De Herziene Richtlijn Betaaldiensten (PSD2) heeft als doel om concurrentie en innovatie op de Europese betaalmarkt te stimuleren. Hiertoe regelt PSD II dat banken – onder bepaalde voorwaarden – toegang tot de rekeningdetails en transactiegegevens van hun klanten moeten verlenen aan andere betaaldienstverleners.
Tegelijkertijd moeten betaaldienstverleners en banken de privacy van hun klanten in acht blijven nemen. PSD II stelt daarvoor algemene eisen aan het delen van gegevens. Ook de eisen uit de Algemene Verordening Gegevensbescherming (AVG) zijn van toepassing.
De gelijktijdige toepasselijkheid van de AVG en PSD II levert soms een ingewikkelde situatie op. Een voorbeeld is het toestemmingsvereiste, dat in beide wetteksten voorkomt. Moet hier onder de AVG en PSD II dan ook dezelfde invulling aan worden gegeven?
Charco & Dique Legal legt uit hoe u op een juiste wijze toestemming voor gegevensverwerking vraagt aan uw klanten.
Privacy in PSD II
Artikel 94 van PSD II bepaalt dat betaaldienstverleners persoonsgegevens alleen mogen inzien, verwerken en bewaren als dit noodzakelijk is voor het aanbieden van de betaaldienst. In de meeste gevallen moet hier hiervoor uitdrukkelijke toestemming zijn verkregen van de klant.
Met het voldoen aan deze bepaling is een betaaldienstverlener er echter nog niet. De eisen uit de AVG zijn namelijk ook van toepassing. Met name het grondslagvereiste kan tot verwarring kan leiden bij het verlenen van betaaldiensten.
Verhouding tot de AVG – Het toestemmingsbegrip
Onder de AVG is verwerking van persoonsgegevens uitsluitend toegestaan als hiervoor een in de AVG genoemde grondslag bestaat. Eén van die grondslagen is toestemming van de betrokkene. Betekent ‘toestemming’ hier hetzelfde als in PSD II? Met andere woorden: als u uw klant om toestemming heeft gevraagd voor gegevensverwerking onder AVG, heeft u dan ook meteen voldaan aan het toestemmingsvereiste van PSD II?
De wetgever is hier duidelijk over: neen. Aan het toestemmingsbegrip moet een PSD II-specifieke uitleg worden gegeven, en deze uitleg hoeft niet één op één overeen te komen met de AVG-uitleg.
De Autoriteit Persoonsgegevens (AP) heeft later een toelichting gegeven op de PSD II-eis van uitdrukkelijke toestemming en een aantal voorschriften geformuleerd:
- Toestemming voor toegang tot persoonsgegevens moet afzonderlijk van andere onderdelen van de overeenkomst worden verkregen;
- De klant moet actief toestemmen. Stilzwijgende toestemming is dus niet toegestaan;
- De toestemmingsvraag moet ondubbelzinnig en specifiek zijn. ‘Specifiek’ wil hier zeggen dat het duidelijk moet zijn om welke gegevens het gaat en waarom de verwerking ervan nodig is;
- De klant moet in de gelegenheid worden gesteld een goed geïnformeerde keuze te maken;
- Klanten mogen geenszins onder druk worden gezet om toestemming te geven;
- Klanten moeten hun toestemming gemakkelijk kunnen intrekken.
Meer weten?
Bent u benieuwd of u op een juiste wijze invulling geeft aan de toestemmingsvereisten van PSD II en de AVG? Of wilt u weten met welke privacyregels u nog meer allemaal rekening moet houden? Lees meer over PSD2 of neem contact met ons op. C&D Legal helpt u graag bij al uw vragen over betaaldienstverlening en de bescherming van persoonsgegevens.
Contact