Nyheter og oppdateringer
Hva innebærer GDPR for betalinger?
Hva innebærer GDPR for e-forhandlere? Vi gjennomgår hvordan betalinger og GDPR henger sammen, hva retten til å bli glemt innebærer for transaksjonsdata og hvilke data man absolutt ikke må slette.
Da GDPR ble innført i 2018 lå fokuset på hvordan direktivet påvirker data ut fra et rekrutterings- og markedsføringsperspektiv. Men hva innebærer det for betalinger? Vi gjennomgår hva man som selskap må tenke på med tanke på etterlevelse.
GDPR er et regelverk for hele EU
GDPR er et europeisk regelverk som bestemmer hvordan man behandler forbrukerdata. Reglene stiller strengere krav til personvern og krever økt transparens overfor forbrukeren (kilde: Datainspektionen).
GDPR er en måte å samle og standardisere de beste løsningene fra flere land på. Dette sikrer at personvernet er det samme på alle markeder innen EU og at forbrukernes personvernrettigheter kan håndheves juridisk overalt.
For selskapene innebærer dette tydeligere retningslinjer, og at de samme reglene gjelder i hele Europa. Man behøver ikke å bekymre seg over hva som er forskjellig mellom Frankrike og Tyskland, eller om rettighetene i Spania fungerer annerledes enn i Nederland.
GDPR for e-handelen: hvordan påvirkes betalinger av GDPR?
Det rettslige grunnlaget for å behandlebetalingsdatakan være annerledes enn for å behandle markedsføringsdata. Når man markedsfører til privatpersoner, må man innhente personens samtykke. Men hva betyr reglene for betalinger?
Selskaper har rett til å lagre data for å kunne ta betalt
Det er mange grunner til at man som selskap behandler data som er beskyttet av GDPR. Når det gjelder betalinger skjer det som regel under fullbyrdelsen av en avtale, dvs. “Jeg trenger denne informasjonen slik at jeg kan levere den varen/tjenesten du har bedt om”.
Det betyr at man ikke i samme utstrekning trenger fortsatt tillatelse til å bruke og lagre betalingsopplysninger.
Det betyr at man ikke i samme utstrekning trenger fortsatt tillatelse til å bruke og lagre betalingsopplysninger. Så lenge opplysningene brukes i produktets eller tjenestens levetid, gjelder den opprinnelige tillatelsen. Dette er viktig for abonnementer, garantier og tilbakebetalinger via kredittkort. Det er imidlertid ikke tillatt å bruke disse personopplysningene til andre formål.
Forbrukerens rettigheter – hva trenger man å vite?
GDPR kategoriserer datarollene som følger:
- Den registrerte: forbrukeren
- Behandlingsansvarlig: selskapet
- Databehandler: en tredjepart som behandler personopplysninger på oppdrag av den behandlingsansvarlige (f.eks. Adyen).
Som behandlingsansvarlig står man ansvarlig for relasjonen med den registrerte. Man kan be en tredjepart (f.eks. Adyen) om å behandle data, men det er selskapets oppgave å formulere formålet (eller målene) og det juridiske grunnlaget for behandlingen.
Alle tredjeparter må følge vilkårene som er avtalt mellom den behandlingsansvarlige og den registrerte. For å sikre dette må den behandlingsansvarlige ha en databehandlingsavtale (Data Processing Agreement, DPA) med hver enkelt. Vår DPA er utformet for å beskytte selskapene vi samarbeider med; den er utarbeidet med tanke på betalingstransaksjoner og dokumenterer at man etterlever GDPR (i hvert fall ut fra et betalingsperspektiv).
Hvilke rettigheter har kundene?
Det er knyttet en del interessante detaljer til de registrertes lovfestede rettigheter, særlig når det gjelder betalingsopplysninger.
Forbrukerne har rett til sine egne data
De registrerte har når som helst rett til å få tilgang til alle data et selskap har om dem. Det gjelder også betalingsopplysninger.
Hva skal jeg gjøre hvis en kunde ber om å få se dataene sine?
Som databehandler er man juridisk forpliktet til å gjøre informasjonen tilgjengelig for den behandlingsansvarlige. Adyen har gjort prosedyren så enkel som mulig: ta kontakt med vårt supportteam og oppgi en “PSP-referanse”.
Det er greit å ha i bakhodet at den registrertes rett til tilgang er forbundet med en stor risiko: tilgangen kan benyttes til svindel. For å forebyggeidentitetstyverimå man være nøye med å innhente legitimasjon fra kunden før man utleverer informasjonen.
Retten til å bli glemt – hvilke data man kan (og ikke kan) slette
Den registrerte har “rett til å bli glemt”. I markedsføringssammenheng innebærer dette at alle opplysninger om forbrukeren skal slettes, og at forbrukeren aldri skal kontaktes igjen. Det er tydelig.
Alle opplysninger kan ikke slettes. Har man inngått en avtale og dataene er nødvendige for å kunne videreføre tjenesten, må de lagres.
Men alle opplysninger kan ikke slettes. Har man inngått en avtale og dataene er nødvendige for å kunne videreføre tjenesten, må de lagres. Hvis en kunde f.eks. har et abonnement, må selskapet lagre opplysningene for å kunne fortsette å fakturere.
Det er opp til hvert enkelt firma å gjøre rede for hvilke opplysninger som kan slettes og hvilke som må lagres i en viss tidsperiode av hensyn til etterlevelsen.
Vil du motta flere innsikter fra Adyen?
Meld deg på vårt nyhetsbrev
Abonner på e-postvarsler
Jeg bekrefter at jeg har lest Adyens personvernpolicy og at jeg godtar at opplysningene mine brukes i samsvar med policyen.