Evropský sbor pro ochranu osobních údajů (EDPB) přijímá stanoviska k prvním nadnárodním kodexům chování, prohlášení k aktu o ochraně údajů a doporučení k právnímu základu pro uchovávání údajů z kreditních karet

20 May 2021 EDPB

Brusel 20. května — Evropský sbor pro ochranu osobních údajů přijal na svém plenárním zasedání dvě stanoviska podle článku 64 nařízení o ochraně osobních údajů (GDPR) k prvním návrhům rozhodnutí o nadnárodních1 kodexech chování (dále jen kodexy), které sboru předložily belgické a francouzské orgány (dozorové úřady). Návrh rozhodnutí belgického dozorového úřadu se konkrétně týká kodexu chování EU CLOUD určeného poskytovatelům cloudových služeb. Návrh rozhodnutí francouzského dozorového úřadu se týká kodexu chování CISPE určeného poskytovatelům služeb cloudové infrastruktury. Účelem těchto kodexů je poskytnout praktické pokyny a definovat konkrétní požadavky (článek 28 GDPR) na zpracovatele v EU, na něž se tyto kodexy vztahují. Nebudou používány v souvislosti s mezinárodním předáváním osobních údajů. EDPB je toho názoru, že oba návrhy kodexů jsou v souladu s GDPR a splňují požadavky stanovené v článcích 40 a 41 GDPR. Podle GDPR může být jako prvek k prokázání souladu s právními předpisy použito dodržování schválených kodexů chování.

Předsedkyně EDPB Andrea Jelineková k tomu uvedla: „Vítáme úsilí, které držitelé kodexu vynaložili na vypracování kodexů chování – praktických, transparentních a potenciálně nákladově efektivních nástrojů, které zajistí větší jednotnost odvětví a podpoří dodržování ochrany osobních údajů.“

EDPB přijal prohlášení k aktu o správě dat s přihlédnutím k vývoji legislativního procesu. Toto prohlášení navazuje na společné stanovisko EDPB a EIOÚ k aktu o správě dat a podporuje hlavní připomínky obsažené ve stanovisku. EDPB znovu opakuje, že bez spolehlivých záruk ochrany údajů existuje riziko, že důvěra v digitální ekonomiku nebude udržitelná. Prohlášení dále zdůrazňuje, že je třeba zajistit soulad aktu o správě dat s acquis EU v oblasti ochrany údajů, a vyzývá spolunormotvůrce, aby pečlivě zvážili některé aspekty, jako je provázanost aktu o správě dat s GDPR, a upozorňuje, že je třeba zajistit, aby nové definice a pojmy nebyly v rozporu s GDPR.

EDPB rovněž přijal doporučení k právnímu základu pro uchovávání údajů z kreditních karet, jehož výhradním účelem je usnadnění dalších on-line transakcí. Tato doporučení se týkají situací, kdy subjekty údajů zakoupí produkt nebo zaplatí za službu prostřednictvím internetových stránek nebo aplikace a za účelem uzavření jedinečné transakce poskytnou údaje ze své kreditní karty. Zdá se, že v takových situacích subjekt údajů nemůže důvodně očekávat, že údaje z kreditních karet budou uchovávány déle, než je nezbytné k zaplacení zboží nebo služeb, ani není zřejmé, že by uchování údajů z kreditních karet za účelem usnadnění budoucích nákupů bylo nezbytné k naplnění oprávněného zájmu správce údajů nebo třetí strany. Proto by měl být za jediný vhodný právní základ pro uchování údajů z kreditních karet po uskutečnění nákupu považován souhlas podle čl. 6 odst. 1 písm. a) GDPR.

1Tato terminologie použitá v pokynech EDPB č. 01/2019 se vztahuje na kodexy chování týkající se činností zpracování v několika členských státech.

 

Poznámka pro redaktory:
Upozorňujeme, že u všech dokumentů přijatých na plenárním zasedání Evropského sboru pro ochranu osobních údajů se provádí nezbytná právní a lingvistická kontrola a kontrola formátování a že po ukončení kontrol budou tyto dokumenty zpřístupněny na internetových stránkách sboru.

EDPB_Press Release_2021_04