Европейският комитет по защита на данните даде препоръки относно правното основание за съхранението на данни за кредитна карта единствено с цел улесняване на по-нататъшни онлайн трансакции. Според него е много важно администраторите на данни да въведат подходящите гаранции за субектите на данни и да им осигурят контрол върху собствените им лични данни, за да се намали рискът от незаконно обработване и да се насърчи доверие в цифровата среда.
В препоръките се разглежда съхранението на данни за кредитни карти от онлайн доставчици на стоки и услуги с единствената и конкретна цел да се улеснят по-нататъшни покупки от страна на субектите на данни. В тях е обхванато положението, при което физическо лице купува продукт или плаща за услуга посредством уебсайт или приложение и по принцип предоставя данните на кредитната си карта в специален формуляр, за да извърши тази единична трансакция.
Как да се избере правилното основание за обработване на данните от кредитна карта?
Подходът може да е на принципа на изключването на основанията, които не могат да се приложат. Няколко от посочените в член 6 от ОРЗД правни основания не биха били приложими в тази ситуация и трябва да бъдат изключени. Съхранението на данни за кредитна карта след трансакция с цел д се улеснят по-нататъшни покупки не може да се счита за необходимо за спазването на законово задължение (член 6, параграф 1, буква в) от ОРЗД), нито за да бъдат защитени жизненоважните интереси на физическо лице (член 6, параграф 1, буква г) от ОРЗД). За подходящо правно основание не може да се счита и изпълнението на задача от обществен интерес или упражняването на официални правомощия, които са предоставени на администратора (член 6, параграф 1, буква д) от ОРЗД).
Съхранението на данни за кредитна карта след плащането за стоки или услуги не е само по себе си необходимо за изпълнението на договор (член 6, параграф 1, буква б) от ОРЗД). Като се има предвид, че първоначално обработването на данните, свързани с кредитната карта, която е използвана от клиента за плащане, е необходимо за изпълнението на договора, при което се задейства член 6, параграф 1, буква б) от ОРЗД, съхранението на тези данни е полезно единствено с цел улесняване на потенциална следваща трансакция и на продажбите. Такава цел не може да се счита за строго необходима за изпълнението на договора за предоставяне на стоката или услугата, за която субектът на данните вече е платил.
По отношение на обработване, необходимо за целите на легитимните интереси на администратора или на трета страна, Европейският комитет по защита на данните отбелязва, че за да може администраторът да се позове на член 6, параграф 1, буква е) от ОРЗД, трябва да бъдат изпълнени трите условия, предвидени в този член. Това правно основание изисква, на първо място, идентифициране и квалифициране на легитимен интерес, преследван от администратора или от трета страна. Интересът на администратора или третата страна може да бъде по-широк от целта на обработването и трябва да бъде възникнал и все още съществуващ към момента на обработването.
Второ – необходимост от обработване на лични данни за целите на преследвания легитимен интерес. Третото условие изисква да се извърши проверка на баланса: легитимният интерес на администратора или третата страна трябва да бъде претеглен спрямо интересите или основните права и свободи на субекта на данните, включително неговите права на защита на данните и неприкосновеност на личния живот. Тази проверка изисква да се вземат под внимание конкретните обстоятелства на обработването.
Финансовите данни са определени от Работната група по член 29 като данни от изключително лично естество, тъй като нарушенията във връзка с тях очевидно биха довели до сериозно въздействие върху ежедневието на субекта на данни. Следователно, независимо от задължението на администратора на данни да прилага подходящи технически или организационни мерки, за да гарантира подходящо ниво на сигурност на данните за кредитни карти, съгласно член 5, параграф 1, буква е) от ОРЗД и факта, че тези данни може да бъдат съхранявани за други цели, тяхното обработване с цел улесняване на по-нататъшни покупки може да е свързано с повишен риск от нарушаване на сигурността, тъй като предполага обработване в други системи. При изготвяне на оценка на баланса следва да се вземе предвид основателните очаквания, които лицата имат в зависимост от взаимоотношенията с администратора на данни, същността и целта на събирането на лични данни. Към момента на покупката при предоставяне на данни за извършване на плащане с кредитна карта, физическото лице няма основателни очаквания тази информация да бъде съхранявана за период, по-дълъг от необходимото за плащане на стоките или услугите, които купува в момента. Следователно, в тази ситуация, основните права и свободи на лицето, обект на защита на данни, вероятно имат предимство пред интереса на администратора на данните.
В заключение, съгласието (член 6, параграф 1, буква a) от ОРЗД) изглежда е единственото подходящо правно основание за законосъобразност на обработването. Преди да се съхранят данните за кредитната карта следва да се получи изричното съгласие на субекта на данни, като се вземат предвид рисковете за сигурността, възможността на физическото лице да упражнява контрол върху тях и да взема активно решения за използването на данните за кредитната му карта. Това съгласие ще даде възможност на администратора на данните да докаже желанието на лицето да улесни по-нататъшните си покупки чрез конкретния уебсайт или приложение, което не може да бъде доказано само чрез извършването на една или няколко изолирани трансакции.
Не може да има презумпция за съгласие, то трябва да бъде свободно, конкретно, информирано и недвусмислено. То трябва да бъде дадено чрез ясно утвърдително действие и следва да бъде поискано по лесен за потребителя начин, като например чрез поле за отметка, в което избора не може да бъде попълнен предварително, директно във формуляра, който се използва за събирането на данни. Това конкретно съгласие трябва да бъде разграничено от съгласието, което се дава за общите условия за услуги или продажби, и не следва да бъде условие за завършване на трансакцията.
Съгласието може да бъде оттеглено във всеки един момент. Оттеглянето трябва да е свободно, опростено и толкова лесно за субекта на данните, колкото е било и даването на съгласието. То трябва да води до действително заличаване на данните за кредитната карта, съхранени от администратора на данни с единствената цел да се улесняват по-нататъшни покупки.
