Kodeksi ponašanja – često postavljana pitanja i odgovori

Članak 40. Opće uredbe o zaštiti podataka potiče izradu kodeksa ponašanja koji doprinose pravilnoj primjeni Opće uredbe o zaštiti podataka, osobito uzimajući u obzir posebnosti pojedinih sektora i potrebe mikro, malih i srednjih poduzeća.

U skladu s člankom 40. stavkom 1. Opće uredbe o zaštiti podataka, nadzorna tijela potiču izradu kodeksa ponašanja koji pridonose pravilnoj primjeni Opće uredbe o zaštiti podataka. Stoga Agencija za zaštitu osobnih podataka poziva udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade da, sukladno članku 40. stavku 5. Opće uredbe o zaštiti podataka, Agenciji dostave nacrte kodeksa ponašanja, odnosno njihove izmjene ili proširenja, radi mišljenja i odobrenja.

Dobro izrađen kodeks pomaže organizacijama da na jasan način pokažu kako u praksi primjenjuju načela zakonitosti, poštenosti, transparentnosti, odgovornosti, sigurnosti i zaštite prava ispitanika.

Kodeks ima posebnu vrijednost kada sadržava jasna pravila, provjerljive obveze, učinkovite mehanizme praćenja te postupke za rješavanje pritužbi i postupanje u slučaju nepridržavanja kodeksa.

1. Što su kodeksi ponašanja prema Općoj uredbi o zaštiti podataka?

Kodeksi ponašanja su dobrovoljni instrumenti usklađenosti kojima se za određeni sektor, kategoriju voditelja ili izvršitelja obrade ili vrstu obrade dodatno pojašnjava kako primijeniti Opću uredbu o zaštiti podataka u praksi. Kodeksi ponašanja prevode opće obveze iz Opće uredbe o zaštiti podataka u konkretnije standarde, procedure i zaštitne mjere.

2. Tko može izraditi kodeks ponašanja?

Kodekse mogu pripremati udruženja ili druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade, primjerice sektorske, profesionalne ili industrijske organizacije. Važno je da predlagatelj može pokazati da zaista predstavlja relevantni sektor i da razumije njegove specifične rizike, potrebe i postupke obrade.

3. Za koga je kodeks namijenjen?

Kodeks je namijenjen organizacijama koje obavljaju usporedive ili sektorski povezane postupke obrade osobnih podataka. Može biti posebno koristan sektorima u kojima se često pojavljuju ista pitanja, primjerice u zdravstvu, obrazovanju, osiguranju, marketingu, cloud uslugama, istraživačkim aktivnostima ili drugim područjima s ponavljajućim modelima obrade.

4. Jesu li kodeksi obvezni?

Ne. Pristupanje kodeksu je dobrovoljno. Međutim, organizacija koja pristupi odobrenom kodeksu preuzima obvezu pridržavati se njegovih pravila, a usklađenost s kodeksom može biti važan element dokazivanja odgovornosti i usklađenosti s Općom uredbom o zaštiti podataka u odnosu na pitanja koja kodeks uređuje.

5. Jesu li kodeksi zamjena za Opću uredbu o zaštiti podataka?

Ne. Kodeks ne može mijenjati, sužavati niti zamijeniti obveze iz Opće uredbe o zaštiti podataka. Kodeks ponašanja služi kao praktičan alat za primjenu Opće uredbe o zaštiti podataka u konkretnom kontekstu. Ako postoji razlika između kodeksa i Opće uredbe o zaštiti podataka, prednost uvijek ima Opća uredba o zaštiti podataka te primjenjivo pravo Unije odnosno nacionalno pravo.

6. Koja je glavna svrha kodeksa ponašanja?

Svrha kodeksa je doprinijeti pravilnoj i dosljednoj primjeni Opće uredbe o zaštiti podataka. Kodeks treba pomoći organizacijama da bolje razumiju svoje obveze, standardiziraju postupanje u sektoru i povećaju povjerenje ispitanika, korisnika, poslovnih partnera i javnosti.

• olakšati praktičnu primjenu Opće uredbe o zaštiti podataka u određenom sektoru;
• povećati transparentnost postupanja s osobnim podacima;
• ujednačiti standarde zaštite podataka među organizacijama koje obavljaju slične obrade;
• pomoći organizacijama u dokazivanju usklađenosti i načela odgovornosti iz članka 5. stavka 2. Opće uredbe o zaštiti podataka.

7. Koje su prednosti pristupanja odobrenom kodeksu?

Pristupanje odobrenom kodeksu može organizaciji pomoći da strukturirano pokaže kako je ugradila zaštitu osobnih podataka u svoje procese. To ne znači automatsku potpunu usklađenost s Općom uredbom o zaštiti podataka, ali može biti važan dokaz da organizacija primjenjuje sektorski prihvaćene standarde i podliježe dodatnom nadzoru u odnosu na obveze iz kodeksa.

• lakše dokazivanje usklađenosti u dijelu koji kodeks uređuje;
• veće povjerenje korisnika, klijenata i ispitanika;
• jasniji interni postupci i odgovornosti;
• smanjenje pravne nesigurnosti u sektoru;
• mogućnost neovisnog praćenja pridržavanja kodeksa.

8. Tko odobrava kodekse ponašanja?

Nacrt kodeksa podnosi se nadležnom nadzornom tijelu. Ako se kodeks odnosi samo na aktivnosti obrade u jednoj državi članici, nadzorno tijelo ga ocjenjuje, daje mišljenje i, ako su uvjeti ispunjeni, odobrava i objavljuje. Ako kodeks obuhvaća aktivnosti obrade u više država članica, uključuje se mehanizam konzistentnosti i Europski odbor za zaštitu podataka (EDPB). U određenim slučajevima Europska komisija može odlučiti da odobreni kodeks ima opće važenje u Uniji.

9. Što kodeks mora sadržavati?

Kodeks mora biti dovoljno precizan, praktičan i provjerljiv. Ne bi trebao samo ponavljati tekst Opće uredbe o zaštiti podataka, nego mora pokazati dodanu vrijednost za konkretni sektor ili vrstu obrade.

• jasno obrazloženu svrhu i dodanu vrijednost kodeksa;
• opis sektora, kategorija organizacija i postupaka obrade na koje se kodeks odnosi;
• teritorijalno područje primjene kodeksa;
• identifikaciju nadležnog nadzornog tijela;
• konkretna pravila, standarde i zaštitne mjere za obrade koje kodeks uređuje;
• mehanizme praćenja usklađenosti s kodeksom;
• podatke o tijelu za praćenje, kada je primjenjivo;
• postupke za rješavanje pritužbi i postupanje u slučaju kršenja kodeksa;
• dokaz o savjetovanju s relevantnim dionicima;
• obrazloženje usklađenosti s relevantnim pravom Unije i nacionalnim propisima.

10. Koja pitanja može uređivati kodeks?

Članak 40. Opće uredbe o zaštiti podataka navodi primjere tema koje kodeks može razraditi. Popis nije zatvoren, ali svaka tema mora biti povezana s pravilnom primjenom Opće uredbe o zaštiti podataka u konkretnom kontekstu obrade.

• poštenu i transparentnu obradu;
• legitimne interese voditelja obrade u posebnim kontekstima;
• prikupljanje osobnih podataka;
• pseudonimizaciju osobnih podataka;
• informiranje javnosti i ispitanika;
• ostvarivanje prava ispitanika;
• informiranje i zaštitu djece te način pribavljanja privole nositelja roditeljske odgovornosti;
• mjere odgovornosti, zaštitu podataka po dizajnu i po zadanom te sigurnost obrade;
• postupanje kod povreda osobnih podataka;
• prijenose osobnih podataka trećim zemljama ili međunarodnim organizacijama;
• izvansudsko rješavanje sporova između voditelja obrade i ispitanika.

11. Koji su kriteriji za odobrenje kodeksa?

Kako bi kodeks bio odobren, predlagatelj mora pokazati da kodeks stvarno pridonosi pravilnoj primjeni Opće uredbe o zaštiti podataka i da sadržava učinkovite zaštitne mjere. Smjernice 1/2019 o kodeksu ponašanja i tijelima za praćenjeu skladu s Uredbom 2016/679 posebno naglašavaju da kodeks mora odgovoriti na stvarnu potrebu sektora i biti dovoljno jasan da ga organizacije mogu primijeniti, a tijelo za praćenje provjeravati.

• postojanje stvarne potrebe sektora ili vrste obrade;
• jasna dodana vrijednost u odnosu na opće odredbe Opće uredbe o zaštiti podataka;
• konkretizacija načina primjene Opće uredbe o zaštiti podataka u praksi;
• dostatne i odgovarajuće zaštitne mjere za ispitanike;
• provedivo, neovisno i učinkovito praćenje usklađenosti s kodeksom;
• postupci za pritužbe, sankcije i korektivno postupanje unutar sustava kodeksa.

12. Što su tijela za praćenje kodeksa ponašanja?

Tijelo za praćenje je neovisno i stručno tijelo koje prati pridržavanje odobrenog kodeksa od strane organizacija koje su mu pristupile. Može biti interno ili vanjsko u odnosu na vlasnika kodeksa, ali mora ispuniti zahtjeve neovisnosti, stručnosti, nepristranosti i izbjegavanja sukoba interesa.

13. Kada je potrebno tijelo za praćenje?

Za kodekse koji se odnose na privatne voditelje ili izvršitelje obrade, odnosno na tijela koja nemaju javne ovlasti, kodeks mora sadržavati mehanizme koji omogućuju obvezno praćenje usklađenosti putem akreditiranog tijela za praćenje. Članak 41. stavak 6. Opće uredbe o zaštiti podataka propisuje da se odredbe o tijelima za praćenje ne primjenjuju na obrade koje provode tijela javne vlasti i javna tijela, ali i tada kodeks treba sadržavati djelotvorne mehanizme praćenja i odgovornosti.

14. Koje uvjete mora ispuniti tijelo za praćenje?

Tijelo za praćenje mora dokazati da može stručno, nepristrano i učinkovito nadzirati pridržavanje kodeksa. Njegove zadaće ne smiju dovesti do sukoba interesa, a postupci moraju biti transparentni za članove kodeksa, ispitanike i javnost.

• neovisnost i nepristranost u odnosu na članove kodeksa i sektor;
• odgovarajuću stručnost za predmet kodeksa;
• postupke za procjenu prihvatljivosti organizacija koje žele pristupiti kodeksu;
• postupke za kontinuirano praćenje usklađenosti i periodično preispitivanje djelovanja kodeksa;
• transparentne postupke za zaprimanje i rješavanje pritužbi;
• mehanizme za postupanje u slučaju povrede kodeksa;
• organizacijske, kadrovske i financijske kapacitete za provedbu zadaća.

15. Kako se akreditiraju tijela za praćenje?

Akreditaciju provodi nadležno nadzorno tijelo na temelju zahtjeva iz članka 41. Opće uredbe o zaštiti podataka, EDPB Smjernica 1/2019 i nacionalno odobrenih akreditacijskih zahtjeva. Nadzorno tijelo nacrt zahtjeva za akreditaciju dostavlja Europskom odboru za zaštitu podataka u u okviru mehanizma konzistentnosti. U hrvatskom kontekstu Europski odbor za zaštitu podataka je donio Mišljenje 1/2023 o nacrtu odluke hrvatskog nadzornog tijela o akreditacijskim zahtjevima za tijela za praćenje kodeksa ponašanja.

16. Što se događa ako organizacija krši kodeks?

Tijelo za praćenje, uz odgovarajuće zaštitne mjere, poduzima odgovarajuće radnje u slučaju kršenja kodeksa. Te radnje ne zamjenjuju ovlasti nadzornog tijela prema Općoj uredbi o zaštiti podataka, ali su važan dio sustava odgovornosti i vjerodostojnosti kodeksa.

• upozorenje ili zahtjev za usklađivanje;
• pojačano praćenje ili dodatna provjera;
• privremena suspenzija iz kodeksa;
• isključenje iz kodeksa;
• obavještavanje nadležnog nadzornog tijela o poduzetim mjerama i razlozima za njihovo poduzimanje.

17. Mogu li se kodeksi koristiti za prijenose osobnih podataka izvan EGP-a?

Da, ali samo ako su ispunjeni dodatni uvjeti. Kodeksi se mogu koristiti kao alat za prijenos podataka prema članku 46. stavku 2. točki (e) Opće uredbe o zaštiti podataka kada su odobreni i kada organizacija u trećoj zemlji preuzme obvezujuće i provedive obveze primjene odgovarajućih zaštitnih mjera, uključujući prava ispitanika. EDPB Smjernice 04/2021 dodatno razrađuju tu mogućnost.

18. Gdje se mogu pronaći odobreni kodeksi?

Europski odbor za zaštitu podataka vodi javno dostupan registar odobrenih kodeksa ponašanja, njihovih izmjena i proširenja. U registru se nalaze nacionalni i transnacionalni kodeksi, primjerice EU Cloud Code of Conduct i Data Protection Code of Conduct for Cloud Infrastructure Service Providers (CISPE), uz podatke o području primjene, vlasniku kodeksa i tijelu za praćenje gdje je primjenjivo. U Republici Hrvatskoj u ovom trenutku nema odobrenih kodeksa ponašanja.

19. Što je praktično važno za organizaciju koja razmišlja o pristupanju kodeksu?

Organizacija prije pristupanja treba provjeriti je li kodeks službeno odobren, odnosi li se stvarno na njezin sektor i obrade, koje obveze preuzima, tko prati pridržavanje kodeksa i koje posljedice nastupaju u slučaju nepridržavanja. Pristupanje kodeksu ima smisla samo ako se pravila kodeksa mogu stvarno provesti u praksi i ugraditi u interne procedure, ugovore, evidencije, sigurnosne mjere i edukacije zaposlenika.

 

Kratka kontrolna lista za predlagatelje kodeksa

• Je li jasno koji sektor, vrste organizacija i postupci obrade su obuhvaćeni kodeksom?
• Rješava li kodeks stvarne i prepoznate probleme primjene Opće uredbe o zaštiti podataka u tom sektoru?
• Sadrži li konkretna, provjerljiva i provediva pravila, a ne samo prepisane odredbe Opće uredbe o zaštiti podataka?
• Jesu li provedena savjetovanja s relevantnim dionicima, uključujući predstavnike sektora i, gdje je primjereno, predstavnike ispitanika?
• Jesu li predviđeni učinkoviti mehanizmi praćenja, rješavanja pritužbi i postupanja kod nepridržavanja kodeksa?
• Je li jasno tko je tijelo za praćenje i kako ispunjava zahtjeve neovisnosti, stručnosti i nepristranosti?
• Je li osigurana usklađenost s relevantnim nacionalnim propisima i sektorskim pravilima?