Platba kartou online: povinnosti obchodníka pri ukladaní údajov

Pri platbe kartou v online priestore prichádza k výmene dát kupujúceho a obchodníka. Čo všetko o zákazníkovi prezrádza platba kreditnou kartou a čo s údajmi môže a nemôže robiť obchodník?

Nákup cez internet sa stal bežnou súčasťou životov slovenských spotrebiteľov rovnako, ako aj platba kreditnou kartou. Pri platbe kartou v online priestore ale prichádza aj k výmene dát kupujúceho a obchodníka. Čo všetko o zákazníkovi prezrádza platba kreditnou kartou a ako svoje osobné údaje chrániť? Čiastočnú odpoveď priniesol Európsky výbor pre ochranu osobných údajov (EPDB), ktorý nedávno vydal pre obchodníkov odporúčania k ukladaniu platobných údajov z kreditných kariet.

Obchodníci by nemali bez súhlasu ukladať dáta o platbe

Pri platbe kartou získava obchodník dočasne informácie nevyhnutné pre samotnú transakciu, predovšetkým číslo karty, dátum vydania a meno držiteľa. Ide o osobné údaje, ktoré môže bez výslovného súhlasu držiteľa karty obchodník použiť len na vykonanie jednej konkrétnej transakcie. Dôležitosť získaných dát si uvedomuje aj nezávislý európsky orgán EPDB, ktorý v záujme ochrany osobných údajov v krátkom dokumente, zverejnil odporúčania pre obchodníkov k ukladaniu údajov z kreditných kariet. Ak by obchodník chcel pri poskytovaní online tovaru a služieb dáta z kreditnej karty ukladať za účelom uľahčenia ďalších nákupov, môže tak urobiť iba na právnom základe súhlasu držiteľa karty podľa čl. 6 ods. 1 písm. a) GDPR. Tento súhlas musí byť výslovný, slobodný, konkrétny, informovaný a jednoznačný.

„Je veľmi dôležité, aby obchodník vedel pri prípadnej kontrole preukázať, že súhlas bol udelený na základe jasného kladného oznámenia. Obchodník môže od zákazníka získať súhlas napríklad prostredníctvom zaškrtávacieho políčka, ktoré by však nemalo byť vopred zaškrtnuté, pričom získaný súhlas by mal odkazovať na ďalšie, doplňujúce informácie v rámci tzv. privacy policy,“ upozorňuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie DAGITAL Legal. „Súhlas je podľa Výboru zrejme potrebný preto, lebo iné právne základy sa nedajú použiť. Zapamätanie si údajov o platobnej karte nie je totiž nevyhnutné pre realizáciu obchodu. Súhlas k ukladaniu platobných údajov sa navyše musí odlišovať od iných súhlasov a nesmie byť podmienkou dokončenia transakcie. Netreba zabúdať na možnosť odvolať súhlas, čo by malo znamenať vymazanie dát uložených na základe súhlasu. Na proces, ktorý by mal nasledovať po odvolaní súhlasu je potrebné myslieť už pri vývoji aplikácie alebo webstránky,“ dodáva Jakub Berthoty.

Ukladanie platobných údajov z kreditných kariet na uľahčenie ďalšej transakcie nemôže byť podľa Výboru považované ani za oprávnený záujem v zmysle čl. 6 ods. 1 písm. f) GDPR, keďže nemožno jednoznačne preukázať, že by touto činnosťou obchodník kupujúcemu uľahčoval ďalšie nákupy. Nákup totiž závisí od voľby spotrebiteľa a nie je určený možnosťou zrealizovať ho „jedným kliknutím“. Zároveň podľa usmernení Výboru sú finančné údaje obzvlášť citlivé osobné údaje a dotknutá osoba, teda kupujúci, nemôže odôvodnene očakávať, že sa údaje o kreditnej karte budú uchovávať dlhšie ako počas transakcie.

Ukladať informácie o karte môžu aj prehliadače

Vo väčšine prípadoch si však údaje o platobnej karte nepamätajú webstránky obchodníkov ale operačné systémy alebo prehliadače, ak si ich užívateľ zvolí takúto možnosť. 

„Odporúčania sa výslovne nevzťahujú na operačné systémy a prehliadače, ktoré si tiež môžu dané platobné údaje pamätať. Tie chápu dané operácie ako svoju službu s pridanou hodnotou, na ktorej používanie sa môžu vzťahovať osobitné zmluvné podmienky, ktoré užívateľ akceptuje. V týchto prípadoch nemusí byť súhlas jedinou možnosťou a za určitých okolností je možné rozmýšľať aj o plnení zmluvy. Odporúčania však potvrdzujú, že platobné údaje síce nepatria medzi tzv. osobitné kategórie osobných údajov (ktoré nazývame citlivé), ale v praxi sa k nim pristupuje veľmi obozretne. Z môjho pohľadu ide o oveľa citlivejšie údaje ako sú vymenované v čl. 9 GDPR,“ dodáva advokát Jakub Berthoty.

Zdroj: CHAPTER 4 Slovakia s.r.o, DAGITAL Legal 

Viac podobných článkov nájdete na www.podnikajte.sk


Rozbeh e-shopu: 10 krokov, ktoré treba urobiť

Rozbehnúť úspešne online obchod nie je len tak. Ako ho založiť, na čo dať pozor pri tvorbe domény či mailovej adresy a ako si získať prvých zákazníkov?

B2B predaj ako príležitosť rásť: na čo dať pozor?

Pôsobenie na B2B trhu má výrobcovi pomôcť a nie uškodiť. Preto ak firma tento krok plánuje, mala by poznať možné riziká. Na čo sa treba pripraviť?

Ako si vybrať kuriéra (prepravnú spoločnosť) pre e-shop?

Aké faktory by mali prevádzkovatelia e-shopov brať do úvahy pri výbere kuriéra a čo si všímať pri uzatváraní prepravných zmlúv? Poradili podnikatelia a odborníci z praxe.

Ako zvýšiť predaj na e-shope a udržať si zákazníkov?

Ako môže webová stránka, sociálne siete či vhodný ERP systém zvýšiť šancu, že e-shop na trhu zaujme a získa zákazníkov? Na čo by mali podnikatelia myslieť, radia odborníci z praxe.
To najlepšie z Podnikajte.sk do vašej schránky