Kapitel 8 1 Databeskyttelse, operationel sikkerhed og autentifikation
Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven finder anvendelse på udbydere af betalingstjenester og udstedere af elektroniske penge, jf. dog stk. 2-4.
Stk. 2 En udbyder af betalingstjenester og en udsteder af elektroniske penge må kun tilgå, behandle og opbevare personoplysninger, som er nødvendige for ydelse af betalingstjenester, med brugerens udtrykkelige samtykke.
Stk. 3 Uanset stk. 2 og § 125, stk. 3, må en udbyder af betalingstjenester og betalingssystemer og en udsteder af elektroniske penge behandle personoplysninger til brug for forebyggelse, efterforskning, retshåndhævelse og opdagelse af misbrug eller svig, eller hvis behandlingen er hjemlet ved anden lov.
Stk. 4 Udbydere af betalingstjenester og udstedere af elektroniske penge må ikke betinge priser eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, eller betalingskonti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse med leveringen af betalingskontoen eller betalingstjenesten, eller af, at brugeren giver samtykke til, at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.
Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven finder anvendelse på erhvervsdrivende, der behandler betalingsoplysninger, jf. dog stk. 2-6.
Stk. 2 En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren, med brugerens udtrykkelige samtykke, jf. stk. 3, nr. 2.
Stk. 3 En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med
-
1) gennemførelse eller korrektion af en betalingstransaktion,
-
2) udbuddet af en tjeneste, der er direkte henvendt til brugeren, eller
-
3) anonymisering af betalingsoplysninger.
Stk. 4 Uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler gælder endvidere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsikringsaftaler.
Stk. 5 Uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplysninger til brug for en kreditvurdering.
Stk. 6 Uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til tredjemand, medmindre dette er hjemlet ved anden lovgivning eller det sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke er i strid med stk. 2-5.
En udbyder af betalingstjenester skal fastlægge og opretholde
-
1) procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder,
-
2) effektive procedurer for håndtering af drifts- og sikkerhedshændelser og
-
3) passende sikkerhedsforanstaltninger, der beskytter integriteten og fortroligheden af brugerens personaliserede sikkerhedsforanstaltninger i overensstemmelse med forordninger og regler udstedt af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.
Stk. 2 Udbydere og udstedere skal en gang årligt indsende en ajourført og samlet risikovurdering i henhold til stk. 1 og en beskrivelse af de forebyggende foranstaltninger, udbyderne har truffet for at begrænse disse risici, til Finanstilsynet.
Stk. 3 Ved iværksættelse af betalingstransaktioner via en betalingsinitieringstjeneste, jf. bilag 1, nr. 7, finder stk. 1, nr. 3, også anvendelse.
Stk. 4 Når en udbyder af kontooplysningstjenester anmoder om oplysninger til brug for udbuddet af kontooplysningstjenester omfattet af bilag 1, nr. 8, finder stk. 1, nr. 3, også anvendelse.
Stk. 5 Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer, en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2.
En udbyder af betalingstjenester skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen.
Stk. 2 I den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger.
Stk. 3 Udbyderen skal minimum en gang årligt indrapportere statistik om drift og misbrug af de betalingstjenester, som denne udbyder, til Finanstilsynet.
Stk. 4 Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til stk. 1-3.
En udbyder af betalingstjenester skal anvende stærk kundeautentifikation, medmindre andet følger af forordninger og regler udstedt af Kommissionen i medfør af artikel 98 i Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, når en bruger
-
1) tilgår sin betalingskonto online,
-
2) iværksætter en elektronisk betalingstransaktion eller
-
3) udfører handlinger gennem en enhed til fjernkommunikation, der kan indebære risiko for misbrug.
Stk. 2 Ved iværksættelse af elektroniske betalinger, jf. stk. 1, nr. 2, via en enhed til fjernkommunikation skal udbyderen sikre, at der anvendes stærk kundeautentifikation, som omfatter elementer, der dynamisk knytter transaktionen til et specifikt beløb og en specifik betalingsmodtager.
Stk. 3 Ved iværksættelse af betalingstransaktioner via en betalingsinitieringstjeneste, jf. bilag 1, nr. 7, finder stk. 2 også anvendelse.
Stk. 4 Når en udbyder af kontooplysningstjenester anmoder om data til brug for udbuddet af tjenester omfattet af bilag 1, nr. 8, finder stk. 1 også anvendelse.