Den här vägledningen innehåller praktisk information om bland annat vilka grundläggande förutsättningar som måste vara uppfyllda för uppförandekoder.
I denna vägledning får ni som ska ta fram en uppförandekod praktisk information om:
- vilka grundläggande förutsättningar som måste vara uppfyllda för att materialet ska anses vara en uppförandekod enligt dataskyddsförordningen,
- vad er uppförandekod och/eller ansökan om godkännande av koden måste innehålla för att kunna bedömas av oss på IMY (eller någon annan dataskyddsmyndighet) och
- vad vi tittar på vid vår bedömning av om koden bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen.
Att er uppförandekod bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen är en förutsättning för att vi, eller någon annan dataskyddsmyndighet, ska kunna godkänna den.
Texten baserar sig på Europeiska dataskyddsstyrelsens (EDPB) riktlinjer om uppförandekoder och övervakningsorgan, särskilt avsnitt 5-6 och bilaga 3.
EDPB:s riktlinjer om uppförandekoder
Grundläggande förutsättningar för en uppförandekod
För att ett material ska kunna betraktas som en uppförandekod i dataskyddsförordningens mening måste organisationen som utarbetar koden ha ”lämplig rättslig ställning” och utkastet till kod måste innehålla konkreta och bindande regler.
Er organisation är behörig
Innan ni påbörjar arbetet med ta fram en uppförandekod behöver ni tänka igenom att organisationen är rätt typ av aktör.
För att vara behörig att ansöka om godkännande av en kod måste ni vara en sammanslutning eller något annat organ som företräder kategorier av personuppgiftsansvariga och/eller personuppgiftsbiträden (artikel 40.2). Er organisation ska ha en ”lämplig rättslig ställning” i förhållande till de personuppgiftsansvariga och/eller biträden som koden är tänkt att omfatta.
Ni bör ställa er följande frågor: Är de ni representerar, till exempel era medlemmar, personuppgiftsansvariga och/eller personuppgiftsbiträden? På vilket sätt/med vilket mandat kan ni företräda dem?
Personuppgiftsansvarig är vanligtvis en juridisk person som (ensam eller tillsammans med andra personuppgiftsansvariga) bestämmer ändamål och medel för behandlingen av personuppgifter, till exempel avgör vilka personuppgifter som ska behandlas och på vilket sätt eller som finansierar behandlingen. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. I vissa situationer kan en fysisk person vara personuppgiftsansvarig, till exempel den som är enskild näringsidkare och bestämmer ändamålen och medlen för behandlingen.
Även ett personuppgiftsbiträde – det vill säga någon som behandlar personuppgifter för den personuppgiftsansvariges räkning – är vanligtvis en juridisk person. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges egen organisation och får behandla personuppgifterna endast enligt den ansvariges instruktioner. En fysisk person, till exempel en enskild näringsidkare som behandlar personuppgifter i egenskap av uppdragstagare till ett företag, kan vara personuppgiftsbiträde.
Uppförandekoden måste innehålla konkreta och bindande regler
En uppförandekod ska innehålla specifika dataskyddsregler och reglerna ska vara bindande för dem som omfattas. Reglerna ska dessutom vara entydiga, konkreta, genomförbara och möjliga att verkställa.
Koden ska precisera hur dataskyddsförordningen ska tillämpas i praktiken. Den får inte bara återge eller omformulera reglerna i dataskyddsförordningen eller utgöra någon form av beskrivning, riktlinje, rekommendation eller målsättning.
Om ert utkast till uppförandekod inte innehåller konkreta och bindande dataskyddsregler utgör den inte en uppförandekod i dataskyddsförordningens mening. Då kan vi varken godkänna koden eller yttra oss över den.
Uppförandekoden måste ha ett visst innehåll
Ert utkast till uppförandekod måste ha ett visst innehåll, dels för att den ska kunna tillämpas i praktiken, dels för att vi som tillsynsmyndighet ska kunna bedöma om koden bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen. Ni bör därför se till att ert utkast till kod innehåller dessa delar innan ni ansöker om att koden ska bli godkänd.
Till exempel tillämpningsområde och mekanismer för övervakning ska framgå direkt av uppförandekoden. Information som aktörerna som omfattas av koden inte behöver för att kunna tillämpa den kan däremot framgå av ansökningshandlingen. Det gäller till exempel uppgifter om era möjligheter att företräda berörda aktörer eller varför ni inte har samrått med en viss typ av intressenter.
Förklaring av syfte, omfattning med mera
Ett utkast till uppförandekod och/eller ansökan om godkännande av den ska innehålla en förklaring till:
- syftet med koden,
- kodens omfattning, till exempel vilken typ av personuppgiftsansvariga och/eller biträden som omfattas, typ av behandling, vilka typer av uppgifter som hanteras och vilka kategorier av registrerade som berörs, samt
- hur koden kommer att underlätta en effektiv tillämpning av dataskyddsförordningen.
En sådan förklaring ger er möjlighet att visa logiken bakom koden, varför den bör godkännas och lämpligheten i de föreslagna skyddsåtgärderna och mekanismerna.
Vid behov ska handlingar som stödjer ovanstående förklaring lämnas in tillsammans med ansökan, till exempel i form av en sammanfattning av genomförda samråd, medlemsinformation eller forskning som visar att koden behövs.
Dokumentation om er organisation och ert företrädarskap
Ansökningshandlingarna ska också innehålla dokumentation av att ni som utarbetat uppförandekoden och ansöker om godkännande är ett sådant organ som företräder kategorier av personuppgiftsansvariga och/eller personuppgiftsbiträden.
Dokumentationen ska visa att ni har lämplig rättslig ställning i förhållande till de aktörer som är tänkta att omfattas av koden och att ni har kunskap om deras behov, deras bransch och deras behandling av personuppgifter. Ni kan till exempel presentera antalet potentiella användare av koden och hur stor andel av berörda ansvariga/biträden som skulle omfattas. Ni kan också beskriva er erfarenhet av branschen i fråga och dess behandling av personuppgifter.
Precisering av kodens materiella omfattning
Ert utkast till uppförandekod måste reglera kodens materiella tillämpningsområde. Ni ska klart och tydligt precisera vilka behandlingar av personuppgifter och vilka kategorier av personuppgiftsansvariga eller personuppgiftsbiträden som uppförandekoden omfattar.
Det måste också vara tydligt om man som ansvarig/biträde omfattas av koden först efter någon form av anslutningsförfarande eller om det sker per automatik så snart koden träder i kraft enbart genom att man till exempel är medlem i er organisation.
Här följer några exempel på frågor som ni bör ställa er när det gäller uppförandekodens materiella omfattning:
- Reglerar koden all behandling av personuppgifter som förekommer hos de ansvariga/biträdena som omfattas av den, så att behandlingen som redovisas i koden är en uttömmande uppräkning av de behandlingar dessa aktörer får utföra?
- Eller är det endast viss typ av behandling som omfattas av koden och annan behandling kan förekomma hos de ansvariga/biträdena i fråga, men då inte omfattas av koden?
- Eller är kodens omfattning avgränsad utifrån ändamålet med den behandling som regleras? Vilka ändamål är det i så fall som omfattas av koden?
Om koden har ett snävt tillämpningsområde är det förstås viktigt att det tydligt framgår att den inte tar upp alla bestämmelser i dataskyddsförordningen, vilka bestämmelser som har beaktats och/eller vilka som inte har beaktats.
Precisering av kodens territoriella omfattning
Ni måste ange om er uppförandekod är nationell eller gränsöverskridande.
En uppförandekod som omfattar behandling av personuppgifter i mer än en medlemsstat är en gränsöverskridande kod. En sådan kod avser alltså behandling som utförs av olika personuppgiftsansvariga eller personuppgiftsbiträden i olika medlemsstater, men det behöver inte röra sig om så kallad gränsöverskridande behandling.
Gränsöverskridande personuppgiftsbehandling
När det gäller gränsöverskridande uppförandekoder ska utkastet till kod lämnas in till den behöriga tillsynsmyndigheten även på engelska. Följande ska framgå av en sådan kod/ansökan:
- uppförandekodens territoriella omfattning; i vilka jurisdiktioner den ska gälla,
- vilken tillsynsmyndighet som är behörig att pröva ansökan och på vilken grund och
- en lista över berörda tillsynsmyndigheter.
Mekanismer för övervakning
Ert utkast till uppförandekod ska innehålla mekanismer som gör det möjligt för ett övervakningsorgan att övervaka att de som omfattas av koden efterlever bestämmelserna i den.
Övervakningsorgan
Ni ska utse ett organ som ska övervaka att koden efterlevs av dem som omfattas av den. Koden ska innehålla mekanismer som gör det möjligt för organet att utföra sådan övervakning.
Organet ska ha en lämplig expertnivå i förhållande till kodens syfte. Till exempel behövs kompetens inom dataskyddsområdet för att kunna granska den personuppgiftsbehandling som omfattas av koden.
Det övervakningsorgan som ni utser måste ackrediteras för sitt uppdrag. I Sverige är det IMY som ackrediterar de övervakningsorgan som utses i nationella uppförandekoder. Innan någon ackreditering kan ske krävs att vi tar fram utkast till krav för ackreditering och att EDPB granskar dem. IMY har ännu inte tagit fram sådana krav för ackreditering.
Om er uppförandekod enbart omfattar aktörer inom den offentliga sektorn behöver ni inte utse något övervakningsorgan.
Genomfört samråd
En uppförandekod måste förberedas noggrant, bland annat genom samråd med berörda intressenter. Så långt det är möjligt ska ni samråda även med registrerade, eller företrädare för dem. Ni ska beakta de synpunkter som framförts vid samråden då ni utformar koden.
Vid ansökan om godkännande av koden ska ni redogöra för i vilken utsträckning ni har samrått med olika typer av intressenter. Om ni inte har samrått med någon viss typ av intressent ska ni förklara varför ni inte har gjort det.
Bekräftelse av att koden stämmer överens med relevant lagstiftning
Ni ska även bekräfta att ert utkast till uppförandekod stämmer överens med annan relevant lagstiftning. Det gäller speciellt om koden avser en bransch som omfattas av särskilda bestämmelser i nationell lagstiftning eller behandling där det finns särskilda krav och skyldigheter i nationell lagstiftning att ta hänsyn till.
Bedömning av om koden bidrar till en korrekt och effektiv tillämpning av förordningen
När ni har lämnat in er ansökan om godkännande av ert utkast till uppförandekod till IMY kommer vi först att granska om de grundläggande förutsättningarna är uppfyllda och om ert utkast och/eller ansökan innehåller det som krävs enligt ovanstående beskrivning.
Först därefter kommer vi att bedöma om er kod bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen. Det är den bedömningen som kan mynna ut i ett godkännande av er uppförandekod. Om vi finner att koden inte kan godkännas kommer vi i stället att yttra oss över den.
Kommunikationen mellan er som sökande och oss som tillsynsmyndighet bör i det här skedet primärt handla om klargöranden till hjälp för vår bedömning och inte i någon större utsträckning innebära konsultation kring reglerna i koden eller ändringar i utkastet.
Koden behöver hålla en viss kvalitet och vara konsekvent för att tillföra det önskade mervärdet. För att vi ska kunna godkänna er uppförandekod måste ni i tillräcklig utsträckning ha visat att ert utkast till kod:
- tillgodoser branschens (eller motsvarande) särskilda behov, underlättar tillämpningen av dataskyddsförordningen,
- preciserar hur dataskyddsförordningen ska tillämpas,
- tillhandahåller tillräckliga skyddsåtgärder och
- innehåller effektiva mekanismer för övervakning av att koden efterlevs.
Uppförandekoden tillgodoser ett särskilt behov
Som framgått ovan måste ni i ert utkast till uppförandekod tydligt ange vilken bransch (eller motsvarande) och/eller vilken typ av behandling av personuppgifter som koden reglerar.
Koden ska tydligt och effektivt bemöta de dataskyddsrelaterade problem som finns inom branschen i fråga eller uppstår vid den särskilda typen av behandling. Ni bör anpassa kraven på de personuppgiftsansvariga och/eller biträden som omfattas av koden efter sannolika risker med behandlingen i fråga. När det till exempel gäller behandlingar av barns uppgifter eller hälsouppgifter krävs mer robusta och strikta skyddsåtgärder med tanke på uppgifternas känslighet.
I er ansökan behöver ni ha förklarat vilka de specifika problemen är och på vilket sätt reglerna i koden möter dem på ett effektivt och fördelaktigt sätt, inte bara för dem som ska tillämpa koden utan även för de registrerade.
Uppförandekoden underlättar tillämpningen av dataskyddsförordningen
Kodens innehåll bör utformas så att det blir lättare att förstå och praktiskt tillämpa dataskyddsförordningen. Koden bör inte vara alltför formalistisk. Till exempel kan det underlätta att använda branschspecifik terminologi. Konkreta fallscenarier, exempel på bästa praxis i särskilda situationer eller till och med exempel på oacceptabla sätt att behandla personuppgifter på kan underlätta den praktiska tillämpningen.
Uppförandekoden preciserar hur dataskyddsförordningen ska tillämpas
Koden får inte bara vara en omskrivning av dataskyddsförordningen, utan reglerna i den måste vara entydiga, konkreta och genomförbara. Den ska fastställa realistiska och genomförbara standarder för dem som ska tillämpa den.
När ni utformar koden är det viktigt att ni, utöver själva dataskyddsförordningen, tar hänsyn både till relevanta riktlinjer och avgöranden som antagits av EDPB och till relevant nationell och eu-rättslig praxis.
Uppförandekoden tillhandahåller tillräckliga skyddsåtgärder
För att vi ska kunna godkänna er kod måste ni visa att den innebär tillräckliga och lämpliga åtgärder för att minska riskerna med behandlingarna av personuppgifterna i fråga och för att skydda enskilda personers fri- och rättigheter.
Ju känsligare uppgifter man hanterar, desto kraftfullare måste skyddsåtgärderna vara!
Uppförandekoden innehåller effektiva mekanismer för övervakning
Er uppförandekod måste även innehålla mekanismer för övervakning av att koden efterlevs och åtgärder vid överträdelser. Syftet med det är att säkerställa att koden verkligen tillämpas effektivt.
Det kan till exempel vara krav på regelbunden revision och rapportering, transparenta förfaranden för att hantera klagomål och lösa tvister eller regler om ersättning eller andra sanktioner vid överträdelse av koden. Liksom övriga regler i koden behöver även dessa regler vara entydiga, konkreta och genomförbara.
Omfattar er uppförandekod aktörer utanför den offentliga sektorn ska den även peka ut ett (eller flera) lämpligt övervakningsorgan. Koden ska tillhandahålla övervakningsorganet befogenheter för att utföra en effektiv övervakning och besluta om konkreta och verkningsfulla sanktioner.
När ni ansöker om godkännande behöver ni ange skälen till att ni har valt de övervakningsmekanismer som ni har gjort och visa att de är lämpliga och genomförbara i praktiken.