Kven kan lage atferdsnorm?
Det formelle vilkåret for å gå saman om å lage ei atferdsnorm (bransjenorm) er at det må vere «sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere» (artikkel 40 nr. 2). Eit typisk døme vil vere bransjeforeiningar eller liknande samarbeidsorgan.
Datatilsynet sitt syn er at dette er ein fleksibel regel som det ikkje er grunn til å tolke snevert. Det sentrale er at dei som vil utarbeide ei norm, må ha eit reelt mandat til å opptre på vegne av bransjen.
Kartlegging
Aktørane i bransjen må snakke saman og samordne seg om kor vidt det er grunnlag for å lage ei atferdsnorm. Det er viktig å kartlegge kva for handsamingsaktivitetar som skjer i bransjen, og kva for behov verksemdene har. Dette gjeld særleg dei mindre verksemdene, som forordninga framhevar spesielt.
Det er også viktig å tenkje gjennom ambisjonsnivået for kva norma skal regulere. Datatilsynet vil påpeike at det er mogleg å lage ei tematisk avgrensa atferdsnorm som ein seinare kan utvide til også å omfatte fleire delar av forordninga (etter ein ny godkjenningsprosess).
Gjennomføre høyringsprosess
I forordninga si fortale (punkt 99) er det framheva at ein bør rådføre seg med relevante berørte partar, også registrerte når det er mogleg, samt at ein bør ta hensyn til merknadar og synspunkter som har kome fram i samband med ei slik rådføring.
Vurder det internasjonale sporet
Omfattar norma handsamingsaktivitetar i fleire medlemsstatar? Er det naudsynt og/eller ønskjeleg at norma skal gå i det internasjonale sporet for godkjenning? Dette bør ein ha teke stilling til før godkjenningsprosessen byrjar.
Før ein iverkset arbeidet med eigen norm, bør ein også undersøkje om det allereie finst godkjente atferdsnormer som har fått allmenn gyldighet av kommisjonen, og som ein kan slutte seg til.
Tilstrekkelege og naudsynte garantiar
Ei norm må ifølge forordninga ha tilstrekkelege og naudsynte garantiar for å bli godkjent av Datatilsynet (artikkel 40 nr. 5). Vilkåret er skjønnsmessig og situasjonsbestemt, og bransjen må i første omgang sjølv gjere seg opp ei meining om kva som vil vere tilstrekkeleg og hensiktsmessig for den konkrete norma.
Skriv utkast
Før ein kan gå inn i godkjenningsprosessen, må ein ha skrive eit meir eller mindre ferdig utkast. Føresetnaden for dette er sjølvsagt at ein har analysert reglane i forordninga og korleis desse kan og bør konkretiserast i ei bransjespesifikk åtferdsnorm.
Rettleiing frå Datatilsynet
Datatilsynet skal ta stilling til ferdige utkast, men kan rettleie på tidlegare tidspunkt. Vi må vurdere, i lys av dei ressursane vi har og dei førespurnadene vi får, i kva for grad vi kan gje uformell rettleiing før bransjen er klar til å leggje fram eit ferdig utkast. Vi vil i alle høve krevje at det er gjort eit godt forarbeid før vi eventuelt tilbyr rettleiing.
Orientere Datatilsynet (ikkje pålagt)
Sjølv om vi ikkje nødvendigvis vil kunne bidra tidleg i prosessen, vil vi setje pris på å bli orientert om at det er sett i verk eit arbeid med ei bransjenorm. Det er ein fordel at Datatilsynet på førehand er klar over at det vil bli lagt fram eit utkast, slik at vi kan halde oversikt over kva for normer som er under utarbeiding.
Oversending av utkast
Når utkastet er såpass komplett at vi kan ta stilling til om det etterlever forordninga sine krav, skal det leggjast fram for oss. Vi skal då gje ei fråseng (en uttalelse) og eventuelt godkjenne utkastet (artikkel 40 nr. 5).
Vurderingstemaet for Datatilsynet er om norma oppfyller krava i forordninga og inneheld det som i forordninga heiter tilstrekkelege og naudsynlege garantiar.
Avvisning/tilbakemelding
Forordninga gjev ikkje føringar for formalitetane dersom Datatilsynet meiner utkastet ikkje er godt nok, anna enn at vår utøving av myndigheit skal vere underlagt naudsynlege garantiar og effektive rettsmidlar (artikkel 58 nr. 4).
Vi går ut frå at det i mange tilfelle vil vere meir gunstig at det vert gitt ei tilbakemelding om kva som bør utbetrast, heller enn eit formelt avslag på godkjenning. Dette legg til rette for ein konstruktiv dialog og prosess.
Dersom bransjen står fast ved at utkastet er godt nok for godkjenning, men Datatilsynet ikkje er samd i dette, vil vi nekte godkjenning. Dette vil formeinleg reknast som eit einskildvedtak i forvaltningslova sin forstand, og vere underlagt klagerett.
Godkjenning
Dersom Datatilsynet er tilfreds med utkastet til ei norm av nasjonal karakter, skal vi godkjenne, registrere og offentleggjere norma. Datatilsynet vil få på plass ei ordning for registrering og offentleggjering.
Særskilt om internasjonale normer
Dersom ei norm gjeld handsamingsaktivitetar i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Dersom Datatilsynet meiner at norma fyller krava i forordninga, skal vi sende utkastet til Personvernrådet, som skal komme med ei fråsegn (uttalelse). Om Personvernrådet meiner at norma er god nok, skal dei i sin tur leggje fram fråsegna for EU-kommisjonen. Kommisjonen har då myndigheit til å gje norma allmenn gyldigheit i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber.
Dersom Datatilsynet er tilfreds med utkast til ei norm som omfattar handsamingsaktiviteter i fleire medlemsstatar, vil denne altså bli sendt vidare til Personvernrådet. Datatilsynet kan ikkje godkjenne slike normer – det internasjonale sporet er obligatorisk. Datatilsynet vil anbefale at bransjen selv skriver utkastet til internasjonal norm på engelsk. I motsatt fall må det påregnes noe lenger saksbehandlingstid hos Personvernrådet, fordi de må oversette normen før det kan gjennomgås.
Dersom Datatilsynet ikkje er tilfreds med ei norm av internasjonal karakter, vil vi returnere utkastet til bransjen med sikte på utbetring.