Вижте полезна информация, споделена от Комисията по защита на личните данни
Комисията за защита на личните данни публикува на своя сайт критерии и процедури по одобряване, изменение или допълнение на Кодекс за поведение.
Какво е Кодекс за поведение
Кодексът за поведение по смисъла на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) е доброволен инструмент, който има за цел да улесни ефективното прилагане на регламента, както и да спомогне за доказването на факта на спазване на нормативните изисквания в съответствие с принципа за отчетност, като се отчитат особеностите на обработването на данни в определени сектори или професии.
Разработването и приемането на кодекс за поведение не е задължително изискване и е въпрос на преценка на сдружението или друга структура, представляваща съответната категория администратори или обработващи лични данни.
За кого са предназначени Кодексите за поведение
Кодекс за поведение се изготвя за отделна категория администратори/обработващи лични данни (АЛД/ОЛД), по-специално ако същите принадлежат към един и същи сектор или бранш. Кодексът за поведение е особено полезен в сектори, в които голямата част от АЛД/ОЛД са микропредприятия или малки и средни предприятия.
Кодексът за поведение има добавена стойност само тогава, когато е изготвен специално за конкретен сектор или бранш, отразява неговите особености и съществуващите практики при обработването на лични данни, като например специфичните рискове за правата и свободите на субектите на данните и подходящите технически и организационни мерки за тяхното ограничаване. Това логично означава, че съответният сектор, бранш или категория администратори/обработващи лични данни следва да имат достатъчно добро ниво на самоорганизираност и ефективни механизми за вътрешна координация и контрол.
Макар и ориентирани основно към частния сектор, кодексите за поведение могат бъдат използвани и в публичния сектор. С тях обаче не могат да се разширяват, изменят или ограничават нормативно определените задачи и правомощия на публичните органи. Друго специфично ограничение за публичния сектор е забраната за определяне на акредитиран орган по наблюдение на спазването на съответния кодекс за поведение.
Какви са ползите и предимствата от Кодексите за поведение
Присъединяването към кодекс за поведение има редица предимства за АЛД/ОЛД, като например:
- Може да се използва като доказателство за използването на подходящи мерки за доказване на съответствието с Регламент (ЕС) 2016/679;
- Може да гарантира спазването на изискването по чл. 28 от Регламент (ЕС) 2016/679 по отношение на обработващите лични данни;
- Може да установява конкретни параметри на задълженията на администратора и обработващия и да насърчава прилагането на добри практики;
- Може да се използва като основание за трансфер на данни;
- Може да въведе извънсъдебни производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни, без да засяга правомощията на надзорния орган;
- Може да се използва като доказателство за намаляване на потенциални глоби и санкции.
Процедура за приемане и специфични изисквания
Инициативата за изготвяне на кодекс за поведение следва да произлиза от съответния сектор или бранш. Когато изготвят, изменят или допълват кодекс на поведение, сдруженията (асоциациите, камарите) и другите структури, представляващи категорията АЛД/ОЛД, следва да се консултират със съответните заинтересовани страни, включително със субектите на данни (публична консултация), когато това е осъществимо, и да вземат под внимание становищата, изразени писмено и устно в рамките на тези консултации.
Кодексите за поведение следва да са написани на достъпен и разбираем език и да отчитат националните особености и практики.
Публикуването на одобрен кодекс от КЗЛД за поведение се счита за начало на действие на кодекса.
Какви задължения поражда присъединяването към Кодекс за поведение
Присъединяването към кодекс за поведение е доброволен акт от страна на съответния администратор/обработващ лични данни, но след като се присъедини към него, той вече е длъжен да спазва неговите правила и изискания при обработването на лични данни.
Кодексът за поведение по никакъв начин не отменя, замества или изменя задълженията на АЛД/ОЛД, които произтичат от Регламент (ЕС) 2016/679 и другите приложими национални или европейски нормативни актове. Неговата роля е единствено да улесни тяхното ефективно прилагане на практика.
Когато кодекс за поведение определя общи за сектора или бранша начини или подходи при извършването на операции по обработване на лични данни, АЛД/ОЛД, които са се присъединили към него, следва да се съобразяват с тях в своята дейност. В същото време, ако въпросните АЛД/ОЛД осъществяват и други специфични операции по обработване, които са извън обсега на кодекса, по отношение на тях те трябва да прилагат съответните правила по силата на правната рамка или вътрешните си политики за защита на личните данни.
Контрол по спазване на ангажиментите в Кодекса за поведение и последици при нарушаването им
Контролът по спазването на даден кодекс за поведение е важно условие за осигуряване на неговата добавена стойност както за АЛД/ОЛД в съответния сектор или бранш, така и за физическите лица. Контролът може да се извършва на няколко нива:
На първо място, сдруженията (асоциациите, камарите) и другите структури, представляващи съответния сектор, бранш или категория АЛД/ОЛД, следва да въведат работещи механизми за информираност, регистриране на членството, обучение, наблюдение и докладване за неспазване на изискванията на кодекса.
Общият регламент позволява горната роля да се изпълнява от акредитиран орган за наблюдение, който:
- е доказал в задоволителна степен пред КЗЛД своята независимост и опит във връзка с предмета на кодекса;
- е установил процедури, даващи му възможност да направи оценка на допустимостта на съответните АЛД/ОЛД да прилагат кодекса, да наблюдава дали те спазват разпоредбите на кодекса и периодично да прави преглед на неговото функциониране;
- е установил процедури и структури за обработване на жалби за нарушения на кодекса или за начина, по който кодексът е бил приложен или се прилага от администратор или обработващ лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността;
- демонстрира в задоволителна степен пред КЗЛД, че задачите и задълженията му не водят до конфликт на интереси; и
- е установил процедура за действие при констатиране на нарушение на Кодекса за поведение.
Всичко посочено по-горе не засяга по никакъв начин надзорните правомощия на КЗЛД съгласно Общия регламент и ЗЗЛД.
Критерии за одобряване на Кодекс за поведение
Критериите за одобряване на Кодекс за поведениеимат за цел извършване на оценка дали и доколко Кодексът за поведение отговаря на чл. 40 от Регламент 2016/679. Ако някоя от хипотезите на чл. 40 не е приложима, трябва да бъде предоставен информация за това.
За одобряване на Кодекс за поведение се оценява изпълнeнието на следните критерии:
1. Да са посочени предметът и обхватът на Кодекса.
2. Да съдържа критерии за присъединяване на АЛД/ОЛД към Кодекса.
3. Да съдържа описание на механизма за присъединяване към Кодекса и обвързващата сила на това присъединяване. Да съдържа описание на механизма за прекратяване или временно спиране на присъединяването към Кодекса.
4. Да съдържа описание на механизмите за извършване на задължително наблюдение за спазването на неговите разпоредби от АЛД/ОЛД, които приемат да го прилагат. Тези механизми не трябва да засягат задълженията и правомощията на надзорните органи.
5. Да съдържа общи критерии и механизми за извършване на анализ на риска и ако е приложимо – общи изисквания към извършване на оценка на въздействието по чл. 35 от Регламента.
6. Да съдържа описание на механизмите за подпомагане отчетността чрез предоставяне на образци на документи.
7. Да има описание на категориите лични данни и/или регистрите, съдържащи лични данни, които обработват АЛД/ОЛД, присъединили се към Кодекса– какви данни се събират, за какви цели, срок за съхранение, срок за задържане и т.н.
8. Да е посочено как се събират, обработват и съхраняват личните данни, включително и правното основание.
9. Да са посочени законните интереси на АЛД/ОЛД, когато това е приложимо.
10. Как се гарантира добросъвестно и прозрачно обработване на лични данни. Информиране на обществеността и субектите на данни относно присъединяването към кодекса. Информиране на обществеността и субектите на данни относно правата им по Регламента.
11. Какви мерки се предвиждат относно упражняване правата на субектите на данни. Да са посочени категориите лица (физически и юридически), които имат право на достъп до информацията от регистрите с лични данни, както и степента на този достъп (пълен, ограничен).
12. Процедура относно информирането и закрилата на децата и начин на получаване на съгласие от носещите родителска отговорност за детето.
13. Технически и организационни мерки за защита. Да са посочени условията за прилагане на псевдонимизация на данните, ако е приложимо.
14. Ако е приложимо – дали и защо Кодексът се явява подходяща гаранция по смисъла на чл. 46, пар. 2, буква д) (предаване на лични данни на трети държави или международни организации).
15. Процедура за уведомяването на надзорните органи за нарушения на сигурността на личните данни и процедура за уведомяването/съобщаването за такива нарушения на засегнатите субекти на данни.
16. Описание на извънсъдебните производства и други процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни за подаване на жалба до надзорен орган или ефективна съдебна защита срещу надзорен орган или право на ефективна съдебна защита срещу АЛД/ОЛД.
17. Да е предвидена процедура за изменението и допълнение на кодекса на поведение.
18. Процедура за предприемане на съответните действия в случай на нарушение на кодекса от страна на администратор или обработващ лични данни, включително като суспендира членството в кодекса или изключва от него съответния администратор или обработващ лични данни.