Comercianții online care oferă clienților posibilitatea de a-și salva în cont datele cardurilor bancare, pentru a ușura achizițiile ulterioare, pot face asta numai în baza consimțământului, reiese dintr-o recomandare adoptată recent de Comitetul European pentru Protecția Datelor (EDPB). Recomandarea are drept scop unificarea practicii companiilor la nivelul întregii Uniuni Europene (UE), scrie avocatnet.ro.

Această practică este des întâlnită în activitatea comercianților online din UE astfel că EDPB a adoptat o recomandare în acest sens.

”Consimțământul, în conformitate cu articolul 6, alineatul 1, litera a) din GPDR (Regulamentul general privind protecția datelor ), ar trebui considerat singurul temei legal adecvat pentru stocarea datelor cardului de credit după o achiziție”, scrie în comunicatul remis de EDPB.

Recomandarea specialiștilor vine în contextul în care consumatorii nu se așteaptă în mod obișnuit ca, în urma unei tranzacții unice, să le fie păstrate datele cardurilor bancare pentru eventuale achiziții ulterioare. Astfel, un comerciant online nu se poate folosi de interesul legitim pentru a prelucra aceste date, ci trebuie să se bazeze numai pe consimțământ.

”Recomandările acoperă situațiile în care persoanele vizate cumpără un produs sau plătesc pentru un serviciu prin intermediul unui site sau al unei aplicații și furnizează datele cardului de credit pentru a încheia o tranzacție unică. Se pare că, în astfel de situații, persoana vizată nu se așteaptă în mod rezonabil ca datele cardului de credit să fie stocate mai mult decât este necesar pentru plata bunurilor sau a serviciilor și nici nu este evident că stocarea datelor cardului de credit pentru a facilita viitoarele achiziții este necesară pentru a urmări interesul legitim al operatorului sau al unei terțe părți”, explică specialiștii în comunicat.

Într-un caz din Franța de acest gen se încercase obținerea în instanță a dreptului de a prelucra datele cardului bancar în cazul clienților care fac des achiziții, în baza interesului legitim. Totuși, decizia a fost că aceste date, care sunt destul de sensibile (dezvăluirea lor în urma unui incident de securitate poate avea consecințe grave pentru clienți), nu pot fi prelucrate, pentru achiziții ulterioare, decât în baza consimțământului.

EDPB este un organism european independent înființat în baza GDPR care contribuie, conform site-ul său, la aplicarea consecventă a legislației protecției datelor în UE. EDPB este compus atât din reprezentanți ai autorităților naționale pentru protecția datelor din UE, cât și din Autoritatea Europeană pentru Protecția Datelor.

EDPB se ocupă, în principal, de furnizarea de îndrumări generale pentru clarificarea legislației protecției datelor și pentru a promova o înțelegere comună a acesteia.

Conform GDPR, consimțământul este ”orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Atunci când o prelucrare de date personale se bazează pe consimțământul persoanei vizate, firma trebuie să fie în stare să demonstreze existența acestuia.

Foarte important este că persoanele fizice își pot retrage consimțământul pentru prelucrarea datelor lor în orice moment. ”Persoana vizată are dreptul să își retragă în orice moment consimțământul. Retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului înainte de retragerea acestuia. Înainte de acordarea consimțământului, persoana vizată este informată cu privire la acest lucru. Retragerea consimțământului se face la fel de simplu ca acordarea acestuia”, mai scrie în GDPR.