Open banking och GDPR | JP Infonet

Open banking och GDPR

Den 14 september ritades spelplanen för banker och andra leverantörer av finansiella tjänster om i och med genomförandet av EU:s andra betaltjänstdirektiv (PSD2) som tvingar bankerna att tillgängliggöra delar av den information de har om sina kunder. Vad kommer PSD2 innebära för storbankernas framtid? Ta del av vår analys.

dataskydd_Open_banking_och_GDPR_16x9.jpg

Bakgrund och lagstiftning


PSD2

EU:s andra betaltjänstdirektiv oftast kallat PSD2, har i svensk rätt implementerats genom ändringar i betaltjänstlagen som trädde ikraft den 1 maj 2018. Den 14 september 2019 började också nya krav för autentisering att gälla. Den stora förändringen som följer av PSD2 är att betaltjänstlagens tillämpningsområde utökas till att även omfatta så kallade ”tredjepartsaktörer”, det vill säga utvecklare av nya typer av tjänster och appar som används antingen för betalning eller för att ta del av kontoinformation (exempelvis privatekonomiappen Tink). Alla tredjepartsaktörer måste ha tillstånd från Finansinspektionen eller motsvarande myndighet inom EU eller EES.

För de traditionella bankerna innebär PSD2 en skyldighet att tillhandahålla API:er till tredjepartsaktörerna som fått tillstånd av Finansinspektionen eller motsvarande myndighet. Ett API (Application Programming Interface) är, enkelt förklarat, ett gränssnitt för dataöverföring mellan elektroniska tjänster. Genom att banken tillhandahåller sina API:er för överföring av kontoinformation eller betalningsinitiering till en tredjepartsutvecklare kan bankens data användas på bankkundens begäran (det är inte tillåtet att hämta in data via API:erna utan bankkundens godkännande) i tjänsten som tillhandahålls av tredjepartsutvecklaren. Det är de här API:erna som brukar kallas för ”open banking”-plattformar. 

Utmaningar och problem


Den första uppenbara krocken mellan dataskyddsförordningen (GDPR) och PSD2 är att PSD2 har till syfte att tillgängliggöra kundens bankdata enklare till tredje part, medan förordningens syfte är att skydda de registrerades personuppgifter hos den personuppgiftsansvariga. Båda lagstiftningarna ger dock den enskilde utökad kontroll över sin egna data. Nästa problem uppstår när man pratar om godkännande eller samtycke från bankkunden. Ett samtycke till överföring enligt PSD2 har inte exakt samma betydelse eller krav som ett samtycke till personuppgiftsbehandling enligt dataskyddsförordningen, vilket kan leda till vissa svårigheter. Eftersom det troligen är via tredjepartstjänsten som bankkunden begär att banken ska dela data via API:erna faller det sig naturligt att tredjepartstjänsten tillser att kunden godkänner överföringen. Banken har dock rätt att ställa krav på vilka kundautentiseringsförfaranden som ska tillämpas av tredjepartsaktören innan överföringen får ske, och kan på så vis utöva viss kontroll gällande vilka tjänster som får tillgång till bankens API:er. Rörande en tredjepartstjänst som agerar betalningsförmedlare gäller i regel att det måste finnas tvåfaktorsautentisering för att betalningen ska gå igenom. 

Analys


Även om relationen mellan GDPR och PSD2 har sina utmaningar är dessa långt ifrån oförenliga regelverk. PSD2 innebär inte att kundernas bankdata kan flöda fritt till oseriösa tredjepartsaktörer bortom bankernas kontroll, och förordningen innebär inte att all data ska låsas in hos banken och aldrig får delas vidare. Bankens uppgift blir att kontrollera att tredjepartsaktören har tillstånd från Finansinspektionen samt uppfyller bankens uppställda autentiseringskrav innan man ger tillgång till sina API:er, och tredjepartsaktörens uppgift blir att inhämta såväl godkännande till överföring av data som att identifiera en laglig grund för personuppgiftsbehandlingen.

En fråga jag inte kan låta bli att ställa mig i ljuset av PSD2 är hur de mer traditionella bankernas roll kommer att vara i framtiden. När de inte längre har ”monopol” på sina kunders bankdata har marknaden exploderat av smarta fintech-tjänster och fler lär det garanterat bli. En tanke är att storbankerna kanske kommer att fungera mer som ett slags el- eller järnvägsnät på vilket andra aktörer bygger och förmedlar sina tjänster. De är givetvis helt nödvändiga för att de andra tjänsterna ska kunna tillhandahållas, men blir mer som en slags infrastruktur för tredjepartstjänsterna snarare än den tjänst som kunden primärt interagerar med. En annan tanke är att vissa banker ser de nya fintechtjänsterna som konkurrens och investerar i att utöka sina egna erbjudanden till att omfatta liknande typer av tjänster, exempelvis sammanställningar för att hålla koll på privatekonomin, för att fortsätta vara en helhetsleverantör för kunden.

Vill du ta del av Hanna Kjellmans analys i sin helhet?


Läs då mer om informationstjänsten JP ITnet.

Senast uppdaterad 12 sep 2019

Mer om IT och dataskydd
Utbildningar
  • Kursen behandlar molntjänster i ett juridiskt perspektiv med särskild inriktning på och för myndigheterna. Vi tar upp myndighetens ansvar och skyldigheter samt ger tips för rätt hantering. .

    Stockholm ½-dagskurs Kursledare: Laura Gashi, Emma Svärd
  • Denna utbildning riktar sig främst till dig som som är DSO eller GDPR-samordnare för kommun eller myndighet. Utbildningen är i workshopformat och går på djupet inom några typiska ”problemområden” som återkommer för kommun/myndighet. .

    Malmö 1-dagskurs Kursledare: Laura Gashi
  • Kursen ger dig en genomgång av gällande regelverk för drönaroperationer och även en inblick i vad som kommer att krävas enligt kommande regelverk. Du får förståelse för varför reglerna finns och hur du kan göra bra säkerhetsbedömningar. (2,75 undervisningstimmar)

    Karlstad ½-dagskurs Kursledare: Joel Sköld

Om JP Infonet


JP Infonet erbjuder tjänster och vägledning för dig som berörs av juridik i din yrkesroll. Vår vision är att tillgängliggöra juridiken, så att du som kund ska få all information, beslutsstöd och kompetens du behöver – på det sätt som du föredrar.

Mer om oss

Prenumerera på vårt fokusbrev dataskydd

Se vår integritetspolicy

Webbtjänster inom området