Personvernrådet er opprettet i medhold av personvernforordningen (GDPR). Det består av datatilsynsmyndighetene i EØS (EU-landene pluss Norge, Island og Liechtenstein), samt EDPS som er datatilsynsmyndigheten for EU-organene. EU-kommisjonen og EFTAs overvåkingsorgan (ESA) deltar også i møtene med talerett. Personvernrådet har et eget sekretariat som yter juridisk, teknisk, analytisk, administrativ og logistisk støtte. Personvernrådet erstattet den såkalte Artikkel 29-gruppen.
Hva gjør Personvernrådet?
Personvernrådet skal sikre at personvernforordningen tolkes og anvendes likt i hele EØS. For å sikre dette, har rådet en rekke oppgaver (artikkel 70, lovdata.no), blant annet å
- utgi retningslinjer, anbefalinger og beste praksis for å sikre at personvernforordningen tolkes og anvendes likt
- avgi uttalelser i en rekke tilfeller (artikkel 64, lovdata.no), for eksempel når en datatilsynsmyndighet skal godkjenne bindende konsernregler eller grenseoverskridende atferdsnormer
- jobbe for å fremme samarbeid og informasjonsutveksling mellom datatilsynsmyndighetene
Personvernrådets retningslinjer, anbefalinger, beste praksis og uttalelser har stor rettskildemessig vekt, både fordi de er direkte hjemlet i personvernforordningen, og fordi de er uttrykk for hvordan datatilsynsmyndighetene i EØS forstår reglene på tvers av landegrensene. Retningslinjer, anbefalinger og beste praksis vil vanligvis sendes på offentlig høring etter at de er vedtatt. Deretter revideres de og vedtas på nytt.
Personvernrådet er ikke en tilsynsmyndighet eller klageorgan. Det er altså ikke mulig for enkeltpersoner eller virksomheter å sende klager til rådet.
Personvernrådets dokumenter
En full oversikt over Personvernrådets dokumenter finnes på edpb.europa.eu.
Dokumentene skrives og vedtas på engelsk, men blir normalt oversatt til andre EU-språk etter en tid.
Hvordan jobber Personvernrådet?
Personvernrådet har plenumsmøte omlag én gang i måneden. På disse møtene deles informasjon, og rådet fatter formelle vedtak, for eksempel om å vedta retningslinjer og uttalelser.
Retningslinjene og uttalelsene utarbeides i Personvernrådets ekspertundergrupper. For alle retningslinjer og uttalelser blir det utpekt et rapportør-team som fører dokumentene i pennen basert på undergruppens diskusjoner og innspill.
Personvernrådets ekspertundergrupper er:
- Border, Travel and Law Enforcement Expert Subgroup
- Denne gruppen jobber med personvern knyttet til grenser, reising og i justissektoren, særlig spørsmål knyttet til politidirektivet (2016/680).
- Cooperation Expert Subgroup
- Denne gruppen jobber med spørsmål som gjelder samarbeidet mellom tilsynsmyndighetene i EØS og samarbeid om håndheving av personvernregelverket i land utenfor EØS.
- Compliance, e-Government and Health Expert Subgroup
- Mandatet til gruppen omfatter arbeid knyttet til atferdsnormer, sertifisering og akkreditering. Videre jobber gruppen særlig med personvernspørsmål knyttet til digitalisering av offentlige oppgaver, herunder e-helse.
- Enforcement Expert Subgroup
- Denne gruppen jobber med spørsmål rundt den praktiske anvendelsen av datatilsynenes myndighet etter personvernforordningen. I tillegg er gruppen et forum for erfaringsutveksling og samarbeid i konkrete saker.
- Financial Matters Expert Subgroup
- Gruppens mandat er å se på anvendelsen av personvernreglene i finanssektoren. For eksempel jobber gruppen med spørsmål knyttet til automatisk utveksling av opplysninger om finansielle konti, hvitvaskingslovgivning, nye betalingsmidler som kryptovaluta, samt forholdet mellom personvernreglene og betalingstjenestedirektivet.
- International Transfers Expert Subgroup
- I denne gruppen diskuteres reglene for overføring av personopplysninger til tredjeland.
- IT Users Expert Subgroup
- Denne gruppen jobber med spørsmål som gjelder IT-løsninger for det interne samarbeidet mellom medlemmene av personvernrådet.
- Key Provisions Expert Subgroup
- Gruppen lager veiledninger om nøkkelbestemmelsene i personvernforordningen, slik som definisjonene, prinsippene, reglene om behandlingsgrunnlag, den enkeltes rettigheter og sentrale plikter.
- Social Media Expert Subgroup
- Denne gruppen jobber med spørsmål relatert til personvern i sosiale medier.
- Strategic Advisory Expert Subgroup
- Gruppen fungerer som et forum for diskusjoner om strategi og Personvernrådets virksomhet.
- Taskforce on Fining
- Formålet med gruppen er jobbe for å harmonisere tilsynsmyndighetenes praksis når det gjelder overtredelsesgebyrer.
- Technology Expert Subgroup
- Denne gruppen ser på personvernspørsmål i kontekst av bestemte teknologier samt hvordan teknologi kan fremme eller utfordre personvernet.
I tillegg til ekspertundergruppene rommer EDPB-paraplyen Coordinated Supervision Committee. Dette er en komité for koordinering av arbeidet med kontroll og tilsyn med noen av de store IT-systemene og organene i EU. Komitéen er opprettet i medhold av artikkel 62 i EU-forordning 2018/1725 og startet sitt arbeid i 2020.
Datatilsynet og Personvernrådet
Datatilsynet er medlem av Personvernrådet. Siden Norge ikke er et EU-land, har ikke Datatilsynet stemmerett, og tilsynet kan heller ikke stille som leder eller nestleder av Personvernrådet. Ut over dette deltar Datatilsynet i Personvernrådets arbeid uten begrensninger.
Datatilsynet har som strategisk målsatsning å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Tilsynet deltar derfor aktivt i Personvernrådet og dets ekspertundergrupper. Datatilsynet har for eksempel vært hovedrapportør for Personvernrådets retningslinjer om avtale som behandlingsgrunnlag for online-tjenester og Personvernrådets retningslinjer om innebygget personvern.