Erhvervs-, Vækst- og Eksportudvalget 2016-17
L 157 Bilag 32
Offentligt
1762750_0001.png
Ændringsforslag
til
Forslag til lov om betalinger.
(L 157)
Af
erhvervsministeren
tiltrådt af [XXX]:
Til § 7
10) Nr. 41 affattes således:
»41) Betalingsoplysninger: Personhenførbare oplysninger om, hvor en bruger har anvendt en beta-
lingstjeneste, og hvad der er blevet købt med betalingstjenesten.«
[Korrektion]
Til § 124
30) Paragraffen affattes således:
»§ 124. Lov om behandling af personoplysninger finder anvendelse på udbydere af betalingstjene-
ster og udstedere af elektroniske penge, jf. dog stk. 2-4.
Stk. 2. En udbyder af betalingstjenester og en udsteder af elektroniske penge skal på forhånd ind-
hente udtrykkeligt samtykke fra en bruger af betalingstjenester, hvis udbyderen eller udstederen
behandler personoplysninger i forbindelse med udbuddet af betalingstjenesten.
Stk. 3. Uanset stk. 2 må en udbyder af betalingstjenester og betalingssystemer og en udsteder af
elektroniske penge behandle personoplysninger til brug for forebyggelse, efterforskning, retshån-
dhævelse og opdagelse af misbrug eller svig, eller hvis behandlingen er hjemlet ved anden lov.
» Stk. 4. Udbydere af betalingstjenester og udstedere af elektroniske penge må ikke betinge priser
eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, eller betalingskonti af, at
brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse
med leveringen af betalingskontoen eller betalingstjenesten, eller af at brugeren giver samtykke til,
at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.« [Præcisering af regler om ud-
bydere af betalingstjenester og udstedere af elektroniske penges behandling af personoplysninger og
betalingsoplysninger]
Ny paragraf
31) Efter § 124 indsættes som ny paragraf:
»§ 01. Lov om behandling af personoplysninger finder anvendelse på erhvervsdrivende, der be-
handler betalingsoplysninger, jf. dog stk. 2-6.
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Stk. 2. En erhvervsdrivende skal på forhånd indhente udtrykkeligt samtykke fra en bruger, hvis den
erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er
direkte henvendt til brugeren, jf. stk. 3, nr. 2.
Stk. 3. En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med
1) gennemførelse eller korrektion af en betalingstransaktion,
2) udbuddet af en tjeneste, der er direkte henvendt til brugeren, eller
3) anonymisering af betalingsoplysninger.
Stk. 4. Uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af individuelle priser
eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler gælder endvi-
dere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsikringsaftaler.
Stk. 5. Uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplysninger til brug
for en kreditvurdering.
Stk. 6. Uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til tredjemand,
medmindre dette er hjemlet ved anden lovgivning, eller det sker i forbindelse med gennemførelse
eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet
om, og som ikke er i strid med stk. 2-5.««
[Præcisering af til hvilke formål betalingsoplysninger må behandles af erhvervsdrivende]
Bemærkninger
Til § 7
Til nr. 10
Det foreslås i nr. 41 at definere betalingsoplysninger som personhenførbare oplysninger om, hvor
en betaler har anvendt en betalingstjeneste, og hvad der er blevet købt med betalingstjenesten.
Definitionen findes ikke i direktivet, men det er fundet hensigtsmæssigt at indføre definitionen for
tydeligt at beskrive, hvad der skal forstås ved begrebet »betalingsoplysninger«. Dette skyldes den
danske særregel i den foreslåede § 01, som fastsætter regler om behandling af betalingsoplysninger.
§ 85, stk. 3 og 4, i den nugældende lov om betalingstjenester og elektroniske penge indeholder reg-
ler om behandling af oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og
hvad de har købt. Disse oplysninger er i vid udstrækning blevet refereret til som betalingsoplysnin-
ger. For at sikre en konsistent anvendelse af begrebet, foreslås derfor en egentlig definition i nærvæ-
rende lovforslag. Definitionen omfatter de samme oplysninger, der er omfattet af § 85, stk. 3 og 4, i
den nugældende lov om betalingstjenester og elektroniske penge.
Definitionen af betalingsoplysninger omfatter oplysninger om selve betalingsmodtageren og om
størrelsen på beløbet. Dette vil typisk være de oplysninger, der fremgår af en netbanks oversigt over
bevægelser på betalingskontoen. Derudover omfatter definitionen også oplysninger om, hvad der
konkret er købt med betalingstjenesten. Dette vil i praksis ofte svare til de oplysninger, der fremgår
af en kvittering.
I de tilfælde hvor de ovennævnte oplysninger kan henføres til en identificerbar person, er de omfat-
tet af definitionen på betalingsoplysninger. Ved udtrykket identificerbar person skal forstås en per-
son, der direkte eller indirekte kan identificeres, eksempelvis ved et identifikationsnummer eller et
eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, økonomiske, kultu-
2
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
relle eller sociale identitet. Eksempelvis hvis navn, adresse eller personnummer er erstattet af en
kode eller et løbenummer, der kan føres tilbage til den oprindelige individuelle personoplysning, vil
der stadigvæk være tale om en personhenførbar oplysning. Det gælder også, selv om den, der ligger
inde med oplysningerne, ikke selv har adgang til den liste eller nøgle, der viser sammenhængen
mellem løbenummeret og identifikationsoplysningerne.
Definitionen omfatter kun oplysninger, der er indsamlet via betalingstjenesten eller i forbindelse
med anvendelse af betalingstjenesten. Oplysninger, der er indhentet på anden vis, eksempelvis via
et loyalitetskort, hvor oplysningerne indhentes uafhængigt af betalingstjenesten, er ikke omfattet af
definitionen af betalingsoplysninger. Definitionen berører således ikke generering af almindelige
papirkvitteringer ved køb.
En betalingsfunktion og en anden funktion, såsom indsamling af oplysninger til brug for et loyali-
tetsprogram, kan samles på ét kombineret instrument, eksempelvis et fysisk plastikkort eller en app,
der fungerer som medlemskort til loyalitetsprogrammet og som betalingsinstrument. Hvor indsam-
lingen af oplysningerne til den anden funktion ikke foregår uafhængigt af betalingsfunktionen, vil
alle oplysningerne være omfattet af definitionen. Hvor der derimod sker en indsamling af oplysnin-
ger via en klart adskilt og separat funktion, er der ikke tale om oplysninger omfattet af definitionen.
Det afgørende for, om der er tale om klart adskilte og separat indsamlede oplysninger, er, at beta-
lingsoplysningerne og oplysningerne vedrørende den anden funktion bliver behandlet i to forskelli-
ge systemer. Det har således ikke betydning, om det er muligt for brugeren at fravælge at bruge den
anden funktion.
Til § 124
Til nr. 30
§ 85 i den nugældende lov om betalingstjenester og elektroniske penge fastsætter rammerne for
virksomheders adgang til og behandling af personoplysninger og oplysninger om, hvor en betaler
har anvendt sit betalingsinstrument, og hvad der er købt. Betalerens cpr-nummer på et betalingsin-
strument må ikke kunne aflæses fysisk eller elektronisk af andre end betalerens udbyder. Oplysnin-
ger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt, må efter den
nugældende lov kun behandles, når det er nødvendigt til gennemførelse eller korrektion af beta-
lingstransaktioner, eller er hjemlet ved anden lovgivning.
Med forslaget til § 124 sker der en nyaffattelse af § 85 i den nugældende lov om betalingstjenester
og elektroniske penge, idet bestemmelsen opdeles i §§ 124 og 01. Den foreslåede bestemmelse gen-
nemfører artikel 94, i 2. betalingstjenestedirektiv.
Det foreslås i stk. 1, at lov om behandling af personoplysninger finder anvendelse på udbydere af
betalingstjenester og udstedere af elektroniske penge, jf. dog stk. 2-4.
Bestemmelsen viderefører § 85, stk. 1, i nugældende lov om betalingstjenester og elektroniske pen-
ge og gennemfører delvist artikel 94, stk. 1, i 2. betalingstjenestedirektiv.
Udbuddet af betalingstjenester vil i en række tilfælde medføre behandling af personoplysninger,
eksempelvis kort-, kontonummer, navn eller adresse. Udbyderne er derfor omfattet af persondatalo-
ven.
3
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Navnlig når personoplysninger behandles med henblik på udførelse af tjenesteydelser omfattet af
dette lovforslag, skal det præcise formål for anvendelse af personoplysninger, det relevante rets-
grundlag for behandlingen, og de relevante sikkerhedskrav angives, som det er fastsat i lov om be-
handling af personoplysninger.
Yderligere skal en udbyder, der behandler personoplysninger, anvende principperne om nødvendig-
hed og proportionalitet, foretage en formålsbegrænsning og samtidig respektere en rimelig dataop-
bevaringsperiode. Endvidere skal der tænkes privatlivsfremmende løsninger ind i udviklingen af
systemer m.v., også kaldet »privacy by design«, og gennem standardindstillingerne, også kaldet
»privacy by default«, som kan indgå i alle databehandlingssystemer, der udvikles og anvendes in-
den for rammerne af denne lov.
Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondatalo-
ven.
Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af per-
sonoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Stk. 2-4 fastsætter
yderligere regler vedrørende udbyderes behandling af personoplysninger, som fastsætter krav, der
som udgangspunkt medfører skærpede krav i forbindelse medbehandling af personoplysninger.
Det foreslås i stk. 2, at en udbyder af betalingstjenester og en udsteder af elektroniske penge på for-
hånd skal indhente udtrykkeligt samtykke fra en bruger af betalingstjenester, hvis udbyderen eller
udstederen behandler personoplysninger i forbindelse med udbuddet af betalingstjenesten. Bestem-
melsen gennemfører artikel 94, stk. 2, i 2. betalingstjenestedirektiv.
Begrebet personoplysninger i forslaget til stk. 2, skal forstås i overensstemmelse med persondatalo-
ven, og omfatter således enhver form for information om en identificeret eller identificerbar fysisk
person. I relation til betalingstjenester vil eksempelvis oplysninger om kort- og kontonummer og
navnet på kort- eller kontoindehaver udgøre personoplysninger.
Begrebet behandling svarer til definitionen i persondatalovens § 3, nr. 2, og dækker således »enhver
operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplys-
ninger gøres til genstand for«. Behandling omfatter således videregivelse til enhver anden fysisk
eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede,
den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandle-
rens direkte myndighed, der er beføjet til at behandle oplysninger.
For så vidt angår kravet om samtykke, er det en betingelse efter bestemmelsen, at en udbyder af
betalingstjenester indhenter et udtrykkeligt samtykke fra brugeren, inden udbyderen behandler bru-
gerens personoplysninger i forbindelse med udbuddet af betalingstjenesten. Dette indebærer, at
behandling af personoplysninger i forbindelse med udbuddet af betalingstjenester kun må ske på
baggrund af brugerens udtrykkelige samtykke, uagtet at det er nødvendigt at behandle disse oplys-
ninger i forbindelse med gennemførelsen af en betalingstjeneste, som brugeren selv har anmodet
om.
4
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Samtykkekravet skal forstås i overensstemmelse med definitionen i § 3, nr. 8, i persondataloven. En
udbyder af betalingstjenester vil således ikke kunne opnå stiltiende eller indirekte tilslutning til be-
handling af personoplysninger. Et egentligt krav om skriftlighed følger dog ikke af persondataloven.
Det følger imidlertid af det foreslåede stk. 2, at der skal være tale om et udtrykkeligt samtykke. Det
indebærer, at en udbyder af betalingstjenester skal indhente et samtykke på et oplyst grundlag, såle-
des, at det klart og tydeligt fremgår for den enkelte bruger, at der f.eks. ved indgåelse af en ramme-
aftale om betalingstjenester samtidig gives samtykke til, at betalingstjenesteudbyderen må behandle
den pågældende brugers personoplysninger i forbindelse med udbuddet af betalingstjenesten. Dette
kunne eksempelvis være i forbindelse med indgåelse af aftale om brug af et betalingskort. Her ville
indehaveren af betalingskortet i rammeaftalen kunne give samtykke til behandling af kortnummer
eller andre personoplysninger i forbindelse med gennemførelsen af en betalingstransaktion, hvis
samtykket fremgår klart og tydeligt af aftalen om brug af betalingskortet. Det foreslåede stk. 2 er
således lex specialis i forhold til reglerne i persondataloven, ligesom artikel 94, stk. 2, i 2. betalings-
tjenestedirektiv er lex specialis i forhold til databeskyttelsesdirektivet.
Med forslaget til stk. 2 ligger der alene et krav om, at samtykket skal være indhentet forud for be-
handling af personoplysningerne og ikke, at der skal indhentes et udtrykkeligt samtykke hver gang,
der foretages en behandling af oplysningerne. Der kan således gives et generelt udtrykkeligt sam-
tykke i en rammeaftale om udbuddet af betalingstjenester.
Der fastsættes således ikke et krav om, at samtykket skal gives særskilt. Det vil dog altid påhvile
udbyderen at kunne dokumentere samtykket og dets omfang. Som anført ovenfor skal samtykket
være oplyst, hvilket vil sige, at det klart og tydeligt skal fremgå, hvem samtykket gives til, hvem der
på baggrund af samtykket kan behandle oplysningerne, og til præcist hvilke formål oplysningerne
kan behandles. Det indebærer også, at oplysningerne ikke kan behandles til andre formål, end de der
fremgår af samtykket.
Det bemærkes, at det er en betingelse ved behandling af personoplysninger, at også de grundlæg-
gende principper om behandling af personoplysninger efter persondataloven er opfyldt. Behandlin-
gen af oplysninger vil således blandt andet skulle være i overensstemmelse med god databehand-
lingsskik, ligesom behandlingen også skal være sagligt begrundet og relevant.
Det følger ligeledes af persondataloven, at et samtykke på et hvilket som helst tidspunkt kan tilba-
gekaldes af brugeren. Virkningen heraf vil være, at den behandling af oplysninger, som brugeren
har meddelt sit samtykke til, ikke længere må finde sted. Det bemærkes dog, at et samtykke ikke
kan tilbagekaldes med »tilbagevirkende kraft«. Det betyder, at behandlingen skal ophøre fra det
tidspunkt, hvor tilbagekaldelsen af samtykket sker.
Forslaget til stk. 2 skal læses i sammenhæng med forslaget til § 153, stk. 10, hvori der foreslås en
overgangsordning, således at eksisterende aftaler om udbud af betalingstjenester, der er indgået før
1. januar 2018, og som indebærer behandling af personoplysninger, i henhold til § 6, stk. 1, nr. 2, i
persondataloven, kan fortsætte uændret, uafhængigt af forslaget til stk. 2 om indhentelse af udtryk-
keligt samtykke. Overgangsbestemmelsen er foreslået, da det forekommer urimeligt byrdefuldt at
pålægge en udbyder at indhente et udtrykkeligt samtykke på baggrund af en aftale, der allerede var
indgået ved lovforslagets ikrafttrædelsesdato. For aftaler indgået efter denne dato, og som indebærer
behandling af personoplysninger, skal der derimod indhentes udtrykkeligt samtykke i overens-
stemmelse med forslaget til stk. 2.
5
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 2, straffes med
bøde.
Overtrædelse af forslagets § 124, stk. 2, vil omfatte den situation, hvor en udbyder undlader at ind-
hente et udtrykkeligt samtykke fra brugeren, forud for at udbyderen behandler brugerens personop-
lysninger i forbindelse med udbuddet af betalingstjenester. Ansvarssubjektet for overtrædelse af
bestemmelsen er den virksomhed, som undlader at indhente udtrykkeligt samtykke fra brugeren i
strid med forslagets § 124, stk. 2.
Det foreslås i stk. 3, at uanset stk. 2 må en udbyder af betalingstjenester og betalingssystemer og en
udsteder af elektroniske penge, behandle personoplysninger til brug for forebyggelse, efterforsk-
ning, retshåndhævelse og opdagelse af misbrug eller svig, eller hvis behandlingen er hjemlet ved
anden lov.
Det følger af artikel 94, stk. 1, i 2. betalingstjenestedirektiv, at medlemslandene skal tillade, at beta-
lingssystemer og udbydere af betalingstjenester behandler personoplysninger, når det er nødvendigt
af hensyn til forebyggelse, efterforskning og opdagelse af betalingssvig.
For at sikre tilliden til elektroniske betalinger er det vigtigt i videst muligt omfang at forebygge
svindel med betalingstjenester, og i det omfang betalingssvindel alligevel sker at give de bedst mu-
lige forudsætninger for at opdage og efterforske dette. Det bør således være muligt for udbydere,
såvel som for deltagere i betalingssystemer at behandle personoplysninger til disse formål, også
uden at forbrugerens udtrykkelige samtykke indhentes først. Når denne behandling af personoplys-
ninger sker, skal de generelle regler i persondataloven være opfyldt. Behandlingen af oplysninger
vil således blandt andet skulle være i overensstemmelse med god databehandlingsskik, ligesom be-
handlingen skal være sagligt begrundet og relevant.
Endelig kan der ske behandling af betalingsoplysninger, hvis dette er hjemlet ved anden lov. Et ek-
sempel kan være, at der i medfør af hvidvaskloven, i visse tilfælde, kan ske behandling af beta-
lingsoplysninger.
Det foreslås i stk. 4, at udbydere af betalingstjenester og udstedere af elektroniske penge ikke må
betinge priser eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, og betalings-
konti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i for-
bindelse med leveringen af betalingskontoen eller betalingstjenesten, eller af at brugeren giver sam-
tykke til, at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.
Med forslaget til stk. 4 fastsættes det, at udbydere af betalingstjenester og udstedere af elektroniske
penge ikke må betinge priser eller vilkår for indgåelse af aftale om en betalingstjeneste eller en be-
talingskonto af, at der kan ske behandling af betalingsoplysninger, hvis denne behandling ikke er
nødvendig for leveringen af betalingskontoen eller betalingstjenesten, eller af at der tilknyttes et
loyalitetskort til betalingstjenesten.
Med betalingsoplysninger forstås i overensstemmelse med § 7, nr. 41, personhenførbare oplysnin-
ger om, hvor en bruger har anvendt en betalingstjeneste, og hvad der er blevet købt med betalings-
tjenesten.
6
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Det skal reelt være frivilligt, om brugeren giver samtykke til behandling af betalingsoplysninger
eller andre former for registrering af brugerens køb. Formålet med bestemmelsen er at sikre, at det
ikke bliver et krav for at få eksempelvis et betalingskort, såsom et Dankort, netbank, eller andre
bredt anvendelige betalingstjenester, at brugeren samtykker til en behandling af betalingsoplysnin-
ger, som ikke sker i forbindelse med leveringen af den pågældende tjeneste, eller at brugeren sam-
tykker til, at fx et Dankort tilknyttes en loyalitetskortfunktion. Bestemmelsen tjener således det
formål, at brugere, der ikke ønsker at give erhvervsdrivende adgang til at behandle deres betalings-
oplysninger, ikke bliver afskåret fra at få adgang til at foretage elektroniske betalinger. Bestemmel-
sen sikrer, at betalingskonti og bredt anvendelige betalingstjenester
vil kunne fås uden ”indbygget”
behandling af betalingsoplysninger, hvis ikke denne behandling sker i forbindelse med, at kontoen
eller tjenesten stilles til rådighed for brugeren,
og uden ”indbygget” loyalitetskortsfunktion.
Det er
fundet nødvendigt at beskytte brugeren mod denne situation, da det ellers kan blive et standardvil-
kår for indgåelse af aftale om brug af en betalingstjeneste eller oprettele af en betalingskonto, at der
må ske en sådan behandling af betalingsoplysninger, eller kan tilknyttes en loyalitetsfunktion, eller
at der fastsættes priser, som reelt medfører, at der ikke er tale om et frivilligt valg for den enkelt
bruger.
En betalingskonto skal forstå i overensstemmelse med definitionen i lovforslagets § 7, nr. 16, som
en konto oprettet i en eller flere brugeres navn med henblik på at gennemføre betalingstransaktio-
ner.
En betalingstjeneste skal forstås i overensstemmelse med definitionen i lovforslagets § 7, nr. 1, som
en tjenesteydelse omfattet af bilag 1. Det bemærkes, at stk. 4 alene finder anvendelse på udbydere
af betalingstjenester og udstedere af elektroniske penge, som udbyder betalingstjenester omfattet af
bilag 1, nr. 1-7. Udbydere af kontooplysningstjenester er således ikke omfattet af bestemmelsen.
Ligeledes er udbydere af tjenester i henhold til § 1, stk. 5, og § 5, nr. 14-17, heller ikke omfattet.
Denne form for udbydere omfatter bl.a. betalingstjenester, der har et særligt afgrænset formål. Det
kunne eksempelvis være et betalingskort, der alene kan anvendes til indkøb af benzin eller kun kan
anvendes i en bestemt forretning. Disse typer af udbydere vil derved kunne betinge priser og vilkår
af, at brugeren giver samtykke til behandling af betalingsoplysninger, såfremt denne behandling
i øvrigt er i overensstemmelse med § 01.
Begrebet behandling omfatter enhver operation, som oplysningerne gøres til genstand for. I forbin-
delse med en betaling kunne der eksempelvis ske to behandlinger; én behandling af betalingsoplys-
ninger, der sikrer gennemførelsen af betalingstransaktionen, og én behandling, der gemmer beta-
lingsoplysningerne til senere brug for et medlemsprogram. For så vidt angår betalingstjenesten, vil
den første behandling være nødvendig for udbuddet af tjenesten, mens den anden ikke vil. Det føl-
ger således af forslaget, at vilkår og priser for betalingstjenesten ikke må afhænge af brugerens sam-
tykke til den anden behandling.
Det kan for eksempel lade sige gøre, at en betaler tilknytter et betalingskort til en app, hvor appen
fungerer som et loyalitetskort. Sådanne sammensatte betalingskoncepter kan således godt udbydes,
så længe den underliggende betalingstjeneste, eksempelvis et bredt anvendeligt betalingskort, kan
erhverves og anvendes uafhængigt af det sammensatte koncept, idet appen i sig selv ikke er en beta-
lingstjeneste eller en betalingskonto.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 4, straffes med
bøde. Overtrædelse af forslagets § 124, stk. 4, vil omfatte den situation, hvor en udbyder af beta-
7
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
lingstjenester eller en udsteder af elektroniske penge betinger priser eller vilkår for indgåelse af en
aftale om en betalingskonto eller en betalingstjeneste af, at der kan ske behandling af betalingsop-
lysninger, til andre formål en gennemførelse eller korrektion af betalingstransaktioner fra betalings-
kontoen eller til andre formål end udbuddet af betalingstjenesten. Ansvarssubjektet for overtrædelse
af bestemmelsen er den virksomhed, som stiller priser eller vilkår i strid med forslagets § 124, stk.
4.
Til § 01
Til nr. 31
§ 85 i den nugældende lov om betalingstjenester og elektroniske penge fastsætter rammerne for
virksomheders adgang til og behandling af personoplysninger og oplysninger om, hvor en betaler
har anvendt sit betalingsinstrument, og hvad der er købt. Betalerens cpr-nummer på et betalingsin-
strument må ikke kunne aflæses fysisk eller elektronisk af andre end betalerens udbyder og oplys-
ninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt, må efter
den nugældende lov kun behandles, når det er nødvendigt til gennemførelse eller korrektion af beta-
lingstransaktioner eller er hjemlet ved anden lovgivning.
Med forslaget til § 01 sker der en nyaffattelse af § 85 i den nugældende lov om betalingstjenester og
elektroniske penge, idet bestemmelsen opdeles i §§ 124 og § 01. § 01 viderefører med en række
indholdsmæssige ændringer de danske særregler om behandling af betalingsoplysninger, der er fast-
sat i § 85 i den nugældende lov om betalingstjenester.
Bestemmelsen er beskyttelsespræceptiv, for så vidt angår forbrugere, jf. lovforslagets § 6, og kan
derfor ikke fraviges ved aftale.
Det foreslås i stk. 1, at lov om behandling af personoplysninger finder anvendelse på erhvervsdri-
vende, der behandler betalingsoplysninger, jf. dog stk. 2-6.
Med betalingsoplysninger forstås i overensstemmelse med forslagets § 7, nr. 41, personhenførbare
oplysninger om, hvor en betaler har anvendt en betalingstjeneste, og hvad der blev købt med beta-
lingstjenesten. Betalingsoplysninger udgør således personoplysninger, hvorfor persondataloven
finder anvendelse.
Forslaget til § 01 finder anvendelse på alle erhvervsdrivende, der behandler betalingsoplysninger.
Ud over udbydere af betalingstjenester og udstedere af elektroniske penge kan andre erhvervsdri-
vende også komme i besiddelse af betalingsoplysninger. Det kunne eksempelvis være forretninger,
udbydere af tekniske tjenester, der understøtter udbuddet af betalingstjenester, som defineret i lov-
forslagets § 5, nr. 10, eksempelvis udbydere af betalingsterminaler eller udbydere af betalingstrans-
aktioner fra en betaler til en betalingsmodtager gennem en handelsagent, som beskrevet i lovforsla-
gets § 5, nr. 2, eller enhver anden erhvervsdrivende, der får adgang til betalingsoplysninger, uanset
hvordan. Ifølge forslaget til stk. 1 er sådanne virksomheder også omfatte af persondataloven med de
tilføjelser, der følger af stk. 2-6.
Når betalingsoplysninger behandles med henblik på udførelse af tjenester, skal det præcise formål
for anvendelse af betalingsoplysningerne, det relevante retsgrundlag for behandlingen og de rele-
vante sikkerhedskrav angives, som fastsat i lov om behandling af personoplysninger.
8
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Yderligere skal en erhvervsdrivende, der behandler betalingsoplysninger, anvende principperne om
nødvendighed og proportionalitet, foretage en formålsbegrænsning og samtidig respektere en rime-
lig dataopbevaringsperiode. Endvidere bør der tænkes privatlivsfremmende løsninger ind i udvik-
lingen af systemer m.v., også kaldet »privacy by design«, og gennem standardindstillingerne, også
kaldet »privacy by default«, som kan indgå i alle databehandlingssystemer, der udvikles og anven-
des inden for rammerne af denne lov.
Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden
lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondatalo-
ven.
Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af per-
sonoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Stk. 2-6 fastsætter
yderligere regler vedrørende erhvervsdrivendes behandling af personoplysninger, som fastsætter
krav, der som udgangspunkt medfører skærpede krav om behandling af personoplysninger.
Det foreslås i stk. 2, at en erhvervsdrivende på forhånd skal indhente udtrykkeligt samtykke fra en
bruger, hvis den erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en
tjeneste, der er direkte henvendt til brugeren, jf. stk. 3, nr. 2.
Begrebet behandling svarer til definitionen i persondatalovens § 3, nr. 2, og dækker således »enhver
operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplys-
ninger gøres til genstand for«. Behandling omfatter således videregivelse til enhver anden fysisk
eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede,
den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandle-
rens direkte myndighed, der er beføjet til at behandle oplysninger.
For så vidt angår kravet om samtykke, er det en betingelse efter bestemmelsen, at en erhvervsdri-
vende, der behandler betalingsoplysninger, indhenter samtykket inden behandlingen. Dette indebæ-
rer, at behandling af betalingsoplysninger kun må ske på baggrund af brugerens udtrykkelige sam-
tykke, uagtet at det er nødvendigt at behandle disse oplysninger i forbindelse med gennemførelsen
af den tjeneste, som brugeren selv har anmodet om, med mindre det er til gennemførelse eller kor-
rektion af en betalingstransaktion.
Samtykkekravet skal forstås i overensstemmelse med definitionen i § 3, nr. 8, i persondataloven. En
erhvervsdrivende, der behandler betalingsoplysninger, vil således ikke kunne opnå stiltiende eller
indirekte tilslutning til behandling af betalingsoplysninger. Et egentligt krav om skriftlighed følger
dog ikke af persondataloven. Det følger imidlertid af det foreslåede stk. 2, at der skal være tale om
et udtrykkeligt samtykke. Det indebærer, at en erhvervsdrivende, der behandler betalingsoplysnin-
ger, skal indhente et samtykke på et oplyst grundlag, således at det klart og tydeligt fremgår for den
enkelte bruger, at der eksempelvis ved indgåelse af aftalen om leveringen af tjenesten samtidig gi-
ves samtykke til, at den erhvervsdrivende må behandle den pågældende brugers betalingsoplysnin-
ger.
Med forslaget til stk. 2 ligger der alene et krav om, at samtykket skal være indhentet forud for be-
handling af betalingsoplysningerne, og ikke at der skal indhentes et udtrykkeligt samtykke hver
gang, der foretages en behandling af oplysningerne. Der kan således gives et generelt udtrykkeligt
samtykke i en rammeaftale.
9
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Der fastsættes således ikke et krav om, at samtykket skal gives særskilt. Det vil dog altid påhvile
den erhvervsdrivende at kunne dokumentere samtykket og dets omfang. Som anført oven for skal
samtykket være oplyst, hvilket vil sige, at det klart og tydeligt skal fremgå, hvem samtykket gives
til, hvem der på baggrund af samtykket kan behandle oplysningerne, og til præcis hvilke formål
oplysningerne kan behandles. Samtykket kan således ikke være et bredt samtykke uden en præcis
angivelse af til hvilke formål, der gives samtykke. Det indebærer også, at oplysningerne ikke kan
behandles til andre formål, end de der fremgår af samtykket.
Samtykkekravet gælder alene i forbindelse med udbuddet af tjenester, der er direkte henvendt til
brugeren, jf. stk. 3, nr. 2. Det indebærer, at der ikke er et samtykkekrav i forbindelse med behand-
ling af betalingsoplysninger, når behandlingen sker i forbindelse med gennemførelse eller korrekti-
on af en betalingstransaktion, jf. stk. 3, nr. 1, eller i forbindelse med ano-nymisering af betalingsop-
lysninger, jf. stk. 3, nr. 3. Det er således eksempelvis ikke nødvendigt for en forretning at indhente
kundens udtrykkelige samtykke, før der gennemføres en betaling med et betalingskort eller for at
udstede en almindelig kvittering. Ligeledes er det ikke nødvendigt for en erhvervsdrivende at ind-
hente samtykke til at anonymisere betalingsoplysninger, der eksempelvis er indhentede i forbindelse
med gennemførelsen af betalingstransaktion. I begge tilfælde finder persondatalovens almindelige
behandlingsregler anvendelse.
Det bemærkes, at det er en betingelse ved behandling af betalingsoplysninger, at også de grundlæg-
gende principper om behandling af personoplysninger efter persondataloven er opfyldt. Behandlin-
gen af oplysninger vil således blandt andet skulle være i overensstemmelse med god databehand-
lingsskik, ligesom behandlingen også skal være sagligt begrundet og relevant.
Det følger ligeledes af persondataloven, at et samtykke på et hvilket som helst tidspunkt kan tilba-
gekaldes af brugeren. Virkningen heraf vil være, at den behandling af oplysninger, som brugeren
har meddelt sit samtykke til, ikke længere må finde sted. Det bemærkes dog, at et samtykke ikke
kan tilbagekaldes med tilbagevirkende kraft. Det betyder, at behandlingen skal ophøre fra det tids-
punkt, tilbagekaldelse af samtykket sker.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 2, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 2, vil omfatte den situation, hvor en erhvervsdrivende undlader
at indhente et udtrykkeligt samtykke fra brugeren, forud for at udbyderen behandler brugerens beta-
lingsoplysninger. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som und-
lader at indhente udtrykkeligt samtykke fra brugeren i strid med forslagets § 01, stk. 2.
Det foreslås i stk. 3, at en erhvervsdrivende kun må behandle betalingsoplysninger til visse formål.
Med forslaget til stk. 3 ændres det nugældende forbud mod behandling af betalingsdata i § 85, stk. 3
i lov om betalingstjenester og elektroniske penge, således at bestemmelsen fastsætter tre principper
for, til hvilke formål betalingsoplysninger må behandles. Det bemærkes dog, at der, jf. stk. 2, altid
kun kan ske behandling af personoplysninger med brugerens udtrykkelige samtykke, med mindre
dette er til gennemførelse eller korrektion af en betalingstransaktion. Derudover skal de almindelige
principper for god databehandlingsskik i persondataloven overholdes, jf. stk. 1.
10
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være me-
get følsomme, idet virksomheder kan foretage registreringer af brugerens adfærd og udarbejde per-
sonprofiler af brugeren. Formålet med bestemmelsen er at sikre, at sådanne oplysninger ikke be-
handles til uvedkommende formål eller i integritetskrænkende øjemed. Derfor foreslås det, at fast-
sætte tre principper for, til hvilke formål betalingsoplysninger kan behandles.
Det følger af forslaget til stk. 3, at behandlingen af betalingsoplysninger er begrænset til, hvad der
er nødvendigt for at levere en given tjeneste. Det indebærer, at hvis en bruger eksempelvis har gjort
brug af en budgetfunktion, så må udbyderen af budgetfunktionen ikke selv tilgå dette budget, da
dette ikke er nødvendigt for at levere budgettet til brugeren. Det forudsættes således, at princippet
om »privacy by design« er indarbejdet i de tjenester, der udbydes.
Principperne behandles særskilt nedenfor.
Det bemærkes, at forslaget til stk. 3, alene omhandler, til hvilke formål betalingsoplysninger kan
behandles. I visse tilfælde kan selve behandlingen være en tilladelsespligtig aktivitet i henhold til
dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslagets § 60, at virksomhe-
der, der udbyder kontooplysningstjenester, skal have en tilladelse fra Finanstilsynet. En kontoop-
lysningstjeneste er i henhold til lovforslagets § 7, nr.21, en tjenesteydelse, der giver en bruger kon-
solideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere konto-
førende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget. Ligeledes følger det af
lov om finansielle rådgivere og boligkreditformidlere, at en virksomhed, der yder rådgivning om
finansielle produkter, skal have Finanstilsynets tilladelse som finansiel rådgiver, og at en virksom-
hed, der yder rådgivning om eller formidling af boligkreditaftaler, skal have Finanstilsynets tilladel-
se som boligkreditformidler.
Det bemærkes endvidere, at erhvervsministeren, jf. lovforslagets § 1, stk. 7, under visse forudsæt-
ninger har mulighed for helt eller delvist at dispensere fra bestemmelserne i stk. 3. Erhvervsministe-
ren har således eksempelvis mulighed for at dispensere fra kravet om, at betalingsoplysninger ikke
må behandles, hvis den ønskede behandling alene omhandler brug af disse oplysninger til private
forsknings- og statistikprojekter. Dispensation forudsætter en konkret stillingtagen til det enkelte
forskningsprojekt. I vurderingen af en ansøgning om dispensation fra kravet i stk. 3, skal der foreta-
ges en afvejning mellem projektets samfundsmæssige relevans og typen af oplysninger, der ønskes
anvendt til projektet. Hvis der gives dispensation, gælder persondatalovens generelle regler om pri-
vate forsknings- og statistikprojekter.
Det foreslås i stk. 3, nr. 1, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med
gennemførelse eller korrektion af en betalingstransaktion.
Udgangspunktet er, at betalingsoplysninger altid kan behandles, når det er nødvendigt til gennemfø-
relse eller korrektion af en betalingstransaktion, da dette er en forudsætning for at kunne gennemfø-
re en betalingstjeneste. Dette følger også af § 85, stk. 3, litra 1, i den nugældende lov om betalings-
tjenester og elektroniske penge. Dette princip videreføres således med dette forslag.
Det bemærkes, at det særlige samtykkekrav i stk. 2 ikke finder anvendelse ved gennemførelse eller
korrektion af en betalingstransaktion.
11
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Det foreslås i stk. 3, nr. 2, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med
udbuddet af en tjeneste, der er direkte henvendt til brugeren.
Betalingsoplysninger kan således med forslaget behandles i forbindelse med tjenester, der er direkte
henvendt til brugeren. Det vil sige, at det er tjenester, som brugeren selv ønsker, og som brugeren
aktivt vælger at anmode om. Eksempler på tjenester, der er direkte rettet mod brugeren selv, kan
være udarbejdelse af et budget eller et forbrugsoverblik til brugerens egen anvendelse, advisering til
brugeren om dennes eget forbrug eller forbrugsmønstre, påmindelser om betalinger til brugeren selv
og opbevaring af brugerens egne kvitteringer. Betalingsoplysninger vil ligeledes kunne anvendes
til rådgivning af brugeren, om produkter og tjenester brugerens selv ønsker og aktivt har anmodet
om, eller i forbindelse med indberetning af brugerens donationer til velgørenhed til offentlige myn-
digheder.
Modsat kan en erhvervsdrivende ikke behandle betalingsoplysninger, selvom om brugeren skulle
have givet sit samtykke, hvis dette er til brug for tjenester, der ikke er direkte rette mod brugeren, jf.
dog stk. 3, nr. 3. Derudover må en erhvervsdrivende ikke anvende, tilgå eller lagre oplysninger med
andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om. Princippet
svarer til, hvad der i medfør af artikel 67, stk. 3, litra g, gælder for udbydere af kontooplysningstje-
nester. Princippet beskytter brugeren mod, at betalingsoplysninger behandles til andre formål end
levering af den tjeneste brugeren har anmodet om.
En kontooplysningstjeneste er, jf. lovforslagets § 7, nr. 21, en tjenesteydelse, der giver en bruger
konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere
kontoførende udbydere. Med forslaget til stk. 3, nr. 2, begrænses muligheden for at udbyde konto-
oplysningstjenester således ikke, da en udbyder med brugerens samtykke således kan give en bruger
information om vedkommendes egne betalingskonti.
Forslaget medfører endvidere, at betalingsoplysninger med brugerens samtykke kan anvendes til
individuel markedsføring målrettet brugeren, dog så længe, at betalingsoplysningerne ikke anvendes
til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere,
jf. stk. 4.
Det foreslås i stk. 3, nr. 3, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med
anonymisering af betalingsoplysninger.
Begrebet behandling omfatter enhver operation eller række af operationer med eller uden brug af
elektronisk databehandling, som oplysninger gøres til genstand for. Det betyder, at selve anonymi-
seringen af betalingsoplysninger også er en form for behandling. Med forslaget til stk. 3, nr. 3, kan
betalingsoplysninger anonymiseres. Det bemærkes, at det særlige samtykkekrav i stk. 2 ikke finder
anvendelse ved anonymisering af betalingsoplysninger.
Med forslaget kan en erhvervsdrivende indsamle betalingsoplysninger med det formål at anonymi-
sere dem. Når betalingsoplysningerne er anonymiseret kan de også anvendes til formål, der ikke er
direkte henvendt til brugeren selv. Anonymiseret betyder, at oplysningerne er gjort anonyme på en
sådan måde, at brugeren ikke længere kan identificeres. Anonymisering handler derfor om at fjerne
muligheden for at identificere enkeltpersoner i et datasæt. Der skal være tale om en uigenkaldelig
afidentificering.
12
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identifice-
res, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given per-
sons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Er eksempelvis
navn, adresse eller personnummer erstattet af en kode eller et løbenummer, der kan føres tilbage til
den oprindelige individuelle oplysning, vil der stadigvæk være tale om personhenførbare betalings-
oplysninger. Det gælder også, selv om den, der ligger inde med oplysningerne, ikke selv har adgang
til den liste eller nøgle, der viser sammenhængen mellem løbenummer og de egentlige identifikati-
onsoplysninger. Det vil sige, at selv hvis det kun for den indviede vil være muligt at forstå, hvem en
oplysning vedrører, vil der være tale om en personhenførbar betalingsoplysning, som derved ikke er
anonym.
Hvis betalingsoplysninger er uigenkaldeligt afidentificeret, kan de derefter også anvendes til formål,
der ikke er rettet mod brugeren selv. Det kunne eksempelvis være til brug for generel markedsføring
eller til brug for forbrugssammenligning, hvor en bruger vil kunne sammenligne sit eget forbrug
med en repræsentativ gruppes forbrug.
Der vil eksempelvis også kunne ske behandling, når det er nødvendigt for udbyderens tilpasning af
betalingssystemer, således at disse er sikre, effektive og tidssvarende, hvis der ikke frembringes
personhenførbare oplysninger.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 3, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 3, vil omfatte den situation, hvor en virksomhed behandler be-
talingsoplysninger til andre formål, end de der er angivet i § 01, stk. 3. Ansvarssubjektet er den
virksomhed, der behandler betalingsoplysninger i strid med § 01, stk. 3.
Det foreslås i stk. 4, at uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af indi-
viduelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler
gælder endvidere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsik-
ringsaftaler.
De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være me-
get følsomme, idet virksomheder kan foretage registreringer af brugerens adfærd og lave personpro-
filer af vedkommende. Det fremgår af stk. 4, at betalingsoplysninger uanset stk. 3 ikke må anvendes
til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere.
Det omfatter således også anvendelse af betalingsoplysninger til at fastsætte renten på et lån eller
præmien på en forsikring. Hensynet er, at det ikke bør have betydning for en persons mulighed for
at få et lån eller tegne en forsikring, hvordan vedkommende vælger at sammensætte sit forbrug,
samt hvor og hvornår en given betalingstjeneste anvendes. Det bør således alene være brugerens
økonomiske situation, der afgør dette.
Betalingsoplysninger kan bruges til at identificere brugeres betalingsvillighed mere generelt. Dette
omfatter eksempelvis den situation, hvor en erhvervsdrivende identificerer brugere, der er meget
prisbevidste og brugere, der er mindre prisbevidste, og på den baggrund fastsætter forskellige priser.
Det er hensigten med bestemmelsen at sikre, at en persons mulighed for at benytte sig af et tilbud
13
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
eller en speciel pris ikke afhænger af, hvordan vedkommende generelt vælger at sammensætte sit
forbrug.
Det indebærer, at betalingsoplysninger ikke må behandles til at fastsætte individuelle priser for den
enkelte betaler eller individuelle vilkår for den enkelte betaler. Der kan således fortsat anvendes
betalingsoplysninger til brug for generelle, forud fastlagte rabatstrukturer såsom elektroniske »klip-
pekort«, hvor eksempelvis den 10. liter mælk, der købes, er gratis, samt behandling af oplysninger-
ne til at fastsætte medlemstilbud, når disse tilbud gælder for alle medlemmer af et rabat- eller loyali-
tetsprogram.
De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være me-
get følsomme. Det foreslås med bestemmelsen, at betalingsoplysninger ikke kan behandles i forbin-
delse med forhold, der vedrører opfyldelse af en forsikringsaftale. Opfyldelse af en forsikringsaftale
omfatter alle forhold i forbindelse med behandling af skadesanmeldelser, herunder efterforsikrings-
skridt og udbetaling af forsikringssum. Eksempelvis kan oplysninger om, at en bruger betaler kon-
tingent til en fodboldklub, ikke anvendes ved efterforskning i forbindelse med en arbejdsskadefor-
sikring. Ved indgåelse af en sundhedsforsikring kunne det være et vilkår, at en bruger ikke drikker
mere end de af sundhedsstyrelsen anbefalede genstande. Med forslaget til stk. 4, 2. pkt., må forsik-
ringsselskabet dog ikke anvende betalingsoplysninger til at overvåge brugeren køb af alkohol, som
led i overholdelsen af aftalen. Forbuddet gælder uanset, om forsikringsaftalen indgås direkte mel-
lem forsikringstageren og forsikringsselskabet, eller om aftalen indgås via en forsikringsmægler
eller forsikringsagent.
Det bemærkes, at bestemmelsen alene omhandler behandling af betalingsoplysninger. Bestemmel-
sen berører således ikke markedsføringslovens regler om god skik i øvrigt eller Forbrugerombuds-
mandens praksis på baggrund heraf. Det bemærkes endvidere, at stk. 4 ikke hindrer betalingsmod-
tager i at opkræve et gebyr hos betaler for brugen af et bestemt betalingsinstrument, at tilbyde beta-
leren en rabat eller på anden måde at tilskynde betaleren til at anvende et givent betalingsinstru-
ment, jf. lovforslagets § 121, stk. 2 og 3.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 4, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 4, vil omfatte den situation, hvor en erhvervsdrivende behand-
ler betalingsoplysninger til at fastsætte individuelle priser eller vilkår for samme vare eller tjeneste
til forskellige brugere, eller hvor en erhvervsdrivende behandler betalingsoplysninger i forbindelse
med opfyldelse af en forsikringsaftale. Ansvarssubjektet er den virksomhed, der behandler beta-
lingsoplysninger i strid med § 01, stk. 4.
Det foreslås i stk. 5, at uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplys-
ninger til brug for en kreditvurdering.
Formålet med bestemmelsen er at sikre, at brugere, der får udarbejdet budgetter eller forbrugsover-
blik på baggrund af betalingsoplysninger, kan overdrage disse budgetter eller forbrugsoverblik til
kreditgiver til brug for kreditvurderingen, hvis de ønsker det. Begrebet kreditvurdering må forstås
bredt. Det indebærer, at et budget eller et forbrugsoverblik ikke kun vil kunne overdrages til kredit-
givere, såsom pengeinstitutter og finansieringsselskaber, men også til eksempelvis leasingselskaber,
14
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
forsyningsselskaber, teleselskaber, og lignende, hvor der er en kreditrisiko på kunden, hvorfor der
foretages en kreditvurdering i forbindelse med indgåelse af aftalen.
Ifølge stk. 4 kan betalingsoplysninger ikke anvendes til fastsættelse af individuelle priser til forskel-
lige kunder for det samme produkt. I forbindelse med optagelse af et lån eller indgåelse af aftale om
et andet kreditbaseret produkt, såsom leasing, vil en bruger typisk skulle aflevere et budget for at
blive kreditvurderet, hvilket også vil indebære en fastsættelse af renten på lånet eller den periodiske
ydelse på leasingaftalen. I det tilfælde vil det uanset stk. 4 være muligt at benytte et budget eller et
forbrugsoverblik til kreditvurderingen, hvis betalingsoplysningerne er aggregerede.
Med aggregerede oplysninger forstås, at betalingsoplysningerne er aggregeret på en måde, hvor det
ikke længere er muligt at identificere enkelte betalingsmodtagere eller enkelte typer af varer eller
tjenester. Det kræver således, at betalingsoplysningerne er summerede i overordnede forbrugskate-
gorier. Det kunne eksempelvis være, at betalingsoplysningerne samles i budgetkategorier såsom
bolig, fritid, dagligvarer og tøj, sko og personlig pleje.
Betalingsoplysninger, der ikke er aggregerede, kan jf. stk. 5 dog ikke anvendes til kreditvurdering.
Hensynet til dette er, at en persons kreditværdighed ikke bør afhænge af, hvilke specifikke varer og
tjenester vedkommende køber, samt hvor de specifikt bliver købt, men alene af personens økonomi-
ske situation.
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 5, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 5, vil omfatte den situation, hvor en erhvervsdrivende behand-
ler betalingsoplysninger, der ikke er aggregerede, til brug for en kreditvurdering. Ansvarssubjektet
er den virksomhed, der behandles betalingsoplysninger i strid med § 01, stk. 5.
Det foreslås i stk. 6, at uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til
tredjemand, medmindre dette er hjemlet ved anden lovgivning, eller sker i forbindelse med gennem-
førelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har
anmodet om, og som ikke er i strid med stk. 2-5.
Det præciseres i stk. 6, at uanset om brugeren har givet sit samtykke, kan betalingsoplysninger ikke
videregives til tredjemand, med mindre dette sker i forbindelse med udbuddet af en konkret tjeneste,
som brugeren har anmodet om. Det betyder at det eksempelvis vil være muligt for en betalingstje-
nesteudbyder eller en forretning at videregive kvitteringsoplysinger til en udbyder af elektronisk
kvitteringsopbevaring, hvis brugeren selv har anmodet om brugen af elektronisk kvitteringsopbeva-
ring.
Det er dog en forudsætning for videregivelse, at den tjeneste, som brugeren har anmodet om, ikke er
i strid med stk. 2-5. Dette skal sikre, at en virksomhed i Danmark ikke kan videregive betalingsop-
lysninger til en udenlandsk virksomhed, hvis videregivelsen medfører, at der sker behandling af
betalingsoplysninger til brug for eksempelvis fastsættelse af individuelle priser eller vilkår til brug
for markedsføring af forsikringsaftaler.
Derudover kan der ske videregivelse til tredjemand, hvis dette er hjemlet ved anden lovgivning.
Dette kunne eksempelvis være i forbindelse med hvidvasklovens videregivelsesbestemmelser.
15
L 157 - 2016-17 - Bilag 32: Ændringsforslag, fra erhvervsministeren
I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 6, straffes med
bøde.
Overtrædelse af forslagets § 01, stk. 6, vil omfatte den situation, hvor en virksomhed videregiver
betalingsoplysninger, når det ikke sker i forbindelse med gennemførelse eller korrektion af en beta-
lingstransaktion eller sker i forbindelse med udbuddet af en tjeneste, som brugeren selv har anmodet
om. Ansvarssubjektet er den virksomhed, der videregiver betalingsoplysninger i strid med § 01, stk.
6.
16