Korleis gå fram for å lage ei atferdsnorm?
Kven kan lage atferdsnorm?
Datatilsynet sitt syn er at dette er ein fleksibel regel som det ikkje er grunn til å tolke snevert. Det sentrale er at dei som vil utarbeide ei norm, må ha eit reelt mandat til å opptre på vegne av bransjen.
Kartlegging
Aktørane i bransjen må snakke saman og samordne seg om kor vidt det er grunnlag for å lage ei atferdsnorm. Det er viktig å kartlegge kva for behandlingar av personopplysningar som skjer i bransjen, og kva for behov verksemdene har. Dette gjeld særleg dei mindre verksemdene, som forordninga framhevar spesielt.
Det er også viktig å tenkje gjennom ambisjonsnivået for kva norma skal regulere. Datatilsynet vil påpeike at det er mogleg å lage ei tematisk avgrensa atferdsnorm som ein seinare kan utvide til også å omfatte fleire delar av forordninga (etter ein ny godkjenningsprosess).
Gjennomføre høyringsprosess
I fortalen til forordninga (punkt 99) er det framheva at ein bør rådføre seg med relevante berørte partar, også registrerte når det er mogleg. Ein bør også ta omsyn til merknadar og synspunkt som har kome fram i samband med ei slik rådføring.
Vurder det internasjonale sporet
Omfattar norma aktivitetar i fleire medlemsstatar? Er det naudsynt og/eller ønskjeleg at norma skal gå i det internasjonale sporet for godkjenning? Dette bør ein ha teke stilling til før godkjenningsprosessen byrjar.
Før ein set i gang arbeidet med eigen norm, bør ein undersøkje om det allereie finst godkjente atferdsnormer som har fått allmenn gyldighet av EU-kommisjonen, og som ein kan slutte seg til.
Tilstrekkelege og naudsynte garantiar
Ei norm må ifølge forordninga ha tilstrekkelege og naudsynte garantiar for å bli godkjent av Datatilsynet (artikkel 40 nr. 5). Vilkåret er skjønnsmessig og situasjonsbestemt, og bransjen må i første omgang sjølv gjere seg opp ei meining om kva som vil vere tilstrekkeleg og hensiktsmessig for den konkrete norma.
Skriv utkast
Før ein kan gå inn i godkjenningsprosessen, må ein ha skrive eit meir eller mindre ferdig utkast. Føresetnaden for dette er sjølvsagt at ein har analysert reglane i forordninga og korleis desse kan og bør konkretiserast i ei bransjespesifikk åtferdsnorm.
Utkastet til atferdsnorma skal peke ut eit særskilt kontrollorgan og innehalde mekanismer som gjer det mogleg for kontrollorganet nevnt i artikkel 41 å føre tilsyn med den behandlingsansvarlige og databehandlarane som har forplikta seg til å nytte atferdsnorma.
Uavhengig kontrollorgan
Føremålet med eit kontrollorgan er kort fortalt å sikre at verksemdene i bransjen faktisk etterlever norma og dermed forordninga. Personvernforordninga har eigne reglar om dette (artikkel 41).
Merk at offentlege etatar ikkje kan underleggje seg særskilt kontrollorgan (artikkel 41 nr. 6), men fortsatt må implementere gode kontrollmekanismer.
Eit særskilt kontrollorgan vil vere ein slags "revisor" for etterleving av norma. Det vil altså vere eit privat organ, ikkje ein offentleg myndigheit, som bransjen sjølv oppnemner og betaler for. Kontrollorganet må ha dybdekunnskap om temaet for atferdsnormen og ha visse fullmakter til å føre tilsyn med verksemdene og treffe tiltak ved brot på reglane i norma (artikkel 41 og 40 nr. 4.). Kontrollorganet vil ikkje overta Datatilsynet si myndigheit – Datatilsynet vil til dømes framleis kunne gå på kontroll. Eit kontrollorgan må akkrediterast av Datatilsynet basert på krava for akkreditering av kontrollorganer for atferdsnormer.
Dersom kontrollorganet ikkje lenger oppfyller krava til akkreditering eller dersom tiltak truffet av organet er i strid med personvernforordninga, kan Datatilsynet kalle akkrediteringa tilbake.
Rettleiing frå Datatilsynet
Datatilsynet skal ta stilling til ferdige utkast, men kan rettleie på tidlegare tidspunkt. Vi må vurdere, i lys av dei ressursane vi har og dei førespurnadene vi får, i kva for grad vi kan gje uformell rettleiing før bransjen er klar til å leggje fram eit ferdig utkast. Vi vil i alle høve krevje at det er gjort eit godt forarbeid før vi eventuelt tilbyr rettleiing.
Orientere Datatilsynet (ikkje pålagt)
Sjølv om vi ikkje nødvendigvis vil kunne bidra tidleg i prosessen, vil vi setje pris på å bli orientert om at det er sett i verk eit arbeid med ei bransjenorm. Det er ein fordel at Datatilsynet på førehand er klar over at det vil bli lagt fram eit utkast, slik at vi kan halde oversikt over kva for normer som er under utarbeiding.
Send orienteringa eller spørsmål til .
Oversending av utkast
Når utkastet er såpass komplett at vi kan ta stilling til om det etterlever forordninga sine krav, inkludert krava til kontrollorganet, skal det leggjast fram for Datatilsynet. Vi skal då komme med ei fråseng (uttalelse) og eventuelt godkjenne utkastet (artikkel 40 nr. 5).
Avvisning/tilbakemelding
Forordninga gir ikkje føringar for formalitetane dersom Datatilsynet meiner utkastet ikkje er godt nok, anna enn at vår utøving av myndigheit skal vere underlagt naudsynlege garantiar og effektive rettsmidlar (artikkel 58 nr. 4).
Vi går ut frå at det i mange tilfelle vil vere meir gunstig at det vert gitt ei tilbakemelding om kva som bør utbetrast, heller enn eit formelt avslag på godkjenning. Dette legg til rette for ein konstruktiv dialog og prosess.
Dersom bransjen står fast ved at utkastet er godt nok for godkjenning, men Datatilsynet ikkje er samd i dette, vil vi nekte godkjenning. Dette vil formeinleg reknast som eit einskildvedtak i forvaltningslova sin forstand, og vere underlagt klagerett.
Godkjenning
Dersom Datatilsynet er tilfreds med utkastet til ei norm av nasjonal karakter, skal vi godkjenne, registrere og offentleggjere norma. Datatilsynet vil få på plass ei ordning for registrering og offentleggjering.
Særskilt om internasjonale norme
Dersom ei norm gjeld handsamingsaktivitetar i fleire medlemsstatar, må norma gå gjennom ein godkjenningsprosess i EU (artikkel 40 nr. 7 til 10). Dersom Datatilsynet meiner at norma fyller krava i forordninga, skal vi sende utkastet til Personvernrådet, som skal komme med ei fråsegn (uttalelse). Om Personvernrådet meiner at norma er god nok, skal dei i sin tur leggje fram fråsegna for EU-kommisjonen. Kommisjonen har då myndigheit til å gje norma allmenn gyldigheit i EU, slik at verksemder i alle EU-land kan slutte seg til norma med dei fordelane det inneber.
Datatilsynet kan altså ikkje godkjenne atferdsnormer som omfattar handsamingsaktiviteter i fleire medlemsstatar – det internasjonale sporet er obligatorisk for slike atferdsnormer. Datatilsynet vil anbefale at bransjen sjølv skriv utkastet til internasjonal norm på engelsk. I motsatt fall må det påreknast noko lenger saksbehandlingstid hos Personvernrådet, sidan dei må oversette norma først.