En atferdsnorm er et sett med retningslinjer for sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere. Atferdsnormene skal virke som retningslinjer for hvordan disse sammenslutningene skal innrette seg, for å etterleve kravene i personvernforordningen.

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer for atferdsnormer. I disse retningslinjene finner du informasjon om søknadsprosessen. Der finner du også informasjon om hvilke krav de europeiske datatilsynsmyndighetene stiller for at en søknad skal kunne tas til behandling, og for at en søknad skal kunne bli godkjent.

Merk at Personvernrådet har kommet til at slike kontrollorganer som nevnt i art. 41 («monitoring bodies») er obligatoriske, se avsnitt 27 i Personvernrådets veileder.

Retningslinjene skal gi praktisk støtte og tolkningshjelp ved anvendelse av artikkel 40 og 41 i personvernforordningen (GDPR). Retningslinjene skal bidra til å klargjøre prosedyrer og regler i forbindelse med innsending, godkjenning og publisering av atferdsnormer både på et nasjonalt og europeiske nivå. De skal også gi et klart rammeverk for alle kompetente datatilsynsmyndigheter, EDPB og Kommisjonen ved vurderingen av innsendte atferdsnormer. Rammeverket skal sikre konsistens og strømlinjeforme prosedyren involvert ved vurderingen av innsendte atferdsnormer.

Det er frivillig å utarbeide og tilslutte seg en atferdsnorm. Det er de behandlingsansvarlige eller databehandlerne selv som må lage atferdsnormene, men normene skal alltid godkjennes av Datatilsynet. Hvis normen gjelder behandlingsaktiviteter i flere europeiske land, skal Personvernrådet og EU-kommisjonen godkjenne normen.