni su u svaki od zahtjeva za akreditaciju.

AZOP mora biti bez nepotrebnog odgađanja pismeno obaviješten o svim promjenama tijekom faze prijave koje mogu ugroziti prihvatljivost ili značajno narušiti aktivnosti praćenja tijela za praćenje.

Zahtjevi za tijelo za praćenje

Tijelo za praćenje mora u svakom trenutku dokazati svoju sposobnost provođenja svojih nadzornih aktivnosti u skladu sa zahtjevima članaka 40. i 41. GDPR-a i ovim zahtjevima za akreditaciju.

Sljedeći zahtjevi se primjenjuju i na unutarnja i na vanjska tijela za praćenje.

Opći zahtjevi

Kako bi obavljalo profesionalnu djelatnost kao tijelo za praćenje, tijelo za praćenje mora biti pravna osoba sa sjedištem ili, ako je fizička osoba, imati sjedište ili prebivalište u Europskom gospodarskom prostoru (EGP).

Tijela za praćenje koja djeluju u okviru kodeksa za prijenose mogu se nalaziti unutar ili izvan EGP-a, pod uvjetom da dotično nadzorno tijelo ima poslovni nastan u EGP-u.

Ako je tijelo za praćenje fizička osoba, mora dokazati da ima potrebne resurse i, u slučaju nepredviđenog događaja koji dovodi do iznenadnog, privremenog ili trajnog gubitka uloge tijela za praćenje (kao što je, na primjer, ostavka dotične osobe ili njezina privremena nemogućnost obavljanja svoje uloge), da će se aktivnosti praćenja nastaviti bez prekida. Posebno, kada je tijelo za praćenje fizička osoba, mora biti u mogućnosti dokazati dostupnost odgovarajućih resursa za specifične dužnosti i odgovornosti, kao i potpuno funkcioniranje mehanizma praćenja tijekom vremena.

Postupci i strukture tijela za praćenje, posebno njegovi strukturni i proceduralni poslovni procesi i druge organizacijske mjere, moraju biti adekvatno dokumentirani. Tijelo za praćenje mora osigurati da ispunjava svoje zadaće iz članka 40. stavka 4. i članka 41. stavka 2. i 4. Opće uredbe o zaštiti podataka te da je u svakom trenutku u mogućnosti poduzeti učinkovite mjere u skladu s člankom 41. stavkom 4.

Obveza dostavljanja dokaza o ispunjavanju zahtjeva pada na nadzorno tijelo, a takvi dokazi moraju se dostaviti u fazi podnošenja zahtjeva

Neovisnost

Tijelo za praćenje mora biti na odgovarajući način neovisno i nepristrano u odnosu na članove kodeksa i struke, industrije ili sektora na koji se kodeks primjenjuje. Neovisnost se može dokazati kroz niz područja kao što su financiranje tijela za praćenje, imenovanje članova/osoblja, proces donošenja odluka i organizacijska struktura tijela za praćenje. Ovo pitanje razmatra se detaljnije u nastavku.

Neovisnost tijela za praćenje mora se dokazati utvrđivanjem formalnih pravila i postupaka. Ova pravila i postupci omogućit će tijelu za praćenje da provodi praćenje usklađenosti s kodeksom ponašanja u potpunoj autonomiji, bez izravnog ili neizravnog utjecaja, niti bilo kakvog oblika pritiska koji bi mogao utjecati na njegove odluke.

To znači da tijelo za praćenje ne smije biti u mogućnosti primati bilo kakve upute u vezi s obavljanjem svoje zadaće od članova kodeksa, struke, industrije ili sektora na koji se kodeks primjenjuje ili od samog vlasnika kodeksa.

Kada je tijelo za praćenje interno, posebna se pozornost mora posvetiti sposobnosti tijela za praćenje da djeluje neovisno. Konkretno, mora postojati odvojeno osoblje i upravljanje, odgovornost i funkcije od drugih područja organizacije (tj. vlasnika kodeksa). To se može postići korištenjem učinkovitih organizacijskih i informacijskih barijera i odvojenih struktura upravljanja izvještavanjem za organizaciju (tj. vlasnika kodeksa) i tijelo za praćenje. Tijelo za praćenje treba biti u mogućnosti djelovati bez uputa i mora biti zaštićeno od bilo kakvih sankcija ili uplitanja (izravnih ili neizravnih) kao posljedice ispunjavanja svog zadatka.

Neovisnost se mora pokazati u četiri glavna područja:

  • Pravni postupci i postupci donošenja odluka
  • Financijski resursi
  • Organizacijska resursi i strukture
  • Odgovornost

Zahtjevi za ova područja su sljedeći:

Pravni postupci i postupci donošenja odluka

Tijelo za praćenje mora biti na odgovarajući način neovisno u odnosu na članove kodeksa i struke, industrije ili sektora na koji se kodeks primjenjuje, posebno u pogledu bilo kakve pravne i ekonomske veze koja može postojati između tijela za praćenje i vlasnika kodeksa ili članova kodeksa. Postupak donošenja odluka koji je utvrdilo tijelo za praćenje mora očuvati njegovu autonomiju i neovisnost.

Tijelo za praćenje mora djelovati neovisno u svom izboru i primjeni svojih radnji i sankcija protiv kontrolora ili obrađivača koji se pridržava kodeksa.

Trajanje ili istek mandata tijela za praćenje mora biti reguliran na način koji sprječava prekomjernu ovisnost o obnavljanju ili gubitku imenovanja, u mjeri koja negativno utječe na neovisnost u provođenju nadzornih aktivnosti. Na primjer, vezivanje obnavljanja mandata za provedbene mjere koje tijelo za praćenje poduzima tijekom određenog vremenskog razdoblja nije prihvatljivo. Maksimalno trajanje mandata tijela za praćenje ne smije biti dulje od pet (5) godina.

Tijelo za praćenje ne smije pružati nikakve usluge članovima kodeksa ili vlasniku kodeksa koje bi negativno utjecale na njegovu neovisnost.

Tijelo za praćenje dužno je tijekom postupka prijave dostaviti dokaze da tijelo i njegovo osoblje mogu djelovati neovisno i bez neprimjerenog utjecaja. Dokazi o neovisnosti tijela za praćenje mogu se dokazati:

  1. Formalna pravila za imenovanje,
  2. Opis poslova i zadataka,
  3. Dokumentirani procesi zapošljavanja osoblja,
  4. Podaci o osobama u nadzornom tijelu ovlaštenima za donošenje odluka, koji pokazuju da ne postoje sukladni interesi sa subjektima nadzora,
  5. Opis stvarnih vlasnika kodeksa,
  6. Informacije o regulaciji trajanja ili isteka mandata tijela za praćenje,
  7. Procjena i postupanje s rizicima u vezi s neovisnošću,
  8. Za interna tijela za praćenje, opis rada svih odbora, zasebnih odjela ili osoblja koje može biti uključeno u tijelo za praćenje te potencijalne informacijske barijere i odvojene strukture upravljanja izvještavanjem za organizaciju ili tijelo (tj. vlasnika Kodeksa) i tijelo za praćenje

Financijski resursi

Tijelo za praćenje mora biti primjereno financijski neovisno. Prilikom osiguravanja financijske neovisnosti, tijelo za praćenje mora uzeti u obzir broj, veličinu i složenost članova kodeksa (kao nadziranih subjekata), prirodu i opseg njihovih aktivnosti (predmet kodeksa) te rizik(e) povezan(e) s postupkom(ima) obrade.

Tijelo za praćenje mora imati dovoljno financijskih i drugih resursa, zajedno s potrebnim procesima, kako bi se osiguralo dugoročno financiranje u svrhu osiguranja funkcioniranja kodeksa tijekom vremena (tj. u slučaju da jedan ili više izvora financiranja više nisu dostupni).

Tijelo za praćenje mora biti sposobno samostalno upravljati svojim proračunom i resursima bez ikakvog utjecaja vlasnika kodeksa i članova kodeksa.

Posebno, u slučaju internog tijela za praćenje, tijelo za praćenje mora dokazati da ima zaseban proračun koji mu je dodijelio vlasnik kodeksa te mora dokazati i pokazati svoju punu autonomiju u upravljanju proračunom ili drugim dodijeljenim resursima.

Financijska neovisnost se ne smatra ispunjenom ako pravila koja uređuju financijsku potporu tijela za praćenje ne sprječavaju člana kodeksa, koji je pod istragom istog tijela za praćenje, da zaustavi svoje financijske doprinose istom, kako bi izbjegao potencijalnu sankciju od strane tijela za praćenje.

Sredstva putem kojih tijelo za praćenje dobiva financijsku potporu (na primjer, naknada koju plaćaju članovi kodeksa) ne smiju negativno utjecati na neovisnost njegove zadaće praćenja usklađenosti s kodeksom..

Tijelo za praćenje dužno je tijekom postupka prijave AZOP-u pokazati načine na koje dobiva financijsku potporu za svoju nadzornu ulogu i objasniti kako to ne ugrožava njegovu neovisnost.

Organizacijski resursi i strukture

Tijelo za praćenje mora biti organizirano na način koji mu omogućuje da djeluje neovisno od vlasnika kodeksa i članova kodeksa unutar područja primjene kodeksa pri obavljanju svojih zadataka i ostvarivanju svojih ovlasti.

Tijelo za praćenje mora imati ljudske i tehničke resurse potrebne za učinkovito obavljanje svojih zadataka.

Tijelo za praćenje mora biti sastavljeno od dovoljnog i proporcionalnog broja odgovarajuće kvalificiranog osoblja kako bi moglo u potpunosti obavljati funkcije praćenja, odražavajući dotični sektor i rizike aktivnosti obrade kojima se bavi kodeks. To se može dokazati kroz:

  • postupak imenovanja osoblja tijela za praćenje;
  • naknada navedenog osoblja, kao i trajanje mandata osoblja; i
  • ugovor ili drugi formalni sporazum s tijelom za praćenje.

Tijelo za praćenje mora imati odgovarajuće i dovoljne tehničke resurse za kompetentno i sigurno obavljanje svojih zadataka. Adekvatnost tehničkih resursa mora se kontinuirano provjeravati.

Tijelo za praćenje odgovorno je i zadržava ovlasti za svoje odluke u vezi s aktivnostima praćenja.

Interna tijela za nadzor ne mogu se osnivati unutar članova kodeksa. Kada je tijelo za praćenje interno tijelo vlasnika kodeksa, mora postojati odvojeno osoblje i upravljanje, odgovornost i funkcija od ostalih područja organizacije. Interno tijelo za praćenje mora biti sposobno djelovati bez uputa i mora biti zaštićeno od bilo kakvih sankcija ili uplitanja (izravnih ili neizravnih) zbog ispunjavanja svog zadatka.

Posebno se mora dokazati da je interno tijelo za praćenje strukturno odvojeno od ostalih područja strukture vlasnika kodeksa do razine ispod višeg menadžmenta, uključujući i tu razinu. U tom smislu, tijelo za praćenje mora imati vlastito osoblje i mora biti odvojeno od ostalih područja vlasnika kodeksa u smislu svojih funkcija, odgovornosti i sustava izvještavanja. To se može postići na više načina, na primjer, postavljanjem učinkovitih organizacijskih i informacijskih barijera te odvojenih struktura upravljanja izvještavanjem za vlasnika kodeksa. Interno tijelo za praćenje izravno izvještava svojoj najvišoj razini menadžmenta.

Dokazi o organizacijskoj neovisnosti tijela za praćenje mogu se pružiti:

·         postupkom imenovanja osoblja;

·         naknadama za osoblje;

·         trajanjem mandata;

·         ugovorima ili drugim oblicima sporazuma s tijelom za praćenje;

·         identifikacijom rizika za njegovu organizacijsku neovisnost i načinom na koji će ukloniti ili smanjiti takve rizike te koristiti odgovarajući mehanizam za zaštitu nepristranosti;

·         za interna tijela za praćenje, ustroj organizacije i informacijama o njezinom odnosu s većim subjektom (tj. vlasnikom kodeksa).

Tijelo za praćenje dužno je dokazati svoju organizacijsku neovisnost AZOP-u tijekom postupka prijave.

Odgovornost

Tijelo za praćenje mora biti u stanju dokazati da je odgovorno za svoje odluke i postupke kako bi se smatralo neovisnim. Dokaz za to može se pokazati definicijom zadataka, okvirom za donošenje odluka i odgovarajućom dokumentacijom proceduralne organizacije, npr. uključujući odgovarajuće strukture uloga i izvještavanje, kako bi se pokazalo da bilo koje odluke koje donese tijelo za praćenje u vezi s njegovim funkcijama neće biti podložne odobrenju bilo koje druge organizacije, uključujući vlasnika kodeksa.

Dokazi o nepristranosti u odnosu na odgovornost mogu uključivati, ali nisu ograničeni na:

  1. Opise poslova
  2. Izvješća menadžmenta

Sukob interesa

U skladu s člankom 41. stavkom 2. točkom d. Opće uredbe o zaštiti podataka, tijelo za praćenje mora dokazati da obavljanje njegovih zadaća i dužnosti ne rezultira sukobom interesa. U tu svrhu mora se dokazati da će se tijelo za praćenje i njegovo osoblje suzdržati od bilo kakvih radnji koje su nespojive s njegovim zadaćama i dužnostima te da su stvorene zaštitne mjere kako bi se izbjegli sukobi interesa.

Kako bi se izbjegli sukobi interesa, tijelo za praćenje mora biti, posebno, oslobođeno vanjskog (izravnog ili neizravnog) utjecaja i ne smije tražiti niti primati upute od bilo koje osobe, organizacije ili udruge. Na primjer, kao što je gore navedeno, mora biti sposobno djelovati bez uputa i biti zaštićeno od mjera i sankcija od strane vlasnika kodeksa i članova kodeksa kroz obavljanje svojih zadataka.

Tijelo za praćenje mora imati vlastito osoblje koje će biti podložno isključivo uputama tijela za praćenje.

U načelu, ne postoji sukob interesa ako usluge nisu nadzorne, isključivo administrativna/organizacijska pomoć ili prateće aktivnosti koje nemaju utjecaja na nepristranost tijela za praćenje i koje ne utječu na odluke tijela za praćenje (IT podrška, obračun plaća itd.).

Tijelo za praćenje ne smije prihvatiti nikakve usluge od vlasnika kodeksa, članova kodeksa ili drugih trećih strana koje bi mogle ugroziti njegovu neovisnost ili potaknuti sukob interesa.

U ispunjavanju svojih zadaća, tijelo za praćenje mora biti zaštićeno od bilo kakvih sankcija ili uplitanja (izravnog ili neizravnog) od strane vlasnika kodeksa, drugih relevantnih tijela ili članova kodeksa.

Ni tijelo za praćenje ni njegovo osoblje ne smiju djelovati izvan stvarnih aktivnosti praćenja članova kodeksa niti pružati bilo kakve druge usluge, posebno savjete o pitanjima zaštite podataka.

Tijelo za praćenje mora identificirati situacije koje mogu stvoriti sukob interesa (zbog svog osoblja, svoje organizacije, svojih postupaka itd.) i osigurati interne postupke za rješavanje i uklanjanje utvrđenih situacija na kontinuiranoj osnovi.

Stručnost

Tijelo za praćenje (interno ili eksterno) mora se u svakom trenutku pridržavati članka 41. stavka 2. točke a. Opće uredbe o zaštiti podataka u pogledu dostupnosti osoblja sa stručnošću za učinkovito obavljanje svoje uloge te to dokazati AZOP-u.

U tom smislu, osoblje tijela za praćenje za  mora posjedovati dubinsko razumijevanje, znanje i iskustvo u sektoru kodeksa koji je predmet praćenja. Kako bi se pokazala stručnost osoblja o specifičnoj obradi osobnih podataka, treba uzeti u obzir i rizike aktivnosti obrade kojima se bavi kodeks.

Kao minimum, osoblje za praćenje mora imati zadovoljavajuće opće stručno znanje u području zakonodavstva o zaštiti podataka. To se mora dokazati relevantnim obrazovanjem i/ili radnim iskustvom, kako je detaljnije opisano:

  1. Pravno

Tijelo za praćnje mora dokazati da njegovo osoblje koje obavlja pravne funkcije ima najmanje dvije godine stručnog pravnog iskustva u zaštiti podataka (npr. savjetovanje). Takva stručnost može se dokazati ugovorima o radu i/ili obrascima o angažmanu;

  1. Tehničko

Zahtjev za tehničkom stručnošću primjenjuje se samo kada je to potrebno za predmetni Kodeks. Ako je to slučaj, tijelo za praćenje mora dokazati da je njegovo osoblje angažirano u tehničkim funkcijama prošlo detaljnu obuku o okvirima za upravljanje sigurnošću informacijskih sustava. Takva stručnost može se dokazati dokazom o postizanju srodne kvalifikacije na razini 5 EQF-a ili više. Tehnički revizori moraju imati najmanje dvije godine stručnog iskustva u području sigurnosti informacijskih sustava. Takvo iskustvo može se dokazati putem revizorskih izvješća.

Stručnost tijela za praćnje procjenjuje se u skladu s određenim Kodeksom. Specifični zahtjevi kodeksa ovisit će o čimbenicima kao što su broj, veličina i složenost članova kodeksa, vrsta, opseg i opseg njihovih aktivnosti određenih kodeksom ponašanja te rizik obrade obuhvaćenih kodeksom ponašanja.

Utvrđenje postupaka i struktura

U skladu s člankom 41. stavkom 2. točkom b. Opće uredbe o zaštiti podataka, tijelo za praćenje mora dokazati da ima dokumentirane postupke koji mu omogućuju da u svakom trenutku ispunjava svoje zadatke i dužnosti putem odgovarajućeg upravljanja i postupaka koji mu omogućuju adekvatno:

  • Procijeniti ispunjavaju li voditelj obrade i izvršitelji uvijete za primjenu kodeksa;
  • Pratiti usklađenost s njegovim odredbama;
  • Provoditi preglede rada kodeksa

Dolje navedeni zahtjevi imaju za cilj osigurati učinkovitost procesa praćenja tijela za praćenje i omogućujući mu primjenu korektivnih mjera kako je definirano u samom kodeksu. Postupci praćenja mogu se osmisliti na različite načine, sve dok uzimaju u obzir čimbenike kao što su rizici koje proizlaze iz obrade podataka u okviru kodeksa, primljene pritužbe ili specifični incidenti te broj članova Kodeksa itd. Moglo bi se razmotriti objavljivanje revizorskih izvješća, kao i nalazi periodičnog izvještavanja voditelja i izvršitelja obrade u okviru kodeksa.

U tom pogledu, tijelo za praćenje će:

  • utvrditi opseg svojih aktivnosti prije početka zadataka praćenja kako bi se osigurala transparentnost za članove kodeksa i omogućila provjera od strane AZOP-a. Postupci za praćenje usklađenosti s kodeksom moraju biti dovoljno specifični kako bi se osigurala dosljedna primjena aktivnosti tijela za praćenje. Konkretno, tijelo za praćenje mora odrediti primjenjive standarde i načela redovitih postupaka unutar jasnog i
To može uključivati, ali nije ograničeno na radnje kao što su: provođenje nenajavljenih revizija i/ili inspekcija članova kodeksa, davanje uputa članovima kodeksa da ispune i dostave izvješća ili upitnike o samopraćenju, provođenje barem godišnjeg pregleda u obliku revizija članova kodeksa itd.;

definiranog vremenskog razdoblja kako bi aktivno i učinkovito pratilo usklađenost članova kodeksa s odredbama kodeksa.

  • uspostaviti postupke za procjenu podobnosti voditelja i izvršitelja za poštivanje kodeksa.
  • uspostaviti postupke (pokrenute na primjer na temelju upita ili pritužbe ispitanika) za aktivno i učinkovito praćenje usklađenosti članova kodeksa s odredbama kodeksa.
  • uspostaviti postupke koji se odnose na dodatne kontrole kako bi se osiguralo poduzimanje odgovarajućih mjera za otklanjanje prekršaja i sprječavanje ponavljanja prekršaja.
  • uspostaviti postupke za provođenje periodičnih pregleda djelovanja kodeksa. Daljnji zahtjevi u vezi s mehanizmima pregleda kodeksa navedeni su u odjeljku 2.8.
Prilikom utvrđivanja potrebnih postupaka (za provjeru prihvatljivosti, praćenje i pregled), tijelo za praćenje mora uzeti u obzir rizik koji proizlazi iz obrade podataka, očekivanu veličinu i broj članova kodeksa, geografski opseg, primljene pritužbe i druge relevantne čimbenike.
  • pokazati da ima dokumentirane postupke i strukture koje mu omogućuju poduzimanje odgovarajućih mjera protiv člana Kodeksa kako bi se otklonilo kršenje i izbjegla buduća kršenja.

U skladu s člankom 41. stavkom 4. Opće uredbe o zaštiti podataka, tijelo za praćenje mora pismeno obavještavati AZOP, u redovitim razmacima, a najmanje jednom godišnje, o poduzetim mjerama i razlozima za njihovo poduzimanje. Tijelo za praćenje mora posebno dokazati da ima dokumentirane postupke i strukture za pravovremeno obavještavanje AZOP-a o svim poduzetim ozbiljnim radnjama, posebno o suspenziji ili isključenju iz kodeksa.

Tijelo za praćenje i njegovo osoblje odgovorni su za upravljanje svim informacijama dobivenim ili stvorenim tijekom procesa praćenja.

U tu svrhu, tijelo za praćenje mora dokazati:

  • da je u svakom trenutku u mogućnosti dokumentirati svoje aktivnosti praćenja i dostaviti takvu dokumentaciju AZOP-u na zahtjev.
  • da ima dokumentirane postupke koji mu omogućuju održavanje odgovarajuće povjerljivosti u svakom trenutku.
Sve informacije koje tijelo za praćenje primi kao dio svojih aktivnosti praćenja, posebno informacije primljene od članova kodeksa ili njihovih ugovornih partnera, uključujući izvore takvih informacija, moraju se u svakom trenutku tretirati kao povjerljive, osim ako nadzorno tijelo nije zakonski obvezno otkriti takve informacije ili je za to ovlašteno ugovorom. Tijelo za praćenje ima pravo otkriti sve povjerljive informacije AZOP-u potrebne za provođenje nadzornih aktivnosti.

 

Uz gore navedene zahtjeve, tijelo za praćenje mora dokazati da ima dokumentirane postupke i strukture koje mu omogućuju da pravovremeno pismeno obavijesti AZOP o svim promjenama koje bi mogle utjecati na njegove aktivnosti nadzora.

Tijelo za praćenje dužno je objaviti sažetke odluka ili statističkih podataka o svojim dovršenim postupcima praćenja i preispitivanja i učiniti ih dostupnima javnosti. Osim toga, bez obzira na važeće hrvatsko zakonodavstvo, tijelo za praćenje mora odluke o svojim dovršenim postupcima praćenja i preispitivanja učiniti dostupnima javnosti kada se one odnose na ponovljena i/ili ozbiljna kršenja, poput onih koja bi mogla dovesti do suspenzije ili isključenja dotičnog voditelja ili izvršitelja iz kodeksa.

Transparentno rješavanje pritužbi

U skladu s člankom 41. stavkom 2. točkom c. Opće uredbe o zaštiti podataka, tijelo za praćenje mora dokazati da ima dokumentirane postupke i strukture koje mu omogućuju primanje, procjenu i rješavanje pritužbi u vezi s kršenjem kodeksa ponašanja ili načinom na koji članovi kodeksa primjenjuju kodeks na nepristran i transparentan način te donošenje odluka o pritužbama u razumnom roku.

Na primjer, dokaz o postupku rješavanja pritužbi mogao bi biti: opisani postupak za primanje, procjenu, praćenje, evidentiranje i rješavanje pritužbi. To bi se moglo navesti u javno dostupnim smjernicama za kodeks kako bi podnositelj pritužbe mogao razumjeti i slijediti postupak podnošenja pritužbi. Nadalje, neovisnost takvih postupaka mogla bi se poboljšati odvojenim operativnim osobljem i upravljačkim funkcijama u nadzornom tijelu.

Tijelo za praćenje mora učiniti postupak podnošenja pritužbi, koji ima dovoljno resursa za upravljanje pritužbama, javno dostupnim i lako dostupnim. Smjernice moraju biti dovoljno transparentne da ih podnositelj pritužbe razumije.

Tijelo za praćenje utvrdit će vremenski okvir za rješavanje pritužbi i te informacije učiniti javno dostupnima. Pritužbe se rješavaju u razumnom roku.

U slučajevima kršenja kodeksa, tijelo za praćenje mora imati utvrđene postupke za poduzimanje trenutnih mjera i korištenje korektivnih mjera kako je definirano u kodeksu ponašanja. To mora uključivati, između ostalog:

  • odgovarajuće korektivne mjere,
  • ovlast suspendiranja ili isključenja voditelja obrade ili izvršitelja obrade iz kodeksa kada djeluje izvan uvjeta kodeksa.
Cilj takvih postupaka mora biti zaustavljanje kršenja i izbjegavanje budućeg ponavljanja.

Tijelo za praćenje mora biti u mogućnosti bez nepotrebnog odgađanja obavijestiti podnositelja pritužbe, člana kodeksa, vlasnika kodeksa, AZOP i sva nadležna tijela za praćenje o poduzetim mjerama i njihovom opravdanju.

Tijelo za praćenje mora voditi evidenciju svih primljenih pritužbi i poduzetih radnji. AZOP može pristupiti evidenciji u bilo kojem trenutku.

Tijelo za praćenje mora javno objaviti informacije o svim sankcijama koje dovode do suspenzije ili isključenja članova kodeksa (i svakom naknadnom ukidanju istih).

To se može pružiti u obliku općih statističkih podataka o broju i vrsti pritužbi/prekršaja te izdanim rješenjima/korektivnim mjerama.

Tijelo za praćenje mora objaviti informacije o odlukama donesenim u kontekstu postupka rješavanja pritužbi.

Tijelo za praćenje mora tijekom postupka prijave AZOP-u pokazati svoje postupke i strukture za rješavanje pritužbi.

Postupak podnošenja pritužbe mora sadržavati sljedeće elemente i procese:

  1. Postupak za primitak (npr. pisanim putem, putem e-pošte itd.), provjeru valjanosti i istragu pritužbe te odluku o radnjama koje treba poduzeti kao odgovor na istu;
  2. Praćenje i evidentiranje pritužbi, uključujući mjere za njihovo rješavanje ili razloge za odbijanje njihovog postupanja kao pritužbe;
  3. Jamstvo da se poduzimaju odgovarajuće mjere u razumnom roku;
  4. Obavijest podnositelju pritužbe o ishodu postupka, u mjeri u kojoj je podnositelj pritužbe uključen. Ako se postupak po pritužbi ne riješi u roku od tri mjeseca od izdavanja potvrde o primitku, podnositelj pritužbe bit će obaviješten o napretku.

Komunikacija s AZOP-om

Tijelo za praćenje mora pokazati predviđeni okvir za učinkovitu komunikaciju poduzetih radnji u slučajevima kršenja kodeksa od strane člana kodeksa, dostavljanje periodičnih izvješća o Kodeksu ili dostavljanje nalaza pregleda ili revizije AZOP-u. To posebno uključuje informacije o bilo kakvoj suspenziji ili isključenju članova kodeksa i svim značajnim promjenama tijela za praćenje. Značajna promjena rezultirat će preispitivanjem akreditacije.

Tijelo za praćenje mora biti sposobno učinkovito i pravovremeno komunicirati s AZOP-om i nadležnim tijelima za praćenje o pitanjima vezanim uz kodeks koji je predmet praćenja.

U tom smislu, tijelo za praćenje uspostavit će učinkovite mehanizme izvješćivanja i imenovati kontakt osobu za komunikaciju s AZOP-om, čiji podaci moraju biti dostupni svim uključenim nadležnim tijelima za praćenje.

U slučaju praćenja transnacionalnog kodeksa, tijelo za praćenje dužno je bez nepotrebnog odgađanja obavijestiti AZOP i nadležna nadzorna tijela o gore navedenim elementima.

Zahtjevi za učinkovitu komunikaciju s AZOP-om su:

  1. Tijelo za praćenje mora imati dokumentiran postupak za periodična izvješća o statusu i rezultatima aktivnosti praćenja kodeksa.
  2. Tijelo za praćenje mora utvrditi jasne mehanizme izvješćivanja kako bi se omogućilo izvješćivanje bez nepotrebnog odgađanja o svim odlukama u slučajevima kada je poduzelo mjere zbog kršenja kodeksa od strane članova kodeksa, posebno ponovljenih ili ozbiljnih kršenja koja bi rezultirala ozbiljnim mjerama poput suspenzije ili isključenja dotičnog voditelja ili izvršitelja obrade iz kodeksa. Ovo izvješće mora sadržavati najmanje:
  3. Bez nepotrebnog odgađanja i u pisanom obliku obavijestiti AZOP o izrečenoj korektivnoj mjeri, navodeći valjane razloge za odluku.
  4. Navedene informacije s detaljnim opisom kršenja.
  5. Pružiti informacije i dokaze o poduzetim radnjama.
  6. Tijelo za praćenje mora biti u mogućnosti pružiti relevantne informacije o svim svojim radnjama na zahtjev AZOP-a.
  7. Tijelo za praćenje mora imati dokumentiran postupak za preispitivanje i ukidanje suspenzije ili isključenja člana kodeksa.
  8. Tijelo za praćenje mora uspostaviti mehanizme izvješćivanja kako bi se omogućilo redovito izvješćivanje o rezultatima pregleda kodeksa od strane nadzornog tijela ili o bilo kakvim relevantnim nalazima revizije AZOP-u.
  9. Tijelo za praćenje mora bez nepotrebnog odgađanja obavijestiti AZOP o svim bitnim promjenama nadzornog tijela, kao što su:
  10. Promjene u njegovom pravnom, komercijalnom, vlasničkom ili organizacijskom statusu i ključnom osoblju.
  11. Promjene resursa i lokacija.
  12. Sve promjene u temelju akreditacije.
  13. Bilo koje druge informacije koje bi mogle dovesti u pitanje neovisnost, stručnost i nepostojanje bilo kakvog sukoba interesa ili negativno utjecati na potpuno funkcioniranje.

Mehanizam revizije kodeksa

Prema članku 41. stavku 2. Opće uredbe o zaštiti podataka, nadzorno tijelo za praćenje mora uspostaviti postupke koji mu omogućuju periodično preispitivanje primjene kodeksa u skladu s mehanizmima revizije navedenima u kodeksu kako bi se osiguralo da kodeks ostane relevantan i da i dalje doprinosi pravilnoj primjeni Opće uredbe o zaštiti podataka.

Mehanizmi preispitivanja uzimaju u obzir sve promjene u primjeni i tumačenju zakona ili kada postoje novi tehnološki razvoji koji utječu na obradu podataka koju provode članovi kodeksa ili na odredbe kodeksa.

Iako je obveza vlasnika kodeksa osigurati kontinuiranu relevantnost i usklađenost kodeksa ponašanja s važećim zakonodavstvom, tijelo za praćenje doprinijet će svakoj reviziji kodeksa. Kao rezultat revizije kodeksa, vlasnik kodeksa može izvršiti izmjene ili proširenja kodeksa.

Zahtjevi za mehanizme revizije koda su:

  1. Tijelo za praćenje mora doprinijeti provođenju revizije kodeksa kako je navedeno u kodeksu ponašanja.
  2. Tijelo za praćenje mora osigurati da ima dokumentirane planove i postupke za reviziju primjene kodeksa, procjenu je li kodeks i dalje relevantan za članove i nastavlja li ispunjavati odgovarajuću primjenu Opće uredbe o zaštiti podataka.
  3. Tijelo za praćenje dužno je dostaviti vlasniku kodeksa i svim drugim subjektima navedenima u kodeksu godišnje izvješće o primjeni kodeksa. Ovo izvješće mora uključivati:
  4. a) Potvrda o tome kada je izvršea revizija kodeksa;
  5. b) Informacije o nalazima i o tome jesu li potrebne izmjene i dopune kodeksa;
  6. c) Informacije o povredama podataka od strane članova kodeksa, obrađenim pritužbama te vrsti i ishodu provedenih nadzornih funkcija. Ove informacije mogu uključivati, ali nisu ograničene na opće statističke podatke o broju i vrsti povreda podataka, pritužbi, kršenja i izdanim korektivnim mjerama.
  7. d) Potvrda da nema značajnih promjena u tijelu za praćenje.
  8. e) Informacije o novim članovima kodeksa.
  9. Tijelo za praćenje osigurat će da se sve informacije o njegovim dovršenim postupcima revizije i godišnje izvješće o primjeni kodeksa dokumentiraju i dostave AZOP-u na zahtjev.

Pravni status

Tijekom postupka prijave potrebno je dokazati da tijelo za praćenje (bilo unutarnje ili vanjsko) i povezane upravljačke strukture imaju odgovarajući status za obavljanje svoje uloge prema članku 41. stavku 4. Opće uredbe o zaštiti podataka te da su sposobni obavljati svoju nadzornu ulogu i ispunjavati proizlazeće odgovornosti.

Tijelo za praćenje mora imati mogućnost kažnjavanja novčanom kaznom za svoje nadzorne aktivnosti.

Pravni oblik, trajanje i prestanak aktivnosti te drugi aspekti provedbe nadzornog tijela za praćenje moraju mu omogućiti neovisno obavljanje zadataka i od strane članova kodeksa i od strane vlasnika kodeksa. To uključuje odabir i primjenu mjera i sankcija u odnosu na članove kodeksa.

Tijelo za praćenje mora dokazati da je sposobno primjenjivati ​​mehanizam nadzora iz kodeksa ponašanja tijekom odgovarajućeg vremenskog razdoblja.

Tijelo za praćenje preuzima odgovornost za svoje aktivnosti i ni članovi kodeksa ni vlasnik kodeksa ne bi trebali biti kažnjeni zbog obavljanja zadataka tijela za praćenje. Umjesto toga, tijelo za praćenje treba biti zaštićeno od bilo kakvog otkaza ili sankcija, izravnih ili neizravnih, za obavljanje svojih dužnosti.

Tijelo za praćenje može biti sankcionirano od strane AZOP-a zbog nepoštivanja svojih obveza ili zbog nepostupanja na odgovarajući način kada su prekršena pravila kodeksa ponašanja.

Podugovaranje

Tijelo za praćenje može podugovarati pojedinačne aktivnosti i procese nadzorne aktivnosti s vanjskim pružateljima usluga. Korištenje podizvođača ne uklanja odgovornost tijela za praćenje.

Tijelo za praćenje mora biti u mogućnosti dokazati da ima dokumentirane postupke i strukture prema kojima vanjski pružatelj usluga ispunjava zahtjeve i obveze tijela za praćenje na isti način.

Proces donošenja odluka ne može se prepustiti podugovarateljima.

Tijelo za praćenje će imati pravno obvezujući, provedivi, pisani ugovor sa svakim pružateljem usluga koji sadrži odredbe, posebno u vezi sa:

  1. Specifikacija usluge koju pruža izvođač radova;
  2. Stručnost i neovisnost osoblja zaposlenog kod izvođača radova te jamstvo nepristranosti, povjerljivosti i nepostojanja sukoba interesa;
  3. Obveza izvođača radova da obavijesti tijelo za praćenje o događajima koji bi mogli ugroziti ispravno izvršavanje podugovorenih aktivnosti i procesa.

Tijelo za praćenje dužno je identificirati sve svoje podizvođače i dostaviti informacije AZOP-u o njihovim zadacima i ulozi koju obavljaju tijekom postupka akreditacije. Isto vrijedi i ako Tijelo za praćenje angažira podizvođača nakon akreditacije.

Tijelo za praćenje mora obavijestiti AZOP ako prestane koristiti bilo kojeg od svojih podizvođača i o razlozima prestanka korištenja usluge. U slučaju namjeravanog ili očekivanog raskida pisanog ugovora s pružateljima usluga, tijelo za praćenje mora osigurati kontinuitet i kvalitetu podugovorenih aktivnosti i procesa nakon raskida.

Ravnatelj
Zdravko Vukić, univ.mag.oec.

 

A

Povezano

Kodeksi ponašanja – često postavljana pitanja i odgovori

Kodeksi ponašanja – često postavljana pitanja i odgovori

Članak 40. Opće uredbe o zaštiti podataka potiče izradu kodeksa ponašanja koji doprinose pravilnoj primjeni Opće uredbe o zaštiti podataka, osobito uzimajući u obzir posebnosti pojedinih sektora i potrebe mikro, malih i srednjih poduzeća. U skladu s člankom 40....

VIDEONADZOR
ZAHTJEV ZA UTVRĐIVANJE POVREDE PRAVA
UMJETNA INTELIGENCIJA
IMENOVANJE SLUŽBENIKA ZA ZAŠTITU PODATAKA
MIŠLJENJA, RJEŠENJA, PREPORUKE I SMJERNICE
IZVJEŠĆIVANJE O POVREDI OSOBNIH PODATAKA
Olivia-alat za usklađivanje s GDPR-om
7-edpb_logo_fullcolor_2
ARC projekt
Skip to content