Bekendtgørelse af lov om betalinger § 85

Den foreslåede bestemmelse i § 85 fastsætter krav til udbydere af betalingsinitieringstjenester i forhold til oplysninger fra brugeren af betalingsinitieringstjenesten.

Bestemmelsen er ny og gennemfører artikel 66, stk. 3, litra c, e og g, i 2. betalingstjenestedirektiv.

Det foreslås i stk. 1, at udbyderen af betalingsinitieringstjenester ikke må anmode om, tilgå, anvende eller lagre oplysninger med andre formål end levering af den betalingsinitieringstjeneste, som betaleren udtrykkeligt har anmodet om.

Skal en udbyder af betalingsinitieringstjenester iværksætte en betaling må denne således alene anmode om præcis den nødvendig personaliserede sikkerhedsforanstaltning, f.eks. NemID-nøgle, og ikke om de mere generelle personaliserede sikkerhedsforanstaltninger, f.eks. hele NemID-nøglekortet. Ønsker en bruger at foretage en betaling fra en specifik konto hos en specifik kontoførende udbyder må udbydere af betalingsinitieringstjenesten således heller ikke anmode om oplysninger vedrørende andre konti eller andre kontoførende udbydere.

Derudover fastslår bestemmelsen, at udbydere af betalingsinitieringstjenester ikke må anvende de indhentende data til andet end udførslen af den betalingsinitieringstjeneste, som der er indgået aftale om med brugeren. Oplysninger, der er indhentet med det formål at gennemføre en betalingsinitieringstjeneste, kan således ikke også anvendes til at gennemføre en pengeoverførsel.

Bestemmelsen skal læses i sammenhæng med lovforslagets § 124 om behandling af personoplysninger, som fastslår, at udbydere på forhånd skal indhente udtrykkeligt samtykke fra brugeren, hvis udbyderen behandler personoplysninger i forbindelse med udbuddet af betalingstjenesten og i øvrigt ikke må videregive oplysninger om, hvor betaler har anvendt betalingstjenesten, og hvad der er købt, til tredjemand. En udbyder af betalingsinitieringstjenester kan således ikke benytte en adgang til at foretage betalinger på vegne af brugeren til i øvrigt at indhente oplysninger om vedkommende. Forbuddet er dog ikke til hinder for, at der i overensstemmelse med den øvrige lovgivning, eksempelvis persondataloven og markedsføringsloven kan indgås aftale om brug af data til brug for formål, der ikke er relateret til udbuddet af betalingstjenesten. Det kan eksempelvis aftales særskilt, at oplysninger om, hvad der er købt, kan anvendes til brug for et loyalitets- eller bonusprogram, jf. dog § 124.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 85, stk. 1, straffes med bøde.

Overtrædelse af forslagets § 85, stk. 1, vil omfatte den situation, hvor udbyderen af betalingsinitieringstjenester anmode om, tilgå, anvende eller lagre oplysninger med andre formål end levering af den betalingsinitieringstjeneste, som betaleren udtrykkeligt har anmodet om. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 85, stk. 1.

Det foreslås i stk. 2, uanset stk. 1 må udbyderen af betalingsinitieringstjenester ikke lagre brugerens følsomme betalingsdata.

Følsomme betalingsdata skal forstås i overensstemmelse med lovforslagets § 7, nr. 33, som data, herunder personlige sikkerhedsforanstaltninger, der kan anvendes til at foretage misbrug. Bestemmelsen regulerer derved andre forhold end lovforslagets § 124, om behandling af personoplysninger og oplysninger om brug af en brugeres anvendelse af en betalingstjeneste. Oplysninger der kan anvendes til at begå misbrug omfatter eksempelvis de elementer, der indgår i den personaliserede sikkerhedsforanstaltning, uden at de enkelte elementer i sig selv er personhenførbare.

Omvendt vil visse oplysninger, som eksempelvis brugerens navn eller kontonummer, anses for at være personhenførbare, uden at de udgør følsomme betalingsdata, som defineret i lovforslagets § 7, nr. 33. For betalingsinitieringstjenester vil sådanne oplysninger ikke være at anse som følsomme betalingsdata.

Med bestemmelsen må en udbyder af betalingsinitieringstjenester således ikke gemme en brugeres brugernavn, kodeord eller NemID-kort. Bestemmelsen skal læses i sammenhæng med § 84, stk. 1, 2. pkt., nr. 1, som fastsætter at udbyderen af betalingsinitieringstjenester skal sikre, at brugerens personaliserede sikkerhedsforanstaltninger overføres af udbyderen gennem sikre og velfungerende kanaler, og at de ikke er tilgængelige for andre parter. Bestemmelsen er således ikke til hinder for at udbyderen af betalingsinitieringstjenester behandler følsomme betalingsdata, ved eksempelvis at videreformidle de personaliserede sikkerhedsforanstaltninger, så længe der ikke sker en lagring af disse.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 85, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 85, stk. 2, vil omfatte den situation, hvor udbyderen af betalingsinitieringstjenester lagre brugerens følsomme betalingsdata. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 85, stk. 2.

Det foreslås i stk. 3, at andre oplysninger om brugeren, som er opnået i forbindelse med leveringen af betalingsinitieringstjenesten, kan udbyderen af betalingsinitieringstjenesten kun meddele til betalingsmodtageren og kun med brugerens udtrykkelige samtykke hertil.

Formålet med bestemmelsen er at sikre, at brugerens oplysninger ikke deles unødigt, og kun med brugerens udtrykkelige samtykke, hvilket betyder, at der ikke kan indhentes et stiltiende eller indirekte samtykke. Bevisbyrden for, at der er indhentet et udtrykkeligt samtykke påhviler udbyderen af betalingsinitieringstjenesten.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 85, stk. 3, straffes med bøde.

Overtrædelse af forslagets § 85, stk. 3, vil omfatte den situation, hvor udbyderen af betalingsinitieringstjenester meddeler andre oplysninger om brugeren, som er opnået i forbindelse med leveringen af betalingsinitieringstjenesten til andre end betalingsmodtagere eller uden brugerens samtykke. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 85, stk. 3.