Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 21.04.2020
Naslov: Kodeksi ravnanja
Številka: 07121-1/2020/660
Vsebina: Kodeksi ravnanja
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede kodeksov ravnanja.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov posameznim poslovnim subjektom svetovati, kako organizirati konkretne poslovne procese in v tem okviru obdelovati osebne podatke, niti ne more vnaprej priporočati ali celo potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov.

 

Kot navajate v vašem zaprosilu za mnenje, je Evropski odbor za varstvo podatkov (ang. EDPB) na podlagi Splošne uredbe o varstvu podatkov sprejel in na svoji spletni strani objavil Smernice o kodeksih ravnanja in nadzornih telesih. Smernice (v angleškem jeziku) so dostopne na spodnji povezavi:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf

 

Smernice lahko predstavljajo izjemno koristno orodje pri pripravi kodeksov ravnanja, saj pojasnjujejo številna vprašanja v zvezi z njihovo pripravo in postopkom sprejema. IP zato zaenkrat ne pripravlja lastnih smernic. Trenutno so aktivnosti IP na področju kodeksov usmerjene v pripravo osnutka zahtev za akreditacijo nadzornih teles, katerih naloga je spremljanje skladnosti izvajanja kodeksa ravnanja. Tudi ostali evropski nadzorni organi trenutno veliko pozornosti namenjajo spremljanju izvajanja kodeksa, mehanizmom in postopkom, ki bodo to omogočali, ter samim organom, ki bodo to izvajali, zlasti njihovi organizacijski strukturi in neodvisnosti.

IP nadalje pojasnjuje, da kljub temu, da priprava kodeksov ravnanja temelji na prostovoljni podlagi, IP vsekakor spodbuja pripravo kodeksov ravnanja, če se v določenem sektorju oceni, da bi to lahko prispevalo k pravilni uporabi Splošne uredbe o varstvu podatkov. Ob tem IP pojasnjuje, da kakršnikoli vzorci kodeksov ravnanj po našem vedenju ne obstajajo. Prav tako trenutno nam trenutno še niso znani konkretno vzpostavljeni primeri dobrih praks, in sicer tako na državni kot na evropski ravni.

 

IP posebej poudarja, da Splošna uredba o varstvu podatkov v 5. odstavku 40. člena določa, da združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55 (v Sloveniji je pristojni nadzorni organ IP), ki poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s Splošno uredbo o varstvu podatkov, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.

 

Vloga IP je torej ocena predloženega kodeksa ravnanja in posledično njegova potrditev ali zavrnitev. Vloga IP torej ni in ne more biti sodelovanje pri pripravi kodeksov ravnanja, ampak je to naloga pripravljavcev. V skladu z drugim odstavkom 41. člena Splošne uredbe o varstvu podatkov gre za združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev. Bistveno je torej, da ne gre za posameznega upravljavca ali obdelovalca, temveč predlagatelj predstavlja vrste upravljavcev ali obdelovalcev, ter da pripravljavec jasno opredeli dejanja obdelave in področje (sektor), kjer se bo kodeks uporabljal.

 

IP sklepno dodaja, da je vsebina kodeksov ravnanja primeroma našteta v drugem odstavku 40. člena Splošne uredbe o varstvu podatkov, in sicer se lahko kodeksi ravnanja pripravijo, spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:

  • poštene in pregledne obdelave;
  • zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;
  • zbiranja osebnih podatkov;
  • psevdonimizacije osebnih podatkov;
  • obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;
  • uresničevanja pravic posameznikov, na katere se nanašajo osebni podatki;
  • obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;
  • ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;
  • uradno obveščanje nadzornih organov o kršitvah varnosti osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah;
  • prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali
  • izvensodni postopki in  drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka