Uppförandekoder och certifieringar
Tanken är att uppförandekoden ska ge dataskyddsprinciperna och andra bestämmelser i dataskyddsförordningen en mer praktisk innebörd och därigenom underlätta för dem som ska tillämpa reglerna. Innan en uppförandekod kan börja tillämpas behöver den godkännas av en dataskyddsmyndighet. En förutsättning för att en kod ska godkännas är att dataskyddsmyndigheten bedömer att den bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen.
Vad är en uppförandekod?
En uppförandekod är – i dataskyddsförordningens mening – en uppsättning dataskyddsregler för vissa kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, som de frivilligt tar på sig att följa.
Till exempel kan man inom en viss bransch komma överens om skräddarsydda och praktiska dataskyddsregler, anpassade efter branschens behov och kraven i dataskyddsförordningen. Typiskt sett samlar branschorganisationen reglerna i en uppförandekod. När en dataskyddsmyndighet har godkänt koden tillämpas den av organisationens medlemmar.
En uppförandekod behöver dock inte vara begränsad till en viss bransch. En och samma kod kan användas av olika branscher vars behandlingar liknar varandra och har liknande ändamål.
Fördelar med en uppförandekod
Ett kostnadseffektivt sätt att upprätthålla ett gott dataskydd
En uppförandekod kan vara en kostnadseffektiv metod att upprätthålla ett gott dataskydd. Inte minst för små och medelstora företag som behandlar personuppgifter kan en uppförandekod i hög grad underlätta den praktiska tillämpningen av dataskyddsprinciperna och andra bestämmelser i dataskyddsförordningen. Detta genom att koden anpassas efter den aktuella branschens behov och de behandlingar som utförs.
En godkänd uppförandekod kan ge personuppgiftsansvariga och personuppgiftsbiträden god vägledning om lämpliga åtgärder.
Praktiska lösningar i särskilda situationer
Då en uppförandekod utarbetas har personuppgiftsansvariga och personuppgiftsbiträden viss frihet att komma överens om och själva formulera bästa praxis för behandling av personuppgifter inom sin bransch.
En branschorganisation med grundlig kunskap om vilka utmaningar och frågor kring behandling av personuppgifter som är särskilt viktiga för branschen har goda förutsättningar att hitta praktiska lösningar på även mer kritiska delar av personuppgiftsbehandlingen.
Enhetlighet och transparens
En uppförandekod kan även bidra till enhetlighet i dataskyddet inom en bransch och ge de registrerade bättre inblick i och förståelse för den behandling av personuppgifter som utförs.
Ett sätt att visa att man efterlever dataskyddförordningen
Ett antal bestämmelser i dataskyddsförordningen säger att personuppgiftsansvariga och personuppgiftsbiträden kan använda tillämpningen av en godkänd uppförandekod för att visa att man fullgör sina skyldigheter och uppfyller kraven i förordningen.
Att en personuppgiftsansvarig eller ett personuppgiftsbiträde har tillämpat en godkänd uppförandekod ska dessutom beaktas vid beslut om en eventuell sanktionsavgift och storleken på sanktionsavgiften. Om tillsynsmyndigheten till exempel anser att de åtgärder som kodens övervakningsorgan vidtar mot den som brustit i efterlevnaden är tillräckligt effektiva, proportionerliga eller avskräckande kan myndigheten avstå från sanktioner.
Vad kan en uppförandekod reglera?
En uppförandekod kan specificera tillämpningen av dataskyddsförordningen inom till exempel följande områden (artikel 40.2):
a) rättvis och öppen behandling,
b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,
c) insamling av personuppgifter,
d) pseudonymisering av personuppgifter,
e) information till allmänheten och de registrerade,
f) utövande av registrerades rättigheter,
g) information till och skydd av barn samt metoder för att få föräldrarnas samtycke,
h) åtgärder och förfaranden för att säkerställa och kunna visa att behandlingen utförs enligt förordningen (artikel 24), kring inbyggt dataskydd och dataskydd som standard (artikel 25) samt säkerhetsåtgärder (artikel 32)
i) anmälan av personuppgiftsincidenter,
j) överföring av personuppgifter till tredjeländer eller internationella organisationer,
k) förfaranden för lösande av tvister mellan personuppgiftsansvariga och registrerade.
Uppräkningen är inte uttömmande och en kod måste inte innehålla regler på alla områden som räknas upp. Olika uppförandekoder kan rikta in sig på olika bestämmelser i dataskyddsförordningen. Inom en viss bransch kanske den största utmaningen är vilka säkerhetsåtgärder som ska vidtas för att skydda de personuppgifter som behandlas, medan det i en annan bransch främst behövs regler om vilken information som ska ges till de registrerade och på vilket sätt.
En uppförandekod kan med fördel begränsas till att omfatta de mest utmanande delarna av behandlingen av personuppgifter i en viss bransch.
Det är viktigt att uppförandekodens omfattning, och eventuella begränsningar av tillämpningsområdet, tydligt framgår av själva koden.
Vem kan ta fram en uppförandekod?
En uppförandekod kan utarbetas av sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden.
Till exempel kan branschorganisationer och andra intresseorganisationer hjälpa sina medlemmar att leva upp till kraven i dataskyddsförordningen på ett ändamålsenligt och kostnadseffektivt sätt genom att ta fram en uppförandekod för behandlingen av personuppgifter inom branschen.
Läs om begreppen personuppgiftsansvarig och personuppgiftsbiträde
Hur kontrolleras att uppförandekoden följs?
Uppförandekoden ska innehålla bestämmelser som gör det möjligt för ett övervakningsorgan att övervaka om uppförandekoden följs av de personuppgiftsansvariga eller personuppgiftsbiträden som har åtagit sig att följa den.
Övervakningsorganet ska ackrediteras av IMY, som också ska ta fram kriterier för ackrediteringen. Oavsett om en verksamhet omfattas av en uppförandekod eller inte har IMY möjlighet att utöva tillsyn över verksamhetens behandling av personuppgifter.
Texten baserar sig på Europeiska dataskyddsstyrelsens (EDPB) riktlinjer om uppförandekoder och övervakningsorgan.
Certifieringar
Certifieringar är en mekanism som personuppgiftsansvariga eller personuppgiftsbiträden kan använda för att upprätthålla ett gott dataskydd och visa att en behandling är förenlig med förordningen.
Utfärdandet av en certifiering ska göras av ett ackrediterat certifieringsorgan. I Sverige ansvarar det nationella ackrediteringsorganet Swedac för ackreditering av certifieringsorgan. De kriterier som en ackreditering ska grunda sig på tas fram av den nationella tillsynsmyndigheten, alltså av IMY. IMY ska även godkänna de kriterier som ligger till grund för en certifiering.