Ak by chcel obchodník pri online poskytovaní tovaru a služieb dáta z kreditnej karty ukladať s cieľom uľahčenia ďalších nákupov, môže tak urobiť iba na právnom základe súhlasu držiteľa karty.
Autor TASR
Bratislava 8. júla (TASR) - Obchodníci by nemali pri online poskytovaní tovaru bez súhlasu ukladať dáta o platbe. Pri platbe kartou získava obchodník dočasne informácie nevyhnutné na samotnú transakciu, predovšetkým číslo karty, dátum vydania a meno držiteľa. Podľa odporúčaní pre obchodníkov k ukladaniu údajov z kreditných kariet Európskeho výboru pre ochranu osobných údajov (EPDB) ide o osobné údaje, ktoré môže bez výslovného súhlasu držiteľa karty obchodník použiť len na vykonanie jednej konkrétnej transakcie.
Ak by chcel obchodník pri online poskytovaní tovaru a služieb dáta z kreditnej karty ukladať s cieľom uľahčenia ďalších nákupov, môže tak urobiť iba na právnom základe súhlasu držiteľa karty. Tento súhlas musí byť výslovný, slobodný, konkrétny, informovaný a jednoznačný.
"Je veľmi dôležité, aby obchodník vedel pri prípadnej kontrole preukázať, že súhlas bol udelený na základe jasného kladného oznámenia. Obchodník môže od zákazníka získať súhlas napríklad prostredníctvom zaškrtávacieho políčka, ktoré by však nemalo byť vopred zaškrtnuté, pričom získaný súhlas by mal odkazovať na ďalšie doplňujúce informácie v rámci tzv. privacy policy," upozornil odborník na ochranu osobných údajov z advokátskej kancelárie Dagital Legal Jakub Berthoty.
Tvrdí, že súhlas na ukladanie platobných údajov sa musí odlišovať od iných súhlasov a nesmie byť podmienkou dokončenia transakcie. "Netreba zabúdať na možnosť odvolať súhlas, čo by malo znamenať vymazanie dát uložených na základe súhlasu. Na proces, ktorý by mal nasledovať po odvolaní súhlasu, je potrebné myslieť už pri vývoji aplikácie alebo webstránky," doplnil Berthoty.
Ukladanie platobných údajov z kreditných kariet na uľahčenie ďalšej transakcie nemôže byť podľa výboru považované ani za oprávnený záujem. Nie je možné preukázať, že by touto činnosťou obchodník uľahčoval kupujúcemu ďalšie nákupy. Nákup totiž závisí od voľby spotrebiteľa a nie je určený možnosťou zrealizovať ho "jedným kliknutím". Zároveň podľa usmernení výboru sú finančné údaje citlivé osobné údaje a dotknutá osoba, teda kupujúci, nemôže odôvodnene očakávať, že sa údaje o kreditnej karte budú uchovávať dlhšie ako počas transakcie.
Odporúčania výboru sa výslovne nevzťahujú na operačné systémy a prehliadače, ktoré si tiež môžu dané platobné údaje pamätať. Tie chápu dané operácie ako svoju službu s pridanou hodnotou, na ktorej používanie sa môžu vzťahovať osobitné zmluvné podmienky. "V týchto prípadoch nemusí byť súhlas jedinou možnosť a za určitých okolností je možné rozmýšľať aj o plnení zmluvy. Odporúčania však potvrdzujú, že platobné údaje síce nepatria medzi tzv. osobitné kategórie osobných údajov (ktoré nazývame citlivé), ale v praxi sa k nim pristupuje veľmi obozretne. Z môjho pohľadu ide o oveľa citlivejšie údaje, ako sú vymenované v čl. 9 GDPR (Všeobecné nariadenie o ochrane údajov)," dodal Berthoty.
Ak by chcel obchodník pri online poskytovaní tovaru a služieb dáta z kreditnej karty ukladať s cieľom uľahčenia ďalších nákupov, môže tak urobiť iba na právnom základe súhlasu držiteľa karty. Tento súhlas musí byť výslovný, slobodný, konkrétny, informovaný a jednoznačný.
"Je veľmi dôležité, aby obchodník vedel pri prípadnej kontrole preukázať, že súhlas bol udelený na základe jasného kladného oznámenia. Obchodník môže od zákazníka získať súhlas napríklad prostredníctvom zaškrtávacieho políčka, ktoré by však nemalo byť vopred zaškrtnuté, pričom získaný súhlas by mal odkazovať na ďalšie doplňujúce informácie v rámci tzv. privacy policy," upozornil odborník na ochranu osobných údajov z advokátskej kancelárie Dagital Legal Jakub Berthoty.
Tvrdí, že súhlas na ukladanie platobných údajov sa musí odlišovať od iných súhlasov a nesmie byť podmienkou dokončenia transakcie. "Netreba zabúdať na možnosť odvolať súhlas, čo by malo znamenať vymazanie dát uložených na základe súhlasu. Na proces, ktorý by mal nasledovať po odvolaní súhlasu, je potrebné myslieť už pri vývoji aplikácie alebo webstránky," doplnil Berthoty.
Ukladanie platobných údajov z kreditných kariet na uľahčenie ďalšej transakcie nemôže byť podľa výboru považované ani za oprávnený záujem. Nie je možné preukázať, že by touto činnosťou obchodník uľahčoval kupujúcemu ďalšie nákupy. Nákup totiž závisí od voľby spotrebiteľa a nie je určený možnosťou zrealizovať ho "jedným kliknutím". Zároveň podľa usmernení výboru sú finančné údaje citlivé osobné údaje a dotknutá osoba, teda kupujúci, nemôže odôvodnene očakávať, že sa údaje o kreditnej karte budú uchovávať dlhšie ako počas transakcie.
Odporúčania výboru sa výslovne nevzťahujú na operačné systémy a prehliadače, ktoré si tiež môžu dané platobné údaje pamätať. Tie chápu dané operácie ako svoju službu s pridanou hodnotou, na ktorej používanie sa môžu vzťahovať osobitné zmluvné podmienky. "V týchto prípadoch nemusí byť súhlas jedinou možnosť a za určitých okolností je možné rozmýšľať aj o plnení zmluvy. Odporúčania však potvrdzujú, že platobné údaje síce nepatria medzi tzv. osobitné kategórie osobných údajov (ktoré nazývame citlivé), ale v praxi sa k nim pristupuje veľmi obozretne. Z môjho pohľadu ide o oveľa citlivejšie údaje, ako sú vymenované v čl. 9 GDPR (Všeobecné nariadenie o ochrane údajov)," dodal Berthoty.