Databeskyttelsesrådet vedtager udtalelser om de første tværnationale adfærdskodekser, en erklæring om datastyringsforordningen og henstillinger om retsgrundlaget for lagring af kreditkortdata

20 May 2021 EDPB

Bruxelles, den 20. maj — Databeskyttelsesrådet har på sit plenarmøde vedtaget to udtalelser efter databeskyttelsesforordningens artikel 64 om de første udkast til afgørelser vedrørende tværnationale1 adfærdskodekser (kodekser), der var blevet forelagt Databeskyttelsesrådet af de belgiske og de franske tilsynsmyndigheder. Den belgiske tilsynsmyndigheds udkast til afgørelse vedrører EU's adfærdskodeks for cloudtjenester, der er rettet til leverandører af cloudtjenester. Den franske tilsynsmyndigheds udkast til afgørelse vedrører CISPE-adfærdskodeksen, der er rettet til leverandører af cloudinfrastrukturtjenester. Disse kodekser har til formål at yde praktisk vejledning og fastlægge specifikke krav (jf. databeskyttelsesforordningens artikel 28) for databehandlere i EU, der er omfattet af disse kodekser. De må ikke anvendes i forbindelse med internationale overførsler af personoplysninger. Databeskyttelsesrådet er af den opfattelse, at begge adfærdskodeksudkast er i overensstemmelse med databeskyttelsesforordningen og opfylder kravene i dennes artikel 40 og 41. I henhold til databeskyttelsesforordningen kan overholdelse af godkendte adfærdskodekser bruges som et element til at påvise overholdelse af lovgivningen.

Formanden for Databeskyttelsesrådet, Andrea Jelinek, udtaler: "Vi glæder os over de bestræbelser, som kodeksindehaverne har gjort for at udarbejde adfærdskodekser, som er praktiske, gennemsigtige og potentielt omkostningseffektive redskaber til at sikre større sammenhæng i en sektor og fremme overholdelse af databeskyttelsesreglerne".

Databeskyttelsesrådet vedtog en erklæring om datastyringsforordningen i lyset af udviklingen i lovgivningsprocessen. Erklæringen er en opfølgning på den fælles udtalelse fra Databeskyttelsesrådet og Den Europæiske Tilsynsførende for Databeskyttelse om datastyringsforordningen og bekræfter dennes vigtigste bemærkninger. Databeskyttelsesrådet gentager, at der uden solide databeskyttelsesgarantier er en risiko for, at tilliden til den digitale økonomi ikke vil kunne opretholdes. I erklæringen fremhæver Databeskyttelsesrådet derudover behovet for at sikre datastyringsforordningens overensstemmelse med EU's regler om databeskyttelse, og det opfordrer Europa-Parlamentet og Rådet til nøje at overveje visse aspekter, bl.a. samspillet mellem datastyringsforordningen og databeskyttelsesforordningen, og betydningen af at sikre, at de nye definitioner og begreber ikke er uforenelige med databeskyttelsesforordningen.

Endelig vedtog Databeskyttelsesrådet henstillinger om retsgrundlaget for den lagring af kreditkortdata, som udelukkende har til formål at lette yderligere onlinetransaktioner. Henstillingerne omfatter situationer, hvor en registreret køber et produkt eller betaler for en tjeneste via et websted eller en applikation og angiver sine kreditkortdata med henblik på at gennemføre en enkeltstående transaktion. Det ser ud til, at den registrerede i sådanne situationer under normale omstændigheder ikke forventer, at kreditkortoplysningerne opbevares længere, end hvad der er nødvendigt for at betale varerne eller tjenesteydelserne, og det er heller ikke klart, at lagring af kreditkortoplysningerne for at lette fremtidige indkøb er nødvendig for at forfølge den dataansvarliges eller en tredjeparts legitime interesser. Følgelig bør samtykke i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra a), betragtes som det eneste gyldige retsgrundlag for lagring af kreditkortdata efter købet.

1Denne terminologi, der anvendes i Databeskyttelsesrådets retningslinjer 01/2019, omfatter adfærdskodekser vedrørende behandlingsaktiviteter i flere medlemsstater.

 

Baggrundsoplysninger:
Bemærk venligst, at alle dokumenter, der er vedtaget på Det Europæiske Databeskyttelsesråds plenarmøde, er underlagt de nødvendige kontroller af juridisk, sproglig og formateringsmæssig art og vil blive gjort tilgængelige på Det Europæiske Databeskyttelsesråds websted, når disse er afsluttet.

EDPB_Press Release_2021_04