PSD2 og GDPR er to EU-regelverk som er på alles lepper for tiden. Begge skal implementeres i norsk rett; PSD2 gjennom finansavtaleloven og GDPR gjennom en ny personvernlov.
De to regelverkene har ulike formål; PSD2 skal skape økt konkurranse, mens GDPR skal styrke personvernet.
Men hva er sammenhengen mellom de to?
Datatilsynet publiserte 7.februar 2018 sin rapport «Personlige finanser. Hvordan utviklingstrekk i finanssektoren påvirker personvernet.» De beskriver 3 punkter som driver utviklingen:
- Muliggjørende teknologi: den teknologiske utviklingen gjør det mulig å samle og analysere store mengder data. Dette baner vei for nye tjenester og forretningsmodeller.
- Forventninger hos forbrukerne: forbrukerne forventer å ha enkle løsninger lett tilgjengelig på smarttelefonene sine.
- PSD2 (Payment Services Directive): gir bankene økt konkurranse fra to grupper nye aktører. Disse tilbyr henholdsvis betalingstjenester (PISP/betalingsfullmektig) og ulike typer informasjon om forbrukernes økonomi (AISP/opplysningsfullmektig).
Personopplysninger mer utsatt
PSD2 gir forbrukerne flere valgmuligheter, ved at det ikke lenger kun er banker som kan tilby betalingstjenester.
Dette betyr at opplysninger om privatøkonomi blir behandlet på nye måter og av flere aktører. Noen er etablerte virksomheter, som Google og Facebook. Andre er oppstartsbedrifter innen fintech, som norske Payr og Spiff.
Bankene må tilrettelegge for at disse andre aktører får tilgang til bankens systemer (gjennom APIer), dersom forbrukeren ønsker å bruke denne aktøren til betaling eller informasjon.
Økt konkurranse gjør at prisene presses ned, det blir vanskeligere for bankene å kreve transaksjonskostnader og gebyrer. De nye aktørene vil tjene penger på andre måter, blant annet gjennom verdifulle data fra brukerne av tjenestene.
Når dataene fordeles på flere hender, er det vanskeligere å ha kontroll. Det blir en økt sårbarhet for cyberangrep og misbruk av personopplysninger.
PSD2 og GDPR, hånd i hånd?
Datatilsynet foretar en kort vurdering av samspillet mellom PSD2 og GDPR (General Data Protection Regulation).
På den ene siden skal begge regelverk legge til rette for dataportabilitet; at forbrukeren selv skal velge tjenestetilbyder, og at data lett skal kunne overføres til en annen tilbyder. Videre er forbrukerens samtykke viktig etter både PSD2 og GDPR.
På den andre siden er ikke hovedformålet til PSD2 å styrke personvernet, direktivet inneholder kun én artikkel om behandling av personopplysninger. Datatilsynet peker på at det kan oppstå uklarheter når man ser regelverkene i sammenheng. For eksempel er det ikke klart etter PSD2 om banken eller den andre aktøren skal innhente samtykke.
Hvordan skal sektoren følge begge regelverk?
Datatilsynet kommer med forslag til hvordan finanssektoren skal gå utviklingen i møte, blant annet gjennom personvernfremmende teknologi og oppdaterte bransjenormer. De mener godt personvern kan gjøres til et konkurransefortrinn.
Lindorff har kunder innen et vidt spekter av finanssektoren, og vi utforsker selv de nye forretningsmulighetene i kjølvannet av PSD2.
Det er viktig at alle i finanssektoren har begge regelverk i tankene samtidig, slik at personvernhensyn ivaretas samtidig som man arbeider mot konkurransedyktige tjenester.
Vi anbefaler dere å lese rapporten: https://www.datatilsynet.no/globalassets/global/om-personvern/rapporter/personlige-finanser_rapport2018.pdf
Ellers er det mye spennende om personvern i «Personvern – tilstand og trender 2018», publisert 30.januar 2018: https://www.datatilsynet.no/globalassets/global/om-personvern/rapporter/Tilstand-og-trender-2018.pdf
