Krav til akkreditering av kontrollorganer for atferdsnormer

Alle atferdsnormer skal overvåkes av et kontrollorgan som er akkreditert av Datatilsynet. Datatilsynet har laget et nedlastbart dokument på norsk og engelsk med en oversikt over alle akkrediteringskravene.

I samsvar med personvernforordningen (artikkel 41 nr.1) og Det europeiske personvernrådet (EDPB) sine retningslinjer nr. 01/2019 om atferdsnormer og kontrollorganer, må nasjonale og transnasjonale atferdsnormer (Normer) overvåkes av et kontrollorgan som er akkreditert av en kompetent tilsynsmyndighet (Datatilsynet).

Ifølge artikkel 41 nr. 6 i personvernforordningen, og som spesifisert i Personvernrådets retningslinjer, gjelder ikke disse kravene for behandlinger som utføres av offentlige myndigheter.

Krav til kontrollorganet som skal akkrediteres

Kontrollorganet kan enten være eksternt eller internt for eieren av Normen. Et internt kontrollorgan kan være en intern avdeling hos Normeieren, eller en intern komité på ad hoc-basis. I personvernforordningen (artikkel 41 nr. 2) er det listet opp en rekke krav som kontrollorganet må oppfylle for å få akkreditering. Bestemmelsen angir at et kontrollorgan må:

  1. vise at det er uavhengig og har dybdekunnskap om temaet for Normen
  2. fastsette fremgangsmåter som gjør det mulig å vurdere om berørte behandlingsansvarlige og databehandlere oppfyller vilkårene for anvendelse av Normen, føre tilsyn med at den overholdes og foreta regelmessige gjennomgåelser av Normens virkemåte
  3. fastsette framgangsmåter og rutiner for behandling av klager på overtredelser av Normen eller måten den har blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte fremgangsmåter og rutiner åpne for de registrerte og allmennheten
  4. vise, på en måte som oppfyller Datatilsynets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt.

Personvernrådets retningslinjer gir viktig praktisk veiledning og tolkningshjelp i forbindelse med anvendelsen av denne bestemmelsen, og kategoriserer akkrediteringskravene i følgende åtte kategorier:

  • Uavhengighet
  • Interessekonflikt
  • Kompetanse
  • Etablerte prosedyrer og strukturer
  • Åpen klagehåndtering
  • Kommunikasjon med kompetent tilsynsmyndighet
  • Evalueringsmekanismer
  • Rettsstilling

Det følger også av personvernforordningen at Datatilsynet skal legge frem utkast til akkrediteringskrav for kontrollorganer for Personvernrådet i henhold til konsistensmekanismen. 

Datatilsynets krav er basert på kravene i personvernforordningen og kravene i kapittel 12 i EDPBs retningslinjer. De følger også strukturen til Personvernrådets retningslinjer.

Last ned kravene

Søknadskrav

Søkere må oppfylle alle akkrediteringskriteriene for å bli akkreditert av Datatilsynet.

Med mindre annet er spesifisert, skal kriteriene gjelde for kontrollorganet, uavhengig av om kontrollorganet er internt eller eksternt.

Akkreditering som kontrollorgan er kun mulig i forbindelse med temaet for én eller flere spesifikke Normer, i henhold til personvernforordningen artikkel 41 nr. 1.

Søknader om akkreditering må leveres skriftlig til Datatilsynet. Vi aksepterer kun søknader på norsk eller engelsk. Søknaden skal inneholde bevis på at kriteriene som er listet opp i denne gjennomgangen er oppfylt, i form av relevant dokumentasjon, sertifikater e.l. 

Akkrediteringen av et kontrollorgan skal ikke være til hinder for utviklingen av Normer. Vurderingen av søknaden om akkreditering skal derfor ta hensyn til særegenheter ved behandlingen av personopplysninger i hver sektor. Vurderingen skal også være så fleksibel som mulig, men samtidig overholde de juridiske rammene som er pålagt i personvernforordningen, EDPBs retningslinjer og relevante uttalelser fra EDPB.

Søknaden skal minst inneholde følgende informasjon:

  1. Informasjon om hvem søkeren er, for eksempel identifikasjonsnumre slik som organisasjonsnummer.
  2. Søkerens bosted eller forretningsadresse, som i begge tilfeller må være i EØS-området.
  3. Kontaktinformasjon som skal brukes i forbindelse med kommunikasjon om akkrediteringssøknaden.
  4. Spesifisering av typen kontrollorgan (om det er internt eller eksternt).
  5. Spesifikasjon av Normen som det søkes akkreditering for.
  6. Rekkevidden av Normen (hvorvidt den skal gjelde nasjonalt eller transnasjonalt).
  7. Relevante dokumenter og tidligere korrespondanse med Datatilsynet.

Utover dette følger mer detaljerte dokumentasjonskrav til hvert akkrediteringskrav.

Varighet på akkrediteringen

Datatilsynet kan, basert på en risikobasert tilnærming, gjennomføre regelmessige evalueringer av akkrediteringen til kontrollorganet, for å sikre at kontrollorganet fremdeles oppfyller akkrediteringskriteriene. Slike evalueringer kan settes i gang av (men er ikke begrenset til) endringer i Normen, vesentlige endringer i kontrollorganet eller dersom kontrollorganet ikke utfører kontrolloppgavene sine. I tilfeller der det er store endringer knyttet til kontrollorganets evne til å fungere uavhengig og virkningsfullt, skal Datatilsynet alltid utføre slike evalueringer.

Så lenge en evaluering konkluderer med at akkrediteringskriteriene fortsatt er oppfylt, vil kontrollorganet fortsette å beholde akkrediteringsstatusen på ubestemt tid. I henhold til personvernforordningens artikkel 41 nr. 5, kan en slik evaluering føre til en tilbaketrekning av kontrollorganets akkreditering.