Bruksela, 20 maja - W trakcie sesji plenarnej EROD przyjęła dwie opinie na podstawie art. 64 RODO w sprawie pierwszych projektów decyzji w sprawie transgranicznych1 kodeksów postępowania („kodeksy”) przedstawionych EROD przez belgijski i francuski organ nadzorczy. W szczególności projekt decyzji belgijskiego organu nadzorczego odnosi się do kodeksu postępowania EU cloud dotyczącego przetwarzania w chmurze, skierowanego do dostawców usług w chmurze. Z kolei projekt decyzji francuskiego organu nadzorczego dotyczy kodeksu postępowania CISPE skierowanego do dostawców usług infrastruktury do przetwarzania w chmurze. Kodeksy te mają na celu zapewnienie praktycznych wskazówek i określenie szczególnych wymogów (tj. art. 28 RODO) dla podmiotów przetwarzających w UE podlegających tym kodeksom. Nie należy ich stosować w kontekście międzynarodowego przekazywania danych osobowych. EROD jest zdania, że oba projekty kodeksów są zgodne z RODO i spełniają wymogi określone w art. 40 i 41 RODO. Jak przewidziano w RODO, przestrzeganie zatwierdzonych kodeksów postępowania może być jednym ze sposobów wykazania zgodności z prawem.
Przewodnicząca EROD Andrea Jelinek powiedziała: „Z zadowoleniem przyjmujemy wysiłki podejmowane przez twórców kodeksów postępowania w celu ich dopracowania. Kodeksy te stanowią praktyczne, przejrzyste i potencjalnie opłacalne narzędzia mające zapewnić większą spójność w sektorze i wspierać przestrzeganie zasad ochrony danych.”
EROD przyjęła oświadczenie dotyczące rozporządzenia w sprawie zarządzania danymi w świetle rozwoju procesu legislacyjnego. W oświadczeniu tym, będącym następstwem wspólnej opinii EROD i EIOD dotyczącej rozporządzenia w sprawie zarządzania danymi, podkreślono główne uwagi sformułowane w opinii. EROD po raz kolejny przypomina, że brak solidnych zabezpieczeń w zakresie ochrony danych może spowodować ryzyko utraty zaufania do gospodarki cyfrowej. W oświadczeniu podkreślono ponadto potrzebę zapewnienia spójności aktu w sprawie zarządzania danymi z dorobkiem prawnym UE w zakresie ochrony danych. Wezwano w nim współprawodawców do uważnego rozważenia niektórych aspektów, takich jak wzajemne oddziaływanie między tym rozporządzeniem a RODO oraz znaczenie zapewnienia zgodności nowych definicji i pojęć z RODO.
Ponadto EROD przyjęła zalecenia w sprawie podstawy prawnej przechowywania danych kart kredytowych wyłącznie w celu ułatwienia dalszych transakcji online. Zalecenia odnoszą się do sytuacji, w których osoby, których dane dotyczą, kupują produkt lub płacą za usługę za pośrednictwem strony internetowej lub aplikacji i przekazują swoje dane karty kredytowej w celu zawarcia pojedynczej transakcji. Wydaje się, że w takich sytuacjach osoba, której dane dotyczą, racjonalnie nie oczekuje, że dane karty kredytowej będą przechowywane przez okres dłuższy niż ten, który jest niezbędny do zapłaty za towary lub usługi, ani też nie jest oczywiste, że przechowywanie danych karty kredytowej w celu ułatwienia przyszłych zakupów jest niezbędne do realizacji prawnie uzasadnionego interesu administratora danych lub strony trzeciej. W związku z tym zgodę, o której mowa w art. 6 ust. 1 lit. a) RODO, należy uznać za jedyną właściwą podstawę prawną przechowywania danych karty kredytowej po dokonaniu zakupu.
1Terminologia stosowana w wytycznych EROD 01/2019 obejmuje kodeksy postępowania dotyczące czynności przetwarzania w niektórych państwach członkowskich.
Informacje dla redaktorów:
Uwaga – wszystkie dokumenty przyjęte podczas posiedzenia plenarnego EROD podlegają niezbędnym kontrolom pod względem prawnym, językowym i pod względem formatowania i będą udostępniane na stronie internetowej EROD po zakończeniu tych kontroli.
EDPB_Press Release_2021_04