EDPB je još za vrijeme pandemije donio preporuke o pravnoj osnovi za pohranu podataka o kreditnim karticama isključivo u svrhu olakšavanja daljnjih internetskih transakcija. Spomenute preporuke odnose na način na koji internetski pružatelji robe i usluga pohranjuju podatke o kreditnim karticama, isključivo u svrhu olakšavanja daljnje kupovine koju provode ispitanici. Nadalje, obuhvaćaju situaciju u kojoj ispitanik kupuje proizvod ili plaća za uslugu putem mrežnog mjesta ili aplikacije te pritom pruža svoje podatke o kreditnoj kartici, najčešće na posebnom obrascu, u svrhu zaključenja te jedinstvene transakcije.
Kao što je slučaj kod svake obrade, voditelj obrade mora imati valjanu pravnu osnovu za pohranu tih podataka u skladu s člankom 6. Opće uredbe o zaštiti podataka. U tom pogledu valja primijetiti da brojne pravne osnove spomenute u članku 6. Opće uredbe o zaštiti podataka ne bi bile primjenjive na ovu situaciju te da se moraju isključiti.
Nakon transakcije u svrhu olakšavanja daljnjih kupovina pohrana podataka o kreditnim karticama ne može se smatrati nužnom radi poštovanja pravne obveze (članak 6. stavak 1. točka (c) Opće uredbe o zaštiti podataka) niti kako bi se zaštitili ključni interesi fizičke osobe (članak 6. stavak 1. točka (d) Opće uredbe o zaštiti podataka).
Izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade (članak 6. stavak 1. točka (e) Opće uredbe o zaštiti podataka) također se ne mogu smatrati odgovarajućom pravnom osnovom. Osim toga, pohrana podataka o kreditnim karticama nakon plaćanja za robu ili usluge kao takva nije nužna za izvršavanje ugovora (članak 6. stavak 1. točka (b) Opće uredbe o zaštiti podataka).
Budući da je, prvotno, obrada podataka povezanih s kreditnom karticom koju klijent koristi za plaćanje nužna za izvršavanje ugovora, čime se pokreće primjena članka 6. stavka 1. točke (b) Opće uredbe o zaštiti podataka, pohrana tih podataka korisna je samo u svrhu olakšavanja moguće sljedeće transakcije i prodaje. Takva se svrha ne može smatrati nužnom za izvršavanje ugovora o pružanju robe ili usluga za koje je ispitanik već platio.
Kada je riječ o obradi nužnoj za potrebe legitimnog interesa voditelja obrade ili treće strane Europski odbor za zaštitu podataka primjećuje da, kako bi se voditelj obrade mogao pozivati na članak 6. stavak 1. točku (f) Opće uredbe o zaštiti podataka, moraju biti ispunjena tri uvjeta:
Što se tiče kriterija koji se odnosi na prirodu podataka, valja primijetiti da je Radna skupina iz članka 29. definirala financijske podatke kao izrazito osobne podatke jer njihova povreda jasno podrazumijeva ozbiljne učinke na svakodnevni život ispitanika. Prema tome, ne dovodeći u pitanje obvezu voditelja obrade da provodi tehničke i organizacijske mjere kako bi se osigurala odgovarajuća sigurnost podataka o kreditnim karticama u skladu s člankom 5. stavkom 1. točkom (f) Opće uredbe o zaštiti podataka te činjenicu da se ti podatci mogu pohranjivati u druge svrhe, njihova obrada u svrhu olakšavanja daljnje kupovine može uključivati sve veći rizik od povreda sigurnosti podataka o kreditnim karticama jer podrazumijeva obradu u drugim sustavima.
Još jedan važan element usporedbe značaja koji se može uzeti u obzir za ocjenjivanje učinka obrade na ispitanike jesu razumna očekivanja ispitanika na temelju njihova odnosa s voditeljem obrade, konteksta i svrhe prikupljanja osobnih podataka. Međutim, čini se da u trenutku kupovine, dok navodi podatke o kreditnoj kartici u svrhu plaćanja, ispitanik nema razumno očekivanje da će se podaci o njegovoj kreditnoj kartici pohranjivati dulje nego što je to potrebno za plaćanje robe ili usluga koje kupuje. Prema tome, u ovom kontekstu temeljna prava i slobode osobe na koju se odnosi zaštita podataka vjerojatno bi imala prednost nad interesom voditelja obrade.
S obzirom na sva razmatranja, valja zaključiti da je privola (članak 6. stavak 1. točka (a) Opće uredbe o zaštiti podataka) jedina odgovarajuća pravna osnova za zakonitost prethodno opisane obrade.
U svrhu uklanjanja sigurnosnih rizika kako bi se ispitaniku omogućilo da zadrži nadzor nad svojim podatcima i da aktivno odlučuje o uporabi svojih podataka, prije pohrane podataka o kreditnoj kartici ispitanika nakon kupovine valja ishoditi posebnu privolu ispitanika.
Ta će privola voditelju obrade omogućiti da dokaže da ta je osoba spremna olakšati svoje daljnje kupovine putem određenog mrežnog mjesta ili aplikacije, što se ne može pretpostaviti na temelju puke činjenice da je zaključila jednu ili više pojedinačnih transakcija. Ova se privola ne može pretpostaviti. Ona mora biti dobrovoljna, posebna, informirana i nedvosmislena. Također, privola mora biti dana jasnom potvrdnom radnjom i zatražena na način prilagođen korisniku, primjerice putem polja za označavanje, koje ne smije biti unaprijed označeno, izravno na obrascu koji se upotrebljava za prikupljanje podataka. Ova posebna privola mora se razlikovati od privole dane za uvjete pružanja usluge ili prodaje i ne smije biti preduvjet za zaključenje transakcije.