Hvad er en adfærdskodeks, og hvem kan lave den?
For nogle virksomheder kan det synes uoverskueligt at skulle sætte sig ind i og forstå databeskyttelsesforordningens mange forskelligartede regler. Derfor er der i forordningen en mulighed for at lave såkaldte adfærdskodekser. En databeskyttelsesretlig adfærdskodeks er et sæt af retningslinjer, der specificerer reglerne i databeskyttelsesforordningen for en given branche. Det kan f.eks. være ved at angive, hvordan reglerne skal håndteres i tilfælde, som er typiske for branchen. Et eksempel kunne være at fastlægge en procedure for, hvordan man overholder oplysningspligten og andre af de registreredes rettigheder.
Adfærdskodekser kan laves af sammenslutninger eller andre organer, der repræsenterer kategorier af dataansvarlige og databehandlere. Det kan f.eks. være en brancheorganisation eller –forening. Disse har nemlig typisk et indgående kendskab til, hvilke behandlinger af personoplysninger, der er sædvanlige inden for de brancher, som de repræsenterer. De vil samtidig være bekendt med hvilke områder, deres medlemmer er mest udfordrede på i forhold til at overholde forordningens regler.
Krav i henhold til akkrediterede kontrolorganer
En adfærdskodeks, som regulerer, hvordan private organer håndterer personoplysninger, skal have et akkrediteret kontrolorgan. Kontrolorganets opgave er blandt andet at sikre, at de dataansvarlige og databehandlere, som er tilsluttet kodeksen, overholder kodeksens retningslinjer.
For at blive akkrediteret af Datatilsynet skal kontrolorganet opfylde en række krav, som er fastsat i databeskyttelsesforordningen.
Ifølge forordningen skal Datatilsynet uddybe disse krav og forelægge dem for Det Europæiske Databeskyttelsesråd (EDPB). Det har tilsynet gjort, og EDPB har vedtaget en udtalelse om kravene.
I forlængelse af dette forløb offentliggør Datatilsynet hermed sine akkrediteringskrav for kontrolorganer til adfærdskodekser. Kravene er tilgængelige på dansk og på engelsk.
Kom godt i gang med en adfærdskodeks
En adfærdskodeks er et godt værktøj for mindre- og mellemstore dataansvarlige og databehandlere til at forstå, hvordan de konkret sikrer at efterleve reglerne for databeskyttelse. Derfor opfordrer Datatilsynet i høj grad repræsentative organer til at udarbejde adfærdskodekser.
Datatilsynet har foreløbigt kun modtaget én anmodning om godkendelse af en adfærdskodeks, som er under behandling i tilsynet. Kodeksen er udarbejdet af Kirkeministeriet og vedrører menighedsråds behandling af personoplysninger.
Hvis man som organ overvejer at udarbejde en adfærdskodeks, anbefaler Datatilsynet, at man læser vejledningerne på området. Her findes både tilsynets egen vejledning og vejledningen fra EDPB.
Datatilsynet bistår endvidere gerne med yderligere vejledning i form af mødedeltagelse og lignende til organer, der overvejer at udarbejde adfærdskodekser.