Vad innebär GDPR för betalningar?

När GDPR infördes 2018 låg fokuset på hur direktivet påverkar data ur rekryterings- och marknadsföringsperspektiv. Men vad innebär det för betalningar? Vi går igenom vad man som företag behöver tänka på för efterlevnad. 

GDPR är ett europeiskt regelverk för hur man hanterar konsumentdata. Reglerna ställer högre krav på sekretess och kräver ökad transparens mot konsumenten (källa: Datainspektionen).

GDPR utgör ett sätt att samla och standardisera de bästa lösningarna från flera länder. Detta säkerställer att dataskyddet är samma på alla marknader inom EU och att konsumenternas datarättigheter är juridiskt verkställbara överallt.

Som företag innebär det tydligare riktlinjer och samma regler i hela Europa. Man behöver inte oroa sig över hur Frankrike skiljer sig från Tyskland, eller om rättigheterna i Spanien fungerar annorlunda mot i Nederländerna.

Läs mer om regelverken som påverkar betaldata i Europa

Den rättsliga grunden för att behandla betaldata kan skilja sig från att behandla marknadsföringsdata. När man marknadsför till personer måste man få deras samtycke. Men vad betyder reglerna för betalningar?

Det finns många skäl till att man som företag behandlar data som skyddas av GDPR. När det gäller betalningar faller det oftast under fullbordandet av ett avtal, dvs. ”jag behöver den här informationen så att jag kan tillhandahålla den vara/tjänst du har begärt”.

Det innebär att man inte måste ha fortsatt medgivande i samma utsträckning för att använda och lagra betaldata. Så länge uppgifterna används under produktens eller tjänstens livslängd gäller det ursprungliga medgivandet. Det är viktigt för prenumerationer, garantier och återbetalningar via kreditkort. Man kan dock inte använda dessa personuppgifter för andra ändamål.

GDPR kategoriserar datarollerna enligt följande:

Som registeransvarig ansvarar man för relationen med den registrerade. Man kan instruera en tredje part (som t.ex. Adyen) att hantera data, men det är företagets jobb att formulera syftet (eller målen) och den juridiska grunden för behandlingen.

Alla tredje parter måste följa de villkor som överenskommet mellan den registeransvariga och den registrerade. För att säkerställa detta måste den registeransvariga ha ett databehandlingsavtal (Data Processing Agreement, DPA) med var och en. Vårt DPA har utformats för att skydda företagen vi arbetar med; det är framtaget med tanke på betaltransaktioner, så det bevisar att man efterlever GDPR (åtminstone ur ett betalperspektiv).

Det finns några intressanta detaljer kring de registrerades rättigheter som har fastställts i lag, särskilt när det gäller betaldata.

De registrerade har när som helst rätt att få åtkomst till alla data som ett företag har om dem. Det inkluderar betaldata.

Vad ska jag göra om en kund begär att få se sin data?

Som registerbehandlare har man en juridisk skyldighet att göra informationen tillgänglig till den registeransvariga. På Adyen har vi gjort proceduren så enkel som möjligt: kontakta bara vårt supportteam och uppge en ”PSP-referens”.

En sak att ha i åtanke är att det finns en stor risk kopplad till registrerades rätt till tillgång: de kan användas för bedrägerier. Man måste vara noga med att legitimera kunden innan man lämnar ut informationen för att förebygga identitetsstöld.

Den registrerade har ”rätten att bli bortglömd”. I ett marknadsföringssammanhang innebär det att all information om konsumenten ska raderas, och att konsumenten aldrig ska kontaktas igen. Det är tydligt. 

Men all data får inte raderas. Har man ingått ett kontrakt och datan krävs för att kunna fortsätta tjänsten behöver den sparas, t.ex. om en kund har en årsprenumeration så måste företaget lagra datan för att kunna fortsätta fakturera.

Det är upp till varje företag att förklara vilken information som kan raderas och vilken som måste sparas under en viss tidsperiod av efterlevnaddsskäl.

Därför använder Uber och Zalando 3D Secure 2