Evropský sbor pro ochranu osobních údajů k uchovávání údajů z kreditních karet

Evropský sbor pro ochranu osobních údajů (EDPB) přijal nedávno dokument aktuálního významu – Doporučení ohledně právního základu pro uchovávání údajů z kreditních karet pro výhradní účel usnadnění dalších transakcí.

V souvislosti s pandemií COVID-19 dochází k rozvoji digitální ekonomiky a elektronického obchodu. Tomu odpovídá i nárůst rizik spojených s používáním kreditních karet v online prostoru. Je proto důležité, aby správci dat zaváděli odpovídající záruky k ochraně klientských údajů.

Doporučení si klade za cíl podpořit harmonizované uplatnění pravidel ochrany osobních údajů při používání dat z kreditních karet v celém Evropském hospodářském prostoru.

— Úřad pro ochranu osobních údajů

Konkrétně pak se tento dokument zabývá ukládáním tohoto typu dat u poskytovatelů zboží a služeb na internetu k usnadnění dalších nákupů. Jde tedy o situace, kdy zákazník – subjekt údajů – kupuje produkty nebo služby prostřednictvím webové stránky nebo mobilní aplikace a poskytuje přitom údaje o své kreditní kartě za účelem provedení transakce.

Jako u každého zpracování osobních údajů, i v tomto případě musí mít správce platný právní základ podle článku 6 obecného nařízení o ochraně osobních údajů (GDPR).

V dokumentu se konstatuje, že ne všechny právní základy uvedené v článku 6 GDPR jsou v tomto případě uplatnitelné.

Zpracování dat týkajících se klientovy kreditní karty je nutné k provedení platby a naplnění smlouvy [článek 6 odst. 1 písm. b) GDPR], ale jejich další uchovávání je užitečné jen pro usnadnění dalších případných transakcí a prodejů.

Takový účel nelze pokládat za nezbytně nutný pro naplnění smlouvy o dodání zboží nebo služeb, které už byly zaplaceny.

Dokument postupně rozebírá další právní základy uvedené v článku 6 GDPR. Zvláště podrobně analyzuje, za jakých podmínek by se správce mohl opřít o článek 6 odst. 1 písm. f) GDPR, tedy uplatnit oprávněný zájem svůj nebo třetí strany.

EDPB dospívá k závěru, že jediným právním základem pro předmětný typ zpracování je souhlas zákazníka a držitele karty [článek 6 odst. 1 písm. a) GDPR].

Tento souhlas musí subjekt údajů udělit svobodně, konkrétně, informovaně a jednoznačně ještě před uložením údajů z jeho kreditní karty.

Souhlas nesmí být správcem předjímán a zákazník musí mít možnost udělit ho jasným potvrzujícím úkonem, např. zaškrtnutím příslušného pole ve formuláři. Souhlas musí být také odlišen od souhlasu poskytnutého s obchodními podmínkami a nelze jím podmiňovat dokončení transakce.

V souladu s článkem 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas s uložením údajů z kreditní karty za účelem usnadnění dalších transakcí kdykoliv svobodně a jednoduše odvolat. Stažení souhlasu musí vést k účinnému výmazu daných údajů správcem.

Úplné znění doporučení je dostupné zatím jen v anglickém originále. V dohledné době však bude k dispozici i oficiální český překlad.

Zdroj: