Datu valsts inspekcija ir izstrādājusi prasības, lai akreditētu institūciju, kas uzrauga rīcības kodeksu saskaņā ar Vispārīgās datu aizsardzības regulas 41. pantu. Ņemot vērā to, ka rīcības kodeksi ir mehānisms, kuru pakāpeniski ievieš visās Eiropas Ekonomikas zonas dalībvalstīs, esam sagatavojuši skaidrojumu par to, kas ir rīcības kodeksi un kādas ir prasības rīcības kodeksa pārraudzības institūciju akreditācijai.
Rīcības kodekss ir brīvprātīgs pārskatatbildības instruments, kas ļauj nozari pārstāvošām organizācijām apzināt problēmas savā jomā un rast tām risinājumu, nodrošinot atbilstību Datu regulai, veicināt datu subjektu (klientu) uzticību organizācijai (uzņēmumam). Izstrādājot rīcības kodeksu, tiek veidota labā prakse un nosacījumi, kā ietvaros pārziņi un apstrādātāji darbojas vienoti, ievērojot uz tiem specifiski attiecināmu noteikumu un rīcības kopumu.
Rīcības kodeksā iekļauj konkrētus datu aizsardzības noteikumus pārziņiem un apstrādātājiem, ietverot sīku aprakstu par atbilstošāko juridisko noteikumu kopumu nozarē.
Rīcības kodekss ir jāizstrādā tā, lai attiecīgās nozares pārstāvjiem sniegtu norādījumus par piemērotu pasākumu īstenošanu datu apstrādē, sevišķi attiecībā uz riska identificēšanu, tā novērtēšanu, ņemot vērā avotus, raksturu, iespējamību un nopietnību, kā arī, lai veidotu paraugpraksi un noteiktu pārziņu un apstrādātāju pienākumus nolūkā mazināt riskus.
Ņem vērā! Ja uzņēmumiem, kuri strādā dažādās nozarēs ir kopīgs darbības veids ar vienādām datu apstrādēm un vajadzībām, tad, izveidojot skaidrus nosacījumus, pārraudzības un uzraudzības mehānismus, var tikt izstrādāts viens rīcības kodekss.
Rīcības kodeksus izstrādā apvienības un asociācijas vai citas nozares pārstāvošas struktūras, ņemot vērā konkrētas nozares specifiskās iezīmes un vajadzības, kas pārstāv konkrētās jomas pārziņus vai apstrādātājus un veic apspriešanos ar ieinteresētajām personām – sabiedrību.
Rīcības kodeksus apstiprina uzraudzības iestāde (Latvijā - Datu valsts inspekcija) un to darbības laikā tiek pārraudzīta to turpmāka atbilstība Datu regulai. Savukārt rīcības kodeksu nepārtrauktu atbilstību pārrauga Datu valsts inspekcijas akreditēta iestāde, kura atbilst noteiktiem kritērijiem.
Kas ir pārraudzības institūcija?
Pārraudzības institūcija ir konkrēta struktūra (institūcija/komiteja vai vairākas), kura objektivitātes ziņā ir neatkarīga attiecībā uz rīcības kodeksa dalībniekiem, profesiju, nozari vai jomu, kurai kodeksu piemēro. Tā saskaņā ar Datu regulas 41.pantu veic pārraudzību procesiem, lai pārliecinātos un nodrošinātu, ka kodekss ir atbilstošs Datu regulas un citām datu aizsardzību regulējošo normatīvo aktu prasībām.
Pārraudzības institūcijas akreditācija attiecas tikai uz konkrētu kodeksu, tomēr tā var tikt akreditēta vairāk nekā vienam konkrētam kodeksam, ja tā atbilst akreditācijas prasībām katram kodeksam atsevišķi atbilstoši izstrādātajiem “Rīcības kodeksa pārraudzības institūciju akreditācijas prasības”. Katrs kodekss tiek vērtēts atsevišķi, ņemot vērā nozari un tās specifiku. Pārraudzības institūcijas akreditācijas derīguma termiņš ir 5 gadi.
Kas ir iekļauts “Rīcības kodeksa pārraudzības institūciju akreditācijas prasības”?
Datu valsts inspekcija, ievērojot Datu regulā noteikto, ir izstrādājusi un apstiprinājusi Rīcības kodeksa uzraudzības institūciju akreditācijas prasības, kurās ietverts:
- vispārīgas prasības un to piemērošana, tai skaitā, kādi dokumenti jāiesniedz organizācijām, kuras vēlas saņemt licenci rīcības kodeksa pārraudzībai, papildinot jau Ministru kabineta noteikumos Nr.488 noteiktās minimālās prasības;
- prasības attiecībā uz pārraudzības institūcijas neatkarību, izstrādātās prasības nosaka, kā nodrošināt un pierādīt pārraudzības institūcijas atbilstību juridiskiem apsvērumiem. Kā arī prasības attiecībā uz lēmumu pieņemšanas procedūrām, finanšu resursiem, organizatoriskiem resursiem, struktūrai un pārskatatbildības savos procesos;
- ņemot vērā pārraudzības institūcijas pienākumu nodrošināt, ka nepastāv interešu konflikts starp pārraudzības institūciju un rīcības kodeksa īpašnieku, prasības paredz prasības noteiktu drošības pasākumu kopumu, ko tā piemēro, lai novērstu, atklātu un likvidētu iespējamos interešu konfliktus;
- prasības paredz noteikumu kopumu kā pārraudzības institūcijai pierādīt, ka tai ir atbilstošas zināšanas gan attiecībā uz juridisko, tehnisko, gan revīzijas profilu;
- noteikumu kopumu, kā pārraudzības institūcijai pierādīt, ka tā ir ieviesusi atbilstošas pārvaldības procedūras un struktūras, lai nodrošinātu rīcības kodeksa uzraudzību;
- prasības paredz mehānismus, kas jāievieš pārraudzības institūcijai, lai tā spētu izskatīt datu subjektu sūdzības objektīvā un pārredzamā veidā;
- prasības paredz mehānismus, kas jāievieš pārraudzības institūcijai, lai tā spētu nodrošināt efektīvu komunikāciju ar Datu valsts inspekciju;
- prasības paredz pārraudzības institūcijai izstrādāt un ieviest rīcības kodeksa pārskatīšanas mehānismu;
- prasības attiecībā uz juridisko statusu, lai tā varētu veikt savus uzdevumus saskaņā ar Datu regulas 41.panta 4.punktu.
Ministru kabineta noteikumi Nr. 488 – "Rīcības kodeksa pārraudzības institūcijas licencēšanas noteikumi" nosaka prasības akreditācijas licences saņemšanai, tai skaitā, iesniegumā iekļaujamās informācijas apjomu, kā arī akreditācijas licences izsniegšanas, apturēšanas un anulēšanas kārtību, valsts nodevas apmēru un licences pārskaitīšanas kārtību.
PAPILDU INFORMĀCIJA:
Eiropas Datu aizsardzības kolēģija ir izstrādājusi pamatnostādnes attiecībā uz noteikumu par rīcības kodeksiem un uzraudzības struktūrām.
Pamatnostādnes pieejamas: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-0_en
Attēls: freepik.com