Klummer

Den nye betalingslov og brugen af betalingsdata – opgør med dansk særregel?

KLUMME: En helt ny betalingslov er netop vedtaget efter et usædvanligt rodet forløb. Stridspunktet var især reguleringens hidtidige totalforbud mod brug af betalingsdata. Michael Camphausen, partner, finansadvokat i Camphausen|Co og seniorrådgiver, ph.d. i finansiel regulering ved CBS, gennemgår forløbet og den nye regulering.
Michael Camphausen, Partner, Advokat, PhD i Camphausen|Co
Michael Camphausen, Partner, Advokat, PhD i Camphausen|Co
Af Michael Camphausen, Partner, Advokat, PhD i Camphausen|Co

Det var ikke et nemt forløb. Det var ikke et kønt forløb. Tværtimod var der tale om en ganske vanskelig og uskøn lovproces. Det handler om implementeringen herhjemme af det banebrydende EU-direktiv på betalingsområdet, PSD2, i den helt nye betalingslov. Og det handler om de danske særregler på området, især det danske særforbud mod brugen af betalingsdata til kommercielle formål.

Selv i Folketingets Erhvervsudvalgs betænkning over lovforslaget afgivet lige inden lovens vedtagelse anføres helt usædvanligt og selverkendende, at "der ikke er tvivl om, at det har været en særdeles rodet lovgivningsproces, men håbet er, at den endelige lovgivning er af tilfredsstillende kvalitet."

Ligeledes helt usædvanligt måtte lovgiver undervejs i selve lovprocessen sætte processen i Folketinget på hold for at gennemføre en ny offentlig høring (der var allerede gennemført en offentlig høring af lovudkastet inden fremsættelsen af lovforslaget i Folketinget) og for at få kontrol over de mange ændringsforslag til og versioner af lovforslaget, som konstant var i spil som et uoverskueligt moving target ikke kun for lovgiver men for alle lovforslagets interessenter, for derefter at genoptage lovprocessen i Folketinget og komme helt i mål med den nye betalingslov og tilpasningen af de forældede danske særregler på området.

Et samlet og langstrakt implementeringsforløb, som desuden bød på åbent samråd med Erhvervsministeren, på stormøde i Finanstilsynet, på udtalelser fra Implementeringsrådet, på som nævnt to offentlige høringsrunder, på et uhørt antal høringssvar fra de mange interessenter (især fra forbrugersiden, de finansielle organisationer, fintech og detailhandlen), på utallige bilag til lovforslaget, på en uendelig række udvalgsspørgsmål til og svar fra Erhvervsministeren, på flere foretræder for og deputationer i Folketingets Erhvervsudvalg, på en række arbejdsmøder og forhandlinger på Christiansborg, i Departementet og blandt interessenterne, på en håndfuld betænkningsudkast samt på adskillige artikler i medierne, især her på FinansWatch.

Læs denne FinansWatch artikel fra tidligt i forløbet, hvor jeg advarer mod ministerens oprindelige lovudspil.

Læs denne FinansWatch artikel fra senere i forløbet, hvor jeg støtter op om ministerens nye holdning og mere imødekommende tilgang.

Og læs denne FinansWatch artikel fra forleden, hvor jeg kommenterer på den vedtagne lov og den endelige lovbestemmelse om brugen af betalingsdata.

Hvis man ønsker uddybende baggrundsviden om det bagvedliggende PSD2 direktiv, kan man læse min tidligere FinansWatch klumme om den regulatoriske revolution i medfør af direktivet, der tvinger bankerne til at give fintech-virksomheder og andre tredjeparter adgang til de eftertragtede betalingskonti og betalingsdata.

Et regulatorisk kompromis

Men når alt dette er sagt og skrevet, bør det i endnu højere grad fremhæves, at det trods den megen turbulens undervejs faktisk lykkedes at lande et ganske fornuftigt resultat, både den nye betalingslov i sin helhed og den tilpassede danske særregel om brug af betalingsdata til kommercielle formål.

Vi har nu fået en mere moderne og tidssvarende betalingslovgivning, som både lever op til ordlyden og ånden i PSD2, og som både understøtter en passende forbrugerbeskyttelse og samtidig fremmer den finansielle innovation og udviklingen af nye digitale tjenester på betalingsområdet. Det var tiltrængt.

Den nye betalingslov bidrager herudover til at sikre optimale rammevilkår og lige konkurrencevilkår for dansk fintech til gavn for iværksætteri, beskæftigelse og vækst herhjemme. Det var ligeledes tiltrængt.

Så den snørklede proces har altså ikke været forgæves. Måske det ligefrem var det, der erkendelsesmæssigt skulle til for at nå frem til det endelige regulatoriske kompromis, som den nu vedtagne lov er udtryk for, og som alle interessenter (både forbrugerne, bankerne, fintech og detailhandlen) bør kunne leve med. Det vil sige et kompromis i form af den fornødne, rette balance, som forsøger at tilgodese de mange forskellige hensyn og til dels modsatrettede interesser.

Og selv om der fortsat er tale om dansk overimplementering, hvad angår den danske særregel om brug af betalingsdata, må man alt andet lige anerkende og respektere, at det er en delikat modenhedsrejse mod en fuld ophævelse af særreglen, og at den tilpasning af særforbuddet, som den regulatoriske kompromisløsning i den nye betalingslov indeholder, udgør det første nødvendige og passende skridt på denne rejse.

Så på den ene side er der ikke tale om en decideret videreførelse af det nugældende danske totalforbud mod brug af betalingsdata til kommercielle formål, og på den anden side er der ej heller tale om et fuldstændigt opgør med den danske særregel på området.

Og på trods af en skærpelse af forbuddet i visse henseender, er der samlet set og i al væsentlighed tale om en egentlig lempelse af forbuddet, således at der nu (omsider) åbnes op for, at banker, fintech-virksomheder, detailhandlen m.fl. kan udvikle nye innovative løsninger og digitale tjenester baseret på forbrugernes betalingsdata til gavn for netop forbrugerne og under hensyntagen til en tilstrækkelig stærk forbrugerbeskyttelse.

De nye muligheder

Så meget om den lovmæssige proces og udfordringerne hermed. Hvad er så det nærmere regulatoriske indhold af den nye og moderniseret danske særregel om brug af betalingsdata? Hvori består skærpelsen, og hvori består lempelsen?

Skærpelsen består i, at bestemmelsen i den nye betalingslov om brug af betalingsdata udvides til at omfatte alle erhvervsvirksomheder, herunder almindelige forretningsdrivende og fintech-virksomheder i form af eksempelvis de nye kontooplysningstjenester, og altså ikke blot som hidtil udbydere af betalingstjenester, dvs. typisk bankerne. Alle erhvervsdrivende omfattes således af bestemmelsen.

Skærpelsen består herudover i, at bestemmelsen samtidig udvides til at omfatte betalingsdata hidrørende fra alle betalingstjenester, herunder eksempelvis betalingsservice og de nye betalingsinitieringstjenester, og altså ikke blot som hidtil betalingsdata hidrørende fra egentlige betalingsinstrumenter, dvs. typisk bankernes betalingskort (Dankortet mv.). Betalingsdata fra alle betalingstjenester omfattes således af bestemmelsen.

Ved betalingsdata (betalingsoplysninger) i lovens forstand forstås personhenførbare oplysninger om, hvor brugeren, dvs. både betaleren og nu også betalingsmodtageren, har anvendt en betalingstjeneste, og hvad brugeren har erhvervet med betalingstjenesten, dvs. hvad har forbrugeren købt og hvor har forbrugeren købt det.

Lempelsen består omvendt i, at bestemmelsens hidtidige totalforbud i forbrugerforhold erstattes af et begrænset forbud og dermed af en vis mulighed for, at de erhvervsdrivende kan gøre brug af disse betalingsdata til kommercielle formål.

Der er nærmere bestemt tale om, at en erhvervsdrivende må behandle de pågældende betalingsoplysninger i forbindelse med: (1) gennemførelse eller korrektion af en betalingstransak­tion, (2) udbuddet af en tjeneste, der er direkte henvendt til brugeren, herunder eksempelvis målrettet markedsføring til forbrugeren, individuel rådgivning af forbrugeren og opstilling af forbrugsoverblik og andre kontooplysningstjenester, (3) anonymisering af betalingsoplysninger.

Med andre ord består den altafgørende lempelse således i, at betalingsdata fremover må bruges til specifikke tjenester og løsninger, herunder især individuelle, målrettede markedsføringstiltag og alle former for kontooplysningstjenester, som forbrugeren selv har ønsket og aktivt har anmodet om, og som dermed er direkte henvendt til forbrugeren. I disse tilfælde skal den erhvervsdrivende i øvrigt altid på forhånd indhente udtrykkeligt samtykke fra forbrugeren til brugen af betalingsdata.

Og hvis en erhvervsdrivende indsamler betalingsdata med henblik på at anonymisere disse, kan den erhvervsdrivende bruge disse anonymiserede betalingsdata til tjenester og løsninger, som ikke nødvendigvis er direkte henvendt til eller rettet mod forbrugeren selv, herunder eksempelvis generel markedsføring.

De nye begrænsninger

Men denne nye mulighed for bankerne, fintech-virksomhederne og øvrige erhvervsdrivende til at bruge betalingsdata til kommercielle formål i forbrugerforhold har imidlertid en væsentlig begrænsning indbygget i sig, og heri består i grunden det ovennævnte regulatoriske kompromis.

For de pågældende betalingsdata må nemlig ikke bruges af den erhvervsdrivende til at fastsætte individuelle priser eller vilkår for den samme vare eller den samme tjeneste til forskellige forbrugere, dvs. et udtrykkeligt forbud i bestemmelsen mod prisdiskrimination og lignende over for den enkelte forbruger baseret på dennes betalingsdata. Omvendt må betalingsdata fortsat bruges til generelle, forud fastlagte rabatordninger og loyalitetsprogrammer mv.

Forbuddet mod prisdiskrimination og lignende betyder eksempelvis, at en bank eller en anden kreditgiver ikke må gøre brug af kundens personhenførbare betalingsdata til at fastsætte vilkårene for eller renten på et lån til kunden, og et forsikringsselskab må tilsvarende ikke gøre brug af sådanne betalingsdata til at fastsætte præmien på en forsikring. I det hele taget må betalingsdata ifølge bestemmelsen ikke bruges i forbindelse med netop forsikringsforhold.

Dog har bankerne og andre kreditgivere i medfør af bestemmelsen fået mulighed for at bruge aggregerede betalingsdata i forbindelse med individuelle kreditvurderinger og følgelig en individuel fastsættelse af renten på lånet til kunden. Ved aggregerede betalingsdata forstås i denne sammenhæng summerede betalingsdata i overordnede forbrugs- og budgetkategorier eller lignende, hvor de enkelte varer og tjenester ikke kan identificeres. Forbrugerens kreditværdighed afhænger på denne vis kun af forbrugerens generelle økonomiske situation og altså ikke af, hvad forbrugeren konkret har købt og hvor forbrugeren konkret har købt det.

En yderligere begrænsning består i, at den erhvervsdrivende ifølge bestemmelsen ikke må videregive forbrugerens betalingsdata til tredjemand, medmindre dette sker i forbindelse med gennemførelse eller korrektion af en betalingstransak­tion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke sker i strid med ovenstående.

Dette betyder, at sådanne betalingsdata ikke kan videregives til eksempelvis en udenlandsk erhvervsdrivende, som herefter gør brug af disse betalingsdata til at fastsætte individuelle priser eller vilkår i strid med forbuddet mod prisdiskrimination og lignende.

Bestemmelsen ændrer i øvrigt ikke på, at en udbyder af betalingstjenester (banken) altid må bruge brugerens betalingsdata i forbindelse med forebyggelse, efterforskning, retshåndhævelse og opdagelse af misbrug eller af svig. I sådanne tilfælde er der alligevel ikke tale om kommerciel udnyttelse af betalingsdata.

Et enkelt forbehold

Som en konsekvens af, at der nu åbnes op for brugen af betalingsdata til specifikke tjenester og løsninger, herunder markedsføringstiltag, rabatordninger, loyalitetsprogrammer og lignende som nævnt ovenfor, er det fundet nødvendigt at sikre, at forbrugeren kan opnå adgang til bankernes betalingstjenester, uden at være tvunget til samtidig at give bankerne adgang til forbrugerens betalingsdata.

Altså at sikre, at forbrugeren fortsat kan få adgang til eksempelvis et rent betalingskort (Dankortet mv.) uden tilknyttede tjenester baseret på forbrugerens betalingsdata. Med andre ord skal forbrugeren ikke afskæres adgangen til rene betalingstjenester og til at foretage elektroniske betalinger uden indbyggede tjenester, hvor der sker en brug af forbrugerens betalingsdata.

Derfor indfører den nye betalingslov som noget nyt et særligt koblingsforbud, hvorefter en udbyder af betalingstjenester, dvs. typisk banken, ikke må betinge priser eller vilkår for brugen af betalingstjenester (på nær kontooplysningstjenester) eller betalingskonti af, at brugeren giver samtykke til behandling af de pågældende betalingsoplysninger, som ikke sker i forbindelse med selve leveringen af betalingstjenesten eller betalingskontoen.

Og tilsvarende må banken ikke betinge priser eller vilkår for brugen af betalingstjenesten af, at brugeren giver samtykke til, at der kan tilknyttes et loyalitetskortfunktion til betalingstjenesten.

Hvis betalingstjenesten udbydes som integreret led i et sammensat betalingskoncept, fintech-koncept eller lignende, hvor forbrugeren stadig kan få adgang til den selvsamme betalingstjeneste hos udbyderen uden om det sammensatte betalingskoncept, fintech-koncept eller lignende, rammes det pågældende koncept dog ikke af dette nye koblingsforbud.

På denne vis sikres det samtidig, at sådanne sammensatte koncepter kan udbydes af bankerne og fintech-virksomhederne i fællesskab uden at forbrugeren kan håndplukke den i konceptet integrerede betalingstjeneste og dermed udvande hele fintech-konceptet som sådan.

Mange fintech-koncepter er netop bygget op omkring en underliggende betalingstjeneste, som udbydes af banken som integreret led i konceptet, og hvor fintech-virksomheden ovenpå betalingstjenesten udbyder de øvrige tjenester, i øvrigt ofte baseret på betalingsdata som eksempelvis kontooplysningstjenester, der indgår i det samlede koncept. Og koblingsforbuddet har således ikke til hensigt at ramme disse sammensatte koncepter.

Kompromisets svære kunst

Den nye betalingslov, herunder den nye bestemmelse om brug af betalingsdata, træder i kraft ved årsskiftet. Og som ovenfor nævnt må resultatet trods alt siges at være ganske fornuftigt og tilfredsstillende for alle interessenter.

Men det endelige regulatoriske kompromis som skitseret ovenfor indebærer en lang række nye lovtekniske udgangspunkter, modifikationer, afgrænsninger og snitfladediskussioner, som alt andet lige bevirker, at den nye lovbestemmelse om brug af betalingsdata må betegnes som svært sammensat og kompliceret at anvende.

Så vi kender i grunden først selve slutresultatet af loven og dens nye bestemmelse om brug af betalingsdata, når vi har hørt og set, hvorledes den komplekse lovbestemmelse bliver udmøntet i praksis og håndteret af både virksomhederne (bankerne, fintech-virksomhederne, detailhandlen mv.), forbrugerne og naturligvis især myndighederne (Finanstilsynet og Forbrugerombudsmanden).

Indtil videre lover det dog godt for alle.

Af Michael Camphausen, Partner, Advokat, PhD i Camphausen|Co

Twitter: www.twitter.com/m_camphausen

E-mail: mca@camphausen.dk

Del artikel

Relaterede artikler

Tilmeld dig vores nyhedsbrev

Vær på forkant med udviklingen. Få den nyeste viden fra branchen med vores nyhedsbrev.

Nyhedsbrevsvilkår

Forsiden lige nu

Peter Jensen er chefkonsulent i Finanssektorens Uddannelsescenter. | Foto: Pr / Fu

Klumme: Kompleks ledelse kræver kompetencer

Læs også

Job