Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 01.03.2018
Naslov: Potrjevanje kodeksov ravnanj
Številka: 0712-1/2018/455
Vsebina: Razno
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas sprašujete za mnenje glede kodeksov ravnanja, in sicer:

  1. Ali obstaja kakšen splošen vzorec in ali bi ga bilo moč dobiti kot osnovo (morebiti samo kot kazalo), da se vidi, kaj so pričakovanja IP, da bi moralo biti zapisano v kodeksu ravnanj.
  2. Koliko časa predvidevate, da bo trajal postopek potrjevanja kodeksa ter kolikšen bo predviden strošek?
  3. Za koliko časa bo IP potrdil kodeks ravnanj?
  4. Ker se lahko kodeksi ravnanj v potrditev predložijo šele z nastopom uredbe (GDPR), ali to pomeni, da bodo imele podpisnice kodeksa, kakšno prehodno obdobje za »prevzem« oziroma olajševalne okoliščine glede nadzora v obdobju do potrditve? Po razmisleku glede logistike pristopa namreč nastane vrzel glede izpolnjevanja zahtev uredbe in potrjevanja v praksi. Npr. v kolikor bi npr. 26. 5. nekdo vložil prijavo zoper eno izmed podpisnic kodeksa, ko kodeks še ne bi bil potrjen - kaj bi to pomenilo z vidika skladnosti po uredbi za podpisnice kodeksa z vidika inšpekcijskega in prekrškovnega postopka in odgovornosti?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Informacijski pooblaščenec (IP) potrjuje, da Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba) stopi v uporabo 25. 5. 2018

 

Ad 1

Vzorci kodeksov ravnanj po našem vedenju ne obstajajo. Možno je, da so določena združenja že pristopila k oblikovanju kodeksov ravnanj, nimamo pa informacij, da bi bil kakšen kodeks že dokončan. Upoštevati je namreč treba, da morajo kodeksi pokrivati (izbrane) vsebine iz uredbe ter da jih pred 25. 5. 2018 ni mogoče predložiti v potrditev. IP bo sicer pristopil k pripravi smernic za pripravo kodekse ravnanj, ne moremo pa napovedati, kdaj bodo sprejete. Vsekakor pa bo IP svoje delovanje tudi v tem delu usklajeval s smernicami in prakso Evropskega odbora za varstvo podatkov (EOVP). Odbor na področju kodeksov je s pripravo smernic šele začel, njihov sprejem pa je načrtovan v letu 2018.

 

Ad 2

Na vprašanje, ali bo potrjevanje kodeksov ravnanj, ki bodo predloženi IP, v osnovi brezplačno, zaenkrat dokončnega odgovora ni mogoče podati. V osnutkih novega Zakona o varstvu osebnih podatkov (ZVOP-2) pa ni bilo nikjer moč zaslediti, da bi bilo predvideno zaračunavanje stroškov potrjevanja kodeksa. Kar lahko pride v poštev je mogoče upravna taksa, ki npr. pri vlogi za odobritev izvajanja biometrijskih ukrepov trenutno zanaša 22,60 EUR.

 

Osnutek ZVOP-2 z dne 23. 1. 2018 je glede kodeksov ravnanj predvideval, da IP po prejemu osnutka izvede ugotovitveni postopek, v okviru katerega pod pogoji iz petega odstavka člena 40 uredbe ugotovi, ali je predloženi osnutek kodeksa skladen z uredbo. Če IP v ugotovitvenem postopku ugotovi, da osnutek kodeksa ni skladen z uredbo, o tem izda odločbo. Zoper odločbo pritožba ni dopustna, je pa dopusten upravni spor. Rok za odločanje IP tako trenutno ni predviden in je vsekakor odvisen od okoliščin posameznega primera, okvirno pa predvidevamo, da bi bilo v primeru kodeksov, ki ne vključujejo usklajevanja na ravni Evropskega odbora za varstvo podatkov, kot možen časovni okvir mogoče predvideti rok dveh mesecev od prejema popolne vloge do izdaje ustrezne potrditve oz. odločbe. Takšni roki so npr. predvideni pri drugih ugotovitvenih postopkih, pri izdajanju dovoljenj za uporabo biometrijskih ukrepov po ZVOP-1.

 

Ad 3

Uredba ne predvideva roka, v katerem bi kodeks ravnanja samodejno potekel oziroma bi ga bilo potrebno obnoviti. Menimo, da bi bilo smiselno v samem kodeksu opredeliti čas njegove veljavnosti, po preteku tega roka pa izvesti morebitne spremembe (dopolnitev, razširitev ipd.) in jih dati v ponovno potrditev. Kakšen bi bil ustrezen rok, je težko oceniti vsekakor pa v odvisnosti od kompleksnosti in obsežnosti materije, ki jo kodeks pokriva, ter drugih okoliščin. Kot rečeno, pa je to odločitev, ki jo morajo sprejeti podpisnice kodeksa, pri čemer je treba vedno upoštevati morebitne zunanje okoliščine, ki vplivajo na vsebino kodeksa. Kolikor bi se spremenile potrebe ali okoliščine, ki bi terjale razširitev kodeksa ali njegovo dopolnitev (npr. da bi želele podpisnice potrjeni kodeks razširiti z dodatnimi vsebinami iz nabora točk 40 (2a) do (2j) uredbe ali da bi v praksi ali v okviru predpisov prišlo do sprememb zahtev glede varstva podatkov oziroma obveznosti upravljavcev in/ali obdelovalcev), se lahko takšen osnutek razširjenega kodeksa predloži v potrditev tudi pred potekom roka veljavnosti prvotnega kodeksa, velja pa z dnem potrditve IP.

 

Ad 4

Po našem razumevanju uredbe se lahko kodeksi ravnanja predložijo v potrditev po 25. 5. 2018. V času do potrditve kodeksa s strani IP podpisnice kodeksa ne uživajo nobenih olajševalnih okoliščin ali prehodnega obdobja, saj gre pri kodeksih za prostovoljno podlago, določbe uredbe pa so zavezujoče ne glede na to, ali je kodeks potrjen ali ne. Združenja in podobne asociacije upravljavcev se vseeno spodbuja, da pristopijo k začetku pripravi kodeksov ravnanj že pred dnem uporabe uredbe ter seveda k ravnanju skladno z njimi in zahtevami uredbe. Ne glede na navedeno pa se nam zdi razumno in legitimno, da se že v času med vloženim in potrjenim kodeksom s strani IP to upošteva, kot dodatno okoliščino, pri morebitnem izvajanju inšpekcijskega nadzora pri podpisnicah predloženega kodeksa. Vsekakor pa vedno velja, da je kodeks element izkazovanja skladnosti, ki velja zgolj toliko kolikor se ga v praksi izvaja. Zato bi moral IP v okviru inšpekcijskega nadzora vedno upoštevati vse vidike spoštovanja uredbe in tudi vsako prijavo obravnavati z vidika dolžnosti po uredbi.

 

V primeru ugotovljenih nepravilnosti bi moral inšpektor ustrezno ukrepati ne glede na dejstvo, da gre za upravljavca ali obdelovalca, ki je pristopil h kodeksu ali je še pred podano prijavo oz. začetkom inšpekcijskega postopka v potrditev predložil kodeks ravnanja. Podobna situacija lahko nastane pri postopku certificiranja (zelo verjetno gre celo za precej daljši razpon med datumom začetka uporabe uredbe in datumom izdaje prvih certifikatov) – upravljavec, ki predloži vlogo za certifikat ne pred izdajo ne po izdaji certifikata ne uživa zmanjšane odgovornosti, kot to izrecno določa 42. člen uredbe – potrdilo oz. certifikat v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost z uredbo ter ne posega v naloge in pooblastila nadzornih organov. Sama pobuda podpisnic k pristopu in predložitvi kodeksa ravnanja v potrjevanje bi sicer morala biti razumljena kot izkaz odgovornega pristopa k ustreznemu varovanju osebnih podatkov, ki pa se mora primarno odražati v praksi, sicer nima vrednosti. Po dnevu potrditve kodeksa pa je treba vsekakor računati, da se lahko tudi pri podpisnicah kodeksa izvede inšpekcijski nadzor, saj naj bi bil IP glede na osnutek ZVOP-2 pooblaščen organ za spremljanje izvajanja kodeksov ravnanja.

 

Upoštevati je treba, da je bilo zadevno mnenje izdano pred sprejemom ZVOP-2 v Državnem zboru.

 

Lep pozdrav,

 

                                                                                              Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                               informacijska pooblaščenka

Pripravil:                                                                                                                                

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke