Hoppa till innehåll på sidan

Uppförandekoder och certifieringar

Här finns information om uppförandekoder och certifieringar, hur de används, av vilka och vilka krav som ställs.

Vad är en uppförandekod?

En uppförandekod är en sorts regelbok om behandling av personuppgifter som utarbetats av och frivilligt tillämpas inom till exempel en viss bransch eller sektor. 

Tanken med uppförandekoder är att ge dataskyddsprinciperna och andra bestämmelser i dataskyddsförordningen en mer praktisk innebörd och därigenom underlätta för dem som ska tillämpa reglerna.

Innan en uppförandekod kan börja tillämpas behöver den godkännas av en dataskyddsmyndighet. En förutsättning för att en kod ska godkännas är att dataskyddsmyndigheten bedömer att den bidrar till en korrekt och effektiv tillämpning av dataskyddsförordningen.

Uppförandekoder

Vägledning för er som ska ta fram en uppförandekod

 

Vad är en certifiering?

Certifiering är ett verktyg som personuppgiftsansvariga och personuppgiftsbiträden kan använda för att upprätthålla ett gott dataskydd och visa att en behandling av personuppgifter är förenlig med dataskyddsförordningen (GDPR). Kriterierna för att bli certifierad samlas i en certifieringsordning. Den som utarbetar kriterierna, certifieringsordningens ägare, kan till exempel vara ett privat företag, en myndighet eller en akademisk institution.

För att bli certifierad och få ett certifikat måste en personuppgiftsansvarig eller personuppgiftsbiträde ansöka till ett oberoende och ackrediterat certifieringsorgan. Certifieringsorganet kontrollerar om en personuppgiftsansvarig eller ett personuppgiftsbiträde lever upp till en certifieringsordnings kriterier, exempelvis genom att genomföra intervjuer med behörig personal, granska rapporter och andra kontrolldokument.

I Sverige ansvarar Styrelsen för ackreditering och teknisk kontroll (Swedac), som är det nationella ackrediteringsorganet, för ackreditering av certifieringsorgan enligt dataskyddsförordningen. De krav som en sådan ackreditering i Sverige ska grunda sig på är fastställda av IMY.

IMY ska också godkänna de kriterier som ligger till grund för ett certifikat för personuppgiftsansvariga eller personuppgiftsbiträden som behandlar personuppgifter i Sverige. Om kriterierna är tänkta att kunna användas inom hela EES-området, ett så kallat Europeiskt dataskyddssigill, ska Europeiska dataskyddsstyrelsen (EDPB) godkänna kriterierna.

Certifieringar

Vägledning för er som ska ta fram en certifieringsordning

 

Rättsinformation

Fördjupa dig
Senast uppdaterad: 6 april 2021
Sidans etiketter Dataskydd