Behandling och godkännande av uppförandekoden på dataombudsmannens byrå
Dataombudsmannens byrå utvärderar och godkänner uppförandekoder som tillämpas nationellt i Finland. De krav som ställs på innehållet i uppförandekoden grundar sig på Europeiska Unionens allmänna dataskyddsförordning och på de av Europeiska dataskyddsstyrelsen (EDPB) godkända anvisningarna, där det ges praktiska anvisningar och exempel på utarbetandet av en uppförandekod.
Europeiska dataskyddstyrelsens anvisning om uppförandekod (pdf)
Dataombudsmannens byrå utvärderar innehållet till utkast till uppförandekod i två faser
1. I den första fasen gör dataombudsmannens byrå en bedömning av om utkastet till uppförandekod uppfyllerförutsättningarna för upptagande till behandling i enlighet med Europeiska dataskyddsstyrelsens anvisning.
- Om förutsättningarna uppfylls, meddelar dataombudsmannens byrå vid behov den som utarbetat utkastet till uppförandekod att behandlingen fortsätter i den andra fasen.
- Om förutsättningarna inte uppfylls, meddelar dataombudsmannens byrå den som utarbetat utkastet att uppförandekoden har förkastats och grunderna till att det förkastats.
2. I den andra fasen utvärderar dataombudsmannens byrå om uppförandekoden uppfyllerförutsättningarna för godkännande i enlighet med Europeiska dataskyddsstyrelsens anvisning.
- Om förutsättningarna uppfylls, meddelar dataombudsmannens byrå den som utarbetat utkastet till uppförandekod att utkastet har godkänts som uppförandekod.
- Om förutsättningarna inte uppfylls, meddelar dataombudsmannens byrå den som utarbetat utkastet till uppförandekod att utkastet har förkastats och grunderna till att det förkastats.
Om dataombudsmannens byrå förkastar utkastet till uppförandekod i antingen första eller andra fasen, kan den som upprättat uppförandekoden omarbeta utkastet till uppförandekod i enlighet med de grunder för förkastandet som dataombudsmannens byrå presenterat och på nytt lämna in ett omarbetat utkast till dataombudsmannens byrå för godkännande.
Om dataombudsmannens byrå godkänner utkastet till uppförandekod, registrerar dataombudsmannens byrå uppförandekoden och publicerar den på sin webbplats. Dataombudsmannens byrå lämnar också in den godkända uppförandekoden till Europeiska dataskyddsstyrelsen för publicering av uppförandekoden.
Väsentliga ändringar som görs i den godkända uppförandekoden ska lämnas in till dataombudsmannens byrå för godkännande. Som väsentlig ändring kan till exempel anses tillägg av en ny bestämmelse i uppförandekoden, men inte sådana mindre ändringar som inte påverkar tillämpningen av uppförandekoden.
När kan uppförandekoden tas upp till behandling?
1. Utkastet till uppförandekod innehåller en inledning, som beskriver syftet med uppförandekoden, tillämpningsområdet samt hur uppförandekoden underlättar tillämpningen av den allmänna dataskyddsförordningen.
2. Upprätthållarens av uppförandekoden representativitet motiveras exempelvis med antalet organisationer som denna representerar, med eventuellt antal medlemmar i uppförandekoden samt utgående från kännedomen om den aktuella branschen eller de typiska åtgärder för behandling av personuppgifter som vidtas inom branschen.
3. I uppförandekoden definieras dess materiella tillämpningsområde (den aktuella behandlingen av personuppgifter).
4. I uppförandekoden definieras kodens geografiska tillämpningsområde, det vill säga om uppförandekoden är nationell eller transnationell (stat eller stater i vilka den tillämpas på den utförda verksamheten).
5. För övervakningen av uppförandekoder för aktörer inom den privata sektorn ska ett övervakningsorgan utses, som övervakar att uppförandekoden iakttas på korrekt sätt.
6. Det är inte obligatoriskt att utse ett övervakningsorgan för uppförandekoder som gäller myndigheters eller offentliga organs behandling av personuppgifter. Även för en sådan uppförandekod ska dock de mekanismer definieras med vilka iakttagandet av uppförandekoden följs upp.
7. Den som upprätthåller ett utkast till uppförandekod ska lämna in ett sammandrag över hur branschen fått säga sitt om koden och eventuella möjligheter som de registrerade haft att lyfta fram sin åsikt.
8. Den som upprätthåller uppförandekoden ska bestyrka att utkastet till uppförandekod följer den nationella lagstiftningen. Detta är speciellt viktigt i de fall då speciallagstiftning ska tillämpas på behandlingen av personuppgifter.
9. Språket i uppförandekoden ska vara samma språk som hos den behöriga tillsynsmyndigheten. För ett utkast till uppförandekod som ska tillämpas i flera medlemsstater får även en engelskspråkig version lämnas in.
10. Utkastet till uppförandekod lämnas in till den behöriga myndigheten för godkännande.
När kan en uppförandekod godkännas?
Efter det att utkastet till uppförandekod uppfyller de ovan listande förutsättningarna för att tas upp till behandling, utvärderar dataombudsmannens byrå förutsättningarna för godkännande av utkastet till uppförandekod.
För att utkastet till uppförandekod ska kunna godkännas ska följande förutsättningar uppfyllas.
1. Uppförandekoden uppfyller ett särskilt behov. Den behandlar dataskyddsfrågorna inom en viss bransch, vilka kan vara omfattande eller koncentrera sig endast på vissa behandlingsåtgärder.
2. Uppförandekoden underlättar förståelsen för och den praktiska tillämpningen av den allmänna dataskyddsförordningen i synnerhet för dem som inte är dataskyddsexperter.
3. Uppförandekoden preciserar tillämpningen av dataskyddsförordningen inom en viss bransch. I uppförandekoden definieras organisatoriska åtgärder och konkreta lösningar, som medlemmarna av uppförandekoden kan tillämpa för att iaktta den allmänna dataskyddsförordningen.
- Vid utarbetandet av uppförandekoden bör uppmärksamhet fästas vid undvikande av upprepningar eller omskrivningar av den allmänna dataskyddsförordningen.
4. Uppförandekoden erbjuder tillräckliga skyddsåtgärder för begränsning av riskerna i anknytning till behandlingen av personuppgifter (till exempel god praxis gällande skydd av personuppgifter).
5. Uppförandekoden innehåller mekanismer för effektiv övervakning, som kan användas för att säkerställa att uppförandekoden har iakttagits.
1. Har ni lämnat en motivering och alla relevanta styrkande handlingar?
2. Är ni en sammanslutning eller något annat organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden?
3. Har ni lämnat uppgifter i dokumentationen som visar att ni faktiskt är ett representativt organ som kan sätta sig in i medlemmarnas behov?
4. Har ni tydligt redogjort för behandlingen eller sektorn i fråga och de behandlingsrelaterade problem som uppförandekoden är tänkt att avhjälpa?
5. Har ni fastställt uppförandekodens territoriella tillämpningsområde och bifogat en förteckning över alla berörda tillsynsmyndigheter (i förekommande fall)?
6. Har ni lämnat uppgifter som motiverar identifieringen av den behöriga tillsynsmyndigheten?
7. Har ni angett mekanismer som möjliggör en effektiv övervakning av att uppförandekoden följs?
8. . Har ni identifierat ett övervakningsorgan och redogjort för hur det ska uppfylla kraven när det gäller övervakningen av uppförandekoden?
9. Har ni tagit med information om i vilken mån samråd genomfördes när uppförandekoden togs fram?
10. Har ni bekräftat att utkastet till uppförandekod överensstämmer med medlemsstatens lagstiftning (i förekommande fall)?
11. Har ni följt språkkraven?
12. Innehåller dokumentationen tillräckliga uppgifter för att visa att dataskyddsförordningen tillämpas korrekt?