Course sections

Кодекс за поведение , Lecture 3

Механизъм

Основната цел на кодекса за поведение е да очертае и даде насоки на съответните заинтересовани страни как да постигнат съответствие с новосъздаденото вторично законодателство. Сдруженията и другите структури, представляващи категории администратори или обработващи, могат да изготвят кодекси за поведение, за да улеснят ефективното и правилно прилагане на регламента, като вземат предвид специфичните характеристики на обработката, извършвана в определени сектори, и специфичните нужди на микро, малки и средни предприятия.

Кодексът за поведение може да обхваща области, свързани и включващи:

• добросъвестното и прозрачно обработване;
• законните интереси, преследвани от администраторите в конкретни аспекти;
• събирането на лични данни;
• псевдонимизация (обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано);
• упражняване на правата на физическите лица;
• мерки за гарантиране на сигурността;
• уведомяване за нарушения на сигурността на данните;
• закрилата на децата и начина за получаване на съгласие от носещите родителска отговорност;
• предаване на лични данни на трети държави или международни организации.
• Кодексите за поведение се одобряват и наблюдават от надзорния орган съгласно член 41 от регламента. Освен това те следва да включват разпоредби, позволяващи задължително наблюдение на спазването от страна на определен орган, без да се засягат задачите и правомощията на надзорния орган. За да бъде той акредитиран от надзорния орган, трябва да демонстрира:
• независимост и експертиза;
• установени процедури, даващи му възможност да направи оценка на допустимостта на съответните администратори и обработващи лични данни да прилагат кодекса, да наблюдава дали те спазват разпоредбите на кодекса и периодично да прави преглед на неговото функциониране;
• способност за разглеждане на жалби относно нарушения;
• избягване на конфликти на интереси.

Акредитацията се отнема, ако не се изпълняват нейните условия.

Спазването на кодекс за поведение е свързано с ценностите на марката и посланието към партньори и клиенти. Сред по-известните начини за демонстриране на съответствие е фактът, че съответните заинтересовани страни са в състояние да посрещнат основните права на субекта на данни или са предприели подходящите технически и организационни мерки, както се посочва в съображение 78 на ОРЗД, отнасящи се до вътрешните политики и мерките, които отговорните органи са предприели да посрещнат принципите за защита на данните на етапа на проектирането и по подразбиране.

След като кодексът за поведение е подготвен, той да бъде одобрен от надзорния орган, който е компетентен в съответствие с член 55, и наред с другото, ако разполага с достатъчно подходящи гаранции може да одобри проекта на кодекс (неговото изменение или допълнение). Ако кодексът за поведение засяга няколко държави членки, като например доставчиците на услуги в облачна инфраструктура, ЕКЗД също трябва да се произнесе, а след това и ЕК трябва да го провери.

Някои от предимствата на спазването на кодексите за поведение включват: създаване на по-голямо доверие (повишаване на нивото на доверие чрез демонстриране на достатъчно подходящи гаранции) в бизнеса, който предлага; подпомагане на демонстрирането на спазването на изискванията на ОРЗД; да се улеснят трансграничните случаи, заинтересованите страни ще бъдат наблюдавани, за да се види дали те наистина се придържат, така се изисква ангажираност; кодексът служи и за повишаване на техническата осведоменост по отношение на регламента. Ако администраторите използват одобрени кодекси на поведение и/или очакват техните обработващи да се придържат към кодекси за поведение в рамките на своята пазарна или обработваща дейност, тези обработващи, които не се придържат към съответните кодекси за поведение, могат да бъдат разглеждани като по-малко вероятни бизнес партньори. Въпреки че спазването на кодексите за поведение Ви прави по-надеждна страна, помага да демонстрирате спазването на ОРЗД и улеснява трансграничните ситуации, Вие ще бъдете наблюдавани, за да се види дали наистина се придържате, така че това решение не се взема леко. Тези кодекси могат да покажат, че администраторът или обработващият лични данни е идентифицирал всеки риск, свързан с обработката на данни; оценил е произхода, естеството, вероятността и сериозността на риска; и е решил как най-добре да смекчи риска. Ключовият пробив на ОРЗД по отношение на кодексите за поведение е представата, че те могат да бъдат задължителни и приложими, а не просто доброволни и саморегулиращи се. Освен това съгласно член 83, параграф 4, буква в) акредитираният орган за наблюдение е изправен пред глоби в размер до 10 000 000 евро за неуспех да „предприеме подходящи действия”, когато администраторът или обработващият лични данни наруши кодекс за поведение. От друга страна, регулаторът по същество се занимава с гарантиране на адекватна защита на данните.

Кодексите на поведение не трябва да се бъркат със задължителните фирмени правила, тъй като последните засягат само корпорации и се отнасят единствено до адекватното ниво на защита. Чрез присъединяването към Кодекс за поведение обаче компаниите могат да изберат да сертифицират отделни услуги, а не всички бизнес операции. По-конкретно, кодексите могат да включват всяка разпоредба от ОРЗД, предвиждаща тълкуване и балансиране на интереси. Кодексите за поведение създават успешни възможности за комбиниране на различни вътрешни гледни точки (ДЛЗД, мениджър по спазването на правилата, CIO, CSO, CISO и др.) с външни такива (надзорни органи и клиенти).

В обобщение, кодексите за поведение и тяхното наблюдение в съответствие с членове 40 и 41 от ОРЗД ще помогнат да се осигурят ефикасни средства за демонстриране на съответствие в рамките на ОРЗД и предлагат подходящ регулаторен инструмент за насърчаване на иновациите в цифровата икономика, като същевременно се запазят стабилни стандарти за защита на данните и доверието на клиентите чрез защита на правата им. Всъщност, кодексите дори дават на организациите уникалната възможност да конкретизират новите правила за поверителност на данните в Европа и да насърчат общоевропейско прилагане на ОРЗД, което да е благоприятно за иновациите. Те ще служат като инструмент за демонстриране за съответствие от администратори и обработващи лични данни. Кодексите за поведение дават възможност и сигурност на всички видове бизнес, особено на микро, малки и средни предприятия, на справедлива конкуренция и равенство, основани на установената общност на придържане и спазване на процедурите на пазара.