V současné době je oblast ochrany osobních údajů upravena zákonem č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Tento zákon byl vytvořen na základě směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. V průběhu času se začalo ukazovat, že tato směrnice již zastarává a neupravuje některé důležité oblasti, v nichž dochází k rozsáhlému zpracování osobních údajů. Dne 27. 4. 2016 proto schválil Evropský parlament konečnou podobu Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)1) – dále jen „Nařízení“, kterému je věnován tento příspěvek.
Kodexy chování podle Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů
JUDr.
Eva
Janečková
Nová možnost vytváření Kodexů chování
Byla tak vytvořena nová pravidla ochrany osobních údajů. Nařízení Evropské unie (EU) jsou pro členské státy závazná a přímo použitelná. Nařízení, které začne platit od 25. 5. 2018, musí členské země do 6. 5. 2018 převést do vnitrostátní legislativy.
Cílem nové úpravy je sjednocení úrovně ochrany soukromí a jejího vymáhání ve všech členských státech. Změny, které Nařízení přinese, jsou poměrně rozsáhlé. Nařízení upravuje některé již známé instituty novým způsobem, ale přináší i celou řadu novinek.
Mezi tyto novinky patří i možnost vytváření tzv. Kodexů chování, která je mimo jiné upravena v článku 40. Povinnost vytvořit
Kodex
chování není Nařízením stanovena striktně, text používá podmiňovací způsob a vyznívá spíše jako doporučení.Recitál 98 konstatuje, že:
„Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů by měly být vybízeny k tomu, aby v mezích tohoto nařízení vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování prováděného v některých odvětvích a specifických potřeb mikropodniků a malých a středních podniků. Tyto kodexy chování by zejména mohly upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob.“
Sám článek 40 uvádí, že:
„Členské státy, dozorové úřady, sbor a Komise podporují vypracování kodexů chování, které mají přispět k řádnému uplatňování tohoto nařízení s ohledem na konkrétní povahu různých odvětví provádějících zpracování a na konkrétní potřeby mikropodniků a malých a středních podniků.“
Kodex
chování tak nemusí vytvořit každý správce či zpracovatel zvlášť, ale může být vytvořen oborově.2)Vedle správců a zpracovatelů, na něž se Nařízení vztahuje, mohou Kodexy chování dodržovat i správci nebo zpracovatelé, na něž se Nařízení nevztahuje. Místní příslušnost nového Nařízení je poměrně široká. Regulace se bude vztahovat na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU bez ohledu na to, zda zpracování probíhá v EU či mimo ni. Zároveň se bude vztahovat i na firmy v EU neusazené, budou-li zpracovávat osobní údaje fyzických osob, které se nacházejí v EU. Typicky půjde o nabízení zboží a služeb v členských státech nebo monitorování chování osob na jejich území (článek 3 Nařízení). Dodržování Kodexu chování subjektů, na něž se Nařízení nevztahuje tak bude cílit především na subjekty, které budou předávat osobní údaje do třetích zemí nebo mezinárodním organizacím.
Vytvoření Kodexu chování bude ku prospěchu správce nebo zpracovatele osobních údajů, neboť bude jedním z prvků, jimiž bude možné doložit, že plní příslušné povinnosti.
Úprava Kodexů a jejich schvalování
Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů mohou vypracovávat Kodexy chování nebo tyto Kodexy upravovat či rozšiřovat, a to s cílem upřesnit uplatňování ustanovení tohoto Nařízení, mimo jiné pokud jde o:
a)
spravedlivé a transparentní zpracování,
b)
oprávněné zájmy, jež správci v konkrétních situacích sledují,
c)
shromažďování osobních údajů,
d)
pseudonymizaci osobních údajů3),
e)
informace poskytované veřejnosti a subjektů údajů,
f)
výkon práv subjektů údajů,
g)
informace poskytované dětem a jejich ochranu a způsob získávání souhlasu nositele rodičovské zodpovědnosti nad dítětem,
h)
opatření a postupy uvedené v článcích 24 a 25 Nařízení a opatření k zajištění bezpečnosti zpracování,
i)
ohlašování případů porušení zabezpečení osobních údajů dozorovým úřadům a oznamování těchto případů porušení subjektům údajů,
j)
předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, nebo
k)
mimosoudní vyrovnání a jiné postupy pro řešení sporů mezi správci a subjekty údajů v souvislosti se zpracováním, aniž by byla dotčena práva subjektů údajů.
Nařízení stanoví i postup, jakým mají být Kodexy chování schvalovány. Připravený návrh Kodexu musí být předložen dozorovému úřadu konkrétního státu. Dozorový úřad následně vydá stanovisko k tomu, zda je daný návrh Kodexu nebo návrh na úpravu či rozšíření Kodexu v souladu s Nařízením. Pokud shledá, že tento návrh nebo návrh na úpravu či rozšíření Kodexu poskytuje dostatečně vhodné záruky, schválí jej, zaregistruje a zveřejní. Tento postup platí, pokud jde o
Kodex
, který se bude vztahovat na zpracování osobních údajů na území jednoho státu. V případě, že by se
Kodex
měl týkat zpracování v několika členských státech, musí ho dozorový úřad, jemuž byl Kodex
předložen jako prvnímu, před jeho schválením postoupit sboru4), a ten vydá stanovisko k tomu, zda je návrh Kodexu nebo návrh na úpravu či rozšíření Kodexu v souladu s Nařízením nebo zda v případě předávání osobních údajů do třetích zemí nebo mezinárodním organizacím poskytuje vhodné záruky.Pokud sbor svým stanoviskem potvrdí, že
Kodex
chování nebo návrh na úpravu či rozšíření Kodexu je v souladu s Nařízením nebo že poskytují vhodné záruky, předloží sbor své stanovisko Komisi, která může rozhodnout, že schválený Kodex
má všeobecnou platnost v rámci EU.Zdroj: Odborný portál DAUC.cz, 2017.
1) Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
2) V říjnu roku 2016 oznámilo vytvoření Kodexu chování sdružení poskytovatelů cloudových služeb. Nově utvořená
koalice
skládající se z více než 20 poskytovatelů cloudových infrastruktur působících v Evropě (CISPE – Cloud Infrastructure Services Providers in Europe) oznamuje vydání prvního Kodexu chování pro ochranu dat, který od poskytovatelů cloudových infrastruktur vyžaduje, aby umožnili svým zákazníkům ukládat a zpracovávat svá data výlučně v rámci území EU/EHP. V rámci Kodexu chování CISPE nesmí poskytovatelé cloudových infrastruktur analyzovat či profilovat osobní data svých zákazníků pro účely marketingu a reklamní ani podobné aktivity, ať už pro své vlastní potřeby, nebo pro prodej třetím stranám. Kodex
CISPE předchází aplikaci nového evropského Všeobecného nařízení o ochraně osobních údajů (GDPR). Dostupné z: http://businessworld.cz/cloud/prvni-kodex-chovani-pro-ochranu-dat-v-cloudu-podepsan-13186. 3) Účelem pseudonymizace je sběr dat o osobě, aniž by byla známa její identita. Klasickým příkladem pseudonymizace jsou například kódované údaje. Pseudonymizované údaje musí být v mnoha případech považovány za údaje osobní, protože existuje možnost zpětné identifikace osob. Zpětná identifikace osob (změna pseudonymních údajů zpět na údaje osobní) je zpravidla možná prostřednictvím klíče, který vlastní společnost, jež tyto údaje zpracovává, nebo třetí strany. V případě, že taková zpětná identifikace již není možná, lze údaje považovat za anonymizované. Ochrana osobních údajů v cloudu, dostupné z: http://www.forum-media.cz/res/data/021/002783.pdf.
4) Evropský sbor pro ochranu osobních údajů zřízený tímto Nařízením.