En uppförandekod, i dataskyddsförordningens mening, är en uppsättning dataskyddsregler för vissa kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, som de frivilligt tar på sig att följa.
Till exempel kan en viss bransch eller sektor komma överens om skräddarsydda och praktiska dataskyddsregler, anpassade efter branschens behov och kraven i dataskyddsförordningen, och samla dessa i en uppförandekod. När en dataskyddsmyndighet har godkänt uppförandekoden kan den tillämpas av organisationens medlemmar.
En uppförandekod behöver dock inte vara begränsad till en viss bransch. En och samma kod kan användas av olika branscher vars behandlingar liknar varandra och har liknande ändamål.
Vem godkänner en uppförandekod?
För uppförandekoder som endast är avsedda att tillämpas av personuppgiftsansvariga och -biträden i Sverige är det IMY som är behörig att godkänna uppförandekoder.
För gränsöverskridande uppförandekoder som är avsedda att tillämpas av personuppgiftsansvariga eller -biträden i flera medlemsländer inom EES-området behöver det avgöras vilken dataskyddsmyndighet som är behörig. Dessutom ska dataskyddsmyndigheternas samarbetsorgan Europeiska dataskyddsstyrelsen (EDPB) yttra sig över gränsöverskridande uppförandekoder.
Kontakta IMY om ni har för avsikt att utarbeta en gränsöverskridande uppförandekod, så hjälper vi er att avgöra vilken dataskyddsmyndighet ni bör vända er till.
Ett kostnadseffektivt sätt att upprätthålla ett gott dataskydd
En uppförandekod kan vara en kostnadseffektiv metod att upprätthålla ett gott dataskydd. Inte minst för små och medelstora företag som behandlar personuppgifter kan en uppförandekod i hög grad underlätta den praktiska tillämpningen av dataskyddsprinciperna och andra bestämmelser i dataskyddsförordningen. Detta genom att koden anpassas efter den aktuella branschens behov och de behandlingar som utförs.
En godkänd uppförandekod kan ge personuppgiftsansvariga och personuppgiftsbiträden vägledning om bland annat de avvägningar som behöver göras enligt dataskyddsförordningen och lämpliga skyddsåtgärder.
Praktiska lösningar i särskilda situationer
Då en uppförandekod utarbetas har personuppgiftsansvariga och -biträden viss frihet att komma överens om och själva formulera bästa praxis för behandling av personuppgifter inom sin bransch.
En branschorganisation med grundlig kunskap om vilka utmaningar och frågor kring behandling av personuppgifter som är särskilt viktiga för branschen har goda förutsättningar att hitta praktiska lösningar för personuppgiftsbehandlingar där dataskyddsreglerna är svårtolkade.
Genom att uppförandekoden godkänns av en dataskyddsmyndighet eller, när det gäller gränsöverskridande uppförandekoder, EDPB, blir det också enklare för uppförandekodens medlemmar att leva upp till dataskyddsförordningens krav.
Enhetlighet och transparens
En uppförandekod kan även bidra till enhetlighet i dataskyddet inom en bransch och ge de registrerade bättre inblick i och förståelse för den behandling av personuppgifter som utförs.
Ett sätt att visa att man efterlever dataskyddförordningen
Ett antal bestämmelser i dataskyddsförordningen säger att personuppgiftsansvariga och personuppgiftsbiträden kan använda tillämpningen av en godkänd uppförandekod för att visa att man fullgör sina skyldigheter och uppfyller kraven i förordningen.
Att en personuppgiftsansvarig eller ett personuppgiftsbiträde har tillämpat en godkänd uppförandekod ska dessutom beaktas vid beslut om en eventuell sanktionsavgift och storleken på sanktionsavgiften. Om tillsynsmyndigheten till exempel anser att de åtgärder som kodens övervakningsorgan vidtar mot den som brustit i efterlevnaden är tillräckligt effektiva, proportionerliga och avskräckande kan myndigheten avstå från sanktioner.
Vad kan en uppförandekod reglera?
En uppförandekod kan specificera tillämpningen av olika delar av dataskyddsförordningen, men bör framförallt inkludera krav inom följande områden:
a) rättvis och öppen behandling,
b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,
c) insamling av personuppgifter,
d) pseudonymisering av personuppgifter,
e) information till allmänheten och de registrerade,
f) utövande av registrerades rättigheter,
g) information till och skydd av barn, samt metoder för att få föräldrarnas samtycke,
h) åtgärder och förfaranden, kring inbyggt dataskydd och dataskydd som standard samt säkerhetsåtgärder, för att säkerställa och kunna visa att behandlingen utförs enligt förordningen,
i) anmälan av personuppgiftsincidenter,
j) överföring av personuppgifter till tredjeländer eller internationella organisationer,
k) förfaranden för lösande av tvister mellan personuppgiftsansvariga och registrerade.
Uppräkningen är inte uttömmande och en uppförandekod måste inte innehålla regler på alla områden som räknas upp.
Olika uppförandekoder kan rikta in sig på olika bestämmelser i dataskyddsförordningen. Inom en viss bransch kanske den största utmaningen är vilka säkerhetsåtgärder som ska vidtas för att skydda de personuppgifter som behandlas, medan det i en annan bransch främst behövs regler om vilken information som ska ges till de registrerade och på vilket sätt.
En uppförandekod kan med fördel begränsas till att omfatta de mest utmanande delarna av behandlingen av personuppgifter i en viss bransch.
Det är viktigt att uppförandekodens omfattning, och eventuella begränsningar av tillämpningsområdet, tydligt framgår av själva koden.
Vem kan ta fram en uppförandekod?
En uppförandekod kan utarbetas av sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden.
Till exempel kan branschorganisationer och andra intresseorganisationer hjälpa sina medlemmar att leva upp till kraven i dataskyddsförordningen på ett ändamålsenligt och kostnadseffektivt sätt genom att ta fram en uppförandekod för behandlingen av personuppgifter inom branschen.
Uppförandekoden ska innehålla bestämmelser som gör det möjligt för ett övervakningsorgan att övervaka om uppförandekoden följs av de personuppgiftsansvariga eller personuppgiftsbiträden som har åtagit sig att följa den. Övervakningsorganet ska ackrediteras av IMY, i enlighet med de krav som IMY beslutat om.
Uppförandekoder och certifieringar som lämpliga skyddsåtgärder vid överföring till ett land utanför EU/EES
Personuppgifter får överföras till ett land utanför EU/EES om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder. Följ länken nedan om du vill lära dig mer om uppförandekoder och certifieringar som lämpliga skyddsåtgärder.
Den huvudansvariga myndigheten ansöker om ett yttrande från EDPB, enligt artikel 64.1 b i dataskyddsförordningen. Före ansökan om yttrande så sker en informell fas där den ansvariga myndigheten, i samarbete med andra dataskyddsmyndigheter, för en dialog om uppförandekoden med den organisation som ansöker om att få koden godkänd. Syftet med dialogen är att göra nödvändiga justeringar i uppförandekoden för att den ska kunna bli godkänd av EDPB.
Etiketter
Dataskydd
Att en juridisk person är privaträttsligt inkorporerad, exempelvis i ett aktiebolag, är inom EU-rätten normalt sett inte avgörande för om verksamheten anses ske inom ramen för det offentliga. EU-domstolen har därför på olika rättsområden slagit fast att juridiska personer inom den privata sektorn kan tillhöra det offentliga, sett till deras uppdrag och den verksamhet som bedrivs.
Eftersom arbetslöshetskassornas verksamhet är reglerad i bland annat lagen (1997:238) om arbetslöshetsförsäkring och lagen (1997:239) om arbetslöshetskassor skulle detta kunna tala för att verksamheten tillhör det offentliga.
Det är viktigt att komma ihåg att oavsett om uppförandekoder omfattas av kravet på övervakningsorgan eller inte, måste fortfarande någon form av övervakning av hur uppförandekoden tillämpas ske också inom den offentliga sektorn.
Etiketter
Dataskydd
En uppförandekod behöver inte omfatta all personuppgiftsbehandling inom en bransch. När ni tar fram en uppförandekod bör ni fokusera på de personuppgiftsbehandlingar som är specifika för er bransch och på de behandlingar som innebär störst risk för de registrerade. Det går bra att börja med att ta fram en uppförandekod med en mer begränsad omfattning, och därefter stegvis utöka uppförandekodens tillämpningsområde.
Etiketter
Dataskydd
Det är möjligt för ett övervakningsorgan att övervaka flera uppförandekoder, men övervakningsorganet måste ha tillräcklig expertis om och vara oberoende i förhållande till de branscher eller sektorer som ska övervakas. Detta kan bli mer utmanande att uppfylla för ett övervakningsorgan som ska övervaka flera uppförandekoder.
Etiketter
Dataskydd
Ja. För uppförandekoder där närliggande lagstiftning har stor betydelse för den personuppgiftsbehandling som omfattas av koden ska riktlinjer för den praktiska tillämpningen av dataskyddsförordningen i förhållande till sådan lagstiftning ingå.
Om uppförandekoden har riktlinjer för tillämpningen av annan lagstiftning än dataskyddsförordningen behöver kodens disposition vara tydlig, exempelvis genom indelning i olika avsnitt för tillämpning av olika lagstiftningar.
Etiketter
Dataskydd
För personuppgiftsansvariga eller -biträden som är certifierade enligt ISO 27001 eller andra informationssäkerhetsstandarder kan certifieringen vara ett sätt att visa att informationssäkerhetskraven i uppförandekoden är uppfyllda. Detta förutsätter dock att certifieringen uppfyller uppförandekodens krav. Därutöver måste koden, när den tas fram, också uppfylla dataskyddsförordningens krav på informationssäkerhet.
Etiketter
Dataskydd
Tillämpningen av en uppförandekod är ett verktyg för att underlätta och visa på efterlevnaden av dataskyddsförordningen. Att en personuppgiftsansvarig eller ett personuppgiftsbiträde anslutit sig till en uppförandekod betyder därför inte per automatik att man uppfyller hela eller delar av dataskyddsförordningen. Det är därför företag och andra organisationer som tillämpar en uppförandekod ska stå under övervakning, nämligen för att säkerställa att uppförandekoden efterlevs.
Uppförandekoder måste inte heller täcka alla materiella regler i dataskyddsförordningen, men för att kunna godkännas ska koder uppfylla fem krav:
de ska svara mot de särskilda dataskyddsbehoven i en bransch eller sektor
de ska underlätta tillämpningen av dataskyddsförordningen
de ska precisera den praktiska tillämpningen av dataskyddsförordningen och göra den mer lättbegriplig
de ska innehålla tillräckliga skyddsåtgärder och
de ska innehålla effektiva mekanismer för övervakning.
Etiketter
Dataskydd
Uppförandekodens upphovsman, till exempel en branschorganisation, ska i koden inkludera mekanismer för effektiv övervakning. Övervakningsorganets verksamhet inrättas därför genom uppförandekoden och det är upphovsmannen som behöver säkerställa att det finns ett ackrediterat kontrollorgan på plats innan uppförandekoden börjar tillämpas.
Etiketter
Dataskydd
Det bör vara möjligt för företag som bedriver övervakningsverksamhet att konsultera med den som utarbetar uppförandekoden då den tas fram. Det är dock viktigt att uppförandekodens upphovsman inte försöker påverka det potentiella övervakningsorganet på ett sätt som kan påverka dess oberoende, vare sig under utarbetandet av uppförandekoden eller när koden tillämpas. Kontakter mellan företag som bedriver övervakningsverksamhet och uppförandekodens upphovsman bör därför dokumenteras under arbetet med att ta fram uppförandekoden.
Etiketter
Dataskydd
Ja, det är möjligt att ta fram flera uppförandekoder inom samma bransch. Varje uppförandekod måste dock svara mot ett identifierat dataskyddsbehov inom en bransch och respektive branschorganisation måste också uppfylla kravet på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden.
Flera organisationer som är verksamma i samma bransch eller sektor kan emellertid också utarbeta gemensamma uppförandekoder. Detta kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.
Etiketter
Dataskydd
Ja, ansvarsfördelningen för personuppgiftsbehandlingen inom en bransch eller sektor är ett lämpligt område att reglera i en uppförandekod. När det gäller gemensamt personuppgiftsansvar kan uppförandekoder exempelvis innehålla krav om hur överenskommelser, enligt artikel 26.1 i dataskyddsförordningen, ska vara utformade.
Etiketter
Dataskydd
Samtliga uppförandekoder som godkänts av behöriga tillsynsmyndigheter ska publiceras på den ansvariga tillsynsmyndighetens webbplats och på EDPB:s webbplats. Det finns därför inga hinder för branschorganisation att granska befintliga uppförandekoder och de krav som ställts däri.
Observera att varje uppförandekod måste kunna svara mot de särskilda dataskyddsbehov som finns i en bransch eller sektor. Om det redan finns en uppförandekod inom en bransch eller sektor behöver den som utarbetar ytterligare en uppförandekod visa vilka behov den svarar mot. Dessutom måste alltid uppförandekodens upphovsman kunna visa på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden. Detta kan behöva granskas närmare om det förekommer flera uppförandekoder inom en bransch eller sektor.
I sammanhanget kan också nämnas att flera organisationer som är verksamma i samma bransch eller sektor kan utarbeta gemensamma uppförandekoder. Det kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.
När det gäller att kopiera kraven i en befintlig uppförandekod kan det slutligen finnas upphovsrättsliga hinder för att göra detta. IMY kan dock inte uttala sig närmare om upphovsrätten för uppförandekoder, eftersom det är något som ligger utanför myndighetens ansvarsområde.
Etiketter
Dataskydd
På EDPB:s webbplats finns samtliga godkända uppförandekoder publicerade: