DPO On Demand

EDPB po javni razpravi sprejel končni verziji smernic o kodeksih ravnanja in smernic o akreditiranju teles za certificiranje

Evropski odbor za varstvo podatkov (EDPB) je izdal končni verziji smernic o dveh trenutno še nekoliko bolj abstraktnih institutih iz Splošne uredbe o varstvu podatkov – kodeksih ravnanja in akreditiranju teles za certificiranje. Oba instituta bi morala v prihodnosti povzročiti velik pozitiven učinek na področju varstva osebnih podatkov. Žal ga vsaj kodeksi ravnanja glede na trenutne izglede ne bodo.

Kodeksi ravnanja so instrument, ki se ga v slovenskem prostoru ne poslužujemo najraje, še manj radi pa kodekse dejansko upoštevamo. Že misel na to, da bi se ob izraziti prenormiranosti podvrgli še dodatnim normam, ki presegajo minimalne zakonske standarde, je pogosto skoraj strašljiva. Večinoma pa tako in tako že zakonodajalec poskrbi za to, da v nacionalni predpis prevzame najstrožje rešitve iz evropskega pravnega okvira.

Pa vendar sem institut kodeksov ravnanja po Splošni uredbi o varstvu podatkov sprejela z veliko mero odobravanja in pozitivnih pričakovanj. Namen kodeksov po Splošni uredbi je namreč “prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij” (40/I člen). Kodekse lahko pripravijo združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, z namenom “podrobneje obrazložiti uporabo te uredbe” (40/II člen).

Poleg tega je kodeks mehanizem, ki upravljavcem in obdelovalcem lahko pomaga pri izkazovanju skladnosti njihovega ravnanja s Splošno uredbo (člena 24/III in 28/V). Kodeksi naj torej v prvi vrsti ne bi bili namenjeni dodatni birokratizaciji in zaostrovanju standardov, ampak uporabi “zdrave mere”. Že v 4. točki recitala Splošne uredbe je zapisano načelo, na katerega prepogosto pozabljamo ob razlagi Splošne uredbe –

“Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem”.

Nadzorni organi držav članic, združeni v Evropski odbor za varstvo podatkov (EDPB), pa prepogosto pozabljajo tudi na cilje iz 7. točke recitala – “Pravna in praktična varnost posameznikov, gospodarskih subjektov in javnih organov bi morali biti okrepljeni”. V citirano besedilo sem dodala poudarke, na tiste besede, ki jih je EDPB s smernicami o kodeksih ravnanja povsem ignoriral.

Žal se mi zdi, da je edini namen teh smernic zagotoviti, da nadzornim organom držav članic ne bo treba nič delati v zvezi s kodeksi in da bo pripravljenih čim manj kodeksov, čeprav naj bi bila njihova naloga prav spodbujanje priprave kodeksov (40/I člen). Imenovanje posebnega strokovnega telesa za nadzor je po Splošni uredbi opcijsko in ne obvezno. V nasprotju z dikcijo in namenom Splošne uredbe pa se je EDPB postavil na stališče, da je obvezen element kodeksa za zasebni sektor imenovanje posebnega neodvisnega organa, ki bo nadzoroval njegovo izvajanje. Splošna uredba določa le, da spremljanje skladnosti s kodeksom ravnanja “lahko” (ang. “may”, fr. “peut être”, hr. “može”, it. “può essere”, šp. “podrá”, nem. “kann”, port.: “pode”, …) izvaja tak poseben organ, ki pa mora biti pooblaščen s strani nacionalnega nadzornega organa in izpolnjevati pogoje iz 41/II člena Splošne uredbe. Da ne bo pomote – moja kritika se ne nanaša na pogoje, ki jih mora izpolnjevati telo za nadzor nad kodeksom, ampak zgolj na obveznost imenovanja takšnega telesa, kot pogoj za potrditev kodeksa. Kvaliteta nadzora je seveda ključna in kdo je bolj primeren za spremljanje skladnosti s kodeksi ravnanja kot nacionalni nadzorni organi?

Obveznost imenovanja posebnega nadzornega telesa in stroški, ki jih to povleče za seboj, so previsoki, da bi se združenja v manjših državah članicah, kot je Slovenija, odločali za pripravo kodeksa. Stroški so previsoki tudi za finančno močnejše panoge kot je zavarovalništvo, na kar je v javni razpravi opozarjalo Evropsko združenje zavarovalnic in pozavarovalnic Insurance Europe (izjava in celotne pripombe na smernice so dostopne tu.

Šibkejše panoge, ki pomoč svojih združenj pri uporabi Splošne uredbe najbolj potrebujejo, si bodo nadzorni mehanizem privoščile še toliko težje oziroma si ga ne bodo mogle privoščiti, sploh.

Ob stroškovni neučinkovitosti priprave kodeksov pa Informacijski poblaščenec RS vsaj ne bo imel težav z uporabo vseh napotkov EDPB za procesno ravnanje, ki so v večjem delu povsem v neskladju s določbami ZUP, ki bi jih bil ob obravnavanju kodeksa, prejetega v potrditev, dolžan uporabljati.

Naj bo moje kritičnosti za danes dovolj, o akreditaciji teles za certificiranje pa kakšen drug vroč poleten dan.

Smernice so zaenkrat še v angleškem jeziku dostopne tu:

EDPB Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 - version adopted after public consultation

EDPB Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679) - version adopted after public consultation

Tina Kraigher Mišič, univ. dipl. prav.,

Mnenje avtorice ne odraža nujno stališča Info hiše d.o.o.