Guider og rapporter
Hvad betyder GDPR for betalinger?
Hvad betyder GDPR for e-handlere? Vi gennemgår, hvordan betalinger og GDPR hænger sammen, hvad retten til at blive glemt betyder for transaktionsoplysninger, og hvilke data man absolut ikke skal slette.
Da GDPR blev indført i 2018, var der fokus på, hvordan direktivet påvirker data ud fra et rekrutterings- og markedsføringsperspektiv. Men hvilken betydning har det for betalinger? Vi gennemgår, hvad man som virksomhed skal tænke på i forbindelse med compliance.
GDPR er et regelsæt for hele EU
GDPR er et europæisk regelsæt for, hvordan man håndterer forbrugerdata. Reglerne stiller højere krav til fortrolighed og kræver øget transparens over for forbrugeren (kilde: Datainspektionen).
GDPR er en metode til indsamling og standardisering af de bedste løsninger fra flere lande. Dette sikrer, at databeskyttelsen er ens på alle markeder inden for EU, og at forbrugernes datarettigheder kan håndhæves juridisk overalt.
For virksomhederne betyder det tydeligere retningslinjer og ens regler i hele Europa. Man behøver ikke bekymre sig om, hvordan Frankrig adskiller sig fra Tyskland, eller om rettighederne i Spanien er anderledes end i Holland.
GDPR i e-handlen: Hvordan påvirker GDPR betalinger?
Det retslige grundlag for behandling afbetalingsdatakan være anderledes end for behandling af markedsføringsdata. Når man vil markedsføre sig over for personer, skal man have deres samtykke. Men hvad betyder reglerne for betalinger?
Virksomheder har ret til at opbevare data for at kunne tage i mod betalinger
Der kan være mange grunde til, at man som virksomhed behandler data, der beskyttes af GDPR. Når det handler om betalinger, falder det oftest ind under fuldbyrdelse af en aftale, dvs. ”jeg har brug for disse oplysninger, så jeg kan stille denne vare/tjeneste til rådighed, som du har bedt om”.
Det betyder, at man ikke skal blive ved med at have samtykke i samme udstrækning i forbindelse med brug og opbevaring af betalingsdata.
Det betyder, at man ikke skal blive ved med at have samtykke i samme udstrækning i forbindelse med brug og opbevaring af betalingsdata. Det oprindelige samtykke gælder, så længe oplysningerne bruges i produktets eller tjenestens varighed/levetid. Dette er vigtigt for abonnementer, garantier og tilbagebetaling via kreditkort. Man kan dog ikke anvende disse personoplysninger til andre formål.
Forbrugerens rettigheder – hvad skal man vide?
GDPR kategoriserer dataroller efter følgende begreber:
- Den registrerede: Forbrugeren
- Den dataansvarlige: Virksomheden
- Databehandleren: En tredje part, som behandler personoplysninger på vegne af den dataansvarlige (f.eks. Adyen)
Som dataansvarlig har man ansvar for relationen med den registrerede. Man kan instruere en tredje part (som f.eks. Adyen) i at håndtere data, men det er virksomhedens opgave at formulere formålet (eller målet) og det juridiske grundlag for behandlingen.
Alle tredjeparter skal følge de vilkår, som den dataansvarlige og den registrerede er blevet enige om. For at sikre dette skal den dataansvarlige indgå en databehandlingsaftale (Data Processing Agreement, DPA) med hver eneste tredjepart. Vores DPA er blevet udviklet for at beskytte de virksomheder, vi samarbejder med; det er først og fremmest af hensyn til betalingstransaktioner, så man kan bevise, at man lever op til GDPR (i det mindste ud fra et betalingsperspektiv).
Hvilke rettigheder har kunderne?
Der er nogle interessante detaljer omkring de registreredes lovmæssige rettigheder, især i forbindelse med betalingsdata.
Forbrugerne har ret til deres egne data
De registrerede har ret til når som helst at få adgang til alle data, som en virksomhed har om dem. Dette gælder også betalingsdata.
Hvad skal jeg gøre, hvis en kunde beder om at se sine data?
Som databehandler har man en juridisk forpligtelse til at gøre oplysningerne tilgængelige for den dataansvarlige. Hos Adyen har vi gjort proceduren så enkel som muligt: Du skal blot kontakte vores supportteam og oplyse en ”PSP-reference”.
En vigtig ting at have i tankerne er, at der er stor risiko forbundet med den registreredes ret til adgang: Oplysningerne kan anvendes tilsvindel. Man skal være grundig med, at kunden legitimerer sig, inden man udleverer oplysninger, for at forebygge identitetstyveri.
Retten til at blive glemt – hvilke data man må (og ikke må) slette
Den registrerede har ”retten til at blive glemt”. I markedsføringssammenhæng betyder det, at alle oplysninger om forbrugeren skal slettes, og at forbrugeren aldrig må kontaktes igen. Det er klart.
Alle data må ikke slettes. Har man indgået en kontrakt, og dataene er påkrævet for at kunne fortsætte tjenesten, skal dataene gemmes.
Men alle data må ikke slettes. Har man indgået en kontrakt, og dataene er påkrævet for at kunne fortsætte tjenesten, skal dataene gemmes, f.eks. hvis en kunde har et årsabonnement, så skal virksomheden gemme data for at kunne forsætte faktureringen.
Det er op til hver enkelt virksomhed at forklare, hvilke oplysninger der kan slettes, og hvilke der skal gemmes i en vis periode af compliance-mæssige årsager.
Vil du have flere indsigter fra Adyen?
Meld dig til Adyens nyhedsbrev
Hold dig opdateret om indsigt, begivenheder, rapporter og mere
Meld digSkriv dig op til vores nyhedsbrev
Jeg bekræfter, at jeg har læst Adyens politik om databeskyttelse, og jeg accepterer, at mine oplysninger anvendes i overensstemmelse hermed.