Så du har koll på EU:s nya betaltjänstdirektiv, PSD2? Fantastiskt! Men du glömmer väl inte bort GDPR? Här förklarar IT-rättsspecialisten Henrik Lindstrand från advokatfirman Cederquist vad som gäller.
Den 14 september förändras tillvaron för banker och andra leverantörer av finansiella tjänster, i det som kallas för Open Banking. Utöver det finansregulatoriska perspektivet av Open Banking – läs mer om det här – aktualiserar det även GDPR och annan dataskyddslagstiftning.
Möjligheten att använda betalkontoinformation enligt PSD2 innebär nämligen inte att informationen får behandlas fritt enligt GDPR. Henrik Lindstrand på Cederquist är expert på IT-rätt och förklarar här några centrala aspekter som tillhandahållare av kontoinformationstjänster bör känna till om förhållandet mellan PSD2 och GDPR.
Enligt PSD2 måste banker tillhandahålla öppna API:er – ofta benämnda open banking-plattformar – genom vilka bland annat leverantörer av kontoinformationstjänster ska ges åtkomst till kundernas betalkonton. En leverantör av en kontoinformationstjänst kallas AISP (Account Information Service Provider), vilket är benämningen vi använder i fortsättningen.
PSD2 ålägger även en AISP vissa skyldigheter i detta hänseende, vilket innebär att en AISP inte får:
Kundens godkännande kan utgöras av ett avtal mellan AISP och kunden – exempelvis tjänstevillkor – eller en separat handling skild från avtalet. Även om det inte framgår av ordalydelsen i PSD2 – tvärtom – följer det av svenska förarbetsuttalanden att en AISP enligt PSD2 får använda uppgifterna för till exempel kreditupplysningsändamål, förutsatt att kunden har lämnat sitt uttryckliga godkännande.
Därmed får uppgifterna antas kunna användas även för andra ändamål med sådant godkännande, vilket dock i praktiken troligen förutsätter att detta även ligger i kundens intresse.
Utöver kraven i PSD2 måste AISP vid behandling av personuppgifter säkerställa att åtminstone en av de rättsliga grunderna i EU:s dataskyddsförordning (GDPR) kan tillämpas för respektive behandlingsändamål. AISP kan till exempel vilja behandla uppgifterna för att tillhandahålla tjänsten som kunden begärt, för att analysera kundens data för AISP:s egna ändamål eller för att erbjuda andra aktörer tjänster som baseras på kundens data.
De grunder i GDPR som en AISP bör överväga är:
Kraven enligt PSD2 påminner i flera delar om liknande krav i GDPR. Men ett godkännande från kunden enligt PSD2 innebär inte nödvändigtvis att det finns en grund för behandlingen enligt GDPR. Nedan beskrivs därför hur ett sådant godkännande förhåller sig till de rättsliga grunderna enligt GDPR.
Utgångspunkten enligt PSD2 är att uppgifterna som AISP får tillgång till enbart får behandlas för att tillhandahålla kontoinformationstjänsten till kunden. För detta ändamål kan AISP därför behandla personuppgifterna enligt GDPR med hänvisning till att behandlingen är nödvändig för att fullgöra avtalet mellan AISP och kunden.
Uppgifterna kan behandlas på samma grund enligt GDPR även för andra ändamål om de framgår av avtalet med kunden. Om däremot uppgifterna behandlas för ändamål som ligger utanför avtalet – enligt separat godkännande från kunden – behöver behandlingen enligt GDPR baseras på samtycke eller intresseavvägning.
Om särskilda kategorier av personuppgifter (såsom religiös övertygelse, medlemskap i fackförening och uppgifter om hälsa) behandlas av AISP, exempelvis uppgift om att medlemsavgift har erlagts till fackförbund, krävs dock vanligtvis ett samtycke från kunden – även om dessa uppgifter är nödvändiga för att fullgöra avtalet med kunden.
Om uppgifterna behandlas för andra ändamål än att fullgöra avtalet med kunden, exempelvis för att tillhandahålla upplysningstjänster till andra aktörer eller för att förbättra tjänstens driftsäkerhet utan att detta framgår av tjänstevillkoren, kan det finnas möjlighet att tillämpa intresseavvägning. Detta innebär att behandlingen är tillåten om AISP:s (eller tredje parts) intresse av att behandla uppgifterna väger minst lika tungt som kundens intresse av skydd för sina personuppgifter.
Eftersom användning av uppgifterna enligt PSD2 enbart får ske om ett godkännande har inhämtats, kan personuppgifterna i de flesta fall sannolikt behandlas på en intresseavvägning enligt GDPR. Detta då det får antas att kunden, genom det separata godkännandet till AISP, är väl medveten om ändamålet med behandlingen. Det är dock viktigt att AISP lämnar tydlig information om behandlingen till kunden enligt GDPR, bland annat om vilka uppgifter som kommer behandlas för det specifika ändamålet.
Om behandlingen är mycket integritetskänslig, till exempel om en detaljerad redogörelse av kundens privatekonomi lämnas ut till tredje man, kan det dock tänkas att kundens intresse väger tyngre och att AISP därför behöver inhämta ett samtycke enligt GDPR. Så är också fallet om särskilda kategorier av personuppgifter behandlas.
GDPR innehåller särskilda krav för ett samtyckes giltighet, nämligen att det är frivilligt, specifikt, informerat och otvetydigt. Om samtycket lämnas i en skriftlig förklaring och denna också rör andra frågor, exempelvis tjänstevillkor, måste samtycket vara särskilt från de andra frågorna. Det innebär att samtycket, till skillnad från ett godkännande enligt PSD2, inte får “bakas in” i tjänstevillkoren utan bör inhämtas genom en separat samtyckesruta eller liknande.
En AISP bör inte heller villkora tjänsten av att kunden lämnar samtycke till behandling som inte krävs för tjänstens tillhandahållande. Kunden måste också bli informerad om möjligheten och konsekvensen av att samtycket när som helst kan återkallas.
Om uppgifterna används för kreditupplysningsändamål blir kreditupplysningslagen relevant att beakta. Förutom krav på tillstånd från Datainspektionen, innehåller kreditupplysningslagen bestämmelser om hur uppgifterna får behandlas. Denna lag kan därför behöva analyseras i detalj.
Den här artikeln har berört förutsättningarna att behandla personuppgifter inom PSD2:s tillämpningsområde. Om en AISP får tillgång till uppgifter utanför detta område, till exempel information från sparkonton, eller vill behandla uppgifterna för andra tjänster än kontoinformationstjänster, behöver förutsättningarna för detta närmare analyseras, däribland möjligheterna att inhämta kunduppgifter genom så kallad skärmskrapning.