Uppförandekoder och certifieringar

Vad är en uppförandekod?

En uppförandekod är en sorts regelbok om behandling av personuppgifter som utarbetats av och frivilligt tillämpas inom till exempel en viss bransch eller sektor. 

Tanken med uppförandekoder är att ge dataskyddsprinciperna och andra bestämmelser i dataskyddsförordningen en mer praktisk innebörd och därigenom underlätta för dem som ska tillämpa reglerna.

Innan en uppförandekod kan börja tillämpas behöver den godkännas av en dataskyddsmyndighet. En förutsättning för att en kod ska godkännas är att dataskyddsmyndigheten bedömer att den bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen.

Vad är en certifiering?

Certifiering är en mekanism som personuppgiftsansvariga eller personuppgiftsbiträden kan använda för att upprätthålla ett gott dataskydd och visa att en behandling är förenlig med förordningen.

För att bli certifierad och få ett certifikat måste en personuppgiftsansvarig eller -biträde ansöka till ett oberoende ackrediterat certifieringsorgan. Certifieringsorganet kontrollerar genom att granska rapporter och andra kontrolldokument, genomför intervjuer med behörig personal med mera, för att fastställa om en personuppgiftsansvarig eller -biträde lever upp till certifieringens krav.

I Sverige ansvarar Styrelsen för ackreditering och teknisk kontroll (Swedac), som är det nationella ackrediteringsorganet, för ackreditering av certifieringsorgan enligt dataskyddsförordningen. De krav som en ackreditering i Sverige ska grunda sig på utarbetas för närvarande av IMY.

IMY ska även godkänna de kriterier som ligger till grund för ett certifikat som omfattar personuppgiftsansvariga eller -biträden som behandlar personuppgifter i Sverige. Om kriterierna är tänkta att kunna användas inom hela EES-området ska Europeiska dataskyddsstyrelsen (EDPB) godkänna kriterierna.