meny

Uppförandekoder och certifieringar

En uppförandekod är enligt dataskyddsförordningen en uppsättning riktlinjer som bidrar till att de företag eller organisationer som har anslutit sig till koden tillämpar reglerna i dataskyddsförordningen korrekt.

Riktlinjerna i uppförandekoden ska hjälpa till att säkerställa en korrekt tillämpning av dataskyddsförordningens bestämmelser genom att specificera hur man får behandla personuppgifter i specifika fall. Det kan till exempel handla om att fastställa noggranna tillvägagångssätt som ska följas för en specifik typ av personuppgiftsbehandlingar.

En uppförandekod kan alltså användas för en viss sorts personuppgiftsbehandlingar som är vanliga inom till exempel en särskild väldefinierad bransch. Efterlevnad av en uppförandekod är ett sätt att visa att den personuppgiftsansvarige eller personuppgiftsbiträdet lever upp till sina förpliktelser enligt dataskyddsförordningen.

Det är viktigt att vara medveten om att anslutning till och efterlevnad av en uppförandekod inte i sig är ett bevis på att dataskyddsförordningen följs. Efterlevnad av en uppförandekod kan därmed inte heller frita en personuppgiftsansvarig eller ett personuppgiftsbiträde dess ansvar enligt dataskyddsförordningen. Tillämpningen av en uppförandekod kan dock påverka till exempel nivån på sanktionsavgifter som döms ut.

I förordningen nämns även certifieringar, sigill och märkningar för dataskydd som tänkbara sätt för personuppgiftsansvariga eller biträden att visa att de behandlar personuppgifter i enlighet med förordningen.

Vem kan ta fram en uppförandekod?

En uppförandekod kan enligt dataskyddsförordningen utarbetas av sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden. Till exempel kan branschorganisationer och andra intresseorganisationer anses representera kategorier av personuppgiftsansvariga eller personuppgiftsbiträden.

Branschorganisationer och sammanslutningar är särskilt lämpade att arbeta fram uppförandekoder då de får antas ha en grundlig kunskap om vilken typ av personuppgiftsbehandling som är aktuell inom branschen. De bör därmed också ha kunskap om vilka särskilda utmaningar och vilka särskilda frågor som är särskilt viktiga att ge vägledning kring till personuppgiftsansvariga och biträden som är aktiva i branschen för att dataskyddsförordningen ska tillämpas på ett korrekt sätt.
Vad kan en uppförandekod användas till?

Först och främst kan en uppförandekod specificera tillämpningen av dataskyddsförordningen för en viss bransch eller sektor. I artikel 40.2 a-k räknas det upp exempel på vad en uppförandekod kan specificera. Exemplen är inte uttömmande och en uppförandekod måste inte innehålla vägledning på alla de områden som räknas upp i bestämmelsen.

  • rättvis och öppen behandling,
  • personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,
  • insamling av personuppgifter,
  • pseudonymisering av personuppgifter,
  • information till allmänheten och de registrerade,
  • utövande av registrerades rättigheter,
  • information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar för barn,
  • åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32,
  • anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till registrerade,
  • överföring av personuppgifter till tredjeländer eller internationella organisationer,
  • utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77 och 79.

Olika uppförandekoder kan alltså rikta in sig på olika bestämmelser i dataskyddsförordningen. Inom en viss bransch kanske den största utmaningen är vilka säkerhetsåtgärder som ska vidtas för att skydda de personuppgifter som behandlas, medan det i en annan bransch behövs vägledning om vilken information som ska ges till de registrerade och på vilket sätt.

Utöver detta framgår det av andra bestämmelser i dataskyddsförordningen att personuppgiftsansvariga och personuppgiftsbiträden kan använda efterlevnad av en uppförandekod som en faktor för att visa att man uppfyller kraven i dataskyddsförordningen, att efterlevnad av en uppförandekod kan påverka om sanktionsavgifter ska dömas ut och den eventuella storleken på sanktionsavgiften.

Hur en uppförandekod utarbetas och vilka minimikraven på innehållet är

Innan en uppförandekod kan användas för att specificera tillämpningen av dataskyddsförordningen måste den godkännas av Datainspektionen.

För att en uppförandekod ska godkännas måste den uppfylla vissa minimikrav som tillsammans ska säkerställa att uppförandekoden tillhandahåller tillräckliga garantier. Europeiska dataskyddsstyrelsen arbetar med att ta fram en EU-gemensam vägledning om uppförandekoder som ska förklara minimikraven för innehållet i en uppförandekod. Det finns för närvarande inte någon exakt tidpunkt för när vägledningen kommer att vara klar men målsättningen är att den ska vara klar under hösten 2018.

Datainspektionen kan emellertid redan nu peka på vissa kriterier som en uppförandekod måste uppfylla för att den ska anses innehålla tillräckliga garantier:

  • En uppförandekod måste fokusera på en väldefinierad kategori av personuppgiftsansvariga eller biträden. Den måste alltså tydligt ange vilka typer av organisationer eller sektorer som koden ska tillämpas på.
  • En uppförandekod ska ta sikte på specifika och väldefinierade behandlingar som är typiska för ovanstående kategorier av personuppgiftsansvariga och biträden.
  • En uppförandekod måste förberedas noggrant. Det inkluderar att samråda med relevanta intressenter, inklusive så långt som möjligt de registrerade eller deras företrädare.

Kan vi redan nu få en uppförandekod godkänd av Datainspektionen?

Ja, det går att skicka in en uppförandekod till Datainspektionen för godkännande enligt dataskyddsförordningen. Men, Datainspektionen rekommenderar att ni som arbetar med att ta fram en uppförandekod inväntar den EU-gemensamma vägledningen och ser till att uppförandekoden följer vägledningen innan ni skickar in den till oss. 

Certifieringar

Själva utfärdandet av en certifiering ska göras av ett ackrediterat certifieringsorgan. Vem som ska utfärda ackrediteringar är ännu inte bestämt men det kommer antingen att vara Datainspektionen eller det nationella ackrediteringsorganet Swedac.

De kriterier som en ackreditering ska grunda sig på ska tas fram av den nationella tillsynsmyndigheten, alltså av Datainspektionen. Datainspektionen ska även godkänna de kriterier som ligger till grund för en certifiering.

Hur certifieringar kommer att gå till är ännu inte klart. Artikel 29-gruppen arbetar med att ta fram en EU-gemensam vägledning om certifiering. Det finns för närvarande inte någon exakt tidpunkt för när vägledningen kommer att vara klar.

Rättsinformation
Artikel 40 (uppförandekoder)
Artikel 41 (övervakning av godkända uppförandekoder)
Artikel 42 (certifiering)
Artikel 43 (certifieringsorgan)
Skäl 77, Skäl 98, Skäl 99, Skäl 100