Ny EU persondataforordning – Adfærdskodekser og certificering
April måneds Update handler om forordningens regler om adfærdskodekser, certificering og databeskyttelsesmærkning, herunder:
- Formål og muligheder
- Karakteristika for adfærdskodekser, certificering og databeskyttelsesmærkning
- Nøgleområder for adfærdskodeks og kontrol med overholdelse
- Certificering og databeskyttelsesordninger – proces og kontrol
- Overførsel af personoplysninger til tredjelande
- Sanktioner
- To-do-liste for dataansvarlige og databehandlere
Formål og muligheder
Med henblik på at sikre så udbredt en overholdelse af persondataforordningen som muligt er der i forordningen lagt op til, at blandt andet tilsynsmyndighederne og det Europæiske Databeskyttelsesråd skal tilskynde til udarbejdelse af adfærdskodekser og certificeringsordninger.
Adfærdskodekser og certificeringsordninger kan fungere som redskaber for dataansvarlige og databehandlere med henblik på at dokumentere, at de overholder de forpligtelser, som de er pålagt i henhold til forordningen vedrørende deres databehandlingsaktiviteter.
Efter forordningen må dataansvarlige alene anvende databehandlere, som overholder forordningens krav. Hvis en databehandler har tiltrådt et bestemt adfærdskodeks, vil den dataansvarliges undersøgelsespligt kunne være opfyldt ved dette. Overholdelse af adfærdskodeks kan på denne måde blive et konkurrenceparameter.
Certificering vil kunne anvendes som et element i dokumentationen for, at forordningens krav generelle krav om privacy by design og privacy by default overholdes. Dette kan opnås ved at få certificeret, at it-løsninger og software, som virksomheden anvender, overholder kravene til privacy by design og default.
Adfærdskodeks | Certificering/ databeskyttelsesmærkning | |
Formål | Opnå compliance og signalere compliance til omverdenen | Opnå compliance og signalere compliance til omverdenen |
Beskrivelse | Retningslinjer for opfyldelse af forordningens krav til forskellige former for behandling af personoplysninger indenfor en bestemt sektor/branche | Kontrol af at den dataansvarliges eller databehandlerens behandling af personoplysninger sker i henhold til foruddefinerede kriterier |
Udstedelse | Udarbejdes af organisationer og brancheforeninger, der repræsenterer dataansvarlige eller databehandlere | Udarbejdes af akkrediterede certificeringsorganer eller kompetente tilsynsmyndigheder |
Godkendelse | Godkendes foretages af myndighederne. Et adfærdskodeks, der alene vedrører behandlingsaktiviteter i én medlemsstat, skal godkendes af den lokale tilsynsmyndighed. Adfærdskodekser, der vedrører behandlingsaktiviteter i flere medlemsstater, skal godkendes af Databeskyttelsesrådet og Kommissionen. |
Kriterierne for certificering skal godkendes af myndighederne. Hvis kriterierne er godkendt af Databeskyttelsesrådet, kan det føre til en fælles certificering, Den Europæiske Databeskyttelsesmærkning. |
Gyldighed | Ingen restriktioner | Kan udstedes for en periode på højest 3 år. Certificering kan fornyes efter udløb, hvis kriterierne fortsat overholdes. |
Offentliggørelse | Tilsynsmyndigheden registrerer og offentliggør adfærdskodekser. Databeskyttelsesrådet samler dem i et register og gør dem offentligt tilgængelige. | Databeskyttelsesrådet samler certificeringsordninger i et register og gør dem offentligt tilgængelige. |
Nøgleområder for adfærdskodeks og kontrol med overholdelse
Forordningen oplister nøgleområder, hvor adfærdskodekserne kan give retningslinjer. Disse omfatter rimelig og gennemsigtig behandling, de legitime interesser, som forfølges af den dataansvarlige i specifikke sammenhænge, og indsamlingen af personoplysninger.
For at kunne opnå godkendelse skal der i adfærdskodekset være indsat en regulering af, hvordan der foretages kontrol af overholdelsen af adfærdskodekset. Kontrollen skal foretages af et uafhængigt organ, som har den fornødne ekspertise, og som på den baggrund er akkrediteret af tilsynsmyndigheden.
Certificering og databeskyttelsesordninger – proces og kontrol
Opnåelse er certificering er en nyskabelse i forordningen.
Certificering er frivilligt, og processen for opnåelse af certificering eller en databeskyttelsesmærkning skal være gennemsigtig. Der skal foretages regelmæssig kontrol for at sikre, at den dataansvarlige eller databehandleren overholder bestemmelserne. Kontrollen foretages af uafhængige certificeringsorganer, der skal have et passende ekspertiseniveau for så vidt angår certificeringens genstand og skal være akkrediteret til dette formål af den kompetente tilsynsmyndighed.
Certificeringsorganet kan tilbagekalde en certificering, hvis kravene til certificering ikke længere opfyldes.
Overførsel af personoplysninger til tredjelande
I forhold til overførsel af personoplysninger til tredjelande vil datamodtagerens tiltrædelse af et godkendt adfærdskodeks eller en godkendt certificeringsmekanisme kunne betyde, at der ikke skal indhentes tilladelse til overførslen til tredjelandet.
Overførsel af personoplysninger til tredjelande kan ske, såfremt den dataansvarlige eller databehandleren har givet de fornødne garantier. Har dataimportøren i et tredjeland tiltrådt et godkendt adfærdskodeks eller opnået en godkendt certificering, hvorefter de registreredes rettigheder beskyttes i fornødent omfang, og dette kan håndhæves, vil adfærdskodekset eller certificeringen kunne udgøre det fornødne overførselsgrundlag.
Sanktioner
Dataansvarlige og databehandlere, der har overtrådt et tiltrådt adfærdskodeks, kan suspenderes eller udelukkes fra kodekset af tilsynsorganet, der er forpligtet til at informere den kompetente kontrolmyndighed herom.
Certificeringsorganer skal oplyse tilsynsmyndigheden om tilbagekaldelse af certificeringer, hvis kriterierne ikke længere opfyldes. Hvis der fejlagtigt ikke sker tilbagekaldelse i sådanne tilfælde, er det dog den dataansvarliges og databehandlerens ansvar at overholde forordningens krav.
Overtrædelse af den dataansvarliges eller databehandlerens forpligtelser vedrørende certificering kan straffes med administrative bøder på op til 10.000.000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale omsætning i det foregående regnskabsår, såfremt dette beløb er højere.
To-do-liste for dataansvarlige og databehandlere
- Identificere brancheorganisationer, der repræsenterer den dataansvarlige eller databehandleren, og som kan udarbejde adfærdskodekser;
- Alternativt oprette sammenslutninger eller organer, der repræsenterer den dataansvarlige eller databehandleren, og som kan udarbejde adfærdskodekser;
- Beslutte, om det er hensigtsmæssig og relevant at følge en godkendt adfærdskodeks/
certificeringsmekanisme, samt gøre dette i rette tid; - Tjekke akkrediteringen af tilsyns- og certificeringsorganerne;
- Tage til adfærdskodekser og certificering i betragtning ved valg af databehandler(e) og indkøb/udvikling af nye software samt it-løsninger.
Kontakt
Advokat (L), Partner
Direkte: (+45) 33 38 70 14 – Mobil: (+45) 21 67 80 77
E-mail: kab@nrlaw.dk
Hos Nyborg & Rørdam har vi arbejdet med privacy og persondata i flere år. Vi rådgiver vores klienter om de juridiske aspekter omkring databeskyttelse navnlig med det formål at omsætte den komplekse regulering på databeskyttelsesområdet til konkret forståelig operationel rådgivning.
Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.