Open banking och GDPR

Den 14 september ritades spelplanen för banker och andra leverantörer av finansiella tjänster om i och med genomförandet av EU:s andra betaltjänstdirektiv (PSD2) som tvingar bankerna att tillgängliggöra delar av den information de har om sina kunder. Vad kommer PSD2 innebära för storbankernas framtid? Ta del av vår analys.

dataskydd_Open_banking_och_GDPR_16x9.jpg

Bakgrund och lagstiftning


PSD2

EU:s andra betaltjänstdirektiv oftast kallat PSD2, har i svensk rätt implementerats genom ändringar i betaltjänstlagen som trädde ikraft den 1 maj 2018. Den 14 september 2019 började också nya krav för autentisering att gälla. Den stora förändringen som följer av PSD2 är att betaltjänstlagens tillämpningsområde utökas till att även omfatta så kallade ”tredjepartsaktörer”, det vill säga utvecklare av nya typer av tjänster och appar som används antingen för betalning eller för att ta del av kontoinformation (exempelvis privatekonomiappen Tink). Alla tredjepartsaktörer måste ha tillstånd från Finansinspektionen eller motsvarande myndighet inom EU eller EES.

För de traditionella bankerna innebär PSD2 en skyldighet att tillhandahålla API:er till tredjepartsaktörerna som fått tillstånd av Finansinspektionen eller motsvarande myndighet. Ett API (Application Programming Interface) är, enkelt förklarat, ett gränssnitt för dataöverföring mellan elektroniska tjänster. Genom att banken tillhandahåller sina API:er för överföring av kontoinformation eller betalningsinitiering till en tredjepartsutvecklare kan bankens data användas på bankkundens begäran (det är inte tillåtet att hämta in data via API:erna utan bankkundens godkännande) i tjänsten som tillhandahålls av tredjepartsutvecklaren. Det är de här API:erna som brukar kallas för ”open banking”-plattformar. 

Utmaningar och problem


Den första uppenbara krocken mellan dataskyddsförordningen (GDPR) och PSD2 är att PSD2 har till syfte att tillgängliggöra kundens bankdata enklare till tredje part, medan förordningens syfte är att skydda de registrerades personuppgifter hos den personuppgiftsansvariga. Båda lagstiftningarna ger dock den enskilde utökad kontroll över sin egna data. Nästa problem uppstår när man pratar om godkännande eller samtycke från bankkunden. Ett samtycke till överföring enligt PSD2 har inte exakt samma betydelse eller krav som ett samtycke till personuppgiftsbehandling enligt dataskyddsförordningen, vilket kan leda till vissa svårigheter. Eftersom det troligen är via tredjepartstjänsten som bankkunden begär att banken ska dela data via API:erna faller det sig naturligt att tredjepartstjänsten tillser att kunden godkänner överföringen. Banken har dock rätt att ställa krav på vilka kundautentiseringsförfaranden som ska tillämpas av tredjepartsaktören innan överföringen får ske, och kan på så vis utöva viss kontroll gällande vilka tjänster som får tillgång till bankens API:er. Rörande en tredjepartstjänst som agerar betalningsförmedlare gäller i regel att det måste finnas tvåfaktorsautentisering för att betalningen ska gå igenom. 

Analys


Även om relationen mellan GDPR och PSD2 har sina utmaningar är dessa långt ifrån oförenliga regelverk. PSD2 innebär inte att kundernas bankdata kan flöda fritt till oseriösa tredjepartsaktörer bortom bankernas kontroll, och förordningen innebär inte att all data ska låsas in hos banken och aldrig får delas vidare. Bankens uppgift blir att kontrollera att tredjepartsaktören har tillstånd från Finansinspektionen samt uppfyller bankens uppställda autentiseringskrav innan man ger tillgång till sina API:er, och tredjepartsaktörens uppgift blir att inhämta såväl godkännande till överföring av data som att identifiera en laglig grund för personuppgiftsbehandlingen.

En fråga jag inte kan låta bli att ställa mig i ljuset av PSD2 är hur de mer traditionella bankernas roll kommer att vara i framtiden. När de inte längre har ”monopol” på sina kunders bankdata har marknaden exploderat av smarta fintech-tjänster och fler lär det garanterat bli. En tanke är att storbankerna kanske kommer att fungera mer som ett slags el- eller järnvägsnät på vilket andra aktörer bygger och förmedlar sina tjänster. De är givetvis helt nödvändiga för att de andra tjänsterna ska kunna tillhandahållas, men blir mer som en slags infrastruktur för tredjepartstjänsterna snarare än den tjänst som kunden primärt interagerar med. En annan tanke är att vissa banker ser de nya fintechtjänsterna som konkurrens och investerar i att utöka sina egna erbjudanden till att omfatta liknande typer av tjänster, exempelvis sammanställningar för att hålla koll på privatekonomin, för att fortsätta vara en helhetsleverantör för kunden.

Vill du ta del av Hanna Kjellmans analys i sin helhet?


Läs då mer om informationstjänsten JP ITnet.

Publicerad 12 sep 2019

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

Integritetsskyddsmyndigheten (IMY) publicerar nu en rapport som belyser de klagomål som myndigheten tog emot under förra året. Den vanligaste typen av klagomål rör enskildas rättigheter.

14 jun 2022

Blir arbetsgivare ansvarig om arbetstagare använder Touch ID eller ansiktsigenkänning på tjänstetelefonen? Vår jurist Simon Jernelöv svarar på frågan. 

13 jun 2022

Europeiska dataskyddsstyrelsen har antagit två nya riktlinjer. Läs mer om dem här!

9 jun 2022