Hva innebærer GDPR for betalinger?

Da GDPR ble innført i 2018 lå fokuset på hvordan direktivet påvirker data ut fra et rekrutterings- og markedsføringsperspektiv. Men hva innebærer det for betalinger? Vi gjennomgår hva man som selskap må tenke på med tanke på etterlevelse.

GDPR er et europeisk regelverk som bestemmer hvordan man behandler forbrukerdata. Reglene stiller strengere krav til personvern og krever økt transparens overfor forbrukeren (kilde: Datainspektionen).

GDPR er en måte å samle og standardisere de beste løsningene fra flere land på. Dette sikrer at personvernet er det samme på alle markeder innen EU og at forbrukernes personvernrettigheter kan håndheves juridisk overalt.

For selskapene innebærer dette tydeligere retningslinjer, og at de samme reglene gjelder i hele Europa. Man behøver ikke å bekymre seg over hva som er forskjellig mellom Frankrike og Tyskland, eller om rettighetene i Spania fungerer annerledes enn i Nederland.

Les mer om regelverkene som påvirker betalingsopplysninger i Europa

Det rettslige grunnlaget for å behandlebetalingsdatakan være annerledes enn for å behandle markedsføringsdata. Når man markedsfører til privatpersoner, må man innhente personens samtykke. Men hva betyr reglene for betalinger?

Det er mange grunner til at man som selskap behandler data som er beskyttet av GDPR. Når det gjelder betalinger skjer det som regel under fullbyrdelsen av en avtale, dvs. “Jeg trenger denne informasjonen slik at jeg kan levere den varen/tjenesten du har bedt om”.

Det betyr at man ikke i samme utstrekning trenger fortsatt tillatelse til å bruke og lagre betalingsopplysninger. Så lenge opplysningene brukes i produktets eller tjenestens levetid, gjelder den opprinnelige tillatelsen. Dette er viktig for abonnementer, garantier og tilbakebetalinger via kredittkort. Det er imidlertid ikke tillatt å bruke disse personopplysningene til andre formål.

GDPR kategoriserer datarollene som følger:

Som behandlingsansvarlig står man ansvarlig for relasjonen med den registrerte. Man kan be en tredjepart (f.eks. Adyen) om å behandle data, men det er selskapets oppgave å formulere formålet (eller målene) og det juridiske grunnlaget for behandlingen.

Alle tredjeparter må følge vilkårene som er avtalt mellom den behandlingsansvarlige og den registrerte. For å sikre dette må den behandlingsansvarlige ha en databehandlingsavtale (Data Processing Agreement, DPA) med hver enkelt. Vår DPA er utformet for å beskytte selskapene vi samarbeider med; den er utarbeidet med tanke på betalingstransaksjoner og dokumenterer at man etterlever GDPR (i hvert fall ut fra et betalingsperspektiv).

Det er knyttet en del interessante detaljer til de registrertes lovfestede rettigheter, særlig når det gjelder betalingsopplysninger.

De registrerte har når som helst rett til å få tilgang til alle data et selskap har om dem. Det gjelder også betalingsopplysninger.

Hva skal jeg gjøre hvis en kunde ber om å få se dataene sine?

Som databehandler er man juridisk forpliktet til å gjøre informasjonen tilgjengelig for den behandlingsansvarlige. Adyen har gjort prosedyren så enkel som mulig: ta kontakt med vårt supportteam og oppgi en “PSP-referanse”.

Det er greit å ha i bakhodet at den registrertes rett til tilgang er forbundet med en stor risiko: tilgangen kan benyttes til svindel. For å forebyggeidentitetstyverimå man være nøye med å innhente legitimasjon fra kunden før man utleverer informasjonen.

Den registrerte har “rett til å bli glemt”. I markedsføringssammenheng innebærer dette at alle opplysninger om forbrukeren skal slettes, og at forbrukeren aldri skal kontaktes igjen. Det er tydelig.

Men alle opplysninger kan ikke slettes. Har man inngått en avtale og dataene er nødvendige for å kunne videreføre tjenesten, må de lagres. Hvis en kunde f.eks. har et abonnement, må selskapet lagre opplysningene for å kunne fortsette å fakturere.

Det er opp til hvert enkelt firma å gjøre rede for hvilke opplysninger som kan slettes og hvilke som må lagres i en viss tidsperiode av hensyn til etterlevelsen.