Hvad betyder GDPR for betalinger?

Da GDPR blev indført i 2018, var der fokus på, hvordan direktivet påvirker data ud fra et rekrutterings- og markedsføringsperspektiv. Men hvilken betydning har det for betalinger? Vi gennemgår, hvad man som virksomhed skal tænke på i forbindelse med compliance.

GDPR er et europæisk regelsæt for, hvordan man håndterer forbrugerdata. Reglerne stiller højere krav til fortrolighed og kræver øget transparens over for forbrugeren (kilde: Datainspektionen).

GDPR er en metode til indsamling og standardisering af de bedste løsninger fra flere lande. Dette sikrer, at databeskyttelsen er ens på alle markeder inden for EU, og at forbrugernes datarettigheder kan håndhæves juridisk overalt.

For virksomhederne betyder det tydeligere retningslinjer og ens regler i hele Europa. Man behøver ikke bekymre sig om, hvordan Frankrig adskiller sig fra Tyskland, eller om rettighederne i Spanien er anderledes end i Holland.

Læs mere om regelsættet, som påvirker betalingsdata i Europa

Det retslige grundlag for behandling afbetalingsdatakan være anderledes end for behandling af markedsføringsdata. Når man vil markedsføre sig over for personer, skal man have deres samtykke. Men hvad betyder reglerne for betalinger?

Der kan være mange grunde til, at man som virksomhed behandler data, der beskyttes af GDPR. Når det handler om betalinger, falder det oftest ind under fuldbyrdelse af en aftale, dvs. ”jeg har brug for disse oplysninger, så jeg kan stille denne vare/tjeneste til rådighed, som du har bedt om”.

Det betyder, at man ikke skal blive ved med at have samtykke i samme udstrækning i forbindelse med brug og opbevaring af betalingsdata. Det oprindelige samtykke gælder, så længe oplysningerne bruges i produktets eller tjenestens varighed/levetid. Dette er vigtigt for abonnementer, garantier og tilbagebetaling via kreditkort. Man kan dog ikke anvende disse personoplysninger til andre formål.

GDPR kategoriserer dataroller efter følgende begreber:

Som dataansvarlig har man ansvar for relationen med den registrerede. Man kan instruere en tredje part (som f.eks. Adyen) i at håndtere data, men det er virksomhedens opgave at formulere formålet (eller målet) og det juridiske grundlag for behandlingen.

Alle tredjeparter skal følge de vilkår, som den dataansvarlige og den registrerede er blevet enige om. For at sikre dette skal den dataansvarlige indgå en databehandlingsaftale (Data Processing Agreement, DPA) med hver eneste tredjepart. Vores DPA er blevet udviklet for at beskytte de virksomheder, vi samarbejder med; det er først og fremmest af hensyn til betalingstransaktioner, så man kan bevise, at man lever op til GDPR (i det mindste ud fra et betalingsperspektiv).

Der er nogle interessante detaljer omkring de registreredes lovmæssige rettigheder, især i forbindelse med betalingsdata.

De registrerede har ret til når som helst at få adgang til alle data, som en virksomhed har om dem. Dette gælder også betalingsdata.

Hvad skal jeg gøre, hvis en kunde beder om at se sine data?

Som databehandler har man en juridisk forpligtelse til at gøre oplysningerne tilgængelige for den dataansvarlige. Hos Adyen har vi gjort proceduren så enkel som muligt: Du skal blot kontakte vores supportteam og oplyse en ”PSP-reference”.

En vigtig ting at have i tankerne er, at der er stor risiko forbundet med den registreredes ret til adgang: Oplysningerne kan anvendes tilsvindel. Man skal være grundig med, at kunden legitimerer sig, inden man udleverer oplysninger, for at forebygge identitetstyveri.

Den registrerede har ”retten til at blive glemt”. I markedsføringssammenhæng betyder det, at alle oplysninger om forbrugeren skal slettes, og at forbrugeren aldrig må kontaktes igen. Det er klart.

Men alle data må ikke slettes. Har man indgået en kontrakt, og dataene er påkrævet for at kunne fortsætte tjenesten, skal dataene gemmes, f.eks. hvis en kunde har et årsabonnement, så skal virksomheden gemme data for at kunne forsætte faktureringen.

Det er op til hver enkelt virksomhed at forklare, hvilke oplysninger der kan slettes, og hvilke der skal gemmes i en vis periode af compliance-mæssige årsager.