Korleis lage atferdsnorm?

Korleis lage atferdsnorm?

Personopplysningsloven og personvernforordninga gir reglar for atferdsnormer (kalla bransjenormer tidlegare). Her gir vi ei oversikt over desse reglane, samt ei framstilling av fordelane med atferdsnormer. Vi går også gjennom sentrale trekk ved atferdsnormer, og gjer råd om korleis du går fram for å lage ei slik norm.

Innleiing

Målgruppa for denne rettleiinga er først og fremst aktørar som vurderer å etablere ei atferdsnorm. Føremålet med atferdsnormer er å styrke personvernet og gjere det lettare for verksemder – særleg dei mindre – å etterleve personvernregelverket.

Det er frivillig å utarbeide og tilslutte seg ei atferdsnorm. Det er dei behandlingsansvarlege eller databehandlarane som sjølve må lage atferdsnormene, men dei skal alltid godkjennast av Datatilsynet. Dersom norma gjeld aktivitetar i fleire europeiske land, skal Personvernrådet og EU-kommisjonen godkjenne norma.

I denne veiledninga finn du ikkje konkrete råd om korleis reglane i ei atferdsnorm skal vere, ut over nokre generelle føringar. Innhaldet i norma vil avhenge av kva for reglar i forordninga den aktuelle bransjenorma skal dekkje, korleis desse reglane er å forstå og korleis reglane best kan etterlevast i ein konkret bransje.

Retningslinjer for atferdsnormer og særskilte kontrollorganer er vedtatt av EDPB

EDPB (European Data Protection Board) har vedtatt retningslinjer for atferdsnormer. En endelig vedtakelse av retningslinjene skjedde 4. juni 2019. Retningslinjene er publisert på EDPB sin nettside. Her kan du også lese mer om prosedyren rundt den offentlige høringen.

Formålet med retningslinjene er å gi praktiske retningslinjer og tolkningshjelp ved anvendelse av artikkel 40 og 41 i personvernforordningen (GDPR). Retningslinjene skal bidra til å klargjøre prosedyrer og regler i forbindelse med innsending, godkjenning og publisering av atferdsnormer både på et nasjonalt og europeiske nivå. Retningslinjene skal også gi et klart rammeverk for alle kompetente datatilsynsmyndigheter, EDPB og kommisjonen ved vurderingen av innsendte atferdsnormer. Rammeverket skal sikre konsistens og strømlinjeforme prosedyren involvert ved vurderingen av innsendte atferdsnormer.

Les også

Vi har utarbeidd andre rettleiarar som vil kunne vere nyttige når ein skal lage ei atferdsnorm:

Kva er ei atferdsnorm (bransjenorm)

Ei atferdsnorm er eit regelsett for ein spesifikk bransje. Det er frivillig å utarbeide ei slik norm. Norma skal gje konkrete reglar og retningslinjer for korleis verksemdene skal innrette seg for å etterleve krava i personvernforordninga. Ho skal utviklast av bransjen sjølv, men godkjennast av Datatilsynet.

Det er ein uttrykt ambisjon med personvernforordninga at atferdsnormer skal bli eit hyppigare brukt verktøy for å etterleve personvernregelverket. Statane og datatilsynsmyndigheitene skal oppmuntre til etablering av desse normene. Ordninga vert formalisert ved at normene skal godkjennast av dei nasjonale datatilsynsmyndigheitene. Det er lagt til rette for at normer kan få allmenn gyldigheit i EU, og det er nedfelt insentiv i regelverket for å oppmuntre til etablering og bruk av normer. Atferdsnormer skal også bidra til harmonisering både nasjonalt og internasjonalt.

Dei sentrale reglene om atferdsnormer står i forordninga artikkel 40 og 41. I kapittel 6 i denne rettleiaren er det ein gjennomgang av dei mest sentrale reglane i desse artiklane.

Forordninga er eit omfattande dokument, utforma for å gjelde dei fleste samfunnsområda, og mange av reglane er skjønnsmessige. Mange verksemder vil difor ha behov for meir konkrete og bransjespesifikke reglar enn det som følgjer av forordningsteksten. Dei meir detaljerte reglane i personopplysingsforskrifta (av 15. desember 2000) er i hovudsak oppheva.

Klare svar på praktiske spørsmål

Ei atferdsnorm må innehalde konkrete og relativt detaljerte reglar og retningslinjer for korleis verksemdene skal etterleve heile eller deler av personvernforordninga. Verksemdene skal der kunne finne klare svar på praktiske spørsmål. Ei slik norm har liten verdi dersom ho berre repeterer forordninga sine reglar eller har karakter av ei prinsipperklæring. Norma bør ideelt sett vere eit komplett verktøy, slik at verksemdene i liten grad må forholde seg til både norma og forordninga sine reglar for det aktuelle temaet.

Eksemplar på innhald

Det er naturleg at ei norm som regulerer informasjonstryggleik, vil konkretisere kva som vil vere naudsynte «tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» i samband med bransjetypiske handsamingsaktivitetar (jf. artikkel 32 nr. 1).

Ei norm som gir reglar om sletting, bør konkretisere når spesifikke kategoriar personopplysingar ikkje lenger er naudsynlege for førmålet (jf. artikkel 17 nr. 1 bokstav a) og setje konkrete slettefristar framfor skjønnsmessige retningslinjer.

Ei norm som regulerer bruk av samtykke, kan med fordel innehalde ein mal for samtykkeskjema.

Korleis gå fram for å lage ei atferdsnorm?

Kven kan lage atferdsnorm?

Det formelle vilkåret for å gå saman om å lage ei atferdsnorm (bransjenorm) er at det må vere «sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere» (artikkel 40 nr. 2). Eit typisk døme vil vere bransjeforeiningar eller liknande samarbeidsorgan.

Datatilsynet sitt syn er at dette er ein fleksibel regel som det ikkje er grunn til å tolke snevert. Det sentrale er at dei som vil utarbeide ei norm, må ha eit reelt mandat til å opptre på vegne av bransjen.

Kartlegging

Aktørane i bransjen må snakke saman og samordne seg om kor vidt det er grunnlag for å lage ei atferdsnorm. Det er viktig å kartlegge kva for handsamingsaktivitetar som skjer i bransjen, og kva for behov verksemdene har. Dette gjeld særleg dei mindre verksemdene, som forordninga framhevar spesielt.

Det er også viktig å tenkje gjennom ambisjonsnivået for kva norma skal regulere. Datatilsynet vil påpeike at det er mogleg å lage ei tematisk avgrensa atferdsnorm som ein seinare kan utvide til også å omfatte fleire delar av forordninga (etter ein ny godkjenningsprosess).

Gjennomføre høyringsprosess

I forordninga si fortale (punkt 99) er det framheva at ein bør rådføre seg med relevante berørte partar, også registrerte når det er mogleg, samt at ein bør ta hensyn til merknadar og synspunkter som har kome fram i samband med ei slik rådføring.

Vurder det internasjonale sporet

Omfattar norma handsamingsaktivitetar i fleire medlemsstatar? Er det naudsynt og/eller ønskjeleg at norma skal gå i det internasjonale sporet for godkjenning? Dette bør ein ha teke stilling til før godkjenningsprosessen byrjar.

Før ein iverkset arbeidet med eigen norm, bør ein også undersøkje om det allereie finst godkjente atferdsnormer som har fått allmenn gyldighet av kommisjonen, og som ein kan slutte seg til.

Tilstrekkelege og naudsynte garantiar

Ei norm må ifølge forordninga ha tilstrekkelege og naudsynte garantiar for å bli godkjent av Datatilsynet (artikkel 40 nr. 5). Vilkåret er skjønnsmessig og situasjonsbestemt, og bransjen må i første omgang sjølv gjere seg opp ei meining om kva som vil vere tilstrekkeleg og hensiktsmessig for den konkrete norma.

Skriv utkast

Før ein kan gå inn i godkjenningsprosessen, må ein ha skrive eit meir eller mindre ferdig utkast. Føresetnaden for dette er sjølvsagt at ein har analysert reglane i forordninga og korleis desse kan og bør konkretiserast i ei bransjespesifikk åtferdsnorm.

Rettleiing frå Datatilsynet

Datatilsynet skal ta stilling til ferdige utkast, men kan rettleie på tidlegare tidspunkt. Vi må vurdere, i lys av dei ressursane vi har og dei førespurnadene vi får, i kva for grad vi kan gje uformell rettleiing før bransjen er klar til å leggje fram eit ferdig utkast. Vi vil i alle høve krevje at det er gjort eit godt forarbeid før vi eventuelt tilbyr rettleiing.

Orientere Datatilsynet (ikkje pålagt)

Sjølv om vi ikkje nødvendigvis vil kunne bidra tidleg i prosessen, vil vi setje pris på å bli orientert om at det er sett i verk eit arbeid med ei bransjenorm. Det er ein fordel at Datatilsynet på førehand er klar over at det vil bli lagt fram eit utkast, slik at vi kan halde oversikt over kva for normer som er under utarbeiding.

Oversending av utkast

Når utkastet er såpass komplett at vi kan ta stilling til om det etterlever forordninga sine krav, skal det leggjast fram for oss. Vi skal då gje ei fråseng (en uttalelse) og eventuelt godkjenne utkastet (artikkel 40 nr. 5).

Vurderingstemaet for Datatilsynet er om norma oppfyller krava i forordninga og inneheld det som i forordninga heiter tilstrekkelege og naudsynlege garantiar.

Avvisning/tilbakemelding

Forordninga gjev ikkje føringar for formalitetane dersom Datatilsynet meiner utkastet ikkje er godt nok, anna enn at vår utøving av myndigheit skal vere underlagt naudsynlege garantiar og effektive rettsmidlar (artikkel 58 nr. 4).

Vi går ut frå at det i mange tilfelle vil vere meir gunstig at det vert gitt ei tilbakemelding om kva som bør utbetrast, heller enn eit formelt avslag på godkjenning. Dette legg til rette for ein konstruktiv dialog og prosess.

Dersom bransjen står fast ved at utkastet er godt nok for godkjenning, men Datatilsynet ikkje er samd i dette, vil vi nekte godkjenning. Dette vil formeinleg reknast som eit einskildvedtak i forvaltningslova sin forstand, og vere underlagt klagerett.

Godkjenning

Dersom Datatilsynet er tilfreds med utkastet til ei norm av nasjonal karakter, skal vi godkjenne, registrere og offentleggjere norma. Datatilsynet vil få på plass ei ordning for registrering og offentleggjering.

Særskilt om internasjonale normer

Dersom ei norm gjeld handsamingsaktivitetar i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Dersom Datatilsynet meiner at norma fyller krava i forordninga, skal vi sende utkastet til Personvernrådet, som skal komme med ei fråsegn (uttalelse). Om Personvernrådet meiner at norma er god nok, skal dei i sin tur leggje fram fråsegna for EU-kommisjonen. Kommisjonen har då myndigheit til å gje norma allmenn gyldigheit i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber.

Dersom Datatilsynet er tilfreds med utkast til ei norm som omfattar handsamingsaktiviteter i fleire medlemsstatar, vil denne altså bli sendt vidare til Personvernrådet. Datatilsynet kan ikkje godkjenne slike normer – det internasjonale sporet er obligatorisk. Datatilsynet vil anbefale at bransjen selv skriver utkastet til internasjonal norm på engelsk. I motsatt fall må det påregnes noe lenger saksbehandlingstid hos Personvernrådet, fordi de må oversette normen før det kan gjennomgås.

Dersom Datatilsynet ikkje er tilfreds med ei norm av internasjonal karakter, vil vi returnere utkastet til bransjen med sikte på utbetring.

Sentrale trekk ved atferdsnormer etter forordninga

Formalisert ordning – Datatilsynet skal godkjenne

Eit utkast til atferdsnorm skal leggjast fram for Datatilsynet, som skal uttale seg om utkastet og – dersom det oppfyller krava i forordninga – godkjenne og registrere norma (artikkel 40 nr. 5 og 6). Norma skal også publiserast i EU av Personvernrådet (artikkel 40 nr. 11).

Forordninga inneber altså at atferdsnormer vert underlagt ein godkjenningsprosess. Dette vil sikre at norma vert kvalitetssikra og gitt ein meir formell status enn kva som er tilfellet i dag.

Forordninga har særskilte reglar for atferdsnormer og omfattar handsamingsaktivitetar i fleire EU-land. Slike normer må gjennom ein godkjenningsprosess i Personvernrådet og EU-kommisjonen, og kan eventuelt bli godkjent som allmenngyldige normer i EU (det vil seie at også verksemder i til dømes Frankrike kan slutte seg til norma).

Fleksible rammer for tema

Forordninga legg føringar for kva for tema norma kan regulere (artikkel 40 nr. 2). Den overordna føringa er at reglane i norma skal angi nærare korleis forordninga skal nyttast. Poenget er å gje meir konkrete reglar enn kva som går direkte fram av forordninga. Dette er også ei presisering av at norma ikkje kan innehalde mindre strenge reglar enn forordninga.

Det er ikkje eit krav at norma må omfatte heile forordninga. Tvert imot er det gitt ei omfattande og ikkje uttømande liste med døme på kva slags forhold norma kan regulere (artikkel 40 nr. 2 bokstav a til k). Etter forordninga kan norma gjelde forholdsvis snevre tema, til dømes pseudonymisering eller avviksmelding, eller vide tema slik som rettferdig og gjennomsiktig handsaming.

Bransjen vil altså stå svært fritt til å avgjere kva for tema og problemstillingar ei slik norm skal omfatte.

Særskilt kontrollorgan

Personvernforordninga har reglar om såkalte særskilte kontrollorgan som har som oppgåve å halde oppsyn med at verksemdene som er tilknytta ei adferdsnorm faktisk etterlever norma (artikkel 41). For atferdsnormer som gjelder organ og samanslutningar som ikkje er offentlege organ og myndigheiter, er det påbudt å ha eit slikt kontrollorgan.

Eit særskilt kontrollorgan vil vere ein slags «revisor» for etterleving av norma. Det vil altså vere eit privat organ, ikkje ein offentleg myndigheit, som bransjen sjølv oppnemner og betaler for. Kontrollorganet vil ikkje overta Datatilsynet sin myndigheit – Datatilsynet vil til dømes framleis kunne gå på kontroll. Eit kontrollorgan må likevel vere akkreditert av Datatilsynet.

Kontrollorganet må ha visse fullmakter til å føre tilsyn med verksemdene og treffe tiltak ved brot på reglane i norma (artikkel 41 og 40 nr. 4.).

Føremålet med eit kontrollorgan er kort fortalt å sikre at verksemdene i bransjen faktisk etterlever norma og dermed forordninga.

EU-godkjente normer

Dersom ei norm gjeld handsamingssaktiviteter i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Datatilsynet har ikkje myndigheit til å godkjenne ei slik norm utan å gå gjennom EU-prosessen. Fordelen med den internasjonale prosessen er mellom anna at det bidreg til konkurranseutjamning og samarbeid med verksemder i andre land. Ulempa er ein meir omfattande og tidkrevjande godkjenningsprosess.

Føremålet med EU-prosessen er harmonisering. Verksemder som driv med grensekryssande handsaming av personopplysingar skal ha om lag same standardar og reglar for personvern. EU-kommisjonen har myndigheit til å gje atferdsnormer såkalla allmenn gyldighet i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber. Kommisjonen skal sørgje for at godkjente normer offentliggjerast.

Det er førebels noko uklart kva som ligg i vilkåret «handsamingsaktiviteter i fleire medlemsstatar» som utløyser den internasjonale godkjenningsprosessen. Etter ordlyden synest det å omfatte alle tilfelle der verksemder i bransjen reint faktisk handsamar personopplysingar i andre medlemsland, og denne handsaminga er omfatta av atferdsnorma. Ei slik forståing vil truleg innebere at ganske mange slike normer vil måtte følgje det internasjonale sporet, sjølv om aktiviteten i andre EU-land er nokså beskjeden. Dette er ikkje nødvendigvis ønskjeleg, men ei meir snever fortolking av regelen må forankrast på EU-nivå. Vi tek sikte på å kunne gje meir rettleiing om dette på eit seinare tidspunkt.

Fordelar ved å slutte seg til og etterleve atferdsnormer

Fordelar som er nedfelt i regelverket

Forordninga inneheld reglar som gir formelle fortrinn for ei verksemd som har slutta seg til – og faktisk etterlever – ei atferdsnorm:

  • Forenkla personvernkonsekvensvurdering
    Når ein utfører ei personvernkonsekvensvurdering skal det «tas behørig hensyn til (…) overholdelse av godkjente atferdsnormer» (artikkel 35 nr. 8). Dette vil dermed forenkle konsekvensvurderinga og gjere det lettare å slå fast at ein personvernrisiko er akseptabel.
  • Påvising av etterleving av forordninga
    Atferdsnormer kan brukast som ein faktor for å påvise at den handsamingsansvarlege sine plikter vert fulgt (artikkel 24 nr. 3). Det gjeld ein liknande regel for databehandlar ved at atferdsnormer kan brukast som ein faktor for å påvise at det finst tilstrekkelege garantiar for etterleving av forordninga sine krav (artikkel 28 nr. 5).
  • Formildande omstende ved vurdering av bot
    Etterleving av atferdsnormer er eit element i Datatilsynet si vurdering av om det skal bli gitt bot og kva for storleik denne eventuelt skal ha (artikkel 83 nr. 2 bokstav j).
  • Lettare å overføre data til verksemder utanfor EU som etterlever atferdsnorma
    Verksemder i land utanfor EU kan binde seg til ei allmenngyldig atferdsnorm (artikkel 40 nr. 3), og dersom tilleggsvilkåra i artikkel 46 nr. 2 bokstav e er oppfylt, kan dei utgjøre naudsynlege garantiar for overføring av personopplysingar til tredjestatar.

Andre fordelar for verksemdene

I tillegg til dei regelfesta fortrinna ovanfor, er det andre fordelar for verksemder som sluttar seg til atferdsnormer.

  • Ein kan forholde seg til reglar som er meir konkrete og detaljerte enn reglane i forordninga, i staden for sjølv å måtte tolke og operasjonalisere kva som ligg i forordninga sine krav. 
  • Ein kan kjenne seg rimeleg trygg på at ein etterlever forordninga. Dette bør ikkje minst vere fordelaktig for mindre verksemder, slik intensjonen i forordninga også er.
  • Atferdsnormer kan bidra til å utjamne konkurranseforhold ved at verksemdene i bransjen har dei same standardane for personvern.
  • Ein vil, som deltakar i eit bransjesamarbeid, kunne diskutere og påverke korleis bransjen skal innrette seg etter forordninga.
  • Bransjesamarbeid kan potensielt tilby tenester ut over sjølve norma, til dømes rettleiing og bistand i personvernspørsmål og teknologi.
  • Ein kan, overfor registrerte og andre kundar, vise til at ein etterlever eit regelverk som er godkjent av Datatilsynet.

Fordelar for dei registrerte

Atferdsnormer inneber også fordelar for dei registrerte, altså privatpersonar.

  • Atferdsnormer skal styrke personvernet generelt i aktuelle bransjar.
  • Ein kan i større grad kjenne seg trygg på at ei verksemd som er tilslutta ei atferdsnorm, faktisk etterlever personvernregelverket.
  • Formelt godkjente atferdsnormer gjer det lettare å navigere som kunde.

Oversikt over artiklane 40 og 41

Artikkel 40 Atferdsnormer

  • Nr. 1 slår fast at både statane, nasjonale datatilsyn og relevante EU-organ skal oppmuntre til etablering og bruk av slike normer. Her er også føremålet med atferdsnormer skildra: Dei skal «bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter».
  • Nr. 2 gir retningslinjer for kven som kan utarbeide atferdsnormer og kva dei kan gjelde.
  • Nr. 3 regulerer atferdsnormer som grunnlag for overføring av personopplysningar til verksemder i land utanfor EU/EØS.
  • Nr. 4 er aktuell i tilknytting til kontrollorgan som nemnt i artikkel 41.
  • Nr. 5 og 6 gjeld prosessen for Datatilsynet si godkjenning av utkast til norm.
  • Nr. 7 til 10 gjeld godkjenning av internasjonale atferdsnormer, altså normer som omfattar handsamingsaktivitetar i fleire medlemsstatar.
  • Nr. 11 gjeld publisering i EU av godkjente atferdsnormer.

 Artikkel 41 Kontroll av godkjente atferdsnormer

  • Nr. 1 slår fast at tilsyn med etterleving av atferdsnormer kan utførast av eit særskilt kontrollorgan, utan at dette innskrenkar Datatilsynet sin myndigheit. Kontrollorganet skal ha eit egna nivå av dybdekunnskap om temaet og vere akkreditert av Datatilsynet.
  • Nr. 2 stiller meir detaljerte vilkår for akkreditering. Kontrollorganet må blant anna vere uavhengig, ha fastsett framgangsmåter for å føre tilsyn, ha rutinar for handtering av klager og ikkje ha interessekonfliktar.
  • Nr. 3 slår fast at Datatilsynet skal utarbeide utkast til retningslinjer for akkreditering og leggje dette fram for EDPB.
  • Nr. 4 slår fast at kontrollorganet skal ha sanksjonsmoglegheiter ved brot på atferdsnorma, inkludert moglegheit til å suspendere eller utestenge vedkomande verksemd.
  • Nr. 5 slår fast at Datatilsynet kan trekkje tilbake akkrediteringa i visse tilfelle.
  • Nr. 6 slår fast at offentlege etatar ikkje kan underleggje seg særskilt kontrollorgan.