Den här vägledningen innehåller praktisk information om bland annat vilka grundläggande förutsättningar som måste vara uppfyllda för att en uppförandekod ska bli godkänd.
I denna vägledning får ni som ska ta fram en uppförandekod praktisk information om:
- vilka grundläggande förutsättningar som måste vara uppfyllda för att materialet ska anses vara en uppförandekod enligt dataskyddsförordningen,
- vad er uppförandekod och/eller ansökan om godkännande av koden måste innehålla för att kunna bedömas av oss på IMY, någon annan dataskyddsmyndighet eller Europeiska dataskyddsstyrelsen (EDPB) och
- vad vi tittar på vid vår bedömning av om koden bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen.
Att er uppförandekod bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen är en förutsättning för att den ska kunna godkännas.
Texten baserar sig på Europeiska dataskyddsstyrelsens (EDPB) riktlinjer om uppförandekoder och övervakningsorgan (1/2019), särskilt avsnitt 5-6 och bilaga 3.
EDPB:s riktlinjer om uppförandekoder
Grundläggande förutsättningar för en uppförandekod
För att ett dokument ska kunna betraktas som en uppförandekod i dataskyddsförordningens mening måste organisationen som utarbetar koden ha en ”lämplig rättslig ställning” och utkastet till kod måste innehålla konkreta och bindande regler.
Er organisation är behörig
Innan ni påbörjar arbetet med att ta fram en uppförandekod behöver ni tänka igenom att organisationen är rätt typ av intressent.
För att vara behörig att ansöka om godkännande av en kod måste ni vara en sammanslutning eller något annat organ som företräder kategorier av personuppgiftsansvariga och/eller personuppgiftsbiträden. Er organisation ska ha en ”lämplig rättslig ställning” i förhållande till de personuppgiftsansvariga och/eller biträden som koden är tänkt att omfatta.
Ni bör ställa er följande frågor:
- Är de ni representerar, till exempel era medlemmar, personuppgiftsansvariga eller personuppgiftsbiträden?
- På vilket sätt/med vilket mandat kan ni företräda dem?
Personuppgiftsansvarig är vanligtvis en juridisk person som (ensam eller tillsammans med andra personuppgiftsansvariga) bestämmer ändamål och medel för behandlingen av personuppgifter, alltså bland annat avgör vilka personuppgifter som ska behandlas, på vilket sätt och varför. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. I vissa situationer kan en fysisk person vara personuppgiftsansvarig, till exempel den som är enskild näringsidkare och bestämmer ändamålen och medlen för behandlingen.
Även ett personuppgiftsbiträde – det vill säga någon som behandlar personuppgifter för den personuppgiftsansvarigas räkning – är vanligtvis en juridisk person. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas egen organisation och får behandla personuppgifterna endast enligt den ansvarigas instruktioner. En fysisk person, till exempel en enskild näringsidkare som behandlar personuppgifter i egenskap av uppdragstagare till ett företag, kan vara personuppgiftsbiträde.
Personuppgiftsansvariga och personuppgiftsbiträden
Uppförandekoden måste innehålla konkreta och bindande regler
En uppförandekod ska innehålla specifika dataskyddsregler och reglerna ska vara bindande för dem som omfattas. Reglerna ska dessutom vara entydiga, konkreta, genomförbara och möjliga att verkställa.
Koden ska precisera hur dataskyddsförordningen ska tillämpas i praktiken. Den får inte bara återge eller omformulera reglerna i dataskyddsförordningen eller utgöra någon form av beskrivning, riktlinje, rekommendation eller målsättning.
Om ert utkast till uppförandekod inte innehåller konkreta och bindande dataskyddsregler utgör den inte en uppförandekod i dataskyddsförordningens mening och kan inte godkännas av IMY eller EDPB.
Uppförandekoden måste ha ett visst innehåll och ansökningshandlingarna måste inkludera vissa uppgifter
Ert utkast till uppförandekod måste ha ett visst innehåll, dels för att den ska kunna tillämpas i praktiken, dels för att vi som tillsynsmyndighet ska kunna bedöma om koden bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen. Ni bör därför se till att ert utkast till kod innehåller dessa delar innan ni ansöker om att koden ska bli godkänd.
Alla uppgifter som är relevanta för IMY:s bedömning behöver dock inte ingå i själva uppförandekoden. Till exempel ska tillämpningsområdet och mekanismer för övervakning framgå direkt av uppförandekoden. Information om medlemmarna som ska omfattas av uppförandekoden behöver inte framgå av själva koden, men ska däremot framgå av ansökningshandlingarna. Det gäller till exempel uppgifter om era möjligheter att företräda berörda medlemmar eller varför ni har samrått med en viss typ av intressenter.
Förklaring av syfte, omfattning med mera
Ett utkast till uppförandekod och ansökan om godkännande av koden ska innehålla en förklaring till:
- syftet med koden
- kodens omfattning, till exempel vilken typ av personuppgiftsansvariga och/eller biträden som omfattas, typ av behandling, vilka typer av uppgifter som hanteras och vilka kategorier av registrerade som berörs, samt
- hur koden kommer att underlätta en effektiv tillämpning av dataskyddsförordningen.
En sådan förklaring ger er möjlighet att visa logiken bakom koden, varför den bör godkännas och lämpligheten i de föreslagna skyddsåtgärderna och övervakningsmekanismerna.
Vid behov ska handlingar som stödjer ovanstående förklaring lämnas in tillsammans med ansökan, till exempel i form av en sammanfattning av genomförda samråd, medlemsinformation eller underlag som visar behovet av koden.
Dokumentation om er organisation och ert företrädarskap
Ansökningshandlingarna ska också innehålla dokumentation om att ni som utarbetat uppförandekoden och ansöker om godkännande är ett sådant organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden.
Dokumentationen ska visa att ni har lämplig rättslig ställning i förhållande till de medlemmar som är tänkta att omfattas av koden och att ni har kunskap om deras behov, deras bransch eller sektor och deras behandling av personuppgifter. Ni kan till exempel presentera antalet potentiella användare av koden och hur stor andel av berörda personuppgiftsansvariga eller -biträden som är tänkta att omfattas. Ni kan också beskriva er erfarenhet av branschen i fråga och dess behandling av personuppgifter.
Precisering av kodens materiella omfattning
Ert utkast till uppförandekod måste reglera kodens materiella tillämpningsområde, det vill säga vilka personuppgiftsbehandlingar som koden ska reglera. Ni måste därför klart och tydligt precisera vilka behandlingar av personuppgifter och vilka kategorier av personuppgiftsansvariga eller personuppgiftsbiträden som uppförandekoden omfattar.
Det måste också vara tydligt om man som personuppgiftsansvariga eller -biträden omfattas av koden först efter någon form av anslutningsförfarande eller om det sker per automatik så snart koden träder i kraft, enbart genom till exempel medlemskap i er organisation.
Här följer några exempel på frågor som ni bör ställa er när det gäller uppförandekodens materiella omfattning:
- Reglerar koden all behandling av personuppgifter som förekommer hos de ansvariga/biträdena som omfattas av den, så att behandlingen som redovisas i koden är en uttömmande uppräkning av de behandlingar dessa aktörer får utföra?
- Är det endast viss typ av behandling som omfattas av koden och annan behandling kan förekomma hos de ansvariga/biträdena i fråga, men då inte omfattas av koden?
- Är kodens omfattning avgränsad utifrån ändamålet med den behandling som regleras? Vilka ändamål är det i så fall som omfattas av koden?
Om koden har ett snävt tillämpningsområde är det förstås viktigt att det tydligt framgår att den inte tar upp alla bestämmelser i dataskyddsförordningen, vilka bestämmelser som har beaktats och/eller vilka som inte har beaktats.
Precisering av kodens territoriella omfattning
Ni måste ange om er uppförandekod är nationell eller gränsöverskridande.
En uppförandekod som omfattar behandling av personuppgifter i mer än en medlemsstat är en gränsöverskridande kod. En sådan kod avser både behandling som utförs av olika personuppgiftsansvariga eller personuppgiftsbiträden i olika medlemsstater och gränsöverskridande behandling där de personuppgiftsansvariga eller -biträdena enbart befinner sig i en medlemsstat.
Samråd med berörda intressenter
En uppförandekod måste förberedas noggrant, bland annat genom samråd med berörda intressenter. Så långt det är möjligt ska ni samråda även med de registrerade, eller deras företrädare för dem. Ni ska beakta de synpunkter som framförts vid samråden då ni utformar koden.
Vid ansökan om godkännande av koden ska ni redogöra för i vilken utsträckning ni har samrått med olika typer av intressenter. Om ni inte har samrått med någon viss typ av intressent ska ni förklara varför ni inte har gjort det.
Bekräftelse av att koden stämmer överens med relevant lagstiftning
Ni ska bekräfta att ert utkast till uppförandekod stämmer överens med annan relevant lagstiftning som inverkar på personuppgiftsbehandlingen. Det gäller speciellt om koden avser en bransch som omfattas av särskilda bestämmelser i nationell lagstiftning eller behandling där det finns särskilda krav och skyldigheter i nationell lagstiftning att ta hänsyn till.
Övervakningsorgan
Ert utkast till uppförandekod ska innehålla mekanismer som gör det möjligt för ett oberoende övervakningsorgan att övervaka att de som omfattas av koden efterlever bestämmelserna i den.
Om er uppförandekod enbart omfattar medlemmar inom den offentliga sektorn, exempelvis inom offentlig sjukvård, behöver ni inte utse något övervakningsorgan, men ni behöver ändå se till att efterlevnaden av koden säkerställs genom någon form av gransknings- eller uppföljningsförfarande.
Övervakningsorganets personal ska ha en lämplig expertnivå i förhållande till kodens syfte. Till exempel behövs juridisk och teknisk kompetens inom dataskyddsområdet för att kunna granska den personuppgiftsbehandling som omfattas av koden. Därutöver behövs kompetens inom den aktuella branschen eller sektorn, samt kompetens inom övervakning, revision eller kvalitetssäkring.
Det övervakningsorgan som ni utser måste ackrediteras för sitt uppdrag. I Sverige är det IMY som ackrediterar de övervakningsorgan som utses i uppförandekoder som IMY är behörig att godkänna, såväl nationella som gränsöverskridande. Ackrediteringen sker i enlighet med de krav som IMY fattat beslut om och som granskats av EDPB.
IMY:s krav för ackreditering av övervakningsorgan (pdf, 315 kB)
IMY bedömer om koden bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen
När ni har lämnat in er ansökan om godkännande av ert utkast till uppförandekod till IMY kommer vi först att granska om de grundläggande förutsättningarna är uppfyllda och om ert utkast och/eller ansökan innehåller det som krävs enligt ovanstående beskrivning.
Först därefter kommer vi att bedöma om er kod bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen. Det är den bedömningen som kan mynna ut i ett godkännande av er uppförandekod. Om vi finner att koden inte kan godkännas kommer vi i stället att yttra oss över den.
Kommunikationen mellan er som sökande och oss som tillsynsmyndighet bör i det här skedet primärt handla om klargöranden till hjälp för vår bedömning och inte i någon större utsträckning innebära konsultation kring reglerna i koden eller ändringar i utkastet.
Koden behöver hålla en viss kvalitet och vara konsekvent för att tillföra det önskade mervärdet. För att vi ska kunna godkänna er uppförandekod måste ni i tillräcklig utsträckning ha visat att ert utkast till kod:
- tillgodoser branschens (eller motsvarande) särskilda behov
- underlättar tillämpningen av dataskyddsförordningen
- preciserar hur dataskyddsförordningen ska tillämpas
- tillhandahåller tillräckliga skyddsåtgärder och
- innehåller effektiva mekanismer för övervakning av att koden efterlevs.
Uppförandekoden tillgodoser ett särskilt behov
Som framgått ovan måste ni i ert utkast till uppförandekod tydligt ange vilken bransch eller sektor och vilken typ av behandling av personuppgifter som koden reglerar.
Koden ska tydligt och effektivt bemöta de dataskyddsrelaterade problem som finns inom branschen i fråga, eller som uppstår vid den särskilda typen av behandling som uppförandekoden reglerar. Ni bör anpassa kraven efter de personuppgiftsansvariga eller biträden som omfattas av uppförandekoden, och de sannolika risker som är förknippade med kodens personuppgiftsbehandlingar. När det till exempel gäller behandlingar av barns personuppgifter eller hälsouppgifter krävs mer robusta och strikta skyddsåtgärder med tanke på uppgifternas känslighet.
I er ansökan behöver ni förklara vilka de specifika problemen är och på vilket sätt reglerna i koden möter dem på ett effektivt och fördelaktigt sätt, inte bara för dem som ska tillämpa koden utan även för de registrerade.
Uppförandekoden underlättar tillämpningen av dataskyddsförordningen
Kodens bör inte vara alltför formalistisk och dess innehåll bör utformas så att det blir lättare att förstå och praktiskt tillämpa dataskyddsförordningen. Till exempel kan det underlätta att använda branschspecifik terminologi. Konkreta fallscenarier, exempel på bästa praxis i särskilda situationer eller till och med exempel på oacceptabla sätt att behandla personuppgifter kan underlätta den praktiska tillämpningen av uppförandekoden.
Uppförandekoden preciserar hur dataskyddsförordningen ska tillämpas
Koden får inte bara vara en omskrivning av dataskyddsförordningen och reglerna i den måste vara entydiga, konkreta och genomförbara. Den ska fastställa realistiska och genomförbara standarder för dem som ska tillämpa den.
När ni utformar koden är det viktigt att ni, utöver själva dataskyddsförordningen, tar hänsyn både till relevanta riktlinjer och beslut som antagits av EDPB och till relevant nationell och EU-rättslig domstolspraxis.
Uppförandekoden tillhandahåller tillräckliga skyddsåtgärder
För att vi ska kunna godkänna er kod måste ni visa att den innebär tillräckliga och lämpliga åtgärder för att minska riskerna med behandlingarna av personuppgifterna i fråga och för att skydda enskilda personers fri- och rättigheter.
Ju känsligare uppgifter som ska hanteras är eller om de registrerade befinner sig i en utsatt eller skyddsvärd position, desto kraftfullare måste skyddsåtgärderna vara!
Uppförandekoden innehåller effektiva mekanismer för övervakning
Er uppförandekod måste även innehålla mekanismer för övervakning av att koden efterlevs och åtgärder vid överträdelser. Syftet med det är att säkerställa att koden verkligen tillämpas effektivt.
Det kan till exempel vara krav på regelbunden revision och rapportering, transparenta förfaranden för att hantera klagomål och lösa tvister eller regler om ersättning eller andra sanktioner vid överträdelse av koden. Liksom övriga regler i koden behöver även dessa regler vara entydiga, konkreta och genomförbara.
Omfattar er uppförandekod medlemmar utanför den offentliga sektorn ska den även utse ut ett oberoende övervakningsorgan. Koden ska ge övervakningsorganet befogenheter för att utföra en effektiv övervakning och besluta om konkreta och verkningsfulla sanktioner.
När ni ansöker om godkännande behöver ni ange skälen till att ni har valt de övervakningsmekanismer som ni har gjort och visa att de är lämpliga och genomförbara i praktiken.
Gränsöverskridande uppförandekoder
När det gäller gränsöverskridande uppförandekoder ska en engelsk översättning av utkastet till kod lämnas in till den behöriga tillsynsmyndigheten. Följande ska framgå av en sådan ansökan:
- uppförandekodens territoriella omfattning; i vilka jurisdiktioner den ska gälla
- vilken tillsynsmyndighet som är behörig att pröva ansökan och på vilken grund och
- en lista över berörda tillsynsmyndigheter.
Anledningen till att handlingarna i ansökningar om gränsöverskridande uppförandekoder ska lämnas in på engelska är att de ska granskas av Europeiska datasskyddsstyrelsen (EDPB) som ska yttra sig innan den behöriga myndigheten kan fatta beslut.
För att avgöra vilken dataskyddsmyndighet som är behörig att godkänna en gränsöverskridande uppförandekod ska hänsyn framförallt tas till:
- var den aktuella branschen och sektorn har sin verksamhet
- var den huvudsakliga personuppgiftsbehandlingen sker
- var de individer som berörs av personuppgiftsbehandlingen befinner sig och
- var kodägarens högkvarter ligger.
Mer information om bedömningen av vilken myndighet som är behörig att godkänna en gränsöverskridande uppförandekod finns i EDPB:s riktlinjer, bilaga 2.
EDPB:s riktlinjer om uppförandekoder