GDPR při poskytování platebních služeb

Nedávno vstoupilo v platnost Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“). V souvislosti s tím vyvstala otázka výkladu a aplikace některých dalších norem EU, kdy jednou z takových norem je právě směrnice č. 2015/2366, o platebních službách na vnitřním trhu (dále jen „PSD2“).

V tomto článku uvedeme některá problematická ustanovení a možná řešení případné kolize mezi PSD2 a GDPR s ohledem na stanovisko Evropské rady pro ochranu údajů.

Problematika výslovného souhlasu

Po vstupu GDPR v platnost vyvstala problematika udělování a odvolávání souhlasu, přičemž jednou z hlavních otázek je, zda má termín „výslovný souhlas“ tak, jak je nastaven v čl. 94 odst. 2 PSD2, stejný význam, jaký je dáván tomuto termínu v rámci GDPR.

Evropská rada pro ochranu údajů (dále jen „EDPB“) zastává stanovisko, že „výslovný souhlas“ tak, jak je chápán směrnicí PSD2, je souhlasem smluvním, když platební styk je umožněn na základě smluvního vztahu mezi poskytovatelem a uživatelem platebních služeb. Tento názor pak posiluje také odst. 89 důvodové zprávy k PSD2.

V rámci GDPR je právním základem pro zpracovávání osobních dat článek 6 odst. 1 písm. b), který stanovuje, že zpracování osobních údajů je zákonné, pokud je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.

EDPB uvádí, že čl. 94 odst. 2 PSD2 má být interpretován v tom smyslu, že při uzavírání smlouvy s poskytovatelem platebních služeb musí být subjekty dat plně informovány o účelu zpracování osobních dat a s tímto zpracováním musí souhlasit. Ke splnění této podmínky pak poskytovatel může např. předkládat subjektům dat samostatné formuláře, ve kterých právě způsob a účel zpracování jejich osobních údajů uvede a který subjekt údajů odsouhlasí.

Zvláště je třeba upozornit na to, že dle čl. 7 odst. 1 GDPR nese důkazní břemeno ohledně udělení souhlasu subjektem údajů poskytovatel, a musí být tedy schopen poskytnutí souhlasu subjektem údajů dokázat, jinak může dojít k udělení sankcí poskytovateli za porušení jeho povinností.

S ohledem na výše uvedené tak lze shrnout, že institut výslovného souhlasu dle čl. 94 odst. 2 PSD2 je pouze smluvního charakteru a neshoduje se s institutem výslovného souhlasu tak, jak je chápán v rámci GDPR.

Údaje třetích stran

V souvislosti s GDPR vyvstala také otázka, zda je legitimní zpracovávání údajů třetích stran v případech, kdy byl výslovný souhlas (viz výše) dán jiným subjektem dat.

Typicky jde o situaci, kdy subjekt A jakožto subjekt údajů, který dal s jejich zpracováním souhlas, má smlouvu s poskytovatelem platebních služeb – subjektem B, jehož prostřednictvím uskutečňuje své platby. Ovšem v okamžiku, kdy subjekt A např. v obchodě zaplatí platební kartou, vydanou mu subjektem B, vstupuje do vztahu taktéž subjekt C – předmětný obchod. V této chvíli subjekt B zpracovává data nejen subjektu A, který mu udělil souhlas, ale taktéž subjektu C, který stojí mimo smluvní vztah mezi A a B, a žádný souhlas neudělil.

K uvedenému problému se EDPB staví tak, že ve smyslu odst. 47 důvodové zprávy k GDPR je takové zpracování dat možné v případech, kdy je dán legitimní zájem, a zároveň nejsou-li neproporcionálně porušena základní práva a svobody subjektů dat, přičemž musí být vzato v úvahu legitimní očekávání těchto subjektů dat jakožto třetích stran, zakládající se na jejich vztahu ke zpracovateli údajů.

Legitimní zájem je pak dán zejména tehdy, existuje-li mezi subjektem a zpracovatelem údajů relevantní vztah. Vždy je tak třeba posoudit, zda může subjekt údajů jakožto třetí strana důvodně očekávat, že v souvislosti se shromažďováním osobních údajů může být zpracování údajů uskutečněno. Pokud zde důvodné očekávání není, pak zájem na ochraně základních práv subjektu dat převáží nad legitimním zájmem zpracovatele.

V souladu s výše uvedeným tak lze dojít k závěru, že shromažďování dat jako takové není zakázáno, pokud se tak děje v souladu se zásadou proporcionality, omezení, minimalizace zásahu a transparentnosti.

Regulační technické normy

Bezpochyby lze tedy říci, že mezi oběma předpisy dochází ke kolizi. Částečným vodítkem pro řešení těchto kolizí mohou být i tzv. Regulační technické normy, které byly vytvořeny na základě čl. 98 PSD2. Tyto normy poskytují pokyny pro autentifikaci a bezpečnou komunikace ve vztahu podnikatele a spotřebitele, a jsou tak klíčem k dosažení cíle PSD2 – posílení ochrany spotřebitele a podpora rozvoje ve vztahu k bezpečnosti platebních služeb napříč celou Evropskou unií.

Závěr

Vstoupením GDPR v platnost bezpochyby došlo ke zvýšení požadavků a standardů, které byly stanoveny již v rámci PSD2. Jak již bylo uvedeno, poskytovatelům platebních služeb přibylo důkazní břemeno ohledně prokazování splnění jim ukládaných povinností. V souvislosti s tím bude třeba, aby každý poskytovatel platebních služeb pečlivě posoudil vzájemnou souvislost uvedených norem a přizpůsobil tomu svoje jednání tak, aby předešel potenciálnímu riziku v podobě sankcí hrozících za jejich porušení.

Vzhledem k tomu, že sankce dle GDPR mohou dosahovat výše až 20 milionů EUR nebo až 4 % ročního obratu, bude nepochybně lepší, pokud budou poskytovatelé obezřetní a v případě pochybností ohledně získávání souhlasu od subjektů dat budou postupovat způsobem, který je stanoven v rRegulačních technických normách.