Gedragscodes onder de nieuwe privacywetgeving

De nieuwe privacywetgeving moedigt federaties en sectororganisaties uitdrukkelijk aan om instrumenten zoals gedragscodes in te zetten. Dergelijke instrumenten laten toe rekening te houden met de specifieke kenmerken van de diverse sectoren in het licht van de toepassing van de nieuwe wetgeving. Bovendien kunnen gedragscodes door verwerkingsverantwoordelijken en verwerkers gebruikt worden als element om aan te tonen dat zij hun verplichtingen naleven.

Vanaf 25 mei 2018 kunnen verenigingen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen gedragscodes ter goedkeuring voorleggen aan de nationale toezichthoudende autoriteit.

Wanneer een ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, is het de Europese Commissie die finaal goedkeuring kan hechten aan de gedragscode, mits gunstig advies van het Europees Comité voor gegevensbescherming dat nagaat of de gedragscode voldoende passende waarborgen biedt in het licht van de vereisten gesteld door de nieuwe privacywetgeving.

De Werkgroep Artikel 29 is momenteel richtlijnen aan het voorbereiden om duidelijkheid, transparantie en harmonisatie te realiseren, zowel op vlak van procedure als op vlak van inhoud van gedragscodes.

De Privacycommissie wenst in afwachting alvast volgende fundamentele principes voor de ontwikkeling van elke gedragscode in de verf te zetten. Elke gedragscode moet:

  • in overeenstemming zijn met de nieuwe privacywetgeving en, indien van toepassing, met nationale wetgeving ter implementatie van deze nieuwe wetgeving. In geen geval mogen gedragscodes bepalingen bevatten die incoherent zijn met de nieuwe wetgeving.
  • ertoe dienen om specifiek en precies uit te leggen hoe de nieuwe privacywetgeving toegepast zal worden;
  • een toegevoegde waarde hebben ten aanzien van de bepalingen van de nieuwe privacywetgeving zelf, door regels te bevatten die duidelijke en praktische oplossingen bieden voor de omstandigheden van en de vragen die leven bij de entiteiten onderworpen aan de gedragscode;
  • vergezeld zijn van een toelichting die de specifieke kenmerken beschrijft van de sector in kwestie en de vraagstukken die de gedragscode aanpakt, met inbegrip van een duiding van de meerwaarde van elke clausule van de gedragscode voor de sector;
  • een helder afgelijnd toepassingsgebied hebben. De ontwerp gedragscode moet duidelijk en precies bepalen welke de verwerkingen van persoonsgegevens zijn (of de kenmerken daarvan) waarop deze van toepassing is, net als de categorieën van verwerkingsverantwoordelijken of verwerkers erdoor gevat;
  • het orgaan  aanduiden dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt om het in staat te stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de gedragscode door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden.