Presentasjon avholdt under F3 FintechAcademy av Silje Fagerhaug, Advokat ved Simonsen Vogt Wiig.
F3 FintechAcademy avholdes ved inkubatoren F3 i Trondheim flere ganger i året, og er der fintech-miljøet i Trondheim samles under samme tak.
6. Samtykke
PSD2 artikkel 94 nr. 2:
Payment service providers shall only access,
process and retain personal data necessary for
the provision of their payment services, with
the explicit consent of the payment service
user.
7. Skjerpede krav til samtykke i GDPR
• Frivillig, spesifikk, informert og utvetydig erklæring gjennom klar bekreftende handling
• Presumsjon for at samtykket ikke er frivillig dersom
– Klar ubalanse mellom partene
– Det ikke gis anledning til særskilt samtykke til ulike formål
– En tjeneste gjøres betinget av samtykke til behandling som ikke er nødvendig for tjenesten
• Samtykket må tydelig løftes frem fra andre vilkår
• Behandlingsansvarlig må kunne dokumentere samtykket
• Samtykke skal enkelt kunne trekkes tilbake
– Sletting
GDPR Art 4 (11), 6, 7, 8 og 9, samt fortalen 32, 43 og 155
8. Automatisering og
profilering
• Persontilpassede tjenester
• Risikoprofilering/markedsprofilering
• Profilering = enhver form for automatisert
behandling av personopplysninger som
innebærer å bruke personopplysninger for å
vurdere visse personlige aspekter knyttet til
en fysisk person, særlig for å analysere eller
forutsi aspekter som gjelder nevnte fysiske
persons arbeidsprestasjoner, økonomiske
situasjon, helse, personlige preferanser,
interesser, pålitelighet, atferd, plassering
eller bevegelser, (GDPR artikkel 4 nr. 4)
9.
10. Rett til å si nei til
automatiserte
avgjørelser
• Avgjørelser som har rettsvirkning eller i
betydelig grad påvirker vedkommende
• Rett til ikke å være gjenstand for avgjørelse som
utelukkende er basert på automatisert behandling
– herunder profilering
– kredittsjekk
– automatiske vedtak
• Unntak:
– Nødvendig for inngåelse av en kontrakt
– Samtykke
– Lovhjemmel
11. Rett til innsyn i hvordan
automatiske beslutninger
er fattet
• GDPR artikkel 15 nr. 1 bokstav h
• Utfordning: Systemer/maskiner som tar
beslutninger uten at man er i stand til å
forklare hvorfor beslutningen ble som den
ble
12. Oppsummering
• Personvern som konkurransefortrinn
• Åpenhet og gjennomsiktighet
• La kunden få velge
• Innebygd personvern
• Vurdering av personvernkonsekvenser
• Sikkerhet
Takk for invitasjon
Presentasjon
Målet med foredraget: hvordan personvernet påvirker open banking.
Teknologi har gjort det vesentlig lettere å samle inn, bruke og lagre data. Det er mye mer tilgjengelig. Den teknologiske utviklingen med stordata og sensorteknologi gjør det mulig å samle inn utrolig mye.
Det er i tillegg mye som skjer på regelverksiden. EU har kommet med et nytt betalingstjenestedirektiv som åpner for at flere kan tilby betalingstjenester og kontoinformasjonstjenester. PSD1 åpnet for at andre enn bankene kunne tilby betalingstjenester, men uten nærmere beskrivelse av hvilke typer betalingstjenester som var omfattet. Dette første betalingsdirektivet dekket derfor ikke alle typer betalingstjenester som potensielt kunne tilbys forbrukerne, for eksempel der kunden vil gjennomføre en betaling direkte fra sin betalingskonto, uten å bruke kort eller nettbank. Derfor kom versjon 2 – PSD2.
Samtidig har vi fått en ny personvenforordning som strammer inn regelverket for behandling av personopplysninger.
To grunner til at personvern er så viktig når vi snakker om Open Banking: Den ene er Tillitt
Banker og forsikringsselskaper behandler store mengder informasjon om oss. Når vi oppretter et kundeforhold i banken, samles det inn og lagrer informasjon for å administrere kundeforholdet. Søker vi om lån trengs informasjon om våre økonomiske forhold. Informasjonen brukes for eksempel til å vurdere om vi skal få lån eller ikke. Det registreres når penger går inn og ut av konto. Kontroll ihht. hvitevaskingsloven. Forsikringsselskaper behandler også mange typer informasjon. Sensorer i bilen for eksempel? Prisen på forsikringen beregnes ut i fra vår atferd. Undersøkelser fra Datatilsynet viser at vi har stor tillitt til at bankene behandler opplysninger om oss og vår økonomi på en ordentlig måte.
Vil du at hvem som helst skal ha tilgang til informasjon om din privatøkonomi?
Å ha kontroll på personopplysningene, og å ha tillit til at du har kontroll, er derfor helt avgjørende for å lykkes innenfor Open Banking.
Verdien i smarte produkter ligger ikke primært i salg av produktet selv. Det er i dataene som produktene samler inn at de store verdiene ligger.
En sentral del av forretningsmodellen til leverandører av internettoppkoblede produkter er derfor å tjene penger på videresalg av de opplysningene som utstyret samler inn,
eller å dele dem med andre aktører gjennom strategiske partnerskap.
Open banking gir mulighet til å samle inn data om folks bruksmønster, kjøpsvaner, som igjen kan selges videre eller deles med partner. En mobil betalingstjeneste gir mulighet til å samle inn verdifulle opplysninger om kundens forbruksmønster.
For eksempel Fitbit(treningsarmbånd) har inngått partnerskap med forsikringsselskap (Vitality Group).
Hva er personopplysninger?
Sensitive personopplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.
Man må ha et lovlig grunnlag for å samle inn personopplysninger, en hjemmel. Saml. GDPR artikkel 6.
Psd2 krever at betalingstjenestetilbydere kun skal oppbevare personopplysninger etter samtykke fra den registrerte. Samtykke er bare ett av flere grunnlag til å behandle personopplysninger, det er ikke alltid nødvendig. Men her er det altså det.
Og dette får konsekvenser for personvernet. Fordi det finnes regler om hvordan et samtykke skal foregå.
Klar bekreftende handling: Må krysse av.
Spørsmålet blir: Hva er frivilling?
Klar ubalanse: typisk arbeidstaker arbeidsgiver.
Samtykke må knyttes til hvert formål. Feks kan man samtykke til at opplysninger brukes internt i bedriften, men nekte å samtykke til at opplysninger brukes til markedsføring. Nekte å samtykke til publisering på nett.
Dersom samtykke trekkes tilbake, kan den registrerte kreve å få sine data slettet. Jfr. Artikkel 17.
Det er her verdiene ligger. Fordi dataene blant annet kan benyttes til profilering. Kan benyttes til å analysere eller forutsi økonomisk situasjon.
Med dagens metoder for å godkjenne lånesøknader tar man lite hensyn til om søkeren er flink med økonomien. Faren for mislighold kan være svært forskjellig selv om folk har samme inntekt.
Håvard tar kanskje mange glass på byen mens Nikolai spiser knekkebrød. Håvard tjener kanskje mer, men Nikolai er flinkere til å spare.
Folk forventer ikke at forbruksmønsteret deres blir analysert og kan få konsekvenser for om de får lån eller ikke. Det er viktig at man ikke går i gang med slike analyser uten at kundene er informert om dette, sier hun.
Automatiserte beslutninger om lån kan får store konsekvenser, og må være rettferdige og etterprøvbare. Nye former for dataanalyse i verste fall kan oppleves som overvåking.