De European Data Protection Board (EDPB) heeft de definitieve versie van guidelines over gedragscodes als doorgifte-instrument aangenomen. In de guidelines staan de voorwaarden om op basis van een gedragscode persoonsgegevens door te geven naar landen buiten de EU.
De EDPB publiceerde in juli 2021 een eerdere versie van deze guidelines. Belanghebbende partijen kregen toen de kans om commentaar te leveren. Dat is verwerkt in de definitieve Guidelines on codes of conduct as tools for transfers.
Er zijn gedragscodes op nationaal niveau, op Europees niveau en op wereldwijd niveau. De wereldwijde gedragscodes dienen óók als doorgifte-instrument. Zo’n gedragscode kan de basis zijn om op een veilige manier persoonsgegevens te versturen vanuit de EU naar landen buiten de EU. Dit is bedoeld voor bedrijven binnen dezelfde sector, maar buiten de EU, om ze te laten toezeggen dat ze zich aan de regels van de gedragscode houden. Dat doen zij via de gedragscode én aanvullende ‘contractuele en juridische verbindingen’.
Privacyrechten
Een nationale gedragscode heeft alleen goedkeuring van de nationale privacytoezichthouder nodig. Voor een wereldwijde gedragscode gelden echter aanvullende voorwaarden. Die worden in de guidelines uitgelegd. Zo moet de Europese Commissie de gedragscode algemeen geldend verklaren. Daarnaast moeten de bedrijven van buiten de EU die onder de gedragscode vallen, toezeggingen doen om de persoonsgegevens die zij ontvangen goed te beschermen. Onder meer door ervoor te zorgen dat EU-inwoners hun privacyrechten kunnen uitoefenen.