Premda je GDPR značajno postrožio propise, kodeksi ponašanja pružaju tvrtkama mogućnost da se certificiraju i time dokažu usklađenost. Time se olakšava i prijenos podataka u treće zemlje bez previše uplitanja od strane nadzornih tijela, a sve uz smanjenje rizika od gubitka podataka.
Popis postupaka koje će tvrtke morati preispitati i izmijeniti nije nezanemariv. Stoga sve iznimke i izuzeća (koja, među ostalim, nude i kodeksi ponašanja) treba objeručke prihvatiti.
Što su kodeksi ponašanja?
Postizanje usklađenosti s GDPR-om od ključne je važnosti za sve tvrtke i organizacije. Pri tome su kodeksi ponašanja i certificiranje neki od zanimljivijih načina za postizanje tog cilja.
Kodeksi ponašanja interna su pravila kojima tvrtke ustrojavaju i zaposlenicima zadaju smjernice oko postupaka koje u određenim situacijama treba provoditi. Kvalitetno sročeni kodeksi ponašanja odobreni od strane nadzornih tijela mogu poslužiti kao vrlo koristan alat kojima dokazujete usklađenost. Prisjetite se čl. 5. st.2. GDPR-a koji od vas traži da u svakom trenutku morate biti u stanju dokazati usklađenost s GDPR-om.
GDPR donosi ažurirani skup propisa koji na jasniji način obrađuje problematiku kodeksa ponašanja s boljim objašnjenjem obveza i zahtjeva, čime se dobiva na transparentnosti i odgovornosti.
Poboljšana efikasnost
Smatramo da će kodeksi ponašanja biti od osobite koristi malim i srednjim poduzećima (MSP-ovima). Oni nisu obavezni i vaša tvrtka uopće ne mora imati kodeks ponašanja. Ipak, u dosta situacija mogu donijeti značajne financijske i organizacijske prednosti.
Očekujemo da će nadzorna tijela svesrdno poticati donošenje kodeksa ponašanja skrojenih prema potrebama poduzeća. Time će se sigurno smanjiti administrativno opterećenje vezano uz dokazivanje usklađenosti.
Imajte na umu da se, jednom kad prihvatite kodeks ponašanja, morate istog i pridržavati. Kodeksi ponašanja nisu smjernice dobre prakse, već zakonska obaveza.
Kodeksi ponašanja – dokaz usklađenosti
U čl. 40. GDPR-a nalaze se preporuke za obavezan sadržaj kvalitetnih kodeksa ponašanja. To uključuje propise za:
- Poštenu i transparentnu obradu podataka
- Legitimne interese voditelja obrade
- Prikupljanje i pseudonimizaciju osobnih podataka
- Prava ispitanika i obaveza kvalitetnog informiranja
- Mjere za zaštitu djece
- Obavještavanje o povredama podataka
- Sigurnosne mjere
- Uvjete za prijenos podataka u treće zemlje
- Mehanizmi za rješavanje sporova
Kao što možete iščitati iz gorenavedenog, gornje točke manje-više pokrivaju sve što vam treba za usklađenost s GDPR-om, tako da dobra praksa u tim situacijama praktički jamči da ste usklađeni s GDPR-om. Dakle, dok god se pridržavate odobrenih kodeksa ne morate strahovati od kazni. U tome i je njihova korist u praksi i ne radi se o pukim administrativnim dokumentima.
Tko donosi kodekse ponašanja?
Samim tvrtkama nije dozvoljeno sastavljanje vlastitih kodeksa ponašanja. Ta je dužnost povjerena cehovima i ostalim predstavničkim tijelima koja zastupaju interese tvrtki. I oni će prethodno morati potvrditi svoj legitimitet nadležnim nadzornim tijelima koja će ispitati vjerodostojnost tih organizacija – dakle, transparentnost, moguće sukobe interesa, stručnost i općenitu mogućnost upravljanja i donošenja revizija kodeksa ponašanja.
Nekoliko država članica već je uvelo kodekse ponašanja u neke sektore, u čemu prednjače Njemačka i Nizozemska. Očekuje se da će količina važećih kodeksa naglo porasti sredinom ove godine kad GDPR stupi na snagu.
Organizacije koje će pisati kodekse ponašanja trebale bi uvažiti mišljenja svih relevantnih dionika. To obuhvaća i nadzorna tijela i tvrtke članice tih udruženja. No treba priupitati i građane kadgod je to moguće. I naravno, kodeksi ponašanja moraju biti u skladu s ostalim važećim zakonima države članice.
Napominjemo da su zakoni uvijek ‘jači’ od propisa iz kodeksa ponašanja: u slučaju da je neka od odredbi protivna zakonu, smatra se ništetnom. Važenje jednom usvojenih kodeksa nije vremenski ograničeno.
Kodeksi usmjeravaju vaše poslovanje, a u krizi “izvlače živu glavu”.
Nadzor
Nadzorno tijelo države članice organizacije koja predlaže kodeks odgovorna je za njegovo odobravanje i nadzor provođenja. U nekim slučajevima potrebna je suradnja s ostalim nadzornim tijelima, naprimjer kad kodeks pokriva više država članica.
Sve organizacije moraju poslati kodeks na pregled nadzornom tijelu. Tek nakon njegova odobrenja mogu ga dati na korištenje ostalim tvrtkama. Nadzorna tijela održavat će javno dostupnu bazu kodeksa.
Prihvaćanjem kodeksa ponašanja također dajete ovlasti nadzornome tijelu da provjerava vašu usklađenost s istim. U praksi će nadzor vjerojatno vršiti tijela za to akreditirana od strane nadzornog tijela. Ipak, u samome kodeksu najčešće se nalaziti propisi o samoregulaciji pa bi se većina potencijalnih spornih pitanja trebala riješiti unutar organizacije. Eventualne revizije kodeksa također su dozvoljene i potrebne ako dođe do zakonskih promjena. Zbog tih mehanizama sustav kodeksa ponašanja često se naziva i ‘djelomično samoregulirajućim’.
Ako se ipak utvrdi da ste prekršili kodeks, iz njega vas se može izuzeti i možete biti kažnjeni s do 10 milijuna eura ili do 2 % ukupnog prometa na globalnoj razini za prethodnu godinu. Nadzorna tijela također mogu poništiti kodeks ako se naknadno pokaže neadekvatnim.
Europska komisija također ima ovlasti da sama za sebe odlučuje o ispravnosti određenih kodeksa ponašanja, koji se potom smatraju valjanima u cijeloj Europskoj uniji.
Prednosti
Kako je gore navedeno, mala i srednja poduzeća imat će najviše koristi, jer ionako plaćaju namete cehovima i komorama, koje će sada imati određenu moralnu obavezu da članovima pruže barem kodekse koje mogu koristiti.
Drugim riječima, za ne prevelike svote novca dobit će ‘nacrt’ za usklađivanje s GDPR-om. Time praktički prestaje potreba da uz pomoć zasebnih internih mehanizama osiguravate usklađivanje (kao što to rade velike tvrtke).
Također se olakšava i prijenos podataka u treće zemlje. Mogu ih usvojiti i tvrtke izvan EU-a kako bi dokazale usklađenost, što olakšava prijenos podataka jer se u tim slučajevima smatra da su prava ispitanika u dovoljnoj mjeri zaštićena.
Dobra vijest za manje tvrtke jest to da prihvaćanje kodeksa ponašanja znatno smanjuje rizik od kazni, a i ako budu kažnjene, iznosi će biti manji zato što se prihvaćanje kodeksa smatra olakotnom okolnosti – ipak je to znak da se tvrtka aktivno potrudila ispuniti svoje obaveze.
Prednosti za ispitanike (osobe) također bi mogle biti velike. Kad bi se kodeksi ponašanja malo aktivnije reklamirali, tvrtke koje ih usvoje u očima javnosti mogle bi se doimati pouzdanijima i vjerodostojnima – ovdje možemo govoriti o ‘brendiranju’ kodeksa. To opet znači veći broj vjernih klijenata, a samim time i veću zaradu dok se istovremeno na adekvatan način štite prava i podaci osoba.
Zaključak
Ukupno gledano, kodeksi ponašanja predstavljaju zanimljiv alternativan način dokazivanja usklađenosti s GDPR-om, ali i osnaživanja internih procesa rukovanja podacima. Prednost kodeksa je i njihova isplativost. Dobar službenik za zaštitu podataka svakako bi trebao razmotriti mogućnost uvođenja kodeksa koji bi znatno mogao pojednostaviti proces usklađivanja s GDPR-om.
