2021年5月19日,欧洲数据保护委员会(EDPB)通过了储存信用卡数据的法律依据的建议,以促进进一步在线交易,可用 这里.

建议的范围

该建议特别介绍存储信用卡数据的商品和服务的在线提供商,以便在个人提供信用卡数据以在线订购交易的情况下促进未来购买。

这些建议不适用于在线商店或公共当局运营的支付机构。他们也不适用于信用卡数据以用于不同的目的,例如遵守法律义务或建立经常付款。

为什么需要这些建议?

随着数字经济和电子商务继续发展,在线使用信用卡数据的风险也继续增加。除了以往的付款欺诈风险之外,还有增加信用卡数据的信用卡数据安全漏洞的风险。因此,控制器必须采取行动,以降低非法处理此数据的风险。

什么是建议?

EDP​​B已建议控制人员,他们应该实施适当的安全措施,并确保个人控制自己的个人数据。

EDP​​B还确认使用信用卡数据的使用,以促进未来购买的适当法律依据是消费者的同意。根据GDPR第6条,控制器必须有任何处理的有效法律依据。艾普布审查了每个可能的法律依据。它的结论是,为未来购买的信用卡数据储存是为了履行个人所支付的货物或服务的合同而严格履行。合法的利益在这种情况下也无效。对于控制器(在线零售商)依靠合法利益的基础,必须满足三个条件:

  1. 在线零售商的合法利益必须确定和合格
  2. 必须需要处理个人数据,以便有合法利益。 EDP​​B认为,信用卡数据的存储是为了促进未来购买的措施是不需要进行在线零售商的合法利益,因为消费者是否会利用存储的信用卡数据取决于消费者的选择,而不是由此确定此选项的可用性
  3. 在线零售商的合法兴趣和个人的利益,权利和自由,必须进行平衡测试。第29条工作组举办了财务数据,以获得高度个人,因为违规行为将涉及对个人日常生活产生严重影响。此外,个人不会合理地期望他们的信用卡数据存储超过所需的商品或服务的必要性。因此,个人的权利和自由将优先于控制员的利益

艾普署认为,该同意是储存未来购物信用卡数据的唯一适当的法律依据。在线零售商应确保客户在购买后给予GDPR标准的同意,以存储信用卡数据。同意必须自由地给出,具体,知情和明确。应该以“用户友好的方式”请求,例如通过复选框,这不应该被预先勾选“。必须与服务条款或销售方面的同意区分开,并且不能成为完成交易的条件。

下一步

在线零售商应检查他们是否在储存他们的信用卡详细信息之前要求客户同意。另请注意,根据“GDPR”第7条(3)条,客户可以随时撤回客户。如果客户撤销同意,这必须导致删除存储的信用卡数据,以促进进一步的交易。