EDPB stelt adviezen vast over eerste transnationale gedragscodes, alsmede een verklaring inzake de datagovernanceverordening en aanbevelingen over de rechtsgrondslag voor het opslaan van creditcardgegevens

20 May 2021 EDPB

Brussel, 20 mei — De EDPB heeft tijdens zijn plenaire zitting twee adviezen op basis van artikel 64 AVG aangenomen over de eerste ontwerpbesluiten inzake transnationale1 gedragscodes, die door de Belgische en Franse toezichthoudende autoriteiten aan het Comité zijn voorgelegd. In het bijzonder gaat het ontwerpbesluit van de Belgische toezichthoudende autoriteit over de EU Cloud-gedragscode, die bestemd is voor verleners van clouddiensten. Het ontwerpbesluit van de Franse toezichthoudende autoriteit heeft betrekking op de gedragscode van CISPE, die bestemd is voor verleners van cloudinfrastructuurdiensten. Deze gedragscodes zijn bedoeld om praktisch advies te bieden en specifieke voorschriften (d.w.z. artikel 28 AVG) vast te leggen voor verwerkers in de EU op wie deze gedragscodes van toepassing zijn. Zij mogen niet worden gebruikt wanneer er sprake is van internationale overdracht van persoonsgegevens. Volgens de EDPB zijn beide ontwerpgedragscodes in overeenstemming met de AVG en voldoen ze aan de voorschriften van de artikelen 40 en 41 AVG. Volgens de AVG kan aansluiting bij goedgekeurde gedragscodes worden gebruikt als element om aan te tonen dat de wetgeving wordt nageleefd.

Andrea Jelinek, voorzitter van het Europees Comité voor gegevensbescherming: “Wij waarderen de inspanningen van de gedragscodehouders bij het opstellen van gedragscodes. Deze codes zijn een praktisch, transparant en mogelijk rendabel middel om de consistentie in een sector te verbeteren en om de naleving van de gegevensbeschermingsregels te stimuleren.”

In het licht van de ontwikkelingen in het wetgevingsproces heeft de EDPB ook een verklaring over de datagovernanceverordening aangenomen. Deze verklaring volgt op het gezamenlijke advies van de EDPB en de EDPS over de datagovernanceverordening, en versterkt de voornaamste opmerkingen van dat advies. De EDPB wijst er opnieuw op dat er een risico is dat het vertrouwen in de digitale economie niet behouden blijft zonder sterke garanties voor de gegevensbescherming. In de verklaring is verder onderstreept dat moet worden gegarandeerd dat de datagovernanceverordening consistent is met het EU-acquis inzake gegevensbescherming. Bovendien worden de medewetgevers aangespoord om rekening te houden met bepaalde aspecten, zoals de wisselwerking tussen de datagovernanceverordening en de AVG, en ervoor te zorgen dat de nieuwe definities en begrippen verenigbaar zijn met de AVG.

Ten slotte heeft de EDPB aanbevelingen aangenomen over de rechtsgrondslag voor het opslaan van creditcardgegevens met de vergemakkelijking van latere online transacties als enig doel. De aanbevelingen behandelen situaties waarin betrokkenen via een website of app een product kopen of voor een dienst betalen en hun creditcardgegevens verstrekken om een eenmalige transactie te kunnen uitvoeren. Het lijkt erop dat in dergelijke situaties de betrokkene redelijkerwijs niet verwacht dat de creditcardgegevens langer worden bewaard dan voor de afrekening van de goederen of diensten nodig is. Het is ook niet vanzelfsprekend dat het opslaan van creditcardgegevens om toekomstige aankopen te vergemakkelijken noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Daarom dient toestemming overeenkomstig artikel 6, lid 1, punt a), AVG te worden beschouwd als de enige passende rechtsgrond voor de opslag van creditcardgegevens na de aankoop.

1Deze terminologie uit de Richtsnoeren 01/2019 van de EDPB heeft betrekking op gedragscodes over verwerkingen in meerdere lidstaten.

 

Noot voor de redactie:
Alle documenten die tijdens de plenaire zitting van het Europees Comité voor gegevensbescherming worden aangenomen, worden onderworpen aan de nodige juridische, taalkundige en formatteringscontroles en zullen op de website van het comité beschikbaar worden gesteld zodra deze controles zijn afgerond.

EDPB_Press Release_2021_04