Většina z nás se zřejmě velmi často ocitne v situaci, kdy při platbě kartou v e-shopu nemusí shánět peněženku – údaje jsou totiž již předvyplněny. Typicky nám tak pouze postačí zadat třímístný CVV kód, jenž se dá zapamatovat mnohem snadněji než samotné číslo karty, které má míst šestnáct. Je však nutné si uvědomit, že uložení těchto údajů pro následné transakce se považuje za zpracování osobních údajů, jež podléhá obecnému nařízení o ochraně osobních údajů (GDPR).

Samotné nařízení obsahuje hned několik důvodů, na základě kterých je možné vaše údaje legálně zpracovávat, přičemž souhlas subjektu údajů (v tomto případě zákazníka) je pouze jedním z nich. V praxi tak internetoví obchodníci často ukládali údaje o platebních kartách svých zákazníků, aniž by si k takovému ukládání vyžádali předchozí souhlas, a to například s odvoláním na důvod „nezbytnosti pro splnění smlouvy“ či „nezbytnosti pro účely oprávněných zájmů správce údajů“.

Jakkoliv však uložení údajů o platební kartě znamená větší pohodlí pro zákazníka, samozřejmě s sebou nese i mnoho nevýhod. Mezi ty patří zejména bezpečnostní rizika. Rovněž však lze zmínit i ztrátu ochrany před tzv. impulzivním nakupováním či automatickým prodlužováním předplatného.

Právě těmto situacím se v nedávno vydaném doporučení snaží předejít Evropský sbor pro ochranu osobních údajů (EDPB). Dle názoru EDPB není možné údaje o platební kartě zpracovávat na základě „nezbytnosti pro splnění smlouvy“, neboť platba za nákup u určitého obchodníka je zcela nezávislá na jakékoliv potenciální platbě v budoucnu. Co se týče „oprávněných zájmů správce údajů“, EDPB dochází k závěru, že zákazník očekává, že jeho platební údaje nebudou uchovávány delší dobu, než je nezbytné. Proto zájem na ochraně jeho osobních údajů musí převážit nad oprávněným zájmem obchodníka usnadnit svým zákazníkům budoucí platby.

Dle sboru tak jediným možným právním důvodem pro zpracování údajů o platební kartě zákazníka zůstává jeho souhlas. Je důležité zdůraznit, že takový souhlas musí být poskytnutý před uložením platebních údajů a musí být dobrovolný, konkrétní, informovaný a jednoznačný. Dle EDPB je dále nutné tento souhlas poskytnout v uživatelsky přívětivé formě, například formou tzv. zaškrtávacího políčka (které však nesmí být předvyplněné), musí být oddělen od ostatních souhlasů (například od souhlasu s obchodními podmínkami obchodníka) a nesmí být podmínkou úspěšného dokončení obchodní transakce. V neposlední řadě pak EDPB zdůrazňuje, že zákazník musí mít kdykoliv možnost svůj souhlas vzít zpět, a to způsobem, který je stejně snadný jako jeho poskytnutí.

Jak již plyne ze samotné podstaty doporučení, nejedná se o dokument, který by okamžitě vyvolával přímé právní účinky. Lze však předpokládat, že jej jednotlivé vnitrostátní dozorové orgány členských států Evropské unie, mezi které patří mimo jiné český Úřad pro ochranu osobních údajů, vezmou v potaz a ve své praxi se jím budou řídit.

Zejména bude velmi zajímavé sledovat, zdali toto doporučení bude mít vliv na tzv. free trials, tedy nákupy na zkoušku. Free trial se velmi lehce může proměnit v nechtěné roční předplatné – obchodník totiž spoléhá na skutečnost, že zapomenete své předplatné v určitém časovém úseku zrušit. A právě díky uloženým platebním údajům je pro něj velmi jednoduché vám po vypršení této zkušební doby „naúčtovat“ další předplatné. Ve světle aktuálního doporučení se však jednotlivé platby považují za na sobě nezávislé, přičemž obchodník nemůže podmiňovat dokončení transakce souhlasem s platbou následující. V takovém případě by tudíž tzv. subscription traps již nebyly v souladu s GDPR. Zdali tomu tak opravdu bude, ukáže zřejmě až praxe.

Související