Zalecenia EROD dot. przechowywania danych dotyczących kart kredytowych

19 maja 2021 roku Europejska Rada Ochrony Danych („EROD”) przyjęła zalecenia w sprawie podstawy prawnej dla przechowywania danych dotyczących kart kredytowych wyłącznie w celu ułatwienia dalszych transakcji internetowych („Zalecenia”).

Zalecenia – czego dotyczą i do kogo są skierowane?

Cyfryzacja oraz pandemia COVID-19 zwiększyła liczbę transakcji internetowych. Częste są sytuacje, w których klienci muszą podać przedsiębiorcy dane z karty kredytowej, aby dokonać zakupu. W celu ułatwienia dokonywania dalszych transakcji, dostawcy dóbr i usług mogą przechowywać dane z kart kredytowych klientów, tak aby ci nie musieli ich ponownie wpisywać. Takie działanie wiąże się jednak z ryzykiem nielegalnego przetwarzania danych osobowych zawartych na takich kartach. Celem Zaleceń jest zabezpieczenie podmiotów, których dane dotyczą, poprzez wskazanie odpowiedniej podstawy prawnej przetwarzania danych osobowych wskazanych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016 / 679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95 / 46 / WE (ogólne rozporządzenie o ochronie danych) („RODO”). Zalecenia skierowane są do internetowych dostawców dóbr i usług, którzy przechowują dane z kart kredytowych w celu ułatwienia klientom dalszych zakupów.

Przechowywanie danych z kart kredytowych – podstawy prawne wykluczone przez EROD

EROD wyklucza możliwość przechowywania danych z kart kredytowych na podstawie:

•  art. 6 ust. 1 lit. b RODO (niezbędność do wykonania umowy),
• art. 6 ust. 1 lit. c RODO (niezbędność do wypełnienia obowiązku prawnego),
• art. 6 ust. 1 lit. d RODO (ochrona żywotnych interesów podmiotu danych),
• art. 6 ust. 1 lit. e RODO (niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi).

Przechowywanie danych z kart kredytowych a uzasadniony interes administratora

W przyjętych Zaleceniach, EROD analizuje możliwość oparcia przetwarzania danych z kart kredytowych na podstawie art. 6 ust. 1 lit. f RODO, a więc na uzasadnionym interesie administratora. Oparcie przetwarzania danych osobowych na tej podstawie możliwe jest pod warunkiem spełnienia 3 przesłanek określonych w ww. przepisie. Zgodnie z nim, administrator musi:

• zidentyfikować i zakwalifikować interes administratora lub osoby trzeciej,
• przetwarzać dane w celu realizacji uzasadnionego interesu,
• przeprowadzić test, w którym oceni czy jego uzasadniony interes jest co najmniej równoważny z interesami oraz prawami podmiotów danych.

Omawiając powyższe przesłanki, EROD zwraca uwagę na szereg kwestii. EROD zauważa, że w wielu przypadkach przechowywanie danych z kart kredytowych jedynie w celu ułatwienia klientom przyszłych zakupów nie jest konieczne do realizacji uzasadnionego interesu administratora. Dokonanie kolejnej transakcji jest wyborem klienta i nie jest zdeterminowane możliwością jej dokonania „za jednym kliknięciem”. Warto też pamiętać o zakwalifikowaniu danych finansowych przez Grupę Roboczą Art. 29 jako danych o szczególnym charakterze, ponieważ naruszenie tych danych może istotnie wpłynąć na sytuację podmiotu, którego dane dotyczą. EROD wskazuje też, że klient podając dane dotyczące swojej karty kredytowej może oczekiwać, że jego dane nie będą przechowane przez czas dłuższy, niż wymagany do dokonania transakcji.

Prowadzi to do wniosku, że w pewnych przypadkach przesłanki z art. 6ust. 1 lit. f RODO mogą nie być spełnione, w związku z czym nie będzie można przechowywać danych osobowych w oparciu o tę podstawę prawną.

Przechowywanie danych osobowych z kart kredytowych a zgoda podmiotu, którego dane dotyczą

Wydaje się więc, że odpowiednią podstawą będzie zgoda podmiotu, którego dane dotyczą (art. 6 ust. 1 lit. a RODO). W związku z tym, aby zapisać dane z karty kredytowej po dokonaniu przez klienta transakcji, konieczne będzie uprzednie wyrażenie przez niego zgody na przetwarzanie danych osobowych polegające na przechowywaniu takich danych w celu ułatwienia dokonywania dalszych zakupów.
Zgoda musi spełniać wymogi ustanowione w RODO, a więc musi być dobrowolna, konkretna, świadoma i jednoznaczna. Podmiot danych musi mieć też możliwość jej bezpłatnego i prostego wycofania.

Zapraszamy do kontaktu.