Korleis lage atferdsnorm?

Korleis lage atferdsnorm?

Personvernforordninga har reglar for atferdsnormer (kalla bransjenormer tidlegare). Her gir vi ei oversikt over desse reglane, samt ei framstilling av fordelane med atferdsnormer. Vi går og gjennom sentrale trekk ved atferdsnormer, og kjem med råd om korleis du går fram for å lage ei slik norm.

Innleiing

Målgruppa for denne rettleiinga er først og fremst aktørar som vurderer å etablere ei atferdsnorm. Føremålet med atferdsnormer er å styrke personvernet og gjere det lettare for verksemder – særleg dei mindre – å etterleve personvernregelverket.

Det er frivillig å utarbeide og tilslutte seg ei atferdsnorm. Det er dei behandlingsansvarlege eller databehandlarane som sjølve må lage atferdsnormene, men dei skal alltid godkjennast av Datatilsynet. Dersom norma gjeld aktivitetar i fleire europeiske land, skal Personvernrådet og EU-kommisjonen godkjenne norma.

Denne rettleiinga inneheld ikkje informasjon om kva for innhald reglane i ei atferdsnorm skal ha, ut over nokre generelle føringar. Innhaldet i norma vil avhenge av kva for reglar i forordninga den aktuelle bransjenorma skal dekkje, korleis desse reglane er å forstå og korleis reglane best kan etterlevast i ein konkret bransje.

Retningslinjer fra Personvernrådet for atferdsnormer og særskilte kontrollorganer

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer for atferdsnormer. 

Formålet med retningslinjene er å gi praktiske retningslinjer og tolkningshjelp til artikkel 40 og 41 i personvernforordningen. Retningslinjene skal bidra til å klargjøre prosedyrer og regler i forbindelse med innsending, godkjenning og publisering av atferdsnormer både på et nasjonalt og europeiske nivå. Retningslinjene skal også gi et klart rammeverk for alle kompetente datatilsynsmyndigheter, EDPB og EU-kommisjonen ved vurderingen av innsendte atferdsnormer. Rammeverket skal sikre konsistens og strømlinjeforme prosedyren ved vurderingen av innsendte atferdsnormer.

Les også

Vi har utarbeidd andre rettleiingar som vil kunne vere nyttige når ein skal lage ei atferdsnorm:

Kva er ei atferdsnorm (bransjenorm)

Ei atferdsnorm er eit regelsett for ein spesifikk bransje. Ho skal gje konkrete reglar og retningslinjer for korleis verksemdene skal innrette seg for å etterleve krava i personvernforordninga. Norma er utvikla av bransjen sjølv, men skal godkjennast av Datatilsynet.

Det er frivillig å utarbeide ei slik norm, men det er ønskjeleg at flest mogleg verksemder gjer det.

Det er ein uttrykt ambisjon med personvernforordninga at atferdsnormer skal bli eit hyppigare brukt verktøy for å etterleve personvernregelverket. Statane og datatilsynsmyndigheitene skal oppmuntre til etablering av desse normene. Ordninga vert formalisert ved at normene skal godkjennast av dei nasjonale datatilsynsmyndigheitene. Det er lagt til rette for at normer kan få allmenn gyldigheit i EU, og det er nedfelt insentiv i regelverket for å oppmuntre til etablering og bruk av normer. Atferdsnormer skal også bidra til harmonisering både nasjonalt og internasjonalt.

Dei sentrale reglene om atferdsnormer står i personvernforordninga artikkel 40 og 41. I kapittel 6 er det ein gjennomgang av dei mest sentrale reglane i desse artiklane.

Forordninga er eit omfattande dokument, utforma for å gjelde dei fleste samfunnsområda, og mange av reglane er skjønnsmessige. Mange verksemder vil difor ha behov for meir konkrete og bransjespesifikke reglar enn det som følgjer av forordningsteksten.

Klare svar på praktiske spørsmål

Ei atferdsnorm må innehalde konkrete og relativt detaljerte reglar og retningslinjer for korleis verksemdene skal etterleve heile eller deler av personvernforordninga. Verksemdene skal der kunne finne klare svar på praktiske spørsmål. Ei slik norm har liten verdi dersom ho berre repeterer forordninga sine reglar eller har karakter av ei prinsipperklæring. Norma bør ideelt sett vere eit komplett verktøy, slik at verksemdene i liten grad må forholde seg til både norma og forordninga sine reglar for det aktuelle temaet.

Eksemplar på innhald

Det er naturleg at ei norm som regulerer informasjonstryggleik, vil konkretisere kva som vil vere naudsynte «tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» i samband med bransjetypiske handsamingsaktivitetar (jf. artikkel 32 nr. 1).

Ei norm som gir reglar om sletting, bør konkretisere når spesifikke kategoriar personopplysingar ikkje lenger er naudsynlege for førmålet (jf. artikkel 17 nr. 1 bokstav a) og setje konkrete slettefristar framfor skjønnsmessige retningslinjer.

Ei norm som regulerer bruk av samtykke, kan med fordel innehalde ein mal for samtykkeskjema.

Korleis gå fram for å lage ei atferdsnorm?

Kven kan lage atferdsnorm?

Det formelle vilkåret for å gå saman om å lage ei atferdsnorm (bransjenorm) er at det må vere "sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere" (artikkel 40 nr. 2). Eit typisk døme vil vere bransjeforeiningar eller liknande samarbeidsorgan.

Datatilsynet sitt syn er at dette er ein fleksibel regel som det ikkje er grunn til å tolke snevert. Det sentrale er at dei som vil utarbeide ei norm, må ha eit reelt mandat til å opptre på vegne av bransjen.

Kartlegging

Aktørane i bransjen må snakke saman og samordne seg om kor vidt det er grunnlag for å lage ei atferdsnorm. Det er viktig å kartlegge kva for behandlingar av personopplysningar som skjer i bransjen, og kva for behov verksemdene har. Dette gjeld særleg dei mindre verksemdene, som forordninga framhevar spesielt.

Det er også viktig å tenkje gjennom ambisjonsnivået for kva norma skal regulere. Datatilsynet vil påpeike at det er mogleg å lage ei tematisk avgrensa atferdsnorm som ein seinare kan utvide til også å omfatte fleire delar av forordninga (etter ein ny godkjenningsprosess).

Gjennomføre høyringsprosess

I fortalen til forordninga (punkt 99) er det framheva at ein bør rådføre seg med relevante berørte partar, også registrerte når det er mogleg. Ein bør også ta omsyn til merknadar og synspunkt som har kome fram i samband med ei slik rådføring.

Vurder det internasjonale sporet

Omfattar norma aktivitetar i fleire medlemsstatar? Er det naudsynt og/eller ønskjeleg at norma skal gå i det internasjonale sporet for godkjenning? Dette bør ein ha teke stilling til før godkjenningsprosessen byrjar.

Før ein set i gang arbeidet med eigen norm, bør ein undersøkje om det allereie finst godkjente atferdsnormer som har fått allmenn gyldighet av EU-kommisjonen, og som ein kan slutte seg til.

Tilstrekkelege og naudsynte garantiar

Ei norm må ifølge forordninga ha tilstrekkelege og naudsynte garantiar for å bli godkjent av Datatilsynet (artikkel 40 nr. 5). Vilkåret er skjønnsmessig og situasjonsbestemt, og bransjen må i første omgang sjølv gjere seg opp ei meining om kva som vil vere tilstrekkeleg og hensiktsmessig for den konkrete norma.

Skriv utkast

Før ein kan gå inn i godkjenningsprosessen, må ein ha skrive eit meir eller mindre ferdig utkast. Føresetnaden for dette er sjølvsagt at ein har analysert reglane i forordninga og korleis desse kan og bør konkretiserast i ei bransjespesifikk åtferdsnorm.

Utkastet til atferdsnorma skal peke ut eit særskilt kontrollorgan og innehalde mekanismer som gjer det mogleg for kontrollorganet nevnt i artikkel 41 å føre tilsyn med den behandlingsansvarlige og databehandlarane som har forplikta seg til å nytte atferdsnorma.

Uavhengig kontrollorgan

Føremålet med eit kontrollorgan er kort fortalt å sikre at verksemdene i bransjen faktisk etterlever norma og dermed forordninga. Personvernforordninga har eigne reglar om dette (artikkel 41).

Merk at offentlege etatar ikkje kan underleggje seg særskilt kontrollorgan (artikkel 41 nr. 6), men fortsatt må implementere gode kontrollmekanismer.

Eit særskilt kontrollorgan vil vere ein slags "revisor" for etterleving av norma. Det vil altså vere eit privat organ, ikkje ein offentleg myndigheit, som bransjen sjølv oppnemner og betaler for. Kontrollorganet må ha dybdekunnskap om temaet for atferdsnormen og ha visse fullmakter til å føre tilsyn med verksemdene og treffe tiltak ved brot på reglane i norma (artikkel 41 og 40 nr. 4.). Kontrollorganet vil ikkje overta Datatilsynet si myndigheit – Datatilsynet vil til dømes framleis kunne gå på kontroll. Eit kontrollorgan må akkrediterast av Datatilsynet basert på krava for akkreditering av kontrollorganer for atferdsnormer.

Dersom kontrollorganet ikkje lenger oppfyller krava til akkreditering eller dersom tiltak truffet av organet er i strid med personvernforordninga, kan Datatilsynet kalle akkrediteringa tilbake.

Rettleiing frå Datatilsynet

Datatilsynet skal ta stilling til ferdige utkast, men kan rettleie på tidlegare tidspunkt. Vi må vurdere, i lys av dei ressursane vi har og dei førespurnadene vi får, i kva for grad vi kan gje uformell rettleiing før bransjen er klar til å leggje fram eit ferdig utkast. Vi vil i alle høve krevje at det er gjort eit godt forarbeid før vi eventuelt tilbyr rettleiing.

Orientere Datatilsynet (ikkje pålagt)

Sjølv om vi ikkje nødvendigvis vil kunne bidra tidleg i prosessen, vil vi setje pris på å bli orientert om at det er sett i verk eit arbeid med ei bransjenorm. Det er ein fordel at Datatilsynet på førehand er klar over at det vil bli lagt fram eit utkast, slik at vi kan halde oversikt over kva for normer som er under utarbeiding.

Send orienteringa eller spørsmål til .

Oversending av utkast

Når utkastet er såpass komplett at vi kan ta stilling til om det etterlever forordninga sine krav, inkludert krava til kontrollorganet, skal det leggjast fram for Datatilsynet. Vi skal då komme med ei fråseng (uttalelse) og eventuelt godkjenne utkastet (artikkel 40 nr. 5).

Avvisning/tilbakemelding

Forordninga gir ikkje føringar for formalitetane dersom Datatilsynet meiner utkastet ikkje er godt nok, anna enn at vår utøving av myndigheit skal vere underlagt naudsynlege garantiar og effektive rettsmidlar (artikkel 58 nr. 4).

Vi går ut frå at det i mange tilfelle vil vere meir gunstig at det vert gitt ei tilbakemelding om kva som bør utbetrast, heller enn eit formelt avslag på godkjenning. Dette legg til rette for ein konstruktiv dialog og prosess.

Dersom bransjen står fast ved at utkastet er godt nok for godkjenning, men Datatilsynet ikkje er samd i dette, vil vi nekte godkjenning. Dette vil formeinleg reknast som eit einskildvedtak i forvaltningslova sin forstand, og vere underlagt klagerett.

Godkjenning

Dersom Datatilsynet er tilfreds med utkastet til ei norm av nasjonal karakter, skal vi godkjenne, registrere og offentleggjere norma. Datatilsynet vil få på plass ei ordning for registrering og offentleggjering.

Særskilt om internasjonale norme

Dersom ei norm gjeld handsamingsaktivitetar i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Dersom Datatilsynet meiner at norma fyller krava i forordninga, skal vi sende utkastet til Personvernrådet, som skal komme med ei fråsegn (uttalelse). Om Personvernrådet meiner at norma er god nok, skal dei i sin tur leggje fram fråsegna for EU-kommisjonen. Kommisjonen har då myndigheit til å gje norma allmenn gyldigheit i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber.

Datatilsynet kan altså ikkje godkjenne atferdsnormer som omfattar handsamingsaktiviteter i fleire medlemsstatar – det internasjonale sporet er obligatorisk for slike atferdsnormer. Datatilsynet vil anbefale at bransjen sjølv skriv utkastet til internasjonal norm på engelsk. I motsatt fall må det påreknast noko lenger saksbehandlingstid hos Personvernrådet, sidan dei må oversette norma først.

Sentrale trekk ved atferdsnormer etter forordninga

Formalisert ordning – Datatilsynet skal godkjenne

Eit utkast til atferdsnorm skal leggjast fram for Datatilsynet, som skal uttale seg om utkastet og – dersom det oppfyller krava i forordninga – godkjenne og registrere norma (artikkel 40 nr. 5 og 6). Norma skal også publiserast i EU av Personvernrådet (artikkel 40 nr. 11).

Forordninga inneber altså at atferdsnormer vert underlagt ein godkjenningsprosess. Dette vil sikre at norma vert kvalitetssikra og gitt ein meir formell status enn kva som er tilfellet i dag.

Forordninga har særskilte reglar for atferdsnormer og omfattar handsamingsaktivitetar i fleire EU-land. Slike normer må gjennom ein godkjenningsprosess i Personvernrådet og EU-kommisjonen, og kan eventuelt bli godkjent som allmenngyldige normer i EU (det vil seie at også verksemder i til dømes Frankrike kan slutte seg til norma).

Fleksible rammer for tema

Forordninga legg føringar for kva for tema norma kan regulere (artikkel 40 nr. 2). Den overordna føringa er at reglane i norma skal angi nærare korleis forordninga skal nyttast. Poenget er å gje meir konkrete reglar enn kva som går direkte fram av forordninga. Dette er også ei presisering av at norma ikkje kan innehalde mindre strenge reglar enn forordninga.

Det er ikkje eit krav at norma må omfatte heile forordninga. Tvert imot er det gitt ei omfattande og ikkje uttømande liste med døme på kva slags forhold norma kan regulere (artikkel 40 nr. 2 bokstav a til k). Etter forordninga kan norma gjelde forholdsvis snevre tema, til dømes pseudonymisering eller avviksmelding, eller vide tema slik som rettferdig og gjennomsiktig behandling.

Bransjen vil altså stå svært fritt til å avgjere kva for tema og problemstillingar ei slik norm skal omfatte.

EU-godkjente normer

Fordelen med den internasjonale prosessen er mellom anna at det kan bidra til konkurranseutjamning og samarbeid med verksemder i andre land. Ulempa er ein meir omfattande og tidkrevjande godkjenningsprosess.

Føremålet med prosessen i Personvernrådet er harmonisering. Verksemder som driv med grensekryssande handsaming av personopplysningar skal ha om lag same standardar og reglar for personvern. EU-kommisjonen har myndigheit til å gje atferdsnormer såkalla allmenn gyldighet i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber. Kommisjonen skal sørgje for at godkjente normer offentliggjerast.

Det er førebels noko uklart kva som ligg i vilkåret «behandlingsaktiviteter i flere medlemsstater» som utløyser den internasjonale godkjenningsprosessen. Etter ordlyden synest det å omfatte alle tilfeller der verksemder i bransjen reint faktisk behandlar personopplysningar i andre medlemsland, og denne behandlinga er omfatta av atferdsnorma. Ei slik forståing vil truleg innebere at ganske mange slike normer vil måtte følgje det internasjonale sporet, sjølv om aktiviteten i andre EU-land er nokså beskjeden. Dette er ikkje nødvendigvis ønskjeleg, men ei meir snever tolking av regelen må forankrast i Personvernrådet. 

Fordelar ved å slutte seg til og etterleve atferdsnormer

Fordelar som er nedfelt i regelverket

Forordninga inneheld reglar som gir formelle fortrinn for ei verksemd som har slutta seg til – og faktisk etterlever – ei atferdsnorm:

  • Forenkla personvernkonsekvensvurdering
    Når ein utfører ei personvernkonsekvensvurdering skal det «tas behørig hensyn til (…) overholdelse av godkjente atferdsnormer» (artikkel 35 nr. 8). Dette vil dermed forenkle konsekvensvurderinga og gjere det lettare å slå fast at ein personvernrisiko er akseptabel.
  • Påvising av etterleving av forordninga
    Atferdsnormer kan brukast som ein faktor for å påvise at den handsamingsansvarlege sine plikter vert fulgt (artikkel 24 nr. 3). Det gjeld ein liknande regel for databehandlar ved at atferdsnormer kan brukast som ein faktor for å påvise at det finst tilstrekkelege garantiar for etterleving av forordninga sine krav (artikkel 28 nr. 5).
  • Formildande omstende ved vurdering av bot
    Etterleving av atferdsnormer er eit element i Datatilsynet si vurdering av om det skal bli gitt bot og kva for storleik denne eventuelt skal ha (artikkel 83 nr. 2 bokstav j).
  • Lettare å overføre data til verksemder utanfor EU som etterlever atferdsnorma
    Verksemder i land utanfor EU kan binde seg til ei allmenngyldig atferdsnorm (artikkel 40 nr. 3), og dersom tilleggsvilkåra i artikkel 46 nr. 2 bokstav e er oppfylt, kan dei utgjøre naudsynlege garantiar for overføring av personopplysingar til tredjestatar.

Andre fordelar for verksemdene

I tillegg til dei regelfesta fortrinna ovanfor, er det andre fordelar for verksemder som sluttar seg til atferdsnormer.

  • Bransjen får reglar som er meir konkrete og detaljerte enn reglane i forordninga, i staden for sjølv å måtte tolke og operasjonalisere kva som ligg i forordninga sine krav. 
  • Ei verksemd kan kjenne seg rimeleg trygg på at ho etterlever forordninga. Det er ikkje minst fordelaktig for mindre verksemder, slik intensjonen i forordninga også er.
  • Atferdsnormer kan bidra til å utjamne konkurranseforhold ved at verksemdene i bransjen har dei same standardane for personvern.
  • Verksemda vil, som deltakar i eit bransjesamarbeid, kunne diskutere og påverke korleis bransjen skal innrette seg etter forordninga.
  • Bransjesamarbeid kan potensielt tilby tenester ut over sjølve norma, til dømes rettleiing og bistand i personvernspørsmål og teknologi.
  • Verksemda kan, overfor registrerte og andre kundar, vise til at ho etterlever eit regelverk som er godkjent av Datatilsynet.

Fordelar for dei registrerte

Atferdsnormer inneber også fordelar for dei registrerte, altså privatpersonar.

  • Atferdsnormer skal styrke personvernet generelt i aktuelle bransjar.
  • Dei registrerte kan i større grad kjenne seg trygg på at ei verksemd som er tilslutta ei atferdsnorm, faktisk etterlever personvernregelverket.
  • Formelt godkjente atferdsnormer gjer det lettare å navigere som kunde.

Oversikt over artiklane 40 og 41

Artikkel 40 Atferdsnormer

  • Nr. 1 slår fast at både statane, nasjonale datatilsynsmyndigheiter og relevante EU-organ skal oppmode til etablering og bruk av slike normer. Her er også føremålet med atferdsnormer skildra: Dei skal "bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter".
  • Nr. 2 gir retningslinjer for kven som kan utarbeide atferdsnormer og kva dei kan gjelde.
  • Nr. 3 regulerer atferdsnormer som grunnlag for overføring av personopplysningar til verksemder i land utanfor EU/EØS.
  • Nr. 4 er aktuell i tilknytting til kontrollorgan som nemnt i artikkel 41.
  • Nr. 5 og 6 gjeld prosessen for Datatilsynet si godkjenning av utkast til norm.
  • Nr. 7 til 10 gjeld godkjenning av internasjonale atferdsnormer, altså normer som omfattar handsamingsaktivitetar i fleire medlemsstatar.
  • Nr. 11 gjeld publisering i EU av godkjente atferdsnormer.

 Artikkel 41 Kontroll av godkjente atferdsnormer

  • Nr. 1 slår fast at tilsyn med etterleving av atferdsnormer kan utførast av eit særskilt kontrollorgan, utan at dette innskrenkar Datatilsynet sin myndigheit. Kontrollorganet skal ha eit egna nivå av dybdekunnskap om temaet og vere akkreditert av Datatilsynet.
  • Nr. 2 stiller meir detaljerte vilkår for akkreditering. Kontrollorganet må blant anna vere uavhengig, ha fastsett framgangsmåter for å føre tilsyn, ha rutinar for handtering av klager og ikkje ha interessekonfliktar.
  • Nr. 3 slår fast at Datatilsynet skal utarbeide utkast til krav for akkreditering av kontrollorganet og leggje det fram for Personvernrådet (EDPB).
  • Nr. 4 slår fast at kontrollorganet skal ha sanksjonsmoglegheiter ved brot på atferdsnorma, inkludert moglegheit til å suspendere eller utestenge vedkomande verksemd.
  • Nr. 5 slår fast at Datatilsynet kan trekkje tilbake akkrediteringa i visse tilfelle.
  • Nr. 6 slår fast at offentlege etatar ikkje kan underleggje seg særskilt kontrollorgan.