Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Korleis lage bransjenorm (atferdsnorm) etter nytt regelverk

Etter forordningen får vi nye reglar for bransjenormer (kalla atferdsnorm i forordninga). I denne rettleiaren gir vi ei oversikt over dei nye reglane, samt nokre råd om korleis ein kan gå fram for å lage ei slik norm.

Skriv ut veileder

Innleiing - om rettleiaren



EU si personvernforordning som blir til norsk lov i 2018, gir nye reglar for bransjenormer (kalla atferdsnorm i forordninga). I denne rettleiaren gir vi ei oversikt over desse reglane, ei framstilling av fordelane med bransjenormer, vi går gjennom sentrale trekk ved bransjenormer, og gjer råd om korleis ein går fram for å lage ei slik norm.

Føremålet er å styrke personvernet og gjere det lettare for verksemder – særleg dei mindre – å etterleve personvernregelverket. Målgruppa for rettleiaren er først og fremst aktørar som vurderer å etablere ei bransjenorm.

Denne rettleiaren inneheld ikkje informasjon om kva for innhald reglane i ei bransjenorm skal ha, ut over nokre generelle føringar under kapittel 2. Innhaldet i norma vil avhenge av kva for reglar i forordninga den aktuelle bransjenorma skal dekkje, korleis desse reglane er å forstå og korleis reglane best kan etterlevast i ein konkret bransje.

Les også

Datatilsynet har utarbeidd andre rettleiarar som analyserer krava i forordnina, til dømes:

Desse vil kunne vere nyttige når ein skal lage ei bransjenorm.

Nye personvernregler i 2018

I løpet av 2018 får Norge og Europa nye personvernregler. Dette vil gi en mye mer helhetlig behandling av folks personopplysninger. Vi har samlet all informasjon om dette på en egen samleside. Der finner dere all informasjon vi har - og siden oppdateres fortløpende.

Nye personvernregler i 2018

Personopplysningsloven med personvernforordningen

Den nye personopplysningsloven som er vedtatt i Norge er fremdeles ikke trådt i kraft (skjer tidligst i juli), men nå er delen med nasjonale tilpasninger tilgjengelig på lovdata.no. 

Her finner dere personopplysningsloven med nasjonale tilpasninger (lovdata.no)

Her finner dere delen med hele personvernforordningen (Fortalen kommer imidlertid først, så dere må skrolle et stykke ned før dere finner Artikkel 1)

Den offisielle personvernforordningen - General Data Protection Regulation (engelsk, pdf)

Kva er ei bransjenorm (atferdsnorm)

Ei bransjenorm er eit regelsett for ein spesifikk bransje. Ho skal gje konkrete reglar og retningslinjer for korleis verksemdene skal innrette seg for å etterleve krava i personvernforordninga. Ei bransjenorm er utvikla av bransjen sjølv, men godkjent av Datatilsynet.



Det er frivillig å utarbeide ei slik norm, men det er samstundes ønskjeleg at flest mogleg verksemder gjer det.

Det er ein uttrykt ambisjon med forordninga at bransjenormer skal bli eit hyppigare brukt verktøy for å etterleve personvernregelverket. Statane og datatilsyna skal oppmuntre til etablering av desse normene, og ordninga vert formalisert ved at normene skal godkjennast av dei nasjonale datatilsyna. Det er lagt til rette for at normer kan få allmenn gyldigheit i EU, og det er nedfelt insentiv i regelverket for å oppmuntre til etablering og bruk av normer. Bransjenormer skal også bidra til harmonisering både nasjonalt og internasjonalt.

Dei sentrale reglene om bransjenormer (atferdsnorm) står i forordninga artikkel 40 og 41. I kapittel 6 i denne rettleiaren er det ein gjennomgang av dei mest sentrale reglane i desse artiklane.

Forordninga er eit omfattande dokument, utforma for å gjelde dei fleste samfunnsområda, og mange av reglane er skjønnsmessige. Dei meir detaljerte reglane i personopplysingsforskrifta (av 15. desember 2000) vil i hovudsak bli oppheva. Mange verksemder vil difor ha behov for meir konkrete og bransjespesifikke reglar enn det som følgjer av forordningsteksten.

Konkretisering og eksemplar

Ei bransjenorm må innehalde konkrete og relativt detaljerte reglar og retningslinjer for korleis verksemdene skal etterleve heile eller deler av personvernforordninga. Verksemdene skal der kunne finne klare svar på praktiske spørsmål. Ei slik norm har liten verdi dersom ho berre repeterer forordninga sine reglar eller har karakter av ei prinsipperklæring. Norma bør ideelt sett vere eit komplett verktøy, slik at verksemdene i liten grad må forholde seg til både norma og forordninga sine reglar for det aktuelle temaet.

Det er til dømes naturleg at ei norm som regulerer informasjonstryggleik, vil konkretisere kva som vil vere naudsynte «tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» i samband med bransjetypiske handsamingsaktivitetar (jf. artikkel 32 nr. 1).

Ei norm som gir reglar om sletting, bør konkretisere når spesifikke kategoriar personopplysingar ikkje lenger er naudsynlege for førmålet (jf. artikkel 17 nr. 1 bokstav a) og setje konkrete slettefristar framfor skjønnsmessige retningslinjer.

Ei norm som regulerer bruk av samtykke, kan med fordel innehalde ein mal for samtykkeskjema.

Dei eksisterande bransjenormene kan muligens tene til inspirasjon.

Personopplysningsloven med personvernforordningen

Den nye personopplysningsloven som er vedtatt i Norge er fremdeles ikke trådt i kraft (skjer tidligst i juli), men nå er delen med nasjonale tilpasninger tilgjengelig på lovdata.no. 

Her finner dere personopplysningsloven med nasjonale tilpasninger (lovdata.no)

Her finner dere delen med hele personvernforordningen (Fortalen kommer imidlertid først, så dere må skrolle et stykke ned før dere finner Artikkel 1)

Den offisielle personvernforordningen - General Data Protection Regulation (engelsk, pdf)

Korleis gå fram for å lage ei bransjenorm?



Kven kan lage bransjenorm?

Det formelle vilkåret for å gå saman om å lage ei bransjenorm (atferdsnorm) er at det må vere «sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere» (artikkel 40 nr. 2). Eit typisk døme vil vere bransjeforeiningar eller liknande samarbeidsorgan.

Etter Datatilsynet sitt syn er dette ein fleksibel regel som det ikkje er grunn til å tolke snevert. Det sentrale er at dei som vil utarbeide ei norm, må ha eit reelt mandat til å opptre på vegne av bransjen.

Kartlegging

Aktørane i bransjen må snakke saman og samordne seg om kor vidt det er grunnlag for å lage ei brasjenorm. Det er viktig å kartlegge kva for handsamingsaktivitetar som skjer i bransjen, og kva for behov verksemdene har. Dette gjeld særleg dei mindre verksemdene, som forordninga framhevar spesielt.

Det er også viktig å tenkje gjennom ambisjonsnivået for kva norma skal regulere. Datatilsynet vil påpeike at det er mogleg å lage ei tematisk avgrensa bransjenorm som ein seinare kan utvide til også å omfatte fleire delar av forordninga (etter ein ny godkjenningsprosess).

Gjennomføre høyringsprosess

I forordninga si fortale (punkt 99) er det framheva at ein bør rådføre seg med relevante berørte partar, også registrerte når det er mogleg, samt at ein bør ta hensyn til merknadar og synspunkter som har kome fram i samband med ei slik rådføring.

Vurder det internasjonale sporet

Omfattar norma handsamingsaktivitetar i fleire medlemsstatar? Er det naudsynt og/eller ønskjeleg at norma skal gå i det internasjonale sporet for godkjenning? Dette bør ein ha teke stilling til før godkjenningsprosessen byrjar.

Før ein iverkset arbeidet med eigen norm, bør ein også undersøkje om det allereie finst godkjente bransjenormer som har fått allmenn gyldighet av kommisjonen, og som ein kan slutte seg til.

Tilstrekkelege og naudsynte garantiar

Ei norm må ifølge forordninga ha tilstrekkelege og naudsynte garantiar for å bli godkjent av Datatilsynet (artikkel 40 nr. 5). Vilkåret er skjønnsmessig og situasjonsbestemt, og bransjen må i første omgang sjølv gjere seg opp ei meining om kva som vil vere tilstrekkeleg og hensiktsmessig for den konkrete norma.

Skriv utkast

Før ein kan gå inn i godkjenningsprosessen, må ein ha skrive eit meir eller mindre ferdig utkast. Føresetnaden for dette er sjølvsagt at ein har analysert reglane i forordninga og korleis desse kan og bør konkretiserast i ei bransjespesifikk åtferdsnorm.

Rettleiing frå Datatilsynet?

Datatilsynet skal ta stilling til ferdige utkast, men kan rettleie på tidlegare tidspunkt. Vi må vurdere, i lys av dei ressursane vi har og dei førespurnadene vi får, i kva for grad vi kan gje uformell rettleiing før bransjen er klar til å leggje fram eit ferdig utkast. Vi vil i alle høve krevje at det er gjort eit godt forarbeid før vi eventuelt tilbyr rettleiing.

Orientere Datatilsynet (ikkje pålagt)

Sjølv om vi ikkje nødvendigvis vil kunne bidra tidleg i prosessen, vil vi setje pris på å bli orientert om at det er sett i verk eit arbeid med ei bransjenorm. Det er ein fordel at Datatilsynet på førehand er klar over at det vil bli lagt fram eit utkast, slik at vi kan halde oversikt over kva for normer som er under utarbeiding.

Oversending av utkast

Når utkastet er såpass komplett at vi kan ta stilling til om det etterlever forordninga sine krav, skal det leggjast fram for oss. Vi skal då gje ei fråseng (en uttalelse) og eventuelt godkjenne utkastet (artikkel 40 nr. 5).

Vurderingstemaet for Datatilsynet er om norma oppfyller krava i forordninga og inneheld det som i forordninga heiter tilstrekkelege og naudsynlege garantiar.

Avvisning/tilbakemelding

Forordninga gjev ikkje føringar for formalitetane dersom Datatilsynet meiner utkastet ikkje er godt nok, anna enn at vår utøving av myndigheit skal vere underlagt naudsynlege garantiar og effektive rettsmidlar (artikkel 58 nr. 4).

Vi går ut frå at det i mange tilfelle vil vere meir gunstig at det vert gitt ei tilbakemelding om kva som bør utbetrast, heller enn eit formelt avslag på godkjenning. Dette legg til rette for ein konstruktiv dialog og prosess.

Dersom bransjen står fast ved at utkastet er godt nok for godkjenning, men Datatilsynet ikkje er samd i dette, vil vi nekte godkjenning. Dette vil formeinleg reknast som eit einskildvedtak i forvaltningslova sin forstand, og vere underlagt klagerett.

Godkjenning

Dersom Datatilsynet er tilfreds med utkastet til ei norm av nasjonal karakter, skal vi godkjenne, registrere og offentleggjere norma. Datatilsynet vil få på plass ei ordning for registrering og offentleggjering.

Særskilt om internasjonale normer

Dersom ei norm gjeld handsamingsaktivitetar i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Dersom Datatilsynet meiner at norma fyller krava i forordninga, skal vi sende utkastet til Personvernrådet, som skal komme med ei fråsegn (uttalelse). Om Personvernrådet meiner at norma er god nok, skal dei i sin tur leggje fram fråsegna for EU-kommisjonen. Kommisjonen har då myndigheit til å gje norma allmenn gyldigheit i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber.

Dersom Datatilsynet er tilfreds med utkast til ei norm som omfattar handsamingsaktiviteter i fleire medlemsstatar, vil denne altså bli sendt vidare til Personvernrådet. Datatilsynet kan ikkje godkjenne slike normer – det internasjonale sporet er obligatorisk. Datatilsynet vil også krevje at bransjen sjølv omset ei internasjonal norm til engelsk.

Dersom Datatilsynet ikkje er tilfreds med ei norm av internasjonal karakter, vil vi returnere utkastet til bransjen med sikte på utbetring.

Sentrale trekk ved bransjenormer etter forordninga



Formalisert ordning – Datatilsynet skal godkjenne

Eit utkast til bransjenorm skal leggjast fram for Datatilsynet, som skal uttale seg om utkastet og – dersom det oppfyller krava i forordninga – godkjenne og registrere norma (artikkel 40 nr. 5 og 6). Norma skal også publiserast i EU av Personvernrådet (artikkel 40 nr. 11).

Forordninga inneber altså at bransjenormer vert underlagt ein godkjenningsprosess. Dette inneber noko byråkrati, men vil til gjengjeld sikre at norma vert kvalitetssikra og gitt ein meir formell status enn kva som er tilfellet i dag.

Forordninga har særskilte reglar for bransjenormer og som omfattar handsamingsaktivitetar i fleire EU-land. Slike normer må gjennom ein godkjenningsprosess i Personvernrådet og EU-kommisjonen, og kan eventuelt bli godkjent som allmenngyldige normer i EU (det vil seie at også verksemder i til dømes Frankrike kan slutte seg til norma).

Fleksible rammer for tema

Forordninga legg føringar for kva for tema norma kan regulere (artikkel 40 nr. 2). Den overordna føringa er at reglane i norma skal angi nærare korleis forordninga skal nyttast. Poenget er å gje meir konkrete reglar enn kva som går direkte fram av forordninga. Dette er også ei presisering av at norma ikkje kan innehalde mindre strenge reglar enn forordninga.

Det er ikkje eit krav at norma må omfatte heile forordninga. Tvert imot er det gitt ei omfattande og ikkje uttømande liste med døme på kva slags forhold norma kan regulere (artikkel 40 nr. 2 bokstav a til k). Etter forordninga kan norma gjelde forholdsvis snevre tema, til dømes pseudonymisering eller avviksmelding, eller vide tema slik som rettferdig og gjennomsiktig handsaming.

Bransjen vil altså stå svært fritt til å avgjere kva for tema og problemstillingar ei slik norm skal omfatte.

Særskilt kontrollorgan

Ei nyvinning med forordninga er at det kan oppnemnast eit kontrollorgan for å halde oppsyn med at verksemdene etterlever ei bransjenorm dei har slutta seg til (artikkel 41). Etter Datatilsynet si vurdering er dette ei frivillig ordning for bransjen – ei bransjenorm ikkje ha eit kontrollorgan.

Eit særskilt kontrollorgan vil vere ein slags «revisor» for etterleving av norma. Det vil altså vere eit privat organ, ikkje ein offentleg myndigheit, som bransjen sjølv oppnemner og betaler for. Kontrollorganet vil ikkje overta Datatilsynet sin myndigheit – Datatilsynet vil til dømes framleis kunne gå på kontroll. Eit kontrollorgan må imidlertid vere akkreditert av Datatilsynet.

Dersom bransjen vel å underkaste seg eit kontrollorgan, må dette organet ha visse fullmakter til å føre tilsyn med verksemdene og treffe tiltak ved brot på reglane i norma (artikkel 41 og 40 nr. 4.).

Føremålet og fordelen med eit kontrollorgan er kort fortalt å sikre at verksemdene i bransjen faktisk etterlever norma og dermed forordninga. Dette gjev tryggleik både internt og eksternt, og er såleis eit tiltak det er naturleg å vurdere dersom ein vil utarbeide ei åtferdsnorm. 

EU-godkjente normer

Dersom ei norm gjeld handsamingssaktiviteter i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Datatilsynet har ikkje myndigheit til å godkjenne ei slik norm utan å gå gjennom EU-prosessen.

Føremålet med EU-prosessen er harmonisering. Verksemder som driv med grensekryssande handsaming av personopplysingar, skal ha om lag same standardar og reglar for personvern. EU-kommisjonen har myndigheit til å gje ei bransjenorm såkalla allmenn gyldighet i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber. Kommisjonen skal sørgje for at godkjente normer som dei har beslutta at har allmenn gyldigheit, skal offentliggjerast.

Fordelen med den internasjonale prosessen er mellom anna at det bidreg til konkurranseutjamning og samarbeid med verksemder i andre land. Ulempa er ein meir omfattande og tidkrevjande godkjenningsprosess.  

Det er førebels noko uklart kva som ligg i vilkåret «handsamingsaktiviteter i fleire medlemsstatar» som utløyser den internasjonale godkjenningsprosessen. Etter ordlyden synest det å omfatte alle tilfelle der verksemder i bransjen reint faktisk handsamar personopplysingar i andre medlemsland, og denne handsaminga er omfatta av bransjenorma. Ei slik forståing vil truleg innebere at ganske mange slike normer vil måtte følgje det internasjonale sporet, sjølv om aktiviteten i andre EU-land er nokså beskjeden. Dette er ikkje nødvendigvis ønskjeleg, men ei meir snever fortolking av regelen må forankrast på EU-nivå. Vi tek sikte på å kunne gje meir rettleiing om dette spørsmålet på eit seinare tidspunkt.

Fordelar ved å slutte seg til og etterleve bransjenormer



Fordelar som er nedfelt i regelverket

Forordninga inneheld reglar som gir formelle fortrinn for ei verksemd som har slutta seg til – og faktisk etterlever – ei bransjenorm:

  • Forenkla personvernkonsekvensvurdering: Når ein utfører ei personvernkonsekvensvurdering skal det «tas behørig hensyn til (…) overholdelse av godkjente atferdsnormer» (artikkel 35 nr. 8). Dette vil dermed forenkle konsekvensvurderinga og gjere det lettare å slå fast at ein personvernrisiko er akseptabel.
  • Påvising av etterleving av forordninga: Bransjenormer kan brukast som ein faktor for å påvise at den handsamingsansvarlege sine plikter vert fulgt (artikkel 24 nr. 3). Etter art. 28 nr. 5 gjeld Det gjeldt ein liknande regel for datahandsamarar ved at bransjenormer kan brukast som ein faktor for å påvise at det finst tilstrekkelege garantiar for etterleving av forordninga sine krav (artikkel 28 nr. 5).
  • Formildande omstende ved vurdering av bot: Etterleving av bransjenormer er eit element i Datatilsynet si vurdering av om det skal bli gitt bot og kva for storleik denne eventuelt skal ha (artikkel 83 nr. 2 bokstav j).
  • Lettare å overføre data til verksemder utanfor EU som etterlever åtferdsnorma: Verksemder i land utanfor EU kan binde seg til ei allmenngyldig bransjenorm (artikkel 40 nr. 3), og dersom tilleggsvilkåra i artikkel 46 nr. 2 bokstav e er oppfylt, kan dei utgjøre naudsynlege garantiar for overføring av personopplysingar til tredjestatar.

Andre fordelar for verksemdene

I tillegg til dei regelfesta fortrinna ovanfor, er det andre fordelar for verksemder som sluttar seg til bransjenormer.

  • Ein kan forholde seg til reglar som er meir konkrete og detaljerte enn reglane i forordninga, i staden for sjølv å måtte tolke og operasjonalisere kva som ligg i forordninga sine krav. 
  • Ein kan kjenne seg rimeleg trygg på at ein etterlever forordninga. Dette bør ikkje minst vere fordelaktig for mindre verksemder, slik intensjonen i forordninga også er.
  • Bransjenormer kan bidra til å utjamne konkurranseforhold ved at verksemdene i bransjen har dei same standardane for personvern.
  • Ein vil, som deltakar i eit bransjesamarbeid, kunne diskutere og påverke korleis bransjen skal innrette seg etter forordninga.
  • Bransjesamarbeid kan potensielt tilby tenester ut over sjølve norma, til dømes rettleiing og bistand i personvernspørsmål og teknologi.
  • Ein kan, overfor registrerte og andre kundar, vise til at ein etterlever eit regelverk som er godkjent av Datatilsynet.

Verksemdene vil også kunne få fordelar ved å underkaste seg eit særskilt kontrollorgan:

  • Oppnemning av eit særskilt kontrollorgan vil gjere det lettare å dokumentere at bransjenorma faktisk har tilstrekkelege og naudsynlege garantiar, og dermed oppnå godkjenning frå Datatilsynet.
  • Eit særskilt kontrollorgan vil bidra til å oppnå og dokumentere faktisk etterleving av åtferdsnorma, som er vilkåret for å oppnå fordelane.
  • Eit særskilt kontrollorgan vil styrke dei uformelle fordelane. Det gir større grad av eigen tryggleik og større tillit frå publikum og andre aktørar. 

Fordelar for dei registrerte

Bransjenormer inneber også fordelar for dei registrerte, altså privatpersonar.

  • Bransjenormer skal styrke personvernet generelt i aktuelle bransjar.
  • Ein kan i større grad kjenne seg trygg på at ei verksemd som er tilslutta ei bransjenorm, faktisk etterlever personvernregelverket.
  • Formelt godkjente bransjenormer gjer det lettare å navigere som kunde.

Oversikt over artiklane 40 og 41



Artikkel 40

  • nr. 1 slår fast at både statane, nasjonale datatilsyn og relevante EU-organ skal oppmuntre til etablering og bruk av slike normer. Her er også føremålet med bransjenormer skildra: Dei skal «bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter».
  • nr. 2 gir retningslinjer for kven som kan utarbeide bransjenormer og kva dei kan gjelde.
  • nr. 3 regulerer bransjenormer som grunnlag for overføring av personopplysningar til verksemder i land utanfor EU/EØS.
  • nr. 4 er aktuell dersom bransjen vil underkaste seg eit kontrollorgan som nemnt i artikkel 41.
  • nr. 5 og 6 gjeld prosessen for Datatilsynet si godkjenning av utkast til norm.
  • nr. 7 til 10 gjeld godkjenning av internasjonale bransjenormer», altså normer som omfattar handsamingsaktivitetar i fleire medlemsstatar.
  • nr. 11 gjeld publisering i EU av godkjente bransjenormer.

 Artikkel 41

  • nr. 1 slår fast at tilsyn med etterleving av bransjenormer kan utførast av eit særskilt kontrollorgan, utan at dette innskrenkar Datatilsynet sin myndigheit. Kontrollorganet skal ha eit egna nivå av dybdekunnskap om temaet og vere akkreditert av Datatilsynet.
  • nr. 2 stiller meir detaljerte vilkår for akkreditering. Kontrollorganet må blant anna vere uavhengig, ha fastsett framgangsmåter for å føre tilsyn, ha rutinar for handtering av klager og ikkje ha interessekonfliktar.
  • nr. 3 slår fast at Datatilsynet skal utarbeide utkast til retningslinjer for akkreditering og leggje dette fram for EDPB.
  • nr. 4 slår fast at kontrollorganet skal ha sanksjonsmoglegheiter ved brot på bransjenorma, inkludert moglegheit til å suspendere eller utestenge vedkomande verksemd.
  • nr. 5 slår fast at Datatilsynet kan trekkje tilbake akkrediteringa i visse tilfelle.
  • nr. 6 slår fast at offentlege etatar ikkje kan underleggje seg særskilt kontrollorgan.