Tietosuojaneuvosto antoi lausunnot ensimmäisistä ylikansallisista käytännesäännöistä, lausunnon tietojen hallintaa koskevasta säädöksestä ja suosituksia luottokorttitietojen tallentamisen oikeusperusteesta

20 May 2021 EDPB

Bryssel 20 päivä toukokuuta — Euroopan tietosuojaneuvosto hyväksyi täysistunnossaan kaksi yleisen tietosuoja-asetuksen 64 artiklan mukaista lausuntoa Belgian ja Ranskan valvontaviranomaisten tietosuojaneuvostolle esittämistä ensimmäisistä ylikansallisia1 käytännesääntöjä koskevista päätösluonnoksista. Belgian valvontaviranomaisen päätösluonnos koskee erityisesti pilvipalvelujen tarjoajille osoitettuja EU:n CLOUD-käytännesääntöjä. Ranskan valvontaviranomaisen päätösluonnos koskee pilvi-infrastruktuuripalvelujen tarjoajille osoitettuja CISPE-käytännesääntöjä. Näiden käytännesääntöjen tarkoituksena on antaa käytännön ohjeita ja määritellä erityisvaatimukset (ks. yleisen tietosuoja-asetuksen 28 artikla) niille toimijoille EU:ssa, joihin näitä käytännesääntöjä sovelletaan. Kyseisiä käytännesääntöjä ei saa käyttää henkilötietojen kansainvälisissä siirroissa. Tietosuojaneuvosto katsoo, että molemmat käytännesääntöluonnokset ovat yleisen tietosuoja-asetuksen mukaisia ja täyttävät yleisen tietosuoja-asetuksen 40 ja 41 artiklassa säädetyt vaatimukset. Yleisen tietosuoja-asetuksen mukaan hyväksyttyjen käytännesääntöjen noudattamista voidaan käyttää osoituksena lainsäädännön noudattamisesta.

Tietosuojaneuvoston puheenjohtaja Andrea Jelinek totesi: ”Olemme tyytyväisiä pyrkimyksiin laatia käytännesääntöjä, jotka ovat käytännöllisiä, avoimia ja mahdollisesti myös kustannustehokkaita välineitä, joilla varmistetaan johdonmukaisuus tietyllä sektorilla ja edistetään tietosuojasäännösten noudattamista.”

Euroopan tietosuojaneuvosto antoi lausunnon datahallintosäädöksestä lainsäädäntöprosessin kehityksen perusteella. Lausunto on jatkoa tietosuojaneuvoston ja Euroopan tietosuojavaltuutetun yhteiselle lausunnolle datahallintosäädöksestä, ja siinä vahvistetaan aiemman lausunnon keskeisiä huomioita. Tietosuojaneuvosto toistaa, että ilman vahvoja tietosuojatakeita on olemassa riski, että luottamus digitaalitalouteen ei olisi kestävää. Lausunnossa korostetaan lisäksi tarvetta varmistaa datahallintosäädöksen yhdenmukaisuus EU:n tietosuojasäännöstön kanssa ja kehotetaan lainsäätäjiä harkitsemaan huolellisesti tiettyjä näkökohtia, kuten datahallintosäädöksen ja yleisen tietosuoja-asetuksen vuorovaikutusta. Lisäksi lausunnossa korostetaan, että on tärkeää varmistaa, että uudet määritelmät ja käsitteet eivät ole ristiriidassa yleisen tietosuoja-asetuksen kanssa.

Tietosuojaneuvosto antoi myös suosituksia luottokorttitietojen tallentamisen oikeusperusteesta, kun tallentamisen ainoana tarkoituksena on helpottaa uusia verkkomaksutapahtumia. Suositukset koskevat tilanteita, joissa rekisteröidyt ostavat tuotteen tai maksavat palvelusta verkkosivuston tai sovelluksen kautta ja toimittavat luottokorttitietonsa yksilöllisen tapahtuman toteuttamiseksi. Vaikuttaa siltä, että tällaisissa tilanteissa rekisteröity ei voi kohtuudella olettaa, että luottokorttitietoja säilytetään pidempään kuin on tarpeen tavaroiden tai palvelujen maksamiseksi, eikä ole ilmeistä, että luottokorttitietojen säilyttäminen tulevien ostosten helpottamiseksi on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdan mukaista suostumusta olisi pidettävä ainoana asianmukaisena oikeusperusteena luottokorttitietojen tallentamiselle ostoksen jälkeen.

1Tämä Euroopan tietosuojaneuvoston suuntaviivoissa 01/2019 käytetty terminologia kattaa käytännesäännöt, jotka liittyvät käsittelytoimiin useissa jäsenvaltioissa.

 

Huomautus toimittajille:
Huomatkaa
, että kaikkiin Euroopan tietosuojaneuvoston täysistunnossa hyväksyttyihin asiakirjoihin tehdään tarvittavat oikeudelliset, kielelliset ja muotoiluun liittyvät tarkistukset ja että ne asetetaan saataville Euroopan tietosuojaneuvoston verkkosivustolla niiden valmistuttua.

EDPB_Press Release_2021_04