Het Europees Comité voor Gegevensbescherming (EDPB) heeft onlangs de finale richtsnoeren gepubliceerd over de wisselwerking tussen de GDPR en de tweede richtlijn betalingsdiensten (PSD2). Al in 2018 vroeg Europees Parlementslid Sophie in 't Veld om enkele aspecten van de relatie tussen deze twee wettelijke kaders te verduidelijken, waarop het EDPB reageerde met een korte brief.
Met name de toegang van de nieuwe soorten betalingsdienstaanbieders - de aanbieders van rekeninginformatiediensten (AISP's) en de aanbieders van betalingsinitiatiediensten (PISP's) - tot de informatie over de betaalrekening van de gebruiker bleek voor sommigen een probleem te zijn. In die brief erkende het EDPB dat er meer follow-up nodig was en riep het op tot een verdere dialoog tussen de bevoegde instellingen op dit gebied. Dit heeft nu geleid tot meer gedetailleerde richtsnoeren.
In deze blogpost zullen we de belangrijkste punten van deze richtsnoeren kort analyseren:
Het spreekt voor zich dat het verlenen van betalingsdiensten een verwerking van persoonsgegevens met zich meebrengt. Als gebruiker van betalingsdiensten sluit men een overeenkomst met een betalingsdienstaanbieder. De betalingsdienstaanbieder moet dan bepaalde persoonsgegevens verwerken - waaronder naam, rekeninginformatie, enz. Wettelijke verplichtingen - zoals anti-witwasregels - kunnen immers vereisen dat betalingsdienstaanbieders persoonsgegevens verwerken, bijvoorbeeld in het kader van ken-uw-cliënt (KYC) verplichtingen. De dienstverlener kan daarnaast ook bepaalde persoonsgegevens willen verwerken voor marketingdoeleinden, of om zijn diensten te verbeteren.
De PSD2 erkent deze verwerking van persoonsgegevens in artikel 94, lid 1, door uitdrukkelijk te eisen dat deze verwerking in overeenstemming is met de wetgeving inzake gegevensbescherming.
Dit betekent dat onder andere in artikel 6 GDPR een geschikte verwerkingsgrond moet worden gevonden. Zoals al duidelijk werd uit ons korte overzicht, zal een deel van de verwerking noodzakelijk zijn voor de uitvoering van de overeenkomst tussen de betalingsdienstgebruiker en de betalingsdienstaanbieder (6(1)(b) GDPR).
Zoals altijd zal het belangrijk zijn om een onderscheid te maken tussen de verschillende elementen van de verwerking en te bepalen welke elementen kunnen worden aangevoerd als 'noodzakelijk' voor de uitvoering van de overeenkomst tussen beide partijen. Elementen die niet noodzakelijk zijn, zullen een andere verwerkingsgrond moeten vinden, zoals een wettelijke verplichting (6(1)(c) GDPR), toestemming (6(1)(a) GDPR), of mogelijk een legitiem belang (6(1)(f) GDPR). In de finale richtsnoeren bevestigt de EDPB dat de verwerking voor de preventie van fraude een legitiem belang kan vormen. Dit vereist echter wel een nauwkeurige evaluatie door de verantwoordelijke voor de verwerking, in overeenstemming met het principe van verantwoording.
Zodra persoonlijke gegevens zijn verzameld, wordt het verdere gebruik ervan beperkt. Dit wordt ook verwoord in de artikelen 66 en 67 van de PSD2, die voorschrijven dat AISP's en PISP's de verkregen gegevens alleen mogen gebruiken voor het verstrekken van rekeninginformatiediensten of betalingsinitiatiediensten. De verdere verwerking is derhalve beperkt tot gevallen waarin wordt gehandeld met toestemming van de betrokkene of wanneer wordt gehandeld op grond van een wettelijke verplichting.
Het staat de gebruikers vrij gebruik te maken van de diensten van AISP's en PISP's. Wanneer zij dat doen, zal hun rekeninghoudende betalingsdienstaanbieder - meestal hun bank - op grond van PSD2 verplicht zijn de nodige gegevens aan de AISP en/of de PISP te verstrekken om hun diensten te kunnen verlenen. Vanuit het oogpunt van de GDPR zal de aanbieder van betalingsdiensten voor rekeningen dus wettelijk verplicht zijn om deze gegevens over te dragen.
Volgens de GDPR is uitdrukkelijke toestemming één van de uitzonderingen op artikel 9 op grond waarvan gevoelige persoonsgegevens kunnen worden verwerkt. Aangezien in de PSD2 ook de term "uitdrukkelijke toestemming" wordt gebruikt, kan men zich afvragen in hoeverre dit hetzelfde betekent als in het kader van de GDPR.
Hier keert de EDPB terug naar het vorige punt en stelt het vast dat de meeste verwerkingen door betalingsdienstaanbieders gebaseerd zullen zijn op de contractuele noodzaak als verwerkingsgebied in het kader van de GDPR. Expliciete toestemming onder PSD2 kan daarom niet worden beschouwd als een extra verwerkingsgrond in de zin van de GDPR.
Het moet veeleer worden beschouwd als een vereiste van contractuele aard. De betrokkenen die een overeenkomst aangaan met een betalingsdienstaanbieder moeten op de hoogte worden gesteld van de verwerking van hun persoonsgegevens, de doeleinden waarvoor hun persoonsgegevens worden verwerkt, en zij moeten daarmee instemmen. Deze toestemming stelt de dienstverlener in staat om toegang te krijgen tot de noodzakelijke gegevens wanneer deze gegevens door een andere dienstverlener worden bewaard. Een AISP kan deze uitdrukkelijke toestemming bijvoorbeeld gebruiken om de nodige gegevens te verkrijgen van de rekeninghoudende betalingsdienstaanbieder van de gebruiker. In het kader van de GDPR zal de AISP vervolgens de verwerkingsgrond van de contractuele noodzaak gebruiken om die gegevens te verwerken bij de uitvoering van de overeenkomst met de gebruiker. Evenals in het kader van de GDPR moet de toestemming in het kader van de PSD2 echter vrij zijn. De gebruiker mag dus niet worden gedwongen om in te stemmen met de verlening van een dienst.
Bij het overmaken van geld zal een betalingsdienstaanbieder ook enkele persoonlijke gegevens van de ontvanger moeten verwerken, zoals het bedrag en het rekeningnummer. Het is echter mogelijk dat deze ontvanger geen overeenkomst heeft met de betalingsdienstaanbieder van de betaler, waardoor de ontvanger een zogenaamde "stille partij" wordt.
Aangezien er geen contractuele relatie bestaat tussen de betalingsdienstaanbieder en de stille partij, kan de verwerkingsgrond van de contractuele noodzaak hier niet worden gebruikt. De stille partij heeft ook niet ingestemd met de verwerking en er zal ook geen duidelijke wettelijke verplichting bestaan. Bijgevolg moet de verwerking van de persoonsgegevens van de stille partij gebaseerd worden op de verwerkingsgrond van legitiem belang (6(f)GDPR).
Bij het gebruik van de verwerkingsgrond van legitiem belang moet een afweging worden gemaakt tussen de belangen van de voor de verwerking verantwoordelijke of een derde partij en de belangen van de betrokkene. Er kunnen aanvullende waarborgen nodig zijn om deze belangen te balanceren. Die kunnen bestaan uit het beperken van de hoeveelheid verwerkte gegevens van een stille partij, een duidelijke en strikte beperking van het doel en het gebruik van sterke versleuteling als technische maatregel om de gegevens te beschermen.
Verdere verwerking van de persoonsgegevens van stille partijen voor andere doeleinden dan die van hun verzameling is alleen mogelijk wanneer dit wettelijk verplicht is. Toestemming is hier niet haalbaar en de verenigbaarheidstoets van artikel 6, vierde lid GDPR kan ook niet worden toegepast.
Het EDPB is van mening dat financiële gegevens weliswaar niet als gevoelige persoonsgegevens in de zin van artikel 9 van de GDPR als zodanig worden beschouwd, maar dat zij wel dergelijke gevoelige persoonsgegevens kunnen bevatten. Kerkdonaties of vakbondslidmaatschap kunnen bijvoorbeeld worden afgeleid uit betalingsgegevens. Voor het gebruik van gevoelige persoonsgegevens in een betalingscontext dient men te kijken naar de uitzonderingen op artikel 9 GDPR van expliciete toestemming of substantieel publiek belang. Wanneer geen van de uitzonderingen op artikel 9 GDPR van toepassing kan zijn, moeten technische maatregelen de verwerking van gevoelige persoonsgegevens verhinderen.
De PSD2 gebruikt ook de term 'gevoelige betalingsgegevens'. Dit heeft echter niets te maken met gevoelige persoonsgegevens in de zin van de GDPR, maar wel met gegevens, waaronder gepersonaliseerde gegevens, die gebruikt kunnen worden om fraude te plegen.
Ten slotte past het EDPB een aantal algemene beginselen inzake gegevensbescherming toe op de betalingscontext. Wat de minimalisering van de gegevens betreft, mogen dienstverleners niet meer gegevens verwerken dan nodig is voor de levering van hun diensten. Een AISP moet dan bijvoorbeeld bepalen welke gegevenstypes nodig zijn voor hun diensten, in plaats van de rekeninghoudende betalingsdienstenaanbieder om een zo breed mogelijke dataset te vragen. Zo kunnen bijvoorbeeld gegevens van stille partijen in de meeste gevallen beperkt worden. Ook kunnen alleen gegevens van betaalrekeningen worden gedeeld en niet gegevens met betrekking tot andere soorten rekeningen.
Wat de veiligheid betreft, wijst het EDPB nogmaals op de grote risico's die betalingsgegevens - bijvoorbeeld met betrekking tot fraude - met zich meebrengen wanneer er sprake is van een gegevensinbreuk. Hoge veiligheidsnormen en sterke cliëntauthenticatie - zoals vereist door de PSD2 - zijn daarom cruciaal.
Naast de informatieverplichtingen in het kader van de PSD2 moeten de dienstverleners die in het kader van de GDPR als voor de verwerking verantwoordelijken optreden, zorgen voor de nodige transparantie, dataminimalisatie en de doeltreffendheid van de rechten van de betrokkenen. Privacy-dashboards of gelaagde informatieverstrekking worden aanbevolen. Deze transparantie omvat ook het informeren van de betrokkene over de aanwezigheid van geautomatiseerde besluitvorming, met inachtneming van artikel 22 GDPR.
Heeft u nog vragen over deze richtlijnen of over de GDPR-conformiteit van uw betalingsdiensten? Neem dan contact op met Timelex.