Evropský sbor pro ochranu osobních údajů k uchovávání údajů z kreditních karet
Evropský sbor pro ochranu osobních údajů (EDPB) přijal nedávno dokument aktuálního významu – Doporučení ohledně právního základu pro uchovávání údajů z kreditních karet pro výhradní účel usnadnění dalších transakcí.
V souvislosti s pandemií COVID-19 dochází k rozvoji digitální ekonomiky a elektronického obchodu. Tomu odpovídá i nárůst rizik spojených s používáním kreditních karet v online prostoru. Je proto důležité, aby správci dat zaváděli odpovídající záruky k ochraně klientských údajů.
Doporučení si klade za cíl podpořit harmonizované uplatnění pravidel ochrany osobních údajů při používání dat z kreditních karet v celém Evropském hospodářském prostoru.
— Úřad pro ochranu osobních údajů
Konkrétně pak se tento dokument zabývá ukládáním tohoto typu dat u poskytovatelů zboží a služeb na internetu k usnadnění dalších nákupů. Jde tedy o situace, kdy zákazník – subjekt údajů – kupuje produkty nebo služby prostřednictvím webové stránky nebo mobilní aplikace a poskytuje přitom údaje o své kreditní kartě za účelem provedení transakce.
Jako u každého zpracování osobních údajů, i v tomto případě musí mít správce platný právní základ podle článku 6 obecného nařízení o ochraně osobních údajů (GDPR).
V dokumentu se konstatuje, že ne všechny právní základy uvedené v článku 6 GDPR jsou v tomto případě uplatnitelné.
Zpracování dat týkajících se klientovy kreditní karty je nutné k provedení platby a naplnění smlouvy [článek 6 odst. 1 písm. b) GDPR], ale jejich další uchovávání je užitečné jen pro usnadnění dalších případných transakcí a prodejů.
Takový účel nelze pokládat za nezbytně nutný pro naplnění smlouvy o dodání zboží nebo služeb, které už byly zaplaceny.
Dokument postupně rozebírá další právní základy uvedené v článku 6 GDPR. Zvláště podrobně analyzuje, za jakých podmínek by se správce mohl opřít o článek 6 odst. 1 písm. f) GDPR, tedy uplatnit oprávněný zájem svůj nebo třetí strany.
EDPB dospívá k závěru, že jediným právním základem pro předmětný typ zpracování je souhlas zákazníka a držitele karty [článek 6 odst. 1 písm. a) GDPR].
Tento souhlas musí subjekt údajů udělit svobodně, konkrétně, informovaně a jednoznačně ještě před uložením údajů z jeho kreditní karty.
Souhlas nesmí být správcem předjímán a zákazník musí mít možnost udělit ho jasným potvrzujícím úkonem, např. zaškrtnutím příslušného pole ve formuláři. Souhlas musí být také odlišen od souhlasu poskytnutého s obchodními podmínkami a nelze jím podmiňovat dokončení transakce.
V souladu s článkem 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas s uložením údajů z kreditní karty za účelem usnadnění dalších transakcí kdykoliv svobodně a jednoduše odvolat. Stažení souhlasu musí vést k účinnému výmazu daných údajů správcem.
Úplné znění doporučení je dostupné zatím jen v anglickém originále. V dohledné době však bude k dispozici i oficiální český překlad.
Zdroj: