Ook onder de recent in werking getreden Payment Service Directive 2 ("PSD 2") is de bescherming van persoonsgegevens van groot belang. De PSD 2 noemt dan ook dat persoonsgegevens die nodig zijn voor het aanbieden van betalingsdiensten door betalingsdienstaanbieders enkel mogen worden verwerkt op basis van uitdrukkelijke toestemming.
Er wordt hier echter niet gedoeld op uitdrukkelijke toestemming zoals genoemd in de Algemene Verordening Gegevensbescherming ("AVG"). De European Data Protection Board ("EDPB") heeft verduidelijkt dat het in dit kader gaat om een extra vereiste ten aanzien van een contractuele relatie tussen de betalingsdienstgebruiker en de betalingsdienstaanbieder. Immers, de betalingsdiensten worden altijd uitgevoerd op basis van een overeenkomst tussen de gebruiker en de aanbieder. Lees in dit blog wie met de PSD 2 te maken krijgt en welke maatregelen er eventueel getroffen moeten worden.
Wat is de PSD 2?
De PSD 2 is een Europese richtlijn en zorgt voor de regulering van het giraal betalingsverkeer in de EU. De richtlijn raakt zowel consumenten als bedrijven en richt zich onder andere op de rechten en plichten van partijen bij een betaaltransactie.
Nieuw aan de PSD 2 is dat nu ook andere typen betaalinstellingen (niet zijnde banken) betaaldiensten aan mogen bieden en toegang krijgen tot het betalingsverkeer. Deze mogelijkheid is opgenomen omdat betalingen naar verwachting steeds vaker zullen verlopen via deze andere typen betaaldienstverleners.
Wie is een betalingsdienstaanbieder?
De volgende partijen zijn aan te merken als betalingsdienstaanbieders:
- Kredietinstellingen;
- Instellingen voor elektronisch geld;
- Postcheque-en-girodiensten;
- Betalingsinstellingen;
- De ECB en centrale banken;
- Lidstaten en hun regionale en lokale overheden wanneer zij niet handelen in hun hoedanigheid van overheidsinstantie;
- Aanbieders van rekeninginformatiediensten;
- Aanbieders van betalingsinitiatiediensten.
Verschil met uitdrukkelijke toestemming onder de AVG
Betalingsdienstaanbieders mogen volgens art. 94 lid 2 PSD 2 enkel op basis van uitdrukkelijke toestemming persoonsgegevens die noodzakelijk zijn voor het aanbieden van de betalingsdiensten verwerken.
In de AVG wordt verwezen naar (uitdrukkelijke) toestemming als een grondslag voor verwerking en een uitzondering op het verbod op het verwerken van bijzondere persoonsgegevens. Wanneer de betrokkene (uitdrukkelijke) toestemming heeft gegeven, mag een verwerking mits ook aan de andere verplichtingen uit de AVG wordt voldaan plaatsvinden.
Onder de PSD 2 moet uitdrukkelijke toestemming niet worden gezien als een grondslag voor verwerking. Het moet worden geïnterpreteerd als volgt: wanneer een betrokkene een contract aangaat met een betalingsdienstaanbieder in het kader van een betalingsdienst, moet de betrokkene voldoende geïnformeerd zijn over de doeleinden van verwerking van zijn/haar persoonsgegevens en moet de betrokkene specifiek toestemming voor geven ten aanzien van deze bepalingen.
De bepalingen welke deze informatie verschaffen, moeten duidelijk gescheiden zijn van andere informatie. Toestemming moet dus duidelijk en expliciet gevraagd worden en de betrokkene moet actief toestemming geven. Ondanks dat toestemming dient te worden gegeven, is de grondslag voor de verwerking van persoonsgegevens de uitvoering van een overeenkomst; toestemming is een aanvullend vereiste ten aanzien van de overeenkomst.
De EDPB heeft voor deze uitleg gekozen om dat de PSD 2 aan de ene kant overeen moet stemmen met de AVG, maar aan de andere kant moeten de hierin opgenomen verplichtingen wel handzaam zijn voor betalingsdienstaanbieders.
Verwerking voor andere doeleinden
Wat betreft de verwerking van persoonsgegevens die zijn verkregen in het kader van betalingsdiensten voor andere doelstellingen, kan toestemming wel gelden als grondslag. Dit impliceert dat heel duidelijk gecommuniceerd moet worden over deze andere doelstellingen en dat verschillende toestemmingsvragen niet zonder meer aan elkaar gekoppeld mogen worden. In dat geval is het verder belangrijk dat toestemming vrij, specifiek, ondubbelzinnig en geïnformeerd is. Ook moet er sprake zijn van een actieve handeling en de verwerkingsverantwoordelijke moet kunnen aantonen dat toestemming gegeven is.
Daarnaast moet de betrokkene, ook wanneer toestemming gegeven is in het kader van diensten onder de PSD 2 zijn of haar toestemming in kunnen trekken.
Verder geldt dat hoe de persoonsgegevens ook verwerkt zullen worden, de AVG altijd in acht zal moeten worden genomen.
Ook onder de recent in werking getreden Payment Service Directive 2 ("PSD 2") is de bescherming van persoonsgegevens van groot belang. De PSD 2 noemt dan ook dat persoonsgegevens die nodig zijn voor het aanbieden van betalingsdiensten door betalingsdienstaanbieders enkel mogen worden verwerkt op basis van uitdrukkelijke toestemming.
Er wordt hier echter niet gedoeld op uitdrukkelijke toestemming zoals genoemd in de Algemene Verordening Gegevensbescherming ("AVG"). De European Data Protection Board ("EDPB") heeft verduidelijkt dat het in dit kader gaat om een extra vereiste ten aanzien van een contractuele relatie tussen de betalingsdienstgebruiker en de betalingsdienstaanbieder. Immers, de betalingsdiensten worden altijd uitgevoerd op basis van een overeenkomst tussen de gebruiker en de aanbieder. Lees in dit blog wie met de PSD 2 te maken krijgt en welke maatregelen er eventueel getroffen moeten worden.
Wat is de PSD 2?
De PSD 2 is een Europese richtlijn en zorgt voor de regulering van het giraal betalingsverkeer in de EU. De richtlijn raakt zowel consumenten als bedrijven en richt zich onder andere op de rechten en plichten van partijen bij een betaaltransactie.
Nieuw aan de PSD 2 is dat nu ook andere typen betaalinstellingen (niet zijnde banken) betaaldiensten aan mogen bieden en toegang krijgen tot het betalingsverkeer. Deze mogelijkheid is opgenomen omdat betalingen naar verwachting steeds vaker zullen verlopen via deze andere typen betaaldienstverleners.
Wie is een betalingsdienstaanbieder?
De volgende partijen zijn aan te merken als betalingsdienstaanbieders:
- Kredietinstellingen;
- Instellingen voor elektronisch geld;
- Postcheque-en-girodiensten;
- Betalingsinstellingen;
- De ECB en centrale banken;
- Lidstaten en hun regionale en lokale overheden wanneer zij niet handelen in hun hoedanigheid van overheidsinstantie;
- Aanbieders van rekeninginformatiediensten;
- Aanbieders van betalingsinitiatiediensten.
Verschil met uitdrukkelijke toestemming onder de AVG
Betalingsdienstaanbieders mogen volgens art. 94 lid 2 PSD 2 enkel op basis van uitdrukkelijke toestemming persoonsgegevens die noodzakelijk zijn voor het aanbieden van de betalingsdiensten verwerken.
In de AVG wordt verwezen naar (uitdrukkelijke) toestemming als een grondslag voor verwerking en een uitzondering op het verbod op het verwerken van bijzondere persoonsgegevens. Wanneer de betrokkene (uitdrukkelijke) toestemming heeft gegeven, mag een verwerking mits ook aan de andere verplichtingen uit de AVG wordt voldaan plaatsvinden.
Onder de PSD 2 moet uitdrukkelijke toestemming niet worden gezien als een grondslag voor verwerking. Het moet worden geïnterpreteerd als volgt: wanneer een betrokkene een contract aangaat met een betalingsdienstaanbieder in het kader van een betalingsdienst, moet de betrokkene voldoende geïnformeerd zijn over de doeleinden van verwerking van zijn/haar persoonsgegevens en moet de betrokkene specifiek toestemming voor geven ten aanzien van deze bepalingen.
De bepalingen welke deze informatie verschaffen, moeten duidelijk gescheiden zijn van andere informatie. Toestemming moet dus duidelijk en expliciet gevraagd worden en de betrokkene moet actief toestemming geven. Ondanks dat toestemming dient te worden gegeven, is de grondslag voor de verwerking van persoonsgegevens de uitvoering van een overeenkomst; toestemming is een aanvullend vereiste ten aanzien van de overeenkomst.
De EDPB heeft voor deze uitleg gekozen om dat de PSD 2 aan de ene kant overeen moet stemmen met de AVG, maar aan de andere kant moeten de hierin opgenomen verplichtingen wel handzaam zijn voor betalingsdienstaanbieders.
Verwerking voor andere doeleinden
Wat betreft de verwerking van persoonsgegevens die zijn verkregen in het kader van betalingsdiensten voor andere doelstellingen, kan toestemming wel gelden als grondslag. Dit impliceert dat heel duidelijk gecommuniceerd moet worden over deze andere doelstellingen en dat verschillende toestemmingsvragen niet zonder meer aan elkaar gekoppeld mogen worden. In dat geval is het verder belangrijk dat toestemming vrij, specifiek, ondubbelzinnig en geïnformeerd is. Ook moet er sprake zijn van een actieve handeling en de verwerkingsverantwoordelijke moet kunnen aantonen dat toestemming gegeven is.
Daarnaast moet de betrokkene, ook wanneer toestemming gegeven is in het kader van diensten onder de PSD 2 zijn of haar toestemming in kunnen trekken.
Verder geldt dat hoe de persoonsgegevens ook verwerkt zullen worden, de AVG altijd in acht zal moeten worden genomen.