Europa-Parlamentets og Rådets forordning nr. 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og databeskyttelsesloven finder anvendelse på erhvervsdrivende, der behandler betalingsoplysninger, jf. dog stk. 2-6.
Stk. 2 En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren, med brugerens udtrykkelige samtykke, jf. stk. 3, nr. 2.
Stk. 3 En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med
-
1) gennemførelse eller korrektion af en betalingstransaktion,
-
2) udbuddet af en tjeneste, der er direkte henvendt til brugeren, eller
-
3) anonymisering af betalingsoplysninger.
Stk. 4 Uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler gælder endvidere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsikringsaftaler.
Stk. 5 Uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplysninger til brug for en kreditvurdering.
Stk. 6 Uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til tredjemand, medmindre dette er hjemlet ved anden lovgivning eller det sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke er i strid med stk. 2-5.