Viktigt att tänka på vid tillämpning av PSD2 och GDPR

Under 2019 införlivades det andra betaltjänstdirektivet (”PSD2”) i svensk rätt vilket bland annat medförde ett krav på banker att tillgängliggöra kunders betalkontoinformation till leverantörer av kontoinformationstjänster och betalningsinitieringstjänster. En fråga som uppkommit i samband med direktivets genomförande är dess förhållande till dataskyddsförordningen (”GDPR”) och hur man som aktör på marknaden, främst som leverantör av betaltjänster, ska orientera sig mellan de båda regelverken. I detta inlägg vill vi därför ge en introduktion till PSD2 samt belysa förhållandet mellan PSD2 och GDPR. Vidare diskuteras problematiken kring hantering av samtycken enligt de olika regelverken.

Bakgrund och lagstiftning

PSD2 har implementerats i svensk rätt genom ändringar i Lag (2010:751) om betaltjänster (”betaltjänstlagen”) som trädde i kraft den 1 maj 2018. Reglerna implementerades dock i två led och den 14 september 2019 trädde den andra delen av lagändringen i kraft. Syftet med PSD2 är att utveckla marknaden för elektroniska betalningar och skapa bättre förutsättningar för säkra och effektiva betalningar samt att generera ett bredare utbud av finansiella tjänster och produkter på den privata marknaden.

Implementeringen av PSD2 innebär bland annat två betydande förändringar: dels ett utvidgat tillämpningsområde för betaltjänster och dels en rätt för betaltjänstleverantörer att av banker få tillgång till kunders betalkontoinformation, så kallad open banking.

Betaltjänstlagens tillämpningsområde utvidgades genom att definitionen av betaltjänster nu även omfattar kontoinformationstjänster och betalningsinitieringstjänster. En betalningsinitieringstjänst definieras i betaltjänstlagen som en ”tjänst för att på begäran av betaltjänstanvändaren initiera en betalningsorder från ett betalkonto hos en annan betaltjänstleverantör”. En kontoinformationstjänst definieras i lagen som ”en onlinetjänst för att tillhandahålla sammanställd information om ett eller flera betalkonton som betaltjänstanvändaren har hos en eller flera andra betaltjänstleverantörer”. Leverantörer av dessa betaltjänster kallas tredjepartsleverantörer. Detta eftersom sådana leverantörer verkar som ett slags mellanled, en tredje part, mellan banken och betaltjänstanvändarna, vid tillhandahållande av betaltjänster. Nedan kommer vi främst fokusera på kontoinformationstjänster eftersom tillhandahållandet av sådana tjänster ofta kräver att betaltjänstleverantören har tillgång till användarens betalkontoinformation, vilket är särskilt intressant ur ett dataskyddsperspektiv.

Vidare möjliggör ändringarna som implementerats till följd av PSD2 för open banking. Open banking innebär kortfattat att tredjepartsleverantörer kan få tillgång till en kunds betalkontoinformation och/eller initiera betalningar om kunden begär det. Detta genom bestämmelser i PSD2 som innebär en skyldighet för banker att tillhandahålla kunders betalkontoinformation till tredjepartsleverantörer, om kunden godkänner det. Banken är dock endast skyldig att ge åtkomst till den transaktionsdata som finns rörande kunders betalkonton, så kallad betalkontoinformation. Förenklat innebär kraven att banker måste erbjuda öppna applikationsprogrammeringsgränssnitt (”API:er”) i syfte att tillgängliggöra betalkontoinformationen på ett säkert sätt. Som kommer redovisas för mer ingående nedan kräver all tillgång till kontoinformation betaltjänstanvändarens samtycke. Ett sådant samtycke ges till betaltjänstleverantören som sedan skickar det vidare till banken för godkännande att tillhandahålla informationen. För att kunna få tillgång till bankers API:er krävs också att tredjepartsleverantören har ett tillstånd meddelat av Finansinspektionen alternativt har beviljats undantag från tillståndskravet.

Innan PSD2 trädde ikraft kan det sägas att banker haft ensamrätt på kunders betalkontoinformation vilket gjort det svårt för nya aktörer att ta sig in på marknaden, särskilt då tredjepartsleverantörers affärsmodeller i mångt och mycket bygger på tillgång till relevant information. Open banking möjliggör därför för leverantörer av nya innovativa betaltjänster att etablera sig på den finansiella marknaden, vilket i sin tur förväntas innebära ökad konkurrens och bättre kunderbjudande.

Tredjepartsleverantörers möjligheter att få tillgång till betalkontoinformation enligt PSD2 innebär dock inte att informationen får behandlas fritt. Eftersom betalkontoinformation många gånger utgör personuppgifter i form av bland annat kontonummer, kontotyp, eventuellt kontonamn och eventuellt namn på kontoinnehavare ska GDPR tillämpas på all behandling av sådana uppgifter. Det är därför viktigt att känna till förhållandet mellan PSD2, betaltjänstlagen och GDPR, och hur regelverken bör tillämpas parallellt.

Utmaningar och problem

När PSD2 och GDPR i nära anslutning till varandra trädde i kraft gick diskussionerna heta huruvida regelverken kunde anses motstridiga i fråga om informationsutlämning. Detta eftersom PSD2 delvis har till syfte att tillgängliggöra kunders betalkontoinformation enklare till tredje part, medan GDPR syftar till att skärpa reglerna avseende personuppgiftshantering och skydda registrerades personuppgifter.

PSD2 innehåller ett flertal bestämmelser som berör personuppgiftsbehandling. I direktivets artikel 94(1) anges att all behandling av personuppgifter måste ske i enlighet med EU:s dataskyddslagstiftning. I skäl 89 i PSD2 anges vidare att behandling bland annat ska ske i enlighet med dataskyddsdirektivet. I Artikel 94 i GDPR anges i sin tur att hänvisningar till dataskyddsdirektivet ska gälla som hänvisningar till GDPR. Tolkning och tillämpning av bestämmelserna i PSD2 ska således göras i ljuset av GDPR.

Ett annat problem som kan uppstå vid tillämpning av de båda regelverken gäller det samtycke som måste inhämtas från en betaltjänstanvändare för att en tredjepartsleverantör ska få tillgång till betaltjänstanvändarens betalkontoinformation. Trots att regler om samtycke återfinns i båda regelverken skiljer sig regleringen åt och begreppet samtycke tycks inneha olika innebörd regelverken emellan. Noterbart är också att i den svenska versionen av PSD2 används begreppet uttryckligt medgivande och i betaltjänstlagen används begreppet uttryckligt godkännande. I den svenska versionen av GDPR används begreppet samtycke. I de engelska språkversionerna av PSD2 och GDPR används det gemensamma begreppet consent. Begreppsskillnaden i sig är inte av större betydelse då alla tar sikte på betaltjänstanvändarens samtycke. Vad som är intressant är vad de rättsliga konsekvenserna av ett lämnat samtycke är och hur dessa skiljer sig åt.

Samtycke enligt PSD2 och GDPR

I artikel 94(2) i PSD2 anges att betaltjänstleverantörer endast ska ha tillgång till, behandla och bevara sådana personuppgifter som är nödvändiga för tillhandahållande av betaltjänsterna, med uttryckligt medgivande från betaltjänstanvändaren. Även om betaltjänstanvändaren ger sitt uttryckliga medgivande gäller således kravet på nödvändighet fortfarande. I 5 kap. 11 och 15 §§ betaltjänstlagen har införts bestämmelser som stadgar att en betaltjänstanvändare måste lämna sitt uttryckliga godkännande för att en betaltjänstleverantör ska kunna tillhandahålla sin tjänst och därmed för att få tillgång till användarens betalkontoinformation.

För att få behandla personuppgifter enligt GDPR krävs rättslig grund enligt artikel 6. Det finns sex rättsliga grunder varav samtycke, intresseavvägning och fullgörande av avtal är de grunder som aktualiseras i sammanhanget. Samtycke innebär förenklat att den registrerade har sagt ja till personuppgiftsbehandlingen. För att använda sig av den rättsliga grunden samtycke måste det finnas en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Begreppet uttryckligt samtycke förekommer i GDPR och krävs i situationer där det kan anses lämpligt att enskilda har omfattande kontroll över sina personuppgifter. Detta gäller exempelvis vid behandling av känsliga uppgifter, även kallat särskilda kategorier av personuppgifter i GDPR.

Förhållandet mellan samtycken enligt PSD2 och GDPR

Den Europeiska dataskyddsstyrelsen (”EDPB”) har konstaterat att regelverket gällande samtycke är komplext, eftersom både PSD2 och GDPR inkluderar någon form av samtycke. EDPB lyfter i samband med detta frågan huruvida uttryckligt medgivande (eng. explicit consent) i PSD2 ska tolkas på samma sätt som ett samtycke (eng. consent) i GDPR.

I sitt uttalande konstaterar EDPB att kravet i PSD2 om ett uttryckligt medgivande är att betrakta som ett kontraktuellt godkännande som är knutet till avtalsvillkoren mellan betaltjänstleverantören och betaltjänstanvändaren för den aktuella betaltjänsten. Som tyngd för sitt uttalande hänvisar EDPB till skäl 87 i PSD2 som anger att direktivet enbart bör gälla skyldigheter och ansvar enligt tjänsteavtalet mellan betaltjänstleverantören och betaltjänstanvändaren.

En betaltjänstanvändare som godkänner villkoren i ett tjänsteavtal kan få intrycket av att de ger sitt samtycke till behandling av personuppgifter, när de egentligen bara godkänner villkoren för den aktuella tjänsten. På samma sätt är det lätt för betaltjänstleverantören att felaktigt anta att kundens godkännande av avtalsvillkoren motsvarar ett samtycke i GDPR:s mening. Det är således mycket viktigt att skilja på innebörden av att acceptera villkoren i ett tjänsteavtal och att ge samtycke i den mening som avses i GDPR. Detta är två olika handlingar med olika förutsättningar och olika rättsliga konsekvenser.

Vad gäller rättslig grund för behandling enligt GDPR konstaterar EDPB att den rättsliga grunden i majoriteten av fallen bör vara fullgörande av avtal enligt GDPR artikel 6(1)(b). Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter om behandlingen är nödvändigt för att fullgöra avtalet med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. En betaltjänstleverantörs behandling av betaltjänstanvändarens personuppgifter bör i många fall vara nödvändig för att kunna fullgöra det tjänsteavtal som ingåtts mellan parterna.

EDPB konstaterar vidare att artikel 94(2) i PSD2, som behandlar betaltjänstanvändarens uttryckliga medgivande, ska tolkas som att när ett avtal ingås med en betaltjänstleverantör ska betaltjänstanvändaren göras fullt medveten om i vilket syfte dennes personuppgifter används samt att samtycket enbart gäller för det syftet. Avtalsbestämmelserna som reglerar medgivandet ska tydligt särskiljas från övriga bestämmelser i avtalet och godkännas särskilt.

Paralleller kan dras till informationskravet i artikel 7(2) i GDPR som innebär att ett samtycke som lämnas i en skriftlig förklaring tydligt ska avskiljas från eventuella övriga frågor i förklaringen som inte rör själva samtycket.

Betaltjänstanvändaren godkänner i detta steg att leverantörens tillgång till personuppgifter är nödvändig för att tillhandahålla betaltjänsten, men det är fortfarande GDPR som reglerar behandling av personuppgifter och behandlingen måste således ha rättslig grund. Som nämnts ovan är denna grund oftast fullgörande av avtal.

Vid behandling av personuppgifter som är nödvändiga för att fullgöra ett avtal utgör samtycke inte rättslig grund för behandlingen. Detta innebär omvänt att behandling av personuppgifter som inte är nödvändiga för fullgörande av ett avtal enbart får utföras om den har stöd i en annan rättslig grund, exempelvis samtycke. Dessutom bör det beaktas vilka typer av uppgifter som behandlas eftersom behandling av känsliga personuppgifter som utgångspunkt är förbjudet och ett tillämpligt undantag måste då identifieras. Ett sådant undantag kan vara ett särskilt uttryckligt samtycke enligt Artikel 9 i GDPR.

Avslutande kommentar

Sammanfattningsvis är regelverket kring samtycke komplext eftersom samtycke förekommer i såväl PSD2, betaltjänstlagen och GDPR, men tycks medföra olika rättsliga konsekvenser i de olika regelverken. Klarlagt är att en betaltjänstleverantör måste följa både betaltjänstlagen och GDPR och först inhämta ett samtycke från betaltjänstanvändaren för att få tillgång till dennes betalkontoinformation, för att sedan hitta laglig grund för behandling enligt GDPR, oftast via avtalsrättslig grund eller samtycke. En tredjepartsleverantör måste således orientera sig noggrant i regelverken och vara medveten om vilken innebörd ett samtycke har i respektive regelverk, samt vilken typ av uppgifter som behandlas eftersom detta också påverkar vilken typ av samtycke som måste inhämtas.