WP29 issues guidelines on compliant privacy statement

The Article 29 Working Party (WP29), the European collaboration of data protection authorities, has developed several guidelines to help Google update its privacy policy and thereby meet its obligations regarding European and national data protection laws. Although the guidelines were established with Google in mind, the suggestions might also apply to other companies that process data on a large scale. WP29 is currently also considering issuing guidance on specific issues to the entire industry at a later stage.

Google’s privacy policy has been the object of much scrutiny after the 2012 investigation into its compliance with European Data Protection legislation. Further investigation by national data protection authorities showed that Google’s privacy policy still does not meet the requirements set by national data protection legislation. WP29 has now decided to give Google some suggestions (or guidelines), to help the company in its efforts to comply with the aforementioned requirements.

These guidelines include a list of requirements that Google should meet regarding data protection, along with possible measures to achieve these results, in order to achieve compliance. These measures range from increasing the visibility of Google’s privacy policy to acquiring unambiguous consent from the data subject to use his or her personal data and offering a very personalized privacy policy. Although guidelines issued by the WP29 are not binding, it is recommended to take their suggestions to heart.

Nevertheless, Google is not the only company struggling with its privacy policy. The Dutch Consumers’ Association recently commissioned a report on the privacy policies that apply to the use of certain smart TVs. Considerati was asked to conduct the research and concluded that most of these policies do not comply with national legislation while at the same time being mostly incomprehensible to the general public. (The report written in Dutch is available for download here.)

With the upcoming Data Protection Regulation it will become obligatory for any company to have a transparent and comprehensible privacy policy. By following the WP29 guidelines you can definitely increase the chance of your privacy policy being compliant with EU legislation. Considerati can help you increase your compliance with Data Protection Legislation by identifying blind spots regarding privacy in your organisation. 

Feel free to contact our experts to learn how we can help your organisation increase its privacy compliance.

 

  • De uitspraak bevestigt dat de richtlijn 95/46/EC toepasselijk is op zoekmachines waar het gaat om het verwerken van persoonsgegevens in de context van de verkoop en promotie van advertentieruimte door een zusteronderneming op het EU-territorium.
  • Het recht om vergeten te worden omvat alleen het verwijderen van zoekresultaten die naar boven komen als men op de naam van een persoon zoekt. Het houdt uitdrukkelijk niet in dat de links ook uit de indexen verwijderen moeten worden. Dat betekent dat de oorspronkelijke informatie beschikbaar moet blijven als men bijvoorbeeld andere zoekwoorden invoert of via directe toegang tot de oorspronkelijke bron.
  • Om de rechten van de betrokkene te waarborgen moeten de zoekresultaten niet alleen uit de .eu domeinen worden verwijderd, maar ook uit de .com domeinen. Het EU-recht kan niet worden omzeild.
    De nationale privacytoezichthouders gaan zich focussen op claims waarbij er een duidelijke link is tussen de betrokkene en de EU.
  • De richtlijnen bevatten ook een lijst van 13 punten met criteria die de nationale privacytoezichthouders toepassen bij de behandeling van klachten bij nationale privacytoezichthouders als ‘het recht om vergeten te worden’ niet is gehonoreerd. Deze lijst moet worden gezien als een flexibele work tool, er wordt nog steeds van zaak tot zaak geoordeeld in lijn met nationale wet- en regelgeving.
  • Alle criteria moeten worden gelezen in samenhang met elkaar, een los criteria kan niet doorslaggevend zijn in de beslissing van de nationale toezichthouder. De criteria moeten voornamelijk worden gelezen in het licht van ‘the interest of the general public in having access to [the] information’.

Het is op dit moment nog niet bekend wanneer de lijst met 13 criteria wordt gepubliceerd door de Artikel 29 Werkgroep. Het belang van ‘het recht om vergeten te worden’ is niet meer te ontkennen en kan ook binnen uw organisatie een rol spelen. De experts van Considerati helpen u graag om uit te kristalliseren of uw organisatie in lijn handelt met de geldende wet- en regelgeving op het gebied van privacy. Meer informatie? Neem gerust vrijblijvend contact op met onze privacy experts via info@considerati.com.

Iris Koetsenruijter Senior Juridisch Adviseur

Meer weten over dit onderwerp?

contact me