Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Kodeksi ravnanja

+ -

Na kratko

Kaj so kodeksi ravnanja?

Kateri so pogoji za obravnavo kodeksa?

Katera so merila za odobritev kodeksov?

Kako poteka potrditev kodeksov ravnanja?

Kdo spremlja odobrene kodekse ravnanja?

Koristni nasveti in več informacij

Na kratko

Kodeksi ravnanja so eno izmed prostovoljnih orodij za zagotavljanje načela odgovornosti na področju varstva osebnih podatkov. Določajo posebna pravila o varstvu osebnih podatkov za določene kategorije upravljavcev in obdelovalcev. S kodeksi ravnanja se zagotavljajo najboljše prakse in pravila, ki so oblikovana posebej za določen sektor, s čimer se izboljša skladnost z zakonodajo o varstvu osebnih podatkov.  

  • Kodeksi ravnanja lahko obsegajo teme, kot so: poštena in pregledna obdelava, zbiranje osebnih podatkov, psevdonimizacija osebnih podatkov, tehnični in organizacijski ukrepi, informiranje posameznikov, itd.
  • Pred vsebinsko obravnavo kodeksa ravnanja mora biti izpolnjenih več pogojev, npr. kodeks mora biti primerno obrazložen, predložiti ga mora združenje oziroma konzorcij združenj ali drugi organi, ki predstavljajo kategorije upravljavcev ali obdelovalcev, določeno mora biti področje uporabe, itd.
  • Tvorci kodeksov bodo morali dokazati, kako bo njihov kodeks pripomogel k pravilni uporabi Splošne uredbe, npr. pojasniti in opredeliti težave, ki bi jih kodeks naj reševal ter utemeljiti, kako bodo rešitve učinkovite tako za člane, kot tudi za posameznike, na katere se nanašajo osebni podatki.
  • Če je nacionalni kodeks potrjen, ga bo IP registriral in objavil na svoji spletni strani.
  • Nadnacionalni kodeks je treba predložiti pristojnemu nadzornemu organu, ki je glavni organ za odobritev kodeksa. O nadnacionalnem kodeksu izda mnenje Evropski odbor za varstvo podatkov.
  • V okviru kodeksa morajo biti določeni mehanizmi za spremljanje skladnosti in organi za spremljanje, ki se akreditirajo na podlagi meril za organe za spremljanje kodeksa.
  • RELEVANTNI ČLENI UREDBE
    Uvodne določbe: 77, 81, 98, 99, 148 in 168
    Členi: 24, 28, 35, 40, 41, 46, 57, 64 in 70
  • OBVEZNO BRANJE 
  • Smernice št. 1/2019 o kodeksih ravnanja in organih za spremljanje na podlagi Uredbe (EU) 2016/679
  • Smernice št. 4/2021 o kodeksih ravnanja kot orodju za prenose
  • Register potrjenih kodeksov ravnanja skladno s Splošno uredbo

Kaj so kodeksi ravnanja?

Kodeksi ravnanja so prostovoljna orodja za zagotavljanje odgovornosti, ki določajo posebna pravila o varstvu podatkov za določene kategorije upravljavcev in obdelovalcev. Predstavljajo lahko koristno in učinkovito orodje za zagotavljanje načela odgovornosti, ki podrobno opredeljujejo najprimernejša, zakonita in etična ravnanja v posameznem sektorju. 

Kodeksi ravnanja se lahko uporabijo kot pravilniki za upravljavce in obdelovalce v določenem sektorju, ki načrtujejo oziroma izvajajo dejavnosti obdelave osebnih podatkov, skladne s Splošno uredbo. Pripravijo jih združenja oz. druga telesa, ki predstavljajo vrste upravljavcev in obdelovalcev (npr. trgovinska združenja, združenja bank, zavarovalnic, zveze neprofitnih organizacij).

Splošna uredba primeroma določa, katere teme lahko obsegajo kodeksi in sicer:

- poštena in pregledna obdelava;

- zakoniti interesi, za katere si prizadevajo upravljavci v posebnih okoliščinah;

- zbiranje osebnih podatkov;

- psevdonimizacija osebnih podatkov;

- informiranje posameznikov glede obdelave osebnih podatkov;

- uveljavljanje pravic posameznikov;

- informiranje in zaščita otrok (vključno z mehanizmi za pridobitev soglasja staršev);

- tehnični in organizacijski ukrepi (vključno z vgrajenim in privzetim varstvom podatkov in varnostnimi ukrepi);

- obveščanje o kršitvah;

- prenosi podatkov zunaj EU ali

- postopki za reševanje sporov.

Kodeksi omogočajo, da se določijo pravila, ki praktično, pregledno in stroškovno učinkovito pripomorejo k pravilni uporabi Splošne uredbe, pri čemer se upoštevajo posebne značilnosti za določen sektor. Upravljavci in obdelovalci lahko s kodeksi določijo določena pravila dobre prakse za svoj sektor in ponudijo praktične rešitve za težave, ki jih odkrijejo v zvezi z dejavnostmi obdelave. Posebej koristno orodje so lahko za mala in srednja podjetja, saj jim lahko omogočijo, da z nižjimi stroški učinkovito dosežejo skladnost z določbami o varstvu osebnih podatkov.

Kateri so pogoji za obravnavo kodeksa?

Preden pristojni nadzorni organ prične s celovito presojo kodeksa, mora biti izpolnjenih več pogojev:

  1. Osnutek kodeksa ravnanja mora vsebovati jasno in jedrnato obrazložitev glede namena kodeksa, njegovega področja uporabe in načina pospešitve uporabe Splošne uredbe.
  2. Kodeks ravnanja mora predložiti združenje oziroma konzorcij združenj ali drugi organi, ki predstavljajo kategorije upravljavcev ali obdelovalcev (npr. trgovinska združenja, sektorske organizacije, interesne skupine, itd.).
  3. Osnutek kodeksa mora imeti določeno področje uporabe (vprašanja obdelave in praktične rešitve) ter kategorije upravljavcev oz. obdelovalcev, ki se s kodeksom urejajo.
  4. Opredeljeno mora biti, ali gre za nacionalni kodeks ali za nadnacionalni kodeks (ki zajema več jurisdikcij). Če gre za nadnacionalni kodeks je treba navesti vse zadevne nadzorne organe, osnutek kodeksov pa mora biti predložen pristojnemu nadzornemu organu.
  5. V osnutku kodeksa morajo biti opredeljeni mehanizmi, ki omogočajo deležnikom spremljanje skladnosti z njegovimi določbami (velja za javni in zasebni sektor).
  6. Kadar gre za dejavnosti obdelave zasebnega sektorja, mora biti opredeljen tudi organ za spremljanje in mehanizmi, ki mu omogočajo izvajanje njegovih funkcij.
  7. Pri oblikovanju kodeksa je priporočljivo izvesti posvetovanje z ustreznimi deležniki (npr. s člani organizacije, ki nastopa kot tvorec kodeksa), vključno s posamezniki, na katere se nanašajo osebni podatki.
  8. Zagotoviti je treba, da je upoštevana vsa nacionalna zakonodaja, zlasti kadar področje ureja posebna sektorska zakonodaja.
  9. Načeloma mora biti osnutek kodeksa predložen v slovenskem jeziku. V kolikor gre za nadnacionalni kodeks, bi moral biti predložen tudi v angleškem jeziku.

Katera so merila za odobritev kodeksov?

Tvorci kodeksov bodo morali dokazati, kako bo njihov kodeks pripomogel k pravilni uporabi Splošne uredbe, pri čemer se upoštevajo posebne značilnosti različnih sektorjev za obdelavo ter posebne zahteve in obveznosti upravljavcev in obdelovalcev, na katere se nanaša. Dokazati je tako treba, da osnutek kodeksa:

  1. izpolnjuje posamezno potrebo tega sektorja ali dejavnosti obdelave - tvorci kodeksa morajo pojasniti, katere težave določenega sektorja bi naj kodeks naslavljal in kako bodo rešitve učinkovite in koristne tako za člane, kot za posameznike, katerih osebne podatke se obdeluje;
  2. pospešuje uporabo Splošne uredbe - kodeks mora jasno določiti posebno uporabo Splošne uredbe in opredeliti teme, ki so v posameznem sektorju posebej pomembne;
  3. podrobno opredeljuje uporabo Splošne uredbe - v kodeksu mora biti konkretno, praktično in točno določeno, kako se uporablja Splošna uredba;
  4. zagotavlja zadostna varovala za ublažitev tveganj glede obdelave osebnih podatkov (npr. v zvezi z obdelavo zdravstvenih osebnih podatkov) in
  5. zagotavlja učinkovite mehanizme za spremljanje skladnosti s kodeksom - opredeljeni morajo biti postopki, ki zagotavljajo učinkovito spremljanje in pregon kršitev (npr. zahteve po reviziji, poročanju, jasna obravnava pritožb, sankcije v primeru kršitev, itd.).

Kako poteka potrditev kodeksov ravnanja?

Osnutek nacionalnega kodeksa se predloži Informacijskem pooblaščencu (IP) v elektronski ali pisni obliki. IP bo preveril, ali osnutek izpolnjuje zgoraj določene pogoje, nato bo njegovo vsebino celovito ovrednotil. Tvorci kodeksa bodo o odločitvi IP obveščeni. V kolikor bo kodeks potrjen, ga bo IP registriral in objavil na svoji spletni strani. Tvorci kodeksa lahko naknadno v odobritev predložijo tudi posodobljeno verzijo kodeksa (spremenjeno ali razširjeno verzijo).

Nadnacionalni kodeks je treba predložiti pristojnemu nadzornemu organu, ki je glavni organ za odobritev kodeksa. O predložitvi kodeksa bo obvestil vse druge nadzorne organe, ki bodo morali potrditi, ali so zadevni nadzorni organi. Določena bosta največ dva sopregledovalca, ki bosta pomagala pri vsebinski oceni kodeksa. Pristojni nadzorni organ bo sprejel končno odločitev, ali se osnutek predloži Evropskem odboru za varstvo podatkov, ki o osnutku kodeksa izda mnenje. Če je osnutek kodeksa potrjen, se osnutek, sprememba ali razširitev posreduje Komisiji, ki lahko z izvedbenim aktom določi, da bo odobreni nadnacionalni kodeks splošno veljaven v EU.

Evropski odbor za varstvo podatkov na svoji spletni strani vzdržuje register odobrenih kodeksov ravnanja ter njihove spremembe oz. razširitve.

Kdo spremlja odobrene kodekse ravnanja?

V okviru kodeksa morajo biti določeni notranji ali zunanji organi za spremljanje, ki opravljajo nadzorno funkcijo in zagotavljajo, da člani upoštevajo njegova določila. Organ za spremljanje mora imeti ustrezno raven strokovnega znanja in je lahko npr. notranji odbor ali pa neodvisen oddelek znotraj tvorca kodeksa. V primeru kršitev s strani upravljavca ali obdelovalca lahko sprejme ustrezne ukrepe, npr. upravljavcu ali obdelovalcu lahko začasno ali dokončno prepove uporabo kodeksa.

Pristojni nadzorni organ mora organ za spremljanje akreditirati na podlagi zahtev za akreditacijo organa za spremljanje. Osnutek zahtev za akreditacijo, ki jih pripravi posamezni nadzorni organ za varstvo osebnih podatkov, predhodno odobri EDPB.

Organi za spremljanje morajo izpolnjevati določene zahteve, kot so neodvisnost (npr. glede financiranja, imenovanja osebja, postopka odločanja, organizacije), neobstoj navzkrižja interesov, strokovno znanje, obstoj ustrezne strukture in postopkov upravljanja (npr. za spremljanje skladnosti z določbami kodeksa) in obstoj učinkovitih postopkov za pregledno obravnavanje pritožb.  

Določba Splošne uredbe glede spremljanja odobrenih kodeksov ravnanja pa se ne uporablja za javne organe, kar pa ne pomeni, da se zanje ne izvajajo drugi učinkoviti mehanizmi za spremljanje kodeksa (npr. v okviru revizije).

Koristni nasveti in več informacij

Postopek ocene osnutka kodeksa ni priložnost za nadaljnje posvetovanje z nadzornim organom o določbah predloženega kodeksa. Na tej stopnji je komunikacija med tvorci kodeksa in IP namenjena zgolj pojasnjevanju in pomoči pri izvedbi vrednotenja skladno s Splošno uredbo. Priporočamo, da se tvorci kodeksa glede morebitnih usmeritev in priporočil na IP obrnejo še pred formalno predložitvijo kodeksa.

Priporočamo, da se v proces priprave osnutka kodeksa vključi tudi pooblaščena oseba za varstvo podatkov (DPO), če je imenovana, kakor tudi druge osebe s potrebnimi znanji (osebje sektorske organizacije, npr. pravniki in IT sodelavci). Ob tem opozarjamo, da DPO zaradi navzkrižja interesov ne more sodelovati v organu za spremljanje.

Podrobnejše informacije o predložitvi in obravnavi kodeksov ravnanja so dostopne v Smernicah št. 1/2019 o kodeksih ravnanja in organih za spremljanje na podlagi Uredbe (EU) 2016/679.  Dodatna vprašanja lahko naslovite na IP.

Kodeksi so lahko tudi učinkovit mehanizem na področju mednarodnih prenosov. Določbe Splošne uredbe omogočajo tretjim osebam, da se dogovorijo o spoštovanju odobrenih kodeksov in izpolnijo zahteve za zagotovitev ustreznih varoval v zvezi z mednarodnimi prenosi osebnih podatkov v tretje države. Več o tem si lahko preberete v Smernicah št. 4/2021 o kodeksih ravnanja kot orodju za prenose.