Nye og lempeligere regler om behandling af betalingsdata trådte i kraft ved årsskiftet. Vi følger med i, hvordan erhvervslivet vil benytte sig af de nye muligheder, og hvordan de kan være med til at understøtte Fintech-bølgen.
Fra årsskiftet lempedes reglerne for behandling af betalingsdata. Den nye Lov om betalinger ophæver det hidtidige danske specialforbud og tillader nu erhvervsdrivende at behandle betalingsoplysninger i forbindelse med anonymisering og ved bl.a. udbud af tjenester, der er direkte henvendt til forbrugeren. Behandlingen kræver udtrykkeligt samtykke fra brugeren, og det skal af samtykkeerklæringen tydeligt fremgå, hvilke oplysninger der behandles og til hvilket formål.
Opgør med det danske forbud
Forbrugerombudsmanden har i sit hidtidige tilsyn anlagt en snæver fortolkning af den daværende betalingstjenestelovs bestemmelser om behandling af oplysninger om en betalers anvendelse af betalingskort eller netbank (betalingsoplysninger). Oprindeligt var det Forbrugerombudsmandens praksis, at forbuddet mod behandling af betalingsoplysninger i lovens § 85 alene gjaldt virksomheder omfattet af betalingstjenesteloven .
I 2016 ændrede Forbrugerombudsmanden praksis, hvorefter forbuddet mod behandling af betalingsoplysninger i betalingstjenesteloven har fundet anvendelse over for alle erhvervsdrivende og ikke kun banker og udbydere af e-penge eller betalingstjenester. Det forbrugsoverblik, som de fleste kender i deres netbank, var oprindeligt erklæret forbudt af Forbrugerombudsmanden, men Finanstilsynet gav i april 2014 en særlig dispensation til bankerne, såfremt betalingsoplysninger kun var tilgængelige for forbrugeren og kun i den periode, hvor forbrugeren var logget på netbank.
Det forventes, at Forbrugerombudsmanden forsat vil fortolke mulighederne for behandling af betalingsoplysninger snævert, men udgangspunktet bliver et andet, da lov om betalinger gør op med det danske specialforbud.
Vi giver her et indblik i reglerne om behandling af betalingsoplysninger efter den nye lov om betalinger.
Den nye regel
Den nye regel lyder som følger:
§ 125. Lov om behandling af personoplysninger finder anvendelse på erhvervsdrivende, der behandler betalingsoplysninger, jf. dog stk. 2-6.
Stk. 2. En erhvervsdrivende skal på forhånd indhente udtrykkeligt samtykke fra en bruger, hvis den erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren, jf. stk. 3, nr. 2.
Stk. 3. En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med
- gennemførelse eller korrektion af en betalingstransaktion,
- udbuddet af en tjeneste, der er direkte henvendt til brugeren, eller
- anonymisering af betalingsoplysninger.
Stk. 4. Uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler gælder endvidere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsikringsaftaler.
Stk. 5. Uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplysninger til brug for en kreditvurdering.
Stk. 6. Uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til tredjemand, medmindre dette er hjemlet ved anden lovgivning eller det sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke er i strid med stk. 2-5.
Hvad dækker betalingsoplysninger over?
Betalingsoplysninger er personhenførbare oplysninger om, hvor en betaler har anvendt en betalingstjeneste, hvilken form for betalingstjeneste, der er anvendt (kreditkort), og hvad der blev købt med betalingstjenesten. Oplysningerne vil overordnet være de oplysninger, som fremgår af betalerens netbank, men de vil også omfatte, hvad betaleren har købt og priserne for varerne. Betalingsoplysninger udgør i sig selv personoplysninger og er derfor omfattet af den generelle persondataregulering.
Begrebet personoplysninger skal forstås i overensstemmelse med persondataloven og dermed også i fremtiden EU's databeskyttelsesforordning og udgør således enhver form for information om en identificeret eller identificerbar fysisk person. Det gælder i almindelighed navn, adresse, kontaktoplysninger, CPR-nummer mv. og vil i henhold til betalingsloven blandt andet være oplysninger om kort- og kontonummer samt navnet på kort- eller kontoindehaveren. Enhver behandling af betalingsoplysninger skal derfor ske i overensstemmelse med god databehandlingsskik og efter principperne om nødvendighed, transparens, proportionalitet, formålsbegrænsning og rimelig opbevaringsperiode.
Betalingsoplysninger, der ikke er indsamlet via en betalingstjeneste, men eksempelvis er indsamlet via et loyalitetsprogram, er ikke omfattet af definitionen af betalingsoplysninger, såfremt oplysningerne indsamles på et klart adskilt grundlag og funktion og dermed uafhængigt af en betalingstjeneste. Loyalitetsprogrammer vil opfylde disse krav, når behandlingen af oplysninger relateret til brugen af betalingstjenesten, og hvad der er købt, sker i forskellige datastrømme. Loyalitetsfunktionen og betalingsfunktionen kan dog samles på et og samme betalingskort, bare der er tale om to separate funktioner, datastrømme og systemer. I så fald vil data indhentet til brug for loyalitetsprogrammet ikke udgøre betalingsoplysninger, men derimod fortsat personoplysninger, som skal behandles i overensstemmelse med persondatalovgivningen.
Anonymiseret data udgør ikke betalingsoplysninger eller personoplysninger og er derfor ikke omfattet af betalingslovens (eller persondatalovgivningens) bestemmelser.
Hvordan må en erhvervsdrivende behandle betalingsoplysninger?
Efter betalingslovens § 125 må en erhvervsdrivende kun behandle betalingsoplysninger til følgende formål:
- Gennemførelse eller korrektion af en betalingstransaktion
- Udbuddet af en tjeneste, der er direkte henvendt til brugeren
- Anonymisering af betalingsoplysninger
- Kreditvurdering (ved aggregerede betalingsoplysninger)
Bestemmelsen er udtømmende, beskyttelsespræceptiv for forbrugere og finder anvendelse over for alle erhvervsdrivende, der behandler betalingsoplysninger og ikke kun udbydere af betalingstjenester. Oplysningerne, der behandles, skal være nødvendige og proportionale i forhold til den tjeneste, som leveres, og de erhvervsdrivende bør arbejde efter "privacy by design"- og ”privacy by default”-principperne, som er indarbejdet i EU's databeskyttelsesforordnings bestemmelser.
Kravet om samtykke gælder ikke i forbindelse med behandling af betalingsoplysninger, når behandlingen sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller i forbindelse med anonymisering af betalingsoplysninger. Samtykkekravet gælder således kun i forbindelse med udbuddet af tjenester, der er direkte henvendt til brugeren. Det omfatter tjenester, som brugeren selv ønsker og aktivt har anmodet om at modtage/benytte vedrørende f.eks.:
- Forbrugsoverblik
- Budgetlægning
- Kategorisering og sammenligning af forbrug
- Adviseringer om forbrug, forbrugsmønstre og usædvanlige transaktioner
- Betalingspåmindelser
- Markedsføring
- Rådgivning
- Elektroniske kvitteringsløsninger
- Rabat- og loyalitetsprogrammer
- Automatisk indberetning af donationer til velgørenhed til offentlige myndigheder
Med den bestemmelse kan betalingsoplysninger med brugerens samtykke også anvendes til individuel markedsføring målrettet brugeren. Det er dog ikke tilladt at fastsætte individuelle priser eller vilkår til brugeren på baggrund af betalingsdata – såkaldt individuel prisdiskriminering.
Den erhvervsdrivende må ikke anvende, tilgå eller lagre oplysningerne med andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om og samtykket til. Den erhvervsdrivende må i øvrigt ikke videregive betalingsoplysninger til tredjemand, medmindre det er en del af udbuddet af den tjeneste, som brugeren har ønsket og anmodet om, samt når lovgivningen dikterer det, eller det er nødvendigt for at gennemføre eller korrigere transaktionen.
Udtrykkeligt samtykke
Det er et ufravigeligt krav, at den erhvervsdrivende skal indhente udtrykkeligt samtykke fra en bruger, hvis den erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til forbrugeren.
Samtykket skal være indhentet på et af forbrugeren oplyst grundlag, og inden behandlingen af oplysninger starter. Der er dog intet til hinder for, at samtykket er en del af en rammeaftale eller standardbetingelser, så længe det klart og tydeligt fremgår af aftalen og for forbrugeren.
Samtykkeerklæringen skal indeholde afklarende oplysninger om hvilke betalingsoplysninger, der behandles og til hvilke formål. Det er derfor ikke tilstrækkeligt, at en erhvervsdrivende får samtykke til at behandle alle tilgængelige betalingsoplysninger til udbuddet af en uspecificeret ydelse. Det skal fremgå klart og tydeligt for en forbruger, at betalingsoplysninger bruges til f.eks. at danne et forbrugsoverblik, der skal hjælpe en bruger til at få oversigt over sin privatøkonomi.
Samtykkekravet gælder ikke ved anonymisering af betalingsoplysninger eller gennemførelse og korrektion af betalingstransaktioner.
Forbud mod prisdiskriminering
Forbuddet mod fastsættelse af individuelle priser eller vilkår til brugere inkluderer fastsættelse af rente på lån og præmien på en forsikring. Der er her tale om et forbud mod diskriminerende prissætning af forskellige priser for det samme produkt på baggrund af betalingsdata.
Forbuddet forsøger at tage hensyn til, at erhvervsdrivende ikke må identificere den enkelte brugers betalingsvillighed og på den baggrund fastsætte forskellige priser. Det er blandt andet hensigten at sikre, at en enkelt persons mulighed for at benytte sig af et tilbud, lån, en speciel pris eller forsikring ikke afhænger af, hvordan personen vælger at sammensætte sit forbrug.
§ 125, stk. 4 om individuelle priser er dog ikke til hinder for, at f.eks. detailhandelen bruger oplysninger indhentet via loyalitetskortsystemer med adskilte datastrømme. Det betyder, at loyalitetsprogrammer hos f.eks. supermarkeder, hvor betalingsoplysninger og købsoplysninger behandles som separerede datasæt, undtages fra reglerne (dog skal man her være opmærksom på EU's databeskyttelsesforordnings bestemmelser om profilering, herunder særligt artikel 22).
Loyalitetsprogrammer med generelle og forudbestemte rabatstrukturer kan fortsætte og suppleres med en række individuelle markedsføringstiltag, så længe brugerne samtykker til behandlingen af sine betalingsdata.
Nye muligheder
De nye regler om behandling af betalingsdata giver en række muligheder for såvel etablerede som nye virksomheder. Det bliver særligt interessant at følgende udviklingen i proaktiv brug af betalingsdata til rådgivning og individuel markedsføring.
Betalingsloven trådte i kraft den 1. januar 2018, og Horten følger området tæt.