Samtycke på betaltjänstmarknaden 46

5.5.1  Samtycke  som  gemensam  nämnare  i  de  båda  regelverken  

Det är tydligt att den gemensamma nämnaren i PSD2 och GDPR är samtycke till behandling av personuppgifter, både när det kommer till givande av samtycke och korrekt inhämtning av samtycke. Oavsett om samtycke ska ges i enlighet med PSD2 eller GDPR är det konsumenten som är i fokus. Erhållande av samtycke kan därmed anses vara den gemensamma grunden och det som håller de två regelverken samman. Det är konsumenten som bestämmer om personuppgifterna ska delas med tredje part eller inte. Givande av samtycke är därmed ett uttryck för konsumentens fria vilja. För att TPP ska få tillgång till konsumenternas kontoinformation och andra uppgifter krävs det ett uttryckligt erhållande av konsumentens samtycke.

Trots att den gemensamma grunden i de båda regelverken existerar finns det åtminstone två problem rörande samtycke. Det första problemet grundar sig i att reglerna är något diffusa om vad som anses vara ett giltigt samtycke. Själva erhållandet av samtycke är dock ganska tydligt utformat i både PSD2 och GDPR, men inte hur det ska ske ur en teknisk implementerings- synpunkt. Godkännande av behandling av personuppgifter i elektronisk form är en praktisk nödvändighet i PSD2, men kan vara komplicerat i praktiken med tanke på att det är svårt att avgöra hur ett samtycke inhämtas på ett korrekt sätt. Det andra problemet grundar sig i anledningen till givandet av samtycke. Samtycke enligt GDPR ges för behandlingen av personuppgifter, medan samtycke enligt PSD2 ges för att dela data med andra parter. Frågan blir därmed hur de olika typerna av samtycke förhåller sig till varandra, hur bankerna ger TPP tillgång till informationen som de har inhämtat samtycke till, och om det lämnade samtycket även kan anses gälla för tredje part. I dagsläget får TPP endast förlita sig på att informationen som betaltjänstleverantörerna tillhandahåller är korrekt och har inhämtats på ett godkänt sätt. Det finns inget, i skrivande stund, som tyder på att detta kommer att ändras inom en snar framtid, vilket betyder att TPP även fortsättningsvis kommer att behöva förlita sig på en korrekt insamling av information från bankerna. Det kan därmed bli komplicerat om bankerna i sin tur väljer att ta sig friheter vid tolkning av oklara bestämmelser, exempelvis om vad som är att se som känsliga uppgifter, vilka kan leda till bedrägeri enligt PSD2.

5.5.2  Samtycke  vid  olika  förfaranden  

Kopplingen mellan webbskrapning och samtycke kommer att bli problematiskt under tiden fram tills EBA:s tekniska standarder träder ikraft.212 Troligen kommer det att bli svårt för bankerna att endast ge TPP tillträde till den information som konsumenterna har givit sitt samtycke till, samtidigt som de följer GDPR:s regler om känsliga uppgifter. I och med att webbskrapning är en metod för TPP att anonymt få tillgång till kundernas information blir det nästintill omöjligt för bankerna att reda ut vilken typ av samtycke som har givits av kunderna. Eftersom bankerna har ansvaret för behandlingen av personuppgifter, innebär det att reglerna i GDPR inte efterlevs om det inte finns något avtal mellan banken och TPP, när TPP använder sig av bankernas kunddata. Ovanstående innebär att dagens rutiner om kundskydd i både PSD2 och GDPR troligen inte kommer att efterlevas fram tills det att EBA:s tekniska standarder träder ikraft. För att lösa problematiken krävs det att TPP aktivt erhåller samtycke från konsumenterna på egen hand för den information de tillhandahåller, samtidigt som                                                                                                                

bankerna fortfarande bär ansvaret för att samtycke finns för den information som tillhandahålls. Förfarandet kommer troligtvis att inkludera ett bekräftande av TPP:s identitet och den information som kunderna önskar dela, samt hur länge samtycket ska vara giltigt. Systemet om att både erhålla och bekräfta givandet av samtycke leder, i min mening, till ett starkare skydd för de inblandade parterna, istället för att endast förlita sig på att samtycke erhållits från den ena parten.

Rätten till dataportabilitet är sammankopplat med samtyckesregleringen och ger konsumenten rätt att fritt överföra personuppgifter från exempelvis en bank till en TPP.213 Denna nya möjlighet av överföring av kunddata kommer troligen att främja innovationen på marknaden ytterligare i och med att kunderna på ett enklare sätt har möjlighet att välja vilken leverantör som ska inneha uppgifterna. Ett sätt att implementera rätten till dataportabilitet genom PSD2 är att bankerna öppnas upp och transaktioner till tredje part kan ske genom öppna API:er. Det behöver dock inte ske genom öppna API:er, utan det räcker med att det sker genom en metod som förmedlar konsumentens data i ett universellt maskinläsbart format. Idén med dataportabilitet i GDPR är baserad på kontrollen över den information som överförs till en tredje part, medan PSD2 är mer inriktad på integrationen med tredje parter.

Rätten till att flytta kunddata är dock inte enbart positiv, utan det finns nackdelar med att uppgifter fritt kan flyttas mellan olika aktörer. Det handlar bl.a. om att säkerheten för den personliga integriteten kan komprimeras om uppgifterna förflyttas i för stor utsträckning mellan olika aktörer på marknaden, vilket leder till att fler aktörer vid något tillfälle har haft tillgång till uppgifterna. Det faktum att uppgifterna kan ha behandlats av flera olika aktörer kan innebära att uppgifterna finns tillgängliga på fler ställen än vad de egentligen borde på grund av att rutinerna för behandling av personuppgifter inte uppfyller den standard som krävs enligt regelverken.

Det är inte enbart vid själva användandet av betaltjänster som det är nödvändigt för TPP att erhålla kundens samtycke, utan det krävs även första gången en användare väljer att ladda ner en betaltjänstapplikation till sin smartphone eller surfplatta.214 För att inhämtande av samtycke i dessa fall ska ske korrekt krävs det av applikationens utvecklare tydliggör både i beskrivningen av applikationen och av betaltjänsten vilken typ av data som krävs för                                                                                                                

213 _{Se avsnitt 4.4.4.} 214 _{Se avsnitt 4.4.3.}

användning av tjänsten och vad användaren samtycker till. Även senare lämnat samtycke, av andra uppgifter, måste göras på ett tydligt sätt och möjligheten till nekande av samtycke får inte göras krångligt eller invecklat för att det inte ska anses vara ogiltigt enligt reglerna i GDPR. Ett samtycke som inhämtas och lämnas på ett enkelt sätt i applikationerna torde leda till ett växande förtroende av användandet av mobila betaltjänster.

5.5.3  Inhämtande  av  samtycke    

I praktiken är det dock fortfarande otydligt vilken part som ska inhämta kundens samtycke. Enligt reglerna i GDPR är det den personuppgiftsansvarige som är ansvarig för att agera åt den registrerades vägnar.215 PSD2 adderar i sin tur krav om att TPP endast får ha tillgång till information för specifika ändamål som uttryckligen har begärts av kunden i samband med någon av TPP:s tjänster, men inte av någon annan anledning.216 De båda reglerna kommer troligen leda till ett delat inhämtande av samtycke från konsumenten, där TPP initierar processen för att erhålla konsumentens samtycke för dess egna aktiviteter, medan bankerna fortsättningsvis blir ansvariga för att antingen bekräfta eller erhålla ett eget samtycke från konsumenten. Jag anser att dataportabiliteten i GDPR leder till att de båda regelverken landar på samma nivå, i och med att det enligt de båda regelverken krävs att aktörerna lämnar ifrån sig kunddata till tredje part och det faktum att det krävs ett specifikt ändamål för vilken personuppgifterna inhämtas och lagras.

Med tanke på den mängd tjänster som kräver individens samtycke över internet krävs det en metod där innebörden av givande av samtycke inte försvinner allt eftersom tiden går. Ett givande av samtycke på internet innebär mycket mer än att klicka i en ruta och acceptera att uppgifterna behandlas. Idag sker givande av samtycke ofta per automatik, utan att användaren reflekterar över vad denne samtycker till. För att öka tillförlitligheten över behandlingen av personuppgifter skulle detta behöva ändras, det är dock svårt att komma fram till en enkel och smidig lösning av inhämtande av samtycke över internet där samtliga krav tillmötesgås utan att det avskräcker användaren. Ett allt för komplicerat förfarande om hur samtycke ska inhämtas över internet kommer troligen att leda till att e-handeln minskar, eftersom det i så fall inte längre kommer vara enkelt och smidigt att genomföra köp över internet. Hur samtycke ska inhämtas på ett enkelt sätt i framtiden för att tillmötesgå de strängare kraven återstår fortfarande att se.

215 _{Se avsnitt 4.4.3.} 216 _{Se avsnitt 4.3.2.}  

5.6   Problematiken   mellan   känsliga   uppgifter   och   samtycke   i   förhållande   till