Svar
Ansvarsprincipen är en hörnsten i den allmänna dataskyddsförordningen. Enligt förordningen ansvarar ett företag/en organisation för att alla dataskyddsprinciper följs, och även för att visa att de efterlevs. Genom förordningen får företag/organisationer en uppsättning verktyg till hjälp när det gäller att påvisa ansvar, och en del av dem är obligatoriska att inrätta.
I vissa fall kan det till exempel vara obligatoriskt att inrätta ett dataskyddsombud eller att genomföra konsekvensbedömningar avseende dataskydd. Personuppgiftsansvariga kan välja att använda andra verktyg, som uppförandekoder och certifieringsmekanismer, för att visa att dataskyddsprinciperna efterlevs.
Ni kanske följer en uppförandekod som utarbetats av en näringslivsorganisation och som har godkänts av en dataskyddsmyndighet. En uppförandekod kan ges giltighet i hela EU genom en genomföranderättsakt från kommissionen.
Ni kanske tillämpar en certifieringsmekanism som drivs av ett av de certifieringsorgan som har fått ackreditering från en dataskyddsmyndighet eller ett nationellt ackrediteringsorgan eller båda, efter vad som bestämts i varje medlemsstat i EU.
Både uppförandekoder och certifiering är valfria instrument, och det är därför upp till ert företag/er organisation att bestämma en viss uppförandekod ska tillämpas eller om certifiering ska begäras. Även om ert företag/er organisation alltjämt måste respektera och efterleva förordningen, så kan tillämpningen av sådana instrument övervägas i händelse av en verkställighetsåtgärd mot er för överträdelse av förordningen.
Exempel
Paraplyförsäkringsorganet i den medlemsstat i EU där ert företag/er organisation är etablerat/etablerad har fått en uppförandekod godkänd av tillsynsmyndigheten. Ett antal konkurrerande försäkringsbolag har börjat tillämpa den koden. Det är frivilligt att ansluta sig till uppförandekoden, men genom att tillämpa koden kan ert företag/er organisation visa att förordningen följs.
Referenser
Example
The umbrella insurance body in the EU Member State of your company/organisation has had a Code of Conduct approved by the supervisory authority. A number of rival insurance firms have adhered to the Code. While adhering is voluntary, the adherence to the Code helps in demonstrating compliance with the GDPR.