Krok za krokem ke kodexu chování podle GDPR


			Krok za krokem ke kodexu chování podle GDPR

V Pojistném obzoru č. 2/2019 jsme detailně představili dokument Samoregulační standardy ČAP k uplatňování GDPR v pojišťovnictví (Standardy), které pracovní skupina ČAP pro GDPR připravila jako předstupeň kodexu chování ve smyslu čl. 40 a násl. GDPR. Tato forma byla zvolena k deklaraci důležitosti ochrany osobních údajů v pojišťovnictví za podmínek, kdy nebyly k dispozici výkladové pokyny obecně, a už vůbec ne se zaměřením na specifické požadavky pro tvorbu kodexů chování dle nařízení. V článku, který vyšel v odborném časopise Pojistný obzor, se dozvíte více.


Pojistný obzor je k přečtení ZDE


Standardy (Standardy jsou dostupné ZDE) jsou koncipovány v souladu s názorem Úřadu pro ochranu osobních údajů (ÚOOÚ), který ve svém stanovisku k problematice uvedl, že kodexy chování podle obecného nařízení poskytují subjektům v rámci odvětví příležitost dohodnout se společně na konkrétních a praktických pravidlech při zpracování osobních údajů, která budou splňovat požadavky nařízení. Během tvorby dokumentu pracovní skupina proto spolupracovala s externími poradci a zástupci ÚOOÚ za zohlednění zahraničních zkušeností i pokynů WP29 (a následně Evropského sboru pro ochranu osobních údajů, EDPB[1]) a do textu Standardů zakomponovala praktické příklady vysvětlující specifika pojistného sektoru při zpracovávání osobních údajů. Tyto příklady společně s podmínkami aplikace GDPR v kontextu výkonu pojišťovací činnosti povedou k hlubšímu pochopení a aplikaci legislativních požadavků v rámci ochrany osobních údajů, a to ze strany jak spotřebitelů, tak i samotných pojišťoven.


Mohlo by vás zajímat: Anketa: 25 let existence Asociace českých pojišťovacích makléřů


Hlavní motivací vypracování a následného přistoupení k dokumentu soft law povahy bylo zdůraznění významu ochrany soukromí a bezpečnosti osobních údajů v oblasti pojišťovnictví. Standardy tak představují všeobecně pojatou minimální míru ochrany subjektů údajů, kdy není bráněno jednotlivým členům zvolit si v konkrétních případech vyšší míru ochrany zpracování osobních údajů na základě jejich specifických potřeb a postupů. Pojišťovny, které se k jejich dodržování přihlásí, nejenže demonstrují svoji kompatibilitu s GDPR, ale zejména svůj respekt k ochraně osobních údajů.

Dokument je tedy vyjádřením dobrovolného závazku pojišťoven k zajištění minimální úrovně zpracování a ochrany osobních údajů v pojišťovnictví se zaměřením na klienty a pojišťovací zprostředkovatele. Přistoupení ke Standardům je sice dobrovolné, avšak nemá jenom deklaratorní povahu[2].

Pokyny ke kodexům chování a monitorovacím orgánům

GDPR vstoupilo v účinnost dne 25. května 2018. Detaily implementace a výkladu se však přirozeně formují praxí i stanovisky kompetentních národních orgánů a především pokyny EDPB. Níže se věnujeme jednomu z nich, a to Pokynům ke kodexům chování a monitorovacím orgánům (Pokyny) K přijetí finální verze došlo po ukončení veřejné konzultace, do které se ČAP vzhledem k očekávané relevanci těchto Pokynů pro vývoj Standardů zapojila. Nejpodstatnějším bodem připomínek nejenom ze strany pojistného odvětví byl nesoulad mezi level 1 textem nařízení, jenž v čl. 41 odst. 1 GDPR stanovuje vytvoření monitorovacího orgánu jako možnost, a textem návrhu Pokynů, diametrálně odlišně pojímajícím ustanovení monitorovacího orgánu jako povinnost.


Mohlo by vás zajímat: TOP 30 pojišťovacích makléřů za rok 2018 v Česku dle oPojištění.cz


Finální verze Pokynů byla publikována dne 5. června 2019. EDPB výše uvedené připomínky naneštěstí nezohlednil. Nekoherentním vztahem mezi samotným nařízením a Pokyny tak zkomplikoval uvádění kodexů chování v život. Tuto otázku detailněji rozebereme později; nejdříve se podíváme na další kritéria Pokynů, ze kterých lze vyvodit, že cesta Standardů ke kodexu je kvalitně předpřipravena.

Obsah Pokynů

Pokyny se věnují konkrétnějšímu vymezení podmínek pro kodexy chování a podmínek zřízení a fungování monitorovacího orgánu akreditovaného dozorovým úřadem v kontextu čl. 40 a 41 GDPR. Hlavní text je doplněn o čtyři dodatky:  

  • „Rozdíly mezi národními a nadnárodními kodexy“,
  • „Výběr příslušného orgánu dozoru“,
  • „Checklist pro posouzení kompatibility kodexu chování“,
  • „Flow chart pro nadnárodní kodexy“.

Pokyny nadále charakterizují kodex jako nástroj dobrovolné proklamace a přijetí odpovědnosti ve věci souladu s GDPR. Bohužel ve srovnání s prvotní verzí dokumentu nedošlo k výrazným změnám, a to ani ve výše nastíněné oblasti.

Pokyny neopomínají, že kodexy jsou pouze jedním z dobrovolných nástrojů, jež GDPR zavádí. Upozorňují také na v některých případech povinné posouzení vlivu na ochranu osobních údajů (DPIA) a vydávání osvědčení, pečetí a známek prokazujících soulad s GDPR. Dále tvrdí, že ke schválenému kodexu by mělo být přihlíženo i ze strany dozorového úřadu v případě evaluace, řešení bezpečnostních situací, posuzování DPIA nebo při ukládání pokut.

Není zde přímo obsažena možnost konzultací s dozorovým úřadem, kterému je ale umožněno poskytovat rady či doporučení k obsahové i formální stránce dokumentu. Principiálně by k tomu ale nemělo docházet ve fázi podání kodexu chování ke schválení. To je sice docela pochopitelné (úřad v této fázi již dokument akceptoval), ale na druhé straně to může vést k opakování celého procesu od začátku a opětovnému zatížení kapacit dozorového úřadu i podávajícího subjektu. Tomu by se dalo předejít akceptací vyžádaných dodatků i v tomto stadiu a otevřeně probíhajícím dialogem.


Mohlo by vás zajímat: MARSH: Zvýšení pojistného u globálního podnikatelského pojištění o 6 %


Plynulost procesu pokulhává rovněž u následujícího vymezení, kdy v rámci postavení dozorových úřadů v tomto procesu nedošlo během veřejné konzultace k akceptaci připomínek ke stanovení konkrétního časového rámce pro posouzení kodexů. Toto nevymezení maximální možné lhůty k posouzení může vést k řadě nesrovnalostí v praxi jednotlivých národních dozorových orgánů. Postavení ÚOOÚ jakožto nezávislého dozorového úřadu je upraveno čl. 51 a násl. GDPR. Podle § 50 zákona o zpracování osobních údajů[3] se jedná o ústřední správní úřad. Lze tedy dovodit, že není-li lhůta přímo uvedena ve zvláštním zákoně, bude aplikována obecná úprava správního řádu[4]. V rámci povinnosti podávajícího subjektu Pokyny též doporučují stanovit kontaktní osobu pro komunikaci s dozorovým úřadem, a to primárně pro účely podání vysvětlení v přiměřeném časovém horizontu.

Kontext Standardů a jejich překlopení v kodex chování

Jak vidíme, vytvořením textace Standardů, navazujícím schválením a přistoupením členů úsilí ovšem nekončí. Pracovní skupina očekává, že dokument se bude v následujícím období vyvíjet v souladu s praxí i výkladem. Jelikož jsou Standardy považovány za živý dokument reagující na faktickou aplikaci GDPR, je nezbytné, aby se věcné i výkladové hledisko v jejich obsahu odrazilo. Text Standardů byl vytvářen v době, kdy docházelo k implementaci GDPR, objevovaly se různé praktické otázky a k tomu se rozvíjel odpovídající odborný výklad, v některých případech podpořený konzultací s ÚOOÚ. Lze očekávat, že v návaznosti na postupnou výstavbu výkladové a judikaturní základny bude následně docházet k úpravám a doplněním textu Standardů. Prozatím ČAP plánuje aktualizovat Standardy jednou ročně.


Mohlo by vás zajímat: Vladimír Přikryl: AČPM významně ovlivnila vývoj domácího pojistného trhu


Současná verze Standardů již téměř splňuje podmínky EDPB. Deficit kompatibility se vyskytuje především u monitorovacího orgánu. Zde se ale točíme v začarovaném kruhu, neboť EDPB ve vymezení jeho ustanovení jako povinnosti výrazně překročil své možnosti a zpřísnil dikci nařízení.

Úkolem level 2 textu (Pokynů) není a nesmí být stanovení nových povinností. Jedná se pouze o nástroj detailnějšího vymezení a specifikace požadavků právně závazného level 1 textu (nařízení). Co z Pokynů plyne pro budoucí vývoj textu Standardů, do jaké míry splňuje jejich současná podoba kritéria vymezená EDPB a které požadavky Pokynů budou největší výzvou, znázorňuje tabulka 1.

Kámen úrazu aneb Povinné ustanovení monitorovacího orgánu?

Text EDPB ignoruje nutnost proporcionálního stanovení podmínek respektujících samotný text GDPR a zavádí povinné ustanovení monitorovacího orgánu. To může v podstatné míře vést k navýšení organizační, administrativní a finanční zátěže zainteresovaných subjektů, což má potenciální odrazující dopad na subjekty orientované na tvorbu kodexu chování ve smyslu GDPR.

Samotný text Pokynů sice, podobně jako stanovisko ÚOOÚ, proklamuje podporu vzniku kodexů obsahujících specifika různých odvětví a zdůrazňuje pozitiva společných best practice, na druhé straně jsou praktické dopady formulace Pokynů v rozporu s prohlašovanou podporou tvorby kodexů ze strany nejenom EDPB, ale i dozorových úřadů a členských států za účelem konzistentní aplikace GDPR.


Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Nultý pilíř, aneb kreativitě se meze nekladou


Ve věci monitorovacího orgánu Pokyny odkazují na čl. 41 GDPR, dle kterého „aniž jsou zasaženy úkoly a pravomoci příslušného dozorového úřadu podle čl. 57 a 58, může monitorování souladu s kodexem chování podle čl. 40 provádět subjekt, který má ohledně předmětu kodexu příslušnou úroveň odborných znalostí a je pro tento účel akreditován příslušným dozorovým úřadem“. Zde vidíme, že Pokyny, zakotvující pozici monitorovacího orgánu jako povinnost, nikoli možnost, překračují level 1 text nařízení. Pro naše účely ale prozatím nezbývá nic jiného než tento nesoulad ignorovat, jelikož důrazně formulované připomínky k této věci nebyly ze strany EDPB během veřejné konzultace zohledněny.

Podle dikce Pokynů může být monitorovací orgán subjektem externí nebo interní povahy. Může se jednat např. o ad hoc komisi, samostatné oddělení, které by mělo naplnit požadavky separátního managementu a odpovědnosti za zbytek organizace společně s dostatečným zázemím. Pokyny uvádějí, že toho může být dosaženo např. efektivními organizačními a informačními překážkami a odděleným reportingovým managementem či rozpočtem.


Mohlo by vás zajímat: Robert Kareš: AČPM je profesionální platforma se silným renomé


Orgán může být dle čl. 41 odst. 2 GDPR ze strany dozorového úřadu akreditován pro monitorování souladu s kodexem chování za splnění několika podmínek. Jde o prokázání (ke spokojenosti příslušného dozorového úřadu) nezávislosti, a to ve vztahu ke členům vázaným kodexem i sektoru obecně, což bude posuzováno z hlediska financování, rozhodování, personálního obsazení, organizační struktury a odborné znalosti předmětu kodexu.

Dále je povinen prokázat, že stanovil postupy, které mu umožňují posoudit způsobilost zainteresovaných správců a zpracovatelů, pokud jde o uplatňování kodexu, monitorovat, zda jeho ustanovení dodržují, a pravidelně přezkoumávat jeho fungování. Také je povinen ukázat stanovené postupy a struktury pro řešení stížností na porušování kodexu nebo na způsob, jak správce nebo zpracovatel kodex uplatňoval nebo uplatňuje, a učinit tyto postupy a struktury pro subjekty údajů a pro veřejnost transparentními. Může se jednat např. o publikaci postupu vyřizování stížností třeba jako přílohy kodexu chování. V neposlední řadě je zde vymezena podmínka prevence střetu zájmů, kdy orgán ke spokojenosti příslušného dozorového úřadu prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů.

Tabulka 1 Kompatibilita Standardů s požadavky Pokynů

Obdobně jako DPO, i monitorovací orgán by měl být oprávněn jednat samostatně, bez hrozby sankce nebo přímých či nepřímých zásahů ze strany držitele kodexu, jeho členů či jiného externího subjektu. Jeho úkolem bude posuzování způsobilosti členů a monitorování souladu s dokumentem formou pravidelných či předem neavizovaných inspekcí, pravidelného reportingu anebo dotazníků. Dále bude odpovídat za jeho pravidelnou revizi, přičemž případné změny a dodatky budou také předmětem posouzení dozorového orgánu. Orgán by měl být oprávněn ke stanovování sankcí či opravných opatření typu preventivní tréninky, varování, požadavky či pozastavení členství. Pro případy, kdy se na tvorbě kodexu spolupodílel externí subjekt, může být vyžadováno i prokázání jeho nezávislosti.

Tyto podmínky, především oddělení od běžné organizační struktury, mohou být pro mnohé subjekty z hlediska ekonomické náročnosti odrazující překážkou. Posuzování odbornosti může být také oříškem vzhledem k nové povaze agendy. Kromě toho jejich vymezení nerespektuje základní smysl kodexu chování, který má subjektům umožnit tvorbu nákladově efektivního mechanismu ochrany osobních údajů.


Mohlo by vás zajímat: Brexit a odpovědnost za škodu způsobenou vadným výrobkem


Úloha dozorového úřadu

Dozorový úřad dokument zhodnotí ve dvou krocích. Nejdříve posoudí naplnění výše popsaných kritérií a následně přistoupí k souhrnnému posouzení obsahu dokumentu. Posouzení by mělo proběhnout v „přiměřené lhůtě“ (která, jak uvádíme výše, nebyla specifikována). V případě schválení kodexu chování dojde k jeho registraci a publikaci.

EDPB všechny schválené kodexy chování a jejich úpravy či rozšíření shromáždí v registru a zveřejní. Akreditace může být zrušena, jestliže nejsou nebo přestaly být dodržovány podmínky nebo je činnost subjektu v rozporu s GDPR. Pro úplnost dodáváme, že pro případy návrhů kodexů chování týkajících se činností zpracování v několika členských státech se postup mírně liší. To ale vzhledem k povaze a aspiraci Standardů není předmětem tohoto článku.

Hodnocení a přezkum GDPR 2020

Navzdory tomu, že proces ustálení praxe i výkladu v oblasti GDPR pořád probíhá jak na národní, tak evropské úrovni, blíží se termín jeho hodnocení a přezkumu ze strany Evropské komise. Ta je na základě čl. 97 GDPR povinna do 25. května 2020 předložit Evropskému parlamentu a Radě EU zprávu o hodnocení a přezkumu tohoto nařízení. V této věci již probíhá konzultace, které se ČAP účastní. Jedná se o vhodnou platformu ke komunikaci implementačních potíží či jiných nejasností. Mezi ně nepochybně patří i svévole EDPB ve věci ustanovení povinného monitorovacího orgánu. To bude pravděpodobně komunikováno nejen ze strany subjektu pojistného trhu.


Mohlo by vás zajímat: ČBA: Podceňujeme útoky přes mobil a neměníme hesla


Z důvodu krátké doby účinnosti GDPR se prozatím nepředpokládá, že toto hodnocení vyústí v legislativní revizi. Tento postup je podporován i pojistným odvětvím, které vzhledem k rozsahu vynaložených nákladů ke compliance s GDPR hodnotí revizi v tomto termínu jako předčasnou. Podle kuloárních informací z evropských institucí jsou Pokyny přijímány se silnými výhradami. Snad se tedy dočkáme i jejich přepracování a dosažení souladu s textem nařízení.

Další kroky

Navzdory dlouhé době přípravy, očekáváním i aktivnímu vymezení zásadních připomínek jsou Pokyny zklamáním, neboť do praxe nevnášejí mnoho pozitivního. Spíše naopak. Místo krystalizace požadavků zavádějí náročná kritéria nad rámec nařízení a zesilují nejistotu subjektů i dozorového úřadu při posuzování náležitostí návrhů kodexů. Z komparace současné verze Standardů a těchto kritérií však vidíme, že Standardy jsou vhodným základem pro pozdější transformaci v kodex chování, a to jak z obsahového, tak formálního hlediska. Vydání Pokynů tuto cestu sice spíše zkomplikovalo, avšak vzhledem k masivním výhradám ze všech stran není snad současná verze tou finální. 


Pojistný obzor je k přečtení ZDE


Mgr. Jana Andraščiková, LL.M.
právník, evropská agenda
Česká asociace pojišťoven


[1] Vstupem GDPR v účinnost došlo k transformaci WP29 na EDPB.
[2] Přistoupivší pojišťovna se zavazuje zajistit dodržování pravidel stanovených Standardy i do budoucna a je povinna provádět vyhodnocení souladu se Standardy na roční bázi a tato vyhodnocení předkládat ČAP. Pokud by docházelo k opakovanému porušování Standardů, může být pojišťovna vyškrtnuta z evidence pojišťoven dodržujících Standardy.
[3] Zákon č. 110/2019 Sb., o zpracování osobních údajů.
[4] Zákon č. 500/2004 Sb., správní řád.

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

Související články