Jämför GDPR-instrumenten
GDPR erkänner formellt fyra huvudinstrument som är tillgängliga för dataskyddsansvariga och databehandlare för att tillhandahålla lämpliga garantier och stödja deras efterlevnad: certifiering, uppförandekod, bindande företagsregler och standardavtalsklausuler. Låt oss jämföra deras respektive egenskaper och begränsningar:
Dataskydd genom design och som standard
Det är en av de mest utmanande juridiska förpliktelserna att dokumentera och demonstrera. Certifiering är det enda instrument som erkänns av art. 25 GDPR "för att demonstrera efterlevnad av" detta krav.
Demonstrera lämplighet hos dataskyddsansvariga
Art. 24 GDPR klargör dataskyddsansvarigas förpliktelser. Den nämner två instrument för att bevisa sådan efterlevnad: certifiering och uppförandekoder.
Demonstrera lämplighet hos utvalda databehandlare
Enligt art. 28 GDPR "ska den dataskyddsansvarige endast använda databehandlare som tillhandahåller tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder." Den är ansvarig och kan hållas ansvarig för eventuella överträdelser och bristande efterlevnad av sina databehandlare. Den förväntas utföra en fullständig bedömning av de effektiva åtgärder som finns hos sina databehandlare innan den delar några data med dem. Som tur är erkänner denna artikel två instrument för att bedöma sådan lämplighet: certifiering och uppförandekoder.
Demonstrera lämplighet hos säkerhetsåtgärder
Art. 32 GDPR kräver att man säkerställer en lämplig säkerhetsnivå. Liksom för databehandlare erkänner den också certifiering och uppförandekoder [med regelbundna revisioner] som medel "0".
Effekt på administrativa böter
Art. 83 GDPR kräver att man tar hänsyn till antagandet av en erkänd certifiering eller uppförandekod av en dataskyddsansvarig eller databehandlare vid bristande efterlevnad, när man bestämmer storleken på den administrativa boten. Dessutom bidrar både certifiering och uppförandekod till att avsevärt minska risken för bristande efterlevnad.
Tillgänglighet
Den goda nyheten är att certifieringskriterier och SCC är godkända och tillgängliga som de är. Att anta en uppförandekod kräver ett betydande arbete. Det kräver också att man mobiliserar ett representativt antal företag genom en förening för att utveckla, implementera och få koden godkänd. Processen kan ta flera år. Att anta bindande företagsregler kräver också godkännande av myndigheten. Processen kan också ta flera år och kan endast användas av de enheter som formellt är en del av samma företagsgrupp (och inte av dess databehandlare till exempel).
Universalitet
SCC och GDPR-certifiering, såsom Europrivacy, är branschoberoende och kan användas av alla dataskyddsansvariga och databehandlare. Andra certifieringar kan vara begränsade till endast databehandlare eller till specifika utvärderingsmål. Bindande företagsregler är företagsspecifika. Uppförandekoder är branschspecifika, vilket innebär att dataskyddsansvariga och databehandlare som delar data kan vara underkastade olika uppförandekoder. Till exempel kommer en uppförandekod utformad för gästservice inte att vara lämplig för tjänsteleverantörer som ett redovisningsföretag som arbetar för hotellföretag.
Tid och ansträngning
Under antagandet att ett företag redan följer GDPR, varierar tiden och ansträngningen som krävs mellan olika instrument. En SCC kräver att parter förhandlar och kommer överens om avtalets villkor. Om ett företag har en enda B2B-partner är det det snabbaste instrumentet. Men medan en enda certifiering kan användas med ett obegränsat antal dataskyddsansvariga och databehandlare, måste ett separat SCC antas och undertecknas med varje partner som data delas med.
Flexibilitet och anpassningsförmåga
Vissa instrument fokuserar på företagsnivåkrav (BCR, CC), medan andra instrument fokuserar på specifika databehandlingsaktiviteter (Certifiering, SCC). Den första kategorin kräver att man säkerställer efterlevnad på en högre nivå. Den andra kategorin gör det möjligt för företag att fokusera sina ansträngningar på sina prioriterade databehandlingsaktiviteter och att sätta det viktigaste först.
Tillförlitlighet
Tillförlitlighetsnivån beror på instrumentens natur. Till exempel är en SCC ett bindande åtagande som görs av en enhet, men det finns ingen revision och kontroll av den faktiska efterlevnaden bakom den. Medan en certifiering å andra sidan förlitar sig på regelbundna tredjepartsrevisioner som utförs av kvalificerade revisorer. Tillförlitlighetsskalan (TSL) tillhandahåller en skala från A (mycket tillförlitlig) till I (inte tillförlitlig alls) för att bedöma tillförlitlighetsnivån i effektiv efterlevnad. När den tillämpas på de fyra instrumenten varierar resultatet från F för SCC till A för certifiering.
Värdeskapande
Alla instrument bidrar till att stödja efterlevnad. Men ett av dem, certifiering, gör det möjligt att omvandla efterlevnad till en immateriell tillgång för företaget. Liksom ett patent utgör en certifiering en immateriell tillgång för företaget. Det omvandlar efterlevnad till en källa till värdeskapande. Det kan användas av marknadsförings- och försäljningsteam som en konkurrensfördel. Det kan också användas för att minska osäkerhet hos finansiella analytiker, investerare och aktieägare.
Följande tabell sammanfattar egenskaperna hos de fyra instrumenten.
| SCC | BCR | CC | Certifiering | |
|---|---|---|---|---|
| Att demonstrera dataskydd genom design och som standard enligt art. 25 GDPR | NEJ | NEJ | NEJ | JA |
| Att demonstrera lämplighet hos datakontrollanter enligt art. 24 GDPR | NEJ | NEJ | JA | JA |
| Att demonstrera lämplighet hos utvalda databehandlare enligt art. 28 GDPR | NEJ | NEJ | JA | JA |
| Att demonstrera säkerhet i databehandling enligt art. 32 GDPR | NEJ | NEJ | JA | JA |
| Universalitet: Tillämpbarhet över branscher | JA | NEJ | NEJ | JA |
| Värdefull som en immateriell tillgång | NEJ | NEJ | NEJ | JA |
| Möjlighet att välja och fokusera på prioriterad databehandling | JA | NEJ | NEJ | JA |
| Påverkan på administrativa böter enligt art. 83 GDPR | NEJ | NEJ | JA | JA |
| Skalbarhet och utbyggbarhet (kan användas med alla B2B-partners) | NEJ | JA | JA | JA |
Som tabellen illustrerar framstår certifiering som det mest kraftfulla instrumentet med många fördelar. Detta bekräftas av frekvensen av formella hänvisningar till vart och ett av instrumenten i GDPR.
- Certifiering nämns 73 gånger i 12 artiklar
- Uppförandekoder nämns 36 gånger i 10 artiklar
- Företagsbindande regler nämns 25 gånger i 7 artiklar
- Standardavtalsklausuler nämns 7 gånger i 2 artiklar
Slutsats
Varje GDPR-instrument erbjuder en olika uppsättning fördelar och en olika nivå av tillförlitlighet när det gäller effektiv efterlevnad. Det är upp till DPO:n att bedöma och välja det som bäst tillgodoser arbetsgivarens behov. Vi hoppas att denna analys hjälper dig att jämföra och välja.
Om du ändrar dig är det ganska enkelt att byta från ett instrument till ett annat, eller att kombinera flera instrument, när du har kontrollerat och dokumenterat din efterlevnad.
Referenser
| Instrument | Antal GDPR-referenser | Artiklar | Motiveringar |
|---|---|---|---|
| Standardavtalsklausuler | 7 | 28, 57 | 81, 109, 168 |
| Bindande företagsregler | 25 | 4, 46, 47, 49, 57, 58, 64, 70 | 107, 108, 110, 168 |
| Uppförandekoder | 36 | 24, 28, 32, 35, 40, 41, 46, 57, 58, 64, 70, 83 | 77, 81, 98, 99, 148, 168 |
| Certifiering | 73 | 24, 25, 28, 32, 42, 43, 46, 57, 58, 64, 70, 83 | 77, 81, 100, 166, 168 |