Vad innebär GDPR för betalningar?

Såhär kommer GDPR att påverka hantering av betaldata. Vi går igenom allt ifrån rätten att bli glömd till datan du absolut inte får radera.

Det har varit mycket fokus på hur GDPR kommer att påverka data ur rekryterings- och marknadsföringsperspektiv. Men vad innebär det för betalningar? Vi går igenom vad man som företag behöver tänka på för efterlevnad. 

Vad är GDPR?

Högre krav på sekretess

GDPR är ett europeiskt regelverk för hur man hanterar konsumentdata. De nya reglerna ställer högre krav på sekretess och kräver ökad transparens mot konsumenten. 

Ett gemensamt regelverk

GDPR utgör ett sätt att samla och standardisera de bästa lösningarna från flera länder. Detta säkerställer att dataskyddet är samma på alla marknader inom EU och att konsumenternas datarättigheter är juridiskt verkställbara överallt.

Som företag innebär det tydligare riktlinjer och samma regler i hela Europa. Man behöver inte oroa sig över hur Frankrike skiljer sig från Tyskland, eller om rättigheterna i Spanien fungerar annorlunda mot i Nederländerna.

Läs mer om regelverken som påverkar betaldata i Europa

Hur påverkar GDPR betaldata?

Den rättsliga grunden för att behandla betaldata kan skilja sig från att behandla marknadsföringsdata. När man marknadsför till personer måste man få deras samtycke. Men vad betyder reglerna för betalningar?

Fullbordan av avtal

Det finns många skäl till att man som företag behandlar data som skyddas av GDPR. När det gäller betalningar faller det oftast under fullbordandet av ett avtal, dvs. ”jag behöver den här informationen så att jag kan tillhandahålla den vara/tjänst du har begärt”.

Det innebär att man inte måste ha fortsatt medgivande i samma utsträckning för att använda och lagra betaldata. Så länge uppgifterna används under produktens eller tjänstens livslängd gäller det ursprungliga medgivandet. Det är viktigt för prenumerationer, garantier och återbetalningar via kreditkort. Man kan dock inte använda dessa personuppgifter för andra ändamål. 

Konsumentens rättigheter - vad behöver man veta?

GDPR kategoriserar datarollerna enligt följande:

  • Den registrerade: konsumenten
  • Den registeransvariga: företaget 
  • Registerbehandlaren: en tredje part som behandlar personuppgifter på uppdrag från den registeransvariga (t.ex. Adyen)

Som registeransvarig ansvarar man för relationen med den registrerade. Man kan instruera en tredje part (som t.ex. Adyen) att hantera data, men det är företagets jobb att formulera syftet (eller målen) och den juridiska grunden för behandlingen.

Alla tredje parter måste följa de villkor som överenskommet mellan den registeransvariga och den registrerade. För att säkerställa detta måste den registeransvariga ha ett databehandlingsavtal (Data Processing Agreement, DPA) med var och en. Vårt DPA har utformats för att skydda företagen vi arbetar med; det är framtaget med tanke på betaltransaktioner, så det bevisar att man efterlever GDPR (åtminstone ur ett betalperspektiv).

Registrerades rättigheter

Det finns några intressanta detaljer kring de registrerades rättigheter som har fastställts i lag, särskilt när det gäller betaldata.

Rätt till åtkomst

De registrerade har när som helst rätt att få åtkomst till alla data som ett företag har om dem. Det inkluderar betaldata.

Vad ska jag göra om en kund begär att få se sin data?

Som registerbehandlare har man en juridisk skyldighet att göra informationen tillgänglig till den registeransvariga. På Adyen har vi gjort proceduren så enkel som möjligt: kontakta bara vårt supportteam och uppge en ”PSP-referens”.

En sak att ha i åtanke är att det finns en stor risk kopplad till registrerades rätt till tillgång: de kan användas för bedrägerier. Man måste vara noga med att legitimera kunden innan man lämnar ut informationen för att förebygga identitetsstöld. 

Rätten att bli bortglömd – vilken data man får (och inte får) radera

Den registrerade har ”rätten att bli bortglömd”. I ett marknadsföringssammanhang innebär det att all information om konsumenten ska raderas, och att konsumenten aldrig ska kontaktas igen. Det är tydligt. Men det är inte lika tydligt när det handlar om betaldata, och det finns tillfällen då vissa data inte får raderas.

Det gäller i fall där man ingått ett kontrakt och datan krävs för att kunna fortsätta tjänsten. T.ex. om en kund har en årsprenumeration så måste företaget lagra datan för att kunna fortsätta fakturera.

Det är upp till varje företag att förklara vilken information som kan raderas och vilken som måste sparas under en viss tidsperiod av efterlevnaddsskäl. 

GDPR är ett maraton, inte ett sprintlopp

GDPR är ett maraton, inte ett sprintlopp. Och det tar inte slut den 25 maj. Tillsynsmyndigheterna kommer att granska hur företag agerar över tid. Som företag ska man se till att ha DPA:er med alla leverantörer. Det är avgörande för efterlevnad.

Har du frågor om hur ni kommer att påverkas av GDPR? Tveka inte att kontakta oss

Are you looking for test card numbers?

Would you like to contact support?

Start searching the Adyen blog...

 Blog