Vejledning om samspillet mellem data­beskyttelses­forordningen og PSD2 sendt i høring

Ifølge PSD2 må betalingstjenesteudbydere behandle personoplysninger, når det er nødvendigt for at forebygge, efterforske og opdage betalingssvig. Behandlingen skal være i overensstemmelse med databeskyttelsesforordningen. Derudover står der i PSD2, at betalingstjenesteudbydere kun må tilgå, behandle og opbevare personoplysninger, som er nødvendige for at kunne yde betalingstjenester, med betalingstjenestebrugerens udtrykkelige samtykke. 

Det Europæiske Databeskyttelsesråds vejledning

I sin vejledning om sammenspillet mellem databeskyttelsesforordningen og PSD2 ser Det Europæiske Databeskyttelsesråd (EDPB) nærmere på, hvornår betalingstjenesteudbydere lovligt kan behandle personoplysninger, eksempelvis personhenførbare oplysninger om kunders transaktioner.

Vejledningen afdækker, hvilke behandlingsgrundlag i databeskyttelsesforordningen betalingstjenesteudbydere kan anvende ved behandling af betalingsoplysninger.

EDPB fastslår blandt andet, at databeskyttelsesforordningens artikel 6, stk. 1, litra b om kontraktopfyldelse som behandlingsgrundlag kan anvendes, hvis betalingstjenesteudbyderen kan påvise, at behandlingen af personhenførbare betalingsoplysninger er nødvendig for at levere betalingskontotjenesten. 

Hvis betalingstjenesteudbyderen vælger samtykke som behandlingsgrundlag, gør EDPB opmærksom på, at samtykkekravet i PSD2 adskiller sig fra samtykkekravet i databeskyttelsesforordningen, da PSD2's krav om udtrykkelighed alene relaterer sig til adgangen til, behandling af og opbevaringen af personoplysninger, der er nødvendige for leveringen af betalingstjenesten.

Vejledningen afklarer derudover, i hvilket omfang betalingstjenesteudbydere må behandle personoplysninger om tredjeparter, eksempelvis når en tredjepart foretager en kontooverførsel til en kunde hos betalingstjenesteudbyderen. 

Sidste høringsdag er den 16. september 2020.

Læs vejledningen.