Kva er ei atferdsnorm (bransjenorm)
Ei atferdsnorm er eit regelsett for ein spesifikk bransje. Ho skal gje konkrete reglar og retningslinjer for korleis verksemdene skal innrette seg for å etterleve krava i personvernforordninga. Norma er utvikla av bransjen sjølv, men skal godkjennast av Datatilsynet.
Det er frivillig å utarbeide ei slik norm, men det er ønskjeleg at flest mogleg verksemder gjer det.
Det er ein uttrykt ambisjon med personvernforordninga at atferdsnormer skal bli eit hyppigare brukt verktøy for å etterleve personvernregelverket. Statane og datatilsynsmyndigheitene skal oppmuntre til etablering av desse normene. Ordninga vert formalisert ved at normene skal godkjennast av dei nasjonale datatilsynsmyndigheitene. Det er lagt til rette for at normer kan få allmenn gyldigheit i EU, og det er nedfelt insentiv i regelverket for å oppmuntre til etablering og bruk av normer. Atferdsnormer skal også bidra til harmonisering både nasjonalt og internasjonalt.
Dei sentrale reglene om atferdsnormer står i personvernforordninga artikkel 40 og 41. I kapittel 6 er det ein gjennomgang av dei mest sentrale reglane i desse artiklane.
Forordninga er eit omfattande dokument, utforma for å gjelde dei fleste samfunnsområda, og mange av reglane er skjønnsmessige. Mange verksemder vil difor ha behov for meir konkrete og bransjespesifikke reglar enn det som følgjer av forordningsteksten.
Klare svar på praktiske spørsmål
Ei atferdsnorm må innehalde konkrete og relativt detaljerte reglar og retningslinjer for korleis verksemdene skal etterleve heile eller deler av personvernforordninga. Verksemdene skal der kunne finne klare svar på praktiske spørsmål. Ei slik norm har liten verdi dersom ho berre repeterer forordninga sine reglar eller har karakter av ei prinsipperklæring. Norma bør ideelt sett vere eit komplett verktøy, slik at verksemdene i liten grad må forholde seg til både norma og forordninga sine reglar for det aktuelle temaet.
Eksemplar på innhald
Det er naturleg at ei norm som regulerer informasjonstryggleik, vil konkretisere kva som vil vere naudsynte «tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» i samband med bransjetypiske handsamingsaktivitetar (jf. artikkel 32 nr. 1).
Ei norm som gir reglar om sletting, bør konkretisere når spesifikke kategoriar personopplysingar ikkje lenger er naudsynlege for førmålet (jf. artikkel 17 nr. 1 bokstav a) og setje konkrete slettefristar framfor skjønnsmessige retningslinjer.
Ei norm som regulerer bruk av samtykke, kan med fordel innehalde ein mal for samtykkeskjema.