Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka

 

Evropský sbor pro ochranu osobních údajů k uchovávání údajů z kreditních karet

28. 5. 2021 – Evropský sbor pro ochranu osobních údajů (EDPB) přijal nedávno dokument aktuálního významu – Doporučení ohledně právního základu pro uchovávání údajů z kreditních karet pro výhradní účel usnadnění dalších transakcí.
 

 
 
V souvislosti s pandemií COVID-19 dochází k rozvoji digitální ekonomiky a elektronického obchodu. Tomu odpovídá i nárůst rizik spojených s používáním kreditních karet v online prostoru. Je proto důležité, aby správci dat zaváděli odpovídající záruky k ochraně klientských údajů. 

Doporučení si klade za cíl podpořit harmonizované uplatnění pravidel ochrany osobních údajů při používání dat z kreditních karet v celém Evropském hospodářském prostoru. Konkrétně pak se tento dokument zabývá ukládáním tohoto typu dat u poskytovatelů zboží a služeb na internetu k usnadnění dalších nákupů. Jde tedy o situace, kdy zákazník – subjekt údajů – kupuje produkty nebo služby prostřednictvím webové stránky nebo mobilní aplikace a poskytuje přitom údaje o své kreditní kartě za účelem provedení transakce.

Jako u každého zpracování osobních údajů, i v tomto případě musí mít správce platný právní základ podle článku 6 obecného nařízení o ochraně osobních údajů (GDPR). V dokumentu se konstatuje, že ne všechny právní základy uvedené v článku 6 GDPR jsou v tomto případě uplatnitelné. Zpracování dat týkajících se klientovy kreditní karty je nutné k provedení platby a naplnění smlouvy [článek 6 odst. 1 písm. b) GDPR], ale jejich další uchovávání je užitečné jen pro usnadnění dalších případných transakcí a prodejů. Takový účel nelze pokládat za nezbytně nutný pro naplnění smlouvy o dodání zboží nebo služeb, které už byly zaplaceny.

Dokument postupně rozebírá další právní základy uvedené v článku 6 GDPR. Zvláště podrobně analyzuje, za jakých podmínek by se správce mohl opřít o článek 6 odst. 1 písm. f) GDPR, tedy uplatnit oprávněný zájem svůj nebo třetí strany. EDPB dospívá k závěru, že jediným právním základem pro předmětný typ zpracování je souhlas zákazníka a držitele karty [článek 6 odst. 1 písm. a) GDPR]

Tento souhlas musí subjekt údajů udělit svobodně, konkrétně, informovaně a jednoznačně ještě před uložením údajů z jeho kreditní karty. Souhlas nesmí být správcem předjímán a zákazník musí mít možnost udělit ho jasným potvrzujícím úkonem, např. zaškrtnutím příslušného pole ve formuláři. Souhlas musí být také odlišen od souhlasu poskytnutého s obchodními podmínkami a nelze jím podmiňovat dokončení transakce.

V souladu s článkem 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas s uložením údajů z kreditní karty za účelem usnadnění dalších transakcí kdykoliv svobodně a jednoduše odvolat. Stažení souhlasu musí vést k účinnému výmazu daných údajů správcem.

Úplné znění doporučení je dostupné zatím jen v anglickém originále. V dohledné době však bude k dispozici i oficiální český překlad.
 
Zodpovídá: Mgr. Vojtěch Marcín
Vytvořeno / změněno: 28.5.2021 / 28.5.2021

Kontext

Umístění: Složky dokumentů > Novinky
 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém