Poročilo iz 49. zasedanja EDPB

Poročilo iz 49. zasedanja EDPB
21. 05. 2021 objavil/a Administrator
EDPB
kodeks ravnanja
kreditne kartice
poročilo
storitve v oblaku

EDPB sprejema mnenja o prvih nadnacionalnih kodeksih ravnanja, Izjavo o Zakonu o upravljanju podatkov, Priporočila o pravni podlagi za shranjevanje podatkov o kreditnih karticah.

20.5.2021

Na svojem plenarnem zasedanju je EDPB sprejel po členu 64 GDPR dve mnenji o prvih osnutkih sklepov o nadnacionalnih[1] kodeksih ravnanja (kodeksih), ki so jih odboru predstavili belgijski in francoski nadzorni organi. Osnutek sklepa belgijskega nadzornega organa se nanaša zlasti na kodeks ravnanja EU CLOUD, naslovljen na ponudnike storitev v oblaku. Osnutek odločitve francoskega organa se nanaša na kodeks ravnanja CISPE, naslovljen na ponudnike storitev infrastrukture v oblaku. Namen teh kodeksov je zagotoviti praktične smernice in opredeliti posebne zahteve (tj. Člen 28 GDPR) za obdelovalce v EU, za katere veljajo ti kodeksi. Ne smejo se uporabljati v okviru mednarodnih prenosov osebnih podatkov. EDPB meni, da sta oba osnutka kodeksov v skladu z GDPR in izpolnjujeta zahteve iz čl. 40 in 41 GDPR. V skladu z uredbo GDPR se upoštevanje odobrenih kodeksov ravnanja lahko uporabi kot element za dokazovanje pravne skladnosti.

Andrea Jelinek, predsednica EDPB, je dejala: "Pozdravljamo prizadevanja lastnikov kodeksa za izdelavo kodeksov ravnanja, ki so praktična, pregledna in potencialno stroškovno učinkovita orodja za zagotovitev večje skladnosti med sektorji in spodbujanje skladnosti z varstvom podatkov."

EDPB je sprejel izjavo o Zakonu o upravljanju podatkov (Data Governance Act-DGA) glede na razvoj zakonodajnega postopka. Izjava je nadaljevanje skupnega mnenja EDPB-EDPS o DGA in poudarja njene glavne pripombe. EDPB ponovno poudarja, da brez zanesljivih zaščitnih ukrepov za varstvo podatkov obstaja tveganje, da zaupanje v digitalno gospodarstvo ne bi bilo vzdržno. Izjava nadalje poudarja potrebo po zagotovitvi skladnosti DGA s pravnim redom EU o varstvu podatkov in poziva sozakonodajalce, naj natančno preučijo nekatere vidike, kot je medsebojno delovanje DGA in GDPR, in pomen zagotovitve, da nove opredelitve in koncepti niso nezdružljivi z GDPR.

Končno je EDPB sprejel priporočila o pravni podlagi za shranjevanje podatkov o kreditnih karticah z izključnim namenom olajšati nadaljnje spletne transakcije. Priporočila zajemajo primere, v katerih posamezniki, na katere se nanašajo osebni podatki, kupijo izdelek ali plačajo storitev prek spletnega mesta ali aplikacije in predložijo podatke o svoji kreditni kartici, da lahko sklenejo edinstveno transakcijo. Zdi se, da v takih situacijah posameznik, na katerega se nanašajo osebni podatki, razumno ne pričakuje, da se bodo podatki o kreditni kartici hranili dlje, kot je potrebno za plačilo blaga ali storitev, prav tako ni očitno, da bi shranjevanje podatkov o kreditni kartici olajšalo prihodnje nakupe je potrebno za zasledovanje zakonitih interesov upravljavca ali tretje osebe. Kot taka privolitev v skladu s čl. 6 (1) (a) GPDR bi bilo treba šteti za edino ustrezno pravno podlago za shranjevanje podatkov o kreditnih karticah po nakupu.

Dnevni red devetinštiridesetega plenarnega zasedanja je na voljo tukaj.

Vir: EDPB

[1]Ta terminologija, uporabljena v smernicah EDPB 01/2019, zajema kodekse ravnanja v zvezi z dejavnostmi obdelave v več državah članicah.