Adfærdskodekser og certificeringsordninger

Adfærdskodekser

En databeskyttelsesretlig adfærdskodeks er et sæt retningslinjer, der har til formål at specificere og konkretisere reglerne, der følger af databeskyttelsesforordningen. Adfærdskodekser kan med fordel benyttes inden for bestemte brancher og sektorer, hvor kodeksen kan hjælpe til at identificere og løse centrale udfordringer vedrørende databeskyttelse, der er sædvanlige på området.

En adfærdskodeks skal udarbejdes af et repræsentativt organ med henblik på i) at specificere anvendelsen af forordningens regler og dermed give en mere praktisk tilgang til reglerne, og ii) som et element til at påvise, at man som dataansvarlig eller databehandler overholder kravene i databeskyttelsesforordningen.

Efter databeskyttelsesforordningen kan sammenslutninger eller andre organer f.eks. brancheorganisationer og -foreninger, der repræsenterer kategorier af dataansvarlige eller databehandlere, udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med henblik på at specificere anvendelsen af forordningen.

En adfærdskodeks kan eksempelvis bruges inden for visse brancher, hvor bestemte problemstillinger kan gøres mere overskuelige at overholde for dataansvarlige eller databehandlere ved udarbejdelse af konkrete retningslinjer. En adfærdskodeks skal derfor være tilstrækkeligt fokuseret på bestemte databeskyttelsesretlige områder og problemstillinger i den pågældende sektor, og den skal kunne tilvejebringe tilstrækkeligt klare og præcise løsninger til disse områder og problemstillinger.

En adfærdskodeks skal ikke på et generelt plan vejlede om reglerne, men kan eksempelvis omfatte:

  1.  rimelig og gennemsigtig behandling
  2.  de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge
  3.  indsamlingen af personoplysninger
  4.  pseudonymiseringen af personoplysninger
  5.  informationen, der gives til offentligheden og til registrerede
  6.  udøvelsen af registreredes rettigheder
  7.  informationen, der gives til børn, og beskyttelsen af børn og den måde, hvorpå samtykket fra indehavere af forældremyndighed over børn skal indhentes
  8.  foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne til at sikre behandlingssikkerhed som omhandlet i artikel 32
  9.  anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de registrerede om sådanne brud på persondatasikkerheden
  10.  overførslen af personoplysninger til tredjelande eller internationale organisationer, eller
  11.  udenretslige procedurer og andre procedurer for bilæggelse af tvister mellem dataansvarlige og registrerede vedrørende behandling, uden at det berører registreredes rettigheder i henhold til artikel 77 og 79.

En kodeks skal godkendes af Datatilsynet efter forelæggelse af udkast i overensstemmelse med reglerne i databeskyttelsesforordningens kapitel IV, afdeling 5.

En adfærdskodeks, som regulerer behandlingsaktiviteter for private organer, skal endvidere have et akkrediteret kontrolorgan. Kontrolorganets opgave er blandt andet at sikre, at de dataansvarlige og databehandlere, som er tilsluttet kodeksen, overholder kodeksens retningslinjer.

For at blive akkrediteret af Datatilsynet, skal kontrolorganet opfylde en række krav, som er fastsat i databeskyttelsesforordningens artikel 41, stk. 2. Datatilsynet har – i overensstemmelse med databeskyttelsesforordningens artikel 41, stk. 3 – uddybet disse krav og forelagt dem for Det Europæiske Databeskyttelsesråd, som har vedtaget en udtalelse vedrørende kravene.