Bekendtgørelse af lov om betalinger § 124

§ 85 i den nugældende lov om betalingstjenester og elektroniske penge fastsætter rammerne for virksomheders adgang til og behandling af personoplysninger og oplysninger om, hvor en betaler har anvendt sit betalingsinstrument, og hvad der er købt. Betalerens cpr-nummer på et betalingsinstrument må ikke kunne aflæses fysisk eller elektronisk af andre end betalerens udbyder og oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt, må kun behandles, når det er nødvendigt til gennemførelse eller korrektion af betalingstransaktioner eller er hjemlet ved anden lovgivning.

Med forslaget til § 124 sker der en nyaffattelse af § 85 i den nugældende lov om betalingstjenester og elektroniske penge. Den foreslåede bestemmelse gennemfører artikel 94, i 2. betalingstjenestedirektiv og nyaffatter regler i § 85 i den nugældende lov om betalingstjenester og elektroniske penge, idet de formål som oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt, kan behandles til udvides og præciseres.

Bestemmelsen er beskyttelsespræceptiv for så vidt angår forbrugere, jf. lovforslagets § 6, og kan derfor ikke fraviges ved aftale.

Det foreslås i stk. 1, at lov om behandling af personoplysninger finder anvendelse på udbydere af betalingstjenester og udstedere af elektroniske penge, jf. dog stk. 2-6.

Bestemmelsen viderefører § 85, stk. 1, i nugældende lov om betalingstjenester og elektroniske penge og gennemfører delvist artikel 94, stk. 1, i 2. betalingstjenestedirektiv.

Udbuddet af betalingstjenester vil i en række tilfælde medføre behandling af personoplysninger, eksempelvis kort- og kontonummer, cpr.nr. og navn og adresse. Udbyderne er derfor omfattet af persondataloven samt Europa-Parlamentets og Rådets forordning (EF) Nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger.

Navnlig når personoplysninger behandles med henblik på udførelse af tjenesteydelser omfattet af dette lovforslag, bør det præcise formål for anvendelse af personoplysninger, det relevante retsgrundlag for behandlingen, og de relevante sikkerhedskrav angives, som det er fastsat i lov om behandling af personoplysninger.

Yderligere bør en udbyder, der behandler personoplysninger, anvende principperne om nødvendighed og proportionalitet, foretage en formålsbegrænsning og samtidig respektere en rimelig dataopbevaringsperiode. Endvidere bør der tænkes privatlivsfremmende løsninger ind i udviklingen af systemer m.v., også kaldet ’privacy by design’, og gennem standardindstillingerne, også kaldet ’privacy by default’, som kan indgå i alle databehandlingssystemer, der udvikles og anvendes inden for rammerne af denne lov.

Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven.

Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Det fremgår imidlertid af forarbejderne til persondataloven (jf. Folketingstidende 1999-2000, Tillæg A, side 4057 (lovforslag nr. L 147)), at dette ikke gælder, hvis den dårligere retsstilling har været tilsigtet. Stk. 2-6 fastsætter en række yderligere regler vedrørende udbyderes behandling af personoplysninger, som fastsætter krav, der som udgangspunkt medfører skærpende regler om behandling af personoplysninger.

Det foreslås i stk. 2, at en udbyder af betalingstjenester på forhånd skal indhente udtrykkeligt samtykke fra brugeren, hvis udbyderen behandler personoplysninger i forbindelse med udbuddet af betalingstjenesten. Bestemmelsen gennemfører artikel 94, stk. 2, i 2. betalingstjenestedirektiv.

Begrebet personoplysninger i forslaget til stk. 2, skal forstås i overensstemmelse med persondataloven, og omfatter således enhver form for information om en identificeret eller identificerbar fysisk person. I relation til betalingstjenester vil eksempelvis oplysninger om kort- og kontonummer og navnet på kort- eller kontoindehaver udgøre personoplysninger.

For så vidt angår kravet om samtykke, er det en betingelse efter bestemmelsen, at en udbyder af betalingstjenester indhenter et udtrykkeligt samtykke fra brugeren, inden udbyderen behandler brugerens personoplysninger i forbindelse med udbuddet af betalingstjenesten. Dette indebærer, at behandling af personoplysninger i forbindelse med udbuddet af betalingstjenester kun må ske på baggrund af brugerens udtrykkelige samtykke, uagtet at det er nødvendigt at behandle disse oplysninger i forbindelse med gennemførelsen af en betalingstjeneste, som brugeren selv har anmodet om.

Samtykkekravet skal forstås i overensstemmelse med definitionen i § 3, stk. 1, nr. 8, i persondataloven. En udbyder af betalingstjenester vil således ikke kunne opnå stiltiende eller indirekte tilslutning til behandling af personoplysninger. Et egentligt krav om skriftlighed følger dog ikke af persondataloven. Det følger imidlertid af det foreslåede stk. 2, at der skal være tale om et udtrykkeligt samtykke. Det indebærer, at en udbyder af betalingstjenester skal indhente et samtykke på et oplyst grundlag, således at det klart og tydeligt fremgår for den enkelte bruger, at der f.eks. ved indgåelse af en rammeaftale om betalingstjenester samtidig gives samtykke til, at betalingstjenesteudbyderen må behandle den pågældende brugers personoplysninger i forbindelse med udbuddet af betalingstjenesten. Dette kunne eksempelvis være i forbindelse med indgåelse af aftale om brug af et betalingskort. Her ville indehaveren af betalingskortet i rammeaftalen kunne give samtykke til behandling af kortnummer og andre personoplysninger i forbindelse med gennemførslen af en betalingstransaktion, hvis samtykket fremgår klart og tydeligt af aftalen om brug af betalingskortet. Det foreslåede stk. 2 er således lex specialis i forhold til reglerne i persondataloven, ligesom artikel 94, stk. 2, i 2. betalingstjenestedirektiv er lex specialis i forhold til databeskyttelsesdirektivet.

Med forslaget til stk. 2 ligger der alene et krav om, at samtykket skal være indhentet forud for behandling af personoplysningerne, og ikke at der nødvendigvis skal indhentes et udtrykkeligt samtykke hver gang, der foretages en enkelt behandling af oplysningerne. Der kan således gives et generelt udtrykkeligt samtykke i en rammeaftale om udbud af betalingstjenester.

Det bemærkes, at det er en betingelse ved behandling af oplysninger på baggrund af et samtykke fra en bruger, at også de grundlæggende principper om behandling af personoplysninger efter persondataloven er opfyldt. Behandlingen af oplysninger vil således blandt andet skulle være i overensstemmelse med god databehandlingsskik, ligesom behandlingen også skal være sagligt begrundet og relevant.

Forslaget til stk. 2 skal læses i sammenhæng med forslaget til § 153, stk. 10, hvori der foreslås en overgangsordning, således at eksisterende aftaler om udbud af betalingstjenester, der er indgået før 1. januar 2018, og som indebærer behandling af personoplysninger i henhold til § 6, stk. 1, nr. 2, i persondataloven, kan fortsætte uændret, uafhængigt af forslaget til stk. 2 om indhentelse af udtrykkeligt samtykke. Overgangsbestemmelsen er foreslået, da det forekommer urimeligt byrdefuldt at pålægge en udbyder at indhente et udtrykkeligt samtykke på baggrund af en aftale, der allerede var indgået ved lovforslagets ikrafttrædelsesdato. For aftaler indgået efter denne dato, og som indebærer behandling af personoplysninger, skal der derimod indhentes udtrykkeligt samtykke i overensstemmelse med forslaget til stk. 2.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 124, stk. 2, vil omfatte den situation, hvor en betalingstjenesteudbyder undlader at indhente et udtrykkeligt samtykke fra brugeren, forud for at udbyderen behandler brugerens personoplysninger i forbindelse med udbuddet af betalingstjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at indhente udtrykkeligt samtykke fra brugeren i strid med forslagets § 124, stk. 2.

Det foreslås i stk. 3, at erhvervsdrivende omfattet af § 1 kun kan behandle oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, når det er nødvendigt til gennemførelse eller korrektion af en betalingstransaktion, samt til de i nr. 1-10 nævnte formål.

Med forslaget til stk. 3 ændres det nugældende forbud mod behandling af betalingsdata i § 85 i lov om betalingstjenester og elektroniske penge, således at bestemmelsen oplister, hvad oplysninger om brugen af betalingstjenester må anvendes til. Det bemærkes dog, at der, jf. stk. 2, kun kan ske behandling af personoplysninger med brugerens udtrykkelige samtykke.

De oplysninger, der kan registreres om en betalers anvendelse af en betalingstjeneste, kan være meget følsomme, idet virksomheder kan foretage registreringer af betalerens adfærd og lave personprofiler af betalerne. Formålet med bestemmelsen er at sikre, at sådanne oplysninger ikke behandles til uvedkommende formål eller i integritetskrænkende øjemed. Derfor foreslås det at opliste en udtømmende liste af formål, til hvilke oplysninger om, hvor betalerens har anvendt en betalingstjeneste og, hvad den har været anvendt til, kan behandles.

Udgangspunktet er, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, altid kan behandles når det er nødvendigt til gennemførelse eller korrektion af en betalingstransaktion. Derudover fastsættes en udtømmende liste med ti formål. Disse formål behandles enkeltvis nedenfor.

Det bemærkes, at forslaget til stk. 3, alene omhandler til hvilke formål oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles. I visse tilfælde kan selve behandlingen være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslagets § 60, at virksomheder, der udbyder kontooplysningstjenester skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr. 21, En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget. Ligeledes følger det af lov om finansielle rådgivere og boligkreditformidlere, at en virksomhed, der yder rådgivning om finansielle produkter, skal have Finanstilsynets tilladelse som finansiel rådgiver, og at en virksomhed, der yder rådgivning om eller formidling af boligkreditaftaler, skal have Finanstilsynets tilladelse som boligkreditformidler.

Det bemærkes, at forslaget til stk. 3 skal forstås i overensstemmelse med forslaget til stk. 4. Det fremgår af stk. 4, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til uanset stk. 3 ikke må anvendes til diskriminerende prissætning af produkter målrettet betaleren. Det betyder, at disse oplysninger ikke kan behandles til formål, som medfører en individuel prissætning af produkter målrettet betaleren eller til fastsættelse af produktvilkår for den enkelte betaler, hvis vilkår er til ugunst for betaleren og ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger.

Begrebet behandling svarer til definitionen i persondatalovens § 3, nr. 2, og dækker således "enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for". Behandling omfatter således videregivelse til enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger. Der kan således efter dette lovforslag ske videregivelse eller videreslag af oplysninger når dette sker i overensstemmelse med persondataloven, også selvom videregivelsen sker mellem to koncernforbundne virksomheder, og videregivelsen eller videresalget kun sker med henblik på behandling af oplysningerne til de i stk. 3 oplistede formål.

Med udtrykket »hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til«, omfattes oplysninger om, hvilken vare eller tjeneste betaler har købt, hvad den kostede, hvornår den blev købt, hvem beløbet er overført til og andre lignende oplysninger, der bliver registreret i forbindelse med anvendelse af betalingstjenesten.

Når der i forslaget til stk. 3 anvendes udtrykket ”erhvervsdrivende omfattet af § 1” skyldes det, at andre end udbydere af betalingstjenester kan komme i besiddelse af betalingsoplysninger i forbindelse med gennemførelse af en betalingstransaktion. Det kunne eksempelvis omfatte forretninger, en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, som defineret i lovforslagets § 5, nr. 10, eksempelvis udbydere af betalingsterminaler eller udbydere af betalingstransaktioner fra en betaler til en betalingsmodtager gennem en handelsagent, som beskrevet i lovforslagets § 5, nr. 2. Sådanne virksomheder må således heller ikke behandle eller videregive betalingsoplysninger, til brug for andre formål end de, der følger af stk. 3 og stk. 4.

Udtrykket ”betaler” skal forstås i overensstemmelse med definitionen i lovforslagets § 7, nr. 10, og der henvises til bemærkningerne hertil.

I visse tilfælde er det muligt for betaleren selv at hente sine betalingsoplysninger, eksempelvis ved at downloade individuelle kontobevægelser via en netbank. Efter forslaget til stk. 3 er det heller ikke muligt for en udbyder af betalingstjenester eller andre at behandle betalingsoplysninger, der er hentet på denne måde til andre formål end de oplistede, selvom betaleren selv downloader og videregiver dem.

Det bemærkes, at erhvervsministeren, jf. lovforslagets § 1, stk. 7, under visse forudsætninger har mulighed for helt eller delvist at dispensere fra bestemmelserne i stk. 3. Erhvervsministeren har således eksempelvis mulighed for at dispensere fra kravet om, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad der er købt, ikke må behandles, hvis der alene er tale om brug af disse oplysninger til private forsknings- og statistikprojekter. Dispensation forudsætter en konkret stillingtagen til det enkelte forskningsprojekt. I vurderingen af en ansøgning om dispensation fra kravet i stk. 3, skal der foretages en afvejning mellem projektets samfundsmæssige relevans og typen af oplysninger, der ønskes anvendt til projektet. Hvis der gives dispensation, gælder persondatalovens generelle regler om private forsknings- og statistikprojekter.

Det foreslås i stk. 3, nr. 1, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til kan behandles til forbrugsoverblik.

Det følger af forslaget til nr. 1, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til kan behandles til udarbejdelse af et forbrugsoverblik. Med denne form for behandling forstås behandling af en betalers egne betalingstransaktioner, der er samlet og på en overskuelige måde præsenteres for brugeren selv. Det bemærkes, at i overensstemmelse med forslaget til stk. 4 må forbrugeoverblikket ikke benyttes til fastsættelse af eksempelvis renten på et kreditprodukt eller en forsikringspræmie, hvis disse ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger. Det indebærer, at forbrugsoverblikket kan anvendes til at foretage en generel vurdering af kreditværdighed, men ikke til fastsættelse af den egentlig pris, i form af en rente, forsikringspræmie eller gebyrer, provisioner og lignende.

Det bemærkes at forslaget til stk. 3, nr. 1, alene fastsætter at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles i udarbejdelse af forbrugsoverblik. I visse tilfælde kan selve behandlingen dog være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslaget § 60, at virksomheder, der udbyder kontooplysningstjenester skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr. 21, En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget.

Det foreslås i stk. 3, nr. 2, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til budgetlægning.

Det følger af forslaget til nr. 2, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til budgetlægning. Med denne form for behandling forstås opstilling af et budget for den enkelte bruger på baggrund af dennes tidligere betalingstransaktioner og -mønstre. Det bemærkes, at i overensstemmelse med forslaget til stk. 4 må budgettet ikke benyttes til fastsættelse af eksempelvis renten på et kreditprodukt eller en forsikringspræmie, hvis disse ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger. Det indebærer, at budgettet kan anvendes til at foretage en generel vurdering af en brugers kreditværdighed, men ikke til fastsættelse af den egentlig pris i form af en rente en forsikringspræmie eller gebyrer, provision og lignende.

Det bemærkes at forslaget til stk. 3, nr. 2, alene fastsætter at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles i udarbejdelse af et budget. I visse tilfælde kan selve behandlingen dog være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslaget § 60, at virksomheder, der udbyder kontooplysningstjenester skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr. 21, En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget.

Det foreslås i stk. 3, nr. 3, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til kategorisering og sammenligning af forbrug.

Det følger af forslaget til nr. 3, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til kategorisering og sammenligning af forbrug. Med denne form for behandling forstås sammenligning af forbrugsdata mellem en forbruger og lignende forbrugere eller grupper af forbrugere på baggrund af en ikke-personhenførbar segmentering ud fra eksempelvis alder, bopæl og indkomst. Det bemærkes, at i overensstemmelse med forslaget til stk. 4 må kategoriseringen og sammenligningen ikke benyttes til fastsættelse af eksempelvis renten på et kreditprodukt eller en forsikringspræmie, hvis disse ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger. Sammenligningen kan ligeledes ikke anvendes til at fastsætte diskriminerende priser overfor bestemte demografiske grupper, hvor en særlig gruppe af betalere stilles på en dårligere måde, end hvis den erhvervsdrivende ikke havde haft adgang til oplysningerne.

Det bemærkes at forslaget til stk. 3, nr. 3, alene fastsætter at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til kategorisering og sammenligning af forbrug. I visse tilfælde kan selve behandlingen dog være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslaget § 60, at virksomheder, der udbyder kontooplysningstjenester skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr. 21, En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget.

Det foreslås i stk. 3, nr. 4, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til adviseringer om forbrug, forbrugsmønstre og usædvanlige transaktioner.

Det følger af forslaget til nr. 4, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til adviseringer om forbrug, forbrugsmønstre og usædvanlige transaktioner. Med denne form for behandling forstås analyser af forbrugs- og betalingsmønstre til brug for identifikation af og advisering om afvigelser fra brugerens normale forbrugs- og betalingsmønstre. Eksempelvis kan der ske en advisering af brugeren når vedkommende overskrider en af brugeren selv forud fastsat grænser for forbrug på særlige produktkategorier. Der er med denne behandling tale om en advisering af brugeren selv, og således ikke en advisering af udbydere eller en anden erhvervsdrivende.

Det bemærkes at forslaget til stk. 3, nr. 4, alene fastsætter at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til adviseringer om forbrug, forbrugsmønstre og usædvanlige transaktioner. I visse tilfælde kan selve behandlingen dog være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslaget § 60, at virksomheder, der udbyder kontooplysningstjenester skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr. 21, En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget.

Det foreslås i stk. 3, nr. 5, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til betalingspåmindelser.

Det følger af forslaget til nr. 5, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til betalingspåmindelser til betaleren selv. Med denne form for behandling forstås påmindelser af betaleren om kommende betalinger på baggrund af tidligere forbrug. Eksempelvis kan udbyderen sende betalerne en påmindelse dagen før en regning skal betales. Der er med denne behandling tale om en påmindelse af betaleren selv, og således ikke en påmindelse af udbydere eller en anden erhvervsdrivende.

Det bemærkes at forslaget til stk. 3, nr. 5, alene fastsætter at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til betalingspåmindelser. I visse tilfælde kan selve behandlingen dog være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslaget § 60, at virksomheder, der udbyder kontooplysningstjenester skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr. 21, En tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget.

Det foreslås i stk. 3, nr. 6, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til markedsføring.

Det følger af forslaget til nr. 6, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til markedsføring. Begrebet »markedsføring« skal forstås i overensstemmelse med lov om markedsføring. Med denne form for behandling af betalingsoplysninger forstås behandling i relation til reklame, distribution og salg af varer og tjenester. Det bemærkes, at i overensstemmelse med forslaget til stk. 4 må behandlingen af oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad betalingstjenesten har været anvendt til, ikke benyttes til at fastsætte diskriminerede priser. Det indebærer, at disse oplysninger ikke kan behandles i markedsføringsøjemed til at fastsætte priser over for den individuelle bruger, som ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger. Oplysningerne kan således anvendes til at gøre brugeren opmærksom på eksisterende tilbud, eller give brugeren generelt fastsatte tilbud, som ikke indebærer fastsættelse af individuelle priser målrettet brugeren på baggrund af oplysninger, om hvor vedkommende har anvendt en betalingstjeneste, og hvad den var anvendt til.

Det foreslås i stk. 3, nr. 7, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til rådgivning.

Det følger af forslaget til nr. 7, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til rådgivning. Med denne form for behandling af betalingsoplysninger forstås behandling i relation til rådgivning i en bred forstand. Det kan således være ved rådgivning om forbrug helt generelt, eksempelvis hvad en given betaler har af forbrug, men det kan også være rådgivning på baggrund af en analyse af betalinger og betalingsmønstre, eksempelvis rådgivning om, at vedkommende betaler for overlappende produkter og tjenester. Det er ikke en forudsætning at rådgivningen sker personligt. Rådgivning kan således også ske via eksempelvis en robot. Det bemærkes, at i overensstemmelse med forslaget til stk. 4 må behandlingen af oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad betalingstjenesten har været anvendt til, ikke benyttes til at fastsætte diskriminerede priser eller fastsætte vilkår, som stiller brugeren dårligere, end hvis den erhvervsdrivende ikke havde haft adgang til oplysningerne. Det indebærer, at disse oplysninger ikke kan behandles i rådgivningsøjemed til at fastsætte priser, som ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger, eksempelvis i forbindelse med fastsættelse af en rente i forbindelse med salg af et kreditprodukt eller præmien på en forsikring.

§ 85, stk. 4, i den nugældende lov om betalingstjenester og elektroniske penge fastsætter, at der må ske behandling af oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, når det er nødvendigt for betalerens udbyders rådgivning af en betaler med henblik på en hensigtsmæssig anvendelse af betalingsinstrumenter. Denne behandling kan således fortsat ske i henhold til nr. 7.

Det bemærkes at forslaget til stk. 3, nr. 7, alene fastsætter at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til rådgivning. I visse tilfælde kan selve behandlingen dog være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lov om finansielle rådgivere og boligkreditformidlere, at en virksomhed, der yder rådgivning om finansielle produkter, skal have Finanstilsynets tilladelse som finansiel rådgiver, og at en virksomhed, der yder rådgivning om eller formidling af boligkreditaftaler, skal have Finanstilsynets tilladelse som boligkreditformidler.

Det foreslås i stk. 3, nr. 8, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til elektroniske kvitteringsløsninger.

Det følger af forslaget til nr. 8, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til kan behandles til elektroniske kvitteringsløsninger. Med denne form for behandling af betalingsoplysninger forstås elektroniske opbevaring og håndtering af kvittering, købsbeviser, tilgodebeviser og lignende. Med behandlingen efter nr. 8 forstås alene opbevaring og håndtering af sådanne kvitteringer og beviser, eksempelvis ved at organisere dem elektroniske for betaleren selv, så denne nemt kan danne sig et overblik over dem.

Det foreslås i stk. 3, nr. 9, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til rabat- og loyalitetsprogrammer.

Det følger af forslaget til nr. 9, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til rabat- og loyalitetsprogrammer. Med denne form for behandling af betalingsoplysninger forstås behandling af oplysninger til brug for generelle, forud fastlagte rabatstrukturer såsom elektroniske "klippekort", hvor eksempelvis den 10. liter mælk, der købes, er gratis, samt behandling af oplysningerne til at fastsætte medlemstilbud, når disse tilbud gælder for alle medlemmer af et rabat- og loyalitetsprogrammer.

Det bemærkes, at i overensstemmelse med forslaget til stk. 4 må behandlingen af oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad betalingstjenesten har været anvendt til, ikke benyttes til at fastsætte diskriminerede priser. Det indebærer, at behandling af betalingsoplysninger til brug for rabat- og loyalitetsprogrammer ikke kan anvendes til at fastsætte individuelle priser til den enkelte forbruger, hvis dette kan stille den enkelte betaler dårligere, end hvis den erhvervsdrivende ikke havde haft adgang til oplysningerne. Det kan ligeledes stille andre betalerne dårligere, hvis der på baggrund af behandlingen af oplysningerne ikke anvendes samme priser overfor alle betaler, der er medlem af et rabat- og loyalitetsprogram. Oplysningerne må således ikke anvendes til at foretage prisdiskrimination.

Det foreslås i stk. 3, nr. 10, at oplysninger om, hvor betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, kan behandles til indberetning af donationer til velgørenhed til offentlige myndigheder.

Det følger af forslaget til nr. 10, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, kan behandles til indberetning af donationer til velgørenhed til offentlige myndigheder. Donationer til almennyttige organisation er i visse tilfælde skattemæssigt fradragsberettigede. Med denne form for behandling af betalingsoplysninger forstås, at udbyderen af betalingstjenester på vegne af betaleren indberetter til SKAT, at betaleren har foretage en donation til en almennyttig organisation. Dette sker med det formål at sikre, at betaler opnår et skattemæssigt fradrag, hvis denne er berettiget til dette.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 3, straffes med bøde.

Overtrædelse af forslagets § 124, stk. 3, vil omfatte den situation, hvor en erhvervsdrivende behandler oplysninger om, hvor betaler har anvendt betalingstjenesten og hvad der er købt til andre formål end de i stk. 3 oplistede.

Det foreslås i stk. 4, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til uanset stk. 3 ikke må anvendes til diskriminerende prissætning af produkter målrettet betaleren

De oplysninger, der kan registreres om en betalers anvendelse af en betalingstjeneste, kan være meget følsomme, idet virksomheder kan foretage registreringer af betalerens adfærd og lave personprofiler af betalerne. Formålet med forslaget til stk. 3 og 4 er at sikre, at sådanne oplysninger ikke behandles til uvedkommende formål eller i integritetskrænkende øjemed. Det fremgår af stk. 4, at oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til uanset, stk. 3 ikke må anvendes til diskriminerende prissætning af produkter målrettet betaleren. Det betyder, at disse oplysninger ikke kan behandles til formål, som medfører en individuel prissætning af produkter målrettet betaleren eller til fastsættelse af produktvilkår for den enkelte betaler, hvis sådanne vilkår er til ugunst for betaleren og ikke ville være blevet fastsat, hvis den erhvervsdrivende ikke havde haft adgang til de nævnte oplysninger.

Med diskriminerende prissætning forstås således en opkrævning af forskellige priser for det samme produkt til forskellige kunder, hvor prissætning er fastsat på baggrund af behandling af oplysninger om, hvor betalerne har anvendt en betalingstjenester, og hvad den har været anvendt til, hvor den erhvervsdrivende ikke havde mulighed for at foretage prissætning, uden at have adgang til oplysningerne.

Det indebærer eksempelvis, at hvor oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, behandles til brug for et forbrugsoverblik, jf. stk. 3, nr. 1, eller budgetlægning, jf. stk. 3, nr. 2, kan den erhvervsdrivende ikke anvende forbrugsoverblikket eller budgettet til at fastsætte priser for den enkelte betaler, der er højere, end hvis betaleren ikke havde givet samtykke til behandlingen. Hvor oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til er behandlet til brug for forbrugsoverblik eller budgetlægning, kan disse oplysninger eksempelvis godt anvendes til at foretage en generelt kreditvurdering, men kan ikke anvendes til at fastsætte renten, da der i det tilfælde vil være tale om prisdiskriminering, som potentielt kan stille betaleren dårligere, end hvis vedkommende ikke havde givet samtykke til behandlingen.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 4, straffes med bøde.

Overtrædelse af forslagets § 124, stk. 4, vil omfatte den situation, hvor en erhvervsdrivende behandler oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad den har været anvendt til, til at fastsætte diskriminerende priser på produkter målrettet betaleren.

Det foreslås i stk. 5, at udbydere af betalingstjenester ikke må stille som vilkår for indgåelse af aftale om brug af en betalingstjeneste, med en forbruger, at der sker tilknytning af andre funktioner til betalingstjenesten, som indebærer opstilling af forbrugsprofiler, kortlægning af betalers forbrugsmønstre eller anden personhenførbar segmentering.

Med forslaget til stk. 5, fastsættes det, at en udbyder ikke må stille som vilkår for indgåelse af aftale om brug af en betalingstjeneste, at der samtidig tilknyttes en funktion, hvor der sker opstilling af forbrugsprofiler m.v. Det er hensigten, at det skal være muligt for en forbruger at fravælge tilknyttede funktioner, hvis disse indebærer, at der foretages en forbrugsprofilering, uanset hvordan disse er genereret.

Formålet med bestemmelsen er at sikre, at en forbruger altid vil kunne få og bruge en betalingstjeneste, eksempelvis et Dankort eller et andet bredt anvendeligt betalingsinstrument, uden samtidig at være tvunget til at give samtykke til behandling af oplysninger med henblik på at foretage en forbrugsprofilering, eksempelvis til et loyalitetsprogram. Det er fundet nødvendigt at beskytte forbrugeren mod denne situation, da det ellers kan blive et standardvilkår for indgåelse af aftale om brug af en betalingstjeneste, at der må ske en sådan behandling af oplysninger. Bestemmelsen forhindrer derimod ikke, at der stilles betingelse om tilknytning af funktioner, hvor der ikke foretages forbrugsprofileringer, eksempelvis ved tilknytning af en kredit eller forsikring til et kreditkort.

Med udtrykket personhenførbar segmentering forstås enhver form for opdeling af betalere i grupper på baggrund af betalingsoplysninger, der gør det muligt at føre oplysningerne tilbage til personen. Personhenførbarhed skal forstås i overensstemmelse med definitionen af personoplysninger i persondatalovens § 3, nr. 1. Det betyder, at oplysninger om, hvor betaler har anvendt betalingstjenesten og hvad den har været anvendt til, godt kan bruges til at opstille overordnede benchmarkkategorier eller andre statistikker, der ikke kan henføres til den enkelte forbruger, til brug for den pågældende tjeneste. Dette kan eksempelvis være tilfældet ved, at en kontooplysningstjeneste giver en bruger mulighed for at sammenligne sit forbrug med en lignende demografisk gruppes forbrug, uden det er muligt at identificere andre personer på den baggrund.

Betingelsen i stk. 5 knytter sig til udbuddet af selve betalingstjenesten. Der udbydes således i dag en række sammensatte betalingskoncepter, hvor et betalingsinstrument tilknyttes en anden funktionalitet, hvor der sker behandling af betalingsoplysninger. Dette kunne eksempelvis være, at en betaler tilknytter et betalingskort til en app til en smartphone, hvor appen fungerer som et loyalitetskort. Sådanne sammensatte betalingskoncepter kan således godt udbydes, så længe den underliggende betalingstjeneste, eksempelvis et bredt anvendeligt betalingskort, kan erhverves og anvendes uafhængigt af det sammensatte koncept.

Det bemærkes, at forslaget til stk. 5 kun finder anvendelse på virksomheder, der har tilladelse til at udbyde betalingstjenester, jf. § 1, stk. 5 og 6 og § 5, nr. 14-17. Udbydere af betalingstjenester omfattet af § 5, nr. 14-17, samt udbydere af tjenester omfattet af § 1, stk. 5, er således ikke omfattet af forbuddet mod at stille som vilkår for indgåelse af aftale om brug af en betalingstjeneste, at der samtidig tilknyttes en funktion, hvor der sker opstilling af forbrugsprofiler m.v. Dette indebærer, at nicheprodukter og særlige konceptløsninger, hvor betalingstjenesten har et særligt afgrænset formål, godt kan udbydes under forudsætning af, at der kan foretages opstilling af forbrugsprofiler m.v. Eksempelvis vil et betalingskort, der alene kan anvendes til indkøb af benzin, godt kunne udbydes under betingelse af tilknytning af adskilte funktioner til brug for opstilling af forbrugsprofiler mv.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 5, straffes med bøde.

Overtrædelse af forslagets § 124, stk. 5, vil omfatte den situation, hvor en udbyder stiller som vilkår for indgåelse af aftale om brug af en betalingstjeneste, at der kan ske behandling af oplysninger som angivet i stk. 3 eller 4. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som stiller vilkår i strid med forslagets § 124, stk. 5.

Det foreslås i stk. 6, at uanset stk. 1-5, må udbydere af betalingstjenester og betalingssystemer og udstedere af elektroniske penge behandle personoplysninger til brug for forebyggelse, efterforskning, og opdagelse af misbrug eller svig, eller hvis behandlingen er hjemlet ved anden lov.

Det følger af artikel 94, stk. 1, i 2. betalingstjenestedirektiv, at medlemslandene skal tillade, at betalingssystemer og udbydere af betalingstjenester behandler personoplysninger, når det er nødvendigt af hensyn til forebyggelse, efterforskning og opdagelse af betalingssvig.

For at sikre tilliden til elektroniske betalinger, er det vigtigt i videst muligt omfang at forebygge svindel med betalingstjenester, og i det omfang betalingssvindel alligevel sker at give de bedst mulige forudsætninger for at opdage og efterforske dette. Det bør således være muligt for udbydere, såvel som betalingssystemer, at behandle personoplysninger, til disse formål. Når denne behandling af personoplysninger sker, bør de generelle regler i persondataloven være opfyldt. Behandlingen af oplysninger vil således blandt andet skulle være i overensstemmelse med god databehandlingsskik, ligesom behandlingen skal være sagligt begrundet og relevant.

Endelige kan der ske behandling af betalingsoplysninger, hvis dette er hjemlet ved anden lov. Eksempelvis kan der i medfør af hvidvaskloven i visse tilfælde ske behandling af betalingsoplysninger.