Atferdsnormer og sertifisering
Personvernforordningen inneholder en rekke obligatoriske plikter for virksomhetene. Samtidig er det ikke alltid lett for virksomhetene å forstå eller etterleve reglene i praksis. Forordningen legger derfor opp til at virksomheter frivillig kan benytte seg av atferdsnormer og sertifiseringsordninger for å gjøre det lettere å etterleve regelverket og for å øke tilliten.
Idéen er at reglene i atferdsnormer (også kalt bransjenormer) og sertifiseringsordninger baseres på personvernforordningen, men gjøres mer tilpassede, konkretiserte og aktuelle for en gitt bransje, en viss type virksomhet eller en spesiell behandlingsaktivitet. Dette gjøres ved at reglene lages av noen i det aktuelle markedet som kjenner til aktuelle problemstillinger, behov og behandlingsaktiviteter.
Det er også mulig å bruke noen atferdsnormer og sertifiseringsmekanismer som grunnlag for å overføre personopplysninger ut av EØS (personvernforordningen artikkel 46 nr. 2 bokstav e og f).
Sertifisering er først og fremst aktuelt på virksomhetsnivå, mens atferdsnormer skal sikre etterlevelse på bransjenivå.
Etterlevelse av reglene sjekkes og kontrolleres av uavhengige tredjeparter:
- kontrollorganer for atferdsnormer
- sertifiseringsorganer for sertifisering.
Godkjennelsesprosessen er mer eller mindre lik for atferdsnormer og sertifiseringskriterier da de må godkjennes av Datatilsynet (eller i noen tilfeller andre datatilsynsmyndigheter i EØS eller EDPB), mens kontroll- og sertifiseringsorganene må akkrediteres av Datatilsynet eller Norsk akkreditering (eventuelt andre datatilsynsmyndigheter i EØS eller andre nasjonale akkrediteringsorganer i EØS).
De spesifikke bransjereglene, kontrollmekanismene og godkjenningene gjør at beskyttelsesnivået blir like bra eller bedre enn det som er påkrevd etter loven.