Sentrale trekk ved atferdsnormer etter forordninga
Formalisert ordning – Datatilsynet skal godkjenne
Eit utkast til atferdsnorm skal leggjast fram for Datatilsynet, som skal uttale seg om utkastet og – dersom det oppfyller krava i forordninga – godkjenne og registrere norma (artikkel 40 nr. 5 og 6). Norma skal også publiserast i EU av Personvernrådet (artikkel 40 nr. 11).
Forordninga inneber altså at atferdsnormer vert underlagt ein godkjenningsprosess. Dette vil sikre at norma vert kvalitetssikra og gitt ein meir formell status enn kva som er tilfellet i dag.
Forordninga har særskilte reglar for atferdsnormer og omfattar handsamingsaktivitetar i fleire EU-land. Slike normer må gjennom ein godkjenningsprosess i Personvernrådet og EU-kommisjonen, og kan eventuelt bli godkjent som allmenngyldige normer i EU (det vil seie at også verksemder i til dømes Frankrike kan slutte seg til norma).
Fleksible rammer for tema
Forordninga legg føringar for kva for tema norma kan regulere (artikkel 40 nr. 2). Den overordna føringa er at reglane i norma skal angi nærare korleis forordninga skal nyttast. Poenget er å gje meir konkrete reglar enn kva som går direkte fram av forordninga. Dette er også ei presisering av at norma ikkje kan innehalde mindre strenge reglar enn forordninga.
Det er ikkje eit krav at norma må omfatte heile forordninga. Tvert imot er det gitt ei omfattande og ikkje uttømande liste med døme på kva slags forhold norma kan regulere (artikkel 40 nr. 2 bokstav a til k). Etter forordninga kan norma gjelde forholdsvis snevre tema, til dømes pseudonymisering eller avviksmelding, eller vide tema slik som rettferdig og gjennomsiktig behandling.
Bransjen vil altså stå svært fritt til å avgjere kva for tema og problemstillingar ei slik norm skal omfatte.
EU-godkjente normer
Fordelen med den internasjonale prosessen er mellom anna at det kan bidra til konkurranseutjamning og samarbeid med verksemder i andre land. Ulempa er ein meir omfattande og tidkrevjande godkjenningsprosess.
Føremålet med prosessen i Personvernrådet er harmonisering. Verksemder som driv med grensekryssande handsaming av personopplysningar skal ha om lag same standardar og reglar for personvern. EU-kommisjonen har myndigheit til å gje atferdsnormer såkalla allmenn gyldighet i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber. Kommisjonen skal sørgje for at godkjente normer offentliggjerast.
Det er førebels noko uklart kva som ligg i vilkåret «behandlingsaktiviteter i flere medlemsstater» som utløyser den internasjonale godkjenningsprosessen. Etter ordlyden synest det å omfatte alle tilfeller der verksemder i bransjen reint faktisk behandlar personopplysningar i andre medlemsland, og denne behandlinga er omfatta av atferdsnorma. Ei slik forståing vil truleg innebere at ganske mange slike normer vil måtte følgje det internasjonale sporet, sjølv om aktiviteten i andre EU-land er nokså beskjeden. Dette er ikkje nødvendigvis ønskjeleg, men ei meir snever tolking av regelen må forankrast i Personvernrådet.