Brüssel, 20. mai - Plenaaristungil võttis Euroopa Andmekaitsenõukogu vastu kaks isikuandmete kaitse üldmääruse1 artikli 64 kohast esimest arvamust Belgia ja Prantsusmaa järelevalveasutuste poolt nõukogule esitatud otsuste eelnõude kohta, mis käsitlevad riikidevahelisi tegevusjuhendeid. Belgia järelevalveasutuse otsuse eelnõus käsitletakse eelkõige EL CLOUDi tegevusjuhendit, mis on adresseeritud pilveteenuse osutajatele. Prantsusmaa järelevalveasutuse otsuse eelnõu käsitleb CISPE tegevusjuhist, mis on adresseeritud pilvetaristuteenuse osutajatele. Nende toimimisjuhendite eesmärk on anda praktilisi juhiseid ja määrata kindlaks konkreetsed nõuded (st isikuandmete kaitse üldmääruse artikkel 28) ELis asuvatele andmetöötlejatele, kelle suhtes neid eeskirju kohaldatakse. Neid ei kasutata isikuandmete rahvusvahelise edastamise kontekstis. Andmekaitsenõukogu on arvamusel, et mõlemad toimimisjuhendi kavandid on kooskõlas isikuandmete kaitse üldmäärusega ning vastavad isikuandmete kaitse üldmääruse artiklites 40 ja 41 sätestatud nõuetele. Isikuandmete kaitse üldmääruse kohaselt võib heakskiidetud toimimisjuhendite järgimist kasutada õigusliku vastavuse tõendamise elemendina.
Euroopa Andmekaitsenõukogu esimees Andrea Jelinek ütles: „Me tervitame toimimisjuhendite omanike jõupingutusi töötada välja tegevusjuhendid, mis on praktilised, läbipaistvad ja potentsiaalselt kulutõhusad vahendid, et tagada sektori suurem sidusus ja edendada andmekaitsenõuete järgimist.“
Euroopa Andmekaitsenõukogu võttis vastu avalduse andmehaldust reguleeriva õigusakti kohta, võttes arvesse õigusloomeprotsessi arengut. Avaldus on järelmeede Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisele arvamusele DGA kohta ja tugevdab selle peamisi märkusi. Euroopa Andmekaitsenõukogu kordab, et ilma tugevate andmekaitsemeetmeteta on oht, et usaldus digitaalmajanduse vastu ei oleks jätkusuutlik. Lisaks rõhutatakse avalduses vajadust tagada DGA kooskõla ELi andmekaitse acquis’ga ning nõutakse tungivalt, et kaasseadusandjad kaaluksid hoolikalt teatavaid aspekte, nagu DGA ja isikuandmete kaitse üldmääruse koosmõju, ning seda, kui oluline on tagada, et uued määratlused ja kontseptsioonid ei oleks vastuolus isikuandmete kaitse üldmäärusega.
Viimasena võttis Euroopa Andmekaitsenõukogu vastu soovitused krediitkaardiandmete säilitamise, mille ainsaks eesmärgiks on hõlbustada edasisi internetipõhiseid tehinguid, õigusliku aluse kohta. Soovitused hõlmavad olukordi, kus andmesubjektid ostavad toote või maksavad teenuse eest veebisaidi või rakenduse kaudu ning esitavad oma krediitkaardiandmed, et teha kordumatu tehing. Näib, et sellistes olukordades ei eelda andmesubjekt mõistlikult, et krediitkaardiandmeid säilitatakse kauem, kui on vajalik kaupade või teenuste eest tasumiseks, samuti ei ole ilmne, et krediitkaardiandmete säilitamine tulevaste ostude hõlbustamiseks on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi järgimiseks. Seega tuleks GDPRi artikli 6 lõike 1 punkti a kohast nõusolekut pidada ainsaks asjakohaseks õiguslikuks aluseks krediitkaardiandmete säilitamiseks pärast ostu sooritamist.
1See Euroopa Andmekaitsenõukogu suunistes 01/2019 kasutatud terminoloogia hõlmab mitmes liikmesriigis toimuva isikuandmete töötlemisega seotud tegevusjuhendeid.
Märkus toimetajatele:
Palun pange tähele, et kõik Euroopa Andmekaitsenõukogu täiskogu istungil vastu võetud dokumendid peavad läbima vajalikud õiguslikud, keelelised ja vorminduslikud kontrollid ning need tehakse pärast valmimist kättesaadavaks Euroopa Andmekaitsenõukogu veebisaidil.
EDPB_Press Release_2021_04