Mobila betalningar förändrar sätter hur konsumenter genomför betalningar och genom detta uppstår nya aktörer och möjligheter. Vi delar insikter i hur mobila betalningar regleras juridiskt. Som ett led i Europas digitaliseringsstrategi kommer det andra Betaltjänstdirektivet (PSD II) med krav på att öppna och dela bankdata, ökad access till bankinfrastrukturen, förstärkta säkerhetskrav, samt ökat konsumentskydd.
Utvecklingen av mobila betalningar
Mobila betalningar är ett snabbt framväxande område i Europa och Sverige. För svenska användare finns iZettle, Klarna, Swish. Internationellt ser vi lanseringar av Facebook’s Messenger Payments, Paypal, Apple Pay, Weibo Payment. Samsung Pay och Andriod Pay m.fl. Sedan tidigare finns kontaktlösa betalningar som t.ex. hos ICA Banken. Vi ser särskilt tydligt hur mobila betalningar har slagit igenom i Storbritannien där handlare har investerat i mobila betalningsenheter för att kunna processa mobila betalningar det senaste året. Detta förklaras med att under sommaren 2015 övergick betalningsansvaret för bedrägliga och stulna kortbetalningar övergick på handlaren om de inte hade chip enheter.
Utmaningarna med mobila betalningar
Som alltid med ny teknik finns utmaningar med att förstå och hålla jämn takt med säkerhetsbrister, särskilt eftersom mobila betalningar kräver flertalet dataöverföringar mellan olika system som driftas av olika företag. En utmaning för företag är att efterleva de lagar och regleringar som finns på området, som t.ex. PCI-DSS. Dessutom kommer under 2018 nya dataskyddsförordningen (GDPR) och cybersäkerhetförordningen (NIS) sätta nya krav på insamling, paketering av tjänster mot kund, samt krav att meddela om hackerattacker och avsevärt höja nivån på böter. Banker och appföretag har en utmaning i att förmedla förtroende och säkerhet till konsumenterna, i ett globalt medielandskap som gärna rapporterar om hackerattacker och säkerhetsbrister.
Glädjande ser vi innovation inom banksektorn med både Nordea, SEB, Nordnet och Ålandsbanken som introducerar fintech inkubatorer och partnerskap med betalningsinitieringstjänster och kontoinformationstjänster som t.ex. Shareville, Wrapp eller Dreams.
Vem bär ansvaret för dataskydd?
Ansvaret att följa dataskyddslagen delas av flertal parter som är involverade i att tillhandahålla ett mobilt betalningssystem. Beroende på vald betalningsmodell och produkt krävs väl avvägda bedömningar och design av dataflöden samt genomtänkt ansvar för vilka underleverantörer som engageras. Målet är att uppnå en enkel och kontrollerbar kedja som hanterar era kunders dataflöden om inte risken för dataskydd ska bli alltför hög och potentiellt kostsam.
Den/De partner som agerar som ”personuppgiftsansvarig”, genom att bestämma syftet för vilka och sättet som datainsamling sker, måste följa tillämplig personuppgiftslagstiftning samt från 25 maj 2018 den nya och striktare GDPR. Var uppmärksam mot internationella dataöverföringar, eftersom även inom EU kan olika länder ha olika strikt tolkning av kraven. Personuppgiftsansvarig är slutligt ansvarig för brott mot personuppgiftslagen, kommer de att försöka hålla sina personuppgiftsbiträden ansvariga, vilket betyder att alla involverade kommer att bära sin del av dataskyddsrisken.
Oavsett vem som bär den juridiska risken är det i allas intresse att försäkra sig om att dataskyddsfrågor adresseras i förhandlingar, hanteras enligt best practice för att mitigera risk och undvika den good-will förlust och skada som dataintrång har för konsumenten.
Kan banker vägra underlätta för mobila betalningar?
Mobila betalningar som mobila plånböcker kommer att klassas som en betalningsinitieringstjänst (payment initiation services) enligt det nya betaltjänstdirektivet II (Second Payment Services Directive) som trädde ikraft januari 2016 och som gäller för betaltjänstleverantörer från januari 2018. Efter detta kommer bankerna inte kunna neka access för betalningsinitieringstjänster och kontoinformationstjänster om inte för särskilda säkerhetsrisker.
Den nyhet som PSD II introducerar som förväntas få störst praktisk betydelse är access till bankkontot. Det innebär att bankerna i egenskap av Account Servicing Payment Service Provider (ASPSP) får krav att anpassa och tillgängliggöra bankkonton vad gäller utveckling av säkerhet, affärsmodell samt teknik. Detta har givit möjligheter till nya aktörer som tänker kundcentrerat utan att vara fast i gamla IT-strukturer och begränsad systemarkitektur som betalningsinitieringstjänster och kontoinformationstjänster som t.ex. Tink.
Juridiskvägledning.se är en blogg med serie av inlägg om internetjuridik och startupjuridik som tillhandahålls av affärsjuridiska byrån Sharp Cookie Advisors, vars juridiska tech team rådger ledande techföretag.
För att veta mer om Sharp Cookie Advisors, eller om du behöver hjälp att tillvarata dina intressen och utveckla din affär kring mobila betalningar och kunddata, klicka här.