Låge nr. 14

Danmarks første adfærdskodeks under GDPR

Hvad er en adfærdskodeks, og hvilke muligheder giver kodeksen en dataansvarlig?

For nogle virksomheder kan det synes uoverskueligt at skulle sætte sig ind i og forstå databeskyttelsesforordningens mange forskelligartede regler. Det vil nok især være tilfældet for mikro, små og mellemstore virksomheder, hvor behandling af personoplysninger ikke er virksomhedens kerneopgave.

Mange små virksomheder – i modsætning til større virksomheder – har heller ikke en juridisk afdeling, der kan hjælpe med at overholde GDPR, ligesom de måske ikke har ressourcerne til at indhente juridisk rådgivning eksternt.

Ikke desto mindre vil de fleste små virksomheder, f.eks. tømrervirksomheder, frisører og købmænd, i et eller andet omfang behandle personoplysninger, herunder oplysninger om virksomhedens ansatte og virksomhedens kunder.

I databeskyttelsesforordningens kapitel 4, afdeling 5, har man, bl.a. i erkendelse af ovennævnte, indsat regler om adfærdskodekser og certificeringsordninger. Ønsket er, at disse ordninger skal kunne hjælpe dataansvarlige og databehandlere med at overholde databeskyttelsesforordningen – f.eks. i forhold til behandlingsaktiviteter, der er særligt kendetegnende for en specifik branche.

Udarbejdelsen af en adfærdskodeks vil derfor kunne være et nyttigt redskab for især mikro, små og mellemstore virksomheder til at hjælpe med at sikre overholdelsen af forordningens regler.

Reglerne om adfærdskodekser og certificeringsordninger er dog ikke udelukkende tiltænkt kun at skulle hjælpe SMV-segmentet. Store virksomheder og offentlige myndigheder mv. vil således også kunne benytte sig af muligheden. 

Læs mere om adfærdskodekser i Datatilsynets vejledning om adfærdskodekser her

Du kan også finde mere generel information om adfærdskodekser her.

Danmarks første adfærdskodeks

Tilbage i august 2021 godkendte Datatilsynet Danmarks første adfærdskodeks udarbejdet af Kirkeministeriet.

Kirkeministeriet har i samarbejde med Landsforeningen af Menighedsråd udarbejdet en adfærdskodeks om behandling af personoplysninger som led i sognepleje for menighedsråd i Danmark.

Adfærdskodeksen har til formål at opstille konkrete retningslinjer og procedurer for en række områder for at sikre en lovlig behandling af personoplysninger for menighedsrådet som dataansvarlig. Kodeksen skal være et brugbart og effektivt værktøj ved behandling af personoplysninger i forbindelse med sognepleje i menighedsrådet. Et menighedsråd, som har tilsluttet sig kodeksen, får eksempelvis en række konkrete retningslinjer for, hvordan menighedsrådet skal forholde sig i forbindelse med efterlevelse af oplysningspligten og indsamling af oplysninger i forbindelse med de situationer, der er anført i kodeksen.
 
Adfærdskodeksen er udarbejdet med henblik på at specificere anvendelsen og lette overholdelsen af GDPR på følgende områder:
  1. Dataansvar
  2. De generelle behandlingsprincipper
  3. Behandlingsgrundlag
  4. Brug af samtykke
  5. Oplysningspligten
  6. Fortegnelser
  7. Sikker opbevaring og sikker kommunikation

"Adfærdskodeksen hjælper folkekirken med specifikke retningslinjer til at overholde databeskyttelseslovgivningen inden for et bestemt område – i dette tilfælde menighedsrådenes behandling af personoplysninger.

Det betyder i praksis, at menighedsrådene bliver støttet i vurderingen af, hvad der måtte være den korrekte behandling med meget konkrete anvisninger i adfærdskodeksen. Desuden kan et menighedsråd ved tilslutning til adfærdskodeksen dokumentere over for omverdenen, at man lever op til sine databeskyttelsesretlige forpligtelser.

Det har været en spændende og lærerig proces med udarbejdelsen af adfærdskodeksen – og samtidigt udfordrende, da det er den første kodeks i Danmark. Der har således ikke været tidligere erfaringer at drage nytte af”

– Souschef i Folkekirkens IT, Ulla Brynning.

Dato: 14-12-2021