Skip to content

"GDPR och PSD2 – konkurrens eller komplement när individens uppgifter ska skyddas?"

ae

ANALYS - av advokat Anna Eidvall, senior associate, Kompass Advokat

 

I maj förra året genomfördes EU:s nya betaltjänstdirektiv (PSD2) i Sverige i och med ändringar i lagen om betaltjänster. Det var väl inte heller någon som undgick att vi samma månad, i och med GDPR, fick en ny personuppgiftslag.

Medan GDPR är en vid och bred lagstiftning, gäller PSD2 bara betalningsinstitut och registrerade betaltjänstleverantörer. Båda syftar dock till att skydda information om enskilda och ge tillbaka makten att förfoga över informationen till individen.

Som alltid när två olika regelverk verkar i gränslandet av varandra uppkommer frågor kring hur de förhåller sig till varandra och hur aktörer som träffas av båda regelverken ska förhålla sig till dem i praktiken. Denna problematik har uppmärksammats av både vår svenska tillsynsmyndighet, Datainspektionen, och den Europeiska Dataskyddsstyrelsen, som båda avser att komma med vägledning på området under 2019/2020.

Europeiska Dataskyddsstyrelsen har redan uttalat sig om regelverk som befinner sig i gränslandet till GDPR och kom till exempel nyligen med vägledning kring hur GDPR och e-Privacy Direktivet förhåller sig till varandra.

De tydliggjorde att e-Privacy Direktivet både preciserade vissa regler i GDPR (lex specialis) och kompletterade dem.

Det blev klart att båda regelverken kan bli tillämpliga på samma behandling men att GDPR samtidigt uttryckligen undantar aktörer från eventuell dubbel administrativ börda som respektive regelverk kan medföra.

Detta innebär till exempel att om en aktör är skyldig att rapportera en incident under e-Privacy Direktivet, så behöver samma aktör inte rapportera samma incident till tillsynsmyndigheten under GDPR.

En liknande undantagsbestämmelse saknas i förhållande till PSD2, vilket riskerar leda till ökad administration för aktörer som träffas av båda regelverken. Det är rimligt att anta att det, precis som i relationen GDPR/e-Privacy Direktivet, finns situationer som aktualiserar båda regelverken och att PSD2 både konkretiserar vissa regler i GDPR och kompletterar lagstiftningen i andra delar.

Samtidigt finns stor risk att det också finns konkurrerande bestämmelser i regelverken – till exempel när reglerna påför aktörer en dubbel administrativ börda (såsom vid rapportering av vissa incidenter). Denna risk ökar i och med att en undantagsbestämmelse liknande den som gäller för e-Privacy förordningen saknas.

Tills dess att mer vägledning finns att tillgå hoppas denna artikel kasta lite ljus på några av de frågeställningar som finns och som vägledningarna förhoppningsvis kommer adressera.

Kort om regelverken 
GDPR ger individen ökad rätt att själv bestämma vem som får använda hens personuppgifter och i förlängningen hur.

I vissa fall kanske ett företag måste behandla uppgifterna, till exempel om det är nödvändigt för att företaget ska kunna uppfylla ett avtal mellan företaget och individen (till exempel namn och kontaktuppgifter), men i andra fall kan företaget behöva individens samtycke till behandlingen (till exempel om företaget vill behandla uppgifter om individens hälsa).

Om ett företag behandlar uppgifter om en viss person ska hen (nästan) alltid kunna få reda på det, inklusive vilka uppgifter som behandlas. Som utgångspunkt har individen också rätt att flytta över uppgifterna till en tredje part.

Även PSD2 innehåller en skyldighet för banker att föra över en kunds kontouppgifter till en tredjepartsleverantör (även kallade TPP:er), förutsatt att kunden uttryckligen har godkänt detta.

Det finns två typer av TPP:er – PISP och AISP. PISP är en betaltjänstleverantör som initierar betalningar för användarens räkning (såsom Swish och Klarna), medan AISP är en leverantör som använder individernas kontouppgifter till att utveckla och sälja rådgivnings- och informationstjänster (såsom Tink).

TPP:erna behöver individens kontouppgifter för att kunna tillhandahålla sina tjänster – till exempel när en nätbutik använder en av dess betallösningar för att ta betalt, eller för att ta fram en översiktlig sammanställning över användarens privatekonomi på ett användarvänligt sätt.

När banken lämnar ut uppgifter till en TPP är detta en behandling av personuppgifter som också måste följa GDPR. Här kan det dock uppstå en oro hos banken att utlämnande av uppgifterna bryter mot kundens rättigheter enligt GDPR, medan konkurrensmyndigheterna kan anse att det skulle vara ett brott mot konkurrenslagstiftningen att inte lämna ut uppgifterna. Det är därför viktigt att förstå att och hur lagstiftningarna konkretiserar och kompletterar varandra och ska läsas och tolkas i ljuset av varandra.

Laglig grund och samtycke 
GDPR kräver att all personuppgiftsbehandling har en laglig grund, till exempel att en person har gett sitt samtycke eller att ett företag måste behandla personuppgifterna för att ett avtal med personen ska kunna fullgöras.

Behandling av personuppgifter kan också vara tillåten om en aktör har en rättslig förpliktelse att behandla uppgifterna, till exempel om det följer enligt lag.

Om en kund vill genomföra en betalningstransaktion med en TPP, måste TPP:n ha tillgång till information om kundens betalkonto för att kunna uppfylla avtalet med kunden, dvs. initiera betalningen. Under GDPR bör TPP:ns behandling därför vara tillåten med stöd i avtalet.

Samtidigt kräver PSD2 att kunden uttryckligen samtyckt till överföringen för att en sådan ska vara tillåten. Detta är uttryck som också finns i GDPR.

Europeiska Dataskyddsstyrelsen har tidigare bekräftat att ett ”uttryckligt samtycke” enligt PSD2 inte är samma sak som ett ”uttryckligt samtycke” enligt GDPR. Europeiska Dataskyddsstyrelsen har snarare gett uttryck för att ”uttryckligt samtycke” under PSD2 är att betrakta som ett avtal med kunden, och att överföringen av uppgifterna från banken till TPP:n därför är tillåten (enligt dataskyddsregelverket) med stöd i avtalet.

Detta hjälper dock inte banken, eftersom banken inte har något motsvarande avtal med kunden. Banken måste därför förlita sig på en annan laglig grund för att behandlingen ska vara tillåten enligt GDPR.

Eftersom Banken är skyldig att föra över uppgifterna till TPP:n enligt PSD2 bör behandlingen ses som nödvändig för att banken ska kunna uppfylla en rättslig förpliktelse. Den rättsliga förpliktelsen är bankens skyldighet att överföra uppgifterna.

Definitioner och innebörd 
GDPR innehåller definitioner av många begrepp, till exempel personuppgifter och särskilda kategorier av personuppgifter.

PSD2 innehåller samtidigt andra definitioner som inte finns i GDPR, till exempel känslig betalningsuppgift. Väldigt allmänt definieras känslig betalningsuppgift som information som kan användas för bedrägerier.

Är känsliga betalningsuppgifter eller andra uppgifter som kan komma att överföras till en TPP att betrakta som särskilda kategorier av personuppgifter under GDPR och därmed omfattas av strängare regler, eller inte?

GDPR håller inte ”känsliga betalningsuppgifter” som en ”särskild kategori av personuppgifter”. Inte heller Dataskyddslagen ser denna typ av uppgift som särskilt skyddsvärd. Datainspektionen har också bekräftat att finansiell och ekonomisk information faller utanför någon av dessa definitioner, men vidhåller att en viss typ av sådana uppgifter kan anses vara särskilt integritetskänslig.

Till exempel menar Datainspektionen att finansiella uppgifter som behandlas av en bank kan anses vara av mycket personlig karaktär och att behandlingen av dessa typer av uppgifter kan behöva föregås av en så kallad konsekvensanalys.

Huvudregeln bör dock vara att ”känsliga betalningsuppgifter” under PSD2 utgör ”vanliga” personuppgifter under GDPR, även om sådan typ av information, under vissa omständigheter, kan anses vara mycket personlig och i förlängningen integritetskänslig.

Detta bör främst påverka informationssäkerheten och hur uppgifterna skyddas. GDPR ställer höga krav på informationssäkerhet, men är inte konkret i hur uppgifterna ska skyddas i praktiken. Det är upp till respektive part att se till att uppgifterna skyddas med hjälp av lämpliga tekniska och organisatoriska åtgärder som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen.

Även PSD2 ställer krav på informationssäkerhet och säker kommunikation med hänvisning till de tekniska standarder som antagits av Europeiska kommissionen med anledning av direktivet. Uppfyller överföringen säkerhetskraven i PSD2 bör det även vara rimligt att anta att behandlingen i praktiken också uppfyller säkerhetskraven i GDPR, men självklart måste detta utredas från fall till fall.

Incidentrapportering
Både GDPR och PSD2 innehåller krav på rapportering om incidenter. GDPR kräver att banker och TPP:er dokumenterar alla typer av personuppgiftsincidenter, stora som små. Dessutom måste vissa överträdelser anmälas till Datainspektionen inom 72 timmar.

Banken eller TPP:n måste också, under vissa omständigheter, meddela berörda kunder om incidenten.

PSD2, å andra sidan, kräver att betaltjänstleverantörer utan dröjsmål meddelar Finansinspektionen om allvarliga operativa incidenter eller säkerhetsincidenter. Det ska dock i första hand göras redan inom fyra timmar efter incidentens upptäckt.

Liksom GDPR, måste betaltjänstleverantören enligt PSD2 också meddela användaren av betaltjänsten (dett vill säga kunden) om händelsen kan påverka hens "ekonomiska intressen".

Banker och TPP:er måste således uppfylla rapporteringskraven enligt båda lagstiftningarna, vilket kan leda till dubbel anmälningsplikt i vissa fall.

Förutom att de måste ha olika tidsaspekter i beaktande om när rapporteringsskyldighet infaller, kräver Datainspektionen, respektive Finansinspektionen, i viss mån olika information i förhållande till incidenten och tillsynsmyndigheterna använder sig dessutom av olika rapportformat och rapporteringskanaler.

Förhållandet mellan banken och TPP:n
GDPR skiljer mellan personuppgiftsansvarig och personuppgiftsbiträde, vilka har olika rättigheter och skyldigheter under lagstiftningen. Banker och TPP:er behöver därför fundera över sin relation och vilken roll respektive part åtnjuter under GDPR. Det är inte möjligt för parterna att avtala om en viss roll i strid med GDPR.

GDPR definierar vilken roll respektive part har med hänsyn till respektive parts personuppgiftsbehandling.

Sannolikt är både banken och TPP:n i de flesta fall att anse som självständigt personuppgiftsansvarig för att skicka respektive ta emot och använda personuppgifterna för sina respektive ändamål. Det kan dock vara oklart om varje part är ensamt ansvarig eller om de har ett gemensamt personuppgiftsansvar för viss del av behandlingen (till exempel själva överföringen).

Även om banken under PSD2 inte kan kräva ett avtal med TPP:n som villkor för att de ska få tillgång till kundens kontouppgifter, kräver GDPR att två gemensamt personuppgiftsansvariga formaliserar en överenskommelse om ansvarsfördelning dem emellan. Här är det viktigt att särskilja vad GDPR faktiskt kräver att parterna reglerar i ett sådant avtal, jämfört med de begränsningar som PSD2 ställer upp.

Information till kunden
GDPR ger individen rätt att få ganska mycket information om den personuppgiftsbehandling som förekommer. Syftet är att individen ska förstå hur personuppgifterna hanteras och hur hen kan påverka behandlingen.

Även PSD2 innehåller regler om informationsgivning till kunden. Från en effektivitetssynpunkt bör informationen vara rimligt proportionell mot användarens behov och tillhandahållas i standardformat.

TPP:er bör därför informera kunderna om hur deras personuppgifter behandlas inom ramen för TPP:ns tjänster, samtidigt som banken bör informera kunden om bankens tjänster samt att hens uppgifter kan komma att överföras till en TPP (om kunden så begär).

Detta kan upplevas som dubbelinformation för kunden och banken kan argumentera att kunden redan bör ha fått information om överföringen från TPP:n i och med att kunden önskat dess tjänster. Samtidigt måste banken då förlita sig på att en annan part lämnat information till kunden – i de flesta fall utan att ett avtalsförhållande mellan bank och TPP finns (med undantag för om ett sådant åtagande reglerats inom ramen för ett gemensamt personuppgiftsansvarsavtal).

Information i båda leden kan därför vara ett effektivt verktyg för att tydliggöra för kunden var bankens, respektive TPP:ns, ansvar för behandlingen börjar och slutar.

Inte samma för alla
Medan GDPR är en förordning och ska tillämpas lika i alla medlemsstater, är PSD2 ett direktiv som tolkats och implementerats på olika sätt i alla medlemsstater. Detta betyder i förlängningen att banker och TPP:er med gränsöverskridande verksamhet kommer ha många olika regler och verkligheter att förhålla sig till.

Problemet med olika tolkningar och tillämpningar av det gamla dataskyddsdirektivet var en av anledningarna till att GDPR till slut blev en förordning. För banker och TPP:er kommer dock denna problematik kvarstå i och med PSD2.

 

 

 

Gratis nyhetsbrev om rättsfall och juridik från Dagens Juridik - klicka här

 

 


Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt