UT Messan

Starfar þú á sviði upplýsingatækni?
Við viljum endilega kynnast þér.

Hafa Samband

Fróðleikur

Lögmenn LEX eiga í nánu samstarfi við viðskiptavini, hafa frumkvæði í lausnum og ráðgjöf, faglegri nálgun verkefna og stöðugri umbótahugsun.

LEX hefur um langt skeið veitt fyrirtækjum, opinberum stofnunum og einstaklingum víðtæka þjónustu á öllum sviðum og eru lögmenn LEX á meðal fremstu sérfræðinga landsins á sviði persónuverndar, hugverka-, fjarskipta- og upplýsingatækniréttar og veita alhliða þjónustu á þessum réttarsviðum.

Þá býður LEX einnig upp á sérhæfða þjónustu til fyrirtækja sem fást við þróun hugbúnaðar og gervigreindar, gerð gagnagrunna eða notast við tæknilausnir í störfum sínum og veita auk þess þjónustu á sviði rafrænna viðskipta og fjártækni

Togstreita fjártækni og persónuverndar

3. febrúar, 2021

Togstreita fjártækni og persónuverndar. Grein eftir Láru Herborgu Ólafsdóttur sem birtist í viðskiptablaði Morgunblaðsins þann 23. september 2020.
Fjármála- og efnahagsráðherra áformar að leggja frumvarp til nýrra laga um greiðsluþjónustu fyrir Alþingi í janúar á næsta ári. Með frumvarpinu er ætlunin að samræma reglur um greiðsluþjónustu þeim sem gilda á Evrópska efnahagssvæðinu, með innleiðingu tilskipunar ESB nr. 2015/2366 (PSD2). Stefnt er að því að nýju lögin taki gildi 1. júlí 2021.

Markmið frumvarpsins er að efla samkeppni á sviði greiðsluþjónustu og greiða fyrir aðgengi nýrra aðila á markaðinn, auka framboð á sviði greiðsluþjónustu og auðvelda aðgengi að nýjum tæknilausnum. Að auki er yfirlýst markmið PSD2-tilskipunarinnar, sem frumvarpið myndi innleiða, að efla neytendavernd og upplýsingaöryggi, m.a. með auknu eftirliti. Ein ástæðan fyrir PSD2 er sú að umsvifamiklir aðilar í Evrópu höfðu áður meinað nýjum og smærri aðilum aðgang að gögnum sinna viðskiptavina nema gegn endurgjaldi, en nýja lagaumhverfið á að
hamla slíkum fákeppnistilburðum.

Helstu breytingar með fyrirhuguðu lagafrumvarpi eru þær að gildissvið laganna verður rýmra og nýir aðilar, svokallaðir greiðsluvirkjendur og upplýsingaþjónustuveitendur, munu falla undir gildissvið laganna. Umræddir aðilar lúta ekki eins ströngu regluverki og fjármálafyrirtæki, til dæmis varðandi innkomu á markað og eru til dæmis engar kröfur gerðar um tilgreint eigið fé hjá slíkum aðilum heldur er einungis gerð krafa um ábyrgðartryggingu. Samkvæmt PSD2 munu greiðsluvirkjendur og upplýsingaþjónustuveitendur geta fengið aðgang að svonefndum greiðslureikningum neytenda, með þeirra samþykki, s.s. hjá bönkum, í gegnum netviðmót (e. online interface) sem bönkum ber að bjóða upp á.

PSD2 hefur valdið talsverðri ringulreið í Evrópu og er athyglisvert í því skyni að skoða samspil markaðsþróunar- og samkeppnissjónarmiða sem eru ríkjandi í ákvæðum PSD2, við þau öryggis- og persónuverndarsjónarmið sem persónuverndarreglugerðin byggist á. Samkvæmt PSD2 hvílir t.d. sú skylda á bönkum að veita greiðsluvirkjendum og upplýsingaþjónustuveitendum tilteknar upplýsingar án endurgjalds. Á hinn bóginn er aðgangur þessara aðila takmarkaður við nauðsynlegar upplýsingar til að hægt sé að veita þjónustuna. Hvað varðar greiðsluvirkjendur er tiltekið með afdráttarlausum hætti í 66. gr. PSD2 að þeim sé beinlínis óheimilt að vinna, geyma eða afla annarra upplýsinga, auk þess sem þeim er óheimilt að geyma viðkvæmar persónuupplýsingar um notendur. Hefur þetta verið túlkað á þann veg að greiðsluvirkjendum sé óheimilt á grundvelli PSD2 að safna frekari upplýsingum við veitingu þjónustunnar. Á hinn bóginn er upplýsingaþjónustuveitendum að sama skapi óheimilt að geyma viðkvæmar persónuupplýsingar um notendur og óheimilt að vinna, geyma eða afla annarra upplýsinga en nauðsynlegar eru til að hægt sé að veita þjónustu, „í samræmi við persónuverndarlög“, sbr. 67. gr. PSD2. Framangreint orðalag 67. gr. PSD2 hefur vakið upp álitaefni, m.a. varðandi það hvort upplýsingaþjónustuveitendur geti einfaldlega útvíkkað (hugsanlegt) gildissvið sitt til að safna frekari upplýsingum eða endurnýtt þær upplýsingar (e. recycle data) sem safnað er um einstaklinga hverju sinni fyrir aðra þjónustu, gegn sérstöku samþykki á grundvelli persónuverndarlaga, ólíkt því sem virðist mega ráða af orðalagi ákvæðisins um greiðsluvirkjendur. Hafa ber í huga að Evrópska persónuverndarráðið hefur nýlega gefið út það álit sitt að samþykki samkvæmt PSD2 sé séreðlis, samningsbundið og óháð samþykki sem gefið sé af hálfu einstaklinga til vinnslu persónuupplýsinga samkvæmt persónuverndarlögum. Mikilvægt er því fyrir greiðsluvirkjendur og upplýsingaþjónustuveitendur að huga vel að því hvort viðunandi samþykki notandans sé fyrir hendi hverju sinni.

Umrætt regluverk PSD2 endurspeglar þær áskoranir sem Evrópusambandið og Ísland, meðal annars fyrir tilstuðlan samningsins um Evrópska efnahagssvæðið, standa iðulega frammi fyrir. Við setningu tilgreindra laga býr oft að baki þeim skýrt meginmarkmið sem löggjöfinni er ætlað að tryggja. Þau lög geta svo eftir atvikum illa samrýmst annarri löggjöf, sem hefur eftir atvikum gagnstætt eða illsamþýðanlegt markmið að leiðarljósi. Ef lögin tilgreina ekki skýrlega hvort markmiðið skuli, í vafa, ganga framar hinu, í þessu tilviki persónuverndarsjónarmið annars vegar og samkeppnis- og viðskiptasjónarmið hins vegar, leiðir það til lagalegrar óvissu fyrir fyrirtæki sem skulu athafna sig innan regluverksins. Enn er beðið frekari skýringa á gangverki PSD2 gagnvart persónuverndarreglugerðinni innan Evrópu og mun sú staða eflaust jafnframt framkallast hér á landi.

Til baka í yfirlit