Känsliga uppgifter 44

I både PSD2 och GDPR finns en reglering angående uppgifter som är av känslig natur och som ska skyddas mer grundligt än de vanliga uppgifterna och som i vissa fall inte får behandlas p.g.a. att det rör sig om uppgifter som individer inte alltid vill dela med sig av. Dock definieras känsliga uppgifter inte på samma sätt i de båda regelverken, vilket öppnar upp för tolkningsfrågor och andra svårigheter vid en gemensam tolkning av regelverken. Känsliga personuppgifter enligt GDPR är uppgifter som tar hänsyn till de grundläggande rättigheterna och friheterna, vilka innefattar bl.a. genetiska och biometriska uppgifter vilka används för olika former av identifiering, exempelvis fingeravtryck och ansiktsigenkänning.208 Fingeravtryck har använts som identifiering under en relativt lång period, medan ansiktsigenkänning som identifikationsmedel fortfarande är relativt ny. Som nämnts har det visat sig att ansiktsigenkänning är den typ av biometriska uppgifter som är minst välkommet på marknaden för identifiering.209 Att många användare är skeptiska till att använda ansiktsigenkänning som identifikationsmedel beror troligen på en rädsla för kränkning av den personliga integriteten, i form av att ens ansiktsbild kanske inte alltid accepteras vid identifieringen, eller att ens ansikte blir identifierat som någonting annat beroende på ens anletsdrag.

I PSD2 framgår det inte lika tydligt vad som menas med känsliga uppgifter bortsett från att det är uppgifter som kan används vid bedrägeri, men inget ytterligare tydliggörande görs i direktivet. Inte heller i de tekniska standarderna om stark kundautentisering och öppna kommunikationsstandarder finns det information som ger ett klargörande om vad som menas med uppgifter av känslig natur. Den information som finns att ta vägledning från angående känsliga uppgifter i PSD2 är att det ska vara fråga om uppgifter som kan användas vid bedrägeri, att det är personligt anpassade funktioner som används för autentiseringsändamål och att det inte rör sig om betaltjänstanvändarens namn eller kontouppgifter i verksamheter som drivs av TPP.210 Eftersom det inte är helt tydligt vad som anses vara känsliga uppgifter                                                                                                                

208 _{Se avsnitt 4.4.2.} 209 _{Se avsnitt 4.4.2.} 210 _{Se avsnitt 4.3.2.}

enligt PSD2, öppnas det upp för en tolkningsfråga, eftersom känsliga uppgifter innebär olika typer av information för olika individer. Exempelvis kanske somliga anser att kontonummer är känsliga uppgifter, trots att dessa uttryckligen inte utgör känsliga uppgifter i PSD2 eftersom dessa uppgifter kan användas vid bedrägerier, medan andra inte anser att det utgör känsliga uppgifter. Endast ett kontonummer torde inte utgöra känsliga uppgifter, eftersom tagna ur sitt sammanhang säger dessa nummer ingenting om personen i fråga. Självklart finns risken att uppgifterna används vid bedrägeri i alla fall, men för att det ska vara en möjlighet krävs åtkomst till ytterligare information än enbart kontonumret. Situationen blir dock annorlunda om någon skulle komma över både ens namn och kontouppgifter, eftersom det är enklare att begå bedrägeri i de fallen och uppgifterna kan ses som känsliga uppgifter ur ett annat perspektiv. Ur ett lagstiftningsperspektiv torde enskilda konsumenters åsikter om vad som anses vara känsliga uppgifter inte ha någon större betydelse, eftersom det är ett fåtal personer som ska vara överens om vad som ska falla in under definitionen och utgöra gällande rätt för konsumenterna utifrån vad som anses vara bäst för samhället. På grund av de olika definitionerna, eller saknandet av en gemensam definition, bör det på gemenskapsrättslig nivå föras en diskussion om vad för typ av uppgifter som ska utgöra känsliga uppgifter, för att inte motstridiga tolkningar om begreppet ska uppkomma på betaltjänstmarknaden.

I och med den otydliga definitionen av känsliga uppgifter i PSD2 går det att diskutera vilka typer av uppgifter som ska anses vara uppgifter av känslig natur och därmed kan leda till bedrägeri. Möjligheten att använda och behandla personuppgifter om de personer som sedan tidigare har begått bedrägeri får anses vara nödvändiga att behandla för företagen, eftersom risken finns att de begår bedrägeri igen. För att på ett säkert sätt skydda sig mot de personer som sedan tidigare begått bedrägeri är det av vikt att deras personuppgifter, som ska finnas i registerna, är lättåtkomliga för aktörerna på betaltjänstmarknaden. En risk angående den otydliga definitionen avseende känsliga uppgifter är att bankerna kan vara expansiva gällande tolkningen av vad som är känslig data, för att i slutändan gynna deras verksamhet och den typ av uppgifter de innehar. För ett bättre samspel mellan PSD2 och GDPR krävs ett klargörande av definitionen och vilken typ av uppgifter som ska anses vara känsliga enligt de båda regelverken. Som det ser ut idag är det fortfarande otydligt hur det kommer fungera i praktiken vid utlämnandet och skyddet av känsliga uppgifter, eftersom regelverken inte har ett tydligt spår av vad som menas eller vad för typer av uppgifter som har möjlighet att leda till bedrägeri. Den information som kan leda till bedrägeri kan vara mer omfattande än den

information som återfinns i registerna, vilket tyder på att en gemensam definition av vad som menas med känsliga uppgifter är nödvändig.

Reglerna om registerföring över person- och kontouppgifter skiljer sig åt i de båda regelverken. I GDPR är situationen enkel eftersom samtliga personuppgifter som behandlas ska finnas i ett register. Reglerna angående registerföring i PSD2 är dock något mer komplicerad än så. Där ska betaltjänstleverantörerna ha tillåtelse att samla in, behandla och utbyta personuppgifter angående de personer som är involverade, eller misstänks vara involverade, i betalningsbedrägerier.211 Själva registerföringen får anses vara nödvändig för att upptäcka de personer som begårbetalningsbedrägerier och öka säkerheten för kunderna på marknaden. Här kommer vi återigen tillbaka till diskussionen och den otydlighet som råder över vad för typ av uppgifter som kan leda till, eller utgöra en del av, bedrägerier. Ett och samma register för företagen, och bankerna, där alla uppgifter som behandlas och kan utgöra någon form av bedrägeri får anses vara nödvändigt för att leva upp till reglerna i både PSD2 och GDPR. För att säkerställa att den enskildes integritet skyddas bör registerna utformas utifrån PbD för att nå upp till en hög säkerhetsnivå av behandling och lagring av person- och kontouppgifter. Genom användandet av PbD är det möjligt för organisationer och företag att identifiera eventuella problem vid ett tidigare skede och ge en ökad förståelse av personlig integritet och dataskydd.