EDPB: Comercianții online pot păstra datele cardurilor bancare, pentru achiziții ulterioare, numai în baza consimțământului

Această practică este des întâlnită în activitatea comercianților online din UE, inclusiv în România, astfel că EDPB a adoptat zilele trecute o recomandare în acest sens, care este pusă la dispoziție aici.

„Consimțământul, în conformitate cu articolul 6, alineatul 1, litera a) din GPDR (Regulamentul general privind protecția datelor - n. red.), ar trebui considerat singurul temei legal adecvat pentru stocarea datelor cardului de credit după o achiziție”, scrie în comunicatul remis de EDPB.

Recomandarea specialiștilor vine în contextul în care consumatorii nu se așteaptă în mod obișnuit ca, în urma unei tranzacții unice, să le fie păstrate datele cardurilor bancare pentru eventuale achiziții ulterioare. Astfel, un comerciant online nu se poate folosi de interesul legitim pentru a prelucra aceste date, ci trebuie să se bazeze numai pe consimțământ.

„Recomandările acoperă situațiile în care persoanele vizate cumpără un produs sau plătesc pentru un serviciu prin intermediul unui site sau al unei aplicații și furnizează datele cardului de credit pentru a încheia o tranzacție unică. Se pare că, în astfel de situații, persoana vizată nu se așteaptă în mod rezonabil ca datele cardului de credit să fie stocate mai mult decât este necesar pentru plata bunurilor sau a serviciilor și nici nu este evident că stocarea datelor cardului de credit pentru a facilita viitoarele achiziții este necesară pentru a urmări interesul legitim al operatorului sau al unei terțe părți”, explică specialiștii în comunicat.

Într-un caz din Franța de acest gen, prezentat la începutul anului de cei de la Hope & May, se încercase obținerea în instanță a dreptului de a prelucra datele cardului bancar în cazul clienților care fac des achiziții, în baza interesului legitim. Totuși, decizia a fost că aceste date, care sunt destul de sensibile (dezvăluirea lor în urma unui incident de securitate poate avea consecințe grave pentru clienți), nu pot fi prelucrate, pentru achiziții ulterioare, decât în baza consimțământului.

Însă acesta este doar un exemplu. Cu siguranță că situațiile de acest gen au fost mai multe în ultimii ani, din moment ce EDPB a găsit că este necesară adoptarea unei recomandări speciale pentru unificarea practicii la nivelul UE.

EDPB este un organism european independent înființat în baza GDPR care contribuie, conform site-ul său, la aplicarea consecventă a legislației protecției datelor în UE. EDPB este compus atât din reprezentanți ai autorităților naționale pentru protecția datelor din UE (deci inclusiv autoritatea din România), cât și din Autoritatea Europeană pentru Protecția Datelor.

EDPB se ocupă, în principal, de furnizarea de îndrumări generale pentru clarificarea legislației protecției datelor și pentru a promova o înțelegere comună a acesteia.

Conform GDPR, consimțământul este „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Atunci când o prelucrare de date personale se bazează pe consimțământul persoanei vizate, firma trebuie să fie în stare să demonstreze existența acestuia.

Foarte important este că persoanele fizice își pot retrage consimțământul pentru prelucrarea datelor lor în orice moment. „Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia”, mai scrie în GDPR.

Redacția noastră a scris în mai multe rânduri despre consimțământ, ca temei legal de prelucrare a datelor personale. Poți citi mai multe articole pe subiect în secțiunea noastră de aici.