Bekendtgørelse af lov om betalinger § 88

Den foreslåede bestemmelse i § 88 fastsætter krav til udbyderen af kontooplysningstjenester i forhold til oplysninger fra brugeren af kontooplysningstjenesten.

Bestemmelsen er ny og gennemfører artikel 67, stk. 2, litra e og f, i 2. betalingstjenestedirektiv.

Det foreslås i stk. 1, at udbyderen af kontooplysningstjenester ikke må tilgå, anvende eller lagre oplysninger med andre formål end levering af den kontooplysningstjeneste, som betaleren udtrykkeligt har anmodet om.

Med bestemmelsen fastslås det, at udbydere af kontooplysningstjenester, kun må tilgå oplysninger på de konti, der er omfattet af det i lovforslagets § 87, stk. 1, omfattede samtykke, såfremt oplysningerne er nødvendige for at kunne levere den givne kontooplysningstjeneste. De oplysninger, som udbyderen gerne må tilgå, må denne kun anvende eller lagre med det eneste formål at levere den kontooplysningstjeneste, der er aftalt mellem parterne. Oplysninger, der er indhentet med det formål at gennemføre en kontooplysningstjeneste kan således ikke også anvendes til eksempelvis at gennemføre en betalingsinitieringstjeneste.

Bestemmelsen skal læses i overensstemmelse med lovforslaget § 124, som fastsætter af persondataloven finder anvendelse på virksomheder omfattet af denne lov. Forbuddet i bestemmelsen er således ikke til hinder for, at der i overensstemmelse med den øvrige lovgivning, eksempelvis persondataloven og markedsføringsloven kan indgås aftale om brug af data til brug for formål, der ikke er relateret til udbuddet af betalingstjenesten. Det kan eksempelvis aftales særskilt, at oplysninger om hvad, der er købt kan anvendes til brug for et loyalitets- eller bonusprogram, jf. dog § 124.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 88, stk. 1, straffes med bøde.

Overtrædelse af forslagets § 88, stk. 1, vil omfatte den situation, hvor udbyderen af kontooplysningstjenester tilgår, anvender eller lagrer oplysninger med andre formål end levering af den kontooplysningstjeneste, som betaleren udtrykkeligt har anmodet om. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 88, stk. 1.

Det foreslås i stk. 2, at uanset stk. 1 må udbyderen af kontooplysningstjenester ikke anmode brugeren om følsomme betalingsdata i tilknytning til en betalingskonto.

Med følsomme betalingsdata forstås i overensstemmelse med lovforslagets § 7, nr. 34, data, herunder personlige sikkerhedsforanstaltninger, som kan anvendes til at foretage misbrug. Bestemmelsen regulerer derved andre forhold end lovforslagets § 124, om behandling af personoplysninger og oplysninger om brug af en brugeres anvendelse af en betalingstjeneste. Oplysninger der kan anvendes til at begå misbrug omfatter eksempelvis de elementer, der indgår i den personaliserede sikkerhedsforanstaltning, uden at de enkelte elementer i sig selv er personhenførbare.

Omvendt vil visse oplysninger, som eksempelvis brugerens navn eller kontonummer, anses for at være personhenførbare, uden at de udgør følsomme betalingsdata. For betalingsinitieringstjenester og kontooplysningstjenester vil sådanne oplysninger ikke anses som følsomme betalingsdata.

Bestemmelsen fastsætter, at udbyderen af kontooplysningstjenester ikke må anmode om følsomme betalingsdata i tilknytning til en betalingskonto. Som udgangspunkt omfatter det brugerens personaliserede sikkerhedsforanstaltning, eksempelvis brugernavn, kodeord og engangsnøgle til NemID. Hvor det er muligt alene at tilgå ikke-følsomme betalingsdata via en alternativ kanal, eksempelvis de såkaldte kontokig-funktioner, kan kontooplysningstjenesten anmode om login-oplysningerne til dette. Bestemmelsen skal læses i sammenhæng med nr. 2, som fastsætter at udbyderen af kontooplysningstjenester skal sikre, at brugerens personaliserede sikkerhedsforanstaltninger overføres af udbyderen gennem sikre og velfungerende kanaler, og at de ikke er tilgængelige for andre parter.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 88, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 88, stk. 2, vil omfatte den situation, hvor udbyderen af kontooplysningstjenester anmoder brugeren om følsomme betalingsdata i tilknytning til en betalingskonto. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som agerer i strid med forslagets § 88, stk. 2.