GDPR: code of conduct Willem Debeuckelaere 07-09-2017
Code of conduct
Transmission of the opinion to the Commission COC draft codes need to be submitted to the DPA for approval, registration and publication. Associations and representative bodies of controllers or processors may prepare codes of conduct for the purpose of specifying the application of this Regulation. Only 1 MS the DPA shall, before approving the draft code, submit it to the EDPB which shall provide an opinion on whether the draft code complies with GDPR Several MS How to have a CoC? Opinion + Opinion - Transmission of the opinion to the Commission With general validity
Monitoring of approved Codes (Art. 41) A code of conduct shall contain mechanisms which enable the accredited body to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of the competent DPAs (40.4). The Body The monitoring of compliance with a CoC may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the Code and is accredited for that purpose by the competent DPA
Actions that can be taken by the accredited body Without prejudice to the tasks and powers of the competent DPA An accredited body shall take appropriate action in case of infringement of the code by a controller or processor It shall inform the DPA of such actions taken and the reasons for taking them
Principes en goedkeuringsmechanisme voor codes (art. 40) Het mechanisme van de gedragscodes waas reeds voorzien in de Richtlijn 95/46. Het wordt thans nog verder uitgewerkt in de GDPR. A. De gebruikte gedragscodes om de toepassingsmodaliteiten van de GDPR te verduidelijken In deze hypothese wordt bij de code aangesloten door een verwerkingsverantwoordelijke of een verwerker die onderworpen is aan de GDPR. De gedragscode is een manier om de eerbiediging van de GDPR aan te tonen maar zij vermindert niet de verantwoordelijkheid van de verwerkingsverantwoordelijken of verwerkers wat de naleving van de GDPR betreft en doet geen afbreuk aan de opdrachten en bevoegdheden van de toezichthoudende autoriteiten. Bij de evaluatie van het bedrag van sancties kan rekening gehouden worden met de aansluiting bij een gedragscode.
Principes en goedkeuringsmechanisme voor codes (art. 40)
Principes en goedkeuringsmechanisme voor codes (art. 40) In dat geval is het advies hetzij positief, hetzij negatief. Ingeval van negatieve beoordeling kan de code niet worden goedgekeurd. Ingeval van positief advies legt de EDPS zijn advies voor aan de Europese Commissie. De Europese Commissie kan bij uitvoeringshandeling, beslissen dat de gedragscode, wijziging of uitbreiding die haar zijn voorgelegd, binnen de Unie algemeen geldig zijn. De Europese Commissie zal eveneens instaan voor de openbaarmaking van de goedgekeurde codes waarvoor zij heeft beslist dat ze algemeen geldig zijn. De EDPS verzamelt alle goedgekeurde gedragscodes, wijzigingen en uitbreidingen in een register en maakt deze via geëigende kanalen openbaar.
Toezicht op goedgekeurde gedragscodes (art. 41) Het toezicht op de naleving van de gedragscode kan worden uitgevoerd door een orgaan dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd. Artikel 40.4 verduidelijkt dat de gedragscode mechanismen moet omvatten die het orgaan toelaten de verplichte controle uit te voeren op de naleving van deze bepalingen door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden.
Welke maatregelen kunnen door het orgaan worden genomen? Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit kan het orgaan ingeval van schending van de code door een verwerkingsverantwoordelijke of verwerker passende maatregelen nemen en kan onder meer de betrokken verwerkingsverantwoordelijke of verwerker schorsen of uitsluiten van toepassing van de gedragscode. Het orgaan stelt de bevoegde toezichthoudende autoriteit in kennis van die maatregelen en van de redenen daarvoor.
Hoe wordt het orgaan erkend? Voorwaarden Een orgaan kan worden geaccrediteerd om toezicht te houden op de naleving van een gedragscode indien het: zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de gedragscode heeft aangetoond; aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden. procedures heeft vastgesteld op grond waarvan het: kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen, toezicht kan houden op de naleving van de bepalingen van de gedragscode door deze laatsten en het de werking van de gedragscode op gezette tijden kan toetsen; procedures en structuren heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over de wijze waarop daaraan uitvoering is of wordt gegeven door een verwerkingsverantwoordelijke of verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken.
Criteria De bevoegde toezichthoudende autoriteit legt het ontwerp van accreditaiecriteria van een orgaan voor aan de EDPS in toepassing van het coherentiecontrolemechanisme. Intrekking De bevoegde toezichthoudende autoriteit trekt de accreditatie van een orgaan in indien de voorwaarden voor accreditatie niet of niet meer worden vervuld of indien de door het orgaan genomen maatregelen inbreuk maken op deze verordening. Belangrijke opmerking: Artikel 41 geldt niet voor de verwerking door overheidsinstanties en -organen. De vereiste van monitoring van de gedragscodes is evenwel eveneens voorzien in artikel 40.
B. De gedragscodes als passende waarborgen voor internationale doorgiften. In dat geval treedt een verantwoordelijke voor de verwerking of verwerker in een derde land dat niet onderworpen is aan de GDPR eveneens toe tot de gedragscode. De goedgekeurde gedragscode zal voorgesteld worden als passende waarborg voor de doorgifte van gegevens naar derde landen. In deze hypothese zijn bijkomende voorwaarden vereist. De gedragscode moet vergezeld zijn van een bindende en afdwingbare toezegging van de verantwoordelijke voor de verwerking of de verwerker in een derde land om passende waarborgen toe te passen, met inbegrip voor de rechten van de betrokkenen.