Gedragscodes

Stelt de Autoriteit zelf gedragscodes op in het licht van de nieuwe privacywetgeving?

Nee. De Autoriteit, als toezichthoudende autoriteit, kan zelf geen gedragscodes opstellen. Zij dient wel het opstellen van gedragscodes door federaties en sectoroganisaties aan te moedigen.

De toezichthoudende autoriteit speelt een rol in de goedkeuring van gedragscodes die haar worden voorgelegd en de accreditatie van een ‘toezichthoudend orgaan’, belast met het toezicht op de naleving van een gedragscode.

Let wel, gedragscodes zijn slechts één element in de beoordeling van ‘compliance’ door de toezichthoudende autoriteit.

Bron: Artikel 40 en Artikel 41 van de AVG

Wat is het nut van een gedragscode?

De AVG moedigt federaties en sectororganisaties uitdrukkelijk aan om instrumenten zoals gedragscodes in te zetten. Dergelijke instrumenten laten toe rekening te houden met de specifieke kenmerken van de diverse sectoren in het licht van de toepassing van de wetgeving. Bovendien kunnen gedragscodes door verwerkingsverantwoordelijken en verwerkers gebruikt worden als element om aan te tonen dat zij hun verplichtingen naleven.

Bron: Artikel 40 van de AVG

Aan wie moeten de gedragscodes voorgelegd worden ter goedkeuring?

De federaties en sectororganisaties kunnen de ontwerpgedragscode ter goedkeuring voorleggen aan de Autoriteit.

Wanneer een ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, is het de Europese Gegevensbeschermingsautoriteit die finaal de gedragscode goedkeurt, mits gunstig advies van het Europees Comité voor gegevensbescherming. Het Comité zal nagaan of de gedragscode voldoende passende waarborgen biedt in het licht van de vereisten gesteld door de AVG.

Bron: Artikel 41 van de AVG

Wat moet een gedragscode bevatten?

Het Europees comite voor gegevensbescherming heeft richtlijnen uitgebracht om zowel procedureel als inhoudelijk duidelijkheid, transparantie en harmonisering te realisere in de gedragscodes.

De Autoriteit wenst ook volgende fundamentele principes voor de ontwikkeling van elke gedragscode in de verf te zetten. Elke gedragscode moet:

  • in overeenstemming zijn met de AVG en, indien van toepassing, met de nationale wetgeving die de AVG implementeert. In geen geval mogen gedragscodes bepalingen bevatten die incoherent zijn met de AVG.
  • ertoe dienen om specifiek en precies uit te leggen hoe de AVG toegepast zal worden;
  • een toegevoegde waarde hebben ten aanzien van de bepalingen van de AVG zelf, door regels te bevatten die duidelijke en praktische oplossingen bieden voor de omstandigheden van en de vragen die leven bij de entiteiten onderworpen aan de gedragscode;
  • vergezeld zijn van een toelichting die de specifieke kenmerken beschrijft van de sector in kwestie en de vraagstukken die de gedragscode aanpakt, met inbegrip van een duiding van de meerwaarde van elke clausule van de gedragscode voor de sector;
  • een helder afgelijnd toepassingsgebied hebben. De ontwerp gedragscode moet duidelijk en precies bepalen welke de verwerkingen van persoonsgegevens zijn (of de kenmerken daarvan) waarop deze van toepassing is, net als de categorieën van verwerkingsverantwoordelijken of verwerkers die aan de gedragscode onderworpen zijn;
  • het orgaan aanduiden dat over de passende deskundigheid beschikt met betrekking tot het onderwerp van de gedragscode om het in staat te stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de gedragscode door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden.
Ik ben een verwerker en heb me aangesloten bij een goedgekeurde gedragscode of bij een goedgekeurd certificeringsmechanisme. Ben ik dan nog verplicht een overeenkomst te sluiten met de verwerkingsverantwoordelijken?

Ja. De afspraken tussen de verwerker en verwerkingsverantwoordelijke moeten op een bindende wijze vastgelegd worden en moeten de omvang van de opdracht bepalen. De minimale inhoud van de overeenkomst staat in de AVG beschreven.

In de overeenkomst kan verwezen worden naar de aansluiting bij de goedgekeurde gedragscode of het goedgekeurd certificeringsmechanisme als element om aan te tonen welke garanties worden geboden.

De aansluiting bij de goedgekeurde gedragscode of het goedgekeurd certificeringsmechanisme vervangt de overeenkomst niet.

Bron: artikel 28.3 en 28.5 AVG