Kodexy chování
Prokázání souladu s nařízením 2016/679 je možné podpisem a dodržování kodexu chování (pokud pro danou oblast existuje), vydání osvědčení (certifikátu) o shodě nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).
Kodex chování definuje základní zásady, postupy a požadavky na zpracování osobních údajů v konkrétním odvětví.
Kodex chování je určen skupině správců nebo zpracovatelů stejného typu (příkladem by mohly být cestovní kanceláře, lékaři, pojišťovny, banky apod.).
Kodex musí být zpracován tak, aby pokryl požadavky upravené obecným nařízením o ochraně osobních údajů pro (operace) zpracování osobních údajů konkrétního druhu.
Text kodexu doporučujeme rozčlenit na části v souladu s články (zejména čl. 5 až 49) obecného nařízení upravujících činnost správce nebo zpracovatele při zpracování osobních údajů a v rámci nich definovat základní zásady, postupy a požadavky na zpracování osobních údajů, a to jak pozitivní (co správce nebo zpracovatel dělat musí), tak negativní (co správce nebo zpracovatel dělat nesmí).
Zásady, požadavky a postupy musí být formulovány natolik konkrétně, aby jejich plnění bylo ověřitelné v rámci monitorování prováděného nezávislým subjektem.
Neexistuje povinnost přihlásit se k dodržování kodexu chování, jedná se o jednu z volitelných variant ověření uplatňování obecného nařízení o ochraně osobních údajů. Pokud se však správce nebo zpracovatel přihlásí k dodržování kodexu chování, je povinen se podrobit pravidelnému monitorování kodexu chování nezávislým subjektem.
Příslušný dozorový úřad v případě národního kodexu (zahrnuje činnosti zpracování v jednom členském státě). V ČR Úřad pro ochranu osobních údajů.
V případě nadnárodního kodexu Evropský sbor pro ochranu osobních údajů na základě předložení příslušného dozorového úřadu.
Monitorování dodržování kodexu chování provádí nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, který prokáže odborné znalosti oblasti (činnost prováděná skupinou správců), pro kterou je kodex určen, znalosti z ochrany osobních údajů a znalosti a zkušenosti s prováděním auditů.
V případě orgánů veřejné moci a veřejných subjektů neprovádí monitorování nezávislý subjekt akreditovaný Úřadem pro ochranu osobních údajů, ale monitorování případných kodexů chování musí být zajištěno v rámci vnitřních kontrolních mechanismů (například pověřencem pro ochranu osobních údajů nebo vnitřním kontrolním/auditním orgánem).
Monitorování se provádí v pravidelných intervalech, nejlépe jedno až dvouletých.