Hyppää sisältöön

Euroopan tietosuojaneuvostolta lausunnot ensimmäisistä ylikansallisista käytännesäännöistä ja suosituksia luottokorttitietojen tallentamisen oikeusperusteesta

Julkaisuajankohta 28.5.2021 9.49
Uutinen

Euroopan tietosuojaneuvosto on hyväksynyt toukokuun täysistunnossaan 19.5. kaksi lausuntoa Belgian ja Ranskan valvontaviranomaisten esittelemistä ensimmäisiä ylikansallisia käytännesääntöjä koskevista päätösluonnoksista. Lisäksi neuvosto hyväksyi datahallintosäädöstä koskevan lausunnon ja antoi suosituksia luottokorttitietojen tallentamisen oikeusperusteesta tapauksissa, joissa tietojen tallentamisen ainoana tarkoituksena on tehdä uusien verkkomaksujen tekeminen helpommaksi.

Lausunnot ensimmäisistä ylikansallisista käytännesäännöistä

Belgian valvontaviranomaisen päätösluonnos koskee pilvipalvelujen tarjoajille tarkoitettuja EU:n CLOUD-käytännesääntöjä ja Ranskan valvontaviranomaisen päätösluonnos CISPE-käytännesääntöjä, jotka on osoitettu pilvi-infrastruktuuripalvelujen tarjoajille. Käytännesääntöjen tarkoituksena on antaa käytännön ohjeita ja määritellä erityisvaatimukset henkilötietojen käsittelyyn niille toimijoille EU:ssa, joihin kyseisiä käytännesääntöjä sovelletaan.

Tietosuojaneuvosto katsoo, että molemmat käytännesääntöluonnokset ovat yleisen tietosuoja-asetuksen mukaisia ja täyttävät tietosuoja-asetuksessa säädetyt vaatimukset.

Lausunnot Euroopan tietosuojaneuvoston verkkosivuilla:
Lausunto Belgian valvontaviranomaisen käytännesääntöluonnoksesta
Lausunto Ranskan valvontaviranomaisen käytännesääntöluonnoksesta

Tietosuojaneuvostolta lausunto datanhallintosäädöksestä

Euroopan tietosuojaneuvosto antoi lausunnon datahallintosäädöksestä (Data Governance Act) lainsäädäntöprosessin kehityksen perusteella. Lausunnossa vahvistetaan keskeisiä huomioita, joita tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu nostivat esiin yhteisessä lausunnossaan maaliskuussa.

Tietosuojaneuvosto toistaa, että ilman vahvoja tietosuojatakeita luottamus digitaalitalouteen ei välttämättä ole kestävää. Lausunnossa korostetaan lisäksi, että datahallintosäädöksen yhdenmukaisuus EU:n tietosuojasäännöstön kanssa tulisi varmistaa. Lisäksi on tärkeää, että uudet määritelmät ja käsitteet eivät ole ristiriidassa yleisen tietosuoja-asetuksen kanssa.

Lausunto datahallintosäädöksestä tietosuojaneuvoston verkkosivulla

Suostumusta tulisi käyttää luottokorttitietojen tallennuksen oikeusperusteena

Tietosuojaneuvosto antoi myös suosituksia luottokorttitietojen tallentamisen oikeusperusteesta, kun tallentamisen ainoana tarkoituksena on helpottaa uusien verkkomaksujen tekemistä. Suositukset koskevat tilanteita, joissa rekisteröidyt ostavat tuotteen tai maksavat palvelusta verkkosivuston tai sovelluksen kautta ja toimittavat luottokorttitietonsa maksutapahtumaa varten.

Tietosuojaneuvosto katsoo, ettei rekisteröity tällaisissa tilanteissa voi kohtuudella olettaa, että luottokorttitietoja säilytetään pidempään kuin tavaroiden tai palvelujen maksamiseksi on tarpeen. Ei ole myöskään ilmeistä, että luottokorttitietojen säilyttäminen tulevien ostosten helpottamiseksi on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Yleisen tietosuoja-asetuksen mukaista suostumusta olisi pidettävä ainoana asianmukaisena oikeusperusteena luottokorttitietojen tallentamiselle ostoksen jälkeen.

Suositukset luottokorttitietojen tallentamisen oikeusperusteesta tietosuojaneuvoston verkkosivuilla (pdf, englanniksi)

Lisätietoja

Tiedote tietosuojaneuvoston verkkosivuilla: EDPB adopts opinions on first transnational codes of conduct, Statement on Data Governance Act, Recommendations on the legal basis for the storage of credit card data (20.5.2021)

Sivun alkuun