Overfør til et tredjeland
Godkjent atferdskodeks
Overføring av personopplysninger til et tredjeland, dvs. et land utenfor EU/EØS, kan tillates dersom mottakeren av personopplysningene har abonnert på en godkjent atferdskodeks. Det samme gjelder for godkjente sertifiseringer. Vær oppmerksom på at det må innebære forpliktelser som er håndhevbare. I tillegg må forpliktelsene være juridisk bindende for å føre til en autorisert overføring. Dette gjelder også der mottakeren av personopplysningene har overholdt godkjente atferdsnormer eller sertifiseringsmekanismer.
Retningslinjer fra European Data Protection Board
European Data Protection Board (EDPB) har utviklet retningslinjer for når selskaper overfører personopplysninger til et tredjeland og mottakeren har sluttet seg til en autorisert:
- Retningslinjene for god oppførsel: Retningslinjer 04/2021 om etiske retningslinjer som verktøy for overføringer.
- Sertifiseringsmekanisme: Retningslinjer 07/2022 om sertifisering som verktøy for overføringer.
Retningslinjene gir blant annet informasjon om prosessen for godkjenning av atferdsnormer og detaljer om hva det innebærer, veiledning mv.
Nedenfor forklarer vi hva en oppførselskode betyr under GDPR.
Godkjent atferdskodeks som en ekstra sikkerhetsforanstaltning
Ulike bransjer kan ha en spesifikk instruksjon om hvordan man søker og overholder GDPR, også kjent som GDPR. En oppførselskodeks kan dermed assimileres til en type regelbok, som frivillig skal brukes i en gitt sektor eller bransje. Dette vil gjøre det mulig for selskaper som blir med å motta praktiske instruksjoner om hvordan de skal overholde GDPR i praksis. Både behandlingsansvarlige og databehandlere kan abonnere på etiske retningslinjer.
Det er ikke en databeskyttelsesmyndighet eller European Data Protection Board som lager etiske retningslinjer. I stedet er det vanlig at foreninger som representerer en bestemt sektor, gjør det, og de lager adferdskodeksen. Bruken av de etiske retningslinjene kommer både mindre og større bedrifter til gode. I noen tilfeller er de etiske retningslinjene internasjonale og i andre tilfeller nasjonale.
Forutsetninger for en Code of Conduct
Organisasjonen som utarbeider atferdskodeksen, må ha en passende juridisk status. I tillegg må utkastet til adferdskodeks bestå av bindende og konkrete regler om anvendelsen av GDPR i praksis. Dette er de grunnleggende forutsetningene for en oppførselskode i henhold til GDPR.
Retningslinjene må godkjennes av en databeskyttelsesmyndighet
Før en kode kan implementeres, må den først godkjennes av en databeskyttelsesmyndighet. For å bli godkjent må DPA bestemme at koden bidrar til effektiv og rettferdig behandling av personopplysninger og anvendelse av de andre reglene i GDPR. Nedenfor kan du lese mer om prosessen med å søke om godkjenning av etiske retningslinjer.
Søknad om en oppførselskodeks
Det første trinnet gjelder vurderingen av om organisasjonen som søker om atferdsnormer, er kvalifisert. Det må være en aktør, forening eller et annet organ som representerer kategorier av behandlingsansvarlige og/eller databehandlere. En viktig forutsetning er at søkeren til de etiske retningslinjene skal ha en passende juridisk status i forhold til aktørene som de etiske retningslinjene er ment å gjelde for.
I det andre trinnet vurderer DPA utkastet til kode. De ser særlig på om utkastet oppfyller vilkårene i EDPBs veiledning. Hvis vilkårene er oppfylt, blir søkeren informert og neste trinn i prosessen kan startes. Dersom vilkårene ikke er oppfylt, blir søkeren også informert om dette og begrunnelsen for vedtaket.
I den tredje fasen vil koden bli evaluert av DPA. De undersøker om det oppfyller vilkårene for godkjenning slik det er instruert av EDPB. Søkeren til koden vil da bli underrettet om utfallet av DPAs beslutning på dette stadiet.
Revisjon av utkastet til etiske retningslinjer
Hvis DPA ikke gir sin godkjenning, vil søkerne ha mulighet til å revidere utkastet på grunnlag av DPAs kommentarer. De kan deretter sende inn et oppdatert utkast for ny vurdering for godkjenning.
Registrering og offentliggjøring av godkjente atferdsnormer
Dersom DPA godkjenner en atferdskodeks etter den utfylte og fullstendige søknadsprosessen, vil den bli registrert i DPAs register og offentliggjort på deres nettsted. I tillegg vil de godkjente etiske retningslinjene også bli sendt til EDPB for publisering.
Endringer av godkjente atferdsnormer
Dersom det skal gjøres større endringer i en allerede godkjent atferdskodeks, må en søknad om godkjenning av endringene sendes til DPA. Eksempler på vesentlige endringer er tilføyelse av nye bestemmelser i de etiske retningslinjene. Enhver slik vesentlig endring må først godkjennes av DPA for å tre i kraft.
På den annen side er det mulig å gjøre mindre endringer uten å kreve slik forhåndsgodkjenning. En forutsetning er da at de mindre endringene ikke har innvirkning på anvendelsen av de etiske retningslinjene.
Mer informasjon om overføring til et tredjeland
Sertifiserings- og sertifiseringsmekanismer
Sertifisering er et verktøy som kan brukes til å bidra til et høyt nivå av databeskyttelse. Sertifiserings- og sertifiseringsmekanismer er en type ekstra beskyttelse under GDPR. Det er noen spesifikke kriterier for en operatør som skal sertifiseres. Når en operatør er sertifisert, mottar den et europeisk segl for databeskyttelse. Et sertifikat betyr at behandlingen av personopplysningene oppfyller kriteriene i en sertifiseringsordning. For å bli sertifisert og få et sertifikat, må en søknad om sertifisering sendes til et akkreditert og uavhengig sertifiseringsorgan.