Nieuwe EDPB-guidelines over gedragscodes, AVG-begrippen en spraakassistenten
De European Data Protection Board (EDPB) heeft een eerste versie van guidelines over gedragscodes als doorgifte-instrument aangenomen. Ook nam de EDPB de definitieve versies aan van guidelines over de begrippen ‘verwerker’ en ‘verwerkingsverantwoordelijke’ en over spraakassistenten.
Met guidelines geven de Europese privacytoezichthouders, verenigd in de EDPB, uitleg over de privacyregels voor een specifiek onderwerp.
Gedragscode als doorgifte-instrument
De Algemene verordening gegevensbescherming (AVG) maakt het mogelijk om gedragscodes te ontwikkelen. Een gedragscode is een set specifieke regels voor een bepaalde sector, waarbij de regels uit de AVG zijn toegesneden op die sector.
Zo’n gedragscode wordt bijvoorbeeld ontwikkeld door een branchevereniging. De privacytoezichthouder kan de gedragscode dan vervolgens goedkeuren. Er zijn gedragscodes op nationaal niveau, op Europees niveau en op wereldwijd niveau.
Die laatste categorie gedragscodes dient óók als zogeheten doorgifte-instrument. Zo'n gedragscode kan de basis zijn om op een veilige manier persoonsgegevens te versturen vanuit de EU naar landen buiten de EU.
Dit is omdat bedrijven binnen dezelfde sector, maar buiten de EU, toezeggen zich aan de regels van de gedragscode te houden via de gedragscode én aanvullende ‘contractuele en juridische verbindingen’.
Over die gedragscodes als doorgifte-instrument zijn nu de Guidelines on codes of conduct as tools for transfers gepubliceerd.
Waar een nationale gedragscode alleen goedkeuring van de nationale privacytoezichthouder nodig heeft, stelt de AVG voor zo’n wereldwijde gedragscode aanvullende voorwaarden. Die worden in de guidelines uitgelegd.
Zo moet de Europese Commissie de gedragscode algemeen geldend verklaren. Daarnaast moeten de bedrijven van buiten de EU die onder de gedragscode vallen, toezeggingen doen om de persoonsgegevens die zij ontvangen goed te beschermen. Ook wat betreft de privacyrechten van Europese burgers, zoals het recht vergeten te worden.
Deze guidelines zijn nog niet definitief. Iedereen die dat wil, kan tot en met 1 oktober 2021 reageren op de guidelines via de website van de EDPB. Na deze consultatie stelt de EDPB de definitieve guidelines vast.
De andere twee aangenomen guidelines zijn nu definitief. Het commentaar van betrokken partijen is daarin al meegenomen.
EDPB-guidelines ‘verantwoordelijke’ en ‘verwerker’
De Guidelines 07/2020 on the concepts of controller and processor in the GDPR geven uitleg over de begrippen ‘verantwoordelijke’ en ‘verwerker’. Ook gaan de guidelines in op de belangrijkste gevolgen van deze begrippen voor verantwoordelijken, verwerkers en gezamenlijke verantwoordelijken.
De guidelines proberen daarmee partijen te helpen met het beantwoorden van vragen als: ben ik verwerkingsverantwoordelijke? Ben ik verwerker? Of ben ik samen met een andere partij gezamenlijk verantwoordelijk? En wat betekent dat voor mij?
De guidelines vervangen een oud WP29-advies uit 2010 over dezelfde begrippen. Ze zijn vooralsnog alleen in het Engels beschikbaar, maar zullen op termijn ook worden vertaald naar het Nederlands.
Guidelines virtuele spraakassistent
Een virtuele spraakassistent of virtual voice assistant is een applicatie die je bedient met je stem. Deze zit tegenwoordig op de meeste telefoons, tablets en computers (zoals Siri, Google Assistent of Alexa).
Maar ook zit steeds vaker een spraakassistent ingebouwd in andere apparatuur, zoals smart speakers. Een spraakassistent weet heel veel over jou, zoals je zoekgeschiedenis en afspraken in je agenda.
In de Guidelines on virtual voice assistants schrijft de EDPB voor hoe partijen die spraakassistenten aanbieden of ontwikkelen moeten omgaan met de persoonsgegevens die daarbij worden verwerkt.