Κώδικες δεοντολογίας

Τι είναι και ποιος τους καταρτίζει;

 

Οι κώδικες δεοντολογίας προβλέπονται στο άρθρο 40 ΓΚΠΔ και αποσκοπούν στο να διευκολύνεται η ουσιαστική εφαρμογή του ΓΚΠΔ, ρυθμίζοντας ειδικές υποχρεώσεις τόσο υπευθύνων επεξεργασίας όσο και εκτελούντων την επεξεργασία, για ειδικούς τομείς δραστηριότητας. Ως εκ τούτου, οι κώδικες δεοντολογίας ΔΕΝ εκπονούνται από μεμονωμένους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία, αλλά από ενώσεις ή άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία. Συνεπώς, η εν λόγω έννοια του κώδικα δεοντολογίας του άρθρου 40 του ΓΚΠΔ είναι διαφορετική από οποιονδήποτε άλλον κώδικα δεοντολογίας έχει τυχόν ήδη θεσπίσει υπεύθυνος επεξεργασίας για τις πράξεις επεξεργασίας προσωπικών δεδομένων που διενεργεί.

 

Είναι υποχρεωτικοί;

 

Οι κώδικες δεοντολογίας δεν είναι υποχρεωτικοί αλλά προαιρετικοί. Ωστόσο, η Αρχή σαφώς ενθαρρύνει την εκπόνησή τους, υπό την έννοια ότι μπορεί να αποτελούν σύνολο ειδικών κανόνων/πρακτικών προς τη συμμόρφωση με τις συνολικές προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων που θέτει ο ΓΚΠΔ, λαμβάνοντας υπόψη τα ειδικά χαρακτηριστικά των διαφόρων τομέων επεξεργασίας (αιτιολογική σκέψη 98 ΓΚΠΔ).

 

Τι λαμβάνεται υπόψη κατά την κατάρτισή τους;

 

Κατά την κατάρτιση ενός κώδικα δεοντολογίας ή κατά την τροποποίηση ή την επέκταση ενός τέτοιου κώδικα, ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία θα πρέπει να διαβουλεύονται με τα ενδιαφερόμενα μέρη, μεταξύ άλλων, και με υποκείμενα των δεδομένων, όπου αυτό είναι εφικτό, και να λαμβάνουν υπόψη όσες παρατηρήσεις υποβάλλονται και όσες απόψεις διατυπώνονται στο πλαίσιο αυτών των διαβουλεύσεων. Λοιπά στοιχεία που λαμβάνονται υπόψη κατά την κατάρτιση ενός κώδικα περιγράφονται στο άρθρο 40 παρ. 2 ΓΚΠΔ.

 

Χρειάζεται έγκριση ενός κώδικα δεοντολογίας;

 

Το σχέδιο ενός τέτοιου κώδικα πρέπει να υποβάλλεται στην Αρχή, η οποία γνωμοδοτεί για το αν ο εν λόγω κώδικας είναι σύμφωνος με τον ΓΚΠΔ και τον εγκρίνει εφόσον κρίνει ότι παρέχει επαρκείς εγγυήσεις (είτε πρόκειται για αρχικό κώδικα είτε για τροποποίηση υπάρχοντα).

Ένας εγκεκριμένος από την Αρχή κώδικας δεοντολογίας, εφόσον τηρείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας (άρθρο 24 παρ. 3 ΓΚΠΔ) ή ως στοιχείο για να αποδειχθεί ότι ο εκτελών την επεξεργασία παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παρ. 1 και 4 του άρθρου 28 (άρθρο 28 παρ. 5 ΓΚΠΔ). Επιπλέον, η τήρηση εγκεκριμένου κώδικα δεοντολογίας δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του άρθρου 32 αναφορικά με την ασφάλεια της επεξεργασίας (άρθρο 32 παρ. 3 ΓΚΠΔ), ενώ περαιτέρω η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας από υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (άρθρο 35 παρ. 8 ΓΚΠΔ). Εξάλλου, σύμφωνα με το άρθρο 83 παρ. 2 ΓΚΠΔ, κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνεται δεόντως υπόψη, μεταξύ άλλων, και η τήρηση εγκεκριμένων κωδίκων δεοντολογίας.

Όταν το σχέδιο κώδικα ή η τροποποίηση ή επέκταση αυτού εγκρίνεται και όταν ο σχετικός κώδικας δεοντολογίας δεν έχει σχέση με δραστηριότητες επεξεργασίας σε περισσότερα του ενός κράτη μέλη, η Αρχή καταχωρίζει και δημοσιεύει τον κώδικα (άρθρο 40 παρ. 6 ΓΚΠΔ). Εφόσον ο κώδικας σχετίζεται με δραστηριότητες επεξεργασίας σε περισσότερα από ένα κράτη μέλη, ακολουθούνται οι διαδικασίες οι οποίες περιγράφονται στις παραγράφους 7, 8 και 9 του άρθρου 40 του ΓΚΠΔ.

 

Χρειάζεται μηχανισμός παρακολούθησης του κώδικα;

 

Ένας κώδικας δεοντολογίας θα πρέπει να περιέχει μηχανισμούς που επιτρέπουν σε ένα συγκεκριμένο ανεξάρτητο φορέα −που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα− να διενεργεί την παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν.

Σημειώνεται ότι ο εν λόγω φορέας («φορέας παρακολούθησης») πρέπει να είναι ειδικά προς τούτο διαπιστευμένος από την Αρχή. Οι φορείς παρακολούθησης έχουν συγκεκριμένες υποχρεώσεις σε περίπτωση που διαπιστώνουν παράβαση του κώδικα (άρθρο 41 παρ. 5 ΓΚΠΔ). Η Αρχή δύναται να ανακαλέσει οποτεδήποτε τη διαπίστευση ενός φορέα παρακολούθησης, αν κρίνει ότι δεν πληρούνται πια τα κριτήρια βάσει των οποίων έλαβε διαπίστευση ή αν ο φορέας δεν συμμορφώνεται με τις υποχρεώσεις του.

Προσοχή: Τα σχετικά με τον φορέα παρακολούθησης του κώδικα δεοντολογίας δεν εφαρμόζονται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς, για τις οποίες δεν χρειάζεται να υπάρχει φορέας παρακολούθησης. Ωστόσο, σε κάθε άλλη περίπτωση κώδικα δεοντολογίας, είναι υποχρεωτική η παρακολούθησή του από ανεξάρτητο φορέα παρακολούθησης – και, κατά συνέπεια, ο υποβαλλόμενος προς έγκριση κώδικας δεοντολογίας θα πρέπει να έχει σχετική πρόβλεψη.

 

Ποιες είναι οι απαιτήσεις της Αρχής για τη διαπίστευση των φορέων παρακολούθησης;

 

Η Αρχή, με την απόφαση 9/2020, αποφάσισε τον ορισμό απαιτήσεων για τη διαπίστευση των φορέων παρακολούθησης, όπως αυτοί ορίζονται στο άρθρο 41 του ΓΚΠΔ, και οι οποίοι σχετίζονται με κώδικα δεοντολογίας για τον οποίο η Αρχή είναι αρμόδια σύμφωνα με το άρθρο 55 του ΓΚΠΔ. Οι εν λόγω απαιτήσεις διαπίστευσης, οι οποίες βασίζονται στις κατευθυντήριες γραμμές 1/2019 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), δεν αφορούν, κατ’ αρχάς, την περίπτωση φορέων παρακολούθησης κωδίκων δεοντολογίας του άρθρου 40 παρ. 3 του ΓΚΠΔ, η οποία έχει εξαιρεθεί και από τις ως άνω κατευθυντήριες γραμμές και θα εξεταστεί ειδικώς σε άλλες κατευθυντήριες γραμμές του ΕΣΠΔ.

Η Αρχή υπέβαλε το ως άνω σχέδιο των απαιτήσεων διαπίστευσης των φορέων παρακολούθησης των κωδίκων δεοντολογίας στο ΕΣΠΔ, σύμφωνα με τον προβλεπόμενο στο άρθρο 63 του ΓΚΠΔ μηχανισμό συνεκτικότητας.

Το ΕΣΠΔ εξέδωσε, βάσει του άρθρου 64 παράγραφος 1 του ΓΚΠΔ, τη γνωμοδότηση 20/2020 σχετικά με το ως άνω σχέδιο της Αρχής.

Η Αρχή, με την με αριθμό 26/2020 Απόφασή της, αποφάσισε, σύμφωνα με το άρθρο 64 παρ. 7 του ΓΚΠΔ, την τροποποίηση του σχεδίου των απαιτήσεων βάσει των συστάσεων και ενθαρρύνσεων της γνώμης 20/2020 του ΕΣΠΔ και την ανακοίνωσή του στο ΕΣΠΔ.

Οι τελικές απαιτήσεις της Αρχής για τη διαπίστευση των φορέων παρακολούθησης των κωδίκων δεοντολογίας, όπως τροποποιήθηκαν βάσει της απόφασης 20/2020 του ΕΣΠΔ, δημοσιοποιούνται από την Αρχή με δημοσίευση στο διαδικτυακό τόπο της, σύμφωνα με το άρθρο 57 παρ. 1 στοιχ. ιστ’ του ΓΚΠΔ και με το άρθρο 15 παρ. 10 του ν.4624/2019.

Δείτε την ελληνική ή την αγγλική έκδοση των απαιτήσεων της Αρχής για τη διαπίστευση των φορέων παρακολούθησης των κωδίκων δεοντολογίας.

 

Τι ισχύει στη διασυνοριακή περίπτωση;

 

Σε περίπτωση που το σχέδιο κώδικα δεοντολογίας αφορά επεξεργασία προσωπικών δεδομένων σε διάφορα κράτη μέλη, τότε η ένωση που τον καταρτίζει τον υποβάλλει σε μια αρμόδια εποπτική αρχή (τεκμηριώνοντας για ποιο λόγο κρίθηκε η εν λόγω εποπτική αρχή ως αρμόδια). Ακολούθως η αρμόδια εποπτική αρχή υποβάλλει το σχέδιο, πριν από την έγκρισή του, στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ) (μέσω του μηχανισμού συνεκτικότητας), το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου προς τον ΓΚΠΔ. Σε θετική γνωμοδότηση του ΕΣΔΠ, η γνώμη διαβιβάζεται στην Επιτροπή, η οποία μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας (και οι τυχόν τροποποιήσεις ή επεκτάσεις τους) έχουν γενική ισχύ εντός της Ένωσης.

Σημειώνεται ότι αυτοί οι εγκεκριμένοι κώδικες δεοντολογίας μπορούν να τηρούνται και από υπευθύνους/εκτελούντες μη υπαγόμενους στον ΓΚΠΔ, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς (βλ. Διαβιβάσεις δεδομένων εκτός ΕΕ).

 

Λοιπές πληροφορίες

 

Κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων αναφορικά με κώδικες δεοντολογίας είναι διαθέσιμες εδώ.