Guider och rapporter

Vad innebär GDPR för betalningar?

Vad innebär GDPR för e-handlare? Vi går igenom hur betalningar och GDPR hänger ihop, vad rätten att bli glömd innebär för transaktionsdata och vilken data man absolut inte ska radera.

1 maj, 2018
 ·  4 minuter
GDPR

När GDPR infördes 2018 låg fokuset på hur direktivet påverkar data ur rekryterings- och marknadsföringsperspektiv. Men vad innebär det för betalningar? Vi går igenom vad man som företag behöver tänka på för efterlevnad. 

GDPR är ett regelverk för hela EU

GDPR är ett europeiskt regelverk för hur man hanterar konsumentdata. Reglerna ställer högre krav på sekretess och kräver ökad transparens mot konsumenten (källa:Datainspektionen).

GDPR utgör ett sätt att samla och standardisera de bästa lösningarna från flera länder. Detta säkerställer att dataskyddet är samma på alla marknader inom EU och att konsumenternas datarättigheter är juridiskt verkställbara överallt.

Som företag innebär det tydligare riktlinjer och samma regler i hela Europa. Man behöver inte oroa sig över hur Frankrike skiljer sig från Tyskland, eller om rättigheterna i Spanien fungerar annorlunda mot i Nederländerna.

GDPR för e-handeln: hur påverkar GDPR betalningar?

Den rättsliga grunden för att behandla betaldata kan skilja sig från att behandla marknadsföringsdata. När man marknadsför till personer måste man få deras samtycke. Men vad betyder reglerna för betalningar?

Företag har rätt att lagra data för att kunna ta betalt

Det finns många skäl till att man som företag behandlar data som skyddas av GDPR. När det gäller betalningar faller det oftast under fullbordandet av ett avtal, dvs. ”jag behöver den här informationen så att jag kan tillhandahålla den vara/tjänst du har begärt”.

Det innebär att man inte måste ha fortsatt medgivande i samma utsträckning för att använda och lagra betaldata.

Det innebär att man inte måste ha fortsatt medgivande i samma utsträckning för att använda och lagra betaldata. Så länge uppgifterna används under produktens eller tjänstens livslängd gäller det ursprungliga medgivandet. Det är viktigt för prenumerationer, garantier och återbetalningar via kreditkort. Man kan dock inte använda dessa personuppgifter för andra ändamål.

Vad är PCI DSS?

4 minuter

Konsumentens rättigheter - vad behöver man veta?

GDPR kategoriserar datarollerna enligt följande:

  • Den registrerade: konsumenten
  • Den registeransvariga: företaget 
  • Registerbehandlaren: en tredje part som behandlar personuppgifter på uppdrag från den registeransvariga (t.ex. Adyen)

Som registeransvarig ansvarar man för relationen med den registrerade. Man kan instruera en tredje part (som t.ex. Adyen) att hantera data, men det är företagets jobb att formulera syftet (eller målen) och den juridiska grunden för behandlingen.

Alla tredje parter måste följa de villkor som överenskommet mellan den registeransvariga och den registrerade. För att säkerställa detta måste den registeransvariga ha ett databehandlingsavtal (Data Processing Agreement, DPA) med var och en. Vårt DPA har utformats för att skydda företagen vi arbetar med; det är framtaget med tanke på betaltransaktioner, så det bevisar att man efterlever GDPR (åtminstone ur ett betalperspektiv).

Vad har kunderna för rättigheter?

Det finns några intressanta detaljer kring de registrerades rättigheter som har fastställts i lag, särskilt när det gäller betaldata.

Konsumenter har rätt till sin egen data

De registrerade har när som helst rätt att få åtkomst till alla data som ett företag har om dem. Det inkluderar betaldata.

Vad ska jag göra om en kund begär att få se sin data?

Som registerbehandlare har man en juridisk skyldighet att göra informationen tillgänglig till den registeransvariga. På Adyen har vi gjort proceduren så enkel som möjligt: kontakta bara vårt supportteam och uppge en ”PSP-referens”.

En sak att ha i åtanke är att det finns en stor risk kopplad till registrerades rätt till tillgång: de kan användas för bedrägerier. Man måste vara noga med att legitimera kunden innan man lämnar ut informationen för att förebygga identitetsstöld.

Rätten att bli bortglömd – vilken data man får (och inte får) radera

Den registrerade har ”rätten att bli bortglömd”. I ett marknadsföringssammanhang innebär det att all information om konsumenten ska raderas, och att konsumenten aldrig ska kontaktas igen. Det är tydligt. 

All data får inte raderas. Har man ingått ett kontrakt och datan krävs för att kunna fortsätta tjänsten behöver den sparas

Men all data får inte raderas. Har man ingått ett kontrakt och datan krävs för att kunna fortsätta tjänsten behöver den sparas, t.ex. om en kund har en årsprenumeration så måste företaget lagra datan för att kunna fortsätta fakturera.

Det är upp till varje företag att förklara vilken information som kan raderas och vilken som måste sparas under en viss tidsperiod av efterlevnaddsskäl.

Vill du få fler insikter från Adyen?

Anmäl dig till Adyens nyhetsbrev

Håll dig uppdaterad om insikter, event, rapporter och mer

Anmäl dig till nyhetsbrevet


Anmäl dig till Adyens nyhetsbrev

Kontakta vårt kommunikationsteam

Jag bekräftar att jag har läst Adyens integritetspolicy och jag godkänner användandet av min data i enlighet med policyn.