av

Under 2018 börjar både det sk andra betaltjänstdirektivet (PSD2 i januari) respektive dataskyddsförordningen (GDPR i maj) att gälla. För många aktörer är arbetat med att implementera regelverken i full gång.
De nya reglerna inverkar både på enskilda individer och företag inom EU. Vi kommer att se ändrade beteenden ökad digital aktivitet när det t.ex. gäller betalningar via mobiler och smartklockor. Nya innovativa företag på marknaden kommer att utmana traditionella aktörer inom finansbranschen och konkurrensen blir hårdare.
I media har vi det senaste året läst avskräckande rubriker som ”brott mot GDPR – upp till 20 miljoner euro eller 4 % av den globala omsättningen i sanktioner”; ”PSD2 – slutet för banker?” Men debatt om kombinationen av de dessa två regelverk saknas. Många har specialiserat sig inom ett av områdena, men regelverken överlappar och kompetens inom flera domäner behövs för bästa samordning och effektiv implementering i verksamheten.
Här nedan några korta nedslag i vart och ett av regelverken varefter en samordnad integrering kommenteras av betydelse för betaltjänstleverantörer.

GDPR
Målsättningen med den nya dataskyddsförordningen är att på ett effektivt sätt modernisera dataskyddsreglerna i EU. Detta välkomnas av många då regelverken har släpat efter i den digitala utvecklingen. Syftet är även att företag bara ska behöva förhålla sig till ett och samma regelverk när de verkar i flera EU-länder samt att enskilda ska få större kontroll över sina personuppgifter.
Några nyheter som kort kan nämnas är att aktörer ska informera om hur de hanterar enskildas personuppgifter. Det ställs krav på nya rutiner och processer för säker hantering av register. Om ett företag har blivit utsatt för dataintrång måste företaget informera de personer som uppgifterna gäller, samt Datainspektionen om incidenten är allvarlig.
Den nyhet som mest öppnar upp för konkurrens är rätten till dataportabilitet som innebär dels att individen har rätt att få tillgång till sina personuppgifter, dels att få dem överförda till en annan aktör. Härigenom kan individer enkelt hantera och återanvända personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format. Den här rättigheten ska även underlätta för personer att byta bank och sociala nätverk. I artikel 29-gruppens vägledning om dataportabilitet ges exemplet att man ska kunna be en musikstreamingtjänst (tänk Spotify) att tillhandahålla en spellista för att få reda på hur många gånger du lyssnat på specifika låtar eller för att ta med dig spellistan till en annan tjänst.
Rätt till radering också känd som ”rätten att bli glömd” förstärks i den nya förordningen så att personer som inte längre vill att personuppgifter om dem behandlas ska kunna begära att uppgifterna raderas. Detta som ett resultat av Google Spanien-fallet från 2014. I Sverige har man sedan flera år kunnat motsätta sig att ens personuppgifter används för att skicka direktreklam och i 28 § PuL (Personuppgiftslagen) är det tydligt att man kan begära av aktören snarast rättar, blockerar eller utplånar sådana personuppgifter som inte har behandlats i enlighet med PuL. Vidare står det i samma paragraf att aktören ska underrätta tredje man till vilken uppgifterna har lämnats ut, om den registrerade begär det.
Privacy by design innebär att bygga in integritetsskydd i IT-system, vilket Datainspektionen har rekommenderat sedan 2012. Denna rekommendation är sammankopplad med de grundläggande principerna i dagens personuppgiftslag (PuL). Att man inte ska samla in mer information än vad som behövs, inte ha kvar informationen längre än man behöver och inte använda den till något annat än vad man samlade in den för, framgår redan av PuL. Att informera om hur uppgifterna ska behandlas, att begära samtycke och att tillåta insyn i den vidare hanteringen som också är ett led i integritetsskyddet står också i PuL. Genom förordningen förstärks skyddet genom att det blir obligatoriskt för alla medlemsstater att följa.

PSD2
Liksom sin föregångare syftar PSD2 till att harmonisera internetbetalningar inom Europa. Direktivet har en bredare omfattning (då det utvidgar begreppet betaltjänst till att omfatta betalningsinitieringstjänster och kontoinformationstjänster) och lägger mer fokus på konsumentskydd. Därutöver öppnar det upp marknaden av betaltjänster till så kallade Third Party Service Providers (TPPs). Dessa tredjepartsleverantörer blir reglerade, vilket de inte har varit tidigare. Andemeningen är att öppna upp för konkurrens och innovation.
En kort sammanställning ser ut så här:
• Direktivet omfattar banker och andra betaltjänstleverantörer Även de som inte är reglerade idag vilket kommer bli en utmaning för de aktörer vars verksamhet blir tillståndspliktig. Exempelvis införs krav om identifiering som gäller alla aktörer.
• Direktivet ställer högre krav på säkerhet när man identifierar kunder (som betalar på nätet)
• Direktivet öppnar dörren till bankkontoinformation för tredje part – det du ser på ditt kontoutdrag. Etablerade banker måste på ett kontrollerat sätt släppa in tredjepartsleverantörer. Detta genom att kunden tillåter tredje part att utföra betaltjänster via öppna applikationsprogrammeringsgränssnitt (så kallat API).
Det är just sista punkten som har väckt stor debatt då den är väldigt intressant för många parter. Med PSD2 blir alltså bankerna skyldiga att ge dessa tredjepartsleverantörer åtkomst till bankkundernas konton. Det gör att tredjepartsleverantörer kan använda bankernas data och infrastruktur som plattform för sina finansiella tjänster.
En privatperson som betalar för en vara eller tjänst på nätet är ofta nöjd med att priset normalt är lägre, det går snabbt och enkelt. Men företaget som förmedlar tjänsten – och som utför betalningen – får tillgång till dina kontohändelser. Därigenom kommer företaget över information om personens köpbeteende och en mängd andra personliga uppgifter (vad du har köpt, när du har köpt det, var du befann dig vid köpet, hur ditt humör var, dina inlägg på sociala medier, hur vädret var, vem du var med etc.). För de förmedlande aktörerna är det inte själva överföringen av pengar som är viktigast, utan det är informationen som de får tillgång till som är oerhört viktig för att deras verksamhet ska kunna leva vidare. De får tillgång till vilka varor du har valt att köpa och kan därmed skräddarsy sina erbjudanden (direktreklam, olika typer av finansiering) till just dig. Häri ligger det som kan vara integritetskränkande.

Hur hänger PSD2 och GDPR ihop?
De här två regelverken har inte utformats tillsammans men det finns symbios mellan dem – de har ett nära samband och det finns olika sätt för dessa att samexistera i verksamheten. Medan PSD2 kräver att banker delar kundinformation och transaktionsdata till tredje part via API, ställer GDPR hårda krav för att skydda kundinformationen med påföljder som höga sanktioner för dem som misslyckas. Rättigheter respektive skyldigheter i båda regelverken måste läsas mot varandra för att få rätt implementering och därmed tillämpning på plats. Som exempel kan nämnas att artikel 94.2 i PSD 2 – där betaltjänstleverantörers rätt att hantera personuppgifter begränsas – ska läsas mot rätten till portering av data enligt GDPR. Även förhållandet mellan rätten för en tredje part (TPP) att få över kundinformation (åtkomst till bankkontot) i förhållande till GDPRs rätt till dataportabilitet är viktiga frågor för banker att undersöka närmare. Europeiska Bankförening (EBF) och dataskyddsmyndigheter inom EU analyserar också kopplingar mellan regelverken och vi kan förvänta oss förtydliganden framöver bl.a. i form av tekniska standards.
Regelverken GDPR och PSD2 bör alltså implementeras i samverkan för att uppnå rätt praktisk tillämpning. Inte bara för att uppnå tillräcklig regelefterlevnad utan också för en så kostnadseffektiv integrering som möjligt. Implementering av regelverken innebär ändå ökade kostnader (IT-investeringar, säkerhetskrav) i kombination med minskade intjäningskanaler och fler konkurrenter på betaltjänstområdet.

Kontakt: ylva.swartling@periculo.se