Wat zijn de belangrijkste aspecten?
De European Data Protection Board (hierna: EDPB) heeft op 7 september twee nieuwe richtsnoeren beschikbaar gesteld voor openbare raadpleging. Richtsnoer 07/2020 behandelt de begrippen ‘verantwoordelijke’ en ‘verwerker’ uit de AVG en Richtsnoer 08/2020 richt zich op de rollen en verantwoordelijkheden van adverteerders en aanbieders op het gebied van sociale media. In deze blog zet ik kort een aantal belangrijke aspecten van deze richtsnoeren op een rij.
Richtsnoer 07/2020: verwerkingsverantwoordelijke of verwerker
Het is voor bedrijven die persoonsgegevens verwerken veelal onduidelijk of zij in het kader van de AVG als verwerkingsverantwoordelijke of als verwerker optreden. Ook het vaststellen van de rol van derde partijen met wie samengewerkt wordt, leidt in de praktijk vaak tot verwarring. Het feit dat de rolindeling per dienst of verwerkingsactiviteit kan verschillen, voegt voor veel bedrijven toe aan die verwarring. De EDPB heeft de behoefte aan praktische richtsnoeren erkent en hiertoe een bijgewerkte versie van de eerdere WP29 versie beschikbaar gesteld.
Het nieuwe richtsnoer bestaat uit twee delen. In het eerste deel worden de begrippen ‘verwerkingsverantwoordelijke’, ‘gezamenlijk verwerkingsverantwoordelijken’, ‘verwerker’ en ‘derde of ontvanger’ toegelicht. Ook worden er door de EDPB per rol een aantal praktische voorbeelden gegeven.
Het tweede deel bevat gedetailleerde richtsnoeren met betrekking tot de belangrijkste gevolgen die deze begrippen hebben voor de verwerkingsverantwoordelijken, verwerkers en gezamenlijk verwerkingsverantwoordelijken. Achterin het richtsnoer is een flowchart opgenomen die kan worden gebruikt als beslisboom.
Belangrijke punten
De EDPB benoemt dat het voor de verwerkersovereenkomst van belang is dat deze specifieke en concrete informatie bevat en niet alleen de bepalingen van de AVG herformuleert. Een groot deel van het richtsnoer behandelt de noodzakelijke informatie die deel uit dient te maken van een verwerkersovereenkomst. Hierbij zijn een aantal verduidelijkingen opgenomen welke verder gaan dan voorgaande richtsnoeren, zoals bijvoorbeeld de verplichting om een bepaald niveau van detail op te nemen rondom de aanstelling van sub-verwerkers.
De EDPB hanteert in haar richtsnoer een zeer brede definitie van het begrip ‘gezamenlijke verwerkingsverantwoordelijkheid’, in lijn met recente uitspraken van het Europees Hof van Justitie. In het kader van gezamenlijke verwerkingsverantwoordelijkheid wordt in de AVG geen eis gesteld rondom de vorm van overeenkomst. Toch beveelt de EDPB in de richtsnoer partijen aan om een onderlinge regeling te treffen in de vorm van een bindend document. Hierbij gaat de EDPB in op een aantal specifieke onderdelen welke opgenomen dienen te worden en wordt de nadruk gelegd op de noodzaak om duidelijk in kaart te brengen wat de bevoegdheden en verantwoordelijkheden zijn van beiden partijen.
Richtsnoer 08/2020: adverteerders en aanbieders sociale media
De interesse in en het belang van sociale media is de laatste jaren enorm toegenomen. Sociale media aanbieders profiteren hiervan, nu zij als onderdeel van hun verdienmodel targeting services aanbieden. Sociale media verzamelen data van hun gebruikers en bieden vervolgens de mogelijkheid aan adverteerders, ook wel targeters genoemd, om op basis van deze data gericht te kunnen adverteren.
Het combineren en analyseren van soms gevoelige persoonsgegevens in combinatie met gebrek aan transparantie kan leiden tot potentiële privacy risico’s voor de gebruikers van sociale media. Het doel van de EDPB is dan ook om de rollen en verantwoordelijkheden van adverteerders en aanbieders van sociale media in het richtsnoer te verduidelijken.
Belangrijke punten
De EDPB onderscheidt drie technieken van targeten; het targeten op basis van door de gebruikers zelf verstrekte data (bijvoorbeeld uw leeftijd en geslacht op uw profiel), op basis van geobserveerde data (bijvoorbeeld like-gedrag) of op basis van afgeleide data (afgeleid uit verstrekte en geobserveerde data). Per techniek wordt door de EDPB ingegaan op de rol van partijen, de verhouding tussen partijen en de grondslag die vereist is voor de verwerking van persoonsgegevens.
Vervolgens benadrukt de EDPB het belang van een correcte identificatie van de rollen en verantwoordelijkheden van de verschillende belanghebbenden, en noemt hierbij de arresten Wirtschaftsakademie en Fashion ID van het HvJEU. Interessant is dat er uit de richtlijn kan worden opgemaakt dat er al snel gezamenlijke verantwoordelijkheid tussen de sociale media aanbieder en de targeter zal worden aangenomen, waarbij het niet noodzakelijk is dat de partijen ook voor gelijke delen verantwoordelijk zijn.
Ook opvallend is dat de EDPB gerechtvaardigd belang noemt als mogelijke grondslagen voor de verwerking van persoonsgegevens. De Autoriteit Persoonsgegevens had eerder in haar normuitleg over gerechtvaardigd belang juist opgemerkt dat bij een zuiver commercieel belang de grondslag gerechtvaardigd belang niet kan worden gebruikt.
Voor geobserveerde en afgeleide data wordt genoemd dat de grondslag van gerechtvaardigd belang niet gebruikt kan worden, nu op deze verwerkingen de ePrivacy verordening van toepassing is en op grond hiervan reeds toestemming is vereist.
Tot slot geeft de richtlijn aan dat de adverteerder en sociale media provider afspraken moeten maken om hun onderlinge verantwoordelijkheden onder de AVG vast te leggen, onder meer over transparantie en individuele rechten.
De richtsnoeren zijn op dit moment nog in concept en staan open voor raadpleging tot 19 oktober 2020. Tot die tijd kunnen terugkoppelingen gedeeld worden met de EDPB.
