Här får du svar på vanliga frågor som vi får in till IMY. Du kan söka, filtrera på kategorierna AI, dataskydd, kamerabevakning, kreditupplysning samt utbildning och stöd. Du kan även välja om du vill se frågor från privatpersoner eller från verksamheter.
Sök på sidan
Det finns {{hitCount}} träffar som matchar din sökning.
Det finns 111 träffar som matchar din sökning.
Samtliga uppförandekoder som godkänts av behöriga tillsynsmyndigheter ska publiceras på den ansvariga tillsynsmyndighetens webbplats och på EDPB:s webbplats. Det finns därför inga hinder för branschorganisation att granska befintliga uppförandekoder och de krav som ställts däri.
Observera att varje uppförandekod måste kunna svara mot de särskilda dataskyddsbehov som finns i en bransch eller sektor. Om det redan finns en uppförandekod inom en bransch eller sektor behöver den som utarbetar ytterligare en uppförandekod visa vilka behov den svarar mot. Dessutom måste alltid uppförandekodens upphovsman kunna visa på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden. Detta kan behöva granskas närmare om det förekommer flera uppförandekoder inom en bransch eller sektor.
I sammanhanget kan också nämnas att flera organisationer som är verksamma i samma bransch eller sektor kan utarbeta gemensamma uppförandekoder. Det kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.
När det gäller att kopiera kraven i en befintlig uppförandekod kan det slutligen finnas upphovsrättsliga hinder för att göra detta. IMY kan dock inte uttala sig närmare om upphovsrätten för uppförandekoder, eftersom det är något som ligger utanför myndighetens ansvarsområde.
Ja, ansvarsfördelningen för personuppgiftsbehandlingen inom en bransch eller sektor är ett lämpligt område att reglera i en uppförandekod. När det gäller gemensamt personuppgiftsansvar kan uppförandekoder exempelvis innehålla krav om hur överenskommelser, enligt artikel 26.1 i dataskyddsförordningen, ska vara utformade.
Ja, det är möjligt att ta fram flera uppförandekoder inom samma bransch. Varje uppförandekod måste dock svara mot ett identifierat dataskyddsbehov inom en bransch och respektive branschorganisation måste också uppfylla kravet på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden.
Flera organisationer som är verksamma i samma bransch eller sektor kan emellertid också utarbeta gemensamma uppförandekoder. Detta kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.
Det bör vara möjligt för företag som bedriver övervakningsverksamhet att konsultera med den som utarbetar uppförandekoden då den tas fram. Det är dock viktigt att uppförandekodens upphovsman inte försöker påverka det potentiella övervakningsorganet på ett sätt som kan påverka dess oberoende, vare sig under utarbetandet av uppförandekoden eller när koden tillämpas. Kontakter mellan företag som bedriver övervakningsverksamhet och uppförandekodens upphovsman bör därför dokumenteras under arbetet med att ta fram uppförandekoden.
Uppförandekodens upphovsman, till exempel en branschorganisation, ska i koden inkludera mekanismer för effektiv övervakning. Övervakningsorganets verksamhet inrättas därför genom uppförandekoden och det är upphovsmannen som behöver säkerställa att det finns ett ackrediterat kontrollorgan på plats innan uppförandekoden börjar tillämpas.
Tillämpningen av en uppförandekod är ett verktyg för att underlätta och visa på efterlevnaden av dataskyddsförordningen. Att en personuppgiftsansvarig eller ett personuppgiftsbiträde anslutit sig till en uppförandekod betyder därför inte per automatik att man uppfyller hela eller delar av dataskyddsförordningen. Det är därför företag och andra organisationer som tillämpar en uppförandekod ska stå under övervakning, nämligen för att säkerställa att uppförandekoden efterlevs.
Uppförandekoder måste inte heller täcka alla materiella regler i dataskyddsförordningen, men för att kunna godkännas ska koder uppfylla följande fem krav:
De ska svara mot de särskilda dataskyddsbehoven i en bransch eller sektor.
De ska underlätta tillämpningen av dataskyddsförordningen.
De ska precisera den praktiska tillämpningen av dataskyddsförordningen och göra den mer lättbegriplig.
De ska innehålla tillräckliga skyddsåtgärder.
De ska innehålla effektiva mekanismer för övervakning.
För personuppgiftsansvariga eller -biträden som är certifierade enligt ISO 27001 eller andra informationssäkerhetsstandarder kan certifieringen vara ett sätt att visa att informationssäkerhetskraven i uppförandekoden är uppfyllda. Detta förutsätter dock att certifieringen uppfyller uppförandekodens krav. Därutöver måste koden, när den tas fram, också uppfylla dataskyddsförordningens krav på informationssäkerhet.
Ja. För uppförandekoder där närliggande lagstiftning har stor betydelse för den personuppgiftsbehandling som omfattas av koden ska riktlinjer för den praktiska tillämpningen av dataskyddsförordningen i förhållande till sådan lagstiftning ingå.
Om uppförandekoden har riktlinjer för tillämpningen av annan lagstiftning än dataskyddsförordningen behöver kodens disposition vara tydlig, exempelvis genom indelning i olika avsnitt för tillämpning av olika lagstiftningar.
Det är möjligt för ett övervakningsorgan att övervaka flera uppförandekoder, men övervakningsorganet måste ha tillräcklig expertis om och vara oberoende i förhållande till de branscher eller sektorer som ska övervakas. Detta kan bli mer utmanande att uppfylla för ett övervakningsorgan som ska övervaka flera uppförandekoder.
En uppförandekod behöver inte omfatta all personuppgiftsbehandling inom en bransch. När ni tar fram en uppförandekod bör ni fokusera på de personuppgiftsbehandlingar som är specifika för er bransch och på de behandlingar som innebär störst risk för de registrerade. Det går bra att börja med att ta fram en uppförandekod med en mer begränsad omfattning, och därefter stegvis utöka uppförandekodens tillämpningsområde.
