Nyheder

Nyt bidrag til afklaring af overlap mellem PSD2 og GDPR

Af Kirsten Petersen


I et åbent brev besvarer det Europæiske Databeskyttelsesråd (”EDPB”) en række spørgsmål vedrørende overlappet mellem PSD2 og GDPR. Brevet bidrager dermed til afklaringen af nogle af de væsentlige spørgsmål vedrørende behandling af personoplysninger, herunder om betalingstjenesters behandling af personoplysninger om ”silent parties” samt til belysning af fortolkningen af udtrykket ”udtrykkeligt samtykke”, som anvendes i både PSD2 og GDPR.

EDPB er et uafhængigt EU-organ, som skal sikre en ensartet anvendelse af bl.a. databeskyttelsesforordningen i hele EU. EDPB’s medlemmer består af repræsentanter for medlemsstaternes tilsynsmyndigheder.  Rådets udtalelse har således en betydeligt vægt ved fastlæggelsen af indholdet af databeskyttelsesreglerne.

Udtrykkeligt samtykke

Både PSD2 og GDPR anvender udtrykket ”udtrykkeligt samtykke”, og spørgsmålet er derfor, om ”udtrykkeligt samtykke” i PSD2 er det samme som i GDPR.

EDPB forklarer hertil, at kravet om udtrykkeligt samtykke i henhold til PSD2 art. 94, stk. 2, som i Danmark er implementeret i betalingslovens § 125, stk. 2, er af kontraktmæssig karakter og er derfor ikke det samme som (udtrykkeligt) samtykke i henhold til GDPR. Baggrunden er, at betalingsydelser altid leveres efter aftale mellem betalingstjenestens bruger og udbyderen af betalingstjenesten. Det betyder ifølge EDPB, at behandlingen af personoplysninger er nødvendig for udførelsen af ​​en kontrakt, som brugeren er part i. Grundlaget for behandling af personoplysninger i forbindelse med betalingstransaktioner kan derfor være art. 6, stk. 1, litra b, i GDPR.

PSD2s art. 94, stk. 2, skal ifølge EDPB fortolkes således, at når der indgås en kontrakt mellem en betalingstjenesteudbyder og dennes kunde under PSD2, skal kunden klart gøres bekendt med de formål, som deres personoplysninger skal behandles til, ligesom kunderne udtrykkeligt skal acceptere bestemmelser herom i kontrakten.

Silent party data

Silent party data er oplysninger vedrørende den passive part i en betalingstransaktion. I forhold til begrebet ”silent party data” er spørgsmålet, om behandling af personoplysninger om silent parties er legitim, når samtykke til behandlingen af personoplysninger alene var afgivet af en anden registreret person.

Dette vil f.eks. være tilfældet, når en registreret person A har givet samtykke til, at en betalingstjeneste behandler personoplysninger om denne i forbindelse med f.eks. en betaling til B uden, at der er et kontraktforhold mellem B og tjenesten.

Spørgsmålet er, om tjenesten inden for rammerne af GDPR også kan behandle data om B, idet dette er en forudsætning for, at overførslen er mulig, f.eks. på baggrund af den såkaldte interesseafvejningsregel i GDPR art. 6, stk. 1, litra f.

Behandlingen af personoplysninger om B kun må ske til udtrykkeligt angivne og legitime formål, og må ikke viderebehandles på en måde, der er uforenelig med disse formål.

EDPB mener, at behandlingen af oplysninger kan ske med hjemmel i såkaldte interesseafvejningsregel i GDPR art. 6, stk. 1, litra f, hvorefter behandling af personoplysninger kan ske, hvis den er nødvendig for, at den dataansvarlige – betalingstjenesten – eller en tredjemand kan forfølge en legitim interesse. Dette kan dog alene ske, hvis den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, f.eks. retten til privatliv, ikke overstiger tjenestens legitime interesser.

For betalingsinitieringstjenesters eller kontooplysnings-tjenesters behandling af ”silent party data” betyder dette, at behandlingen af disse oplysninger kan ske på baggrund af interesseafvejningsreglen, idet opfyldelsen af kontrakten med brugeren af tjenesten, A, er en legitim interesse, der er klart angivet og afgrænset i forhold til de registrerede personers rimelige forventninger.

Afslutningsvist bemærker EDPB, at oplysninger om B ikke på baggrund af interesseafvejningsreglen kan behandles til andre formål end det oprindelige, f.eks. overførsel af midler fra A til B.

Hvad skal virksomheder omfattet af PSD2 gøre?

Med sit bidrag til samspillet mellem GDPR og PSD2, har EDPB afklaret, at virksomhederne ikke nødvendigvis behøver indhente samtykke fra den passive part i en betalingstransaktion, typisk betalingsmodtageren, da det legitime formål, der ligger i at kunne levere en aftalt ydelse (en betaling) til sin kunde, i medfør af interesseafvejningsreglen  kan være tilstrækkeligt til at begrunde behandlingen af personoplysninger om betalingsmodtageren.

Det er dog nødvendigt at foretage en konkret vurdering af, om afvejningen af interesser mellem betalingstjenestens interesse i at levere den aftalte ydelse og den passive persons interesse i ikke at få behandlet personoplysninger.

Virksomheder, der behandler den type data på baggrund af interesseafvejningsreglen, bør dokumentere, at der er foretaget en interesseafvejning, herunder hvilke hensyn der er lagt vægt på i forbindelse med afvejning, og handle i overensstemmelse med den konkrete vurdering, der er foretaget.

EDPB har lagt til grund, at betalingstransaktioner generelt hviler på et kontraktuelt grundlag. Dette er også tilfældet, men det er imidlertid ikke givet at betaler og betalingsmodtager vil være parter i den aftale. Der kan være tilfælde, hvor der er mellembetalingsformidlere og korrespondentbanker involveret i en down stream betalingskæde.

Konkret kan dette have en indvirking på interesseafvejningen, da hensynet til opfyldelse af en kontrakt overfor en registreret person, som mellembetalingsformidleren ingen kontraktuel relation har til, i sagens natur vil veje mindre tungt. Jo længere væk i betalingskæden, betalingformidleren kommer fra betaleren/betalingsmodtageren, des svagere synes den interesse, som i den konkrete interesseafvejning er afgørende for, at databehandleren kan behandle i medfør af interesseafvejningsreglen i stedet for et samtykke fra den passive part i betalingstransaktionen.

I en sådan situation, er det også vigtigt gøre sig klart, om oplysninger om især den passive part i betalingstransaktionen  behandles til andre formål end blot opfyldelse af kontrakten med den registrerede person. Hvis dette er tilfældet, bør man som virksomhed i den konkrete situation overveje, om interesseafvejningsreglen også kan bære behandling af oplysninger til  disse andre formål.

Del på LinkedIn Del på Facebook