Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679

Versie 2.0

4 juni 2019

Translations proofread by EDPB Members. This language version has not yet been proofread.

Versiegeschiedenis

Versie 2.0	4 juni 2019	Vaststelling van de richtsnoeren na openbare raadpleging
Versie 1.0	12 februari 2019	Vaststelling van de richtsnoeren voor openbare raadpleging

Inhoudsopgave

........................................................................................................................................ 5

1 INLEIDING	1 INLEIDING	1 INLEIDING
1.1	1.1	Toepassingsgebied van deze richtsnoeren .............................................................................. 6
2 DEFINITIES ........................................................................................................................................ 7	2 DEFINITIES ........................................................................................................................................ 7	2 DEFINITIES ........................................................................................................................................ 7
3 WAT ZIJN GEDRAGSCODES? ............................................................................................................ 7	3 WAT ZIJN GEDRAGSCODES? ............................................................................................................ 7	3 WAT ZIJN GEDRAGSCODES? ............................................................................................................ 7
4 WAT ZIJN DE VOORDELEN VAN GEDRAGSCODES? .......................................................................... 8	4 WAT ZIJN DE VOORDELEN VAN GEDRAGSCODES? .......................................................................... 8	4 WAT ZIJN DE VOORDELEN VAN GEDRAGSCODES? .......................................................................... 8
5 AANVAARDBAARHEID VAN EEN ONTWERPGEDRAGSCODE ........................................................... 11	5 AANVAARDBAARHEID VAN EEN ONTWERPGEDRAGSCODE ........................................................... 11	5 AANVAARDBAARHEID VAN EEN ONTWERPGEDRAGSCODE ........................................................... 11
5.1	5.1	Toelichting en ondersteunende documentatie ..................................................................... 11
5.2	5.2	Vertegenwoordiger ................................................................................................................ 12
5.3	5.3	Toepassingsgebied van de verwerking .................................................................................. 12
5.4	5.4	Territoriaal toepassingsgebied ............................................................................................... 12
5.5	5.5	Indiening bij een bevoegde TA ............................................................................................... 13
5.6	5.6	Toezicht op mechanismen ..................................................................................................... 13
5.7	5.7	Toezichthoudend orgaan ....................................................................................................... 13
5.8	5.8	Raadpleging ........................................................................................................................... 13
5.9	5.9	Nationale wetgeving .............................................................................................................. 14
5.10	5.10	Taal ........................................................................................................................................ 14
5.11	5.11	Controlelijst ........................................................................................................................... 14
6 CRITERIA VOOR HET GOEDKEUREN VAN GEDRAGSCODES ............................................................ 14	6 CRITERIA VOOR HET GOEDKEUREN VAN GEDRAGSCODES ............................................................ 14	6 CRITERIA VOOR HET GOEDKEUREN VAN GEDRAGSCODES ............................................................ 14
6.1	6.1	Voorziet in een bepaalde behoefte ....................................................................................... 15
6.2	6.2	Draagt bij tot de doeltreffende uitvoering van de AVG ......................................................... 15
6.3	6.3	Specificeert de toepassing van de AVG .................................................................................. 16
6.4	6.4	Bevat voldoende waarborgen ................................................................................................ 17
6.5	6.5	Bevat mechanismen die doeltreffend toezicht mogelijk maken ............................................ 17
7 INDIENING, AANVAARDBAARHEID EN GOEDKEURING (NATIONALE GEDRAGSCODE) ................... 18	7 INDIENING, AANVAARDBAARHEID EN GOEDKEURING (NATIONALE GEDRAGSCODE) ................... 18	7 INDIENING, AANVAARDBAARHEID EN GOEDKEURING (NATIONALE GEDRAGSCODE) ................... 18
7.1	7.1	Indiening ................................................................................................................................ 18
7.2	7.2	Aanvaardbaarheid van een gedragscode ............................................................................... 18
7.3	7.3	Goedkeuring .......................................................................................................................... 19
8	INDIENING, AANVAARDBAARHEID EN GOEDKEURING (TRANSNATIONALE GEDRAGSCODE) ........ 19	INDIENING, AANVAARDBAARHEID EN GOEDKEURING (TRANSNATIONALE GEDRAGSCODE) ........ 19
8.1	8.1	Indiening ................................................................................................................................ 19
8.2	8.2	Aanvaardbaarheid van een gedragscode ............................................................................... 20
8.3	8.3	Samenwerking ....................................................................................................................... 20
8.4	8.4	Weigering .............................................................................................................................. 21

8.5	8.5	Voorbereiding voor voorlegging aan het Comité ................................................................... 21
8.6	Het Comité	............................................................................................................................. 21
8.7 Goedkeuring ..........................................................................................................................	8.7 Goedkeuring ..........................................................................................................................	21
9 BETROKKENHEID ............................................................................................................................	9 BETROKKENHEID ............................................................................................................................	22
10 DE ROL VAN DE COMMISSIE ......................................................................................................	10 DE ROL VAN DE COMMISSIE ......................................................................................................	22
11 TOEZICHT OP EEN GEDRAGSCODE .............................................................................................	11 TOEZICHT OP EEN GEDRAGSCODE .............................................................................................	22
12 ACCREDITATIEVEREISTEN VOOR TOEZICHTHOUDENDE ORGANEN ...........................................	12 ACCREDITATIEVEREISTEN VOOR TOEZICHTHOUDENDE ORGANEN ...........................................	23
12.1	Onafhankelijkheid ..................................................................................................................	23
12.2	Belangenconflict ....................................................................................................................	24
12.3	Deskundigheid .......................................................................................................................	25
12.4	Vaste procedures en structuren ............................................................................................	25
12.5	Transparante klachtenbehandeling .......................................................................................	26
12.6	Communicatie met de bevoegde toezichthoudende autoriteit .............................................	27
12.7	Toetsingsmechanismen .........................................................................................................	27
12.8	Rechtsstatus ...........................................................................................................................	27
13	GOEDGEKEURDE GEDRAGSCODES .............................................................................................	27
14	INTREKKING VAN DE ACCREDITATIE VAN EEN TOEZICHTHOUDEND ORGAAN ..........................	28
15	GEDRAGSCODES IN DE OPENBARE SECTOR ...............................................................................	28
AANHANGSEL 1 - Onderscheid tussen nationale en transnationale gedragscodes ...............................	AANHANGSEL 1 - Onderscheid tussen nationale en transnationale gedragscodes ...............................	30
AANHANGSEL 2 - Een bevoegde TA kiezen ............................................................................................	AANHANGSEL 2 - Een bevoegde TA kiezen ............................................................................................	31
AANHANGSEL 3 - Checklist voor indiening .............................................................................................	AANHANGSEL 3 - Checklist voor indiening .............................................................................................	32
AANHANGSEL 4 - Stroomschema TRANSNATIONALE CODE	AANHANGSEL 4 - Stroomschema TRANSNATIONALE CODE

.................................................................. 33

Het Europees Comité voor gegevensbescherming

Gezien artikel 70, lid 1, onder n), en de artikelen 40 en 41 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna "AVG" genoemd),

Gezien de EER-overeenkomst en in het bijzonder bijlage XI bij, en protocol 37 van die overeenkomst, als gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018,

Gezien de artikelen 12 en 22 van het reglement van orde van het Gemengd Comité van de EER van 25 mei 2018,

HEEFT HET VOLGENDE ADVIES VASTGESTELD:

1 INLEIDING

1. De algemene verordening gegevensbescherming 1 (hierna "AVG" genoemd) is op 25 mei 2018 in werking getreden. Een van de belangrijkste doelstellingen van de AVG is te zorgen voor een consistent niveau van gegevensbescherming in heel de Europese Unie en te voorkomen dat het vrije verkeer van persoonsgegevens op de interne markt wordt gehinderd door verschillen 2 . De AVG gaat uit van het beginsel van de verantwoordingsplicht, op grond waarvan de verwerkingsverantwoordelijken verantwoordelijk zijn voor de naleving van de AVG en die naleving moeten kunnen aantonen 3 . De bepalingen van de artikelen 40 en 41 van de AVG over gedragscodes vormen een praktische, in beginsel kosteneffectieve en zinvolle manier om een grotere mate van consistentie te bereiken in de bescherming van rechten op gegevensbescherming. Gedragscodes kunnen fungeren als mechanisme om naleving van de AVG aan te tonen 4 . Met name kunnen zij ook bijdragen tot het wegnemen van de eventuele verschillen tussen de lidstaten in de manier waarop zij gegevensbeschermingsrecht toepassen 5 . Daarnaast bieden zij bepaalde sectoren de mogelijkheid na te denken over gebruikelijke gegevensverwerkingsactiviteiten en praktische maatwerkregels voor gegevensbescherming die voorzien in de behoeften van de sector en beantwoorden aan de eisen van de AVG 6 .

3 Zie artikel 5, lid 2, van de AVG.

2 Zie overweging 13 van de AVG.

Dit is met name het geval als een gedragscode betrekking heeft op verwerkingsactiviteiten in diverse lidstaten. 6 Gedragscodes hoeven niet per se op één specifieke sector van toepassing te zijn, maar kunnen bijvoorbeeld ook gelden voor verschillende sectoren met een gemeenschappelijke verwerkingsactiviteit en dezelfde verwerkingskenmerken en -behoeften. Wanneer een gedragscode een sectoroverschrijdende werking heeft,

2. De lidstaten, de toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming (hierna het "Comité" genoemd) en de Europese Commissie (hierna de "Commissie" genoemd) zijn verplicht het opstellen van gedragscodes te bevorderen om bij te dragen tot de juiste toepassing van de AVG 7 . Deze richtsnoeren dienen ter ondersteuning van gedragscodehouders bij het opstellen, wijzigen of uitbreiden van gedragscodes.

1.1 Toepassingsgebied van deze richtsnoeren

3. Het doel van deze richtsnoeren is een praktische leidraad en interpretatieve hulp te bieden bij de toepassing van de artikelen 40 en 41 van de AVG. Zij zijn bedoeld als toelichting op de regels en procedures rond de indiening, goedkeuring en bekendmaking van gedragscodes op nationaal en op Europees niveau. In de richtsnoeren worden de minimumeisen beschreven waaraan een gedragscode moet voldoen voordat een bevoegde toezichthoudende autoriteit (hierna "bevoegde TA" genoemd) de gedragscode grondig toetst en evalueert 8 . Daarnaast bevatten zij de inhoudelijke factoren die in acht moeten worden genomen bij het vaststellen of een bepaalde gedragscode geschikt is voor, en bijdraagt tot de juiste en doeltreffende uitvoering 9 van de AVG. Tot slot wordt in de richtsnoeren uiteengezet welke eisen gelden voor het doeltreffende toezicht op de naleving van een gedragscode 10 .
4. Voorts zijn deze richtsnoeren bedoeld als duidelijk kader voor alle bevoegde TA's, het Comité en de Commissie met het oog op een consequente evaluatie van de gedragscodes en stroomlijning van de beoordelingsprocedures. Dat kader zou tevens moeten zorgen voor meer transparantie door te waarborgen dat gedragscodehouders die goedkeuring van een gedragscode willen aanvragen, volledig bekend zijn met het proces en de formele eisen en de toepasselijke drempels voor goedkeuring begrijpen.
5. Het Comité zal in een apart document ingaan op richtsnoeren voor gedragscodes als instrument voor doorgifte van gegevens in de zin van artikel 40, lid 3, van de AVG.
6. Alle eerder goedgekeurde gedragscodes 11 zullen opnieuw moeten worden getoetst en geëvalueerd overeenkomstig de eisen van de AVG, waarna zij opnieuw worden ingediend voor goedkeuring overeenkomstig de artikelen 40 en 41 en de in dit document beschreven procedures.

kunnen op grond van die code meerdere toezichthoudende organen worden aangewezen. In dat geval moet in de gedragscode ondubbelzinnig zijn omschreven welke reikwijdte de functies van het toezichthoudend orgaan zullen hebben, met andere woorden wat de sectoren zijn met betrekking waartoe elk toezichthoudend orgaan zijn functies op grond van artikel 41 en de mechanismen waarover elk toezichthoudend orgaan beschikt, zal uitoefenen. In dat opzicht gelden de desbetreffende onderdelen van deze richtsnoeren waarin de verantwoordelijkheden, verplichtingen en accreditatievereisten voor toezichthoudende organen zijn vastgelegd, afzonderlijk voor elk toezichthoudend orgaan dat op grond van de gedragscode is benoemd.

7 Artikel 40, lid 1, van de AVG.

11 Door nationale toezichthoudende autoriteiten voor gegevensbescherming of de Groep van artikel 29 vóór de AVG en deze richtsnoeren.

2 DEFINITIES

Accreditatie: de vaststelling dat het voorgestelde toezichthoudend orgaan voldoet aan de eisen van artikel 41 van de AVG voor het uitoefenen van toezicht op naleving van een gedragscode. Deze verificatie wordt verricht door de toezichthoudende autoriteit waarbij goedkeuring van de gedragscode is aangevraagd (artikel 41, lid 1). De accreditatie van een toezichthoudend orgaan geldt alleen voor een specifieke gedragscode 12 .

Gedragscodehouders: verenigingen of andere organen die hun gedragscode 13 opstellen en indienen en die beschikken over een wettelijke status in overeenstemming met de gedragscode en het nationaal recht.

Bevoegde TA: de toezichthoudende autoriteit die bevoegd is op grond van artikel 55 van de AVG. Toezichthoudend orgaan: een of meer organen/comités (binnen of buiten de gedragscodehouders 14 ) die een toezichthoudende functie vervullen om te verifiëren en te waarborgen dat de gedragscode wordt nageleefd overeenkomstig artikel 41.

Betrokken TA: heeft dezelfde betekenis als die in artikel 4, lid 22, van de AVG.

Nationale gedragscode: een gedragscode die betrekking heeft op verwerkingsactiviteiten binnen één lidstaat.

Transnationale gedragscode: een gedragscode die betrekking heeft op verwerkingsactiviteiten in meer dan een lidstaat.

3 WAT ZIJN GEDRAGSCODES?

7. AVG-gedragscodes zijn vrijwillige instrumenten voor verantwoording waarin per categorie verwerkingsverantwoordelijken en verwerkers specifieke regels voor gegevensbescherming worden beschreven. De gedragscodes kunnen als instrument voor verantwoording nuttig en doeltreffend zijn door gedetailleerd te beschrijven wat de meest passende juridische en ethische gedragingen van een sector zijn. Wat gegevensbescherming betreft, kunnen gedragscodes dus dienst doen als een regelboek voor verwerkingsverantwoordelijken en verwerkers die AVRconforme gegevensverwerkingsactiviteiten ontwerpen en uitvoeren overeenkomstig de beginselen van gegevensbescherming van het Europees en nationaal recht.
8. Handelsverenigingen of organen die een sector vertegenwoordigen, kunnen gedragscodes opstellen als instrument voor hun sector om de AVG doelmatig en potentieel kosteneffectief na te leven. Zoals is bepaald in de niet-limitatieve lijst in artikel 40, lid 2, van de AVG, kunnen gedragscodes met name ingaan op onderwerpen zoals:
9. GLYPH<UNKNOWN> behoorlijke en transparante verwerking;
10. GLYPH<UNKNOWN> gerechtvaardigde belangen van verwerkingsverantwoordelijken in specifieke contexten;
11. GLYPH<UNKNOWN> de verzameling van gegevens; de pseudonimisering van persoonsgegevens;

12 Een toezichthoudend orgaan kan echter voor meer dan één gedragscode zijn geaccrediteerd, mits het voldoet aan de eisen voor accreditatie.

13 Overeenkomstig overweging 98 van de AVG.

• GLYPH<UNKNOWN> de aan natuurlijke personen verstrekte informatie en de uitoefening van rechten van natuurlijke personen;
• GLYPH<UNKNOWN> de aan kinderen verstrekte informatie en de bescherming van kinderen (inclusief mechanismen om ouderlijke toestemming te krijgen);
• GLYPH<UNKNOWN> technische en organisatorische maatregelen, inclusief gegevensbescherming door ontwerp en door standaardinstellingen en beveiligingsmaatregelen;
• GLYPH<UNKNOWN> kennisgeving van inbreuk;
• GLYPH<UNKNOWN> gegevensdoorgiften buiten de EU; of
• GLYPH<UNKNOWN> procedures voor geschillenbeslechting.

9. Met de AVG wordt de gegevensbeschermingsrichtlijn (95/46/EG) ingetrokken en een specifieker, gedetailleerder kader geboden voor gedragscodes, de eisen waaraan moet worden voldaan en de procedures voor het verkrijgen van goedkeuring, evenals de registratie, bekendmaking en bevordering ervan na goedkeuring. Samen met deze richtsnoeren dient dat kader ter aanmoediging van gedragscodehouders om voor hun verwerkingssector rechtstreeks bij te dragen tot de opstelling van normen en regels voor de bescherming van gegevens.
10. Het is belangrijk op te merken dat gedragscodes een van een aantal vrijwillige instrumenten zijn uit een reeks instrumenten voor de verantwoording van gegevensbescherming die door de AVG worden geboden, zoals gegevensbeschermingseffectbeoordelingen 15 en certificering 16 . Dat zijn mechanismen waarvan organisaties gebruik kunnen maken om aan te tonen dat zij de AVG naleven 17 .

4 WAT ZIJN DE VOORDELEN VAN GEDRAGSCODES?

11. Gedragscodes bieden de mogelijkheid een reeks voorschriften vast te stellen die ertoe bijdragen dat de AVG op een praktische, transparante en potentieel kosteneffectieve wijze wordt toegepast, rekening houdend met de nuances voor een bepaalde sector en/of de verwerkingsactiviteiten daarvan. Gedragscodes kunnen voor verwerkingsverantwoordelijken en verwerkers worden opgesteld op grond van de specifieke kenmerken van de verwerking in bepaalde sectoren en de specifieke behoeften van micro-, kleine en middelgrote ondernemingen 18 . Gedragscodes kunnen een bijzonder belangrijk instrument zijn voor zowel kmo's als micro-ondernemingen 19 , want daarmee krijgen zij een mechanisme in handen om kosteneffectiever aan de eisen van gegevensbescherming te voldoen.

17 Het naleven van een gedragscode is voor verwerkingsverantwoordelijken/verwerkers op zich geen garantie voor naleving van de AVG of vrijwaring tegen sancties of aansprakelijkheid krachtens de AVG.

19 In het bijzonder worden in artikel 40, lid 1, van de AVG gedragscodes genoemd als oplossing om te voorzien in de behoeften van zulke ondernemingen.

Zo zouden micro-ondernemingen die zich bezighouden met vergelijkbare onderzoeksactiviteiten op gezondheidsgebied, via hun respectieve verenigingen de handen ineen kunnen slaan om gezamenlijk een gedragscode tot stand te brengen voor de verzameling en verwerking van hun gezondheidsgegevens in plaats van te proberen een dergelijke vergaande analyse van gegevensbescherming zelf uit te voeren. Gedragscodes bieden ook toezichthoudende autoriteiten voordelen, omdat zij via de gedragscodes meer begrip van, en inzicht in de gegevensverwerkingsactiviteiten van een specifieke beroepsgroep kunnen krijgen.

12. Gedragscodes kunnen verwerkingsverantwoordelijken en verwerkers leidraad bieden bij de naleving van de AVG door in te gaan op zaken zoals een behoorlijke en transparante verwerking, gerechtvaardigde belangen, maatregelen voor beveiliging en gegevensbescherming door ontwerp en door standaardinstellingen en verplichtingen van de verwerkingsverantwoordelijke. Gedragscodes staan alle verwerkingssectoren ter beschikking en het toepassingsgebied ervan kan zo beperkt of uitgebreid zijn als nodig is voor de betrokken sector 20 , mits de gedragscode bijdraagt tot de juiste en doeltreffende uitvoering van de AVG 21 .

Er kan bv. goedkeuring worden aangevraagd voor een reeks voorschriften die ervoor zouden moeten zorgen dat een bepaalde liefdadigheidssector kan waarborgen dat de verwerkingsregeling in de sector behoorlijk en transparant is. Diezelfde sector zou er ook voor kunnen kiezen om met behulp en onder juiste toepassing van een groot aantal bepalingen van de AVG een gedragscode op te stellen voor al zijn verwerkingsactiviteiten, van de rechtsgrond voor het verzamelen van persoonsgegevens tot het kennisgeven van inbreuken op persoonsgegevens.

13. Gedragscodes kunnen voorzien in een zekere co-regulering, met als potentieel gevolg dat verwerkingsverantwoordelijken en verwerkers minder op toezichthouders voor gegevensbescherming zijn aangewezen voor meer op hun verwerkingsactiviteiten afgestemde richtsnoeren.

20 Artikel 40, lid 2, van de AVG heeft betrekking op codes die worden opgesteld door organisaties die "categorieën van verwerkingsverantwoordelijken of verwerkers" vertegenwoordigen. Dit biedt mogelijkheden voor sectoroverschrijdende codes, voor zover praktisch uitvoerbaar, mits aan de criteria ten aanzien van representativiteit is voldaan.

21 Een gedragscode met een beperkt toepassingsgebied moet het voor betrokkenen (en ten genoegen van een bevoegde TA) voldoende duidelijk maken dat het volgen van de gedragscode door verwerkingsverantwoordelijken/verwerkers niet per se volstaat voor naleving van alle wetgeving. Een manier om dit op passende wijze te ondervangen, is te zorgen voor afdoende transparantie ten aanzien van het beperkte toepassingsgebied van de gedragscode tegenover de volgers van de gedragscode en de betrokkenen.

14. Gedragscodes kunnen verwerkingsverantwoordelijken en verwerkers een zekere autonomie en vrijheid geven bij het formuleren en overeenkomen van beste praktijken voor hun sector. Zij kunnen de kans bieden om op bepaalde gebieden verwerkingsactiviteiten volgens beste praktijken te consolideren. Ook kunnen zij voor ondernemingen een essentieel instrument gaan vormen om kritieke problemen in hun verwerkingsprocedures op te lossen en te komen tot betere naleving van de eisen van gegevensbescherming.
15. Gedragscodes kunnen zorgen voor broodnodig vertrouwen en juridische zekerheid in de vorm van praktische oplossingen voor problemen die bepaalde sectoren ondervinden in verband met veelvoorkomende verwerkingsactiviteiten. Zij zetten aan tot een collectieve en consequente benadering van de gegevensverwerkingsbehoeften van een bepaalde sector.
16. Gedragscodes kunnen een doeltreffend instrument zijn om het vertrouwen van betrokkenen te winnen. Gedragscodes lenen zich om een passend antwoord te geven op diverse kwesties die veelal voortkomen uit bezorgdheid onder het algemene publiek of mogelijk zelfs binnen de sector zelf; gedragscodes kunnen dan dienen om tegenover natuurlijke personen de transparantie ten aanzien van de verwerking van hun persoonsgegevens te vergroten.

Zo maakt een goedgekeurde, uitgewerkte gedragscode het mogelijk om bij de verwerking van gezondheidsgegevens voor onderzoeksdoeleinden zorgen weg te nemen over de te treffen maatregelen om naleving van de voorschriften voor de verwerking van gevoelige gezondheidsinformatie te waarborgen. In een dergelijke gedragscode zou het volgende kunnen worden beschreven op een behoorlijke en transparante wijze:

• GLYPH<UNKNOWN> de passende waarborgen voor de aan betrokkenen te verstrekken informatie;
• GLYPH<UNKNOWN> de passende waarborgen voor de van derden verkregen gegevens;
• GLYPH<UNKNOWN> de bekendmaking of verspreiding van de gegevens;
• GLYPH<UNKNOWN> de passende criteria om eerbiediging van het beginsel van gegevensminimalisering te waarborgen;
• GLYPH<UNKNOWN> de specifieke beveiligingsmaatregelen;
• GLYPH<UNKNOWN> passende schema's voor het bewaren van gegevens; en
• GLYPH<UNKNOWN> de mechanismen om de gegevens te beheren bij uitoefening van de rechten door betrokkenen (overeenkomstig de artikelen 32 en 89 van de AVG).

17. Daarnaast kunnen gedragscodes voorzien in een belangrijk en nuttig mechanisme bij internationale doorgifte. De AVG bevat nieuwe bepalingen op grond waarvan derden zich kunnen aansluiten bij goedgekeurde gedragscodes om te voldoen aan wettelijke eisen en te voorzien in passende waarborgen voor de internationale doorgifte van persoonsgegevens naar

derde landen 22 . Bovendien kunnen dergelijke goedgekeurde gedragscodes ertoe leiden dat het met de AVG aan de bredere internationale gemeenschap geboden beschermingsniveau wordt bevorderd en in stand gehouden, en dat duurzame en wettige vormen van internationale doorgifte van persoonsgegevens mogelijk worden. Verder kunnen zij dienen als mechanisme om het vertrouwen van de betrokkenen in de verwerking van gegevens buiten de Europese Economische Ruimte te vergroten en te versterken 23 .

18. Goedgekeurde gedragscodes zijn in beginsel voor zowel verwerkers als verwerkingsverantwoordelijken een doeltreffend instrument voor verantwoording. Zoals is beschreven in overweging 77 en artikel 24, lid 3, van de AVG, wordt aansluiting bij een goedgekeurde gedragscode voor een verwerkingsverantwoordelijke of verwerker onder meer gezien als een geschikte manier om naleving van bepaalde onderdelen of beginselen van de AVG of de AVG als geheel aan te tonen 24 . Aansluiting bij een goedgekeurde gedragscode wordt ook in aanmerking genomen door toezichthoudende autoriteiten wanneer zij specifieke kenmerken van gegevensverwerking zoals de beveiligingsaspecten 25 evalueren, in het kader van een gegevensbeschermingseffectbeoordeling 26 het effect van verwerkingen beoordelen of een administratieve geldboete 27 opleggen. Bij schending van een bepaling van de AVG kan aansluiting bij een goedgekeurde gedragscode duidelijk maken hoe groot de behoefte is aan tussenkomst in de vorm van een doeltreffende, evenredige, afschrikkende administratieve geldboete of andere corrigerende maatregel van de toezichthoudende autoriteit 28 .

5 AANVAARDBAARHEID VAN EEN ONTWERPGEDRAGSCODE 29

19. Er zijn enkele voorwaarden waaraan moet worden voldaan voordat een bevoegde TA kan beginnen met een volledige beoordeling en toetsing van een gedragscode in de zin van artikel 40, lid 5, van de AVG. Het doel daarvan is te bewerkstelligen dat iedere ontwerpgedragscode doelmatig kan worden geëvalueerd. De volgende criteria zijn van toepassing:

5.1 Toelichting en ondersteunende documentatie

20. Iedere voor goedkeuring ingediende ontwerpgedragscode gaat vergezeld van een duidelijke, beknopte toelichting met nadere bijzonderheden over het doel en het toepassingsgebied van de gedragscode 30 en hoe de gedragscode bijdraagt tot de doeltreffende uitvoering van de AVG 31 . Op

23 Het Comité verstrekt aparte richtsnoeren voor het gebruik van gedragscodes als mechanisme om internationale doorgifte te faciliteren.

25 Artikel 32, lid 3, van de AVG.

26 Artikel 35, lid 8, van de AVG.

28 Ibid.

30 De volgende niet-limitatieve categorieën kunnen van toepassing zijn: identificatie van leden, verwerkingsactiviteit, betrokkenen, typen gegevens, jurisdicties, betrokken TA's (artikel 4, lid 22, van de AVG).

29 Dit is tevens van toepassing op alle (nationale en transnationale) gedragscodes, evenals op gewijzigde of uitgebreide gedragscodes.

die manier wordt de behandeling bespoedigd en wordt er gezorgd voor de duidelijkheid die bij elke aanvraag is vereist. Verder wordt de aanvraag indien nodig ondersteund door documentatie ter onderbouwing van de ontwerpgedragscode en de toelichting 32 .

5.2 Vertegenwoordiger

21. Een gedragscode wordt ingediend door een vereniging/consortium van verenigingen of andere organen die categorieën verwerkingsverantwoordelijken of verwerkers (gedragscodehouders) vertegenwoordigen overeenkomstig artikel 40, lid 2. Op een niet-limitatieve lijst van voorbeelden van mogelijke gedragscodehouders zouden kunnen staan: handels- en vertegenwoordigende verenigingen, sectorale organisaties, academische organisaties en belangengroepen.
22. De gedragscodehouders tonen tegenover de bevoegde TA aan dat zij als vertegenwoordigend orgaan doeltreffend zijn en dat zij in staat zijn de behoeften van hun leden te begrijpen en de desbetreffende verwerkingsactiviteit of -sector duidelijk af te bakenen. Afhankelijk van de afbakening en parameters van de betrokken sector kan de representativiteit worden afgeleid uit onder andere de volgende elementen:
23. GLYPH<UNKNOWN> aantal of percentage potentiële bij de gedragscode aangesloten leden onder de verwerkingsverantwoordelijken of verwerkers in die sector;
24. GLYPH<UNKNOWN> ervaring van het vertegenwoordigend orgaan in verband met de sector en verwerkingsactiviteiten voor de gedragscode.

5.3 Toepassingsgebied van de verwerking

23. De ontwerpgedragscode heeft een afgebakend toepassingsgebied waarbinnen de activiteiten (of kenmerken) van de verwerking van de betrokken persoonsgegevens helder en nauwkeurig zijn bepaald, evenals de categorieën verwerkingsverantwoordelijken of verwerkers waarop de gedragscode betrekking heeft. Daaronder vallen de verwerkingskwesties waarvoor met de gedragscode wordt beoogd praktische oplossingen te bieden.

5.4 Territoriaal toepassingsgebied

24. De ontwerpgedragscode vermeldt of het een nationale of transnationale gedragscode betreft, en bevat bijzonderheden over het territoriale toepassingsgebied, onder opgave van alle jurisdicties waarop de gedragscode van toepassing zou moeten zijn. Voor transnationale gedragscodes (evenals gewijzigde of uitgebreide transnationale gedragscodes) wordt een lijst van betrokken TA's bijgevoegd. Aanhangsel 1 geeft een beschrijving van het onderscheid tussen nationale en transnationale gedragscodes.

31 Dit document biedt gedragscodehouders de gelegenheid om aan te tonen waarom en op grond waarvan hun gedragscode zou moeten worden goedgekeurd. Het biedt gedragscodehouders een platform om duidelijk te maken waarom de voorgestelde waarborgen passend zijn en om aan te tonen dat de voorgestelde mechanismen geschikt zijn voor het beoogde doel.

32 Enkele voorbeelden zijn een overzicht van het gevoerde overleg, informatie over leden en onderzoek waaruit blijkt dat de gedragscode nodig is.

5.5 Indiening bij een bevoegde TA

25. De gedragscodehouders zien erop toe dat de toezichthoudende autoriteit die zij kiezen om hun ontwerpgedragscode te laten toetsen, daartoe bevoegd is krachtens artikel 55 van de AVG 33 . Aanhangsel 2 bevat verdere informatie aan de hand waarvan gedragscodehouders een bevoegde TA kunnen kiezen voor een transnationale gedragscode.

5.6 Toezicht op mechanismen

26. In de ontwerpgedragscode worden mechanismen voorgesteld waarmee kan worden toegezien op naleving door de partijen die zich tot toepassing van de gedragscode hebben verplicht 34 . Dat geldt zowel voor gedragscodes in de openbare sector als voor die in de niet-openbare sector.

5.7 Toezichthoudend orgaan

27. In een ontwerpgedragscode voor verwerkingsactiviteiten van particuliere, nietoverheidsinstanties of -organen zijn tevens een of meer toezichthoudende organen vermeld en mechanismen opgenomen waarmee die organen hun functies kunnen uitoefenen overeenkomstig artikel 41 van de AVG 35 . De vermelde toezichthoudende organen hebben de benodigde status om zich in de uitoefening van hun functie volledig te kunnen kwijten van hun verantwoordingsplicht 36 . Daartoe zijn de toezichthoudende organen door de bevoegde TA geaccrediteerd overeenkomstig artikel 41, lid 1, van de AVG 37 .

5.8 Raadpleging

28. Een ontwerpgedragscode bevat informatie over de omvang van het gevoerde overleg. In overweging 99 van de AVG staat dat er bij het opstellen (c.q. wijzigen/uitbreiden) van een gedragscode moet worden overlegd met de belanghebbenden ter zake, waaronder indien mogelijk met betrokkenen. Bij het indienen van hun aanvraag voor goedkeuring worden gedragscodehouders daarom geacht te bevestigen en aan te tonen dat er afdoende is overlegd met de belanghebbenden ter zake. Zij verstrekken hiertoe, voor zover relevant, informatie over andere gedragscodes waar potentiële bij de gedragscode aangesloten leden aan gebonden zijn, en lichten toe hoe hun gedragscode andere gedragscodes aanvult. Daarbij geven zij tevens een beschrijving van de mate en de aard van het plaatsgevonden overleg met hun leden, andere belanghebbenden en betrokkenen of vertegenwoordigende verenigingen/organen 38 . In de praktijk wordt ten zeerste aanbevolen te overleggen met de leden van de organisatie die, of het

35 Ook een gedragscode voor de openbare sector bevat passende mechanismen om toe te zien op de gedragscode.

34 Zie artikel 40, lid 4, van de AVG.

36 Overeenkomstig artikel 83, lid 4, onder c), van de AVG zijn bij niet-nakoming van de verplichtingen van een toezichthoudend orgaan administratieve geldboeten van toepassing.

38 Gedragscodehouders kunnen bv. beschrijven hoe zij de na overleg ontvangen bijdragen hebben beoordeeld.

orgaan dat als gedragscodehouder handelt, met inachtneming van de verwerkingsactiviteit bij de klanten van die leden. Indien overleg met bepaalde belanghebbenden ter zake niet mogelijk was en daardoor niet heeft plaatsgevonden, is het aan de gedragscodehouder een en ander toe te lichten.

5.9 Nationale wetgeving

29. Gedragscodehouders bevestigen dat de ontwerpgedragscode in overeenstemming is met de desbetreffende nationale wetgeving, met name als de gedragscode bestemd is voor een sector die valt onder bepaalde nationale wettelijke bepalingen of als de gedragscode betrekking heeft op verwerkingsverrichtingen die moeten worden beoordeeld in het licht van bepaalde ter zake doende nationale vereisten en wettelijke verplichtingen.

5.10 Taal

30. Gedragscodehouders zijn gebonden aan de taaleisen van de bevoegde TA bij wie zij hun gedragscode indienen. In het algemeen moet een gedragscode worden ingediend in de taal van de bevoegde TA van die lidstaat 39 . Transnationale gedragscodes worden ingediend in de taal van de bevoegde TA en tevens in het Engels 40 .

5.11 Controlelijst

31. In laatste instantie is het aan de gekozen bevoegde TA om te bepalen of de ontwerpgedragscode de volgende fase van de evaluatie ingaat, d.w.z. of zij overgaat tot een volledige inhoudelijke beoordeling overeenkomstig de artikelen 40 en 41 van de AVG en de hierna beschreven procedures. De checklist in aanhangsel 3 dient als verwijzing voor aan een bevoegde TA verstrekte documentatie en als kader voor de indiening van de ontwerpgedragscode.

6 CRITERIA VOOR HET GOEDKEUREN VAN GEDRAGSCODES

32. Gedragscodehouders worden geacht te kunnen aantonen hoe hun gedragscode bijdraagt tot de juiste toepassing van de AVG, met inachtneming van de specifieke kenmerken van de diverse verwerkingssectoren, evenals de specifieke voorschriften en verplichtingen van de betrokken verwerkingsverantwoordelijken of verwerkers. Deze algemene eis heeft een aantal aspecten. Gedragscodehouders moeten kunnen aantonen dat hun ontwerpgedragscode:
33. GLYPH<UNKNOWN> voorziet in een bepaalde behoefte van de betrokken sector of verwerkingsactiviteit;
34. GLYPH<UNKNOWN> bijdraagt tot de juiste toepassing van de AVG;
35. GLYPH<UNKNOWN> de toepassing van de AVG specificeert;

39 Sommige lidstaten hebben mogelijk nationale wetgeving waarin is bepaald dat een ontwerpgedragscode moet worden ingediend in de nationale taal van de betrokken lidstaat; gedragscodehouders doen er daarom goed aan zich hierover te informeren bij de bevoegde TA voordat zij hun ontwerpgedragscode officieel voor goedkeuring indienen.

40 Overeenkomstig afdeling 23 van het reglement van orde van het Comité is Engels de werktaal van het Comité.

• GLYPH<UNKNOWN> voldoende waarborgen 41 bevat; en
• GLYPH<UNKNOWN> doeltreffende mechanismen voor toezicht op naleving van de gedragscode bevat.

6.1 Voorziet in een bepaalde behoefte

33. Gedragscodehouders kunnen aantonen dat er behoefte is aan het opstellen van een gedragscode. Een gedragscode biedt dan ook een oplossing voor problemen in verband met gegevensbescherming in een bepaalde sector of verwerkingsactiviteit.

Bijvoorbeeld, de sector informatiesystemen voor de herkenning van consumentenkredietrisico's stelt vast dat er behoefte is aan een gedragscode die voldoende waarborgen en mechanismen bevat om ervoor te zorgen dat de verzamelde gegevens ter zake dienend en juist zijn en uitsluitend worden gebruikt voor het specifieke en gerechtvaardigde doel van kredietbescherming. Of de sector gezondheidsonderzoek constateert dat het nodig is een gedragscode op te stellen om te zorgen voor een consistente benadering op basis van normen en naar behoren te voldoen aan de eisen die in de AVG zijn gesteld ten aanzien van expliciete toestemming en de daarmee samenhangende verantwoordingsplicht.

34. Gedragscodehouders kunnen de problemen waarvoor de gedragscodes een oplossing moeten bieden, toelichten en beschrijven, en zij kunnen hard maken dat de door de gedragscode geboden oplossingen niet alleen voor leden maar ook voor betrokkenen doeltreffende voordelen bieden.

6.2 Draagt bij tot de doeltreffende uitvoering van de AVG

35. Overeenkomstig overweging 98 van de AVG komt een gedragscode pas in aanmerking voor goedkeuring als de gedragscodehouders kunnen aantonen dat hun gedragscode bijdraagt tot de doeltreffende uitvoering van de AVG. In dat verband is als eis gesteld dat een gedragscode de voor de sector specifieke uitvoering van de AVG duidelijk bepaalt en de specifieke behoeften van de sector benoemt en erin voorziet 42 .

41 Zo worden voor sectoren met een "hoog risico", bv. die waarin gegevens van kinderen of over gezondheid worden verwerkt, robuustere en striktere waarborgen verwacht, gezien de gevoelige aard van die gegevens.

42 Zie artikel 40, lid 1, van de AVG.

Er kan bijvoorbeeld worden bijgedragen tot de doeltreffende uitvoering van de AVG door een lijst sectorspecifieke definities te verstrekken of door afdoende in te gaan op onderwerpen die van bijzonder belang zijn voor de sector. Ook het gebruik van sectorspecifieke terminologie om de uitvoering van de AVG-eisen in de sector te beschrijven, kan bijdragen tot een goed begrip van de voorschriften door de industrie en daarmee tot de doeltreffende uitvoering van de AVG. In een gedragscode wordt terdege rekening gehouden met de te verwachten risico's van een bepaalde verwerkingsactiviteit in de betrokken sector en wordt in het licht van die risico's een passend ijkpunt geboden voor de gerelateerde verplichtingen van verwerkingsverantwoordelijken of verwerkers waarop de gedragscode van toepassing is, middels voorbeelden van aanvaardbare voorwaarden voor het gebruik van persoonsgegevens in direct marketing. Daarnaast wordt de inhoud van de gedragscode gepresenteerd op een manier die bijdraagt tot het begrip en praktisch gebruik ervan en tot de doeltreffende uitvoering van de AVG.

6.3 Specificeert de toepassing van de AVG

36. Gedragscodes zijn specifiek over de praktische toepassing van de AVG en geven de aard van de verwerkingsactiviteit of -sector nauwkeurig weer. De gedragscodes maken duidelijke sectorspecifieke verbeteringen mogelijk ten aanzien van de naleving van het gegevensbeschermingsrecht. In de gedragscodes worden realistische, haalbare normen voor alle leden beschreven, terwijl de kwaliteit en interne consistentie ervan voor voldoende toegevoegde waarde zorgen 43 . Anders gezegd: een ontwerpgedragscode gaat voldoende in op bepaalde gegevensbeschermingsgebieden 44 en -kwesties in de betrokken sector en biedt voldoende duidelijke en doeltreffende oplossingen voor die gebieden en kwesties 45 .
37. Een gedragscode mag niet beperkt blijven tot een herhaling of herformulering van de AVG 46 . Het doel van een gedragscode is een specifieke, praktische en nauwkeurige toepassing van de AVG vast te leggen. De overeengekomen normen en voorschriften moeten ondubbelzinnig, concreet, haalbaar en afdwingbaar (toetsbaar) zijn. De opname van uitdrukkelijke voorschriften op het betrokken gebied is een aanvaardbare manier waarop een gedragscode waarde kan toevoegen. Om aan deze eis te voldoen, kan het nuttig blijken gebruik te maken van terminologie die uniek en van belang is voor de sector en concrete scenario's of specifieke voorbeelden van een beste praktijk 47 te vermelden 48 .

44 Zoals die genoemd in artikel 40, lid 2, van de AVG.

46 Een veelvuldige reden voor afwijzing van aan Groep artikel 29 ter goedkeuring voorgelegde ontwerpgedragscodes was dat in de gedragscode het gegevensbeschermingsrecht werd herhaald of geherformuleerd.

48 Waar mogelijk moet al te juridisch taalgebruik in een gedragscode worden vermeden.

47 En "onaanvaardbare praktijken".

38. Het aangeven van plannen om bestaan en inhoud van de goedgekeurde gedragscode onder de aandacht brengen is ook een manier om te voldoen aan de norm dat de uitvoering van de AVG moet worden gespecificeerd. Het is essentieel dat gedragscodes zinvol zijn voor de toepassing van de beginselen van gegevensbescherming in de zin van artikel 5 van de AVG. Evenzo is het essentieel dat er in gedragscodes goed rekening wordt gehouden met relevante adviezen en standpunten die het Comité voor die sector of verwerkingsactiviteit heeft bekendgemaakt of bekrachtigd 49 . Zo maken bv. gedragscodes waarin verwerkingsactiviteiten worden gespecificeerd, het mogelijk gemakkelijker om vast te stellen of er voldoende rechtsgrond is voor deze verwerkingsactiviteiten in de lidstaten waarin zij van toepassing zouden moeten zijn.

6.4 Bevat voldoende waarborgen

39. Gedragscodes zijn ook gebonden aan de eisen van artikel 40, lid 5. Goedkeuring is alleen mogelijk als wordt vastgesteld dat de ontwerpgedragscode voldoende geschikte waarborgen biedt 50 . Gedragscodehouders moeten jegens een bevoegde TA aantonen dat hun gedragscode waarborgen bevat die geschikt zijn om het risico rond gegevensverwerking en de rechten en vrijheden van natuurlijke personen doeltreffend te beperken 51 . Het is aan de gedragscodehouders bewijs te verstrekken waaruit duidelijk blijkt dat hun gedragscode aan deze eisen voldoet.

Zo zou in het geval van bv. verwerkingsactiviteiten met een "hoog risico", zoals de grootschalige verwerking van gegevens van kinderen of over gezondheid, profilering of stelselmatige observatie, worden verwacht dat de gedragscode hogere eisen bevat voor verwerkingsverantwoordelijken en verwerkers om voldoende bescherming te bieden. Daarnaast kunnen gedragscodehouders een gedragscode voor verwerkingsactiviteiten op dergelijke risicovolle gebieden onderbouwen via uitgebreider overleg overeenkomstig overweging 99 van de AVG.

6.5 Bevat mechanismen die doeltreffend toezicht mogelijk maken

40. In artikel 40, lid 4, van de AVG is bepaald dat er geschikte mechanismen moeten zijn om te waarborgen dat er goed wordt toegezien op die voorschriften en dat er doelmatige, zinvolle handhavingsmaatregelen zijn om te waarborgen dat zij volledig worden nageleefd. In een gedragscode worden specifieke structuren en procedures vermeld en voorgesteld voor doeltreffend toezicht en handhaving bij inbreuk. Verder vermeldt een ontwerpgedragscode een passend orgaan dat beschikt over mechanismen waarmee het doeltreffend kan toezien op de naleving van de gedragscode. Die mechanismen kunnen zijn: verplichte periodieke audits en

49 In de gedragscodes zal verder terdege rekening moeten worden gehouden met relevante nationale en Europese rechtspraak.

51 Waarborgen kunnen ook van toepassing zijn op toezichthoudende organen en hun mogelijkheden om hun rol doeltreffend te vervullen.

50 Zie overweging 98 van de AVG.

rapportage; duidelijke en transparante procedures voor klachtenbehandeling en geschillenbeslechting; concrete sancties en beroepen bij schending van de gedragscode; en beleid voor melding van inbreuk op de gedragscode.

41. Een toezichthoudend orgaan is vereist als de ontwerpgedragscode gegevensverwerking door niet-overheidsinstanties en -organen betreft. In essentie wordt een gedragscode geacht niet alleen de inhoud van de voor de verwerkingsactiviteit van de betrokken sector toepasselijke voorschriften te bestrijken, maar ook te voorzien in de uitvoering van toezichtmechanismen die de doeltreffende toepassing van die voorschriften waarborgen. Als er meerdere organen zijn om doeltreffend toezicht uit te oefenen, kan een ontwerpgedragscode voorstellen bevatten voor een aantal verschillende toezichtmechanismen. Alle mechanismen die worden voorgesteld om doeltreffend toezicht uit te oefenen, zullen echter duidelijk, geschikt, haalbaar, doelmatig en afdwingbaar (toetsbaar) moeten zijn. Gedragscodehouders zijn gehouden toe te lichten en aan te tonen waarom hun voorstellen voor toezicht passend en in de praktijk haalbaar zijn 52 .

7 INDIENING, AANVAARDBAARHEID EN GOEDKEURING 53 (NATIONALE GEDRAGSCODE)

7.1 Indiening

42. Gedragscodehouders dienen hun ontwerpgedragscode formeel elektronisch of schriftelijk (gedrukt exemplaar/papieren versie) in bij de bevoegde TA 54 . De bevoegde TA zendt de gedragscodehouders een bevestiging van ontvangst van de documentatie, toetst daarna eerst de ontwerpgedragscode aan de hierboven vermelde aanvaardbaarheidscriteria 55 en verricht vervolgens een grondige inhoudelijke evaluatie.

7.2 Aanvaardbaarheid van een gedragscode

43. Als de ontwerpgedragscode niet wordt aanvaard omdat niet wordt voldaan aan de criteria voor aanvaarding 56 , licht de bevoegde TA haar besluit schriftelijk toe aan de gedragscodehouders.

53 Met inbegrip van gewijzigde of uitgebreide gedragscodes die eerder al waren goedgekeurd.

55 Zie ook de checklist in aanhangsel 3.

56 Ibid.

Daarmee wordt het proces afgesloten, waarop de gedragscodehouders opnieuw een ontwerpgedragscode zouden moeten indienen 57 .

44. Als de ontwerpgedragscode voldoet aan de hiervoor beschreven criteria, bevestigt de bevoegde TA de gedragscodehouders schriftelijk dat de code doorgaat naar de volgende fase van het proces, en beoordeelt zij de ontwerpgedragscode inhoudelijk overeenkomstig de desbetreffende procedures uit het nationale recht.

7.3 Goedkeuring

45. Tenzij het nationale recht een bepaalde termijn voorschrijft, brengt de bevoegde TA binnen een redelijk tijdsbestek advies uit en brengt zij de gedragscodehouders periodiek op de hoogte van het verloop en de indicatieve tijdschema's. Het advies bevat een toelichting op het besluit van de bevoegde TA overeenkomstig de hiervoor beschreven criteria voor goedkeuring 58 .
46. Als de bevoegde TA besluit goedkeuring te weigeren, wordt het proces afgesloten en is het aan de gedragscodehouders de bevindingen van het advies te beoordelen en hun ontwerpgedragscode dienovereenkomstig te heroverwegen. De gedragscodehouders zouden in dat geval ook in een later stadium een bijgewerkte versie van hun ontwerpgedragscode formeel opnieuw moeten indienen, als zij dat willen.
47. Bij goedkeuring gaat de bevoegde TA over tot registratie en bekendmaking van de ontwerpgedragscode (via de website en/of andere passende communicatiemiddelen) 59 . Overeenkomstig artikel 40, lid 11, maakt het Comité alle goedgekeurde gedragscodes openbaar.

8 INDIENING, AANVAARDBAARHEID EN GOEDKEURING 60 (TRANSNATIONALE GEDRAGSCODE)

8.1 Indiening

48. Gedragscodehouders dienen hun ontwerpgedragscode elektronisch of schriftelijk in bij een bevoegde TA die optreedt als voornaamste autoriteit voor de goedkeuring van hun gedragscode 61 . De bevoegde TA zendt de gedragscodehouders een bevestiging van ontvangst van de documentatie, beoordeelt daarna eerst of de ontwerpgedragscode voldoet aan de hierboven 62 beschreven eisen en verricht vervolgens een grondige inhoudelijke evaluatie. De bevoegde TA laat alle andere toezichthoudende autoriteiten onmiddellijk weten een

57 Opgemerkt zij dat bij weigering in deze fase van het goedkeuringsproces de kans groot is dat het besluit is gebaseerd op voorlopige eisen van algemene of procedurele aard en niet op inhoudelijke of essentiële kwesties over de bepalingen van de gedragscode.

59 Overeenkomstig artikel 40, lid 6, van de AVG.

58 Op die manier kan de bevoegde TA de gedragscodehouders nuttige feedback geven als zij hun ontwerpgedragscode later in gewijzigde vorm opnieuw willen indienen.

60 Met inbegrip van gewijzigde of uitgebreide gedragscodes die eerder al waren goedgekeurd.

62 Zie ook de checklist in aanhangsel 3.

gedragscode te hebben ontvangen, waarbij zij de belangrijkste kenmerken vermeldt ter wille van identificatie en verwijzing. Alle toezichthoudende autoriteiten bevestigen per omgaande of zij een betrokken TA in de zin van artikel 4, lid 22, onder a) of b), van de AVG 63 zijn.

8.2 Aanvaardbaarheid van een gedragscode

49. Als de ontwerpgedragscode niet wordt aanvaard omdat niet wordt voldaan aan de hiervoor beschreven criteria voor aanvaarding, licht de bevoegde TA haar besluit schriftelijk toe aan de gedragscodehouders. Daarmee wordt het proces afgesloten, waarop de gedragscodehouders opnieuw een ontwerpgedragscode zouden moeten indienen 64 . De bevoegde TA verzendt ook een kennisgeving om alle betrokken TA's te informeren over haar standpunt.
50. Als de bevoegde TA de ontwerpgedragscode aanvaardt omdat is voldaan aan de desbetreffende criteria, bevestigt de bevoegde TA de gedragscodehouders schriftelijk dat zij doorgaan naar de volgende fase van het proces, en gaat zij over tot een inhoudelijke beoordeling van de gedragscode. Daarop wordt de volgende informele samenwerkingsprocedure in gang gezet om de gedragscode te beoordelen met het oog op goedkeuring.

8.3 Samenwerking

51. De bevoegde TA stelt alle TA's 65 in kennis van haar standpunt, onder vermelding van de betrokken TA's, en verzoekt op vrijwillige basis om assistentie van niet meer dan twee medebeoordelaren bij de inhoudelijke beoordeling van de ontwerpgedragscode. De aanwijzing van medebeoordelaren vindt plaats op grond van de chronologische volgorde van binnenkomst 66 . De rol van medebeoordelaren is de bevoegde TA te assisteren bij het beoordelen van de ontwerpgedragscode. Nadat zij zijn bevestigd, hebben de medebeoordelaren dertig dagen de tijd om hun opmerkingen over de inhoud van de gedragscode te verstrekken. Die opmerkingen worden vervolgens door de bevoegde TA in aanmerking genomen bij haar beoordeling voor goedkeuring. Op grond van artikel 40, lid 7, van de AVG beslist de bevoegde TA definitief over de vraag of het ontwerpbesluit wordt voorgelegd aan het Comité overeenkomstig de artikelen 63 en 64 van de AVG 67 .

63 Dat is belangrijk want het is de bedoeling dat medebeoordelaren van de ontwerpgedragscode toezichthoudende autoriteiten zijn die bij de verwerking van persoonsgegevens betrokken zijn, omdat de verwerkingsverantwoordelijke of verwerker is gevestigd op het grondgebied van de lidstaat van die toezichthoudende autoriteit of omdat "de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden".

65 Uit het toepassingsgebied van de ontwerpgedragscode moet duidelijk zijn wie de betrokken TA's zijn.

64 Opgemerkt zij dat bij weigering in deze fase van het goedkeuringsproces de kans groot is dat het besluit is gebaseerd op voorlopige eisen van algemene of procedurele aard en niet op inhoudelijke of essentiële kwesties over de bepalingen van de gedragscode.

66 De mogelijkheid tot indiening van verzoeken verstrijkt na tien werkdagen. Terwijl de lijst van medebeoordelaren wordt samengesteld, begint de bevoegde TA met de beoordeling. Doorgaans overlegt de bevoegde TA met twee medebeoordelaren als de gedragscode betrekking heeft op ten minste 14 lidstaten. Onder die drempel kan er assistentie worden verleend door een of twee medebeoordelaren, al naargelang het geval in kwestie.

67 Dit is alleen mogelijk als de bevoegde TA voornemens is de ontwerpgedragscode goed te keuren. Artikel 40, lid 7, en artikel 64, lid 1.

52. De bevoegde TA neemt binnen een redelijke termijn een besluit en brengt de gedragscodehouders regelmatig op de hoogte van de voortgang en indicatieve tijdschema's. Zij beschrijft de redenen voor haar besluit (tot weigering of goedkeuring) overeenkomstig de algemene gronden voor goedkeuring, en stelt de gedragscodehouders tijdig in kennis van dat besluit.

8.4 Weigering

53. Als de bevoegde TA besluit om voorlegging van de ontwerpgedragscode aan het Comité te weigeren, wordt het proces afgesloten en is het aan de gedragscodehouders de bevindingen van het besluit te analyseren en herziening van hun ontwerpgedragscode te heroverwegen. Ook zouden de gedragscodehouders in dat geval de gedragscode in een later stadium opnieuw ter goedkeuring moeten indienen, als zij dat willen. De bevoegde TA stelt alle betrokken TA's in kennis van haar standpunt en redenen voor weigering van de gedragscode.

8.5 Voorbereiding voor voorlegging aan het Comité

54. Als de bevoegde TA de ontwerpgedragscode wil goedkeuren, verspreidt zij haar ontwerpgoedkeuring vóór voorlegging aan het Comité onder alle betrokken TA's. Alle betrokken TA's hebben dertig dagen om te reageren, waarbij belangrijke kwesties ter bespreking kunnen worden voorgelegd aan de betrokken subgroep van het Comité. Als de betrokken TA's niet reageren, gaat de gedragscode door naar de volgende fase van het proces.

8.6 Het Comité

55. Als er wordt besloten tot voorlegging aan het Comité overeenkomstig artikel 40, lid 7, van de AVG. De bevoegde TA stelt alle toezichthoudende autoriteiten in kennis van dat besluit via de procedure van het coherentiemechanisme 68 . De bevoegde TA legt de kwestie ook voor aan het Comité overeenkomstig haar reglement van orde en artikel 40, lid 7, van de AVG.
56. Krachtens artikel 64 brengt het Comité advies uit over in artikel 40, lid 7, van de AVG beschreven kwesties 69 . Het reglement van orde van het Comité en artikel 64 van de AVG zijn van toepassing op het Comité en de bevoegde TA wanneer zij een beoordeling uitvoeren en een besluit over de goedkeuring van transnationale gedragscodes meedelen.

8.7 Goedkeuring

57. Het advies van het Comité wordt overeenkomstig artikel 64, lid 5, van de AVG meegedeeld aan de bevoegde TA en het is aan de bevoegde TA of zij haar ontwerpbesluit handhaaft of wijzigt overeenkomstig artikel 40, lid 5, van de AVG 70 . Een advies van het Comité kan krachtens artikel 40, lid 8, van de AVG ook aan de Commissie worden voorgelegd; overeenkomstig artikel 40, lid

11, van de AVG verzamelt het Comité alle goedgekeurde transnationale gedragscodes en maakt zij die openbaar.

9 BETROKKENHEID

58. Het is belangrijk op te merken dat het beoordelingsproces niet mag worden aangegrepen voor verder overleg over de bepalingen van de bij de bevoegde TA ingediende gedragscode. In artikel 40, lid 5, van de AVG is bepaald dat de bevoegde TA als taak heeft advies uit te brengen over de vraag of de ontwerpgedragscode strookt met de AVG 71 . De communicatie tussen de bevoegde TA en de gedragscodehouders in deze fase van het proces heeft dan ook vooral als doel duidelijkheid te verschaffen en te assisteren bij het uitvoeren van een evaluatie overeenkomstig de artikelen 40 en 41. Verwacht wordt dat als gedragscodehouders willen overleggen met toezichthoudende autoriteiten, dat plaatsvindt voordat zij hun ontwerpgedragscode ter goedkeuring indienen. In beginsel is het niet de bedoeling dat gedragscodehouders in de goedkeuringsfase verder overleggen over bepalingen in de ontwerpgedragscode of dat er dan nog een uitgebreide beoordeling plaatsvindt waarbij er steeds wijzigingen worden ingediend bij de bevoegde TA. Verder is het noodzakelijk dat de gedragscodehouders beschikbaar zijn om antwoord te geven op vragen over hun ontwerpgedragscode en dat zij die antwoorden binnen een redelijke termijn kunnen verstrekken. Het is belangrijk dat de gedragscodehouders voorbereid en georganiseerd zijn om vragen doelmatig en kundig te beantwoorden. Het verdient aanbeveling één of een vast aanspreekpunt op te geven aan de bevoegde TA. De bevoegde TA bepaalt naar eigen inzicht of zij nadere informatie nodig heeft voordat zij over de ontwerpgedragscode besluit, en zij bepaalt eveneens naar eigen inzicht op welke wijze de communicatie tussen de partijen verloopt. Om te zorgen voor continuïteit, blijft de bevoegde TA tijdens het gehele goedkeuringsproces voor transnationale gedragscodes fungeren als voornaamste aanspreekpunt.

10 DE ROL VAN DE COMMISSIE

59. De Commissie kan middels een uitvoeringshandeling besluiten dat een goedgekeurde transnationale gedragscode algemeen geldig is binnen de Unie, in welk geval zij ervoor zorgt dat er passende bekendheid aan wordt gegeven 72 .

11 TOEZICHT OP EEN GEDRAGSCODE

60. Een (nationale of transnationale) gedragscode komt in aanmerking voor goedkeuring als een of meer toezichthoudende organen in de gedragscode worden genoemd en door de bevoegde TA

71 De bevoegde TA kan gedragscodehouders ook adviseren en in voorkomend geval aanbevelingen doen over inhoud en vorm van de ontwerpgedragscode.

zijn geaccrediteerd als in staat om doeltreffend toe te zien op de gedragscode 73 . De bevoegde TA legt haar ontwerpeisen voor accreditatie van een toezichthoudend orgaan voor aan het Comité overeenkomstig het in artikel 63 van de AVG bedoelde coherentiemechanisme. Na goedkeuring door het Comité kan de bevoegde TA de eisen toepassen om een toezichthoudend orgaan te accrediteren.

61. Het begrip "accreditatie" is niet gedefinieerd in de AVG. Er staan in artikel 41, lid 2, van de AVG echter wel algemene eisen voor accreditatie van het toezichthoudend orgaan. Er zijn enkele eisen waaraan moet worden voldaan voordat de bevoegde TA een toezichthoudend orgaan accrediteert. Gedragscodehouders worden geacht toe te lichten en duidelijk te maken hoe het door hen voorgestelde toezichthoudend orgaan voldoet aan de eisen die in artikel 41, lid 2, van de AVG zijn gesteld voor het verkrijgen van accreditatie.
62. De AVG is flexibel over het type en de structuur van een op grond van artikel 41 te accrediteren toezichthoudend orgaan. Het staat gedragscodehouders vrij te kiezen voor externe of interne toezichthoudende organen, mits het gekozen orgaan voldoet aan de accreditatievereisten van artikel 41, lid 2, van de AVG, zoals is weergegeven in de hieronder genoemde acht eisen.

12 ACCREDITATIEVEREISTEN VOOR TOEZICHTHOUDENDE ORGANEN

12.1 Onafhankelijkheid

63. De gedragscodehouders tonen aan dat de onafhankelijkheid van het betrokken orgaan naar behoren is gewaarborgd, zodat het zijn taak onpartijdig kan vervullen ten opzichte van de aangesloten leden en de beroepsgroep, industrie of sector waarop de gedragscode betrekking heeft. Daartoe kunnen bewijzen op uiteenlopend gebied worden aangevoerd, zoals de financiering van het toezichthoudend orgaan, de benoeming van leden/personeel, het besluitvormingsproces en meer in het algemeen het organigram. Op deze mogelijkheden wordt hieronder nader ingegaan.
64. Gedragscodehouders staan twee modellen ter beschikking om te voldoen aan de eisen die gepaard gaan met hun taak als toezichthoudend orgaan: extern en intern toezichthoudend orgaan. Binnen deze twee alternatieven is sprake van een zekere flexibiliteit en er kunnen verschillende versies worden voorgesteld als passend voor de context van de gedragscode. Voorbeelden van een intern toezichthoudend orgaan zijn een interne commissie ad hoc of een afzonderlijke, onafhankelijke afdeling binnen de gedragscodehouder. Het is aan de gedragscodehouders toe te lichten hoe zij het risicobeheer opzetten in verband met de vereiste onpartijdigheid en onafhankelijkheid.
65. Als er bv. een intern toezichthoudend orgaan wordt voorgesteld, geldt als voorwaarde dat het personeel, het beheer, de verantwoording en de taak zijn gescheiden van andere terreinen van de organisatie. Dat kan op diverse manieren worden bereikt, bv. met behulp van doeltreffende

73 Artikel 41, lid 1, van de AVG. Tevens zij opgemerkt dat artikel 41 niet geldt voor overheidsinstanties of organen.

organisatorische en informatiebarrières en aparte rapportagebeheerstructuren voor de vereniging en het toezichthoudend orgaan. Evenals een functionaris voor gegevensbescherming moet ook het toezichthoudend orgaan vrij van instructies kunnen handelen en gevrijwaard zijn tegen iedere vorm van sancties of (directe of indirecte) bemoeienis als gevolg van de uitvoering van zijn taak.

66. Voor de onafhankelijkheid kan het nodig zijn dat een externe adviseur of andere derde die heeft meegewerkt aan het opstellen van de gedragscode, aantoont dat er passende waarborgen zijn om risico's voor de onafhankelijkheid of een belangenconflict te beperken. Het toezichthoudend orgaan zou bewijs moeten verstrekken waaruit blijkt dat de mechanismen voor het herkennen en beperken van zulke risico's, passend zijn 74 . Van een toezichthoudend orgaan wordt verwacht dat het voortdurend alert is op risico's voor zijn onpartijdigheid, bv. in het kader van zijn activiteiten of relaties. Bij vaststelling van een risico voor de onpartijdigheid moet het toezichthoudend orgaan aantonen hoe het dat risico wegneemt c.q. zoveel mogelijk beperkt, en zijn onpartijdigheid waarborgt met een passend mechanisme.
67. Onafhankelijkheid kan ook worden aangetoond door te laten zien dat de begroting en andere middelen volstrekt autonoom worden beheerd, met name wanneer het een intern toezichthoudend orgaan betreft. Verder moet een toezichthoudend orgaan onafhankelijk kunnen zijn in zijn keuze en toepassing van sancties tegen een bij de gedragscode aangesloten verwerkingsverantwoordelijke of verwerker. In wezen zal het - interne of externe - orgaan in de uitoefening van zijn taken en bevoegdheden onafhankelijk van gedragscodehouders en leden binnen het toepassingsgebied van de gedragscode moeten handelen.

12.2 Belangenconflict 75

68. Er moet worden aangetoond dat er bij de vervulling van de taken en plichten van het toezichthoudend orgaan geen belangenconflicten ontstaan. Daartoe tonen de gedragscodehouders aan dat het voorgestelde toezichthoudend orgaan geen handelingen verricht die onverenigbaar zijn met zijn taken en plichten en dat er waarborgen zijn om ervoor te zorgen dat het geen onverenigbare beroepswerkzaamheden verricht. Evenzo blijft het toezichthoudend orgaan vrij van al dan niet rechtstreekse externe invloed en vraagt noch aanvaardt het instructies van personen, organisaties of verenigingen. Het orgaan heeft eigen personeel dat door hem of een ander van de gedragscode onafhankelijk orgaan is gekozen en dat onder de exclusieve leiding van dat orgaan valt. In het geval van een intern toezichthoudend orgaan wordt het gevrijwaard tegen iedere vorm van sanctie of (al dan niet rechtstreekse) bemoeienis door de gedragscodehouder, andere betrokken organen 76 of bij de gedragscode aangesloten leden als gevolg van de vervulling van zijn taken.

74 De context van de gedragscode is bepalend voor de te volgen benadering. Zo kan bv. mogelijk worden volstaan met een voorstel waarbij de betrokken taken voldoende gescheiden zijn, omdat het personeel van het toezichthoudend orgaan de gedragscode niet heeft geschreven, uitgeprobeerd of getoetst.

76 Organen die categorieën verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

75 Onpartijdigheid van functie, d.w.z. de mogelijkheid autonoom te handelen.

12.3 Deskundigheid

69. De gedragscodehouders tonen aan dat het toezichthoudend orgaan over het vereiste deskundigheidsniveau beschikt om zijn rol doeltreffend te kunnen vervullen. Daartoe gaat de aanvraag voor goedkeuring vergezeld van gegevens over de kennis en ervaring van het orgaan inzake het gegevensbeschermingsrecht, de desbetreffende sector of de verwerkingsactiviteit. Een voorbeeld van een mogelijke manier om aan deze eis te voldoen, is te wijzen op ervaring die het orgaan eerder heeft opgedaan met het uitoefenen van toezicht in een bepaalde sector. Daarnaast is een grondig begrip van gegevensbeschermingskwesties en specialistische kennis van de specifieke verwerkingsactiviteiten waarop de gedragscode betrekking heeft, wenselijk. Het personeel van het voorgestelde toezichthoudend orgaan beschikt over passende werkervaring en de opleiding om toe te zien op naleving, zoals activiteiten op het gebied van audits, toezicht of kwaliteitsborging.

12.4 Vaste procedures en structuren

70. Een toezichthoudend orgaan beschikt tevens over passende bestuursstructuren en procedures om de volgende activiteiten naar behoren te kunnen verrichten:
71. GLYPH<UNKNOWN> beoordelen of verwerkingsverantwoordelijken en verwerkers in aanmerking komen voor toepassing van de gedragscode;
72. GLYPH<UNKNOWN> erop toezien of zij de gedragscode naleven; en
73. GLYPH<UNKNOWN> de werking van de gedragscode toetsen.
74. Er worden uitgebreide controleprocedures opgesteld om goed te beoordelen of verwerkingsverantwoordelijken en verwerkers geschikt zijn voor aansluiting bij, en naleving van de gedragscode. Dit moet waarborgen dat de gedragscode kan worden nageleefd door de verwerkingsverantwoordelijken en verwerkers.
75. Er zijn procedures en structuren nodig om actief en doeltreffend toe te zien op naleving door bij de gedragscode aangesloten leden. Voorbeelden daarvan zijn steekproefsgewijze of onaangekondigde audits, jaarlijkse inspecties, periodieke rapportage en het gebruik van vragenlijsten 77 . De toezichtprocedures kunnen verschillende vormen aannemen, als er maar rekening wordt gehouden met factoren zoals de risico's in verband met gegevensverwerking binnen het toepassingsgebied van de gedragscode, ontvangen klachten of bepaalde incidenten, het aantal bij de gedragscode aangesloten leden enz. Er kan worden gedacht aan het publiceren van auditverslagen en de bevindingen van periodieke rapportage door verwerkingsverantwoordelijken en verwerkers binnen het toepassingsgebied van de gedragscode.
76. Gedragscodehouders tonen tevens aan dat het voorgestelde toezichthoudend orgaan beschikt over voldoende middelen en personeel om zijn taken naar behoren te verrichten. De middelen

77 Dat zou tevens kunnen helpen voorkomen dat sommige leden meerdere keren worden gecontroleerd en andere niet.

staan in verhouding tot het verwachte aantal bij de gedragscode aangesloten leden en de complexiteit of het risiconiveau van de desbetreffende gegevensverwerking.

12.5 Transparante klachtenbehandeling

74. Een toezichthoudend orgaan zorgt voor doeltreffende procedures en structuren waarmee klachten onpartijdig en transparant kunnen worden behandeld. Daartoe hanteert het een openbare klachtenprocedure waarvoor voldoende middelen beschikbaar zijn om klachten te beheren en ervoor te zorgen dat besluiten van het orgaan openbaar worden gemaakt.

Om aan te tonen dat er een klachtenprocedure bestaat, kan bv. een procedure worden beschreven voor het ontvangen, evalueren, volgen, registreren en oplossen van klachten. Die beschrijving kan worden gegeven in een openbare leidraad bij de gedragscode, zodat een klager de klachtenprocedure kan begrijpen en volgen. Voor de onafhankelijkheid van een dergelijke procedure kan worden gezorgd door de uitvoerende en beheerfuncties binnen het toezichthoudend orgaan te scheiden.

75. Verder worden toezichthoudende organen geacht te beschikken over doeltreffende procedures om naleving van de gedragscode door verwerkingsverantwoordelijken of verwerkers te waarborgen. Zo kunnen aan het toezichthoudend orgaan bv. bevoegdheden worden verleend om verwerkingsverantwoordelijken of verwerkers te schorsen of uit te sluiten van de gedragscode wanneer zij zich niet aan de gedragscode houden (d.w.z. corrigerende maatregelen).
76. Als een bij gedragscode aangesloten lid de voorschriften van de gedragscode schendt, is het toezichthoudend orgaan verplicht onmiddellijk passende maatregelen te treffen. Het doel van passende corrigerende maatregelen is een eind te maken aan de schending en herhaling te voorkomen. Corrigerende maatregelen en sancties zijn bv. een verplichte opleiding, een waarschuwing, indiening van een verslag over het lid bij het Comité, een ingebrekestelling met de eis binnen een bepaalde termijn bepaalde maatregelen te nemen, een tijdelijke schorsing van het bij de gedragscode aangesloten lid tot er corrigerende maatregelen zijn getroffen, of de definitieve uitsluiting van het bij de gedragscode aangesloten lid. Die maatregelen kunnen bekend worden gemaakt door het toezichthoudend orgaan, met name als de schending ernstig is.
77. Wanneer nodig, moet het toezichthoudend orgaan het bij de gedragscode aangesloten lid, de bevoegde TA en alle betrokken TA's onverwijld in kennis kunnen stellen van de getroffen maatregelen en de redenen daarvoor 78 . Ingeval de leidende toezichthoudende autoriteit 79 van een bij een transnationale gedragscode aangesloten lid identificeerbaar is, moet het toezichthoudende orgaan ook die autoriteit in kennis stellen van de genomen maatregelen.

78 Als het toezicht wordt uitgeoefend door een orgaan buiten de vereniging/instantie die de gedragscode indient, wordt tevens de gedragscodehouder in kennis gesteld.

79 Overeenkomstig artikel 56 van de AVG.

12.6 Communicatie met de bevoegde toezichthoudende autoriteit

78. Er is voor het voorgestelde toezichthoudend orgaan een kader waarbinnen het doeltreffend met de bevoegde TA kan communiceren over handelingen die door hem en andere toezichthoudende autoriteiten zijn verricht in verband met de gedragscode. Dat kunnen bv. besluiten over de bij inbreuk op de gedragscode door een lid genomen maatregelen, periodieke verslagen over de gedragscode of resultaten van een toetsing of audit van de gedragscode zijn 80 .
79. Daarnaast waarborgt het dat de toezichthoudende autoriteit haar rol zonder vooroordelen of belemmeringen kan vervullen. Als bv. in een gedragscode wordt voorgesteld dat de leden een toezichthoudend orgaan eenzijdig kunnen goedkeuren, intrekken of opschorten zonder kennisgeving aan, en overeenstemming met de bevoegde TA, zou dat strijdig zijn met artikel 41, lid 5, van de AVG.

12.7 Toetsingsmechanismen

80. Een gedragscode bevat passende toetsingsmechanismen om te waarborgen dat de gedragscode niet aan relevantie inboet en blijft bijdragen tot de juiste toepassing van de AVG. Toetsingsmechanismen zijn eveneens nodig met het oog op eventuele wijzigingen in de toepassing en uitleg van de wetgeving of nieuwe technologische ontwikkelingen die van invloed kunnen zijn op de door de leden verrichte gegevensverwerking of de bepalingen van de gedragscode.

12.8 Rechtsstatus

81. Het voorgestelde toezichthoudend orgaan (intern dan wel extern) en de daarmee samenhangende bestuursstructuren zijn zodanig geformuleerd dat de gedragscodehouders kunnen aantonen dat het toezichthoudend orgaan de benodigde status heeft om zijn rol te vervullen overeenkomstig artikel 41, lid 4, en kan worden beboet overeenkomstig artikel 83, lid 4, onder c), van de AVG.

13 GOEDGEKEURDE GEDRAGSCODES

82. De aard en inhoud van de gedragscode zijn natuurlijk bepalend voor de rollen die de belanghebbenden vervullen in het waarborgen van naleving van de gedragscode en de AVG. De bevoegde TA blijft echter een rol spelen, aangezien zij ervoor zorgt dat de gedragscode geschikt blijft voor het beoogde doel.
83. Daarom werkt de bevoegde TA nauw samen met het toezichthoudend orgaan ten aanzien van de rapportagevereisten in verband met de gedragscode. Het toezichthoudend orgaan fungeert als voornaamste aanspreekpunt en coördinator voor eventuele problemen in verband met de gedragscode.

80 Zie artikel 41, lid 4.

84. De bevoegde TA keurt ook verdere wijzigingen of uitbreidingen van de gedragscode goed en accrediteert nieuwe toezichthoudende organen 81 . Op grond van artikel 40, lid 5, van de AVG wordt iedere wijziging of uitbreiding eveneens voorgelegd aan een bevoegde TA overeenkomstig de in dit document beschreven procedures.

14 INTREKKING VAN DE ACCREDITATIE VAN EEN TOEZICHTHOUDEND ORGAAN

85. Als een toezichthoudend orgaan toepasselijke bepalingen van de AVG niet naleeft, is een bevoegde TA tevens bevoegd de accreditatie van het orgaan in te trekken op grond van artikel 41, lid 5 82 . Het is belangrijk dat de gedragscodehouder geschikte bepalingen in de code opneemt voor de behandeling van een intrekkingsscenario.
86. De gevolgen van intrekking van de accreditatie van het enige toezichthoudend orgaan voor een gedragscode kan evenwel tot gevolg hebben dat de gedragscode wordt opgeschort of permanent wordt ingetrokken omdat er geen toezicht op naleving meer is. Dat kan de reputatie of zakelijke belangen van bij de gedragscode aangesloten leden schaden en het vertrouwen van betrokkenen of andere belanghebbenden ondermijnen.
87. Als de omstandigheden dat toelaten, vindt de intrekking pas plaats nadat de bevoegde TA het toezichthoudend orgaan in de gelegenheid heeft gesteld om problemen dringend op te lossen of binnen een bepaalde termijn verbeteringen aan te brengen. In het geval van transnationale gedragscodes overlegt de bevoegde TA over de kwestie met betrokken TA's, alvorens met het toezichthoudend orgaan parameters af te spreken om een oplossing te bieden. Het besluit tot intrekking van de accreditatie van een toezichthoudend orgaan wordt ook meegedeeld aan alle betrokken TA's en het Comité (voor toepassing van artikel 40, lid 11).

15 GEDRAGSCODES IN DE OPENBARE SECTOR

88. In artikel 41, lid 6, van de AVG is bepaald dat het toezicht op goedgekeurde gedragscodes niet geldt voor verwerkingsactiviteiten van overheidsinstanties of -organen 83 . In wezen wordt door deze bepaling de eis weggenomen dat een geaccrediteerd orgaan toeziet op een gedragscode. Deze uitzondering doet geenszins af aan de eis dat er doeltreffende mechanismen voor toezicht op een gedragscode moeten zijn. Dat kan worden bereikt door het toezicht op de gedragscode op te nemen in bestaande auditeisen.

83 De indeling van overheidsinstanties of -organen is aan elke lidstaat om te bepalen.

82 Voor transnationale gedragscodes is het eveneens essentieel dat de bevoegde TA ervoor zorgt dat alle betrokken TA's zich bewust zijn van het nemen van die maatregel. Evenzo stelt een betrokken TA voor dergelijke gedragscodes de bevoegde TA in kennis als een verwerkingsverantwoordelijke (die wordt geacht de gedragscode aan te nemen) de gedragscode niet blijkt na te leven, aangezien die constatering aanleiding kan zijn voor twijfels over de doeltreffendheid van het toezichthoudend orgaan en de gedragscode.

Namens het Europees Comité voor gegevensbescherming De voorzitter (Andrea Jelinek)

AANHANGSEL 1 -ONDERSCHEID TUSSEN NATIONALE EN TRANSNATIONALE GEDRAGSCODES

Een transnationale gedragscode is een gedragscode voor verwerkingsactiviteiten in meer dan één lidstaat. Bijgevolg kan een transnationale gedragscode verwerkingsactiviteiten van een veelheid aan verwerkingsverantwoordelijken of verwerkers in diverse lidstaten betreffen, zonder dat er per se sprake is van "grensoverschrijdende verwerking" zoals is gedefinieerd in artikel 4, lid 23, van de AVG.

Een gedragscode die is vastgesteld door een nationale vereniging in één lidstaat en verwerkingsactiviteiten van erbij aangesloten leden in diverse lidstaten bestrijkt, wordt daarom aangemerkt als transnationale gedragscode.

Als zich bij een vereniging met een op nationaal niveau goedgekeurde gedragscode een internationaal lid aansluit dat grensoverschrijdende verwerking verricht, komt dat lid echter alleen in aanmerking voor het voordeel van de goedgekeurde gedragscode voor verwerkingsactiviteiten in de lidstaat die de gedragscode heeft goedgekeurd 84 . Met behulp van mechanismen wordt gewaarborgd dat er voldoende transparantie is over het feitelijke territoriale toepassingsgebied van de gedragscode.

84 In hetzelfde voorbeeld zou het voor de gedragscodehouders echter ook mogelijk zijn te overwegen het toepassingsgebied van de gedragscode uit te breiden en goedkeuring aan te vragen voor een transnationale gedragscode.

AANHANGSEL 2 - EEN BEVOEGDE TA KIEZEN

Gedragscodehouders kunnen voor het aanvragen van goedkeuring voor hun transnationale ontwerpgedragscode zelf een bevoegde TA kiezen 85 . De AVG bevat geen specifieke voorschriften voor het aanwijzen van de bevoegde TA die het geschiktst is om een ontwerpgedragscode te beoordelen. Ter ondersteuning van gedragscodehouders bij het vaststellen van de voor evaluatie van hun gedragscode geschiktste bevoegde TA volgen hier enkele van de factoren waarmee rekening zou kunnen worden gehouden 86 :

• GLYPH<UNKNOWN> de plaats met de grootste dichtheid van de verwerkingsactiviteit of -sector;
• GLYPH<UNKNOWN> de plaats met de grootste dichtheid van betrokkenen waarvoor de verwerkingsactiviteit of sector gevolgen heeft;
• GLYPH<UNKNOWN> de plaats van het hoofdkantoor van de gedragscodehouder;
• GLYPH<UNKNOWN> de plaats van het hoofdkantoor van het voorgestelde toezichthoudend orgaan; of
• GLYPH<UNKNOWN> de door een toezichthoudende autoriteit op een bepaald gebied ontwikkelde initiatieven 87 .

Hoewel dit geen verplichte criteria zijn, is het kiezen van een bevoegde TA een belangrijk besluit dat zorgvuldig moet worden genomen 88 . De bevoegde TA vervult onder meer de volgende taken: fungeert als enig aanspreekpunt voor de gedragscodehouders tijdens het goedkeuringsproces; beheert de aanvraagprocedure in de samenwerkingsfase; accrediteert het toezichthoudend orgaan (indien van toepassing); en fungeert als de leidende toezichthoudend autoriteit bij het waarborgen van doeltreffend toezicht op een goedgekeurde gedragscode.

87 Een toezichthoudende autoriteit heeft bv. een gedetailleerd en belangrijk beleidsdocument gepubliceerd dat rechtstreeks betrekking heeft op de verwerkingsactiviteit die het onderwerp van de gedragscode vormt.

86 Deze lijst is niet-limitatief en niet-hiërarchisch.

88 Een bevoegde TA kan een goedkeuringsaanvraag voor een ontwerpgedragscode niet afwijzen omdat niet wordt voldaan aan (enkele) van de criteria op de niet-limitatieve lijst van aanhangsel 2. Afwijzing is alleen mogelijk als niet wordt voldaan aan de criteria die zijn beschreven onder "Aanvaardbaarheid van een ontwerpgedragscode".

AANHANGSEL 3 - CHECKLIST VOOR INDIENING

Het is belangrijk dat u, voordat u een ontwerpgedragscode aan de bevoegde toezichthoudende autoriteit voorlegt, uw documentatie controleert om er zeker van te zijn dat u de volgende vragen (voor zover van toepassing) bevestigend kunt beantwoorden en dat deze zaken er duidelijk in zijn aangegeven:

1. Hebt u een toelichting verstrekt en alle ter zake dienende ondersteunende documentatie opgenomen? (Punt 20)
2. Hebt u vermeld of u een vereniging of ander orgaan bent dat categorieën verwerkingsverantwoordelijken of verwerkers vertegenwoordigt? (Punt 21)
3. Hebt u gegevens opgenomen om aan te tonen dat u inderdaad een vertegenwoordigend orgaan bent dat in staat is de behoeften van zijn leden te begrijpen? (Punt 22)
4. Hebt u de verwerkingsactiviteit of -sector en de verwerkingsproblemen waarvoor de gedragscode een oplossing moet bieden, duidelijk gedefinieerd? (Punt 23)
5. Hebt u het territoriale toepassingsgebied van uw gedragscode vastgesteld en Hebt u een lijst van alle betrokken TA's opgenomen (voor zover van toepassing)? (Punt 24)
6. Hebt u gegevens verstrekt om de identificatie van de bevoegde TA te rechtvaardigen? (Punt 25)
7. Hebt u mechanismen voor een doeltreffend toezicht op naleving van de gedragscode opgenomen? (Punt 26)
8. Hebt u een toezichthoudend orgaan geïdentificeerd en uitgelegd hoe dat orgaan zal voldoen aan de eisen voor toezicht op de gedragscode? (Punt 27)
9. Hebt u informatie opgenomen over de omvang van het overleg dat is gevoerd om de gedragscode tot stand te brengen? (Punt 28)
10. Hebt u bewijs verstrekt waaruit blijkt dat de ontwerpgedragscode in overeenstemming met het recht van de lidstaat is (indien van toepassing)? (Punt 29)
11. Hebt u voldaan aan de taaleisen? (Punt 30)

Zijn in uw aanvraag voldoende bijzonderheden opgenomen om aan te tonen dat de AVG juist wordt toegepast? (Punten 32 - 41)

Ontwerpcode niet aanvaardbaar

Kennisgeving dat proces is voltooid & nieuwe aanvraag

Codehouder

Alle TA's

Beslissing om goedkeuring van ontwerpcode af te wiizen

Kennisgeving dat proces wordt beeindigd

Codehouder

Alle TAS

Bevöegde TA/leidende TA stelt besluit tot goedkeuring van code

Codehouder

Ontwerpcode

AANHANGSEL 4 - STROOMSCHEMA TRANSNATIONALE CODE

Info over indiening van

---

Footnotes

1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

2. Zie bv. artikel 24, lid 3, artikel 28, lid 5, en artikel 32, lid 3. Een gedragscode kan ook door gegevensverwerkers worden gebruikt om aan te tonen dat voldoende is gegarandeerd dat hun verwerking in overeenstemming is met de AVG (zie artikel 28, lid 5).

3. Zie de overwegingen 77, 81, 98, 99, 148 en 168 en de artikelen 24, 28, 35, 40, 41, 46, 57, 64 en 70 van de AVG.

4. Zie artikel 40, lid 5, artikel 55, lid 1, en overweging 122 van de AVG.

5. Zie artikel 40, lid 1, en overweging 98 van de AVG.

6. Zie bv. artikel 41, leden 2 en 3, van de AVG.

7. Zie ook de punten 64 tot en met 67 hierna.

8. Gedragscodes en certificering zijn vrijwillige instrumenten voor verantwoording, terwijl een gegevensbeschermingseffectbeoordeling in bepaalde situaties verplicht is. Zie voor meer informatie over instrumenten voor verantwoording de pagina van het Comité met algemene leidraad: (www.edpb.europa.eu).

9. Zie artikel 42 van de AVG en de richtsnoeren van het Comité van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de AVG.

10. Zie overweging 98 van de AVG met betrekking tot artikel 40, lid 1. Zo kan een gedragscode naar wens worden aangepast aan de behoefte van zowel micro-organisaties als kleine en middelgrote ondernemingen.

11. Zie artikel 40, lid 2, onder j), en artikel 40, lid 3, van de AVG.

12. Zie ook artikel 24, lid 3, en artikel 28, lid 5, van de AVG.

13. Artikel 83, lid 2, onder j), van de AVG. Zie ook de door het Comité vastgestelde toepassing van gedragscodes met betrekking tot de door de Groep artikel 29 vastgestelde richtsnoeren 253/17 voor de toepassing en oplegging van administratieve geldboeten in de zin van de AVG.

14. In artikel 55 van de AVG is bepaald dat elke toezichthoudende autoriteit bevoegd is om op het grondgebied van haar lidstaat de bij de AVG opgedragen taken uit te voeren en de bij de AVG toegekende bevoegdheden uit te oefenen. Zie ook overweging 122 van de AVG.

15. Zie onder "Accreditatievereisten voor toezichthoudende organen" op pagina 24 hierna.

16. Deze norm is voor het eerst toegepast in DG XV D/5004/98, WP 13, goedgekeurd op 10 september 1998.

17. Deze eis geeft het eerdere standpunt van de Groep artikel 29 weer zoals dat is beschreven in het werkdocument over gedragscodes WP 13 DG XV D/5004/98, dat is goedgekeurd op 10 september 1998.

18. Het document van de Groep artikel 29, 'Judging industry self-regulation: when does it make a meaningful contribution to the level of data protection in a third country?' WP7, dat is goedgekeurd op 14 januari 1998, is eveneens een informatief document dat aanvullende inzichten biedt in het op waarde beoordelen van een gedragscode en in de algemene voorwaarden waaraan een gedragscode moet voldoen om doeltreffend te zijn. Aanbevolen wordt om (indien ter zake dienend) bij het formuleren van een gedragscode ook dat document te gebruiken.

19. Die instantie is uiteraard de nationale TA voor de leden waarop gedragscode van toepassing is. Verder is het belangrijk dat gedragscodehouders bij indiening tegenover de bevoegde TA duidelijk aangeven dat het een formele aanvraag voor goedkeuring van een ontwerpgedragscode betreft, en wat het jurisdictionele toepassingsgebied ervan is. Zie ook aanhangsel 1 in verband met het onderscheid tussen nationale en transnationale gedragscodes.

20. Dit moet worden gelezen in de context van de hierna beschreven procedure.

21. Zie artikel 64, lid 4, van de AVG, waarin is bepaald dat de standpunten van andere betrokken TA's samen met het ontwerpbesluit van de bevoegde TA worden gepresenteerd.

22. Zie de taak van het Comité overeenkomstig artikel 70, lid 1, onder x), van de AVG.

23. Zie artikel 64, lid 7, evenals de procedures die in gang worden gezet als een bevoegde TA niet instemt met het advies van het Comité overeenkomstig artikel 64, lid 8, van de AVG.

24. Artikel 40, lid 9, en artikel 40, lid 10. Als gevolg van een dergelijk besluit kunnen ook niet aan de AVG onderworpen verwerkingsverantwoordelijken en verwerkers bindende en afdwingbare verplichtingen aangaan ten aanzien van een goedgekeurde gedragscode (zie artikel 40, lid 3). Dat maakt gegevensdoorgifte naar derde landen of internationale organisaties mogelijk, omdat er passende waarborgen worden geboden en er rechten en doeltreffende rechtsmiddelen voor betrokkenen zijn (zie ook artikel 46, lid 1, en lid 2, onder e)).

25. De toevoeging van een nieuw gedragscodevoorschrift is een voorbeeld van een wijziging die goedkeuring behoeft. Voor het bijwerken van een verwijzing naar de naam van een organisatie of andere kleine wijzigingen die niet op de werking van de gedragscode van invloed zijn, is echter geen goedkeuring nodig.

26. Zie artikel 55 in samenhang met overweging 122 van de AVG.