V dôsledku pandemickej situácie sa za posledný rok rapídne zvýšil dopyt po realizácii online nákupov a iných transakcií, čo viedlo Európsky výbor pre ochranu údajov (ďalej len ,,EDPB“) k vykonaniu prieskumu, či je uchovávanie údajov o platobných kartách bezpečným riešením. Iste ste postrehli, že predovšetkým e-shopy či aplikácie slúžiace na realizovanie nákupov tovarov a služieb, po vykonaní samotného nákupu, uchovávajú vaše údaje o platobných kartách, aby ste v prípade budúcej transakcie nemuseli strácať čas vypĺňaním týchto údajov nanovo.

Otázkou však je, či pre prevádzkovateľa existuje relevantný právny základ na uchovávanie tak citlivých osobných údajov, akými sú údaje o kreditných kartách. V zmysle Odporúčania, ktoré prijalo EDPB, prevádzkovateľ nie je oprávnený uchovávať tieto údaje bez predchádzajúceho a slobodného súhlasu dotknutej osoby.

Článok 6 ods. 1 GDPR, obsahuje taxatívny výpočet právnych základov, na ktorých je možné založiť spracúvanie osobných údajov. Týmito právnymi základmi sú:

1. súhlas dotknutej osoby,
2. plnenie zmluvy s dotknutou osobou,
3. splnenie zákonnej povinnosti,
4. životne dôležitý záujem,
5. verejný záujem,
6. oprávnený záujem prevádzkovateľa.

Keďže údaje o kreditnej karte môžeme bez akýchkoľvek pochýb zaradiť medzi kategóriu osobných údajov, prevádzkovateľ na ich spracúvanie nevyhnutne potrebuje niektorý z uvedených šiestich právnych základov.  O verejnom záujme, životne dôležitom záujme ako ani o plnení zákonnej povinnosti hovoriť nemožno. K dispozícii tak ostávajú právne základy ako plnenie zmluvy, oprávnený záujem prevádzkovateľa a súhlas samotnej dotknutej osoby.

1. Plnenie zmluvy

EDBP dospel k záveru, že právny základ plnenie zmluvnej povinnosti s dotknutou osobou, nie je relevantným právnym základom pre spracúvanie údajov o kreditných kartách. Zdôvodnenie si vysvetlíme na príklade: V prípade typickej kúpnej zmluvy uzavretej prostredníctvom e-shopu, je povinnosťou predávajúceho (prevádzkovateľa), dodať príslušný tovar kupujúcemu (dotknutá osoba) a zároveň povinnosť kupujúceho za príslušný tovar zaplatiť kúpnu cenu. Pokiaľ sa kupujúci rozhodne zaplatiť kúpnu cenu za tovar online platbou – kreditnou kartou, do objednávkového formulára zadáva svoje údaje z kreditnej karty výlučne za účelom úhrady kúpnej ceny za konkrétny objednaný produkt. Po dodaní objednaného tovaru, predávajúcemu už z danej kúpnej zmluvy nevyplývajú ďalšie povinnosti a preto nemôže ako budúci legitímny právny základ spracúvania údajov o kreditnej karte kupujúceho, zvoliť právny titul plnenia zmluvy.

2. Oprávnený záujem

Oprávneným záujmom sa v kontexte spracúvania osobných údajov rozumie ochrana práv a právom chránených záujmov prevádzkovateľa prípadne tretej strany, najmä ochrana majetku, bezpečnosti alebo iných záujmov prevádzkovateľa. Na to, aby bol oprávnený záujem legálnym a legitímnym právnym základom, je nevyhnutné aby záujem prevádzkovateľa prevyšoval nad záujmami dotknutých osôb. Z uvedeného dôvodu je prevádzkovateľ povinný vždy najskôr vykonať test proporcionality, ktorého výsledok potvrdí alebo vyvráti, prevahu jeho oprávneného záujmu.

EDPB zastáva názor, že nakoľko budúca transakcia vždy záleží od výberu ďalšieho tovaru alebo služby od dotknutej osoby, nemožno tu hovoriť o oprávnenom záujme prevádzkovateľa. Uchovávanie údajov o kreditnej karte nijakým spôsobom totiž prevádzkovateľovi negarantuje, že dotknutá osoba – kupujúci vykoná ďalší nákup tovaru práve u neho. Prevádzkovateľovi tak uchovávanie týchto údajov nechráni ani majetkové záujmy ani žiadne iné záujmy.

3. Súhlas dotknutej osoby

Napokon tu ostáva posledný právny základ, ktorým je súhlas dotknutej osoby. Tento právny základ sa využíva vtedy, keď prevádzkovateľ nedisponuje iným legálnym a legitímnym právnym základom, na ktorom by mohol založiť spracúvanie osobných údajov fyzickej osoby. V kontexte údajov o kreditných kartách je tak podľa EDPB súhlas dotknutej osoby jediným relevantným právnym základom pre uchovávanie týchto údajov. Súhlas dotknutej osoby musí zároveň spĺňať všetky zákonom predpísané náležitosti a teda musí byť slobodne daný, konkrétny, informovaný, jednoznačný, ako aj preukázateľný. Dotknutá osoba musí byť ešte pred samotným poskytnutím svojho súhlasu informovaná o tom, kto bude jej osobné údaje spracúvať, za akým účelom budú jej osobné údaje spracúvané, a aký rozsah jej osobných údajov bude za daným účelom spracúvaný. Neopomenuteľnou súčasťou informačnej povinnosti je aj poučenie dotknutej osoby o jej práve svoj poskytnutý súhlas kedykoľvek odvolať.