Ny vägledning om uppförandekoder som metod för tredjelandsöverföring

Författare:

|

Datum:

|

European Data Protection Board (EDPB) har nu publicerat en slutlig version av sina riktlinjer 04/2021 om uppförandekoder som ett verktyg för överföring av personuppgifter till tredjeland.

Vad är uppförandekoder?
Uppförandekoder är en uppsättning regler som kan skrivas av organisationer eller organ som representerar en viss sektor och som godkänns av en dataskyddsmyndighet. Det skulle till exempel vara möjligt för alla välgörenhetsorganisationer i Sverige att skriva en egen uppförandekod. Det är helt frivilligt för en organisation att ansluta sig till en uppförandekod, men när organisationen väl anslutit sig blir koden rättsligt bindande. En uppförandekod kan omfatta en viss typ av behandling, t.ex. överföringar till tredjeland, eller omfatta flera typer av behandlingar.

EU:s dataskyddsförordning, GDPR är en komplicerad lag med breda och abstrakta principer. En anledning till detta är att bestämmelserna måste kunna tillämpas på ett stort antal organisationer, från kebabrestauranger till sjukhus, statliga myndigheter och kärnkraftverk. Ett annat skäl är att dataskyddsförordningen måste vara teknikneutral för att reglerna ska förbli relevanta trots den snabba tekniska utvecklingen.

Särskilt små företag och ideella organisationer kan ha svårt att tyda dataskyddsförordningen då GDPR kräver att varje organisation gör en egen analys av de rättsliga kraven i relation till sin databehandling. Normalt kan organisation A inte förlita sig på en rättslig analys som gjorts av organisation B.

Uppförandekoder kan dock erbjuda ett formellt godkänt sätt för organisationer att samla sina resurser och göra en djupare gemensam analys som är relevant för deras typ av organisation och behandlingar. Exempelvis skulle alla idrottsföreningar kunna gå ihop och översätta de abstrakta kraven i GDPR till en uppsättning regler med rättsligt bindande krav och riktlinjer som är anpassade till deras sektor och skrivna på ett språk som är naturligt för deras bransch.

Uppförandekoder som överföringsverktyg
När ett tredjeland inte har erkänts av Europeiska kommissionen som ett land som har en tillräcklig nivå av dataskydd erbjuder artikel 46 i GDPR sex alternativa överföringsmekanismer. Dessa överföringsmekanismer syftar till att kompensera för bristerna i utländska dataskyddslagar. Standardavtalsklausuler är den överlägset vanligaste alternativa mekanismen. EDPB påpekar dock att godkända uppförandekoder är ytterligare ett verktyg som står till förfogande för personuppgiftsansvariga och personuppgiftsbiträden.

En viktig detalj i sammanhanget är att Norge, Island och Lichtenstein likställs med EU-länder när det kommer till tredjelandsöverföring. Dessa länder har ett avtal med EU genom avtalet om Europeiska ekonomiska samarbetsområdet (EES). EES-länderna måste skriva in EU-lagar, inklusive GDPR i sin nationella rätt.

EDPB noterar när det gäller överföringar till tredjeländer att uppförandekoder endast kan vara rättsligt bindande för dataimportörer, dvs. personuppgiftsansvariga och biträden som är etablerade i tredjeländer där GDPR inte gäller.

Dataexportörer, det vill säga personuppgiftsansvariga och personuppgiftsbiträden i EU/EES som för personuppgifter ut ur EU/EES, kan dock fortfarande vara medlemmar i den organisation som utarbetat uppförandekoden. Dessutom kan dataexportörer i EU/EES visa att de uppfyller de rättsliga kraven i artikel 46 genom att hänvisa till dataimportörens efterlevnad av den godkända uppförandekoden.

För alla typer av uppförandekoder under GDPR måste ett övervakningsorgan utses för att övervaka efterlevnaden av uppförandekoden. Övervakningsorganet för en uppförandekod för tredjelandsöverföring måste ha sitt huvudkontor inom EU/EES, så att de slutliga besluten om övervakningsåtgärder fattas inom EU/EES.

För att följa Schrems II-domen listar EDPB, 17 element som en uppförandekod för tredjelandsöverföring måste innehålla. Bland annat måste uppförandekoden skapa rättigheter för de registrerade som tredje part. Detta innebär att de registrerade, i egenskap av tredje part som inte har undertecknat avtalet mellan importören och exportören, ändå måste ha rättigheter enligt avtalet. De registrerade måste kunna stämma importören för avtalsbrott om någon av deras GDPR-rättigheter kränkts.

Ett annat krav som ställs är att dataimportören måste lämna en rättslig garanti. Dataimportören måste intyga att den inte har någon anledning att tro att lagarna i dataimportörens land hindrar denne från att kunna fullgöra sina skyldigheter enligt uppförandekoden.

Läs mer:

EDPBs vägledning 04/2021 om Uppförandekoder som överföringsverktyg

Integritetsskyddsmyndighetens hemsida om uppförandekoder och certifieringar