Критерии и процедури по одобряване, изменение или допълнение на Кодекс за поведение - адв. Даниел Тунчев
15883
post-template-default,single,single-post,postid-15883,single-format-standard,ajax_fade,page_not_loaded,,side_area_uncovered_from_content,qode-theme-ver-16.7,qode-theme-bridge,wpb-js-composer js-comp-ver-5.5.2,vc_responsive
 

Критерии и процедури по одобряване, изменение или допълнение на Кодекс за поведение

Критерии и процедури по одобряване, изменение или допълнение на Кодекс за поведение

Продължаваме с разяснителната кампания по отношение на законосъобразното прилагане на изискванията на Регламент (ЕС) 2016/679 за защита на личните данни и по-специално разпоредбата на чл. 40 от Регламент (ЕС) 2016/679.

Kaто бивш служител и юрисконсулт в Комисия за защита на личните данни, адвокат Тунчев предоставя на клиентите си пълно правно обслужване в областта на защитата на личните данни, както и юридически консултации във връзка с казуси, възникнали с оглед на процеса по обработване, съхраняване, събиране, разпространяване на личните данни.

Източник на изложението относно критериите и процедурите по смисъла на Регламент (ЕС) 2016/679: Комисия за защита на личните данни.

С уважение:
Адв. Тунчев

Общи положения

Какво е Кодекс за поведение?

Кодексът за поведение по смисъла на Регламент (ЕС) 2016/679 (Общ регламент относно защитата на данните) е доброволен инструмент, който има за цел да улесни ефективното прилагане на регламента, както и да спомогне за доказването на факта на спазване на нормативните изисквания в съответствие с принципа за отчетност, като се отчитат особеностите на обработването на данни в определени сектори или професии.

Разработването и приемането на кодекс за поведение не е задължително изискване и е въпрос на преценка на сдружението или друга структура, представляваща съответната категория администратори или обработващи лични данни.

За кого са предназначени Кодексите за поведение?

Кодекс за поведение се изготвя за отделна категория администратори/обработващи лични данни (АЛД/ОЛД), по-специално ако същите принадлежат към един и същи сектор или бранш. Кодексът за поведение е особено полезен в сектори, в които голямата част от АЛД/ОЛД са микропредприятия или малки и средни предприятия.

Кодексът за поведение има добавена стойност само тогава, когато е изготвен специално за конкретен сектор или бранш, отразява неговите особености и съществуващите практики при обработването на лични данни, като например специфичните рискове за правата и свободите на субектите на данните и подходящите технически и организационни мерки за тяхното ограничаване. Това логично означава, че съответният сектор, бранш или категория администратори/обработващи лични данни следва да имат достатъчно добро ниво на самоорганизираност и ефективни механизми за вътрешна координация и контрол.

Макар и ориентирани основно към частния сектор, кодексите за поведение могат бъдат използвани и в публичния сектор. С тях обаче не могат да се разширяват, изменят или ограничават нормативно определените задачи и правомощия на публичните органи. Друго специфично ограничение за публичния сектор е забраната за определяне на акредитиран орган по наблюдение на спазването на съответния кодекс за поведение.

Какви са ползите и предимствата от Кодексите за поведение?
Присъединяването към кодекс за поведение има редица предимства за АЛД/ОЛД, като например:
– Може да се използва като доказателство за използването на подходящи мерки за доказване на съответствието с Регламент (ЕС) 2016/679;
–  Може да гарантира спазването на изискването по чл. 28 от Регламент (ЕС) 2016/679  по отношение на обработващите лични данни;
– Може да установява конкретни параметри на задълженията на администратора и обработващия и да насърчава прилагането на добри практики;
– Може да се използва като основание за трансфер на данни;
– Може да въведе извънсъдебни производства и другите процедури за разрешаване на спорове между администраторите и субектите на данни, без да засяга правомощията на надзорния орган;
– Може да се използва като доказателство за намаляване на потенциални глоби и санкции.
Процедура за приемане и специфични изисквания?

Инициативата за изготвяне на кодекс за поведение следва да произлиза от съответния сектор или бранш. Когато изготвят, изменят или допълват кодекс на поведение, сдруженията (асоциациите, камарите) и другите структури, представляващи категорията АЛД/ОЛД, следва да се консултират със съответните заинтересовани страни, включително със субектите на данни (публична консултация), когато това е осъществимо, и да вземат под внимание становищата, изразени писмено и устно в рамките на тези консултации.

Кодексите за поведение следва да са написани на достъпен и разбираем език и да отчитат националните особености и практики. Публикуването на одобрен кодекс от КЗЛД за поведение се счита за начало на действие на кодекса.

Какви задължения поражда присъединяването към Кодекс за поведение?

Присъединяването към кодекс за поведение е доброволен акт от страна на съответния администратор/обработващ лични данни, но след като се присъедини към него, той вече е длъжен да спазва неговите правила и изискания при обработването на лични данни.

Кодексът за поведение по никакъв начин не отменя, замества или изменя задълженията на АЛД/ОЛД, които произтичат от Регламент (ЕС) 2016/679 и другите приложими национални или европейски нормативни актове. Неговата роля е единствено да улесни тяхното ефективно прилагане на практика.

Когато кодекс за поведение определя общи за сектора или бранша начини или подходи при извършването на операции по обработване на лични данни, АЛД/ОЛД, които са се присъединили към него, следва да се съобразяват с тях в своята дейност. В същото време, ако въпросните АЛД/ОЛД осъществяват и други специфични операции по обработване, които са извън обсега на кодекса, по отношение на тях те трябва да прилагат съответните правила по силата на правната рамка или вътрешните си политики за защита на личните данни.

Контрол по спазване на ангажиментите в Кодекса за поведение и последици при нарушаването им:

Контролът по спазването на даден кодекс за поведение е важно условие за осигуряване на неговата добавена стойност както за АЛД/ОЛД в съответния сектор или бранш, така и за физическите лица. Контролът може да се извършва на няколко нива:

На първо място, сдруженията (асоциациите, камарите) и другите структури, представляващи съответния сектор, бранш или категория АЛД/ОЛД, следва да въведат работещи механизми за информираност, регистриране на членството, обучение, наблюдение и докладване за неспазване на изискванията на кодекса.

Общият регламент позволява горната роля да се изпълнява от акредитиран орган за наблюдение, който:

  • е доказал в задоволителна степен пред КЗЛД своята независимост и опит във връзка с предмета на кодекса;
  • е установил процедури, даващи му възможност да направи оценка на допустимостта на съответните АЛД/ОЛД да прилагат кодекса, да наблюдава дали те спазват разпоредбите на кодекса и периодично да прави преглед на неговото функциониране;
  • е установил процедури и структури за обработване на жалби за нарушения на кодекса или за начина, по който кодексът е бил приложен или се прилага от администратор или обработващ лични данни, и за прозрачното довеждане на тези процедури и структури до знанието на субектите на данни и обществеността;
  • демонстрира в задоволителна степен пред КЗЛД, че задачите и задълженията му не водят до конфликт на интереси; и
  • е установил процедура за действие при констатиране на нарушение на Кодекса за поведение.

Всичко посочено по-горе не засяга по никакъв начин надзорните правомощия на КЗЛД съгласно Общия регламент и ЗЗЛД.

II. Критерии за одобряване на Кодекс за поведение

Критериите за одобряване на Кодекс за поведениеимат за цел извършване на оценка дали и доколко Кодексът за поведение отговаря на чл. 40 от Регламент 2016/679. Ако някоя от хипотезите на чл. 40 не е приложима, трябва да бъде предоставен информация за това.

За одобряване на Кодекс за поведение се оценява изпълнeнието на следните критерии:

1. Да са посочени предметът и обхватът на Кодекса.
2. Да съдържа критерии за присъединяване на АЛД/ОЛД към Кодекса.
3. Да съдържа описание на механизма за присъединяване към Кодекса и обвързващата сила на това присъединяване. Да съдържа описание на механизма за прекратяване или временно спиране на присъединяването към Кодекса.
4. Да съдържа описание на механизмите за извършване на задължително наблюдение за спазването на неговите разпоредби от АЛД/ОЛД, които приемат да го прилагат. Тези механизми не трябва да засягат задълженията и правомощията на надзорните органи.
5. Да съдържа общи критерии и механизми за извършване на анализ на риска и ако е приложимо – общи изисквания към извършване на оценка на въздействието по чл. 35 от Регламента.
6. Да съдържа описание на механизмите за подпомагане отчетността чрез предоставяне на образци на документи.
7. Да има описание на категориите лични данни и/или регистрите, съдържащи лични данни, които обработват АЛД/ОЛД, присъединили се към Кодекса– какви данни се събират, за какви цели, срок за съхранение, срок за задържане и т.н.
8. Да е посочено как се събират, обработват и съхраняват личните данни, включително и правното основание.
9. Да са посочени законните интереси на АЛД/ОЛД, когато това е приложимо.
10. Как се гарантира добросъвестно и прозрачно обработване на лични данни. Информиране на обществеността и субектите на данни относно присъединяването към кодекса. Информиране на обществеността и субектите на данни относно правата им по Регламента.
11. Какви мерки се предвиждат относно упражняване правата на субектите на данни. Да са посочени категориите лица (физически и юридически), които имат право на достъп до информацията от регистрите с лични данни, както и степента на този достъп (пълен, ограничен).
12. Процедура относно информирането и закрилата на децата и начин на получаване на съгласие от носещите родителска отговорност за детето.
13. Технически и организационни мерки за защита. Да са посочени условията за прилагане на псевдонимизация на данните, ако е приложимо.
14. Ако е приложимо – дали и защо Кодексът се явява подходяща гаранция по смисъла на чл. 46, пар. 2, буква д) (предаване на лични данни на трети държави или международни организации).
15. Процедура за уведомяването на надзорните органи за нарушения на сигурността на личните данни и процедура за уведомяването/съобщаването за такива нарушения на засегнатите субекти  на данни.
16. Описание на извънсъдебните производства и други процедури за разрешаване на спорове между администраторите и субектите на данни по отношение на обработването, без да се засягат правата на субектите на данни за подаване на жалба до надзорен орган или ефективна съдебна защита срещу надзорен орган или право на ефективна съдебна защита срещу АЛД/ОЛД.
17. Да е предвидена процедура за изменението и допълнение на кодекса на поведение.
18. Процедура за предприемане на съответните действия в случай на нарушение на кодекса от страна на администратор или обработващ лични данни, включително като суспендира членството в кодекса или изключва от него съответния администратор или обработващ лични данни.

III. Процедура по одобряване, изменение или допълнение на Кодекс за поведение.

1. Документи, които се подават в КЗЛД във връзка с одобряване, изменение или допълнение на Кодекс за поведение:
1.1. Искане за одобряване на Проект на Кодекс за поведение (или Проект за изменение или допълнение на Кодекс за поведение), съдържащо:
– Информация за предлагащия Кодекса за поведение (сдружение или друга представителна структура на съответния сектор, бранш или категория АЛД/ОЛД, за които е приложим кодекса) – име, адрес, БУЛСТАТ, друг уникален идентификатор;
– Наименование на Кодекса за поведение (различаващо се от наименованията на публикуваните към момента на подаване на заявлението кодекси);
– Категории АЛД/ОЛД, за които е приложим Кодекса за поведение;
– Кратко описание на предмета и обхвата на Кодекса за поведение;
– Брой листа на Кодекса за поведение, предоставен в КЗЛД за одобрение;
– Дата;
– Подпис.

1.2. Проект на Кодекс за поведение (или Проект за изменение или допълнение на Кодекс за поведение).
1.3. Предложение за Наблюдаващ орган на Кодекса за поведение, което да съдържа:
– Информация за кандидата за Орган за наблюдение на Кодекс за поведение – име, БУЛСТАТ или друг уникално идентифициращ номер – ако е приложимо, данни за контакти – адрес, телефони, имейл;
– Дата;
– Подпис.
(Не се отнася за Кодекси за поведение в публичния сектор).

2. Начин на подаване
2.1. По електронен път – двата документа следва да бъдат изпратени подписани с квалифициран електронен подпис.
2.2. Лично – в деловодството на КЗЛД, на адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2 .
2.3. По пощата – с обратна разписка, на адрес: София 1592, бул. „Проф. Цветан Лазаров” № 2.

3. Документите по т. 1.1., 1.2. и 1.3 се подават от представляващия органа, който ги е изготвил или от изрично упълномощено от него лице с нотариално пълномощно.

4. Разглеждане на Проект на Кодекс за поведение (Проект за изменение или допълнение на Кодекс за поведение).
В срок от 3 месеца специализираната администрация на КЗЛД разглежда Проекта и в съответствие с критериите от т. II изготвя Становище за съответствие на Проекта с критериите за одобряване. Изготвеното становище се внася на заседание на КЗЛД за произнасяне с решение.

5. КЗЛД се произнася с мотивирано решение за:
– Одобряване на Проекта на Кодекс за поведение (Проекта за изменение или допълнение на Кодекс за поведение)
или
– Връщане за доработка Проекта на Кодекс, негово изменение или допълнение, ако установи несъответствие с критериите за одобряване по т. II.

6. Когато Проектът на Кодекс, неговото изменение или допълнение е одобрен от КЗЛД и в случай, че този Кодекс за поведение няма отношение към дейности по обработване в няколко държави членки, както и при наличие на акредитиран Орган за наблюдение, КЗЛД регистрира и публикува Кодекса за поведение.

7. КЗЛД поддържа публичен регистър на Кодексите за поведение.

8. Ако проект на Кодекс за поведение има отношение към дейности по обработване в няколко държави членки, КЗЛД, преди одобряването на проекта на кодекс, негово изменение или допълнение, го представя на Европейския комитет по защита на данните, който дава становище дали проектът на кодекс, негово изменение или допълнение съответстват на Регламент 2016/679, или, в случаите, посочени в пар. 3 от чл. 40 на Регламента, осигуряват подходящи гаранции. При положително становище на Комитета, КЗЛД одобрява съответния кодекс.

Източник: Комисия за защита на личните данни.
Повече информация можете да намерите тук: https://www.cpdp.bg/?p=news_view&aid=1294