Adfærdskodekser og certificeringsordninger

På siden her finder du information og vejledning om adfærdskodekser og certificeringsordninger.

Hvad kan en adfærdskodeks omfatte?

En adfærdskodeks skal indeholde konkrete og detaljerede retningslinjer for, hvordan databeskyttelsesreglerne overholdes.

At retningslinjerne skal være konkrete betyder, at de ikke blot skal gengive eller på et generelt plan vejlede om de regler, der allerede fremgår af databeskyttelseslovgivningen, men derimod tilvejebringe klare og præcise løsninger på praktiske spørgsmål, gerne med konkrete og letforståelige eksempler. Adfærdskodeksen bør fungere som et komplet værktøj, således at dem, der har tilsluttet sig kodeksen, kan nøjes med at forholde sig til denne.

En adfærdskodeks, der angår sletning, bør eksempelvis præcisere, hvornår bestemte kategorier af personoplysninger ikke længere er nødvendige at behandle og så vidt muligt fastsætte specifikke frister for sletning.

En adfærdskodeks behøver ikke indeholde retningslinjer i forhold til alle databeskyttelsesforordningens bestemmelser, men kan med fordel begrænses til at angå de dele af behandlingen af personoplysninger, som er mest udfordrende inden for den pågældende branche. I én branche er den største udfordring måske, hvilke sikkerhedsforanstaltninger der skal træffes for at beskytte de personoplysninger, der behandles, mens der i en anden branche primært er behov for retningslinjer om, hvilke oplysninger der skal gives til de registrerede og på hvilken måde.

Efter databeskyttelsesforordningen kan en adfærdskodeks eksempelvis angå:

  1. rimelig og gennemsigtig behandling
  2. de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge
  3. indsamlingen af personoplysninger
  4. pseudonymiseringen af personoplysninger
  5. informationen, der gives til offentligheden og til registrerede
  6. udøvelsen af registreredes rettigheder
  7. informationen, der gives til børn, og beskyttelsen af børn og den måde, hvorpå samtykket fra indehavere af forældremyndighed over børn skal indhentes
  8. foranstaltningerne og procedurerne omhandlet i artikel 24 og 25 og foranstaltningerne til at sikre behandlingssikkerhed som omhandlet i artikel 32
  9. anmeldelsen af brud på persondatasikkerheden til tilsynsmyndighederne og underretningen af de registrerede om sådanne brud på persondatasikkerheden
  10. overførslen af personoplysninger til tredjelande eller internationale organisationer, eller
  11. udenretslige procedurer og andre procedurer for bilæggelse af tvister mellem dataansvarlige og registrerede vedrørende behandling, uden at det berører registreredes rettigheder i henhold til artikel 77 og 79.