Frågor och svar om uppförande­koder och övervaknings­organ

Inte minst tror vi att uppförandekoder kan leda till en reell höjning av dataskyddet inom vissa branscher eller sektorer. Det blir möjligt genom att uppförandekoden utarbetas i dialog mellan den som tar fram koden och IMY.

Vi hoppas därför att intresseorganisationer nu börjar titta på om det kan vara aktuellt att ta fram uppförandekoder för sina branscher eller sektorer.

Om ni har frågor eller funderingar finns det mer information på IMY:s webbplats: Uppförandekoder

Redan godkända uppförandekoder finns samlade i Europeiska dataskyddsstyrelsens (EDPB) register: Codes of Conduct, amendments and extensions 

Under webbinariet fick vi ett antal frågor som vi lovade att återkoppla till också på vår webbplats. Nedanför hittar ni lite mer utförliga svar på dessa frågor.

Om ni vill komma i kontakt med IMY angående uppförandekoder så hittar ni våra kontaktuppgifter här: Kontakta oss

Vem begär in yttranden från Europeiska datasskyddsstyrelsen (EDPB), den sökande organisationen eller den huvudansvariga myndigheten?

Den huvudansvariga myndigheten ansöker om ett yttrande från EDPB, enligt artikel 64.1 b i dataskyddsförordningen. Före ansökan om yttrande så sker en informell fas där den ansvariga myndigheten, i samarbete med andra dataskyddsmyndigheter, för en dialog om uppförandekoden med den organisation som ansöker om att få koden godkänd. Syftet med dialogen är att göra nödvändiga justeringar i uppförandekoden för att den ska kunna bli godkänd av EDPB.

Arbetslöshetskassorna är privaträttsliga organisationer men verkar inom offentlig sektor, behöver de övervakningsorgan eller inte?

Att en juridisk person är privaträttsligt inkorporerad, exempelvis i ett aktiebolag, är inom EU-rätten normalt sett inte avgörande för om verksamheten anses ske inom ramen för det offentliga. EU-domstolen har därför på olika rättsområden slagit fast att juridiska personer inom den privata sektorn kan tillhöra det offentliga, sett till deras uppdrag och den verksamhet som bedrivs.

Eftersom arbetslöshetskassornas verksamhet är reglerad i bland annat lagen (1997:238) om arbetslöshetsförsäkring och lagen (1997:239) om arbetslöshetskassor skulle detta kunna tala för att handhavandet av arbetslöshetskassorna tillhör det offentliga.

I detta avseende är viktigt att komma ihåg att oavsett om uppförandekoder omfattas av kravet på övervakningsorgan eller inte, så måste fortfarande någon form av övervakning hur uppförandekoden tillämpas ske, också inom den offentliga sektorn.

Kan man ta fram en uppförandekod kring delar (områden) av en bransch och därefter utöka koden över tid?

En uppförandekod behöver inte omfatta all personuppgiftsbehandling inom en bransch. När ni tar fram en uppförandekod bör ni fokusera på de personuppgiftsbehandlingar som är specifika för er bransch och på de behandlingar som innebär störst risk för de registrerade. Det går bra att börja med att ta fram en uppförandekod med en mer begränsad omfattning, och därefter stegvis utöka uppförandekodens tillämpningsområde.

Kan ett och samma (externa) övervakningsorgan övervaka flera uppförandekoder?

Det är möjligt för ett övervakningsorgan att övervaka flera uppförandekoder, men övervakningsorganet måste ha tillräcklig expertis om och vara oberoende i förhållande till de branscher eller sektorer som ska övervakas. Detta kan bli mer utmanande att uppfylla för ett övervakningsorgan som ska övervaka flera uppförandekoder.

Kan uppförandekoden även innehålla riktlinjer som hanterar lagstiftning som ligger nära dataskyddsförordningen, till exempel marknadsföringslagen?

Ja. För uppförandekoder där närliggande lagstiftning har stor betydelse för den personuppgiftsbehandling som omfattas av koden ska riktlinjer för den praktiska tillämpningen av dataskyddsförordningen i förhållande till sådan lagstiftning ingå.

Om uppförandekoden har riktlinjer för tillämpningen av annan lagstiftning än dataskyddsförordningen behöver kodens disposition vara tydlig, exempelvis genom indelning i olika avsnitt för tillämpning av olika lagstiftningar.

Kan uppförandekoder göra nytta för personuppgiftsansvariga eller -biträden som är certifierade enligt ISO 27001 eller andra informationssäkerhetsstandarder?

För personuppgiftsansvariga eller -biträden som är certifierade enligt ISO 27001 eller andra informationssäkerhetsstandarder kan certifieringen vara ett sätt att visa att informationssäkerhetskraven i uppförandekoden är uppfyllda. Detta förutsätter dock att certifieringen uppfyller uppförandekodens krav. Därutöver måste koden, när den tas fram, också uppfylla dataskyddsförordningens krav på informationssäkerhet.

Måste en uppförandekod vara heltäckande, det vill säga vara ett verktyg för att efterleva hela dataskyddsförordningen?

Tillämpningen av en uppförandekod är ett verktyg för att underlätta och visa på efterlevnaden av dataskyddsförordningen. Att en personuppgiftsansvarig eller ett personuppgiftsbiträde anslutit sig till en uppförandekod betyder därför inte per automatik att man uppfyller hela eller delar av dataskyddsförordningen. Det är därför företag och andra organisationer som tillämpar en uppförandekod ska stå under övervakning, nämligen för att säkerställa att uppförandekoden efterlevs.
Uppförandekoder måste inte heller täcka alla materiella regler i dataskyddsförordningen, men för att kunna godkännas ska koder uppfylla fem krav:

• de ska svara mot de särskilda dataskyddsbehoven i en bransch eller sektor
• de ska underlätta tillämpningen av dataskyddsförordningen
• de ska precisera den praktiska tillämpningen av dataskyddsförordningen och göra den mer lättbegriplig
• de ska innehålla tillräckliga skyddsåtgärder och
• de ska innehålla effektiva mekanismer för övervakning.

Vem ansvarar för att det finns ett ackrediterat kontrollorgan för en uppförandekod?

Uppförandekodens upphovsman, till exempel en branschorganisation, ska i koden inkludera mekanismer för effektiv övervakning. Övervakningsorganets verksamhet inrättas därför genom uppförandekoden och det är upphovsmannen som behöver säkerställa att det finns ett ackrediterat kontrollorgan på plats innan uppförandekoden börjar tillämpas.

Får ett företag som bedriver övervakningsverksamhet vara konsulterande vid framtagande av en uppförandekod?

Det bör vara möjligt för företag som bedriver övervakningsverksamhet att konsultera med den som utarbetar uppförandekoden då den tas fram. Det är dock viktigt att uppförandekodens upphovsman inte försöker påverka det potentiella övervakningsorganet på ett sätt som kan påverka dess oberoende, vare sig under utarbetandet av uppförandekoden eller när koden tillämpas. Kontakter mellan företag som bedriver övervakningsverksamhet och uppförandekodens upphovsman bör därför dokumenteras under arbetet med att ta fram uppförandekoden.

Om en bransch har flera branschorganisationer, kan uppförandekoder tas fram från respektive branschorganisation?

Ja, det är möjligt att ta fram flera uppförandekoder inom samma bransch. Varje uppförandekod måste dock svara mot ett identifierat dataskyddsbehov inom en bransch och respektive branschorganisation måste också uppfylla kravet på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden.

Flera organisationer som är verksamma i samma bransch eller sektor kan emellertid också utarbeta gemensamma uppförandekoder. Detta kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.

Kan uppförandekoder innehålla regler kring personuppgiftsansvaret, till exempel gemensamt personuppgiftsansvar?

Ja, ansvarsfördelningen för personuppgiftsbehandlingen inom en bransch eller sektor är ett lämpligt område att reglera i en uppförandekod. När det gäller gemensamt personuppgiftsansvar kan uppförandekoder exempelvis innehålla krav om hur överenskommelser, enligt artikel 26.1 i dataskyddsförordningen, ska vara utformade.

Finns det något som hindrar att en organisation tar fram en uppförandekod inom en bransch, och att en annan organisation inom samma bransch sedan bara kopierar uppförandekodens krav?

Samtliga uppförandekoder som godkänts av behöriga tillsynsmyndigheter ska publiceras på den ansvariga tillsynsmyndighetens webbplats och på EDPB:s webbplats. Det finns därför inga hinder för branschorganisation att granska befintliga uppförandekoder och de krav som ställts däri.

Observera att varje uppförandekod måste kunna svara mot de särskilda dataskyddsbehov som finns i en bransch eller sektor. Om det redan finns en uppförandekod inom en bransch eller sektor behöver den som utarbetar ytterligare en uppförandekod visa vilka behov den svarar mot. Dessutom måste alltid uppförandekodens upphovsman kunna visa på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden. Detta kan behöva granskas närmare om det förekommer flera uppförandekoder inom en bransch eller sektor.

I sammanhanget kan också nämnas att flera organisationer som är verksamma i samma bransch eller sektor kan utarbeta gemensamma uppförandekoder. Det kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.

När det gäller att kopiera kraven i en befintlig uppförandekod kan det slutligen finnas upphovsrättsliga hinder för att göra detta. IMY kan dock inte uttala sig närmare om upphovsrätten för uppförandekoder, eftersom det är något som ligger utanför myndighetens ansvarsområde.

Hur ser användandet av uppförandekoder ut i andra länder?

På EDPB:s webbplats finns samtliga godkända uppförandekoder publicerade: Codes of Conduct, amendments and extensions  

Cedric Voss, jurist vid IMY:s Rättsenhet