Kodexy chování a vydávání osvědčení
Jednou z možností, jak prokázat, že správce plní příslušné povinnosti, je dodržování schváleného kodexu chování nebo schváleného mechanismu pro vydávání osvědčení zpracovatelem.(odst. 81 úvodních ustanovení GDPR). P
rozatím je to však hudba blízké nebo spíše vzdálené budoucnosti, jelikož takové kodex chování nebo i subjekty způsobilé vydávat osvědčení musí teprve vzniknout.
Kodexy chování
Sdružení nebo jiné subjekty zastupující různé kategorie správců nebo zpracovatelů by měly být vybízeny k tomu, aby v mezích tohoto nařízení vypracovaly kodexy chování s cílem usnadnit účinné uplatňování tohoto nařízení, a to při zohlednění zvláštní povahy zpracování prováděného v některých odvětvích a specifických potřeb mikropodniků a malých a středních podniků. Tyto kodexy chování by zejména mohly upřesňovat povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob. (odst. 98 úvodních ustanovení GDPR)
Při vypracovávání kodexu chování nebo při jeho změně či rozšíření by sdružení a jiné subjekty zastupující různé kategorie správců nebo zpracovatelů měly konzultovat příslušné zúčastněné strany, pokud možno i subjekty údajů, a měly. (odst. 99 úvodních ustanovení GDPR)
Sdružení nebo jiné subjekty, které mají v úmyslu vypracovat kodex chování nebo upravit či rozšířit existující kodex, předloží návrh kodexu či návrhy na úpravu či rozšíření kodexu ÚOOÚ. ÚOOÚ vydá stanovisko k tomu, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s tímto nařízením, a pokud shledá, že tento návrh nebo návrh na úpravu ný či rozšíření kodexu poskytuje dostatečné vhodné záruky, schválí jej. (čl. 40 odst. 5 GDPR).
Vydávání osvědčení
S cílem zvýšit transparentnost a lépe zajistit soulad s tímto nařízením je třeba vybízet k zavedení mechanismů pro vydávání osvědčení, jakož i pečetí a známek dokládajících ochranu údajů, aby subjekty údajů mohly u příslušných produktů a služeb rychle posoudit úroveň ochrany údajů. (odst. 100 úvodních ustanovení GDPR)
Vydávání osvědčení je dobrovolné a dostupné prostřednictvím postupu, který je transparentní.(čl. 43 odst. 3 GDPR).
Osvědčení vydávají subjekty pro vydávání osvědčení, kterým mohou být jednak ÚOOÚ a dále vnitrostátní akreditační orgán určeným v souladu s nařízením Evropského parlamentu a Rady (ES) č. 765/2008 20), v souladu s normou EN-ISO/IEC 17065/2012 (čl. 43 odst. 1 GDPR).
Aby mohl subjekt pro vydávání osvědčení, toto osvědčení správci nebo zpracovateli vydat musí mu správce nebo zpracovatel umožnit přístup ke svým činnostem zpracování, které jsou pro provedení postupu vydávání osvědčení nezbytné. (čl. 42 odst. 6 GDPR).
Osvědčení se vydává správci nebo zpracovateli na dobu nejvýše tří let a lze je obnovit za stejných podmínek, pokud jsou i nadále plněny příslušné požadavky. Nejsou-li požadavky na osvědčení plněny, nebo pokud již přestaly být plněny, subjekty pro vydávání osvědčení podle nebo příslušný dozorový úřad uvedené osvědčení odeberou. (čl. 42 odst. 7 GDPR).