1. Koja je uloga/namjena kodeksa ponašanja ili certificiranja u smislu Opće uredbe?

Poštivanje i potpuna sukladnost s odobrenim kodeksom ponašanja ili odobrenim certificiranjem zaštite podataka bi mogli služiti kao važno sredstvo za dokazivanje sukladnosti sa Općom uredbom u odnosu na teme obuhvaćene u takvim kodeksima ili certifikacijama. 

2. Tko odlučuje hoće li organizacija biti uključena u navedeno?

To će na kraju ostati na voditelju obrade – ne na službeniku – naime, odlučiti pristati uz relevantan kodeks ponašanja za sektor u kojem organizacija djeluje, ili pak tražiti dobivanje certifikata zaštite podataka tipa zamišljenog u Uredbi (vidi Čl. 40 – 43).

Međutim, bilo bi sasvim prihvatljivo da DPO predloži takvu akciju.

3. Na koji način službenik može doprinijeti u smislu kodeksa ponašanja?

Moglo bi biti prilično prikladno da službenici iz organizacija koje rade u određenom sektoru budu uključeni u sastavljanje kodeksa ponašanja za taj sektor, iako bi to također trebalo uključivati pravnika i osoblje sektorske organizacije pod čijim se krilom kodeks izrađuje (uključujući posebice ICT osoblje ako se kodeks dotiče tehničkih pitanja, kao što su ICT sigurnost, enkripcija itd.).

4. Na koji način službenik može doprinijeti u smislu certificiranja određenog postupka obrade?

Službenik može također pomoći kod dobivanja certificiranja za svoju organizaciju i to pomažući kod sastavljanja ili pružanja certifikacijskom tijelu „svih informacija i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu“.

Međutim, kada se certifikacijska shema oslanja na procjenu postupaka obrade osobnih podataka voditelja obrade od strane  jednog ili više neovisnih stručnjaka akreditiranog od strane nadležnog Certifikacijskog tijela (kako je napravljeno u glavnoj trenutnoj shemi u EU,  European Privacy Seal [EuroPriSe] shema), DPO ne može djelovati u toj ulozi: to bi predstavljalo sukob interesa.

https://www.european-privacy-seal.eu/EPS-en/fact-sheet

5. Koje bi bile dobrobiti certificiranja?

U smislu da prikazuje da su voditelj obrade i njegovi zaposlenici pažljivo pregledali sve implikacije privatnosti/zaštite podataka relevantnih postupaka obrade osobnih podatka; identificirali su i kvantificirali uključene rizike za temeljna prava pogođenih pojedinaca; te su usvojili odgovarajuće mjere za ublažavanje rizika.

Prednost certifikacije pred time je da evaluaciju rade vanjski, neovisni stručnjaci. Međutim, mnogo će toga ovisiti o kvaliteti akreditiranih certifikacijskih shema o tome kako će se odnositi prema izvršavanju od strane DPA.