De European Data Protection Board (EDPB) hield in september haar 37e bijeenkomst. En, er is hard gewerkt door de leden. Nieuwe richtsnoeren voor de invulling van de AVG en 2 taskforces EDPB waren het resultaat. Hierbij een overzicht van de belangrijkste richtsnoeren die verder invulling aan de AVG geven en de taskforces die opgericht zijn.
Richtsnoeren voor de begrippen verwerker en verwerkingsverantwoordelijke
De EDPB kwam met richtsnoeren voor de interpretatie van deze begrippen.
In de richtsnoeren staat dat het concept van verantwoordelijke breed geïnterpreteerd moet worden. Dit houdt onder meer in dat de verwerkingsverantwoordelijke niet per se toegang hoeft te hebben tot de verwerkte persoonsgegevens. Daarnaast benadrukt het EDPB in de richtsnoeren dat de verwerkingsverantwoordelijke zowel het doel als de middelen van verwerking moet bepalen.
De verwerker mag volgens het EDPB maar een beperkte keuzevrijheid hebben bij de verwerking. Hij moet zich houden aan de instructies van de verwerkingsverantwoordelijke om schending van de AVG te voorkomen. De verwerker kan vooraf bepalen hoe zijn dienstverlening eruit gaat zien maar de verantwoordelijke heeft het laatste woord bij het bepalen van het doel van het verwerkingsproces. De verwerkingsverantwoordelijke blijft bovendien bevoegd om in een later stadium verandering van de verwerkingswijze te eisen.
Uit de richtsnoeren blijkt dat verwerkingsverantwoordelijken enkel verwerkers mogen inzetten die voldoende technische en organisatorische waarborgen bieden. De verwerkingsverantwoordelijke moet bij het kiezen van een verwerker letten op:
- de expertise
- betrouwbaarheid
- financiële middelen
van de verwerker.
Daarnaast staat in de richtsnoeren dat bepaalde waarborgen en regels moeten worden opgenomen in de verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker. Alleen bepalingen uit de AVG overnemen ter bescherming van gegevens voldoet niet. De richtsnoeren eisen specifiekere en concretere informatie over de toepassing van de betreffende AVG-bepalingen in de praktijk.
Voor gezamenlijk verantwoordelijken gelden nog een aantal extra verplichtingen. Het EDPB raadt aan om de gezamenlijke verantwoordelijkheid vast te leggen in een bindende overeenkomst. Deze overeenkomst moet bepaalde verplichtingen uit de AVG bevatten, bijvoorbeeld het toepassen van de fundamentele principes van gegevensbescherming. Daarnaast moet ook de taakverdeling van de verantwoordelijken in de overeenkomst worden opgenomen. Tot slot moeten de gezamenlijk verantwoordelijken de ‘essentie van de overeenkomst’ ter beschikking stellen aan personen wiens gegevens worden verwerkt. In de richtsnoeren wordt nader toegelicht wat er wordt bedoeld met essentie van de overeenkomst.
Richtsnoeren voor “social media en targeting”
De richtsnoeren “social media en targeting” beschrijven de rollen en verantwoordelijkheden van social media platforms, gebruikers en adverteerders ( in de richtsnoeren “targeteers”genoemd).
De guidelines gaan in op targeting op basis van
- informatie die de gebruiker/bezoeker zelf verstrekt (bijvoorbeeld het toevoegen van de geboortedatum aan het LinkedIn-profiel),
- targeten op basis van ‘geobserveerde data’ – dat wil zeggen data die de gebruiker verstrekt in het kader van een dienst of apparaat (bijvoorbeeld op basis van GPS locatie, omdat er gebruik wordt gemaakt van een mobiele applicatie)
- het targeten op basis van afgeleide gegevens. Dit zijn bijvoorbeeld gegevens die worden waargenomen door webbrowsing en netwerkverbindingen.
De EDPB gaat per manier van targeten in op de privacyrechtelijke rol van de betrokken partijen en de grondslag voor de verwerking. Interessant is dat de guidelines duidelijk maken dat het social media platform en de adverteerder veelal als ‘gezamenlijke verwerkingsverantwoordelijken’ kunnen worden aangemerkt. Opmerkelijk is dat de EDPB bevestigt dat de relevante grondslagen in deze situatie ‘toestemming’ en de ‘gerechtvaardigd belang’ zijn,
Naast nieuwe richtsnoeren ook taskforces European Data Protection Board.
Nieuwe richtsnoeren en taskforces van de EDPB: niet alleen richtsnoeren maar ook 2 taskforces die zich met speciale onderwerpen gaan bezighouden.
Naast deze richtsnoeren die overigens nog ter consultatie open staan, heeft de EDPB ook een tweetal taskforces opgericht.
De eerste is een “taskforce on complaints” gaat zich bezighouden met de 101 klachten die noybe.eu indiende over het feit dat Google en Facebook ondanks het einde het Privacy Shield nog steeds persoonsgegevens van Europeanen naar de V.S. transporteren.
De tweede taskforce gaat zich bezighouden met aanvullende maatregelen die data exporteurs en imporrteurs moeten treffen om de persoonsgegevens veilig te transporteren.
