Prečo si myslím, že elektronické stravovacie karty nie sú legálne

20. augusta 2018 13:33, Prečítané 3 381x, jurajkralik, Nezaradené

Nie som právnik. Som občan Slovenskej republiky. Zamestnanec, ktorého chce jeho zamestnávateľ prinútiť na prechod zo stravných lístkov na elektronickú stravovaciu kartu. Nesúhlasím s tým. Vyhovuje mi súčasný stav. Je to môj názor. Nemusím ho nikomu vysvetľovať, ani pred nikým obhajovať. Akceptujem, že iní zamestnanci považujú elektronickú stravovaciu kartu za prínos. Prajem im to. Súhlasím s tým, aby ju dostali, ak o ňu stoja. Nesúhlasím s tým, aby ju dostali tí, ktorí ju odmietajú. To je všetko. Chcel by som, aby sa k tejto téme otvorila právna diskusia. Nie názorová. Nikto ma nemôže nútiť k niečomu, s čím nesúhlasím. Navyše mám pocit, že elektronické stravovacie karty nie sú legálne. Tu sú moje argumenty.

Zákonník práce

Zákonník práce Slovenskej republiky – teda zákon č. 311/2001 Z.z. vo svojej úprave zo dňa 1.5.2018 pozná iba dve formy poskytovania stravovania pre zamestnancov, ktoré je pre zamestnávateľa povinné. Hovorí o poskytovaní stravy a o stravovacích poukážkach. Pravidlá pre stravovacie poukážky pomerne explicitne vymedzuje (§152 ods. 4 a ods. 5). Elektronické stravovacie karty nijakým spôsobom nerieši. Z laického pohľadu tak tvrdím, že podľa tohto zákona je zamestnávateľ povinný poskytnúť zamestnancovi buďto priamo stravu, alebo stravovacie poukážky – teda ceniny, prostredníctvom ktorých si zamestnanec stravu zakúpi (zabezpečí). Stravovacia poukážka mi tak príde ako istý typ ceniny, ktorý je svojím spôsobom nositeľom konkrétnej finančnej hodnoty a slúži na priamu platbu.

Elektronické stravovacie karty nie sú nijakou ceninou, neslúžia na priamu platbu. Sú to digitálne médiá, ktoré obsahujú určité informácie. A toto pokladám za problém. Aké informácie? V akom rozsahu? V akej väzbe na iné informačné médium (server, webová služba, užívateľský účet) a podobne? Nikde ani slovíčko o tom, aké informácie sú na tejto karte umiestnené, ako má fungovať, aké pravidlá pre ňu majú platiť. Z toho mi vyplýva, že sa jedná o nelegitímnu formu poskytovania povinného stravovania zamestnancov. Nie je to teda priamy prostriedok platby za stravovanie, ale súčasť digitálneho systému,, ktorý je oveľa zložitejší a podľa môjho názoru – právne neošetrený.

GDPR

Podľa legislatívy GDPR, ktorá na Slovensku platí od mája tohto roku, platia určité pravidlá ochrany osobných údajov. Na problematiku elektronických stravovacích kariet sa podľa môjho názoru vzťahuje niekoľko pravidiel z tejto legislatívy. Jedná sa o pojmy „identifikačné údaje“ – meno, priezvisko…, „prevádzkové údaje“ – register pracovného času, identifikačné číslo zamestnanca…, „lokalizačné údaje“ – pri používaní mobilnej aplikácie ku karte… Tieto údaje je možné považovať za bežné osobné údaje. V prípade elektronickej stravovacej karty však môžeme hovoriť aj o narábaní s citlivými osobnými údajmi, pretože podľa GDPR sú citlivé osobné údaje aj údaje týkajúce sa zdravia. Stravovacie návyky, ktoré sa takouto kartou môžu zberať by teda do tejto sekcie mohli spadať. Otázka ale je: aké vôbec údaje sa zbierajú? A toto je nejasné.

Keď si na stránke elektronickej stravovacej karty „Ticket Profi Card“ rozkliknete sekciu „Privacy Policy“, otvorí sa vám stránka v anglickom jazyku! Zistíte, že politika ochrany osobných údajov sa vzťahuje na Spojené Kráľovstvo. Dočítate sa, aké dáta sa o vás zbierajú a samozrejme aj o možnosti tieto dáta odstrániť.

Aj to, že súhlasíte s týmito podmienkami. Podľa môjho názoru nie je v poriadku niekoľko vecí: nie je dodržané pravidlo minimálneho zberu dát podľa GDPR. Pre takúto kartu by bohato malo stačiť vaše meno, resp. identifikačné číslo a suma peňazí, ktorú máte na účte + matematické operácie (kredity / debety). Ostatné údaje sú jednoducho nadbytočné a problematické. Pravidlá nie sú v slovenskom jazyku. Inštitúcia zodpovednosti nie je na Slovensku…

Prihlasovacia stránka ku karte „Ticket Profi Card“, kde Privacy Policy je v angličtine a obsahuje zoznam zbieraných dát používateľa:

Tieto dáta sa zbierajú o používateľovi elektronickej stravovacej karty:

Údaje sú zo stránky https://services.prepaytec.com/chopinweb/scareMyLogin.do?customerCode=13315181912152&loc=sk&brandingCode=myscare_pro&sessionExpired=true (19.8.2018, 21:30)

Táto karta teda zbiera o svojom používateľovi tieto dáta (okrem iných):

dátum narodenia,
kde žije (bydlisko? pohyb?) a aké má telefónne číslo a email,
lokalizačné dáta: kde sa nachádza, adresa, z ktorej sa pripája na internet a obchody, kde platí svojou kartou,
Dáta správania. Dáta o tom, aké technologické zariadenia používa. Dáta o osobných „dokumentoch“.

Toto je jednoducho niečo neslýchané. Tvrdím, že toto je nelegálny data harvesting. Nezákonná forma zberu dát o používateľovi.

Moja hlavná otázka ale stále vyzerá takto: Ak elektronickú stravovaciu kartu nepozná Zákonník práce, je legitímne požadovať od zamestnanca, aby takúto formu poskytovania stravovania od zamestnávateľa prijal? Ak odmietne, nie je zamestnávateľ povinný poskytnúť mu jednu z dvoch legitímnych foriem stravovania uvedenú v zákone? Teda priamo stravu alebo stravovacie poukážky?

Elektronické stravovacie karty pokladám za nelegálne jednak z pohľadu platnej legislatívy Slovenskej republiky a jednak z pohľadu európskeho nariadenia GDPR. A povinné zavádzanie pre zamestnancov bez možnosti takúto službu odmietnuť, pokladám za nelegálne nanucovanie. Bol by som rád, keby mi niekto vysvetlil, ako sa mýlim.

Celé znenie Privacy Policy zo stránky „Ticket profi Card“:

Prepay Solutions Privacy Policy

Who we are

Prepay Technologies Ltd, trading as PrePay Solutions, (“PPS”, “Our” and “We”) is a company registered in England and Wales with number 04008083 and a registered office at 6th Floor, 3 Sheldon Square, Paddington, London, W2 6HY, United Kingdom. You can email PPS at contact@prepaysolutions.com or you can call PPS on 0845 303 5303 (+44 845 303 5303 from outside the UK).

E-Money Cards and Accounts

This Privacy Policy is only applicable to Cards and/or Accounts (“Card”) issued by Prepay Solutions. It does not apply to any gift cards or other cards which are not regulated as E-Money. The Terms and Conditions relating to your Card will clearly state whether your Card is regulated as E-Money. If you are not sure please do ask for clarification by contacting dpo@prepaysolutions.com..

PPS is the Data Controller in relation to your Card and all necessary activities relating to the operation of the Card: allowing you to receive, activate and use your Card (activating, managing and using your online account where applicable, making and receiving payment transactions, meeting legal requirements, answering requests, providing information to you). You may be the Customer or you may be a person that has been provided with a Card by the Customer.

Programme Managers

If you provide any personal information to the Programme Manager relevant to your Card (this party is clearly identifiable by the branding on your card), the Programme Manager is a separate Data Controller and you can view their Privacy Policy on their website. If you are not sure please do ask for clarification by contacting dpo@prepaysolutions.com.

Retail Gift cards and other Cards which are not regulated as E-Money

If you have a product such as a gift card where PPS is acting as a Data Processor and the product is not regulated as E-Money, please go to the website of the party that has issued the relevant gift card and details of how your personal data will be processed will be set out in this party’s own privacy policy. If you are not sure please do ask for clarification by contacting dpo@prepaysolutions.com.

Contact details for the PPS Data Protection Officer

Our Data Protection Officer can be contacted at PO Box 3883, Swindon SN3 9EA or at dpo@prepaysolutions.com.

The purposes and legal basis for processing your personal information

Processing is necessary for the performance your contract with PPS and for the issue and operation of Cards and is necessary for compliance with legal obligations applicable to PPS. PPS does not use your personal information for marketing purposes and will not share your information with third parties for marketing purposes.

Categories of personal information and collection

Type of personal information

Description

Personal Details Full name and date of birth

Contact Details Where you live and how to contact you including phone numbers and e-mail addresses

Transactional and Card Data Details about your Card, use of your Card and payments to and from your accounts

Contractual Information Details about the products or services we provide to you

Locational Data Data we get about where you are, such as may come from your mobile phone, the address where you connect a computer to the internet, or a shop where you buy something with your Card

Behavioural Data Details about how you use our products and services

Technical Data Details on the devices and technology you use

Communications What we learn about you from letters, emails and conversations between us

Documentary Data Details about you that are stored in documents in various formats, or copies of them. This could include things like your passport, drivers licence or birth certificate collected to fulfil customer due diligence requirements

Personal information will only be collected directly and voluntarily from you as part of the application process or as a result of transactions relating to your Cards. Some personal information may be verified by PPS with use of publically accessible sources to fulfil customer due diligence.

Sending personal information outside of the EEA

PPS will only send your personal information outside of the European Economic Area (EEA) to:

• Follow your instructions

• Comply with a legal duty

In relation to personal information processed by Mastercard certain processors are located outside of Europe. Personal information processed by Mastercard is subject to Mastercard Binding Corporate Rules which you have enforcement rights under as a third-party beneficiary.

Recipients (or categories of recipients) of personal information

PPS is committed to ensuring that your information is secure with us and with third parties who act on our behalf. These third parties include MasterCard, card manufacturers, suppliers of identity validation services, IVR and call recording (telephone) suppliers and (if relevant) the programme manager (this party is identifiable by the branding on your card). We use many tools to make sure that your information remains confidential and accurate and we may monitor or record calls, emails, text messages or other communications in order to protect you and us.

Retention of personal information

We don’t keep your information for longer than we need to, which is usually up to 7 years after the end of the relationship or upon termination of the contract, unless we are required to keep it longer (for example due to a court order or investigation by law enforcement agencies or regulators).

Your Rights

You have certain legal rights to control what we do with your information. These include:

Type of personal information

Description

Access You have a right to access the personal information we hold about you

Rectification You have a right to rectification of inaccurate personal information and to update incomplete personal information

Erasure Details about use of your Card and payments to and from your accounts with us

Restriction on processing You have a right to request us to restrict a processing of your personal information

Objection to processing You have a right to object to the processing of your personal information

Portability You have a right to personal information portability

Marketing You have a right to object to direct marketing

To exercise any of your legal rights, you can email PPS at dpo@prepaysolutions.com or you can write to PPS DPO at PO Box 3883, Swindon SN3 9EA.

Your right to lodge a complaint with the Information Commissioner’s Office

If you wish to raise a complaint on how we have handled your personal information, you can contact our Data Protection Officer. We hope that we can address any concerns you may have, but if we fail to address your complaint you can contact the Information Commissioner’s Office. (https://ico.org.uk/)

Financial crime prevention

PPS will use your personal information to help decide if your accounts may be being used for fraud or money-laundering. We may detect that an account is being used in ways that fraudsters work. Or we may notice that an account is being used in a way that is unusual. If we think there is a risk of fraud, we may stop activity on the accounts or refuse access to them. We might also check and share your information with fraud prevention agencies. If fraud is identified or suspected, these agencies may keep a record of that information and we may refuse to provide any services. Law enforcement agencies may access and use this information.

If you choose not to give personal information

If you choose not to give us your personal information, it may mean that we cannot perform services needed to run your Card. It could mean that we cancel your Card or services you have with us.