EDPB: Pohrana podataka o platnim karticama samo uz privolu!

Europski odbor za zaštitu podataka nedavno je objavio još jedne preporuke, ovaj put namijenjene onima koji pružaju uslugu online kartičnog plaćanja. Preporuke 02/2021 o pravnoj osnovi za pohranu podataka o kreditnim karticama za svrhe olakšavanja naknadnih online transakcija objašnjavaju logiku iza identificiranja odgovarajuće pravne osnove i zaključuju da je to – privola ispitanika!

Radi se o slučajevima kad online trgovina ili drugi pružatelj usluge naplate omogućuje pohranu podataka o kreditnoj kartici s ciljem da isti korisnik svoju sljedeću kupovinu može obaviti brže i jednostavnije. Naime, iako bi se za plaćanje svake pojedine narudžbe odgovarajućom pravnom osnovom za obradu podataka o kreditnoj kartici mogla smatrati „nužnost za ispunjavanjem ugovora u kojem je ispitanik stranka“ (GDPR 6.1.b), ista pravna osnova nije primjerena za daljnju pohranu tih podataka jer se „ugovor“ u kontekstu predmetne odredbe odnosi samo na trenutnu, ali ne i na buduće narudžbe.

Prilikom procjene može li se „legitimni interes“ (GDPR 6.1.f) smatrati primjerenom pravnom osnovom, EDPB obrazlaže i zaključuje da – ne. Za obrade temeljene na legitimnom interesu potrebno je provesti procjenu legitimnog interesa (LIA) koja se sastoji od testa svrhe, testa nužnosti i testa ravnoteže. EDPB je zaključio da ovakva obrada ne može proći testove nužnosti i ravnoteže jer:

  1. Pohrana tih podataka nije nužna da bi se naplata trenutne narudžbe mogla izvršiti, te
  2. Financijski podaci, uključujući i podatke o kreditnim karticama, smatraju se posebno osobnim i osjetljivim podacima te bi slučajevi povrede takvih podataka rezultirali visokim rizicima za prava i slobode ispitanika.
  3. Ispitanik prilikom plaćanja trenutne narudžbe ne očekuje da će voditelj obrade podatke o platnoj kartici pohraniti u svrhu ponovnog korištenja pri budućim narudžbama.

Ostale pravne osnove jednostavno je eliminirati:

  • Ne postoji pravna obveza za pohranu podataka o kreditnoj kartici u svrhu olakšavanja plaćanja u budućnosti
  • Ne postoji značajan javni interes za pohranu takvih podataka
  • Ne postoji potreba za zaštitom ključnih interesa ispitanika ili drugih fizičkih osoba

Eliminacijom svih ostalih mogućnosti, ostala je samo privola ispitanika. EDPB u tom slučaju napominje da privola mora biti slobodno dana, dana jasnom potvrdnom radnjom te da treba biti razumljiva i odvojena od ostalog sadržaja. Također, ispitanik treba imati mogućnost povući privolu jednako jednostavno kao što ju je i dao, a voditelj obrade dužan je odmah nakon povlačenja privole obrisati podatke na koje se ona odnosi.