Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL IV Behandlingsansvarlig og databehandler

Avsnitt 5 Atferdsnormer og sertifisering

Artikkel 40.Atferdsnormer
1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal oppmuntre til at det utarbeides atferdsnormer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter.
2. Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, kan utarbeide atferdsnormer, eller endre eller utvide omfanget av slike regler, for å angi anvendelsen av denne forordning nærmere, f.eks. med hensyn til
a.rettferdig og åpen behandling,
b.de berettigede interessene som forfølges av behandlingsansvarlige i bestemte sammenhenger,
c.innsamling av personopplysninger,
d.pseudonymisering av personopplysninger,
e.informasjonen som gis allmennheten og de registrerte,
f.utøvelsen av registrertes rettigheter,
g.informasjonen som gis til barn, og vern av barn, samt måten samtykke fra de personer som har foreldreansvar for barn, innhentes på,
h.tiltakene og framgangsmåtene nevnt i artikkel 24 og 25 og tiltakene for å ivareta sikkerheten ved behandlingen nevnt i artikkel 32,
i.melding av brudd på personopplysningssikkerheten til tilsynsmyndigheter og underretning av registrerte om nevnte brudd,
j.overføring av personopplysninger til tredjestater eller internasjonale organisasjoner eller
k.utenrettslige prosesser og andre mekanismer for tvisteløsning mellom behandlingsansvarlige og registrerte med hensyn til behandling, uten at det berører de registrertes rettigheter i henhold til artikkel 77 og 79.
3. Atferdsnormer som er godkjent i henhold til nr. 5 i denne artikkel, og som har allmenn gyldighet i henhold til nr. 9 i denne artikkel, kan, i tillegg til at behandlingsansvarlige eller databehandlere som omfattes av denne forordning, overholder dem, også overholdes av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, med henblikk på å gi nødvendige garantier i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner i henhold til vilkårene nevnt i artikkel 46 nr. 2 bokstav e). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende slike nødvendige garantier, herunder med hensyn til de registrertes rettigheter.
4. Atferdsnormene nevnt i nr. 2 i denne artikkel skal inneholde mekanismer som gjør det mulig for organet nevnt i artikkel 41 nr. 1 å utføre det obligatoriske tilsynet med at behandlingsansvarlige eller databehandlere som forplikter seg til å anvende atferdsnormene, overholder dem, uten at det berører oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
5. Sammenslutninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide atferdsnormer eller endre eller utvide eksisterende atferdsnormer, skal framlegge utkastet til, endringen eller utvidelsen av atferdsnormene for tilsynsmyndigheten som har kompetanse i henhold til artikkel 55. Tilsynsmyndigheten skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning, og skal godkjenne nevnte utkast til, endring eller utvidelse av atferdsnormene dersom den finner at de inneholder tilstrekkelige og nødvendige garantier.
6. Dersom utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes i samsvar med nr. 5, og dersom de berørte atferdsnormene ikke gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten registrere og offentliggjøre atferdsnormene.
7. Dersom et utkast til atferdsnormer gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten som har kompetanse i henhold til artikkel 55, før utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes, oversende dem i henhold til framgangsmåten nevnt i artikkel 63 til Personvernrådet, som skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning eller, i tilfellet nevnt i nr. 3 i denne artikkel, inneholder nødvendige garantier.
8. Dersom uttalelsen nevnt i nr. 7 bekrefter at utkastet til, endringen eller utvidelsen av atferdsnormene er i samsvar med denne forordning eller, i tilfellet nevnt i nr. 3, inneholder nødvendige garantier, skal Personvernrådet framlegge sin uttalelse for Kommisjonen.
9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter beslutte at de godkjente atferdsnormene, endringen eller utvidelsen av dem som den har mottatt i henhold til nr. 8 i denne artikkel, har allmenn gyldighet i Unionen. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.
10. Kommisjonen skal sørge for at de godkjente atferdsnormene som det er besluttet har allmenn gyldighet i samsvar med nr. 9, offentliggjøres på egnet måte.
11. Personvernrådet skal samle alle godkjente atferdsnormer, endringer og utvidelser av dem i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
Artikkel 41.Kontroll av godkjente atferdsnormer
1. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet i henhold til artikkel 57 og 58, kan tilsynet med at atferdsnormene overholdes i henhold til artikkel 40 utføres av et organ med et egnet nivå av dybdekunnskap om temaet for atferdsnormene og som er akkreditert for dette formål av vedkommende tilsynsmyndighet.
2. Et organ som nevnt i nr. 1 kan akkrediteres til å føre tilsyn med overholdelsen av atferdsnormer dersom nevnte organ har
a.vist at det er uavhengig og har dybdekunnskap om temaet for atferdsnormene på en måte som oppfyller vedkommende tilsynsmyndighets krav,
b.fastsatt framgangsmåter som gjør det mulig å vurdere om berørte behandlingsansvarlige og databehandlere oppfyller vilkårene for anvendelse av atferdsnormene, føre tilsyn med at de overholdes og foreta regelmessige gjennomgåelser av atferdsnormenes virkemåte,
c.fastsatt framgangsmåter og rutiner for behandling av klager på overtredelser av atferdsnormene eller måten de er blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte framgangsmåter og rutiner åpne for de registrerte og allmennheten, og
d.vist, på en måte som oppfyller vedkommende tilsynsmyndighets krav, at oppgavene eller pliktene ikke fører til en interessekonflikt.
3. Vedkommende tilsynsmyndighet skal legge fram et utkast til kravene for akkreditering av et organ som nevnt i nr. 1 i denne artikkel for Personvernrådet i henhold til konsistensmekanismen nevnt i artikkel 63.
4. Uten at det berører vedkommende tilsynsmyndighets oppgaver og myndighet og bestemmelsene i kapittel VIII, skal et organ som nevnt i nr. 1 i denne artikkel, under forutsetning av nødvendige garantier, treffe egnede tiltak i tilfelle en behandlingsansvarlig eller databehandler ikke overholder atferdsnormene, herunder suspendere eller utelukke den berørte behandlingsansvarlige eller databehandleren fra atferdsnormene. Det skal underrette vedkommende tilsynsmyndighet om nevnte tiltak og årsakene til at de er truffet.
5. Vedkommende tilsynsmyndighet skal tilbakekalle akkrediteringen av et organ som nevnt i nr. 1 dersom kravene for akkreditering ikke eller ikke lenger oppfylles, eller dersom tiltak som er truffet av organet, er i strid med bestemmelsene i denne forordning.
6. Denne artikkel får ikke anvendelse på behandling utført av offentlige myndigheter og organer.
Artikkel 42.Sertifisering
1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.
2. Mekanismer for personvernsertifisering, personvernsegl eller -merker som er godkjent i henhold til nr. 5 i denne artikkel, kan, i tillegg til at de overholdes av behandlingsansvarlige eller databehandlere som omfattes av denne forordning, fastsettes med det formål å påvise at det foreligger nødvendige garantier gitt av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på vilkårene nevnt i artikkel 46 nr. 2 bokstav f). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende nevnte nødvendige garantier, herunder for å ivareta de registrertes rettigheter.
3. Sertifiseringen skal være frivillig og tilgjengelig gjennom en åpen prosess.
4. En sertifisering i henhold til denne artikkel begrenser ikke den behandlingsansvarliges eller databehandlerens ansvar for å oppfylle kravene i denne forordning, og berører ikke oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.
6. Den behandlingsansvarlige eller databehandleren som forelegger sin behandling for sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43 eller, dersom det er relevant, vedkommende tilsynsmyndighet all informasjon samt tilgang til de behandlingsaktivitetene som er nødvendig for å gjennomføre sertifiseringen.
7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kriteriene for sertifisering ikke lenger er oppfylt.
8. Personvernrådet skal samle alle sertifiseringsmekanismer og personvernsegl og -merker i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
Artikkel 43.Sertifiseringsorganer
1. Uten at det berører vedkommende tilsynsmyndigheters oppgaver og myndighet i henhold til artikkel 57 og 58, skal sertifiseringsorganer som har et egnet nivå av dybdekunnskap om vern av personopplysninger, etter å ha underrettet tilsynsmyndigheten slik at den kan utøve sin myndighet i henhold til artikkel 58 nr. 2 bokstav h) når det er nødvendig, utstede og fornye sertifiseringen. Medlemsstatene skal sikre at nevnte sertifiseringsorganer akkrediteres av en eller begge av følgende:
a.tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56,
b.det nasjonale akkrediteringsorganet som er utpekt i samsvar med europaparlaments- og rådsforordning (EF) nr. 765/2008​1 i samsvar med EN-ISO/IEC 17065/2012, og med tilleggskravene fastsatt av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56.
2. Sertifiseringsorganer nevnt i nr. 1 skal akkrediteres i samsvar med nevnte nummer bare dersom de har
a.vist at de er uavhengige og har dybdekunnskap om sertifiseringens innhold på en måte som oppfyller vedkommende tilsynsmyndighets krav,
b.forpliktet seg til å overholde kriteriene nevnt i artikkel 42 nr. 5 og som er godkjent av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56, eller av Personvernrådet i henhold til artikkel 63,
c.fastsatt framgangsmåter for utstedelse, regelmessig gjennomgåelse og tilbakekalling av en personvernsertifisering og personvernsegl og -merker,
d.fastsatt framgangsmåter og rutiner for behandling av klager på overtredelser av sertifiseringen eller måten sertifiseringen er blitt eller blir gjennomført på av den behandlingsansvarlige eller databehandleren, og gjøre nevnte framgangsmåter og rutiner åpne for de registrerte og allmennheten, og
e.vist, på en måte som oppfyller vedkommende tilsynsmyndighets krav, at deres oppgaver og plikter ikke fører til en interessekonflikt.
3. Akkrediteringen av sertifiseringsorganer som nevnt i nr. 1 og 2 i denne artikkel skal skje på grunnlag av krav som er godkjent av tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 eller 56, eller av Personvernrådet i henhold til artikkel 63. Ved akkreditering i henhold til nr. 1 bokstav b) i denne artikkel skal nevnte krav utfylle kravene fastsatt i forordning (EF) nr. 765/2008 og de tekniske reglene som beskriver sertifiseringsorganenes metoder og framgangsmåter.
4. Sertifiseringsorganene nevnt i nr. 1 skal ha ansvar for å utføre en egnet vurdering som fører til sertifisering eller tilbakekalling av nevnte sertifisering, uten at det berører den behandlingsansvarliges eller databehandlerens ansvar for å overholde kravene i denne forordning. Akkrediteringen skal utstedes for en periode på høyst fem år og kan fornyes på samme vilkår, forutsatt at sertifiseringsorganet oppfyller kravene i denne artikkel.
5. Sertifiseringsorganene nevnt i nr. 1 skal underrette vedkommende tilsynsmyndighet om årsakene til at sertifiseringen det er anmodet om, er utstedt eller tilbakekalt.
6. Kravene nevnt i nr. 3 i denne artikkel og kriteriene nevnt i artikkel 42 nr. 5 skal offentliggjøres av tilsynsmyndigheten i et lett tilgjengelig format. Tilsynsmyndighetene skal også oversende nevnte krav og kriterier til Personvernrådet.
7. Uten at det berører kapittel VIII, skal vedkommende tilsynsmyndighet eller det nasjonale akkrediteringsorganet trekke tilbake en akkreditering av et sertifiseringsorgan i henhold til nr. 1 i denne artikkel dersom vilkårene for akkrediteringen ikke eller ikke lenger overholdes, eller dersom tiltak truffet av sertifiseringsorganet er i strid med denne forordning.
8. Kommisjonen skal gis myndighet til å vedta delegerte rettsakter i samsvar med artikkel 92 for å fastsette de krav som skal tas i betraktning med henblikk på mekanismene for personvernsertifisering nevnt i artikkel 42 nr. 1.
9. Kommisjonen kan vedta gjennomføringsrettsakter der det fastsettes tekniske standarder for sertifiseringsmekanismer og personvernsegl og -merker, og mekanismer for å fremme og anerkjenne nevnte sertifiseringsmekanismer, segl og merker. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
1Europaparlaments- og rådsforordning (EF) nr. 765/2008 av 9. juli 2008 om fastsettelse av kravene til akkreditering og markedstilsyn for markedsføring av produkter, og om oppheving av forordning (EØF) nr. 339/93 (EUT L 218 av 13.8.2008, s. 30).