Sentrale trekk ved atferdsnormer etter forordninga
Formalisert ordning – Datatilsynet skal godkjenne
Eit utkast til atferdsnorm skal leggjast fram for Datatilsynet, som skal uttale seg om utkastet og – dersom det oppfyller krava i forordninga – godkjenne og registrere norma (artikkel 40 nr. 5 og 6). Norma skal også publiserast i EU av Personvernrådet (artikkel 40 nr. 11).
Forordninga inneber altså at atferdsnormer vert underlagt ein godkjenningsprosess. Dette vil sikre at norma vert kvalitetssikra og gitt ein meir formell status enn kva som er tilfellet i dag.
Forordninga har særskilte reglar for atferdsnormer og omfattar handsamingsaktivitetar i fleire EU-land. Slike normer må gjennom ein godkjenningsprosess i Personvernrådet og EU-kommisjonen, og kan eventuelt bli godkjent som allmenngyldige normer i EU (det vil seie at også verksemder i til dømes Frankrike kan slutte seg til norma).
Fleksible rammer for tema
Forordninga legg føringar for kva for tema norma kan regulere (artikkel 40 nr. 2). Den overordna føringa er at reglane i norma skal angi nærare korleis forordninga skal nyttast. Poenget er å gje meir konkrete reglar enn kva som går direkte fram av forordninga. Dette er også ei presisering av at norma ikkje kan innehalde mindre strenge reglar enn forordninga.
Det er ikkje eit krav at norma må omfatte heile forordninga. Tvert imot er det gitt ei omfattande og ikkje uttømande liste med døme på kva slags forhold norma kan regulere (artikkel 40 nr. 2 bokstav a til k). Etter forordninga kan norma gjelde forholdsvis snevre tema, til dømes pseudonymisering eller avviksmelding, eller vide tema slik som rettferdig og gjennomsiktig handsaming.
Bransjen vil altså stå svært fritt til å avgjere kva for tema og problemstillingar ei slik norm skal omfatte.
Særskilt kontrollorgan
Personvernforordninga har reglar om såkalte særskilte kontrollorgan som har som oppgåve å halde oppsyn med at verksemdene som er tilknytta ei adferdsnorm faktisk etterlever norma (artikkel 41). For atferdsnormer som gjelder organ og samanslutningar som ikkje er offentlege organ og myndigheiter, er det påbudt å ha eit slikt kontrollorgan.
Eit særskilt kontrollorgan vil vere ein slags «revisor» for etterleving av norma. Det vil altså vere eit privat organ, ikkje ein offentleg myndigheit, som bransjen sjølv oppnemner og betaler for. Kontrollorganet vil ikkje overta Datatilsynet sin myndigheit – Datatilsynet vil til dømes framleis kunne gå på kontroll. Eit kontrollorgan må likevel vere akkreditert av Datatilsynet.
Kontrollorganet må ha visse fullmakter til å føre tilsyn med verksemdene og treffe tiltak ved brot på reglane i norma (artikkel 41 og 40 nr. 4.).
Føremålet med eit kontrollorgan er kort fortalt å sikre at verksemdene i bransjen faktisk etterlever norma og dermed forordninga.
EU-godkjente normer
Dersom ei norm gjeld handsamingssaktiviteter i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Datatilsynet har ikkje myndigheit til å godkjenne ei slik norm utan å gå gjennom EU-prosessen. Fordelen med den internasjonale prosessen er mellom anna at det bidreg til konkurranseutjamning og samarbeid med verksemder i andre land. Ulempa er ein meir omfattande og tidkrevjande godkjenningsprosess.
Føremålet med EU-prosessen er harmonisering. Verksemder som driv med grensekryssande handsaming av personopplysingar skal ha om lag same standardar og reglar for personvern. EU-kommisjonen har myndigheit til å gje atferdsnormer såkalla allmenn gyldighet i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber. Kommisjonen skal sørgje for at godkjente normer offentliggjerast.
Det er førebels noko uklart kva som ligg i vilkåret «handsamingsaktiviteter i fleire medlemsstatar» som utløyser den internasjonale godkjenningsprosessen. Etter ordlyden synest det å omfatte alle tilfelle der verksemder i bransjen reint faktisk handsamar personopplysingar i andre medlemsland, og denne handsaminga er omfatta av atferdsnorma. Ei slik forståing vil truleg innebere at ganske mange slike normer vil måtte følgje det internasjonale sporet, sjølv om aktiviteten i andre EU-land er nokså beskjeden. Dette er ikkje nødvendigvis ønskjeleg, men ei meir snever fortolking av regelen må forankrast på EU-nivå. Vi tek sikte på å kunne gje meir rettleiing om dette på eit seinare tidspunkt.