Hoppa till innehåll på sidan

Uppförandekoder

En uppförandekod, i dataskyddsförordningens mening, är en uppsättning dataskyddsregler för vissa kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, som de frivilligt tar på sig att följa.

Till exempel kan en viss bransch eller sektor komma överens om skräddarsydda och praktiska dataskyddsregler, anpassade efter branschens behov och kraven i dataskyddsförordningen, och samla dessa i en uppförandekod. När en dataskyddsmyndighet har godkänt uppförandekoden kan den tillämpas av organisationens medlemmar.

En uppförandekod behöver dock inte vara begränsad till en viss bransch. En och samma kod kan användas av olika branscher vars behandlingar liknar varandra och har liknande ändamål.

Vem godkänner en uppförandekod?

För uppförandekoder som endast är avsedda att tillämpas av personuppgiftsansvariga och personuppgiftsbiträden i Sverige är det IMY som är behörig att godkänna uppförandekoder.

För gränsöverskridande uppförandekoder som är avsedda att tillämpas av personuppgiftsansvariga eller personuppgiftsbiträden i flera medlemsländer inom EES-området behöver det avgöras vilken dataskyddsmyndighet som är behörig. Dessutom ska dataskyddsmyndigheternas samarbetsorgan Europeiska dataskyddsstyrelsen (EDPB) yttra sig över gränsöverskridande uppförandekoder.

Kontakta IMY om ni har för avsikt att utarbeta en gränsöverskridande uppförandekod, så hjälper vi er att avgöra vilken dataskyddsmyndighet ni bör vända er till.

Kontakta oss

Fördelar med en uppförandekod

Ett kostnadseffektivt sätt att upprätthålla ett gott dataskydd

En uppförandekod kan vara en kostnadseffektiv metod att upprätthålla ett gott dataskydd. Inte minst för små och medelstora företag som behandlar personuppgifter kan en uppförandekod i hög grad underlätta den praktiska tillämpningen av dataskyddsprinciperna och andra bestämmelser i dataskyddsförordningen. Detta genom att koden anpassas efter den aktuella branschens behov och de behandlingar som utförs.

En godkänd uppförandekod kan ge personuppgiftsansvariga och personuppgiftsbiträden vägledning om bland annat de avvägningar som behöver göras enligt dataskyddsförordningen och lämpliga skyddsåtgärder.

Praktiska lösningar i särskilda situationer

Då en uppförandekod utarbetas har personuppgiftsansvariga och personuppgiftsbiträden viss frihet att komma överens om och själva formulera bästa praxis för behandling av personuppgifter inom sin bransch.

En branschorganisation med grundlig kunskap om vilka utmaningar och frågor kring behandling av personuppgifter som är särskilt viktiga för branschen har goda förutsättningar att hitta praktiska lösningar för personuppgiftsbehandlingar där dataskyddsreglerna är svårtolkade.

Genom att uppförandekoden godkänns av en dataskyddsmyndighet eller, när det gäller gränsöverskridande uppförandekoder, EDPB, blir det också enklare för uppförandekodens medlemmar att leva upp till dataskyddsförordningens krav. 

Enhetlighet och transparens

En uppförandekod kan även bidra till enhetlighet i dataskyddet inom en bransch och ge de registrerade bättre inblick i och förståelse för den behandling av personuppgifter som utförs.

Ett sätt att visa att man efterlever dataskyddförordningen

Ett antal bestämmelser i dataskyddsförordningen säger att personuppgiftsansvariga och personuppgiftsbiträden kan använda tillämpningen av en godkänd uppförandekod för att visa att man fullgör sina skyldigheter och uppfyller kraven i förordningen.

Att en personuppgiftsansvarig eller ett personuppgiftsbiträde har tillämpat en godkänd uppförandekod ska dessutom beaktas vid beslut om en eventuell sanktionsavgift och storleken på sanktionsavgiften. Om tillsynsmyndigheten till exempel anser att de åtgärder som kodens övervakningsorgan vidtar mot den som brustit i efterlevnaden är tillräckligt effektiva, proportionerliga och avskräckande kan myndigheten avstå från sanktioner.

Vad kan en uppförandekod reglera?

En uppförandekod kan specificera tillämpningen av olika delar av dataskyddsförordningen, men bör framförallt inkludera krav inom följande områden:

  1. rättvis och öppen behandling
  2. personuppgiftsansvarigas berättigade intressen i särskilda sammanhang
  3. insamling av personuppgifter
  4. pseudonymisering av personuppgifter
  5. information till allmänheten och de registrerade
  6. utövande av registrerades rättigheter
  7. information till och skydd av barn, samt metoder för att få föräldrarnas samtycke
  8. åtgärder och förfaranden, kring inbyggt dataskydd och dataskydd som standard samt säkerhetsåtgärder, för att säkerställa och kunna visa att behandlingen utförs enligt förordningen
  9. anmälan av personuppgiftsincidenter
  10. överföring av personuppgifter till tredjeländer eller internationella organisationer
  11. förfaranden för lösande av tvister mellan personuppgiftsansvariga och registrerade.

Uppräkningen är inte uttömmande och en uppförandekod måste inte innehålla regler på alla områden som räknas upp.

Olika uppförandekoder kan rikta in sig på olika bestämmelser i dataskyddsförordningen. Inom en viss bransch kanske den största utmaningen är vilka säkerhetsåtgärder som ska vidtas för att skydda de personuppgifter som behandlas, medan det i en annan bransch främst behövs regler om vilken information som ska ges till de registrerade och på vilket sätt.

En uppförandekod kan med fördel begränsas till att omfatta de mest utmanande delarna av behandlingen av personuppgifter i en viss bransch.

Det är viktigt att uppförandekodens omfattning, och eventuella begränsningar av tillämpningsområdet, tydligt framgår av själva koden.

Vem kan ta fram en uppförandekod?

En uppförandekod kan utarbetas av sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden.

Till exempel kan branschorganisationer och andra intresseorganisationer hjälpa sina medlemmar att leva upp till kraven i dataskyddsförordningen på ett ändamålsenligt och kostnadseffektivt sätt genom att ta fram en uppförandekod för behandlingen av personuppgifter inom branschen.

Personuppgiftsansvariga och personuppgiftsbiträden 

Hur kontrolleras att uppförandekoden följs?

Uppförandekoden ska innehålla bestämmelser som gör det möjligt för ett övervakningsorgan att övervaka om uppförandekoden följs av de personuppgiftsansvariga eller personuppgiftsbiträden som har åtagit sig att följa den. Övervakningsorganet ska ackrediteras av IMY, i enlighet med de krav som IMY beslutat om. 

Krav för ackreditering av övervakningsorgan (pdf, 315 kB)

Oavsett om en verksamhet omfattas av en uppförandekod eller inte har IMY möjlighet att utöva tillsyn över verksamhetens behandling av personuppgifter.

Vägledning för er som ska ta fram en uppförandekod

Uppförandekoder och certifieringar som lämpliga skyddsåtgärder vid överföring till ett land utanför EU/EES

Personuppgifter får överföras till ett land utanför EU/EES om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder. Följ länken nedan om du vill lära dig mer om uppförandekoder och certifieringar som lämpliga skyddsåtgärder.

Lämpliga skyddsåtgärder 

Rättsinformation

Fördjupa dig

 

Senast uppdaterad: 30 september 2024
Sidans etiketter Dataskydd