Εγγραφή - Είσοδος μελών
Username:
Password
Υπεύθυνοι και Εκτελούντες>> Κώδικες δεοντολογίας
 
Αποφάσεις
 
Συχνές ερωτήσεις
 
Θεματικές ενότητες
 
Σημαντικά αρχεία
 
 
Μικροί Πολίτες
 
Ασφάλεια
 
 

Κώδικες δεοντολογίας



Τι είναι και ποιος τους καταρτίζει;

Οι κώδικες δεοντολογίας προβλέπονται στο άρ. 40 ΓΚΠΔ και αποσκοπούν στο να διευκολύνεται η ουσιαστική εφαρμογή του Κανονισμού, ρυθμίζοντας ειδικές υποχρεώσεις τόσο υπευθύνων επεξεργασίας όσο και εκτελούντων την επεξεργασία, για ειδικούς τομείς δραστηριότητας. Ως εκ τούτου, οι κώδικες δεοντολογίας ΔΕΝ εκπονούνται από μεμονωμένους υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία, αλλά από ενώσεις ή άλλους φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία. Συνεπώς, η εν λόγω έννοια του κώδικα δεοντολογίας του άρ. 40 είναι διαφορετική από οποιονδήποτε άλλον κώδικα δεοντολογίας έχει τυχόν ήδη θεσπίσει υπεύθυνος επεξεργασίας για τις πράξεις επεξεργασίας προσωπικών δεδομένων που διενεργεί.


Είναι υποχρεωτικοί;

Οι κώδικες δεοντολογίας δεν είναι υποχρεωτικοί αλλά προαιρετικοί. Ωστόσο, η Αρχή σαφώς ενθαρρύνει την εκπόνησή τους, υπό την έννοια ότι μπορεί να αποτελούν σύνολο ειδικών κανόνων/πρακτικών προς τη συμμόρφωση με τις συνολικές προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων που θέτει ο Κανονισμός.


Τι λαμβάνεται υπόψη κατά την κατάρτισή τους;

Κατά την κατάρτιση ενός κώδικα δεοντολογίας ή κατά την τροποποίηση ή την επέκταση ενός τέτοιου κώδικα, ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία θα πρέπει να διαβουλεύονται με τα ενδιαφερόμενα μέρη, μεταξύ άλλων και με υποκείμενα των δεδομένων, όπου αυτό είναι εφικτό, και να λαμβάνουν υπόψη όσες παρατηρήσεις υποβάλλονται και όσες απόψεις διατυπώνονται στο πλαίσιο αυτών των διαβουλεύσεων. Λοιπά στοιχεία που λαμβάνονται υπόψη κατά την κατάρτιση ενός κώδικα περιγράφονται στο ρ. 40 παρ. 2 ΓΚΠΔ.


Χρειάζεται έγκριση ενός κώδικα δεοντολογίας;

Το σχέδιο ενός τέτοιου κώδικα πρέπει να υποβάλλεται στην Αρχή, η οποία γνωμοδοτεί για το αν ο εν λόγω κώδικας είναι σύμφωνος με τον Κανονισμό και τον εγκρίνει εφόσον κρίνει ότι παρέχει επαρκείς εγγυήσεις (είτε πρόκειται για αρχικό κώδικα είτε για τροποποίηση υπάρχοντα). Ένας εγκεκριμένος από την Αρχή κώδικας δεοντολογίας, εφόσον τηρείται από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία, δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας (άρ. 24 παρ. 3 ΓΚΠΔ) ή ως στοιχείο για να αποδειχθεί ότι ο εκτελών την επεξεργασία παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παρ. 1 και 4 του άρ. 28 (άρ. 28 παρ. 5). Όταν η Αρχή εγκρίνει έναν κώδικα, τον καταχωρίζει και τον δημοσιεύει.


Χρειάζεται μηχανισμός παρακολούθησης του κώδικα;

Ένας κώδικας δεοντολογίας θα πρέπει να περιέχει μηχανισμούς που επιτρέπουν σε ένα συγκεκριμένο ανεξάρτητο φορέα −που διαθέτει το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με το αντικείμενο του κώδικα− να διενεργεί την παρακολούθηση της συμμόρφωσης προς τις διατάξεις του από τους υπευθύνους επεξεργασίας ή τους εκτελούντες την επεξεργασία που έχουν αναλάβει να τον εφαρμόζουν. Σημειώνεται ότι ο εν λόγω φορέας («φορέας παρακολούθησης») πρέπει να είναι ειδικά προς τούτο διαπιστευμένος από την Αρχή. Οι φορείς παρακολούθησης έχουν συγκεκριμένες υποχρεώσεις σε περίπτωση που διαπιστώνουν παράβαση του κώδικα (άρθρο 41 παρ. 5 ΓΚΠΔ). Η Αρχή δύναται να ανακαλέσει οποτεδήποτε τη διαπίστευση ενός φορέα παρακολούθησης, αν κρίνει ότι δεν πληρούνται πια τα κριτήρια βάσει των οποίων έλαβε διαπίστευση ή αν ο φορέας δεν συμμορφώνεται με τις υποχρεώσεις του.

Προσοχή: Τα σχετικά με τον φορέα παρακολούθησης του κώδικα δεοντολογίας δεν εφαρμόζονται στην επεξεργασία που διενεργείται από δημόσιες αρχές και δημόσιους φορείς, για τις οποίες δεν χρειάζεται να υπάρχει φορέας παρακολούθησης.


Τι ισχύει στη διασυνοριακή περίπτωση;

Σε περίπτωση που το σχέδιο κώδικα δεοντολογίας αφορά επεξεργασία προσωπικών δεδομένων σε διάφορα Κράτη Μέλη, τότε η ένωση που τον καταρτίζει τον υποβάλλει σε μια αρμόδια εποπτική Αρχή (τεκμηριώνοντας για ποιο λόγο κρίθηκε η εν λόγω εποπτική Αρχή ως αρμόδια). Ακολούθως η αρμόδια εποπτική Αρχή υποβάλλει το σχέδιο, πριν από την έγκρισή του, στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (μέσω μηχανισμού συνεκτικότητας), το οποίο γνωμοδοτεί ως προς τη συμμόρφωση του σχεδίου προς τον Κανονισμό (ΕΕ) 2016/679. Σε θετική γνωμοδότηση του Συμβουλίου, η γνώμη διαβιβάζεται στην Επιτροπή, η οποία μπορεί, μέσω εκτελεστικών πράξεων, να αποφασίζει ότι οι εγκεκριμένοι κώδικες δεοντολογίας (και οι τυχόν τροποποιήσεις ή οι επεκτάσεις που υποβλήθηκαν) έχουν γενική ισχύ εντός της Ένωσης.

Σημειώνεται ότι αυτοί οι εγκεκριμένοι κώδικες δεοντολογίας μπορούν να τηρούνται και από υπευθύνους/εκτελούντες μη υπαγόμενους στον Κανονισμό, προκειμένου να παρέχονται οι κατάλληλες εγγυήσεις στο πλαίσιο των διαβιβάσεων προσωπικών δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς (βλ. Διαβιβάσεις δεδομένων εκτός ΕΕ).

Υπεύθυνοι και Εκτελούντες