GDPR

Adatvédelem mindenkinek / Data protection for everyone

Hitelkártya-adatok megőrzése további online tranzakciók megkönnyítése céljából

2021. augusztus 19. 13:00 - poklaszlo

Az Európai Adatvédelmi Testület májusi ajánlása azt a kérdést járja körül, hogy milyen jogalapon őrizhetők meg a hitelkártya-adatok egy konkrét tranzakciót követően annak érdekében, hogy a jövőben tranzakciókat a megőrzött adatok felhasználásával könnyebbé tegyék az adatkezelők. A kérdés jelentőségét az adja, hogy az online vásárlások száma és értéke dinamikusan növekszik (az elmúlt időszakban ezt az eleve tapasztalható jelenséget a koronavírus járvány által előidézett vásárlási szokásokban bekövetkezett változások is tovább erősítették) és az online szolgáltatást nyújtók törekszenek arra, hogy az online vásárlásokat minél kényelmesebbé, gyorsabbá és egyszerűbbé tegyék. A hitelkártya-adatok - bár nem különleges adatok - fokozottan érzékenyek lehetnek, hiszen az esetleges visszaélések, csalások az érintettekre nézve jelentős hatással járhatnak. A 29-es Cikk szerinti Munkacsoport adatvédelmi hatásvizsgálatra vonatkozó iránymutatása is azt emeli ki a hatásvizsgálat szükségességének eldöntéséhez vizsgálandó szempontok elemzése kapcsán, hogy

[e]zek a személyes adatok [...] az őket érintő jogsértések egyértelműen súlyos hatást gyakorolnak az érintett mindennapi életére (például pénzügyi adatok, amelyek csalásra használhatók). (WP.248rev1, B/4. pont, 11. o., kiemelés tőlem)

Az ajánlás a hitelkártya-adatok további online tranzakciók megkönnyítése érdekében történő megőrzésének jogalapjával foglalkozik, azaz nem terjed ki az egyéb okból történő adatkezelések kapcsán (pl. a tranzakciók lebonyolításához, csalások megelőzéséhez, stb. kapcsolódó célokból történő adatkezelések lehetséges jogalapjának a vizsgálatára). 

Az online tranzakciók megkönnyítése kapcsán az Ajánlás a GDPR 6. cikke szerinti jogalapokat sorra veszi és vizsgálja ezek alkalmazhatóságát. Végül arra az eredményre jut, hogy lényegében csak hozzájárulás alapján kezelhetők az adatok a további online tranzakciók megkönnyítése érdekében ("Ezek a szempontok arra engednek következtetni, hogy a hozzájárulás (az általános adatvédelmi rendelet 6. cikke (1) bekezdésének a) pontja) tűnik az egyetlen megfelelő jogalapnak ahhoz, hogy a fent leírt adatkezelés jogszerű legyen." lásd az Ajánlás, 10. pont, 4. o.). Az Ajánlás érdekessége és talán némileg vitatható része, hogy lényegében néhány mondatban dokumentálva elvégez egy általános, minden online tranzakcióra és minden adatkezelőre érvényes érdekmérlegelési tesztet és arra a következtetésre jut, hogy  

[ú]gy tűnik azonban, hogy a vásárlás időpontjában az érintett – miközben hitelkártyával kapcsolatos adatokat szolgáltat a fizetéshez – észszerűen nem várja el, hogy hitelkártya-adatait az általa megvásárolt áruk vagy szolgáltatások kifizetéséhez szükségesnél hosszabb ideig tárolják. Következésképpen az adatvédelem által érintett személy alapvető jogai és szabadságai valószínűleg elsőbbséget élveznének az adatkezelő e konkrét összefüggésben fennálló érdekével szemben. (Ajánlás, 9. pont, 4. o., kiemelés tőlem)

Az érvényes hozzájárulás megszerzésének feltételei kapcsán is ad további támpontokat az Ajánlás (összhangban a vonatkozó gyakorlattal és a Testület korábbi, hozzájárulásra vonatkozó iránymutatásával). Ezek közül kiemelést érdemel, hogy 

  • a hozzájárulás nem vélelmezhető, 
  • megerősítést félreérthetetlenül kifejező cselekedet útján kell megadni, és azt felhasználóbarát módon, közvetlenül az adatgyűjtéshez használt űrlapon kell kérni (például jelölőnégyzettel, amely nem lehet előre bejelölt),
  • ezt a hozzájárulást meg kell különböztetni a szolgáltatási vagy értékesítési feltételekre adott hozzájárulástól, továbbá nem lehet feltétele az ügylet teljesítésének, 
  • biztosítani kell a hozzájárulás visszavonásának a lehetőségét, mégpedig oly módon, hogy a hozzájárulás megadásához hasonlóan könnyűnek kell lennie, 
  • a hozzájárulás visszavonásának pedig ahhoz kell vezetnie, hogy az adatkezelő ténylegesen törölje a kizárólag a további tranzakciók megkönnyítése céljából tárolt hitelkártya-adatokat (ez nem érinti az egyéb célból és jogalapon történő adatkezeléseket). (Lásd Ajánlás, 11-12. pontok, 4-5. o.)    

Az Ajánlás ugyan kizárólag a jogalap kérdésével foglalkozik, az adatkezelőknek azonban nem szabad megfeledkezniük az egyéb kötelezettségeikről sem, így például az adatok kezelése során a megfelelő biztonság garantálásáról. 

Szólj hozzá!
Címkék: hozzájárulás iránymutatás online szolgáltatás portfolioblogger HU adatvédelmi hatásvizsgálat jogalap Európai Adatvédelmi Testület jogos érdek hitelkártya-adatok

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr1216664798

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása