Hoppa till innehåll på sidan

Krav för ackreditering av övervakningsorgan

IMY fastställde den 7 september 2023 krav som organ med uppgift att övervaka efterlevnaden av uppförandekoder ska uppfylla för att bli ackrediterade. Kraven finns i fulltext på denna webbsida.

IMY:s beslut, inklusive bilagan med de krav som IMY beslutade om, nås via länken nedan. 

Krav för ackreditering av övervakningsorgan (pdf, 315 kB)

 

Krav för ackreditering av övervakningsorgan

Innehållsförteckning

Inledning 
Ansökningskrav 
Ackrediteringens varaktighet 
1 Självständighet 

1.1 Rättsliga förfaranden och beslutsförfaranden 
1.2 Finansiella resurser 
1.3 Organisationens resurser och struktur 
1.4 Ansvarsskyldighet 

2 Intressekonflikt 
3 Expertis 
4 Etablerade förfaranden och strukturer 
5 Öppen hantering av klagomål 
6 Kommunikation med IMY 
7 Mekanismer för översyn av koder 
8 Rättslig ställning 
9 Underleverantörer 


Inledning

I enlighet med artikel 41.4 i dataskyddsförordningen måste nationella och gränsöverskridande uppförandekoder övervakas av ett övervakningsorgan som är ackrediterat av den behöriga tillsynsmyndigheten. För svensk del är behörig tillsynsmyndighet Integritetsskyddsmyndigheten (IMY). Enligt artikel 41.6 i dataskyddsförordningen, och som klargörs i Europeiska dataskyddsstyrelsens (EDPB) riktlinjer, gäller inte kravet på ett ackrediterat övervakningsorgan för behandling som utförs av offentliga myndigheter och organ.

Övervakningsorganet kan vara antingen externt eller internt för uppförandekodens ägare. Ett internt övervakningsorgan kan vara en intern avdelning hos kodägaren eller en tillfällig intern kommitté. I artikel 41.2 i dataskyddsförordningen fastställs ett antal krav som det föreslagna övervakningsorganet måste uppfylla för att få ackreditering.

Ett övervakningsorgan ska:

  • visa oberoende och sakkunskap i fråga om uppförandekodens innehåll
  • visa fastställda förfaranden som gör det möjligt för berörda personuppgiftsansvariga och personuppgiftsbiträden att tillämpa uppförandekoden, övervaka kodens efterlevnad och regelbundet se över kodens funktion
  • visa etablerade förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden, samt hur koden har genomförts, eller håller på att genomföras, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och hur dessa förfaranden och strukturer är öppna för registrerade och allmänheten, och
  • på ett för den behöriga tillsynsmyndigheten tillfredsställande sätt visa att dess uppgifter och skyldigheter inte leder till en intressekonflikt.

EDPB:s riktlinjer på området ger viktig praktisk vägledning och tolkningshjälp vid tillämpningen av artikel 41.2 i dataskyddsförordningen. I avsnitt 12 i EDPB:s riktlinjer kategoriseras ackrediteringskraven i artikel 41.2 i dataskyddsförordningen i följande åtta kategorier:

  • Självständighet
  • Intressekonflikt
  • Expertis
  • Etablerade förfaranden och strukturer
  • Öppenhet vid hantering av klagomål
  • Kommunikation med den behöriga tillsynsmyndigheten
  • Översynsmekanismer
  • Rättslig ställning

De krav som anges i detta dokument grundar sig på kraven i artikel 41.2 i dataskyddsförordningen och de krav som anges i avsnitt 12 i EDPB:s riktlinjer. Dispositionen av kraven följer riktlinjernas struktur.

Ansökningskrav

Ackrediteringen av ett övervakningsorgan bör inte utgöra ett hinder för utarbetandet av uppförandekoder. Bedömningen av ansökan om ackreditering som övervakningsorgan bör därför ta hänsyn till särdragen i varje sektors behandling och vara så flexibel som möjligt, samtidigt som den rättsliga ram som föreskrivs i dataskyddsförordningen, EDPB:s riktlinjer och relevanta yttranden från EDPB respekteras.

Sökande måste uppfylla alla ackrediteringskrav som anges i detta dokument för att bli ackrediterade av IMY.

Kraven gäller för övervakningsorgan, oavsett om det rör sig om ett internt eller externt övervakningsorgan, om inte annat anges.

Ackreditering som övervakningsorgan är endast möjlig i förhållande till föremålet för en eller flera särskilda uppförandekoder, i enlighet med artikel 41.1 i dataskyddsförordningen.

Ansökan om ackreditering ska lämnas in i skriftlig form till IMY. Ansökan ska lämnas in på svenska. Ansökan ska innehålla bevis på att kraven har uppfyllts genom att relevanta dokument, intyg osv. lämnas in i enlighet med dessa krav.

Ansökan ska åtminstone innehålla följande uppgifter:

  1. uppgifter som identifierar den sökande, t.ex. identifikationsnummer såsom organisationsnummer
  2. den sökandes etableringsort eller säte, som i båda fallen måste vara belägen inom det Europeiska ekonomiska samarbetsområdet (EES)
  3. kontaktuppgifter som ska användas för all kommunikation vid ackrediteringsansökan
  4. specificering av typen av övervakningsorgan (dvs. om det är internt eller externt)
  5. specificering av den uppförandekod för vilken ackreditering söks
  6. tillämpningsområdet för uppförandekoden (inkl. om den är nationell eller gränsöverskridande)
  7. stödhandlingar

Detaljerade dokumentationskrav ingår i vart och ett av ackrediteringskraven nedan.

Ackrediteringens varaktighet

Ett beslut om ackreditering gäller tills vidare.

IMY förbehåller sig rätten att genomföra granskningar av övervakningsorganet för att säkerställa att organet fortfarande uppfyller kraven för ackreditering. En sådan översyn kan inledas bland annat med anledning av ändringar av uppförandekoden, lagändringar som påverkar övervakningsorganets förmåga att utföra sina övervakningsfunktioner, väsentliga ändringar av övervakningsorganet, eller om övervakningsorganet underlåter att fullgöra sina övervakningsfunktioner. Vid väsentliga ändringar av övervakningsorganets förmåga att fungera självständigt och effektivt kommer en översyn alltid att genomföras.

Övervakningsorganet kommer att behålla sin ackrediteringsstatus, med undantag för om resultatet av en översyn visar att kraven för ackreditering inte längre är uppfyllda. Om kraven för ackreditering inte längre uppfylls förbehåller sig IMY rätten att återkalla ackrediteringen. 

1 Självständighet

Enligt artikel 41.2 a i dataskyddsförordningen ska övervakningsorganet visa sitt oberoende i förhållande till innehållet i uppförandekoden.

Ett övervakningsorgans oberoende kan förstås som en rad formella regler och förfaranden för övervakningsorganets utnämning, mandat och verksamhet. Dessa regler och förfaranden kommer att göra det möjligt för övervakningsorganet att med fullständig självständighet övervaka efterlevnaden av en uppförandekod, utan direkt eller indirekt påverkan, och utan att underkastas någon form av påtryckningar som kan påverka dess beslut.

Ett övervakningsorgan ska inte kunna ta emot instruktioner om utförandet av sitt uppdrag från uppförandekodens medlemmar, det yrke, den bransch eller sektor som uppförandekoden gäller för, eller från uppförandekodens ägare. Regler och förfaranden måste därför fastställas för att säkerställa att övervakningsorganet agerar självständigt och utan påtryckningar. När övervakningsorganet är internt måste det finnas ett särskilt fokus på övervakningsorganets förmåga att agera självständigt.

Oberoendet måste påvisas inom fyra huvudområden:

  • rättsliga förfaranden och beslutsförfaranden
  • ekonomiska resurser
  • organisatoriska resurser och struktur
  • ansvar/utnämning av ledamöter/personal.

Kraven för dessa områden anges nedan. 

1.1 Rättsliga förfaranden och beslutsförfaranden

1.1.1

Övervakningsorganet måste på lämpligt sätt vara oberoende i förhållande till uppförandekodens medlemmar, det yrke, den bransch eller sektor som uppförandekoden gäller för och uppförandekodens ägare, särskilt när det gäller eventuella rättsliga och ekonomiska band som kan finnas mellan övervakningsorganet och uppförandekodens ägare eller medlemmar. Övervakningsorganet ska genomföra ett lämpligt beslutsförfarande för att säkerställa sin självständighet och oberoende.

1.1.2

Övervakningsorganet måste agera självständigt när det gäller att välja och tillämpa sina åtgärder och sanktioner mot en personuppgiftsansvarig eller ett personuppgiftsbiträde som följer uppförandekoden.

1.1.3

Övervakningsorganets mandat och dess upphörande måste regleras på ett sätt som förhindrar ett alltför stort beroende av en förnyelse eller rädsla för att förlora utnämningen, i en omfattning som inverkar negativt på övervakningsorganets oberoende vid utförandet av övervakningen.

Vägledning

Övervakningsorganet bör utnämnas för att övervaka uppförandekoden under en tidsperiod på åtminstone tre år.

1.1.4

Övervakningsorganet får inte tillhandahålla några tjänster till uppförandekodens medlemmar eller ägare som kan inverka negativt på organets oberoende.

Vägledning

Tillåtna tjänster kan ha anknytning till utveckling eller förbättring av uppförandekoden eller ge vägledning om genomförandet av uppförandekoden.

1.1.5

Övervakningsorganet ska under ansökningsprocessen lägga fram bevis för att organet och dess personal kan agera oberoende och utan extern påverkan.

Vägledning

Övervakningsorganets oberoende i fråga om rättsliga förfaranden och beslutsförfaranden kan styrkas genom:

a) formella regler för utnämning
b) uppdragsbeskrivningar och arbetsbeskrivningar
c) dokumenterade rekryteringsprocesser för personal
d) uppgifter om personer i det övervakningsorgan som är behörigt att fatta beslut, vilket visar att det inte finns några sammanfallande intressen med de organisationer som ska övervakas
e) en beskrivning av uppförandekodens ägare
f) information om övervakningsorganets varaktighet eller upphörande
g) utvärdering och behandling av risker med avseende på oberoende
h) handlingar som styrker de affärsmässiga, ekonomiska, avtalsmässiga eller andra förbindelserna mellan övervakningsorganet och den sammanslutning eller organisation som lämnar in uppförandekoden samt uppförandekodens medlemmar
i) För interna övervakningsorgan: en beskrivning av de kommittéer, separata avdelningar eller personal som kan vara involverade i övervakningsorganet, framtida informationshinder mellan uppförandekodens ägares övriga organisation och övervakningsorganet, samt separata rapporteringsstrukturer.  

1.2 Finansiella resurser

1.2.1

Övervakningsorganet måste vara ekonomiskt oberoende på lämpligt sätt. Det ekonomiska oberoendet ska styrkas genom att visa full självständighet gentemot den som tilldelar övervakningsorganet budgetmedel och andra resurser, särskilt i de fall där övervakningsorganet är internt.

1.2.2

Övervakningsorganet måste kunna förvalta sin budget och sina resurser oberoende utan någon form av inflytande från uppförandekodens ägare och medlemmar. En särskild separat budget ska tilldelas övervakningsorganet av uppförandekodens ägare som säkerställer att finansieringen av organets verksamhet är varaktig över tid.

Vägledning

Övervakningsorganets finansiering bör garanteras under en tidsperiod på åtminstone två år.

1.2.3

Övervakningsorganet ska kunna visa att det har den finansiella stabiliteten och de resurser som krävs för att kunna utföra sin övervakningsverksamhet på ett effektivt och varaktigt sätt. Sådana resurser måste säkerställas på lång sikt, och förlusten av en eller flera finansieringskällor ska inte påverka övervakningsorganets oberoende.

1.2.4

Det sätt på vilket övervakningsorganet får ekonomiskt stöd (t.ex. en avgift som betalas av uppförandekodens medlemmar) får inte inverka negativt på organets oberoende. Övervakningsorganet ska under ansökningsprocessen visa IMY hur det får ekonomiskt stöd för sin övervakningsroll och förklara hur detta inte äventyrar organets oberoende. 

Vägledning

Ekonomiskt oberoende kan styrkas med dokumentation av inkomstkällor, tidigare eller beräknade intäkter och kostnader samt uppgifter om relevanta tillgångar eller skulder.

Övervakningsorganet kommer inte att betraktas som ekonomiskt oberoende om till exempel reglerna för dess ekonomiska stöd gör det möjligt för en medlem till uppförandekoden som är under utredning att stoppa sina ekonomiska bidrag till organet, för att undvika en eventuell sanktion från övervakningsorganets sida.

1.2.5

Vid säkerställandet av det ekonomiska oberoendet ska övervakningsorganet ta hänsyn till antalet och storleken på uppförandekodens medlemmar (som övervakade organisationer), arten och omfattningen av deras behandling (uppförandekodens ämne) och de risker som är förknippade med behandlingarna, inbegripet komplexiteten eller graden av risk för den relevanta databehandlingen.

1.3 Organisationens resurser och struktur

1.3.1

Övervakningsorganet måste organiseras på ett sådant sätt att det kan agera oberoende av uppförandekodens ägare och medlemmar inom ramen för uppförandekoden när organet utför sina uppgifter och utövar sina befogenheter.

1.3.2

Övervakningsorganet måste ha den bemanning och de tekniska resurser som krävs för att kunna utföra sina uppgifter på ett effektivt sätt.

1.3.3

Övervakningsorganet ska bestå av ett tillräckligt och proportionerligt antal tillräckligt kvalificerade anställda så att det kan utföra övervakningsfunktionerna, på ett sätt som återspeglar den berörda sektorn och arten, omfattningen, komplexiteten och riskerna med den personuppgiftsbehandling som omfattas av uppförandekoden.

Vägledning

För att säkerställa att övervakningsorganet är tillräckligt bemannat bör det inrättas särskilda förfaranden och lönestrukturer som gör det möjligt för övervakningsorganet att behålla sina anställda över tid.

Övervakningsorganet bör som huvudregel tillämpa anställningsformer som säkerställer tillräcklig bemanning.

1.3.4 

Övervakningsorganet ska vara ansvarigt och ha befogenhet att fatta beslut om övervakningsverksamheten.

1.3.5 

När övervakningsorganet är internt måste det finnas separat personal och ledning för att säkerställa ansvarsskyldighet och funktion från andra delar av organisationen (dvs. uppförandekodens ägare).

Det interna övervakningsorganet måste kunna agera fritt från instruktioner och ska skyddas från alla slags sanktioner eller störningar (direkt eller indirekt) som en följd av fullgörandet av dess uppgift.

1.3.6 

Övervakningsorganet får inte inrättas inom organisationen för någon av uppförandekodens medlemmar.

Vägledning

Punkterna 1.3.5 och 1.3.6 kan uppnås genom användning av effektiva organisatoriska hinder och informationshinder samt separata strukturer för rapporteringshantering, eller genom någon annan logisk åtskillnad mellan övervakningsorganet och uppförandekodens ägare eller medlemmar.

1.3.7 

Övervakningsorganet ska visa sitt organisatoriska oberoende för IMY under ansökningsprocessen.

Vägledning

Bevis på övervakningsorganets organisatoriska oberoende kan tillhandahållas genom:

a) Identifiering av risker för dess organisatoriska oberoende och hur det kommer att avlägsna eller minimera sådana risker och användning av en lämplig mekanism för att säkerställa opartiskhet.

b) För interna övervakningsorgan, dokumentation om inrättandet av övervakningsorganet och information om dess förhållande till den organisation som övervakningsorganet ingår i (dvs. uppförandekodens ägare).

1.4 Ansvarsskyldighet

1.4.1

Övervakningsorganet måste kunna visa att det är ansvarigt för sina beslut och åtgärder för att kunna betraktas som oberoende.

Vägledning

Övervakningsorganets ansvarsskyldighet kan uppnås genom fastställande av en ram för roller, beslutsfattande och rapporteringsförfaranden för att säkerställa oberoendet mellan övervakningsorganet och uppförandekodens ägare eller medlemmar, och genom att fastställa strategier för att öka personalens medvetenhet om styrningsstrukturerna och gällande förfaranden.

1.4.2

De beslut som fattas av övervakningsorganet i samband med dess funktioner ska inte godkännas av någon annan organisation, inklusive uppförandekodens ägare.

1.4.3

Övervakningsorganet ska lämna bevis till IMY om dess opartiskhet i fråga om ansvarsskyldighet under ansökningsprocessen.

Vägledning

Bevis på opartiskhet i fråga om ansvarsskyldighet kan omfatta, men är inte begränsat till:

a) arbetsbeskrivningar

b) ledningsrapporter och utbildning av personal (dvs. riktlinjer för att öka personalens medvetenhet om styrningsstrukturer och gällande förfaranden).

2 Intressekonflikt

Enligt artikel 41.2 d i dataskyddsförordningen ska övervakningsorganet visa att dess uppgifter och skyldigheter inte leder till en intressekonflikt.

Det måste därför visas att övervakningsorganet och dess personal kommer att avstå från alla åtgärder som är oförenliga med dess uppgifter och att skyddsåtgärder införs för att säkerställa att organet inte kommer att utöva oförenlig verksamhet.

Kraven nedan syftar till att säkerställa att övervakningsorganet kan utföra sin övervakningsverksamhet på ett opartiskt sätt, identifiera situationer som kan skapa en intressekonflikt och vidta åtgärder för att undvika sådana situationer.

2.1

Övervakningsorganet ska ha en egen personal som utses av övervakningsorganet eller något annat organ som är oberoende av uppförandekoden och dess medlemmar. Personalen ska endast vara underställd övervakningsorganet.

Vägledning

Ett exempel på personal som valts ut av ett organ som är oberoende av uppförandekoden är personal som har rekryterats av ett oberoende externt företag som tillhandahåller rekryterings- och personaltjänster.

2.2

Övervakningsorganet ska förbli fritt från yttre påverkan, vare sig direkt eller indirekt, och får varken begära eller ta emot instruktioner från någon person, organisation eller sammanslutning.

2.3

Övervakningsorganet måste skyddas från alla slags sanktioner eller inblandning (direkt eller indirekt) av uppförandekodens ägare, andra relevanta organ eller uppförandekodens medlemmar, som en följd av fullgörandet av organets uppgifter.

2.4

Övervakningsorganet måste identifiera situationer som kan skapa en intressekonflikt (på grund av dess personal, organisation, förfaranden osv.) och införa interna förfaranden för att hantera effekterna av situationer som kan skapa en intressekonflikt. Sådana förfaranden kommer att variera beroende på uppförandekoden. Om faktiska eller potentiella intressekonflikter identifierats ska lämpliga åtgärder vidtas för att säkerställa övervakningsorganets oberoende. 

Vägledning

Ett exempel på en intressekonflikt kan vara om övervakningsorganets personal undersöker klagomål mot en organisation som de arbetar för. Ägande, styrning, ledning, personal, delade resurser, ekonomi, kontrakt, utkontraktering, utbildning, marknadsföring och betalning av försäljningsprovision är andra potentiella källor till intressekonflikter.

Exempel på vad som inte utgör en intressekonflikt:

Tillhandahållande av tjänster som är rent administrativa, organisatoriskt stöd eller annan liknande stödverksamhet.

2.5

Övervakningsorganets personal ska vara skyldig att rapportera alla situationer som kan skapa en intressekonflikt. Vid intressekonflikter hos personal ska de berörda anmäla sina intressen och arbetet ska omfördelas.

2.6

Övervakningsorganet ska fortlöpande identifiera och undanröja risker för dess opartiskhet.

2.7

Övervakningsorganet måste utbilda sin personal om situationer som kan skapa en intressekonflikt och de interna förfaranden som är tillämpliga i dessa situationer.

2.8

Övervakningsorganet ska lämna information om sin hantering av intressekonflikter till IMY under ansökningsprocessen. Övervakningsorganets riskhanteringsmetod (enligt kraven i p. 2.4) och tillhörande förfaranden ska ingå i ansökan. 

3 Expertis


Enligt artikel 41.2 a i dataskyddsförordningen ska övervakningsorganet visa sin sakkunskap i fråga om uppförandekodens tillämpningsområde.

Övervakningsorganet ska ha den sakkunskap som krävs för att kunna utföra sin roll på ett effektivt sätt.

Alla uppförandekoder med övervakningsorgan måste beskriva den sakkunskapsnivå som krävs för kodens övervakningsorgan så att övervakningsverksamheten kan genomföras på ett effektivt sätt. Övervakningsorganets sakkunskap måste bedömas i enlighet med den aktuella uppförandekoden. Krav som är specifika för en uppförandekod kommer att vara beroende av sådana faktorer som den särskilda sektorn, personuppgiftsbehandlingens område, de olika intressen som berörs och riskerna med den personuppgiftsbehandling som omfattas av uppförandekoden. Dessa krav som är specifika för en uppförandekod kommer att betraktas som en del av ackrediteringen. Övervakningsorganet måste alltid uppfylla de krav som anges nedan. Ytterligare eller särskilda krav på sakkunskap behöver uppfyllas endast om uppförandekoden föreskriver sådana krav.

IMY kommer att bedöma om övervakningsorganet uppfyller kraven på expertis utifrån övervakningsorganet som helhet. All personals kvalifikationer och erfarenhet kommer därför att ingå i bedömningen.

3.1

Övervakningsorganet måste ha fördjupade kunskaper och erfarenheter när det gäller dataskyddslagstiftningen (inbegripet relevant teknisk kunskap), sektorn och särskild personuppgiftsbehandling inom ramen för uppförandekoden.

3.2

Övervakningsorganet ska se till att personal som fattar beslut för övervakningsorganets räkning har lämplig sektors- och dataskyddsexpertis.

Övervakningsorganet ska se till att personal som utför övervakningsfunktioner har lämplig sektors- och dataskyddsexpertis, operativ erfarenhet samt utbildning och kvalifikationer inom revision, övervakning eller kvalitetssäkring.

3.3

Övervakningsorganet ska under ansökningsprocessen visa för IMY att det inte bara uppfyller kraven i p. 3.1–2 ovan, utan även de relevanta kompetenskraven enligt uppförandekoden. 

Vägledning

Bevis på övervakningsorganets sakkunskap kan omfatta, men är inte begränsat till, följande:

a) Dokumenterad tidigare erfarenhet från övervakningsorganet att agera som övervakare av en viss sektor.
b) Beskrivning av den vid övervakningsorganet anställda personalens kompetens och tidigare erfarenhet.
c) Dokumentation av utbildning av personal för att övervaka efterlevnaden av uppförandekoden, såsom certifiering och examensbevis.
d) Dokumentation som rör personalens sakkunskap inom dataskydd, t.ex. utbildning och dataskyddsintyg.

4 Etablerade förfaranden och strukturer

Enligt artikel 41.2 a i dataskyddsförordningen ska övervakningsorganet visa att den har etablerade förfaranden som gör det möjligt för organet att bedöma om personuppgiftsansvariga och personuppgiftsbiträden har rätt att tillämpa uppförandekoden, övervaka att de följer kodens bestämmelser och regelbundet se över sin funktion.

Övervakningsorganet ska ha en operativt genomförbar övervakningsmekanism. Kraven nedan syftar till att säkerställa att övervakningsorganets övervakningsprocess är effektiv i fråga om resurser och förfaranden.

4.1

Övervakningsorganet måste förses med den finansiella stabilitet och de resurser som krävs för att den ska kunna utföra sina uppgifter på ett effektivt sätt och de förfaranden som krävs för att uppförandekoden ska fungera över tid. Resurserna ska stå i proportion till det förväntade antalet medlemmar till uppförandekoden och deras organisationers storlek, samt komplexiteten och graden av risk för den relevanta personuppgiftsbehandlingen och de klagomål som övervakningsorganet förväntas ta emot.

4.2

Övervakningsorganet ska fastställa förfaranden för att bedöma om personuppgiftsansvariga och personuppgiftsbiträden har rätt att registrera sig och följa uppförandekoden. Sådana förfaranden ska omfatta en bedömning av om den aktuella behandlingen av personuppgifter omfattas av uppförandekodens tillämpningsområde. Övervakningsorganet ska dessutom tillhandahålla bevis på inledande, särskilda och regelbundna förfaranden för att övervaka medlemmarnas efterlevnad inom en tydlig tidsram och kontrollera medlemmarnas behörighet innan de ansluter sig till uppförandekoden.

4.3

Övervakningsorganet måste inom en tydlig och fastställd tidsperiod upprätta regelbundna förfaranden för att aktivt och effektivt övervaka att uppförandekodens medlemmar följer uppförandekodens bestämmelser.

Vägledning

a) Ett övervakningsförfarande som definierar den metod som ska tillämpas, dvs. den uppsättning kriterier som ska bedömas, typen av övervakning (egenkontroll, revision på distans eller på plats, återkommande kontroller, användning av erkända revisionsstandarder, enkätundersökningar m.m.), dokumentation av resultaten etc.
b) Ett förfarande för utredning, identifiering och hantering av överträdelser av koden och, när så krävs, de korrigerande åtgärder som fastställs i uppförandekoden.

4.4

Övervakningsorganet måste inrätta inledande, särskilda och regelbundna förfaranden för att aktivt och effektivt övervaka att uppförandekodens medlemmar följer uppförandekodens bestämmelser.

Vägledning

Särskild övervakning kan bland annat göras på grundval av en uppkommen situation inom ramen för en undersökning eller till följd av ett klagomål från en registrerad.

4.5

De förfaranden som anges i p. 4.3–4 och valet mellan dessa bör göras enligt en riskbaserad metod.

4.6

Övervakningsorganets övervakningsförfaranden måste omfatta de fullständiga övervakningsprocesserna, från utarbetandet av en utvärdering till dess slut, och de måste omfatta ytterligare kontroller för att säkerställa att lämpliga åtgärder vidtas för att avhjälpa överträdelser och förhindra upprepade överträdelser.

4.7

Förfarandena för att övervaka efterlevnaden av uppförandekoder måste vara tillräckligt specifika för att säkerställa en konsekvent tillämpning av övervakningsorganets skyldigheter.

4.8

Övervakningsorganet ska fastställa förfaranden för regelbundna översyner av uppförandekodens verksamhet. Ytterligare krav avseende mekanismerna för översyn av uppförandekoden anges i kraven i avsnitt 7.

4.9

Vid fastställandet av de förfaranden som krävs (för att kontrollera stödberättigande, övervakning och översyn) ska övervakningsorganet ta hänsyn till den risk som personuppgiftsbehandlingen inom ramen för uppförandekoden medför, den förväntade omfattningen av personuppgiftsbehandlingen, antalet medlemmar till uppförandekoden, geografisk omfattning, mottagna klagomål, förekomsten av incidenter och andra relevanta faktorer.

4.10

Övervakningsorganet och dess personal ansvarar för hanteringen av all information som erhållits eller skapats under övervakningsprocessen. Övervakningsorganet och dess personal ska hemlighålla all information som erhållits eller skapats under övervakningens gång, med undantag för vad som krävs enligt lag eller kraven i detta dokument.

4.11

Utan att det påverkar svensk lagstiftning ska övervakningsorganet göra sina beslut om avslutade övervaknings- och prövningsförfaranden tillgängliga för allmänheten när de avser upprepade eller allvarliga överträdelser, t.ex. sådana som skulle kunna leda till att den personuppgiftsansvarige eller personuppgiftsbiträdet i fråga stängs av eller utesluts från uppförandekoden. I annat fall ska övervakningsorganet göra publikationer eller sammanfattningar av beslut eller statistiska uppgifter om dess avslutade övervaknings- och granskningsförfaranden tillgängliga för allmänheten.

4.12

Övervakningsorganet ska visa sin bedömning av behörighet samt övervaknings- och granskningsförfaranden för IMY under ansökningsprocessen.

5 Öppen hantering av klagomål

Enligt artikel 41.2 c i dataskyddsförordningen ska övervakningsorganet visa de förfaranden som organet etablerat för att göra det möjligt för organet att hantera klagomål om överträdelser av uppförandekoden eller det sätt på vilket uppförandekoden har genomförts eller håller på att genomföras av en personuppgiftsansvarig eller -biträde. Dessa förfaranden och strukturer ska vara öppna för registrerade och allmänheten.

Öppna och allmänt tillgängliga förfaranden och strukturer för hantering av klagomål från olika källor när det gäller uppförandekodens medlemmar är en viktig del av övervakningen av uppförandekoden. Kraven nedan syftar till att säkerställa genomförandet av ett effektivt system för hantering av klagomål.

IMY noterar att tillgängliga klagomålsförfaranden bör omfattas av uppförandekoden.

5.1

Övervakningsorganet måste inrätta effektiva och tydliga förfaranden och strukturer för handläggning av klagomål.

Vägledning

Förfaranden för hantering av klagomål kan vara en dokumenterad process för att ta emot, utvärdera, spåra, registrera och lösa klagomål.

5.2

Övervakningsorganet ska i sina förfaranden inkludera den klagandes och uppförandekodens medlemmars rätt att bli hörda.

5.3

Övervakningsorganet måste göra klagomålsförfarandet allmänt tillgängligt och lättillgängligt. Vägledningen om förfarandet måste vara tillräckligt tydlig och lättbegriplig för att en klagande ska kunna förstå den.

5.4

Klagomål ska lösas inom rimlig tid. Övervakningsorganet ska fastställa en tidsram för att lösa klagomål och göra information om tidsramen tillgänglig för allmänheten. Om klagomålet inte kan lösas inom den beräknade tidsramen måste övervakningsorganet informera den klagande om förseningen, orsaken till detta och om en ny tidsfrist för att lösa klagomålet. Klagomål som inte är komplexa ska normalt lösas inom tre månader.

5.5

Övervakningsorganet ska bekräfta mottagandet av ett klagomål inom en månad.

5.6

Vid överträdelse av en uppförandekod ska övervakningsorganet ha fastställda förfaranden för att vidta omedelbara åtgärder och vidta de korrigerande åtgärder som anges i uppförandekoden. Syftet med sådana förfaranden måste vara att avbryta överträdelsen och undvika framtida upprepning.

5.7

Övervakningsorganet ska utan onödigt dröjsmål informera den klagande, berörd medlem av uppförandekoden och kodens ägare om de korrigerande åtgärder som vidtagits och dess motivering. Övervakningsorganet ska också informera IMY och andra berörda tillsynsmyndigheter.

5.8

Övervakningsorganet måste fastställa förfaranden för att åter kunna ta upp klagomål.

5.9

Övervakningsorganet måste föra register över alla klagomål som mottagits och alla åtgärder som vidtagits. IMY bör kunna få tillgång till protokollet när som helst.

5.10

Övervakningsorganet ska göra information om eventuella korrigerande åtgärder som leder till avstängning eller uteslutande av uppförandekodens medlemmar – och eventuella senare upphävanden av sådana uteslutningar – allmänt tillgänglig.

Vägledning

Exempel på korrigerande åtgärder är: utbildning, utfärdande av en varning, rapport till en medlems styrelse, en formell underrättelse som kräver genomförande av särskilda åtgärder inom en angiven tidsfrist eller tillfälligt upphävande av medlemmen från koden till dess att korrigerande åtgärder vidtas.

5.11

Övervakningsorganet ska offentliggöra information om de beslut som fattas inom ramen för förfarandet för hantering av klagomål. Den information som krävs kan lämnas i form av allmänna statistiska uppgifter om antal och typ av klagomål och överträdelser och de lösningar och korrigerande åtgärder som utfärdats.

5.12

IMY har befogenhet att övervaka övervakningsorganets efterlevnad av artikel 41.1-2 och 41.4 i dataskyddsförordningen, i enlighet med artikel 57.1 i dataskyddsförordningen. Övervakningsorganet ska därför fastställa förfaranden för att informera klaganden om detta och vidarebefordra relevanta undersökningar om övervakningsorganets övervakningsverksamhet till IMY.

5.13

Övervakningsorganet ska uppvisa sina förfaranden och strukturer för hantering av klagomål till IMY under ansökningsprocessen. 

6 Kommunikation med IMY

Kraven nedan syftar till att säkerställa att övervakningsorganets ramverk möjliggör en effektiv kommunikation till IMY och andra behöriga tillsynsmyndigheter av de åtgärder som vidtas av övervakningsorganet avseende koden. Detta inbegriper information om avstängning eller uteslutande av uppförandekodens medlemmar som utfärdats av övervakningsorganet och eventuella väsentliga ändringar i övervakningsorganet. IMY kan, mot bakgrund av uppgifterna som rapporteras till myndigheten enligt p. 6.1 – 6.5 nedan, inleda en översyn av övervakningsorganets ackreditering.

6.1

Övervakningsorganet ska fastställa tydliga rapporteringsmekanismer för att möjliggöra skriftlig rapportering av upprepade eller allvarliga överträdelser (som skulle leda till allvarliga reaktioner från övervakningsorganet, såsom avstängning eller uteslutande från koden) till IMY och andra behöriga tillsynsmyndigheter utan onödigt dröjsmål.

Denna rapport ska åtminstone:

a) underrätta om den korrigerande åtgärden och ange giltiga skäl för beslutet,
b) innehålla information om överträdelsen, och
c) tillhandahålla information och bevis för de åtgärder som vidtagits.

6.2

Övervakningsorganet ska kunna lämna all relevant information om sitt agerande enligt p. 6.1 på begäran av IMY eller andra behöriga tillsynsmyndigheter.

6.3

Övervakningsorganet ska ha ett dokumenterat förfarande för granskning och hävande av en avstängning eller uteslutning av en medlem till uppförandekoden och meddela medlemmen, IMY och andra behöriga tillsynsmyndigheter om resultatet av granskningen.

6.4

Övervakningsorganet ska fastställa rapporteringsmekanismer för att möjliggöra regelbunden rapportering av resultaten av övervakningsorganets granskningar av uppförandekoden till IMY.

Vägledning

Regelbunden rapportering kan ske genom verksamhets-, gransknings- eller revisionsrapporter som sammanställs och redovisas för IMY årligen.

6.5

Övervakningsorganet ska utan onödigt dröjsmål underrätta IMY om väsentliga ändringar av övervakningsorganet. 

Vägledning

Väsentliga ändringar kan omfatta följande:

a) Ändringar av övervakningsorganets rättsliga, kommersiella, ägarmässiga eller organisatoriska status och nyckelpersonal.
b) Förändringar i resurser och platser.
c) Eventuella ändringar av grunden för ackrediteringen.
d) All annan information som sannolikt kommer att leda till ett ifrågasättande av övervakningsorganets oberoende, sakkunskap och avsaknaden av intressekonflikter, eller som kommer att inverka negativt på dess fullständiga funktion.

6.6

Övervakningsorganet ska uppvisa sina rapporteringsmekanismer för IMY under ansökningsprocessen. 

7 Mekanismer för översyn av koder

Kraven nedan syftar till att säkerställa att övervakningsorganet kontinuerligt granskar koden i enlighet med de granskningsmekanismer som beskrivs i uppförandekoden för att säkerställa att koden förblir relevant och fortsätter att bidra till en korrekt tillämpning av dataskyddsförordningen.

Det är uppförandekodens ägares uppgift att säkerställa att uppförandekoden fortsätter att vara relevant och överensstämmer med gällande lagstiftning. Övervakningsorganet ansvarar inte för att utföra denna uppgift, men organet ska bidra till en eventuell översyn av uppförandekoden. Som ett resultat av en granskning kan uppförandekodens ägare ändra eller utöka uppförandekoden.

7.1

Övervakningsorganet måste bidra till att genomföra översyner av uppförandekoden i enlighet med uppförandekoden.

7.2

Övervakningsorganet ska se till att det har dokumenterade planer och förfaranden för att se över uppförandekodens funktion.

7.3

Vid översynen av uppförandekoden måste övervakningsorganet bedöma om koden fortfarande är relevant för medlemmarna och fortsätter att bidra till en korrekt tillämpning av dataskyddsförordningen. En sådan bedömning bör åtminstone ta hänsyn till eventuella ändringar i tillämpningen och tolkningen av lagstiftningen eller ny teknisk utveckling som kan påverka den behandling av personuppgifter som utförs av medlemmarna eller som kan påverka bestämmelserna i uppförandekoden.

7.4

Övervakningsorganet ska förse uppförandekodens ägare och medlemmar med en årlig rapport om hur koden fungerar. Rapporten ska innehålla följande:

a) Bekräftelse på att en översyn av uppförandekoden har ägt rum och information om övervakningsorganets resultat och bedömningar efter översynen samt om ändringar av uppförandekoden krävs.
b) Information om personuppgiftsincidenter hos uppförandekodens medlemmar, hanterade klagomål samt typ och resultat av övervakningsåtgärder som har vidtagits. Denna information kan omfatta, men är inte begränsad till, allmän statistisk information om antalet och typen av personuppgiftsincidenter, klagomål, överträdelser och utfärdade lösningar och korrigerande åtgärder.
c) Bekräftelse på att det inte sker några väsentliga förändringar i övervakningsorganet.
d) Information om nya medlemmar till uppförandekoden.


7.5

Övervakningsorganet ska tillämpa uppdateringar av uppförandekoden enligt anvisningar från uppförandekodens ägare.

7.6

Övervakningsorganet ska se till att information om dess genomförda granskningar och årsrapporten om uppförandekodens funktion dokumenteras och görs tillgänglig för IMY på begäran.

7.7

Övervakningsorganet ska visa upp sina granskningsförfaranden för IMY under ansökningsprocessen. 


8 Rättslig ställning


Övervakningsorganet kan inrättas eller etableras på ett antal olika sätt, t.ex. som aktiebolag, förening, intern avdelning inom uppförandekodens ägares organisation eller som en fysisk person. Oavsett vilken form övervakningsorganet har, måste organet visa att det har en lämplig ställning för att utföra sin övervakningsfunktion och fullgöra det ansvar som följer av detta.

Arrangemangen för inrättandet och sammansättningen av övervakningsorganet, dess beslutsprocess, operativa regler och varaktighet samt de resurser som ställs till dess förfogande ska säkerställa att övervakningsorganet kan fullgöra sina övervakningsfunktioner och fullgöra det ansvar som följer därav, under organets hela varaktighet.

IMY noterar att ett övervakningsorgan är ensamt ansvarigt för sin funktion och sina uppgifter enligt artikel 41 i dataskyddsförordningen. Övervakningsorganet ansvarar inte för att uppförandekodens medlemmar följer bestämmelserna i dataskyddsförordningen.

8.1

Övervakningsorganet ska vara etablerat inom EES-området.

8.2

Övervakningsorganet måste kunna hållas juridiskt ansvarigt, inbegripet ansvarigt för att betala administrativa sanktionsavgifter utfärdade i enlighet med 83.4 c i dataskyddsförordningen, för sin övervakningsverksamhet.

8.3

Under ansökningsprocessen ska kodägaren kunna visa att övervakningsorganet och tillhörande förvaltningsstrukturer är inrättade, samt att det är möjligt för övervakningsorganet att vidta lämpliga åtgärder i enlighet med artikel 41.4 i dataskyddsförordningen och att det kan uppfylla de skyldigheter som följer därav.

Vägledning

Bevisen kommer att bero på övervakningsorganets struktur, men kan omfatta följande:

a) Uppgifter om organisationen och verksamheten, t.ex. i förhållande till dagen för bildandet, organisationsnummer, ansvariga tjänstemän, antal anställda, eventuella relationer till andra företag och organisationer, ägarstrukturer etc.
b) Uppgifter om relevanta resurser.
c) Relevanta avtal, överenskommelser, referensvillkor etc.

8.4

Under ansökningsprocessen ska övervakningsorganet bekräfta för den svenska tillsynsmyndigheten att det ansvarar för sin övervakningsroll.

8.5

Övervakningsorganet måste visa att organet kan genomföra uppförandekodens övervakningsmekanism under varaktigheten för övervakningsorganets mandat, enligt p. 1.1.3 ovan.

8.6

När övervakningsorganet är en fysisk person måste det särskilt visas att tillräckliga resurser finns tillgängliga för att den fysiska personen ska kunna utföra övervakningsorganets uppgifter och uppfylla dess ansvar. Vidare måste det beaktas och dokumenteras hur övervakningsrollen säkerställs vid en avgång eller tillfällig oförmåga för den berörda personen. 

9 Underleverantörer

Övervakningsorganet kan lägga ut en del av sin verksamhet på andra parter, t.ex. i samband med revision. Vid användning av underleverantörer kommer de skyldigheter som gäller för övervakningsorganet att gälla på samma sätt för underleverantören. Användningen av en underleverantör tar inte bort övervakningsorganets ansvar. Kraven nedan syftar till att säkerställa att övervakningsorganets underleverantörsverksamhet dokumenteras och ger tillräckliga garantier.

9.1

Beslutsförfarandet får inte läggas ut på underleverantörer.

9.2

Om ett övervakningsorgan använder underleverantörer ska övervakningsorganet se till att det finns tillräckliga garantier när det gäller underentreprenörens sakkunskap, oberoende, tillförlitlighet och resurser och att de skyldigheter som gäller för övervakningsorganet är tillämpliga på underleverantören på samma sätt. 

Vägledning

Punkt 9.2 kan styrkas med bevis som kan omfatta följande:

a) Avtal med underleverantören för att beskriva underleverantörens ansvar.
b) Tydliga förfaranden för underleverantörskontrakt ska dokumenteras och måste omfatta villkor för anlitande av underleverantörer, ett förfarande för godkännande av underleverantörer och övervakning av underleverantörer.

9.3

Övervakningsorganet ska genom återkommande kontroller se till att dess underleverantörer uppfyller garantierna enligt p. 9.2 ovan.

Vägledning

Återkommande kontroller kan exempelvis ske genom regelbunden rapportering eller revision på distans eller på plats.

9.4

Övervakningsorganet ska endast anlita underleverantörer som ger tillräckliga garantier om att genomföra lämplig tekniska och organisatoriska åtgärder, på ett sådant sätt att behandlingen av personuppgifter inom ramen för övervakningsverksamheten uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

9.5

Om ett avtalsförhållande mellan ett övervakningsorgan och en underleverantör upphör, eller ska upphöra, ska övervakningsorganet säkerställa att underleverantörens övervakningsverksamhet övergår till övervakningsorganet eller till en annan underleverantör, utan avbrott i övervakningsverksamheten.

9.6

Övervakningsorganet ska identifiera alla sina underleverantörer och lämna information till IMY om deras uppgifter och den roll de utför när övervakningsorganet ansöker om ackreditering. Övervakningsorganet ska lämna samma information till IMY också om övervakningsorganet anlitar en underleverantör efter ackrediteringen. IMY ska också underrättas om övervakningsorganet slutar använda någon av sina underleverantörer.

 

Senast uppdaterad: 19 september 2023
Sidans etiketter Dataskydd