GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Överföring till tredjeland

Uppförandekoder enligt GDPR 

Det kan vara tillåtet att överföra personuppgifter till ett tredjeland, alltså ett land utanför EU/EES-området, om den som mottar personuppgifterna har anslutit sig till en godkänd uppförandekod. Detsamma gäller godkända certifieringar. Observera att det måste medföra skyldigheter som är verkställbara. Dessutom måste skyldigheterna vara rättsligt bindande för att leda till en tillåten överföring. Detta gäller även i de fall mottagaren av personuppgifterna har anslutit sig till godkända uppförandekoder eller certifieringsmekanismer. 

Riktlinjer från den Europeiska dataskyddsstyrelsen

Europeiska dataskyddsstyrelsen (EDPB) har tagit fram riktlinjer för när företag överför personuppgifter till ett tredjeland och mottagaren har anslutit sig till en godkänd:

Riktlinjerna innehåller bland annat information om hur processen är för att få uppförandekoder godkända och detaljer om vad det innebär, vägledning etc. 

Nedan förklarar vi vad en uppförandekod innebär enligt GDPR.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Uppförandekoder enligt GDPR som extra skyddsåtgärd

Olika branscher kan ha en specifik anvisning för hur de ska tillämpa och följa GDPR, även kallad för dataskyddsförordningen. En uppförandekod kan därmed likställas med en typ av regelbok, som frivilligt ska bli tillämpad inom en viss sektor eller bransch. På så sätt kan företag som ansluter sig till den få praktiska anvisningar om hur de ska följa GDPR i praktiken. Både personuppgiftsansvariga och personuppgiftsbiträden kan ansluta sig till en uppförandekod. 

Det är inte en dataskyddsmyndighet eller den europeiska dataskyddsstyrelsen som skapar uppförandekoder. Istället är det vanligt att föreningar som representerar en viss bransch gör detta, och de skapar uppförandekoden. Nyttjandet av uppförandekoden gynnar såväl mindre som större företag. I vissa fall är uppförandekoden internationell och i andra fall nationell. 

Förutsättningar för en uppförandekod

Den organisation som skapar uppförandekoden måste ha en lämplig rättslig ställning. Dessutom måste utkastet av uppförandekoden bestå av bindande och konkreta regler kring tillämpning av GDPR i praktiken. Detta utgör de grundläggande förutsättningarna för en uppförandekod enligt GDPR.

Uppförandekod måste bli godkänd av en dataskyddsmyndighet

Innan en framtagen uppförandekod kan börja bli tillämpad, behöver den först bli godkänd av en dataskyddsmyndighet. För att bli godkänd, måste dataskyddsmyndigheten besluta att uppförandekoden bidrar till effektiv och korrekt behandling av personuppgifter och tillämpning av övriga regler i GDPR. Nedan kan du läsa mer om processen för ansökan om godkännande av en uppförandekod.

Ansökan om uppförandekod

Det första steget har att göra med bedömningen av om organisationen som ansöker om uppförandekoden verkligen är behörig. Det måste vara en aktör, sammanslutning eller annat organ som företräder kategorier av personuppgiftsansvariga och/eller personuppgiftsbiträden. En grundförutsättning är att den som ansöker om uppförandekoden, ska ha en lämplig rättslig ställning i förhållande till de aktörer som uppförandekoden är tänkt att gälla för.

I det andra steget gör dataskyddsmyndigheten en bedömning av utkastet till uppförandekoden. De tittar särskilt på om utkastet uppfyller förutsättningarna enligt EDPB:s anvisningar. I de fall förutsättningarna är uppfyllda, får ansökanden veta detta och nästa steg i processen kan påbörjas. Om förutsättningarna inte är uppfyllda, blir ansökanden också informerade om detta samt orsakerna till beslutet.

I den tredje fasen blir uppförandekoden utvärderad av dataskyddsmyndigheten. De undersöker om den uppfyller förutsättningarna för att bli godkänd enligt anvisningar från EDPB. Därefter får den som ansökt om uppförandekoden veta resultatet av dataskyddsmyndighetens beslut i denna fas.

Revidering av utkastet till uppförandekoden

Om dataskyddsmyndigheten inte lämnar sitt godkännande, får ansökanden möjlighet att revidera sitt utkast baserat på myndighetens kommentarer. Därefter kan de lämna in ett uppdaterat utkast för en ny prövning för godkännande.

Registrering och publicering av en godkänd uppförandekod

Om dataskyddsmyndigheten godkänner en uppförandekod efter genomförd och komplett ansökningsprocess, blir den registrerad i dataskyddsmyndighetens register samt publicerad offentligt på deras webbplats. Dessutom blir den godkända uppförandekoden inlämnad till EDPB för publicering även av dem.

Ändringar i en godkänd uppförandekod

I det fall större ändringar ska göras i en redan godkänd uppförandekod, måste en ansökan om godkännande av ändringarna bli inlämnad till dataskyddsmyndigheten. Exempel på en väsentlig ändring är tillägg av nya bestämmelser i uppförandekoden. Alla sådana väsentliga ändringar måste först bli godkända av dataskyddsmyndigheten för att bli gällande.

Däremot är det möjligt att göra mindre ändringar, utan krav på sådant föregående godkännande. En förutsättning är då att de mindre ändringarna inte har en påverkan på tillämpningen av uppförandekoden.

Mer info om överföring till tredjeland

Certifiering och certifieringsmekanismer

En certifiering är ett verktyg som kan bli använt för att bidra till ett starkt dataskydd. Certifiering och certifieringsmekanismer är en typ av extra skyddsåtgärd enligt GDPR. Det finns en del specifika kriterier för att en aktör ska bli certifierad. När en aktör är certifierad, får aktören ett Europeiskt dataskyddssigill (”European data protection seal”). Ett certifikat innebär att behandlingen av personuppgifterna uppfyller kriterierna i en certifieringsordning. För att bli certifierad och erhålla ett certifikat, måste en ansökan om certifiering bli inlämnat till ett ackrediterat och oberoende certifieringsorgan.

Vill du lära dig mer?

Klicka här
Rulla till toppen