Ændringsforslag, fra erhvervsministeren

ERHVERVSMINISTEREN
29. maj 2017
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf. 33 92 33 50
Fax. 33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
em@em.dk
www.em.dk
Folketingets Erhvervs-, Vækst- og Eksportudvalg
I lyset af det ændringsforslag, jeg har oversendt til folketinget 22. maj
vedr. L157, og mit svar på spm. 71 til lovforslaget, modtager jeg fortsat
opfølgende henvendelser fra detailhandlen, herunder COOP og De Sam-
virkende Købmænd. De fremhæver, at forslaget vil indebære store admi-
nistrative omkostninger herunder for COOP, der vil være nødt til at om-
lægge hele administrationen af deres medlemsprogram, selv med den
justerede ordlyd i ændringsforslaget.
På den baggrund har der været et ønske om at finde en model, der i højere
grad tager højde for detailhandelens udfordringer. Derfor har jeg udarbej-
det yderligere et ændringsforslag til loven, der tager højde for dette.
Vedlagt er det omtalte ÆF, der vedrører §§ 07, 124 og 01. Ændringsfor-
slaget gør det lettere at udbyde kombinerede betalings- og loyalitetskort,
og samtidig præciseres det, at det altid skal være muligt at få et betalings-
kort uden et loyalitetskort tilknyttet. Samtidig justeres samtykkekravene i
forbindelse med anonymisering af data i de tilfælde, hvor der er tale om
en uigenkaldelig afidentificering.
Med venlig hilsen
Brian Mikkelsen
Erhvervs-, Vækst- og Eksportudvalget 2016-17
L 157 Bilag 31
Offentligt


Æ n d r i n g s f o r s l a g
til
Forslag til lov om betalinger.
(L 157)
Af erhvervsministeren tiltrådt af [XXX]:
Til § 7
1. Nr. 41 affattes således:
»41) Betalingsoplysninger: Personhenførbare oplysninger om, hvor en bruger har anvendt en beta-
lingstjeneste, og hvad der er blevet købt med betalingstjenesten.«
[Korrektion]
Til § 124
Stk. 4 affattes således:
» Stk. 4. Udbydere af betalingstjenester og udstedere af elektroniske penge må ikke betinge priser
eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, eller betalingskonti af, at
brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse
med leveringen af betalingskontoen eller betalingstjenesten, eller af at brugeren giver samtykke til,
at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.«
[Korrektion]
Til § 01
Stk. 2 affattes således:
»Stk. 2. En erhvervsdrivende skal på forhånd indhente udtrykkeligt samtykke fra en bruger, hvis den
erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er
direkte henvendt til brugeren, jf. stk. 3, nr. 2.«
[Korrektion]
Erhvervs-, Vækst- og Eksportudvalget 2016-17
L 157 Bilag 31
Offentligt
2
Bemærkninger
Til § 7
Til nr. 1
Det foreslås i nr. 41 at definere betalingsoplysninger som personhenførbare oplysninger om, hvor
en betaler har anvendt en betalingstjeneste, og hvad der er blevet købt med betalingstjenesten.
Definitionen findes ikke i direktivet, men det er fundet hensigtsmæssigt at indføre definitionen for
tydeligt at beskrive, hvad der skal forstås ved begrebet ”betalingsoplysninger”. Dette skyldes den
danske særregel i lovforslagets § 01, som fastsætter regler om behandling af betalingsoplysninger.
§ 85, stk. 3 og 4, i den nugældende lov om betalingstjenester og elektroniske penge indeholder reg-
ler om behandling af oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og
hvad de har købt. Disse oplysninger er i vid udstrækning blevet refereret til som betalingsoplysnin-
ger. For at sikre en konsistent anvendelse af begrebet, foreslås derfor en egentlig definition i nærvæ-
rende lovforslag. Definitionen omfatter de samme oplysninger, der er omfattet af § 85, stk. 3 og 4, i
den nugældende lov om betalingstjenester og elektroniske penge.
Definitionen af betalingsoplysninger omfatter oplysninger om selve betalingsmodtageren og om
størrelsen på beløbet. Dette vil typisk være de oplysninger, der fremgår af en netbanks oversigt over
bevægelser på betalingskontoen. Derudover omfatter definitionen også oplysninger om, hvad der
konkret er købt med betalingstjenesten. Dette vil i praksis ofte svare til de oplysninger, der fremgår
af en kvittering.
I de tilfælde hvor de ovennævnte oplysninger kan henføres til en identificerbar person, er de omfat-
tet af definitionen på betalingsoplysninger. Ved udtrykket identificerbar person skal forstås en per-
son, der direkte eller indirekte kan identificeres, eksempelvis ved et identifikationsnummer eller et
eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, økonomiske, kultu-
relle eller sociale identitet. Eksempelvis hvis navn, adresse eller personnummer er erstattet af en
kode eller et løbenummer, der kan føres tilbage til den oprindelige individuelle personoplysning, vil
der stadigvæk være tale om en personhenførbar oplysning. Det gælder også, selv om den, der ligger
inde med oplysningerne, ikke selv har adgang til den liste eller nøgle, der viser sammenhængen
mellem løbenummeret og identifikationsoplysningerne.
Definitionen omfatter kun oplysninger, der er indsamlet via betalingstjenesten eller i forbindelse
med anvendelse af betalingstjenesten. Oplysninger, der er indhentet på anden vis, eksempelvis via
et loyalitetskort, hvor oplysningerne indhentes uafhængigt af betalingstjenesten, er ikke omfattet af
definitionen af betalingsoplysninger. Definitionen berører således ikke generering af almindelige
papirkvitteringer ved køb.
En betalingsfunktion og en anden funktion, såsom indsamling af oplysninger til brug for et loyali-
tetsprogram, kan samles på ét kombineret instrument, eksempelvis et fysisk plastikkort eller en app,
der fungerer som medlemskort til loyalitetsprogrammet og som betalingsinstrument. Hvor indsam-
lingen af oplysningerne til den anden funktion ikke foregår uafhængigt af betalingsfunktionen, vil
alle oplysningerne være omfattet af definitionen. Hvor der derimod sker en indsamling af oplysnin-
ger via en klart adskilt og separat funktion, er der ikke tale om oplysninger omfattet af definitionen.
3
Det afgørende for, om der er tale om klart adskilte og separat indsamlede oplysninger, er, at beta-
lingsoplysningerne og oplysningerne vedrørende den anden funktion bliver behandlet i to forskelli-
ge systemer. Det har således ikke betydning, om det er muligt for brugeren at fravælge at bruge den
anden funktion.
Til § 124
Det foreslås i stk. 4, at udbydere af betalingstjenester og udstedere af elektroniske penge ikke må
betinge priser eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, og betalings-
konti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i for-
bindelse med leveringen af betalingskontoen eller betalingstjenesten, eller af at brugeren giver sam-
tykke til, at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.
Med forslaget til stk. 4, fastsættes det, at udbydere af betalingstjenester og udstedere af elektroniske
penge ikke må betinge priser eller vilkår for indgåelse af aftale om en betalingstjeneste eller en be-
talingskonto af, at der kan ske behandling af betalingsoplysninger, hvis denne behandling ikke er
nødvendig for leveringen af betalingskontoen eller betalingstjenesten, eller af at der tilknyttes et
loyalitetskort til betalingstjenesten.
Med betalingsoplysninger forstås i overensstemmelsen med § 7, nr. 41, personhenførbare oplysnin-
ger om, hvor en bruger har anvendt en betalingstjeneste, og hvad der er blevet købt med betalings-
tjenesten.
Det skal reelt være frivilligt, om brugeren giver samtykke til behandling af betalingsoplysninger
eller andre former for registrering af brugerens køb. Formålet med bestemmelsen er at sikre, at det
ikke bliver et krav for at få eksempelvis et betalingskort, såsom et Dankort, netbank, eller andre
bredt anvendelige betalingstjenester, at brugeren samtykker til en behandling af betalingsoplysnin-
ger, som ikke sker i forbindelse med leveringen af den pågældende tjeneste, eller at brugeren sam-
tykker til, at fx et Dankort tilknyttes en loyalitetskortfunktion. Bestemmelsen tjener således det
formål, at brugere, der ikke ønsker at give erhvervsdrivende adgang til at behandle deres betalings-
oplysninger, ikke bliver afskåret fra at få adgang til at foretage elektroniske betalinger. Bestemmel-
sen sikrer, at betalingskonti og bredt anvendelige betalingstjenester vil kunne fås uden ”indbygget”
behandling af betalingsoplysninger, hvis ikke denne behandling sker i forbindelse med, at kontoen
eller tjenesten stilles til rådighed for brugeren, og uden ”indbygget” loyalitetskortsfunktion. Det er
fundet nødvendigt at beskytte brugeren mod denne situation, da det ellers kan blive et standardvil-
kår for indgåelse af aftale om brug af en betalingstjeneste eller oprettele af en betalingskonto, at der
må ske en sådan behandling af betalingsoplysninger eller kan tilknyttes en loyalitetsfunktion, eller
at der fastsættes priser, som reelt medfører, at der ikke er tale om et frivilligt valg for den enkelt
bruger.
En betalingskonto skal forstå i overensstemmelse med definitionen i lovforslagets § 7, nr. 16, som
en konto oprettet i en eller flere brugeres navn med henblik på at gennemføre betalingstransaktio-
ner.
En betalingstjeneste skal forstås i overensstemmelse med definitionen i lovforslagets § 7, nr. 1, som
en tjenesteydelse omfattet af bilag 1. Det bemærkes, at stk. 4 alene finder anvendelse på udbydere
af betalingstjenester og udstedere af elektroniske penge, som udbyder betalingstjenester omfattet af
bilag 1, nr. 1-7. Udbydere af kontooplysningstjenester er således ikke omfattet af bestemmelsen.
4
Ligeledes er udbydere af tjenester i henhold til § 1, stk. 5, og § 5, nr. 14-17, heller ikke omfattet.
Denne form for udbydere omfatter bl.a. betalingstjenester, der har et særligt afgrænset formål. Det
kunne eksempelvis være et betalingskort, der alene kan anvendes til indkøb af benzin eller kun kan
anvendes i en bestemt forretning. Disse typer af udbydere vil derved kunne betinge priser og vilkår
af, at brugeren giver samtykke til behandling af betalingsoplysninger, såfremt denne behandling i
øvrigt er i overensstemmelse med § 124 a.
Begrebet behandling omfatter enhver operation, som oplysningerne gøres til genstand for. I forbin-
delse med en betaling kunne der eksempelvis ske to behandlinger; én behandling af betalingsoplys-
ninger, der sikrer gennemførelsen af betalingstransaktionen, og én behandling, der gemmer beta-
lingsoplysningerne til senere brug for et medlemsprogram. For så vidt angår betalingstjenesten, vil
den første behandling være nødvendig for udbuddet af tjenesten, mens den anden ikke vil. Det føl-
ger således af forslaget, at vilkår og priser for betalingstjenesten ikke må afhænge af brugerens sam-
tykke til den anden behandling.
Det kan for eksempel lade sige gøre, at en betaler tilknytter et betalingskort til en app, hvor appen
fungerer som et loyalitetskort. Sådanne sammensatte betalingskoncepter kan således godt udbydes,
så længe den underliggende betalingstjeneste, eksempelvis et bredt anvendeligt betalingskort, kan
erhverves og anvendes uafhængigt af det sammensatte koncept, idet appen i sig selv ikke er en beta-
lingstjeneste eller en betalingskonto.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 4, straffes med
bøde.
Overtrædelse af forslagets § 124, stk. 4, vil omfatte den situation, hvor en udbyder af betalingstje-
nester eller en udsteder af elektroniske penge betinger priser eller vilkår for indgåelse af en aftale
om en betalingskonto eller en betalingstjeneste af, at der kan ske behandling af betalingsoplysnin-
ger, til andre formål end gennemførelse eller korrektion af betalingstransaktioner fra betalingskon-
toen eller til andre formål end udbuddet af betalingstjenesten. Ansvarssubjektet for overtrædelse af
bestemmelsen er den virksomhed, som stiller priser eller vilkår i strid med forslagets § 124, stk. 4.
Til § 01
Det foreslås i stk. 2, at en erhvervsdrivende på forhånd skal indhente udtrykkeligt samtykke fra en
bruger, hvis den erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en
tjeneste, der er direkte henvendt til brugeren, jf. stk. 3, nr. 2.
Begrebet behandling svarer til definitionen i persondatalovens § 3, nr. 2, og dækker således "enhver
operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplys-
ninger gøres til genstand for". Behandling omfatter således videregivelse til enhver anden fysisk
eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede,
den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandle-
rens direkte myndighed, der er beføjet til at behandle oplysninger.
For så vidt angår kravet om samtykke, er det en betingelse efter bestemmelsen, at en erhvervsdri-
vende, der behandler betalingsoplysninger, indhenter samtykket inden behandlingen. Dette indebæ-
5
rer, at behandling af betalingsoplysninger kun må ske på baggrund af brugerens udtrykkelige sam-
tykke, uagtet at det er nødvendigt at behandle disse oplysninger i forbindelse med gennemførelsen
af den tjeneste, som brugeren selv har anmodet om, med mindre det er til gennemførelse eller kor-
rektion af en betalingstransaktion.
Samtykkekravet skal forstås i overensstemmelse med definitionen i § 3, nr. 8, i persondataloven. En
erhvervsdrivende, der behandler betalingsoplysninger, vil således ikke kunne opnå stiltiende eller
indirekte tilslutning til behandling af betalingsoplysninger. Et egentligt krav om skriftlighed følger
dog ikke af persondataloven. Det følger imidlertid af det foreslåede stk. 2, at der skal være tale om
et udtrykkeligt samtykke. Det indebærer, at en erhvervsdrivende, der behandler betalingsoplysnin-
ger, skal indhente et samtykke på et oplyst grundlag, således at det klart og tydeligt fremgår for den
enkelte bruger, at der eksempelvis ved indgåelse af aftalen om leveringen af tjenesten samtidig gi-
ves samtykke til, at den erhvervsdrivende må behandle den pågældende brugers betalingsoplysnin-
ger.
Med forslaget til stk. 2 ligger der alene et krav om, at samtykket skal være indhentet forud for be-
handling af betalingsoplysningerne, og ikke at der skal indhentes et udtrykkeligt samtykke hver
gang, der foretages en behandling af oplysningerne. Der kan således gives et generelt udtrykkeligt
samtykke i en rammeaftale.
Der fastsættes således ikke et krav om, at samtykket skal gives særskilt. Det vil dog altid påhvile
den erhvervsdrivende at kunne dokumentere samtykket og dets omfang. Som anført oven for skal
samtykket være oplyst, hvilket vil sige, at det klart og tydeligt skal fremgå, hvem samtykket gives
til, hvem der på baggrund af samtykket kan behandle oplysningerne, og til præcis hvilke formål
oplysningerne kan behandles. Samtykket kan således ikke være et bredt samtykke uden en præcis
angivelse af til hvilke formål, der gives samtykke. Det indebærer også, at oplysningerne ikke kan
behandles til andre formål, end de der fremgår af samtykket.
Samtykkekravet gælder alene i forbindelse med udbuddet af tjenester, der er direkte henvendt til
brugeren, jf. stk. 3, nr. 2. Det indebærer, at der ikke er et samtykkekrav i forbindelse med behand-
ling af betalingsoplysninger i forbindelse med gennemførelse eller korrektion af en betalingstrans-
aktion, jf. stk. 3, nr. 1, eller i forbindelse med anonymisering af betalingsoplysninger, jf. stk. 3, nr.
3. Det er således eksempelvis ikke nødvendigt for en forretning at indhente kundens udtrykkelige
samtykke, før der gennemføres en betaling med et betalingskort eller for at udstede en almindelig
kvittering. Ligeledes er det ikke nødvendigt for en forretning at indhente samtykke til at anonymise-
re betalingsoplysninger, der eksempelvis er indhentede i forbindelse med gennemførelsen af beta-
lingstransaktion. I begge tilfælde finder persondatalovens almindelige behandlingsregler anvendel-
se.
Det bemærkes, at det er en betingelse ved behandling af betalingsoplysninger, at også de grundlæg-
gende principper om behandling af personoplysninger efter persondataloven er opfyldt. Behandlin-
gen af oplysninger vil således blandt andet skulle være i overensstemmelse med god databehand-
lingsskik, ligesom behandlingen også skal være sagligt begrundet og relevant.
Det følger ligeledes af persondataloven, at et samtykke på et hvilket som helst tidspunkt kan tilba-
gekaldes af brugeren. Virkningen heraf vil være, at den behandling af oplysninger, som brugeren
har meddelt sit samtykke til, ikke længere må finde sted. Det bemærkes dog, at et samtykke ikke
6
kan tilbagekaldes med tilbagevirkende kraft. Det betyder, at behandlingen skal ophøre fra det tids-
punkt, tilbagekaldelse af samtykket sker.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 2, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 2, vil omfatte den situation, hvor en erhvervsdrivende undlader
at indhente et udtrykkeligt samtykke fra brugeren, forud for at udbyderen behandler brugerens beta-
lingsoplysninger. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som und-
lader at indhente udtrykkeligt samtykke fra brugeren i strid med forslagets § 01, stk. 2.
Det foreslås i stk. 3, at en erhvervsdrivende kun må behandle betalingsoplysninger til visse formål.
Med forslaget til stk. 3 ændres det nugældende forbud mod behandling af betalingsdata i § 85, stk. 3
i lov om betalingstjenester og elektroniske penge, således at bestemmelsen fastsætter tre principper
for, til hvilke formål betalingsoplysninger må behandles. Det bemærkes dog, at der, jf. stk. 2, altid
kun kan ske behandling af personoplysninger med brugerens udtrykkelige samtykke, med mindre
dette er til gennemførelse eller korrektion af en betalingstransaktion. Derudover skal de almindelige
principper for god databehandlingsskik i persondataloven overholdes, jf. stk. 1.
De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være me-
get følsomme, idet virksomheder kan foretage registreringer af brugerens adfærd og udarbejde per-
sonprofiler af brugeren. Formålet med bestemmelsen er at sikre, at sådanne oplysninger ikke be-
handles til uvedkommende formål eller i integritetskrænkende øjemed. Derfor foreslås det, at fast-
sætte tre principper for, til hvilke formål betalingsoplysninger kan behandles.
Det følger af forslaget til stk. 3, at behandlingen af betalingsoplysninger er begrænset til, hvad der
er nødvendigt for at levere en given tjeneste. Det indebærer, at hvis en bruger eksempelvis har gjort
brug af en budgetfunktion, så må udbyderen af budgetfunktionen ikke selv tilgå dette budget, da
dette ikke er nødvendigt for at levere budgettet til brugeren. Det forudsættes således, at princippet
om privacy by design er indarbejdet i de tjenester, der udbydes.
Principperne behandles særskilt nedenfor.
Det bemærkes, at forslaget til stk. 3, alene omhandler, til hvilke formål betalingsoplysninger kan
behandles. I visse tilfælde kan selve behandlingen være en tilladelsespligtig aktivitet i henhold til
dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslagets § 60, at virksomhe-
der, der udbyder kontooplysningstjenester, skal have en tilladelse fra Finanstilsynet. En kontoop-
lysningstjeneste er i henhold til lovforslagets § 7, nr. 21, en tjenesteydelse, der giver en bruger kon-
solideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere konto-
førende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget. Ligeledes følger det af
lov om finansielle rådgivere og boligkreditformidlere, at en virksomhed, der yder rådgivning om
finansielle produkter, skal have Finanstilsynets tilladelse som finansiel rådgiver, og at en virksom-
hed, der yder rådgivning om eller formidling af boligkreditaftaler, skal have Finanstilsynets tilladel-
se som boligkreditformidler.
Det bemærkes endvidere, at erhvervsministeren, jf. lovforslagets § 1, stk. 7, under visse forudsæt-
ninger har mulighed for helt eller delvist at dispensere fra bestemmelserne i stk. 3. Erhvervsministe-
7
ren har således eksempelvis mulighed for at dispensere fra kravet om, at betalingsoplysninger ikke
må behandles, hvis den ønskede behandling alene omhandler brug af disse oplysninger til private
forsknings- og statistikprojekter. Dispensation forudsætter en konkret stillingtagen til det enkelte
forskningsprojekt. I vurderingen af en ansøgning om dispensation fra kravet i stk. 3, skal der foreta-
ges en afvejning mellem projektets samfundsmæssige relevans og typen af oplysninger, der ønskes
anvendt til projektet. Hvis der gives dispensation, gælder persondatalovens generelle regler om pri-
vate forsknings- og statistikprojekter.
Det foreslås i stk. 3, nr. 1, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med
gennemførelse eller korrektion af en betalingstransaktion.
Udgangspunktet er, at betalingsoplysninger altid kan behandles, når det er nødvendigt til gennemfø-
relse eller korrektion af en betalingstransaktion, da dette er en forudsætning for at kunne gennemfø-
re en betalingstjeneste. Dette følger også af § 85, stk. 3, litra 1, i den nugældende lov om betalings-
tjenester og elektroniske penge. Dette princip videreføres således med dette forslag.
Det bemærkes, at det særlige samtykkekrav i stk. 2 ikke finder anvendelse ved gennemførelse eller
korrektion af en betalingstransaktion.
Det foreslås i stk. 3, nr. 2, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med
udbuddet af en tjeneste, der er direkte henvendt til brugeren.
Betalingsoplysninger kan således med forslaget behandles i forbindelse med tjenester, der er direkte
henvendt til brugeren. Det vil sige, at det er tjenester, som brugeren selv ønsker, og som brugeren
aktivt vælger at anmode om. Eksempler på tjenester, der er direkte rettet mod brugeren selv, kan
være udarbejdelse af et budget eller et forbrugsoverblik til brugerens egen anvendelse, advisering til
brugeren om dennes eget forbrug eller forbrugsmønstre, påmindelser om betalinger til brugeren selv
og opbevaring af brugerens egne kvitteringer. Betalingsoplysninger vil ligeledes kunne anvendes til
rådgivning af brugeren, om produkter og tjenester brugerens selv ønsker og aktivt har anmodet om,
eller i forbindelse med indberetning af brugerens donationer til velgørenhed til offentlige myndig-
heder.
Modsat kan en erhvervsdrivende ikke behandle betalingsoplysninger, selvom om brugeren skulle
have givet sit samtykke, hvis dette er til brug for tjenester, der ikke er direkte rette mod brugeren, jf.
dog stk. 3, nr. 3. Derudover må en erhvervsdrivende ikke anvende, tilgå eller lagre oplysninger med
andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om. Princippet
svarer til, hvad der i medfør af artikel 67, stk. 3, litra g, gælder for udbydere af kontooplysningstje-
nester. Princippet beskytter brugeren mod, at betalingsoplysninger behandles til andre formål end
levering af den tjeneste brugeren har anmodet om.
En kontooplysningstjeneste er, jf. lovforslagets § 7, nr. 21, en tjenesteydelse, der giver en bruger
konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere
kontoførende udbydere. Med forslaget til stk. 3, nr. 2, begrænses muligheden for at udbyde konto-
oplysningstjenester således ikke, da en udbyder med brugerens samtykke således kan give en bruger
information om vedkommendes egne betalingskonti.
8
Forslaget medfører endvidere, at betalingsoplysninger med brugerens samtykke kan anvendes til
individuel markedsføring målrettet brugeren, dog så længe, at betalingsoplysningerne ikke anvendes
til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere,
jf. stk. 4.
Det foreslås i stk. 3, nr. 3, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med
anonymisering af betalingsoplysninger.
Begrebet behandling omfatter enhver operation eller række af operationer med eller uden brug af
elektronisk databehandling, som oplysninger gøres til genstand for. Det betyder, at selve anonymi-
seringen af betalingsoplysninger også er en form for behandling. Med forslaget til stk. 3, nr. 3, kan
betalingsoplysninger anonymiseres. Det bemærkes, at det særlige samtykkekrav i stk. 2 ikke finder
anvendelse ved anonymisering af betalingsoplysninger.
Med forslaget kan en erhvervsdrivende indsamle betalingsoplysninger med det formål at anonymi-
sere dem. Når betalingsoplysningerne er anonymiseret kan de også anvendes til formål, der ikke er
direkte henvendt til brugeren selv. Anonymiseret betyder, at oplysningerne er gjort anonyme på en
sådan måde, at brugeren ikke længere kan identificeres. Anonymisering handler derfor om at fjerne
muligheden for at identificere enkeltpersoner i et datasæt. Der skal være tale om en uigenkaldelig
afidentificering.
Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identifice-
res, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given per-
sons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Er eksempelvis
navn, adresse eller personnummer erstattet af en kode eller et løbenummer, der kan føres tilbage til
den oprindelige individuelle oplysning, vil der stadigvæk være tale om personhenførbare betalings-
oplysninger. Det gælder også, selv om den, der ligger inde med oplysningerne, ikke selv har adgang
til den liste eller nøgle, der viser sammenhængen mellem løbenummer og de egentlige identifikati-
onsoplysninger. Det vil sige, at selv hvis det kun for den indviede vil være muligt at forstå, hvem en
oplysning vedrører, vil der være tale om en personhenførbar betalingsoplysning, som derved ikke er
anonym.
Hvis betalingsoplysninger er uigenkaldelig afidentificeret, kan de derefter også anvendes til formål,
der ikke er rettet mod brugeren selv. Det kunne eksempelvis være til brug for generel markedsføring
eller til brug for forbrugssammenligning, hvor en bruger vil kunne sammenligne sit eget forbrug
med en repræsentativ gruppes forbrug.
Der vil eksempelvis også kunne ske behandling, når det er nødvendigt for udbyderens tilpasning af
betalingssystemer, således at disse er sikre, effektive og tidssvarende, hvis der ikke frembringes
personhenførbare oplysninger.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 3, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 3, vil omfatte den situation, hvor en virksomhed behandler be-
talingsoplysninger til andre formål, end de der er angivet i § 01, stk. 3. Ansvarssubjektet er den
virksomhed, der behandlinger betalingsoplysninger i strid med § 01, stk. 3.