Källförteckning... 53

Relevanta dokument
Kommittédirektiv. Betaltjänster, förmedlingsavgifter och grundläggande betalkonton. Dir. 2015:39. Beslut vid regeringssammanträde den 1 april 2015

EUROPEISKA CENTRALBANKEN

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

Konkurrensen i Sverige Kapitel 12 Betaltjänstmarknaden RAPPORT 2018:1

EUROPEISKA CENTRALBANKEN

Tekniska och affärsmässiga krav för betalningar och autogireringar i euro

Framtidens Betalningar Utvecklingen i Sverige och Europa. Leif Trogen Svenska Bankföreningen 5 oktober 2011

Svensk författningssamling

RIKTLINJER FÖR ANSVARSFÖRSÄKRING ENLIGT PSD 2 EBA/GL/2017/08 12/09/2017. Riktlinjer

Finansiella tjänster Kommissionen godkänner en rekommendation om elektroniska betalningsmedel

om krav för rapportering av statistiska uppgifter om svikliga förfaranden enligt artikel 96.6 i det andra betaltjänstdirektivet

U 25/2018 rd. Helsingfors den 17 maj Finansminister Petteri Orpo. Finansråd Risto Koponen

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

Finansinspektionens författningssamling

Nya regler om betaltjänster

Kommittédirektiv. Nya regler om åtgärder mot penningtvätt och finansiering av terrorism. Dir. 2014:140

Föreläggande att upphöra med tillståndspliktig verksamhet

Tjänster för elektronisk identifiering och signering

Åtgärder mot att användare vilseleds att logga in någon annan med sin e-legitimation

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

EUROPEISKA DATATILLSYNSMANNEN

EUROPEISKA CENTRALBANKEN

NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG?

EUROPAPARLAMENTET. Utskottet för ekonomi och valutafrågor

GDPR. Dataskyddsförordningen 27 april Emil Lechner

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Regeringskansliet Faktapromemoria 2016/17:FPM85. Handlingsplan om finansiella tjänster för konsumenter: Bättre produkter, fler valmöjligheter

RP 132/2017 rd. Dessutom föreslås det vissa ändringar i konsumentskyddslagen och informationssamhällsbalken.

Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

för klagomålsförfaranden vid påstådda överträdelser av betaltjänstdirektiv 2

BILAGOR. till. Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

FINLANDS FÖRFATTNINGSSAMLING

FÖRSLAG TILL BETÄNKANDE

Elektroniska fakturor vid offentlig upphandling, Ds 2017:31

1. Omfattning. 2. Förutsättningar

SÅ FÖRBEREDER NI ER INFÖR DATASKYDDSLAGEN (GDPR)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Konsultation på Europeiska kommissionens grönbok - Mot en integrerad marknad för kort-, internet och mobilbetalningar, KOM (2011) 941.

Utdrag ur protokoll vid sammanträde Förslaget föranleder följande yttrande av Lagrådet:

BESLUTSPROMEMORIA. FI Dnr Sammanfattning

Regeringskansliet Faktapromemoria 2016/17:FPM40. Förordning och direktiv om mervärdesskatt vid gränsöverskridande e-handel. Dokumentbeteckning

Riktlinjer EBA/GL/2018/07. 4 december 2018

Informationssäkerhet för samhällsviktiga och digitala tjänster

Tekniska och affärsmässiga krav för betalningar och autogireringar i euro. Eva-Lena Norgren (Finansdepartementet)

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) nr / av den

Card Payment Sweden Stortorget 13 B SE Malmö Sweden

Modernisering av mervärdesskattesystemet vid gränsöverskridande e-handel mellan företag och konsumenter (B2C) Förslag till

^Synskadades. Yttrande över "Reboot - omstart för den digitala förvaltningen" SOU 2017:114 FI2018/00106/DF

WHITE PAPER. Dataskyddsförordningen

Dataskyddsförordningen

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSBEDÖMNINGEN. Följedokument till

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

Jessica Björklund. Handledare: Jur. dr. Elif Härkönen Examinator: Jur. dr. Anders Holm

***I FÖRSLAG TILL BETÄNKANDE

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Detta dokument är endast avsett som dokumentationshjälpmedel och institutionerna ansvarar inte för innehållet

Svensk författningssamling

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

Svenskt Näringsliv Confederation of Swedish Enterprise

FÖRSLAG TILL YTTRANDE

Regeringskansliet Faktapromemoria 2014/15:FPM46. Revidering av EU:s ramverk för energimärkning. Dokumentbeteckning. Sammanfattning. Miljödepartementet

RIKTLINJER OM NATIONELLA PROVISORISKA FÖRTECKNINGAR ÖVER DE MEST REPRESENTATIVA TJÄNSTERNA EBA/GL/2015/

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

EUROPEISKA GEMENSKAPERNAS KOMMISSION MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET, RÅDET OCH EUROPEISKA CENTRALBANKEN

5933/4/15 REV 4 ADD 1 SN/cs 1 DPG

Konsekvensutredning avseende Energimyndighetens föreskrifter för registret för utsläppsrätter

Regeringskansliet Faktapromemoria 2012/13:FPM117. Direktiv om betalkonto. Dokumentbeteckning. Sammanfattning. Finansdepartementet

Rådets möte för rättsliga och inrikes frågor (RIF) den 4-5 juni 2018

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Guide 2 Din guide till PSD2

INTEGRITETSPOLICY Tikkurila Sverige AB

Högsta förvaltningsdomstolen meddelade den 2 februari 2016 följande dom (mål nr ).

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den XXX

Svenskt Näringsliv Confederation of Swedish Enterprise

Remissvar avseende kommissionens förslag till dataskyddsförordning (KOM (2012) 11 slutlig)

Produktrelease för Bankgirosystemet. April Utgåva våren 2015

PERSONUPPGIFTSBITRÄDESAVTAL

ECB-PUBLIC EUROPEISKA CENTRALBANKENS YTTRANDE. av den 24 juli om Sveriges riksbanks finansiella oberoende (CON/2013/53)

EUROPAPARLAMENTET C5-0639/2001. Gemensam ståndpunkt. Sammanträdeshandling 2001/0174(COD) 10/12/2001

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Förslag till ändring av Finansinspektionens föreskrifter (FFFS 2013:10) om förvaltare av alternativa investeringsfonder (AIFM-föreskrifterna)

Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

Kommittédirektiv. Ett nytt regelverk om kapitaltäckning för värdepappersbolag. Dir. 2019:22. Beslut vid regeringssammanträde den 16 maj 2019

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Europeiska unionens råd Bryssel den 24 november 2016 (OR. en)

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Regeringskansliet Faktapromemoria 2016/17:FPM59. Förordning om kontroller av kontanta medel. Dokumentbeteckning. Sammanfattning.

Föreskrifter och anvisningar 14/2013

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Konsultation avseende grönbok om betaltjänster i EU

Utskottet för den inre marknaden och konsumentskydd ARBETSDOKUMENT. om tillgång till ett grundläggande betalkonto

RP 242/2009 rd. Regeringens proposition till Riksdagen med förslag till lag om ändring av 9 i lagen om skatteuppbörd

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

FÖRSLAG TILL BETÄNKANDE

Konsoliderad TEXT CONSLEG: 2001O /10/2001. producerad via CONSLEG-systemet. av Byrån för Europeiska gemenskapernas officiella publikationer

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Betalningsstatistik 2014, uppgifter som ska rapporteras

Transkript:

Linköpings universitet Institutionen för ekonomisk och industriell utveckling Masteruppsats 30 hp Masterprogram i Affärsjuridik - Affärsrätt HT2017/VT2018 LIU- IEI- FIL- A- - 18/02712- - SE Det andra betaltjänstdirektivet och dess påverkan på tredjepartsleverantörer Särskilt om kundautentiseringsreglerna i förhållande till dataskyddsförordningen The Second Payment Service Directive and its Effect on Third Party Providers Especially Regarding the Rules on Customer Authentication in relation to the General Data Protection Regulation Caroline Elbra Handledare: Elif Härkönen Examinator: Anders Holm Linköpings universitet SE- 581 83 Linköping, Sverige 013-28 10 00, www.liu.se

Sammanfattning Marknaden för betaltjänster har ökat avsevärt de senaste åren i och med teknikens utveckling och konsumenters ändrade betalningsvanor. Betalningarna har gått från att domineras av kontanter till att idag bestå av kortbetalningar och moderna betaltjänstlösningar via t.ex. mobiltelefoner. I takt med att e-handeln har expanderat och nya leverantörer av betaltjänster har trätt in på marknaden har behovet av ett gemensamt regelverk på EU-nivå för betaltjänster ökat, detta för att samtliga betalningar som sker inom EU ska vara lika effektiva och säkra som nationella betalningar. Den 13 januari 2018 trädde det andra betaltjänstdirektivet (PSD2) ikraft, vilket syftar till att harmonisera marknaden för elektroniska betalningar och skapa bättre förutsättningar för innovativa, säkra och effektiva betalningar inom EU. I och med införandet av PSD2 utvidgades definitionen av betaltjänster till att innefatta betalningsinitieringstjänster och kontoinformationstjänster, vilka är tredjepartsleverantörer och fungerar som ett mellanled mellan en bank och slutkunden på betaltjänstmarknaden. Marknaden för tredjepartsleverantörer har hittills varit oreglerad, men omfattas nu av PSD2:s tillämpningsområde, vilket gör att tredjepartsleverantörerna kan få tillgång till bankernas kundinformation och kunddata genom öppna applikationsprogrammeringsgränssnitt. Under våren 2018 kommer en ny dataskyddsförordning att träda i kraft, vilken ämnar till att ge ett ökat skydd för den personliga integriteten genom att införa striktare regler angående behandling av personuppgifter. Uppsatsen fokuserar på tredjepartsleverantörer och hur de påverkas av de nya regelverken och om innovationsmöjligheterna för nya betaltjänster kommer att främjas genom införandet av PSD2. För att kunna se hur tredjepartsleverantörerna påverkas av regelverken kommer uppsatsen fokusera på behandlingen av person- och kontouppgifter för att avgöra om bestämmelserna i PSD2 är förenliga med dataskyddsförordningen. Av uppsatsens resultat går det att utläsa att innovationen av nya betaltjänster fortsättningsvis torde främjas av de nya reglerna i PSD2 och att utvecklingen torde ske i en snabbare takt än tidigare. Det går även att utläsa att reglerna i de båda regelverken till viss del stämmer överens, men även att det finns bestämmelser som är motstridiga. 1

Innehållsförteckning Sammanfattning... 1 Förkortningslista... 4 1 Inledning... 5 1.1 Bakgrund... 5 1.2 Syfte... 6 1.3 Problemformulering... 7 1.4 Metod... 7 1.5 Avgränsningar... 8 1.6 Disposition... 9 2 Betaltjänstmarknaden i Sverige och EU... 10 2.1 Behovet av ett betaltjänstdirektiv... 10 2.2 Aktörer på betaltjänstmarknaden... 11 2.3 Betaltjänstmarknaden i förändring... 12 2.4 Behovet av ett nytt betaltjänstdirektiv... 14 2.5 En jämförelse av de båda betaltjänstdirektiven... 15 2.6 Övriga regelverk... 16 2.6.1 SEPA... 16 2.6.2 eidas... 17 2.6.3 Dataskyddsförordningen... 18 2.7 Betaltjänstmarknadens funktion... 18 3 Betaltjänster och tredjepartsleverantörer... 20 3.1 Betaltjänster... 20 3.2 Tredjepartsleverantörer... 21 3.2.1 Allmän information om tredjepartsleverantörer... 21 3.2.2 Betalningsinitieringstjänster... 22 3.2.3 Kontoinformationstjänster... 23 3.3 Säkra betalningar via tredjepartsleverantörers betaltjänster... 25 3.3.1 Kundautentisering... 25 3.3.2 Stark kundautentisering... 26 3.3.3 Tekniska standarder från EBA... 27 3.4 Open banking/api... 28 4 Informationsutlämning och personuppgiftsbehandling... 30 4.1 Skydd för den personliga integriteten... 30 4.2 En ny dataskyddsförordning... 30 4.3 Behandling av personuppgifter enligt betaltjänstdirektiven... 31 4.3.1 Personuppgiftsbehandling enligt betaltjänstlagen... 31 4.3.2 Personuppgiftsbehandling enligt det andra betaltjänstdirektivet... 32 4.4 Behandling av personuppgifter enligt dataskyddsförordningen... 33 4.4.1 Behandling enligt dataskyddsförordningen... 33 4.4.2 Personuppgifter enligt dataskyddsförordningen... 34 4.4.3 Betydelsen av samtycke vid personuppgiftsbehandling... 35 4.4.4 Dataportabilitet... 37 5 Analys... 38 5.1 Inledning... 38 5.2 En reglerad marknad för tredjepartsleverantörer... 39 5.2.1 Främjar de nya reglerna på betaltjänstmarknaden innovationen av nya tjänster?... 39 5.2.2 Internationalisering och tilliten till tredjepartsleverantörer... 40 5.2.3 Framtidsutsikten för tredjepartsleverantörer... 41 2

5.3 Striktare reglering angående kundautentisering på betaltjänstmarknaden... 42 5.3.1 Utvecklingen av kundautentisering... 42 5.3.2 Stark kundautentisering och betalningar i realtid... 43 5.4 Känsliga uppgifter... 44 5.5 Samtycke på betaltjänstmarknaden... 46 5.5.1 Samtycke som gemensam nämnare i de båda regelverken... 46 5.5.2 Samtycke vid olika förfaranden... 47 5.5.3 Inhämtande av samtycke... 49 5.6 Problematiken mellan känsliga uppgifter och samtycke i förhållande till kundautentisering... 50 5.7 Avslutande kommentar... 51 Källförteckning... 53 3

Förkortningslista AISP Kontoinformationstjänst API Applikationsprogrammeringsgränssnitt Betaltjänstlagen Lag (2010:751) om betaltjänster BIR Betalningar i Realtid EBA European Banking Authority ECB Europeiska centralbanken EES Europeiska ekonomiska samarbetsområdet eidas EU:s förordning om elektronisk identifiering och betrodda tjänster EU Europeiska unionen FI Finansinspektionen FinTech Finansiell teknologi GDPR Dataskyddsförordningen PbD Privacy by Design PISP Betalningsinitieringstjänst PSD1 Det första betaltjänstdirektivet PSD2 Det andra betaltjänstdirektivet PuL Personuppgiftslag (1998:204) SEPA Single Euro Payments Area TPP Tredjepartsleverantörer 4

1 Inledning 1.1 Bakgrund I takt med att samhället och tekniken utvecklas tillkommer nya produkter och tjänster som underlättar vardagen. Teknikens betydelse och utveckling är särskilt märkbar inom den finansiella sektorn där företag använder finansiell teknologi (FinTech) för att utmana de mer traditionella aktörerna, exempelvis storbankerna, med innovativa betaltjänster. Utvecklingen på marknaden för betalningar syns tydligt genom valet av betalningssätt och hur de har förändrats de senaste åren. Idag är det inte längre kontanter i form av mynt och sedlar som dominerar betalmarknaden, utan vi väljer istället att använda oss av kortbetalningar, e-handel och nya betalningssätt och tjänster med mobiltelefoner. 1 I dagsläget finns det en mängd olika FinTech-bolag, som PayPal 2 och Tink 3, som utmanar storbankerna när det kommer till innovativa lösningar för betalningar och överföring av pengar. Företag som PayPal och Tink är betaltjänstleverantörer och fungerar som ett led mellan banken och slutkunden på betaltjänstmarknaden och benämns som tredjepartsleverantörer (TPP). 4 Marknaden för banker och TPP förändras i och med det andra betaltjänstdirektivet (PSD2) 5. PSD2 skulle ha varit införlivat i respektive medlemsstat den 13 januari 2018, men har dock blivit försenat i Sverige och den nya lagstiftningen föreslås träda i kraft den 1 maj 2018. 6 PSD2 syftar till att utveckla en harmoniserad marknad för elektroniska betalningar och skapa bättre förutsättningar för innovativa, säkra och effektiva betalningar inom Europeiska unionen (EU). 7 I takt med att innovativa betaltjänster har lanserats på marknaden, har även säkerhetsriskerna vid elektroniska betalningar ökat, vilket beror på att de elektroniska betalningarna har blivit allt mer tekniskt komplicerade. En grundläggande förutsättning för en 1 SOU 2016:53, s. 136 och Sveriges riksbank, Finansiell stabilitet 2017:1, s. 43. 2 PayPal är en betaltjänst där användaren kan betala och ta betalt över internet. Med PayPal är det möjligt att betala och föra över pengar utan att avslöja betalningsuppgifterna. PayPal, Om oss. 3 Tink är en applikation för privatekonomi där användaren kopplar betalkonton till applikationen för att få en överblick över ekonomin, samt ha möjlighet till att betala räkningar och föra över pengar. Tink, Om Tink. 4 KOM (2013) 547 final: Förslag till Europaparlamentets och rådets direktiv om betaltjänster på den inre marknaden och om ändring av direktiven 2002/65/EG, 2013/36/EG och 2009/110/EG samt upphävande av direktiv 2007/64/EG (hädanefter KOM (2013) 547), s. 12. 5 Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (hädanefter Europaparlamentets och rådets direktiv (EU) 2015/2366). 6 Prop. 2017/18:77, s. 1. 7 SOU 2016:53 s. 14. 5

väl fungerade marknad är säkra betaltjänster, vilket leder till att betaltjänstanvändarna bör skyddas mot de ökade säkerhetsriskerna som är kopplade till de nya betaltjänsterna. 8 Innan ikraftträdandet av PSD2 har bankerna haft oligopol på marknaden för kundernas kontoinformation, vilket har gjort det svårt för TPP att ta sig in på marknaden för betaltjänster. 9 För att öppna upp marknaden för TPP har definitionen av betaltjänster utvidgats i PSD2 till att omfatta betalningsinitieringstjänster (PISP) och kontoinformationstjänster (AISP), vilket innebär att marknaden för TPP hädanefter kommer vara reglerad. 10 I och med de ändrade reglerna i PSD2 blir det möjligt för TPP att använda sig av bankernas information och infrastruktur för att själva leverera betaltjänstlösningar, vilket kommer ske genom att bankerna öppnar upp sina applikationsprogrammeringsgränssnitt (API). 11 Det är inte enbart PSD2 som ändrar reglerna för aktörerna på finansmarknaden under år 2018, även dataskyddsförordningen (GDPR) 12 träder i kraft under året. Förordningen behandlar hanteringen av personuppgifter och syftar till att skydda den enskilde individens personuppgifter och den personliga integriteten i högre utsträckning än tidigare. GDPR syftar vidare till att ge fysiska personer en större kontroll över de egna personuppgifterna för att skapa den tillit som krävs för att skapa en digital ekonomi inom unionen. 13 Rätten till skydd av personuppgifter utgör även en av de grundläggande rättigheterna inom unionen. 14 1.2 Syfte Syftet med uppsatsen är att redogöra för reglerna om TPP och hur de påverkas av reglerna i PSD2. Vidare är syftet att undersöka om det finns en systemkonflikt mellan reglerna i PSD2 och GDPR angående hanteringen av person- och kontouppgifter. Den eventuella systemkonflikten grundar sig i PSD2:s regler om öppnandet av marknaden genom att bankerna blir tvungna att lämna ut information om deras kunders kontoinformation till TPP och ge dem tillgång till deras kunddatabas. I motsats till PSD2 syftar GDPR till en striktare 8 SOU 2016:53, s. 138. 9 Hafstad m.fl., PSD2 Strategic oppotunities beyond compliance, s. 44. 10 SOU 2016:53 s. 14 och 191. 11 Hafstad m.fl., PSD2 Strategic oppotunities beyond compliance, s. 8 och Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 43. 12 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (hädanefter Europaparlamentets och rådets förordning (EU) 2016/679). 13 Europaparlamentets och rådets förordning (EU) 2016/679, skäl 7. 14 Europeiska unionens stadga om de grundläggande rättigheterna, art. 8. 6

reglering om vilka personuppgifter som får behandlas och på vilket sätt. Gemensamt för både PSD2 och GDPR är samtycke, vilket är varför reglerna angående inhämtande och givande av samtycke kommer att analyseras utifrån de båda regelverken och ligga till grund för besvarandet av frågeställningarna. 1.3 Problemformulering Kommer TPP:s innovationsmöjligheter till nya betaltjänster främjas i och med införandet av PSD2? Hur förhåller sig reglerna om personuppgiftsbehandling enligt PSD2 till hanteringen av personuppgifter enligt GDPR? Finns det någon regelkonflikt mellan kundautentiseringsreglerna i PSD2 och personuppgiftsbehandlingen i GDPR? 1.4 Metod I uppsatsen kommer två metoder att tillämpas för att besvara frågeställningarna eftersom det valda ämnet berör olika områden på betaltjänstmarknaden. Avsikten med de valda metoderna är att de ska komplettera varandra. Den rättsdogmatiska metoden kommer att användas för att beskriva reglerna om PSD2 och GDPR. Metoden går ut på att fastställa och besvara frågan vad är gällande rätt?. Vid en redogörelse av gällande rätt och rättskällorna, är utöver svenska lagar, förarbeten, prejudikat och doktrin även EU-rättsligt och unionsrättsligt material inbegripet. 15 De olika typerna av rättskällor behövs för att komma fram till syftet med reglerna och varför de ser ut som de gör. För att kunna avgöra om det finns en konflikt mellan de två regelsystemen kommer systematiseringen inom rättsdogmatiken att tillämpas, vilket är en av de två huvuddelarna inom rättsvetenskapen. Systematiseringen innebär att identifiera samband, likheter, skillnader och principer av de olika regelverken och bygger på beskrivningen av gällande rätt. Systematiseringen blir därmed central och har en stor betydelse för rättsvetenskapens självförståelse. 16 15 Lehrberg, Praktisk juridisk metod, s. 207, Olsen, Rättsvetenskapliga perspektiv, s. 116 och Sandgren, Rättsvetenskap för uppsatsförfattare: ämne, material, metod och argumentation, s. 43. 16 Peczenik, Juridikens allmänna läror, s. 259, Sandgren, Om teoribildning och rättsvetenskap, s. 322-326 och Sandgren, Rättsvetenskap för uppsatsförfattare: ämne, material, metod och argumentation, s. 43. 7

Med anledning av Sveriges medlemskap i EU blir rättsakter som antas på EU-nivå gällande rätt i Sverige. Rättsakterna består bl.a. av direktiv som ska implementeras i respektive medlemslands rättsordning och direkt tillämpliga förordningar. 17 De svenska reglerna angående betaltjänster och personuppgiftsbehandling bygger på sådana EU-rättsliga direktiv (PSD2) och förordningar (GDPR). Därför kommer den EU-rättsliga metoden att användas i denna uppsats för att på ett korrekt sätt redogöra för PSD2 och GDPR. Den EU-rättsliga metoden är ett tillvägagångssätt för att hantera de EU-rättsliga källorna, vilka bygger på internationell rätt och utgör därmed ett mellanled mellan den internationella och den nationella rätten. 18 Den tolkningsmetod som är mest etablerad inom EU-rätten är den teleologiska tolkningsmetoden. Det rör sig emellertid inte enbart om en traditionell ändamålsenlig tolkning utan det kan sägas att EU-domstolen har utvecklat sin egen tolkningsstil. 19 Inom EU-rätten har även soft law utvecklats genom att icke-bindande rättsakter har utvecklats av olika EU-organ. De icke-bindande rättsakterna består främst av riktlinjer, rekommendationer och yttranden för att hjälpa medlemsländerna att tillämpa och tolka EU-rätten. 20 I samband med redogörelsen för PSD2 och GDPR kommer hänsyn tas till tekniska standarder framarbetade av European Banking Authority (EBA) samt andra riktlinjer och rekommendationer för att fastställa gällande rätt. 1.5 Avgränsningar Trots det faktum att bankerna påverkas av införlivandet av PSD2 och GDPR kommer denna uppsats fokusera på TPP och endast i den mån det är nödvändigt beröra bankerna. Avgränsningen från bankerna beror främst på tidsbrist och omfattningen för denna uppsats. Både bankerna och TPP är olika varianter av betaltjänstleverantörer, med den skillnaden att TPP fungerar som ett mellanled mellan banken och slutkunden, vilket innebär att TPP får en annorlunda roll på betaltjänstmarknaden. Vidare kommer endast de relevanta bestämmelserna i de båda regelverken att behandlas, exempelvis reglerna angående betaltjänster och personuppgiftsbehandling, för att kunna besvara frågeställningarna och inte regelverken i sin helhet. 17 Korling & Zamboni, Juridisk metodlära, s. 115. 18 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s. 34 och Korling & Zamboni, Juridisk metodlära, s. 109-110. 19 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s.158. 20 Hettne & Otken Eriksson, EU-rättslig metod: teori och genomslag i svensk rättstillämpning, s. 46 och Korling & Zamboni, Juridisk metodlära, s. 127. 8

1.6 Disposition I kapitel 2 ges en beskrivning av betaltjänstmarknaden i Sverige. I kapitlet beskrivs behovet av ett gemensamt regelverk av betaltjänster på EU-nivå, hur marknaden har förändrats, vilka aktörer som opererar på marknaden, de relevanta regelverken och hur marknaden fungerar i korthet. I kapitel 3 ges en djupare redogörelse av PSD2 där fokus ligger på de bestämmelser som berör betaltjänster och TPP, samt vikten av kundautentisering. I kapitel 4 skildras reglerna om behandling av personuppgifter och dataskydd utifrån hur de regleras i PSD2 och GDPR. Kapitlet börjar med en kort introduktion till den personliga integriteten för att sedan redogöra för de specifika regelverken. Avslutningsvis, i kapitel 5, analyseras problemen djupgående utifrån ett svenskt perspektiv och problemformuleringarna besvaras. 9

2 Betaltjänstmarknaden i Sverige och EU 2.1 Behovet av ett betaltjänstdirektiv Den svenska betaltjänstmarknaden regleras genom direktiv och förordningar från EU, direktiven har i sin tur implementerats i den svenska lagstiftningen genom bl.a. betaltjänstlagen 21. Tiden innan det första betaltjänstdirektivet (PSD1) 22 fanns det ett flertal olika regleringar inom gemenskapen i form av direktiv, förordningar och rekommendationer angående betaltjänster och elektroniska betalningar på den inre marknaden. En av de avgörande faktorerna till behovet av en gemensam reglering på området var det spridda regelverket som ansågs ofullständigt och som existerade parallellt med nationella bestämmelser. 23 En nödvändig förutsättning för moderna ekonomier, både idag och innan PSD1, är effektiva och säkra betalningssystem. Kommissionens mål med PSD1 var att skapa en gemensam betalningsmarknad inom EU där ökad konkurrens skulle bidra till minskade kostnader för betalningssystemet. Initiativet riktade in sig på elektroniska betalningar som ett alternativ till dyra kontanttransaktioner. 24 Valet av att fokusera det nya regelverket på elektroniska betalningar stöds av konsumenternas förändrade betalningsvanor. I Sverige var kontantbetalningar vanligast i början av 2000-talet, medan det från år 2005 har varit kortbetalningar som har varit mest förekommande på marknaden, vilket kan komma att ändras i takt med utvecklingen av nya betaltjänster. 25 I och med införandet av PSD1 åstadkoms en samlad reglering av betaltjänster i EU och länderna tillhörande det Europeiska ekonomiska samarbetsområdet (EES). Med en harmoniserad inre marknad menades att samtliga betalningar inom EU och EES-området skulle göras lika enkla, effektiva och säkra som de nationella betalningarna. 26 Finanskrisen år 2008 ledde till flera förändringar på betaltjänstmarknaden runt om i världen. Sverige har en liten och öppen ekonomi med en finansmarknad som är väl integrerad med omvärlden, vilket gör att ekonomisk och politisk osäkerhet i omvärlden påverkar svensk 21 Lag (2010:751) om betaltjänster. 22 Europaparlamentets och rådets direktiv 2007/64/EG av den 13 november 2007 om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/65/EG, 2005/60/EG och 2006/48/EG samt upphävande av direktiv 97/5/EG (hädanefter Europaparlamentets och rådets direktiv 2007/64/EG). 23 Europaparlamentets och rådets direktiv 2007/64/EG, skäl 3. 24 KOM (2005) 603 slutlig: Om genomförande av gemenskapens Lissabonprogram: Förslag till Europaparlamentets och rådets direktiv om betaltjänster på den inre marknaden och om ändring av direktiven 97/7/EG, 2002/12/EG och 2002/65/EG (hädanefter KOM (2005) 603), s. 2. 25 Konkurrensverket, Betaltjänstmarknaden i Sverige, s. 18 och 25. 26 Prop. 2009/10:220 s. 70-71. 10

finansiell stabilitet. 27 Den svenska betaltjänstmarknaden befinner sig i en intensiv utvecklingsfas, och kommer troligtvis fortsätta på det sättet framöver, med tanke på konsumenternas ändrade betalningsvanor och etableringen av internationella betaltjänster. I Sverige syns förändringen genom att förtroendet och användandet av betalningsapplikationer stadigt ökar. 28 2.2 Aktörer på betaltjänstmarknaden På marknaden för betaltjänster existerar det ett flertal aktörer utöver de traditionella bankerna. Betaltjänstmarknaden kan delas in i tre lager där aktörerna ryms och är verksamma. 29 Det första lagret är ett system för processhantering och avveckling av betalningar som består av Riksbankens betalningssystem RIX. I det första lagret ingår storbankerna, men även systemet Betalningar i Realtid (BIR) som hanteras av Bankgirot. En vanlig förekommande form av BIR är Swish-betalningar. Det andra lagret är infrastrukturen som syftar till att skapa bättre förutsättningar för effektiva och säkra betalningar, s.k. clearing. Det andra lagret är utformat på olika sätt beroende på vilken form av betaltjänst som används. Bankgirot är en viktig aktör för processhanteringen i det andra lagret där Mobilt BankID är en viktig standard och grunden för identifiering vid betalningar och andra tjänster som vuxit fram de senaste åren. Det tredje och sista lagret består av tjänster och applikationer, vilka utgör grunden för innovation och framväxt av nya betaltjänster på marknaden. 30 Riksbanken har i sin tur delat upp betaltjänstaktörerna i tre huvudgrupper som ofta återfinns i det tredje lagret och är utmanande betaltjänstaktörer. Huvudgrupperna utgörs av telekomoperatörer, teknikinnovatörer och processinnovatörer. Telekomoperatörerna är generellt sett intresserade av att uppmuntra kunderna till att använda mobilen till allt fler tjänster och driva upp datatrafiken i mobilnäten. Deras primära drivkraft kan sägas vara att söka efter nya intäktskällor, bredda tjänsteportföljen och etablera sig på marknaden. Ett sätt att nå målet på är att erbjuda SMS-betalningar eller betalningar via WyWallet. 31 Teknikinnovatörerna baserar deras betaltjänster på ny teknik, på så vis skapas nya betaltjänster på marknaden. De arbetar för att etablera sig på marknaden, för att i slutändan 27 Sveriges riksbank, Finansiell stabilitet 2017:2, s. 17. 28 Insight Intelligence, Sverige betalar 2017: Svenska folkets attityder till betalmetoder och betaltjänster, s. 3 och 33. 29 Konkurrensverket, Betaltjänstmarknaden i Sverige, s. 29. 30 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige En studie av förändring inom betalsystemet, s. 20-22. 31 WyWallet är ett mobilt betalningssätt där användaren använder mobilen för att betala på internet eller med SMS-köp utan att lämna ut kortnummer. WyWallet, Så fungerar WyWallet. 11

vinna nischer, kringtjänster och intäktskällor. Exempel på teknikinnovatörer är izettle 32 och Payair. 33 Processinovatörerna arbetar även de för att etablera sig på marknaden, för att vinna nischer, kringtjänster och intäktskällor. Processinnovatörerna erbjuder inga nya betaltjänster, utan förlitar sig på de redan existerande betaltjänsterna. Däremot rationaliserar de användandet av betaltjänster för slutanvändaren. Exempel på processinnovatörer är Klarna 34 och PayPal. 35 De flesta företag på betaltjänstmarknaden som bedriver sin verksamhet inom någon av huvudgrupperna är TPP och fungerar som en mellanhand på betaltjänstmarknaden mellan bankerna och betaltjänstanvändarna genom deras nya betalningslösningar. 36 2.3 Betaltjänstmarknaden i förändring För att en gemensam och modern betaltjänstmarknad ska nå sin fulla potential måste branschen spela en central roll. Det är betaltjänstleverantörerna som ställs inför uppgiften att integrera de splittrade nationella betalningsinfrastrukturerna och erbjuda nya innovativa och effektiva betaltjänster. 37 Att moderna betalningssystem och betaltjänster krävs för den moderna ekonomin och betaltjänstmarknaden visas genom att nystartade företag inom teknikbranschen förändrar den finansiella marknaden för betaltjänster. De nystartade företagen benämns ofta som FinTech-bolag, vilket innebär att de levererar finansiella tjänster med hjälp av digital teknik. FinTech-bolagen kan sägas ha sin kärnverksamhet inom finansiella tjänster samtidigt som de utmanar strukturen på finansmarknaden. 38 Förändringen på marknaden sker bl.a. genom att företagen erbjuder konsumentorienterade lösningar som kombinerar snabbhet, flexibilitet och innovativa företagsmodeller. 39 För dessa företag är betaltjänster en av flera komponenter som driver marknadsutvecklingen framåt och ett sätt för det digitala och det fysiska att flyta ihop. FinTech-bolagen agerar utifrån att finansiella tjänster är ett medel, inte ett mål. 40 32 izettle förmedlar tjänster och applikationer för att förändra förutsättningarna för småföretagare, t.ex. genom mobila kortläsare. izettle, Om oss. 33 Payair är en applikation som gör det möjligt för användaren att genomföra snabba betalningar direkt från mobiltelefonen genom att koppla ett betalkort till applikationen. Payair, About us. 34 Klarna erbjuder enkla, säkra och smidiga betalningslösningar. Klarna var länge en tredjepartsleverantör men har nu erhållit banktillstånd. Klarna, Om oss. 35 Sveriges riksbank, Den svenska massbetalningsmarknaden, s. 53-55. 36 KOM (2013) 547, s. 12. 37 KOM (2005) 603, s. 3. 38 Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 14 och 16. 39 Nicoletti, The Future of FinTech: Integrating Finance and Technology in Financial Services, s. 3. 40 Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 15-16. 12

FinTech-bolagen, som agerar som TPP, har dragit nytta av finanskrisen och konsumenternas växande misstro gentemot bankerna för att främja finansiell innovation genom att erbjuda förtroende, transparens och teknologi till konsumenterna, vilket bankerna saknade. 41 En av fördelarna med FinTech-bolagen är att de är relativt små, vilket gör det enklare att vara innovativ och anpassningsbar i takt med att marknaden och kundernas behov förändras. 42 Bankerna har på senare tid försökt förbättra sina verksamheter genom att införa mer personliga metoder, och på så sätt utveckla deras tjänster för att följa med i marknadsutvecklingen, eftersom de ser FinTech-bolagen som deras främsta konkurrenter. 43 Det är dock inte samtliga banker som ser FinTech-bolagen som konkurrenter på det sättet. De tror därmed inte att FinTech-bolagen kommer ta över marknaden från storbankerna, utan menar istället att det rör sig om en reglering av betaltjänstmarknaden, eftersom det redan innan PSD2 existerade moderna betaltjänster framtagna av FinTech-bolagen. 44 Att marknaden för betalningar har förändrats är det ingen som är oense om och förändringen har pågått under en lång tid. Bill Gates menade redan år 1990 att bankärenden är nödvändiga, men att banker inte är det. 45 Påståendet grundar sig i att samhället blir allt mer digitaliserat och att mer tid spenderas på internet via datorer, mobiltelefoner och surfplattor, därmed ter det sig naturligt att även bankärendena förflyttas till internet. 46 Flera av de svenska storbankerna har redan investerat i, eller samarbetar med FinTech-bolag. 47 Uppskattningsvis kommer storbankerna fortsättningsvis investera i FinTech de kommande åren, vilket innebär att nya innovativa betalningslösningar kommer att etableras i Sverige. 48 I samarbetet mellan FinTech-bolagen och storbankerna kan de båda parterna dra nytta av varandra. FinTechbolagen har nytta av bankernas långa erfarenhet och dess infrastruktur. Bankerna kommer vidare kunna bidra med öppna API:er och kan därmed själva expandera verksamheten och 41 Barberis & Chishti, The FinTech book: the financial technology handbook for investors, entrepreneurs and visionaries, s. 10-11 och Nicoletti, The Future of FinTech: Integrating Finance and Technology in Financial Services, s. 3-5. 42 William, FinTech: the beginner s guide to financial technology, s. 13. 43 Ståhl, FinTech: Den digitala transformeringen av finansmarknaden, s. 14 och William, FinTech: the beginner s guide to financial technology, s. 15. 44 Lindström, Handelsbankens digitalboss: fintech-bolagen inget hot mot storbankerna. 45 Hafstad m.fl., PSD2 Strategic oppotunities beyond compliance, s. 29. 46 King, Bank 3.0: why banking is no longer somewhere you go, but something you do, s. 20-21. 47 Exempelvis har SEB investerat i Tink och Nordea har ett samarbete med Betalo. Konkurrensverket, Betaltjänstmarknaden i Sverige, s. 31-32. 48 Konkurrensverket, Betaltjänstmarknaden i Sverige, s. 31-32. 13

minska kostnaderna för utvecklingen av betaltjänster, genom att låta FinTech-bolag utveckla arkitekturen. 49 Det är inte enbart FinTech-bolag, och till viss del bankerna, som erbjuder innovativa tjänster på betaltjänstmarknaden, utan även välkända företag har lanserat egna betalningssystem och fler företag kan följa den utvecklingen i framtiden genom införandet av PSD2. Exempelvis har Apple och Samsung lanserat sina egna betaltjänster, Apple Pay och Samsung Pay. På den svenska marknaden konkurrerar de därmed med den mer etablerade betaltjänsten Swish. 50 Möjligheten att sköta betalningar via aktörer som Facebook och Youtube, samtidigt som pengarna förvaras i trygghet på ett bankkonto är inte heller omöjligt inom en snar framtid. 51 2.4 Behovet av ett nytt betaltjänstdirektiv I november år 2015 antogs PSD2 som både inkluderar och upphäver dess föregångare, PSD1, som införlivades i Sverige genom bl.a. betaltjänstlagen. 52 Motiven till behovet av ett nytt betaltjänstdirektiv, PSD2, är konsumenternas ändrade betalningsvanor. Utöver utökandet av betalkorts- och kreditkortsbetalningar har e-handeln och smartphones lagt grunden för nya betalningssätt. Syftet med kommissionens förslag till ett nytt betaltjänstdirektiv är att bidra till att utveckla en EU-omfattande marknad för elektroniska betalningar för att konsumenter, detaljhandeln samt att andra aktörer på marknaden ska kunna dra nytta av fördelarna med EU:s inre marknad. Utvecklingen av betaltjänstmarknaden blir allt viktigare i takt med att världen och samhället går mot en digital ekonomi. För att åstadkomma detta och främja ökad konkurrens, effektivitet och innovation för elektroniska betalningar krävs rättslig klarhet och lika villkor. 53 Införandet av PSD1 fick inte det resultat som kommissionen hoppats på, eftersom de elektroniska betalningarna fortfarande var uppdelade efter nationsgränserna och att många av de nya betalningsprodukterna och tjänsterna på marknaden inte omfattades av PSD1:s tillämpningsområde. Betaltjänstleverantörerna har därmed haft svårt att lansera innovativa, säkra och lättanvända digitala betaltjänster och erbjuda näringsidkare och konsumenter effektiva, säkra och bekväma betalningsmetoder inom EU eftersom reglerna inte utvecklats i takt med marknaden. 54 49 Barberis & Chishti, The FinTech book: the financial technology handbook for investors, entrepreneurs and visionaries, s. 21. 50 Wallenberg, Apple Pay kommer till Sverige i år, DI Digital. 51 Hafstad m.fl., PSD2 Strategic oppotunities beyond compliance, s. 8. 52 SOU 2016:53, s. 14. 53 KOM (2013) 547, s. 2. 54 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl 4. 14

2.5 En jämförelse av de båda betaltjänstdirektiven De båda betaltjänstdirektiven har ett tillämpningsområde för betaltjänster som tillhandahålls inom unionen. 55 Angående tillämpningsområdet finns det åtminstone två skillnader mellan de båda direktiven. I PSD1 var huvudregeln att direktivet endast tillämpades när både betalarens och betalningsmottagarens betaltjänstleverantör var etablerad inom gemenskapen, även kallat two-leg transaktioner. 56 Vid implementeringen av PSD1 var det upp till var och en av medlemsstaterna att bestämma hur så kallade one-leg transaktioner skulle regleras. One-leg transaktioner är en transaktion med andra valutor än EES-valutor, och där endast den ena betaltjänstleverantören är etablerad inom EES-området. 57 Sverige valde i detta skede att inte införa en reglering av one-leg transaktioner, eftersom fördelarna i form av ett stärkt konsumentskydd inte vägde lika tungt som oklarheterna kring information om transaktionerna och ökade kostnader. 58 I PSD2 regleras både one-leg och two-leg transaktioner, vilket betyder att den svenska betaltjänstlagen måste ändras i det hänseendet. Anledningen till en reglering av one-leg transaktioner, när det anses lämpligt, är att undvika att olika tillvägagångssätt tillämpas i medlemsstaterna, vilket kan vara till nackdel för konsumenterna. 59 Den andra skillnaden mellan direktiven är att PSD1 endast tillämpades på betaltjänster som genomfördes i euro eller i en valuta utanför euroområdet, men inom EES-området. 60 Med ikraftträdandet av PSD2 utökas tillämplighetsområdet till att även innefatta de transaktioner som genomförs inom EU, i en valuta som inte är en valuta i någon av medlemsstaterna om både betalarens och betalningsmottagarens betaltjänstleverantör är etablerad inom unionen. 61 I en del fall räcker det även med att en av betaltjänstleverantörerna är etablerad inom unionen för att betalningstransaktionen ska falla under direktivets bestämmelser, förutsatt att transaktionen genomförs inom EU. 62 För att se till att bestämmelserna i PSD2 efterlevs är det upp till var och en av medlemsstaterna att införa sanktioner som är effektiva, proportionerliga och avskräckande. 63 55 SOU 2016:53, s. 162. 56 Prop. 2009/10:220 s. 104. 57 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s. 50. 58 Prop. 2009/10:220 s. 113-114. 59 Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 2.3-2.4 och skäl 8. 60 Prop. 2009/10:220 s. 104. 61 SOU 2016:53, s. 162. 62 SOU 2016:53, s. 164. 63 Europaparlamentets och rådets direktiv (EU) 2015/2366, art 103. 15

Bestämmelserna angående sanktionsavgiften är densamma i de båda betaltjänstdirektiven. 64 Jämfört med GDPR är sanktionsavgifterna i betaltjänstlagen inte lika avskräckande för företagen, vilket kan leda till att reglerna i PSD2, till viss del, hamnar i skymundan. 65 Begreppet betaltjänster, TPP och övriga bestämmelser i PSD2, som är av betydelse för det här arbetet, kommer att presenteras nedan i kapitel 3. 2.6 Övriga regelverk 2.6.1 SEPA Single Euro Payments Area (SEPA) är ett omfattande projekt för att skapa en gemensam marknad för betaltjänster inom EU, vilket i sin tur leder till att det påverkar det svenska betalningsväsendet. 66 SEPA-förordningen 67 syftar till att harmonisera reglerna för betalningar och autogireringar inom EU, vilket betyder att gemensamma regler och rutiner ska gälla för samtliga betalningar och autogireringar som genomförs inom unionen. 68 SEPA-förordningen tillämpas på de gränsöverskridande betalningar som sker i euro eller i nationell valuta inom EU och EES-området, i enlighet med bestämmelserna i betaltjänstdirektiven. 69 SEPA projektet och betaltjänstdirektiven är tätt sammankopplade med varandra genom att PSD1 bidrog till skapandet av SEPA genom att tillhandahålla det rättsliga ramverket för en harmoniserad betaltjänstmarknad. 70 Övergången till SEPA gick emellertid långsamt och ytterligare en förordning 71 infördes som ett komplement till SEPA-förordningen och gäller endast för betalningar som genomförs i euro. Den nya förordningen infördes eftersom en fullständig integration av betaltjänstmarknaden inte kunde ske förrän de nya SEPA reglerna ersatt de äldre. 72 Till skillnad från betaltjänstdirektiven reglerar SEPA förhållandet banker emellan, istället för relationen bank till kund. SEPA består av den gemensamma valutan euro, 64 Prop. 2017/18:77, s. 239. 65 Sanktionsavgifterna enligt betaltjänstlagen får högst uppgå till 50 miljoner svenska kronor, och får inte överstiga 10 % av föregående års omsättning. 8 kap. 15 betaltjänstlagen. Jämför med avsnitt 2.6.3. 66 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s. 45. 67 Europaparlamentets och rådets förordning (EG) nr 924/2009 av den 16 september 2009 om gränsöverskridande betalningar i gemenskapen och om upphävande av förordning (EG) nr 2560/2001 (hädanefter Europaparlamentets och rådets förordning (EG) nr 924/2009). 68 Prop. 2013/14:84, s. 11 och 13. 69 Europaparlamentets och rådets förordning (EG) nr 924/2009, art. 1.2. 70 Prop. 2009/10:220 s. 321. 71 Europaparlamentets och rådets förordning (EU) nr 260/2012 av den 14 mars 2012 om antagande av tekniska och affärsmässiga krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009. 72 KOM (2010) 775 slutlig: Förslag till Europaparlamentets och rådets förordning om antagande av tekniska krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009, s. 2. 16

tekniska standarder, effektiva infrastrukturer för betalningar, en harmoniserad rättslig plattform och SEPA-tjänsterna; gireringar, autogiro och kortbetalningar. 73 2.6.2 eidas I juli år 2016 trädde EU:s förordning om elektronisk identifiering och betrodda tjänster (eidas) 74 ikraft. 75 Målet med förordningen är att säkerställa en väl fungerande marknad och uppnå en lämplig säkerhetsnivå för elektronisk identifiering och betrodda tjänster. 76 Skälen till införandet av eidas var att öka förtroendet för elektroniska transaktioner på den inre marknaden genom en gemensam grund för ett säkert samspel mellan medborgare, företag och myndigheter. Samspelet aktörerna emellan ämnade att öka effektiviteten för internettjänster, elektronisk affärsverksamhet och e-handel inom unionen. 77 Ett bristande förtroende för internetmiljön och den ekonomiska utvecklingen på marknaden leder till att konsumenter tvekar att utföra elektroniska transaktioner och använda nya tjänster. En fullständig digital inre marknad, där användandet av gränsöverskridande internettjänster är enkla att tillämpa för att underlätta säker identifiering och autentisering över internet, är därmed nödvändig. 78 E-handeln främjas av att det finns tillgång till elektronisk identifiering (e-legitimation), elektroniska underskrifter och betrodda tjänster. E-legitimation är en elektronisk identitetshandling som används för att identifiera innehavaren på elektronisk väg. Elektroniska underskrifter används för att kontrollera att innehållet i en elektronisk handling kommer från den person som har undertecknat handlingen. 79 De e-tjänster som tillhandahåller e-legitimationer måste uppfylla en väsentlig tillitsnivå enligt eidas-förordningen. E-tjänster som uppfyller tillitsnivån är i princip samtliga tjänster där användaren loggar in genom att använda BankID. 80 BankID är en avancerad elektronisk underskrift enligt eidas, där det ställs höga krav på kryptering och säkerhet. Med betrodda tjänster avses elektroniska tjänster som vanligtvis tillhandahålls mot ekonomisk ersättning och som består av skapande, kontroll 73 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s. 45. 74 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (hädanefter Europaparlamentets och rådets förordning (EU) nr 910/2014). 75 Prop. 2015/16:72, s. 33. 76 Europaparlamentets och rådets förordning (EU) nr 910/2014, art. 1. 77 Europaparlamentets och rådets förordning (EU) nr 910/2014, skäl 2. 78 Europaparlamentets och rådets förordning (EU) nr 910/2014, skäl 1 och 5. 79 Prop. 2015/16:72, s. 33-35. 80 E-legitimationsnämnden, Om eidas-förordningen. 17

och validering av bl.a. elektroniska underskrifter. 81 Alla de personuppgifter som behandlas i enlighet med eidas-förordningen för att öka säkerheten på marknaden ska behandlas i enlighet med GDPR. 82 Trots eidas centrala roll i betaltjänstmarknadens funktion för att öka säkerheten av elektroniska betalningar nämns förordningen varken i PSD2 eller i GDPR. 2.6.3 Dataskyddsförordningen GDPR är den nya dataskyddsförordningen som ämnar till att skydda den personliga integriteten genom att erhålla fysiska personer ett skydd för behandlingen av personuppgifter och det fria flödet av personuppgifter. För att säkerställa att reglerna om personuppgifter efterlevs har avskräckande sanktioner införts i GDPR för att öka företagens incitament till att behandla personuppgifter på ett korrekt sätt. 83 GDPR presenteras mer utförligt i kapitel 4 som behandlar informationsutlämnandet och behandling av personuppgifter på betaltjänstmarknaden. 2.7 Betaltjänstmarknadens funktion Det är tydligt att förtroendet och säkerheten för betalningar och personuppgifter är viktiga aspekter när det kommer till den allt mer digitaliserade betaltjänstmarknaden ur konsumenternas synvinkel, eftersom det är ett genomgående tema i EU:s direktiv och förordningar på området. De flesta betalningar som utförs på betaltjänstmarknaden är massbetalningar, vilka är betalningar av relativt små belopp och utförs mellan privatpersoner, företag och myndigheter. Massbetalningar genomförs främst med kontanter, betalkort och gireringar. 84 Varje betalning är en överföring av ett förutbestämt penningbelopp mellan två parter. Överföringen sker på olika sätt beroende på om betalningen är kontantbaserad eller kontobaserad. Vid kontobaserade betalningar flyttas medel mellan två konton i en eller två banker genom bl.a. girering, överföring och kortbetalning. Kortbetalningar kan i sin tur ske på flera olika sätt, de vanligaste alternativen är betalkort och kreditkort. Gemensamt för betalningssätten är att det är en överföring mellan två konton som initieras hos en eller flera betalningsförmedlare som vidtar åtgärder för att medel ska föras över på ett säkert sätt. 85 81 Prop. 2015/16:72, s. 36. 82 Europaparlamentets och rådets förordning (EU) nr 910/2014, art. 5 och Europaparlamentets och rådets förordning (EU) 2016/679, art. 94. 83 Sanktionsavgifterna kan enligt GDPR uppgå till 10 miljoner euro, eller 2 % av den totala globala årsomsättningen under föregående år, beroende på vilket värde som är högst. Europaparlamentets och rådets förordning (EU) 2016/679, art. 83. 84 Sveriges riksbank, Den svenska finansmarknaden, s. 109. 85 Prop. 2017/18:77, s. 98. 18

Samtliga betalningar som inte utförs med kontanter kräver därmed en tredje part, ofta en betaltjänstleverantör, som förmedlar betalningen mellan avsändaren och mottagaren och fungerar som en mellanhand. Betaltjänstleverantören är i sin tur beroende av en finansiell infrastruktur för att betalningarna ska kunna genomföras. 86 Som tidigare nämnt har nya betalningssätt introducerats på marknaden efter 2008 års finanskris. Majoriteten av de nya betaltjänsterna är mobila betalningstjänster som är baserade på kortbetalningar. Vid mobila betalningar tillkommer behovet av identifiering för att säkerställa att betalningarna är säkra. 87 Identifieringen sker bl.a. genom Mobilt BankID vilket leder till att eidas-förordningen blir tillämplig med dess regelverk för en lämplig säkerhetsnivå för elektronisk identifiering. Det är även här SEPA-förordningen och SEPAtjänsterna gireringar, autogiro och kortbetalningar träder in på betaltjänstmarknaden för att reglera relationen mellan de olika bankerna. Marknaden för mobila betalningar som baseras på kontosystem eller gireringar är inte lika välutvecklat som det är för kortbetalningar. I Sverige är det främst applikationen Swish som tillämpar betalningsmetoden. De typer av tjänster som baseras på kontosystemet och gireringar används för direkta och indirekta överföringar mellan bankkonton och sker i realtid. 88 86 Sveriges riksbank, Den svenska finansmarknaden, s. 109-110. 87 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige En studie av förändring inom betalsystemet, s. 29. 88 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige En studie av förändring inom betalsystemet, s. 28 och 31-32. 19

3 Betaltjänster och tredjepartsleverantörer 3.1 Betaltjänster Definitionen av begreppet betaltjänster är omfattande i de båda betaltjänstdirektiven och återfinns i en bilaga till respektive direktiv. Definitionerna är snarlika varandra i de båda direktiven, men fick en utvidgad betydelse i PSD2 och definieras där som: 89 1. Tjänster som möjliggör kontantinsättningar på ett betalkonto samt alla åtgärder som krävs för förvaltningen av ett betalkonto. 2. Tjänster som möjliggör kontantuttag från ett betalkonto samt alla åtgärder som krävs för förvaltningen av ett betalkonto. 3. Genomförande av betalningstransaktioner, däribland överföring av medel på ett betalkonto hos användarens betaltjänstleverantör eller någon annan betaltjänstleverantör: o Genomförande av autogireringar, inklusive engångsautogireringar. o Genomförande av betalningstransaktioner med kontokort eller liknande utrustning. o Genomförande av betalningar, inklusive stående betalningsorder. 4. Genomförande av betalningstransaktioner, när medlen täcks av en betaltjänstanvändares kreditutrymme: o Genomförande av autogireringar, inklusive engångsautogireringar. o Genomförande av betalningstransaktioner med kontokort eller liknande utrustning. o Genomförande av betalningar, inklusive stående betalningsorder. 5. Utgivande av betalningsinstrument och/eller förvärv av betalningstransaktioner. 6. Penningöverföring. 7. Betalningsinitieringstjänster. 8. Kontoinformationstjänster. 90 Punkterna 1-6 är desamma som i PSD1, medan punkt 7 i PSD1 om systemoperatörstjänster, som var till för att främja innovation, är borttagen ur den nya definitionen. 91 Punkten 7 i PSD1 fanns till för att fånga upp och främja betalningstransaktioner via ny digital teknik. Punkten avsåg betalningstransaktioner som sker via dator, mobiltelefon eller liknande teknisk utrustning där operatören för systemet fungerar som en mellanhand mellan betalaren och leverantören som tillhandahåller tjänsten i fråga. Den tekniska utrustningen ska där enbart fungera som ett instrument för att verifiera att betalningen ska ske från betalarens bankkonto. 92 Systemoperatörstjänster kan därmed inte jämställas med de nya termerna betalningsinitieringstjänster och kontoinformationstjänster. Det finns ingen uttrycklig anledning till varför systemoperatörstjänsterna inte omfattas av den nya definitionen, men ledning kan tas från art. 3 l PSD2. Där föreskrivs att transaktionerna som genomförs med sådan teknisk utrustning för köp av digitalt innehåll undantas från direktivet om beloppet 89 SOU 2016:53, s. 141. 90 Europaparlamentets och rådets direktiv (EU) 2015/2366, bilaga I. 91 SOU 2016:53, s. 143. 92 Finansinspektionens promemoria, Genomförande av betaltjänstdirektivet 2007/64/EG, s.54. 20

understiger 50 euro, eller uppgår till högst 300 euro per månad. Av skälen till PSD2 framgår inte att avsikten var att undanta dessa tjänster från direktivets tillämpningsområde, utan att de istället får anses omfattas av någon av punkterna 1-6 i bilaga I:s definition. 93 Utvidgningen av begreppet betaltjänster i PSD2 består av de nya termerna betalningsinitieringstjänster och kontoinformationstjänster som utgör TPP. Marknaden för dessa tjänster har, således hittills varit oreglerad, men faller nu in under PSD2:s bestämmelser. 94 3.2 Tredjepartsleverantörer 3.2.1 Allmän information om tredjepartsleverantörer Bakgrunden till utvidgningen av begreppet betaltjänster till att även innefatta betalningsinitieringstjänster och kontoinformationstjänster som utgör TPP är att kommissionen identifierade bankernas dominans och deras begränsade försök till att utveckla marknaden med innovativa betaltjänster. 95 Efter införandet av PSD1 har nya betaltjänster dykt upp på marknaden. Framförallt har betalningsinitieringstjänster utvecklats inom e-handeln. 96 De nya betaltjänsterna gör det möjligt för leverantörer av betalningsinitieringstjänster att försäkra betalningsmottagaren om att betalningen har initierats i rätt syfte. Betalningsmottagaren erhåller därmed ett incitament om att det är säkert att frigöra varan eller tjänsten och samtidigt vara säker på att erhålla betalning. Tjänsterna utgör en billig lösning för både säljare och konsumenter. För att säkerställa rättsläget för TPP och konsumenterna, ska betalningarna omfattas av PSD2 för ett starkare konsumentskydd och skydd mot hantering av person- och kontouppgifter. 97 Sett till de företag som redan existerar på marknaden är det tydligt att marknaden för TPP och de tjänster de erbjuder inte är någonting nytt. De betaltjänster som för det mesta tillhandahålls av TPP kan även tillhandahållas av betaltjänstleverantörer som erbjuder andra betaltjänster än betalningsinitieringstjänster och kontoinformationstjänster. Leverantörerna kan exempelvis vara en bank eller ett kreditmarknadsföretag. 98 TPP har hittills haft svårt att etablera sig på 93 SOU 2016:53, s. 146. 94 KOM (2013) 547, s. 12. 95 Cortet, Rijks & Nijland, PSD2: The digital transformation accelerator for banks, s. 17. 96 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl, 27. 97 Europaparlamentets och rådets direktiv (EU) 2015/2366, skäl, 29. 98 Prop. 2017/18:77, s. 144-145. 21

marknaden för betaltjänster p.g.a. barriärerna som hindrade företagen att erbjuda sina tjänster i de olika medlemsstaterna. När barriärerna nu är borttagna öppnar det upp för större konkurrens på marknaden för billiga betaltjänster. 99 Genom öppnandet av betaltjänstmarknaden och förändringarna i PSD2 får TPP:s nu möjlighet att ta del av kontouppgifter som kan möjliggöra ytterligare innovation av betaltjänster på en växande marknad genom att bygga applikationer ovanpå den redan existerande betalningsinfrastrukturen, 100 för att konkurrera med kortbetalningar och bankernas mer traditionella tjänster. Genom att TPP får tillgång till betaltjänstanvändarens bankuppgifter, kan betalaren genomföra en betalning utan att denne behöver använda sig av ett bank- eller kreditkort. 101 I och med införandet av PSD2 kommer samtliga leverantörer som erbjuder någon form av betaltjänster, t.ex. betalningsinitieringstjänster, behöva ha tillstånd som betalningsinstitut innan verksamheten startas, vilket i Sverige ges av Finansinspektionen (FI) enligt betaltjänstlagen. Det är endast juridiska personer som är etablerade i en medlemsstat som kan få sådant tillstånd. I Sverige finns det en ytterligare begränsning enligt betaltjänstlagen som endast gör det möjligt för svenska aktiebolag och svenska ekonomiska föreningar att erhålla sådant tillstånd. Enligt PSD2 får leverantörer av betalningsinitieringstjänster inte undantas från tillståndsplikten, vilket betyder att betaltjänstlagen kommer att behöva ändras i den frågan för att överensstämma med PSD2. 102 De betaltjänstleverantörer som endast tillhandahåller kontoinformationstjänster är dock undantagna från kravet på tillstånd. Däremot måste fysiska eller juridiska personer som utnyttjar undantaget aktivt ansöka om att bli undantagna från tillståndsplikten. De betaltjänstleverantörer som erhållit undantag från tillståndsplikten ska registreras hos FI. I registret ska det finnas information om betaltjänstleverantörerna och vilka betaltjänster de har rätt att tillhandahålla. 103 3.2.2 Betalningsinitieringstjänster Betalningsinitieringstjänster definieras i PSD2 som en tjänst för att initiera en betalningsorder på begäran av betaltjänstanvändaren med avseende på ett betalkonto hos en annan betaltjänstleverantör. 104 Betalningsinitieringstjänsterna spelar en viktig roll i e- 99 Europeiska kommissionen, Payment Services Directive: frequently asked questions, fråga 6, 2018. 100 Cortet, Rijks & Nijland, PSD2: The digital transformation accelerator for banks, s. 18. 101 Arvidsson, Framväxten av mobila, elektroniska betalningstjänster i Sverige En studie av förändring inom betalsystemet, s. 61-62. 102 Europaparlamentets och rådets direktiv (EU) 2015/2366, artikel 11 och prop. 2017/18:77, s. 145-146. 103 Prop. 2017/18:77, s. 171. 104 Europaparlamentets och rådets direktiv (EU) 2015/2366, art. 4.15. 22

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss