Betænkning afgivet af Erhvervs-, Vækst- og Eksportudvalget den 30. maj 2017

1. Ændringsforslag

Erhvervsministeren har stillet 40 ændringsforslag til lovforslaget.

2. Udvalgsarbejdet

Lovforslaget blev fremsat den 15. marts 2017 og var til 1. behandling den 28. marts 2017. Lovforslaget blev efter 1. behandling henvist til behandling i Erhvervs,- Vækst- og Eksportudvalget.

Dispensation fra Folketingets forretningsorden

Udvalget indstiller, at der dispenseres fra bestemmelsen i Folketingets forretningsorden, § 13, stk. 1, om, at 3. behandling ikke må finde sted, før 2 dage efter, at 2. behandling er afsluttet.

Møder

Udvalget har behandlet lovforslaget i 6 møder.

Høring

Et udkast til lovforslaget har inden fremsættelsen været sendt i høring, og erhvervsministeren sendte den 19. januar 2017 dette udkast til udvalget, jf. ERU alm. del - bilag 94. Den 15. marts 2017 sendte erhvervsministeren de indkomne høringssvar og et notat herom til udvalget. Den 28. marts 2017 sendte erhvervsministeren et yderligere høringssvar til lovforslaget til udvalget.

Teknisk gennemgang

Udvalget fik den 18. april 2017 en teknisk gennemgang af lovforslaget ved erhvervsministeren.

Skriftlige henvendelser

Udvalget har i forbindelse med udvalgsarbejdet modtaget skriftlige henvendelser fra:

COOP,

Dansk Erhverv,

Finans og Leasing,

Forbrugerådet Tænk,

Roskilde Festival og

Spiir m.fl.

Erhvervsministeren har over for udvalget kommenteret de skriftlige henvendelser til udvalget.

Deputationer

Endvidere har følgende mundtligt over for udvalget redegjort for deres holdning til lovforslaget:

Dansk Erhverv,

Roskilde Festival og

Spiir m.fl.

Spørgsmål

Udvalget har stillet 74 spørgsmål til erhvervsministeren til skriftlig besvarelse, som denne har besvaret.

Tre af udvalgets spørgsmål og erhvervsministerens svar herpå er optrykt som bilag 2 til betænkningen.

3. Indstillinger og politiske bemærkninger

Et flertal i udvalget (udvalget med undtagelse af EL og SF) indstiller lovforslaget til vedtagelse med de stillede ændringsforslag.

Socialdemokratiets, Dansk Folkepartis, Venstres, Liberal Alliances og Det Konservative Folkepartis medlemmer af udvalget bemærker følgende: I forbindelse med lovrevisionen 2 år efter lovens ikrafttræden opfordrer Socialdemokratiet, Dansk Folkeparti, Venstre, Liberal Alliance og Det Konservative Folkeparti til, at erhvervsministeren også kigger på erfaringerne for kontantfrie dispensationer til enkeltstående arrangementer, eksempelvis musikfestivaler m.v., med henblik på at vurdere, om det fremadrettet fortsat skal være muligt at afholde kontantfrie kortvarige arrangementer via dispensation, eller om denne mulighed i stedet skal lovfæstes.

Socialdemokratiets medlemmer af udvalget har allerede under lovforslagets høringsproces givet klart udtryk for, at Socialdemokratiet ønsker, at lovforslaget finder den rette balance mellem på den ene side forbrugerbeskyttelse og på den anden side muligheden for, at danske fintechvirksomheder kan udvikle innovative løsninger til gavn for forbrugerne. Det har igennem lovgivningsprocessen været Socialdemokratiets ønske, at lovforslagets endelige udformning skaber de rette rammer for, at fintech bliver en ny vækstbranche i Danmark til gavn for beskæftigelse og indtjening.

Med lovforslagets endelige udformning står vi med et lovforslag, som giver bedre mulighed for innovation i fintechvirksomheder og bedre forbrugerbeskyttelse.

På den ene side giver ændringsforslaget til § 124 mulighed for at bruge betalingsoplysninger til at udvikle en lang række af nye, innovative digitale løsninger til brugerne. Og på den anden side sikrer ændringsforslaget en stærk forbrugerbeskyttelse:

- der skal altid indhentes udtrykkeligt samtykke fra brugeren,

- betalingsdata må ikke benyttes til prisdiskrimination og til opfyldelse af forsikringsaftaler,

- vilkår og regler for brug af betalingstjenester, f.eks. et dankort, må ikke betinges af forbrugerens accept af brug af betalingsdata, og

- personhenførbare betalingsdata må ikke videregives til tredjemand.

Lovforslaget er efter vedtagelsen af ministerens ændringsforslag derfor langt bedre end det oprindelig fremsatte lovforslag.

Lovforslagets forhistorie er, at vi i Danmark har haft en særregel i den gældende betalingstjenestelovs § 85, hvor behandling af betalingsoplysninger var helt forbudt. I regeringens implementeringsråds anbefalinger fra 2016 blev det anbefalet fuldstændig at afskaffe særlige regler for behandling af betalingsoplysninger. Det var holdningen, at persondataloven i sig selv giver en tilstrækkelig beskyttelse af forbrugeren. Samtidig har det ikke været muligt at videreføre det danske totalforbud mod at behandle betalingsoplysninger, da 2. betalingstjenestedirektiv, som ligger til grund for lovforslaget, giver de såkaldte tredjepartsudbydere adgang til at behandle betalingsoplysninger på forbrugerens vegne til visse formål. Regeringen har heldigvis fremsat et lovforslag, som opretholder særlige regler for behandling af følsomme betalingsoplysninger, og under udvalgsbehandlingen er formuleringen af reglerne for behandling af betalingsoplysninger blevet forbedret.

Med lovforslagets endelige udformning er der åbnet for, at banker og fintechvirksomheder kan tilbyde nye tjenester til forbrugere, der ønsker det. I den forbindelse er forbrugerne beskyttet mod, at betalingsoplysningerne anvendes til uvedkommende formål som eksempelvis prisdiskrimination, kreditvurdering eller fastsættelse af forsikringspræmier. Det bliver nu muligt at tilbyde forbrugerne tjenester, hvor der sker automatiseret behandling af betalingsoplysninger, til brug for eksempelvis budgetter, detaljerede forbrugsoverblik, forbrugsadviseringer og mange andre tjenester, der endnu ikke er udviklet.

Med lovforslagets endelige udformning er det sikret, at hvis man som forbruger ønsker at have et betalingskort og netbank, uden at nogen udbyder får adgang til ens betalingsoplysninger, så kan man fortsat have det, idet der ikke må stilles krav om, at man giver adgang til sine betalingsoplysninger ved indgåelse af aftale om betalingskort og netbank. Ønsker man ikke, at nogen får adgang til ens betalingsoplysninger, så skal man blot lade være med at afgive sit samtykke hertil.

Med lovforslagets endelige udformning er det sikret, at banker, der udbyder betalingskort med indbygget loyalitetskortfunktion, også skal tilbyde rene betalingskort uden indbygget loyalitetskortfunktion. Forbrugere, der ikke ønsker at få registreret deres indkøb, kan dermed fortsat vælge rene betalingskort, hvor der ikke sker registrering.

Med lovforslagets endelige udformning er der åbnet for, at der også kan ske behandling af indkøbsoplysninger uden for rammerne af de nye forbrugerbeskyttelsesregler, som erstatter det tidligere totalforbud mod at behandle betalingsoplysninger. Det har desværre ikke været muligt at lade de nye forbrugerbeskyttelsesregler gælde for enhver behandling af indkøbsoplysninger. Dette har været af hensyn til detailhandelens mulighed for at tilbyde loyalitetskort og have systemer, der understøtter kortet. Det er et af de elementer, som partierne, der støtter lovforslaget, bør se nærmere på, når den nye ordning skal evalueres efter 2 år.

Afsluttende skal det ikke undlades at anføre til de personer, som i fremtiden skal studere processen omkring dette lovforslags tilblivelse, at det oprindelig fremsatte lovforslag var et særegent dårligt formuleret lovforslag, hvor lovforslagets paragraffer, de almindelige bemærkninger og specielle bemærkninger ikke stemte overens på lovforslagets helt centrale områder vedrørende § 124, jf. svar på spørgsmål 30 og 31 (som er optrykt som bilag 2 til betænkningen). Det forsøger erhvervsministeren at rette op på med ændringsforslag til 2. behandlingen. Samlet set er der ikke tvivl om, at det har været en særdeles rodet lovgivningsproces, men håbet er, at den endelige lovgivning er af tilfredsstillende kvalitet, så de borgere og virksomheder, den skal gælde for, finder den klar i sine formuleringer. Skulle det ikke være tilfældet, har Socialdemokratiet bedt erhvervsministeren om at evaluere loven efter 2 år, og ministeren har imødekommet dette i svar på spørgsmål 70 (som er optrykt som bilag 2 til betænkningen). Skulle der som følge af den nye lov - inden evalueringen - opstå uforudsete og uintenderede problemer som følge af loven, så bør partierne, der stemmer for loven, drøfte løsninger heraf inden evalueringen.

Alternativets medlemmer af udvalget er efter en lang og konstruktiv udvalgsbehandling blevet eftertrykkeligt forsikret om, at en retssikkerhedsmæssig forsvarlig persondatabehandling og en ligeledes tydelig markering af den enkelte persons permissionafgivelse også er lovforslagets intention, hvorfor Alternativet vælger at støtte lovforslaget.

Alternativet ville gerne have set de lukkede kontantha°ndteringssystemer, der blev refereret til i PROSAs høringssvar, som løsningen i stedet for de kontantløse butikker, men vi anerkender den økonomiske byrde, som dette ville pålægge mange af iværksætterne, som en årsag til ikke at implementere dette. Ligeledes er de potentielt udsatte grupper, som de kontantløse butikker kunne være til gene for, ikke et entydigt problem, som ikke kan løses på anden vis.

Alternativet vil følge lovforslagets praksis nøje, og bliver de gode intentioner gjort til skamme, må Alternativet foreslå ændringer gennem det parlamentariske arbejde i fremtiden. Det er gode skridt i den rigtige retning.

Et mindretal i udvalget (EL) indstiller lovforslaget til forkastelse ved 3. behandling. Mindretallet vil stemme hverken for eller imod de stillede ændringsforslag.

Enhedslistens medlemmer af udvalget støtter ikke lovforslagets ambition om at øge brugen af betalingsoplysninger. Enhedslisten ser mange potentielle problemer, i forhold til at kunderne fremadrettet skal kunne blive vurderet og rådgivet på baggrund af betalingsoplysninger. Derudover er Enhedslisten modstander af lovforslagets begrænsning af brug af kontanter som betalingsmiddel i visse butikker på visse tidspunkter af døgnet, da dette rammer ældre mennesker og socialt udsatte grupper, der enten ikke kan eller ikke har mulighed for at anvende elektroniske betalingsmidler.

Et andet mindretal i udvalget (SF) indstiller lovforslaget til forkastelse ved 3. behandling. Mindretallet vil stemme for de stillede ændringsforslag.

Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin var på tidspunktet for betænkningens afgivelse ikke repræsenteret med medlemmer i udvalget og havde dermed ikke adgang til at komme med indstillinger eller politiske udtalelser i betænkningen.

En oversigt over Folketingets sammensætning er optrykt i betænkningen.

4. Ændringsforslag med bemærkninger

Ændringsforslag

Til § 1

Af erhvervsministeren, tiltrådt af et flertal (udvalget med undtagelse af EL):

1) I stk. 5 ændres »§ 124, stk. 1, 4 og 6,« til: »§ 01«.

[Korrektion af henvisning]

2) I stk. 6 ændres »§ 124, stk. 3 og 4,« til: »§ 01«.

[Korrektion af henvisning]

3) I stk. 7 ændres »119-121 og § 124, stk. 3 og 5,« til: »120, 121 og § 01,«.

[Lovteknisk korrektion]

Til § 5

4) I 1. pkt. ændres »aktiviteter« til: »aktiviteter m.v.«

[Korrektion]

5) I nr. 14 udgår », med undtagelse af § 124, stk. 45«.

[Korrektion]

6) I nr. 15 udgår », med undtagelse af § 124, stk. 4«.

[Korrektion]

7) I nr. 16 udgår », med undtagelse af § 124, stk. 45«.

[Korrektion]

8) I nr. 17 ændres »med undtagelse af § 62,« til: »jf. dog § 62,«.

[Lovteknisk korrektion]

Til § 6

9) I stk. 3 ændres »§ 124, stk. 3-5,« til: »§ 01«.

[Lovteknisk korrektion]

Til § 7

10) Som nr. 41 indsættes:

»41) Betalingsoplysninger: Personhenførbare oplysninger om, hvor en bruger har anvendt en betalingstjeneste, og hvad der er blevet købt med betalingstjenesten.«

[Defintion af betalingsoplysninger]

Til § 11

11) Stk. 3 affattes således:

»Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de i stk. 1 og 2 nævnte oplysninger.«

[Lovteknisk korrektion]

Til § 43

12) I stk. 3, nr. 4, ændres »beskrivelse af instituttets forretningsgange og procedure« til: »beskrivelse af instituttets forretningsgange og interne kontrolforanstaltninger«.

[Korrektion]

13) I stk. 3, nr. 5, ændres »beskrivelser af instituttets forretningsmodel, forretningsgange og procedurer« til: »beskrivelse af instituttets forretningsplan, forretningsgange og interne kontrolmekanismer«.

[Korrektion]

Til § 45

14) I stk. 3, nr. 3, ændres »beskrivelse af instituttets forretningsgange og procedure« til: »beskrivelse af instituttets forretningsgange og interne kontrolforanstaltninger«.

[Korrektion]

15) I stk. 3, nr. 4, ændres »beskrivelser af instituttets forretningsmodel, forretningsgange og procedurer« til: »beskrivelse af instituttets forretningsplan, forretningsgange og interne kontrolmekanismer«.

[Korrektion]

Til § 47

16) I stk. 3, 2. pkt., ændres »destruerer« til: »distribuere«.

[Korrektion]

17) I stk. 5 ændres »der distribuerer og indløser elektroniske penge« til: »der udsteder, distribuerer eller indløser elektroniske penge«.

[Korrektion]

Til § 51

18) I stk. 1 ændres »udbyde betalingstjenester i bilag 1, nr. 1-6,« til: »udbyde betalingstjenester i henhold til bilag 1, nr. 1-6,«.

[Korrektion]

Til § 60

19) I stk. 7 ændres »og den i stk. 2 nævnte ansvarsforsikring« til: »og den i stk. 4 nævnte ansvarsforsikring«.

[Lovteknisk korrektion]

Til § 61

20) I stk. 1 ændres »som alene udøver aktiviteter, jf. § 5, stk. 1, nr. 14 og 15,« til: »som alene udøver aktiviteter som omfattet af § 5, nr. 14 og 15,«.

[Korrektion]

Til § 62

21) I stk. 1 ændres »der kun udøver aktiviteter, jf. § 5, stk. 1, nr. 17,« til: »der kun udøver aktiviteter som omfattet af § 5, nr. 17,«.

[Korrektion]

Til § 87

22) I stk. 3, nr. 1, ændres »sikkerhedsforanstaltninger, jf. de regler, der udstedes i medfør af de regler, der udstedes af Kommissionen« til: »sikkerhedsforanstaltninger, jf. de regler, der udstedes af Kommissionen«.

[Korrektion]

Til § 94

23) Stk. 1, nr. 4, affattes således:

»4) give betaleren mulighed for at foretage en underretning, jf. stk. 2 og 3, uden beregning, dog kan udbyderen opkræve et gebyr til udskiftning af betalingsinstrumentet, såfremt gebyret ikke overstiger de faktiske omkostninger til udskiftningen, og«.

[Korrektion]

Til § 100

24) I stk. 4, nr. 2, ændres »stk. 4,« til: »stk. 5,«.

[Korrektion]

25) I stk. 6, nr. 2, ændres »hvortil dens aktiviteter er outsourcet« til: »hvortil udbyderens aktiviteter er outsourcet«.

[Korrektion]

Til § 103

26) I stk. 3 ændres »§ 72, stk. 2, litra b,« til: »§ 72, stk. 1, nr. 2, litra b,«.

[Korrektion]

Til § 104

27) I stk. 1 ændres »medmindre denne kan bevise,« til: »medmindre betalers udbyder kan bevise,«.

[Korrektion]

Til § 110

28) I stk. 1 ændres »medmindre andet følger af anden relevant EU-ret eller national ret.« til: »medmindre andet følger af EU-regler eller andre nationale regler.«

[Korrektion]

Til § 121

29) I stk. 2 affattes 2. pkt. således: »Opkræver betalingsmodtageren et gebyr hos betaleren for anvendelse af et betalingsinstrument, må gebyret ikke overstige betalingsmodtagerens omkostninger til at gennemføre betalingstransaktionen.«

[Korrektion]

Til § 124

30) Paragraffen affattes således:

»§ 124. Lov om behandling af personoplysninger finder anvendelse på udbydere af betalingstjenester og udstedere af elektroniske penge, jf. dog stk. 2-4.

Stk. 2. En udbyder af betalingstjenester og en udsteder af elektroniske penge skal på forhånd indhente udtrykkeligt samtykke fra en bruger af betalingstjenester, hvis udbyderen eller udstederen behandler personoplysninger i forbindelse med udbuddet af betalingstjenesten.

Stk. 3. Uanset stk. 2 må en udbyder af betalingstjenester og betalingssystemer og en udsteder af elektroniske penge behandle personoplysninger til brug for forebyggelse, efterforskning, retshåndhævelse og opdagelse af misbrug eller svig, eller hvis behandlingen er hjemlet ved anden lov.

Stk. 4. Udbydere af betalingstjenester og udstedere af elektroniske penge må ikke betinge priser eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, eller betalingskonti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse med leveringen af betalingskontoen eller betalingstjenesten, eller af, at brugeren giver samtykke til, at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.«

[Præcisering af regler om udbydere af betalingstjenester og udstedere af elektroniske penges behandling af personoplysninger og betalingsoplysninger]

Ny paragraf

31) Efter § 124 indsættes:

»§ 01. Lov om behandling af personoplysninger finder anvendelse på erhvervsdrivende, der behandler betalingsoplysninger, jf. dog stk. 2-6.

Stk. 2. En erhvervsdrivende skal på forhånd indhente udtrykkeligt samtykke fra en bruger, hvis den erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren, jf. stk. 3, nr. 2.

Stk. 3. En erhvervsdrivende må kun behandle betalingsoplysninger i forbindelse med

1) gennemførelse eller korrektion af en betalingstransaktion,

2) udbuddet af en tjeneste, der er direkte henvendt til brugeren, eller

3) anonymisering af betalingsoplysninger.

Stk. 4. Uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler gælder endvidere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsikringsaftaler.

Stk. 5. Uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplysninger til brug for en kreditvurdering.

Stk. 6. Uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til tredjemand, medmindre dette er hjemlet ved anden lovgivning eller det sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke er i strid med stk. 2-5.«

[Præcisering af, til hvilke formål betalingsoplysninger må behandles af erhvervsdrivende]

Til § 126

32) I stk. 3 ændres »som de udbyder,« til: »som denne udbyder,«.

[Korrektion]

Til § 141

33) Stk. 1 affattes således:

»Som part i forhold til Finanstilsynet anses alene virksomheder, som Finanstilsynets afgørelse truffet i medfør af denne lov eller regler udstedt i medfør af denne lov retter sig mod, jf. dog stk. 2.«

[Korrektion]

34) Stk. 2, nr. 5, affattes således:

»5) En virksomhed eller person, som omfattes af en afgørelse afsagt af Finanstilsynet om denne persons egnethed eller hæderlighed i henhold til § 10, stk. 1, nr. 4, jf. § 30, i henhold til § 53 eller i henhold til § 133.«

[Korrektion]

Til § 143

35) I stk. 1 ændres »og § 124« til: », § 124 og § 01«.

[Korrektion]

Til § 151

36) I stk. 1 ændres »§§ 8, 9,« til: »§§ 2, 3,«.

[Lovteknisk korrektion]

37) I stk. 2 ændres »§ 43, stk. 1 og stk. 7, pkt.« til: »§ 43, stk. 1 og stk. 7, 4. pkt.,«, »§ 91, stk. 1, 2 og 4« ændres til: »§ 91, stk. 1-4«, »§ 96, stk. 1« ændres til: »§ 96, stk. 1-3«, og »§ 124, stk. 2-5« ændres til: »§ 124, stk. 2 og 4, § 01, stk. 2-6«.

[Lovteknisk korrektion]

Til § 153

38) Stk. 1 udgår, og i stedet indsættes som nye stykker:

»Loven træder i kraft den 1. januar 2018, jf. dog stk. 2.

Stk. 2. § 155, nr. 01, træder i kraft den 3. januar 2018.«

Stk. 2-11 bliver herefter stk. 3-12.

[Konsekvensændring som følge af indsættelse af ny paragraf efter vedtagelsen af L 156]

Til § 155

39) I indledningen indsættes efter »2017«: », og som ændres ved det af Folketinget den 30. maj 2017 vedtagne forslag til lov om ændring af lov om finansiel virksomhed, lov om finansielle rådgivere og boligkreditformidlere og forskellige andre love (Gennemførelse af direktiv om markeder for finansielle instrumenter (MiFID II) og ændringer som følge af forordning om markeder for finansielle instrumenter (MiFIR) m.v.)«.

[Lovteknisk korrektion som følge af vedtagelsen af L 156]

40) Efter nr. 4 indsættes som nyt nummer:

»01. I § 361, stk. 3, ændres »lov om betalingstjenester og elektroniske penge« til: »lov om betalinger«.«

[Lovteknisk korrektion som følge af vedtagelsen af L 156]

Bemærkninger

Til nr. 1

Henvisningen ændres i forhold til det fremsatte forslag, således at det alene er § 01, der finder anvendelse på ikke-vederlagsfrie elektroniske tjenester, der kan benyttes til at erhverve varer eller tjenesteydelser, og betalingstransaktioner, hvor betalerens samtykke til at gennemføre transaktionen meddeles ved hjælp af telekommunikationsudstyr, og betalingen sker til den operatør, der driver kommunikationsnettet, og som kun agerer som mellemmand mellem brugeren af betalingstjenesten og leverandøren af varer og tjenesteydelser, uden at disse tjenester udgør en betalingstjeneste omfattet af bilag 1. Det bemærkes, at ændringen bl.a. medfører, at udbydere af disse tjenester ikke er omfattet af § 124, stk. 4, som fastsætter, at udbydere af betalingstjenester og udstedere af elektroniske penge ikke må betinge priser eller vilkår for betalingstjenester og betalingskonti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse med leveringen af betalingskontoen eller betalingsinstrumentet.

Til nr. 2

Henvisningen ændres i forhold til det fremsatte forslag, således at erhvervsdrivende, der behandler oplysninger om, hvor en betaler har anvendt en betalingstjeneste, og hvad den har været anvendt til, alene er omfattet af § 01. Det bemærkes, at ændringen medfører, at sådanne erhvervsdrivende ikke er omfattet af § 124, stk. 4, som fastsætter, at udbydere af betalingstjenester og udstedere af elektroniske penge ikke må betinge priser eller vilkår for betalingstjenester og betalingskonti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse med leveringen af betalingskontoen eller betalingsinstrumentet.

Til nr. 3

Der er tale om en lovteknisk korrektion, da henvisningen i § 1, stk. 7, rettelig skal være en henvisning til §§ 120-121 og § 01 og ikke til §§ 119-121 og § 124, stk. 3 og 5, som anført i lovforslaget.

Til nr. 4

Der er tale om en sproglig korrektion, da § 5 ikke alene oplister aktiviteter såsom betalingstransaktioner og lign., men tillige oplister betalingsinstrumenter, der ikke kan defineres som værende en aktivitet. Bestemmelsen ændres derfor således, at der står aktiviteter m.v.

Til nr. 5

Der er tale om en lovteknisk korrektion, idet henvisningen i § 5, nr. 14, til § 124, stk. 45, udgår.

Til nr. 6

Der er tale om en lovteknisk korrektion, idet henvisningen i § 5, nr. 15, til § 124, stk. 4. udgår.

Til nr. 7

Der er tale om en lovteknisk korrektion, idet henvisningen i § 5, nr. 16, til § 124, stk. 45 udgår.

Til nr. 8

Der er tale om en sproglig korrektion, der skal tydeliggøre, at virksomhederne omfattet af undtagelsen i § 5, nr. 17, stadig er omfattet af forpligtelserne i § 62, selv om de er undtaget fra resten af bestemmelserne i lov om betalinger.

Til nr. 9

Der er tale om en lovteknisk korrektion, da henvisningen i § 6, stk. 3, rettelig skal være en henvisning til § 01 og ikke til § 124, stk. 3-5, som anført i lovforslaget.

Til nr. 10

Det foreslås i nr. 41 at definere betalingsoplysninger som personhenførbare oplysninger om, hvor en betaler har anvendt en betalingstjeneste, og hvad der er blevet købt med betalingstjenesten.

Definitionen findes ikke i direktivet, men det er fundet hensigtsmæssigt at indføre definitionen for tydeligt at beskrive, hvad der skal forstås ved begrebet »betalingsoplysninger«. Dette skyldes den danske særregel i den foreslåede § 01, som fastsætter regler om behandling af betalingsoplysninger.

§ 85, stk. 3 og 4, i den nugældende lov om betalingstjenester og elektroniske penge indeholder regler om behandling af oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt. Disse oplysninger er i vid udstrækning blevet refereret til som betalingsoplysninger. For at sikre en konsistent anvendelse af begrebet foreslås derfor en egentlig definition i nærværende lovforslag. Definitionen omfatter de samme oplysninger, der er omfattet af § 85, stk. 3 og 4, i den nugældende lov om betalingstjenester og elektroniske penge.

Definitionen af betalingsoplysninger omfatter oplysninger om selve betalingsmodtageren og om størrelsen på beløbet. Dette vil typisk være de oplysninger, der fremgår af en netbanks oversigt over bevægelser på betalingskontoen. Derudover omfatter definitionen også oplysninger om, hvad der konkret er købt med betalingstjenesten. Dette vil i praksis ofte svare til de oplysninger, der fremgår af en kvittering.

I de tilfælde hvor de ovennævnte oplysninger kan henføres til en identificerbar person, er de omfattet af definitionen på betalingsoplysninger. Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres, eksempelvis ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, økonomiske, kulturelle eller sociale identitet. Hvis eksempelvis navn, adresse eller personnummer er erstattet af en kode eller et løbenummer, der kan føres tilbage til den oprindelige individuelle personoplysning, vil der stadig væk være tale om en personhenførbar oplysning. Det gælder også, selv om den, der ligger inde med oplysningerne, ikke selv har adgang til den liste eller nøgle, der viser sammenhængen mellem løbenummeret og identifikationsoplysningerne.

Definitionen omfatter kun oplysninger, der er indsamlet via betalingstjenesten eller i forbindelse med anvendelse af betalingstjenesten. Oplysninger, der er indhentet på anden vis, eksempelvis via et loyalitetskort, hvor oplysningerne indhentes uafhængigt af betalingstjenesten, er ikke omfattet af definitionen af betalingsoplysninger. Definitionen berører således ikke generering af almindelige papirkvitteringer ved køb.

En betalingsfunktion og en anden funktion, såsom indsamling af oplysninger til brug for et loyalitetsprogram kan samles på ét kombineret instrument, eksempelvis et fysisk plastikkort eller en app, der fungerer som medlemskort til loyalitetsprogrammet og som betalingsinstrument. Hvor indsamlingen af oplysningerne til den anden funktion ikke foregår uafhængigt af betalingsfunktionen, vil alle oplysningerne være omfattet af definitionen. Hvor der derimod sker en indsamling af oplysninger via en klart adskilt og separat funktion, er der ikke tale om oplysninger omfattet af definitionen.

Det afgørende for, om der er tale om klart adskilte og separat indsamlede oplysninger, er, at betalingsoplysningerne og oplysningerne vedrørende den anden funktion bliver behandlet i to forskellige systemer. Det har således ikke betydning, om det er muligt for brugeren at fravælge at bruge den anden funktion.

Til nr. 11

Der er tale om en lovteknisk korrektion med henblik på at præcisere, at Finanstilsynet kan fastsætte nærmere regler om de i stk. 1 og 2 nævnte oplysninger.

Til nr. 12

Der er tale om en lovteknisk korrektion med henblik på at sikre, at der er overensstemmelse mellem terminologien i § 43, stk. 3, nr. 4, og § 11, stk. 1, nr. 13, som § 43, stk. 3, nr. 4, henviser til.

Til nr. 13

Der er tale om en lovteknisk korrektion med henblik på at sikre, at der er overensstemmelse mellem terminologien i § 43, stk. 3, nr. 5, og § 11, stk. 1, nr. 4 og 11, som § 43, stk. 3, nr. 5, henviser til.

Til nr. 14

Der er tale om en lovteknisk korrektion med henblik på at sikre, at der er overensstemmelse mellem terminologien i § 45, stk. 3, nr. 3, og § 11, stk. 1, nr. 13, som § 45, stk. 3, nr. 3, henviser til.

Til nr. 15

Der er tale om en lovteknisk korrektion med henblik på at sikre, at der er overensstemmelse mellem terminologien i § 45, stk. 3, nr. 4, og § 11, stk. 1, nr. 4 og 11, som § 45, stk. 3, nr. 4, henviser til.

Til nr. 16

Der er tale om en korrektion da der rettelig skulle have stået distribuere og ikke destruerer.

Til nr. 17

Der er tale om en lovteknisk korrektion med henblik på at sikre, at der er sammenhæng i terminologien i hele § 47, stk. 5.

Til nr. 18

Der er tale om en sproglig korrektion, da der rettelig skulle have stået udbyde betalingstjenester i henhold til bilag 1, nr. 1-6, og ikke udbyde betalingstjenester i bilag 1, nr. 1-6.

Til nr. 19

Der er tale om en lovteknisk korrektion, da henvisningen i § 60, stk. 7, til bestemmelsens stk. 2 rettelig skulle have været en henvisning til bestemmelsens stk. 4, som omhandler kravet om en ansvarsforsikring.

Til nr. 20

Der er tale om en korrektion med henblik på at rette op på en sproglig fejl.

Til nr. 21

Der er tale om en korrektion med henblik på at rette op på en sproglig fejl.

Til nr. 22

Der er tale om en korrektion med henblik på at rette op på en sproglig fejl.

Til nr. 23

Der er tale om en lovteknisk korrektion af bestemmelsen med henblik på at fjerne et punktum i en oplistningsbestemmelse.

Der er således ikke tale om en materiel ændring.

Til nr. 24

Der er tale om en korrektion, da henvisningen i § 100, stk. 4, nr. 2, rettelig skulle have været til stk. 5 og ikke stk. 4.

Til nr. 25

Der er tale om en sproglig korrektion med henblik på at tydeliggøre, hvilken aktør bestemmelsen vedrører.

Til nr. 26

Der er tale om en lovteknisk korrektion, idet henvisningen i § 103, stk. 3, rettelig skulle have været til § 72, stk. 1, nr. 2, litra b, og ikke § 72, stk. 2, litra b.

Til nr. 27

Der er tale om en sproglig korrektion med henblik på at tydeliggøre, hvilken aktør bestemmelsen vedrører.

Til nr. 28

Der er alene tale om en sproglig korrektion.

Til nr. 29

Der er tale om en sproglig korrektion med henblik på at tydeliggøre, at såfremt betalingsmodtageren opkræver et gebyr hos betaler for anvendelse af et betalingsinstrument, må dette gebyr ikke overstige de omkostninger, som betalingsmodtageren har ved at gennemføre betalingstransaktionen.

Der er ikke tale om materielle ændringer.

Til nr. 30

§ 85 i den nugældende lov om betalingstjenester og elektroniske penge fastsætter rammerne for virksomheders adgang til og behandling af personoplysninger og oplysninger om, hvor en betaler har anvendt sit betalingsinstrument, og hvad der er købt. Betalerens cpr-nummer på et betalingsinstrument må ikke kunne aflæses fysisk eller elektronisk af andre end betalerens udbyder. Oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt, må efter den nugældende lov kun behandles, når det er nødvendigt til gennemførelse eller korrektion af betalingstransaktioner eller det er hjemlet ved anden lovgivning.

Med forslaget til § 124 sker der en nyaffattelse af § 85 i den nugældende lov om betalingstjenester og elektroniske penge, idet bestemmelsen opdeles i §§ 124 og 01. Den foreslåede bestemmelse gennemfører artikel 94 i 2. betalingstjenestedirektiv.

Det foreslås i stk. 1, at lov om behandling af personoplysninger finder anvendelse på udbydere af betalingstjenester og udstedere af elektroniske penge, jf. dog stk. 2-4.

Bestemmelsen viderefører § 85, stk. 1, i nugældende lov om betalingstjenester og elektroniske penge og gennemfører delvis artikel 94, stk. 1, i 2. betalingstjenestedirektiv.

Udbuddet af betalingstjenester vil i en række tilfælde medføre behandling af personoplysninger, eksempelvis kortnummer, kontonummer, navn eller adresse. Udbyderne er derfor omfattet af persondataloven.

Navnlig når personoplysninger behandles med henblik på udførelse af tjenesteydelser omfattet af dette lovforslag, skal det præcise formål for anvendelse af personoplysninger, det relevante retsgrundlag for behandlingen og de relevante sikkerhedskrav angives, som det er fastsat i lov om behandling af personoplysninger.

Yderligere skal en udbyder, der behandler personoplysninger, anvende principperne om nødvendighed og proportionalitet, foretage en formålsbegrænsning og samtidig respektere en rimelig dataopbevaringsperiode. Endvidere skal der tænkes privatlivsfremmende løsninger ind i udviklingen af systemer m.v., også kaldet »privacy by design«, og gennem standardindstillingerne, også kaldet »privacy by default«, som kan indgå i alle databehandlingssystemer, der udvikles og anvendes inden for rammerne af denne lov.

Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven.

Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Stk. 2-4 fastsætter yderligere regler vedrørende udbyderes behandling af personoplysninger, som fastsætter krav, der som udgangspunkt medfører skærpede krav i forbindelse med behandling af personoplysninger.

Det foreslås i stk. 2, at en udbyder af betalingstjenester og en udsteder af elektroniske penge på forhånd skal indhente udtrykkeligt samtykke fra en bruger af betalingstjenester, hvis udbyderen eller udstederen behandler personoplysninger i forbindelse med udbuddet af betalingstjenesten. Bestemmelsen gennemfører artikel 94, stk. 2, i 2. betalingstjenestedirektiv.

Begrebet personoplysninger i forslaget til stk. 2 skal forstås i overensstemmelse med persondataloven og omfatter således enhver form for information om en identificeret eller identificerbar fysisk person. I relation til betalingstjenester vil eksempelvis oplysninger om kort- og kontonummer og navnet på kort- eller kontoindehaveren udgøre personoplysninger.

Begrebet behandling svarer til definitionen i persondatalovens § 3, nr. 2, og dækker således »enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for«. Behandling omfatter således videregivelse til enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger.

For så vidt angår kravet om samtykke, er det en betingelse efter bestemmelsen, at en udbyder af betalingstjenester indhenter et udtrykkeligt samtykke fra brugeren, inden udbyderen behandler brugerens personoplysninger i forbindelse med udbuddet af betalingstjenesten. Dette indebærer, at

behandling af personoplysninger i forbindelse med udbuddet af betalingstjenester kun må ske på baggrund af brugerens udtrykkelige samtykke, uagtet at det er nødvendigt at behandle disse oplysninger i forbindelse med gennemførelsen af en betalingstjeneste, som brugeren selv har anmodet om.

Samtykkekravet skal forstås i overensstemmelse med definitionen i § 3, nr. 8, i persondataloven. En udbyder af betalingstjenester vil således ikke kunne opnå stiltiende eller indirekte tilslutning til behandling af personoplysninger. Et egentligt krav om skriftlighed følger dog ikke af persondataloven. Det følger imidlertid af det foreslåede stk. 2, at der skal være tale om et udtrykkeligt samtykke. Det indebærer, at en udbyder af betalingstjenester skal indhente et samtykke på et oplyst grundlag, således at det klart og tydeligt fremgår for den enkelte bruger, at der f.eks. ved indgåelse af en rammeaftale om betalingstjenester samtidig gives samtykke til, at betalingstjenesteudbyderen må behandle den pågældende brugers personoplysninger i forbindelse med udbuddet af betalingstjenesten. Dette kunne eksempelvis være i forbindelse med indgåelse af aftale om brug af et betalingskort. Her ville indehaveren af betalingskortet i rammeaftalen kunne give samtykke til behandling af kortnummer eller andre personoplysninger i forbindelse med gennemførelsen af en betalingstransaktion, hvis samtykket fremgår klart og tydeligt af aftalen om brug af betalingskortet. Det foreslåede stk. 2 er således lex specialis i forhold til reglerne i persondataloven, ligesom artikel 94, stk. 2, i 2. betalingstjenestedirektiv er lex specialis i forhold til databeskyttelsesdirektivet.

Med forslaget til stk. 2 ligger der alene et krav om, at samtykket skal være indhentet forud for behandling af personoplysningerne og ikke, at der skal indhentes et udtrykkeligt, samtykke hver gang der foretages en behandling af oplysningerne. Der kan således gives et generelt udtrykkeligt samtykke i en rammeaftale om udbuddet af betalingstjenester.

Der fastsættes således ikke et krav om, at samtykket skal gives særskilt. Det vil dog altid påhvile udbyderen at kunne dokumentere samtykket og dets omfang. Som anført ovenfor skal samtykket være oplyst, hvilket vil sige, at det klart og tydeligt skal fremgå, hvem samtykket gives til, hvem der på baggrund af samtykket kan behandle oplysningerne, og til præcist hvilke formål oplysningerne kan behandles. Det indebærer også, at oplysningerne ikke kan behandles til andre formål end dem, der fremgår af samtykket.

Det bemærkes, at det er en betingelse ved behandling af personoplysninger, at også de grundlæggende principper om behandling af personoplysninger efter persondataloven er opfyldt. Behandlingen af oplysninger vil således bl.a. skulle være i overensstemmelse med god databehandlingsskik, ligesom behandlingen også skal være sagligt begrundet og relevant.

Det følger ligeledes af persondataloven, at et samtykke på et hvilket som helst tidspunkt kan tilbagekaldes af brugeren. Virkningen heraf vil være, at den behandling af oplysninger, som brugeren har meddelt sit samtykke til, ikke længere må finde sted. Det bemærkes dog, at et samtykke ikke kan tilbagekaldes med »tilbagevirkende kraft«. Det betyder, at behandlingen skal ophøre fra det tidspunkt, hvor tilbagekaldelsen af samtykket sker.

Forslaget til stk. 2 skal læses i sammenhæng med forslaget til § 153, stk. 10, hvori der foreslås en overgangsordning, således at eksisterende aftaler om udbud af betalingstjenester, der er indgået før den 1. januar 2018, og som indebærer behandling af personoplysninger, i henhold til § 6, stk. 1, nr. 2, i persondataloven, kan fortsætte uændret, uafhængigt af forslaget til stk. 2 om indhentelse af udtrykkeligt samtykke. Overgangsbestemmelsen er foreslået, da det forekommer urimeligt byrdefuldt at pålægge en udbyder at indhente et udtrykkeligt samtykke på baggrund af en aftale, der allerede var indgået ved lovforslagets ikrafttrædelsesdato. For aftaler indgået efter denne dato, og som indebærer behandling af personoplysninger, skal der derimod indhentes udtrykkeligt samtykke i overensstemmelse med forslaget til stk. 2.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 124, stk. 2, vil omfatte den situation, hvor en udbyder undlader at indhente et udtrykkeligt samtykke fra brugeren, forud for at udbyderen behandler brugerens personoplysninger i forbindelse med udbuddet af betalingstjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at indhente udtrykkeligt samtykke fra brugeren i strid med forslagets § 124, stk. 2.

Det foreslås i stk. 3, at uanset stk. 2 må en udbyder af betalingstjenester og betalingssystemer og en udsteder af elektroniske penge behandle personoplysninger til brug for forebyggelse, efterforskning, retshåndhævelse og opdagelse af misbrug eller svig, eller hvis behandlingen er hjemlet ved anden lov.

Det følger af artikel 94, stk. 1, i 2. betalingstjenestedirektiv, at medlemslandene skal tillade, at betalingssystemer og udbydere af betalingstjenester behandler personoplysninger, når det er nødvendigt af hensyn til forebyggelse, efterforskning og opdagelse af betalingssvig.

For at sikre tilliden til elektroniske betalinger er det vigtigt i videst muligt omfang at forebygge svindel med betalingstjenester, og i det omfang betalingssvindel alligevel sker at give de bedst mulige forudsætninger for at opdage og efterforske dette. Det bør således være muligt for udbydere såvel som for deltagere i betalingssystemer at behandle personoplysninger til disse formål, også uden at forbrugerens udtrykkelige samtykke indhentes først. Når denne behandling af personoplysninger sker, skal de generelle regler i persondataloven være opfyldt. Behandlingen af oplysninger vil således bl.a. skulle være i overensstemmelse med god databehandlingsskik, ligesom behandlingen skal være sagligt begrundet og relevant.

Endelig kan der ske behandling af betalingsoplysninger, hvis dette er hjemlet ved anden lov. Et eksempel kan være, at der i medfør af hvidvaskloven i visse tilfælde kan ske behandling af betalingsoplysninger.

Det foreslås i stk. 4, at udbydere af betalingstjenester og udstedere af elektroniske penge ikke må betinge priser eller vilkår for brugen af betalingstjenester omfattet af bilag 1, nr. 1-7, og betalingskonti af, at brugeren giver samtykke til behandling af betalingsoplysninger, der ikke foretages i forbindelse med leveringen af betalingskontoen eller betalingstjenesten, eller af, at brugeren giver samtykke til, at der kan tilknyttes en loyalitetskortfunktion til betalingstjenesten.

Med forslaget til stk. 4 fastsættes det, at udbydere af betalingstjenester og udstedere af elektroniske penge ikke må betinge priser eller vilkår for indgåelse af aftale om en betalingstjeneste eller en betalingskonto af, at der kan ske behandling af betalingsoplysninger, hvis denne behandling ikke er nødvendig for leveringen af betalingskontoen eller betalingstjenesten, eller af, at der tilknyttes et loyalitetskort til betalingstjenesten.

Med betalingsoplysninger forstås i overensstemmelse med § 7, nr. 41, personhenførbare oplysninger om, hvor en bruger har anvendt en betalingstjeneste, og hvad der er blevet købt med betalingstjenesten.

Det skal reelt være frivilligt, om brugeren giver samtykke til behandling af betalingsoplysninger eller andre former for registrering af brugerens køb. Formålet med bestemmelsen er at sikre, at det ikke bliver et krav for at få eksempelvis et betalingskort såsom et dankort, netbank eller andre bredt anvendelige betalingstjenester, at brugeren samtykker til en behandling af betalingsoplysninger, som ikke sker i forbindelse med leveringen af den pågældende tjeneste, eller at brugeren samtykker til, at f.eks. et dankort tilknyttes en loyalitetskortfunktion. Bestemmelsen tjener således det formål, at brugere, der ikke ønsker at give erhvervsdrivende adgang til at behandle deres betalingsoplysninger, ikke bliver afskåret fra at få adgang til at foretage elektroniske betalinger. Bestemmelsen sikrer, at betalingskonti og bredt anvendelige betalingstjenester vil kunne fås uden »indbygget« behandling af betalingsoplysninger, hvis ikke denne behandling sker, i forbindelse med at kontoen eller tjenesten stilles til rådighed for brugeren, og uden »indbygget« loyalitetskortsfunktion. Det er fundet nødvendigt at beskytte brugeren mod denne situation, da det ellers kan blive et standardvilkår for indgåelse af aftale om brug af en betalingstjeneste eller oprettele af en betalingskonto, at der må ske en sådan behandling af betalingsoplysninger eller kan tilknyttes en loyalitetsfunktion, eller at der fastsættes priser, som reelt medfører, at der ikke er tale om et frivilligt valg for den enkelte bruger.

En betalingskonto skal forstås i overensstemmelse med definitionen i lovforslagets § 7, nr. 16, som en konto oprettet i en eller flere brugeres navn med henblik på at gennemføre betalingstransaktioner.

En betalingstjeneste skal forstås i overensstemmelse med definitionen i lovforslagets § 7, nr. 1, som en tjenesteydelse omfattet af bilag 1. Det bemærkes, at stk. 4 alene finder anvendelse på udbydere af betalingstjenester og udstedere af elektroniske penge, som udbyder betalingstjenester omfattet af bilag 1, nr. 1-7. Udbydere af kontooplysningstjenester er således ikke omfattet af bestemmelsen. Ligeledes er udbydere af tjenester i henhold til § 1, stk. 5, og § 5, nr. 14-17, heller ikke omfattet. Denne form for udbydere omfatter bl.a. betalingstjenester, der har et særligt afgrænset formål. Det kunne eksempelvis være et betalingskort, der alene kan anvendes til indkøb af benzin eller kun kan anvendes i en bestemt forretning. Disse typer af udbydere vil derved kunne betinge priser og vilkår af, at brugeren giver samtykke til behandling af betalingsoplysninger, såfremt denne behandling i øvrigt er i overensstemmelse med § 01.

Begrebet behandling omfatter enhver operation, som oplysningerne gøres til genstand for. I forbindelse med en betaling kunne der eksempelvis ske to behandlinger: en behandling af betalingsoplysninger, der sikrer gennemførelsen af betalingstransaktionen, og en behandling, der gemmer betalingsoplysningerne til senere brug for et medlemsprogram. For så vidt angår betalingstjenesten, vil den første behandling være nødvendig for udbuddet af tjenesten, mens den anden ikke vil. Det følger således af forslaget, at vilkår og priser for betalingstjenesten ikke må afhænge af brugerens samtykke til den anden behandling.

Det kan for eksempel lade sige gøre, at en betaler tilknytter et betalingskort til en app, hvor appen fungerer som et loyalitetskort. Sådanne sammensatte betalingskoncepter kan således godt udbydes, så længe den underliggende betalingstjeneste, eksempelvis et bredt anvendeligt betalingskort, kan

erhverves og anvendes uafhængigt af det sammensatte koncept, idet appen i sig selv ikke er en betalingstjeneste eller en betalingskonto.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 124, stk. 4, straffes med bøde. Overtrædelse af forslagets § 124, stk. 4, vil omfatte den situation, hvor en udbyder af betalingstjenester eller en udsteder af elektroniske penge betinger priser eller vilkår for indgåelse af en aftale om en betalingskonto eller en betalingstjeneste af, at der kan ske behandling af betalingsoplysninger til andre formål end gennemførelse eller korrektion af betalingstransaktioner fra betalingskontoen eller til andre formål end udbuddet af betalingstjenesten. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som stiller priser eller vilkår i strid med forslagets § 124, stk. 4.

Til nr. 31

§ 85 i den nugældende lov om betalingstjenester og elektroniske penge fastsætter rammerne for virksomheders adgang til og behandling af personoplysninger og oplysninger om, hvor en betaler har anvendt sit betalingsinstrument, og hvad der er købt. Betalerens cpr-nummer på et betalingsinstrument må ikke kunne aflæses fysisk eller elektronisk af andre end betalerens udbyder, og oplysninger om, hvor betalerne har anvendt deres betalingsinstrumenter, og hvad de har købt, må efter den nugældende lov kun behandles, når det er nødvendigt til gennemførelse eller korrektion af betalingstransaktioner eller er hjemlet ved anden lovgivning.

Med forslaget til § 01 sker der en nyaffattelse af § 85 i den nugældende lov om betalingstjenester og elektroniske penge, idet bestemmelsen opdeles i § 124 og § 01. § 01 viderefører med en række indholdsmæssige ændringer de danske særregler om behandling af betalingsoplysninger, der er fastsat i § 85 i den nugældende lov om betalingstjenester.

Bestemmelsen er beskyttelsespræceptiv, for så vidt angår forbrugere, jf. lovforslagets § 6, og kan derfor ikke fraviges ved aftale.

Det foreslås i stk. 1, at lov om behandling af personoplysninger finder anvendelse på erhvervsdrivende, der behandler betalingsoplysninger, jf. dog stk. 2-6.

Med betalingsoplysninger forstås i overensstemmelse med forslagets § 7, nr. 41, personhenførbare oplysninger om, hvor en betaler har anvendt en betalingstjeneste, og hvad der blev købt med betalingstjenesten. Betalingsoplysninger udgør således personoplysninger, hvorfor persondataloven finder anvendelse.

Forslaget til § 01 finder anvendelse på alle erhvervsdrivende, der behandler betalingsoplysninger. Ud over udbydere af betalingstjenester og udstedere af elektroniske penge kan andre erhvervsdrivende også komme i besiddelse af betalingsoplysninger. Det kunne eksempelvis være forretninger, udbydere af tekniske tjenester, der understøtter udbuddet af betalingstjenester, som defineret i lovforslagets § 5, nr. 10, eksempelvis udbydere af betalingsterminaler eller udbydere af betalingstransaktioner fra en betaler til en betalingsmodtager gennem en handelsagent, som beskrevet i lovforslagets § 5, nr. 2, eller enhver anden erhvervsdrivende, der får adgang til betalingsoplysninger, uanset hvordan. Ifølge forslaget til stk. 1 er sådanne virksomheder også omfatte af persondataloven med de tilføjelser, der følger af stk. 2-6.

Når betalingsoplysninger behandles med henblik på udførelse af tjenester, skal det præcise formål for anvendelse af betalingsoplysningerne, det relevante retsgrundlag for behandlingen og de relevante sikkerhedskrav angives, som fastsat i lov om behandling af personoplysninger.

Yderligere skal en erhvervsdrivende, der behandler betalingsoplysninger, anvende principperne om nødvendighed og proportionalitet, foretage en formålsbegrænsning og samtidig respektere en rimelig dataopbevaringsperiode. Endvidere bør der tænkes privatlivsfremmende løsninger ind i udviklingen af systemer m.v., også kaldet »privacy by design«, og gennem standardindstillingerne, også kaldet »privacy by default«, som kan indgå i alle databehandlingssystemer, der udvikles og anvendes inden for rammerne af denne lov.

Det følger af persondatalovens § 2, stk. 1, at regler om behandling af personoplysninger i anden lovgivning, som giver den registrerede en bedre retsstilling, går forud for reglerne i persondataloven.

Bestemmelsen indebærer, at persondataloven finder anvendelse, hvis regler om behandling af personoplysninger i anden lovgivning giver den registrerede en dårligere retsstilling. Stk. 2-6 fastsætter yderligere regler vedrørende erhvervsdrivendes behandling af personoplysninger, som fastsætter krav, der som udgangspunkt medfører skærpede krav om behandling af personoplysninger.

Det foreslås i stk. 2, at en erhvervsdrivende på forhånd skal indhente udtrykkeligt samtykke fra en bruger, hvis den erhvervsdrivende behandler betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren, jf. stk. 3, nr. 2.

Begrebet behandling svarer til definitionen i persondatalovens § 3, nr. 2, og dækker således »enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for«. Behandling omfatter således videregivelse til enhver anden fysisk eller juridisk person, offentlig myndighed, institution eller ethvert andet organ end den registrerede, den dataansvarlige, databehandleren og de personer under den dataansvarliges eller databehandlerens direkte myndighed, der er beføjet til at behandle oplysninger.

For så vidt angår kravet om samtykke, er det en betingelse efter bestemmelsen, at en erhvervsdrivende, der behandler betalingsoplysninger, indhenter samtykket inden behandlingen. Dette indebærer, at behandling af betalingsoplysninger kun må ske på baggrund af brugerens udtrykkelige samtykke, uagtet at det er nødvendigt at behandle disse oplysninger i forbindelse med gennemførelsen af den tjeneste, som brugeren selv har anmodet om, med mindre det er til gennemførelse eller korrektion af en betalingstransaktion.

Samtykkekravet skal forstås i overensstemmelse med definitionen i § 3, nr. 8, i persondataloven. En erhvervsdrivende, der behandler betalingsoplysninger, vil således ikke kunne opnå stiltiende eller indirekte tilslutning til behandling af betalingsoplysninger. Et egentligt krav om skriftlighed følger dog ikke af persondataloven. Det følger imidlertid af det foreslåede stk. 2, at der skal være tale om et udtrykkeligt samtykke. Det indebærer, at en erhvervsdrivende, der behandler betalingsoplysninger, skal indhente et samtykke på et oplyst grundlag, således at det klart og tydeligt fremgår for den enkelte bruger, at der eksempelvis ved indgåelse af aftalen om leveringen af tjenesten samtidig gives samtykke til, at den erhvervsdrivende må behandle den pågældende brugers betalingsoplysninger.

Med forslaget til stk. 2 ligger der alene et krav om, at samtykket skal være indhentet forud for behandling af betalingsoplysningerne, og ikke, at der skal indhentes et udtrykkeligt samtykke, hver gang der foretages en behandling af oplysningerne. Der kan således gives et generelt udtrykkeligt samtykke i en rammeaftale.

Der fastsættes således ikke et krav om, at samtykket skal gives særskilt. Det vil dog altid påhvile den erhvervsdrivende at kunne dokumentere samtykket og dets omfang. Som anført ovenfor skal samtykket være oplyst, hvilket vil sige, at det klart og tydeligt skal fremgå, hvem samtykket gives til, hvem der på baggrund af samtykket kan behandle oplysningerne, og til præcis hvilke formål oplysningerne kan behandles. Samtykket kan således ikke være et bredt samtykke uden en præcis angivelse af, til hvilke formål der gives samtykke. Det indebærer også at oplysningerne ikke kan behandles til andre formål end dem, der fremgår af samtykket.

Samtykkekravet gælder alene i forbindelse med udbuddet af tjenester, der er direkte henvendt til brugeren, jf. stk. 3, nr. 2. Det indebærer, at der ikke er et samtykkekrav i forbindelse med behandling af betalingsoplysninger, når behandlingen sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion, jf. stk. 3, nr. 1, eller i forbindelse med anonymisering af betalingsoplysninger, jf. stk. 3, nr. 3. Det er således eksempelvis ikke nødvendigt for en forretning at indhente kundens udtrykkelige samtykke, før der gennemføres en betaling med et betalingskort eller for at udstede en almindelig kvittering. Ligeledes er det ikke nødvendigt for en erhvervsdrivende at indhente samtykke til at anonymisere betalingsoplysninger, der eksempelvis er indhentet i forbindelse med gennemførelsen af betalingstransaktion. I begge tilfælde finder persondatalovens almindelige behandlingsregler anvendelse.

Det bemærkes, at det er en betingelse ved behandling af betalingsoplysninger, at også de grundlæggende principper om behandling af personoplysninger efter persondataloven er opfyldt. Behandlingen af oplysninger vil således bl.a. andet skulle være i overensstemmelse med god databehandlingsskik, ligesom behandlingen også skal være sagligt begrundet og relevant.

Det følger ligeledes af persondataloven, at et samtykke på et hvilket som helst tidspunkt kan tilbagekaldes af brugeren. Virkningen heraf vil være, at den behandling af oplysninger, som brugeren har meddelt sit samtykke til, ikke længere må finde sted. Det bemærkes dog, at et samtykke ikke kan tilbagekaldes med tilbagevirkende kraft. Det betyder, at behandlingen skal ophøre fra det tidspunkt, tilbagekaldelse af samtykket sker.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 2, straffes med bøde.

Overtrædelse af forslagets § 01, stk. 2, vil omfatte den situation, hvor en erhvervsdrivende undlader at indhente et udtrykkeligt samtykke fra brugeren, forud for at udbyderen behandler brugerens betalingsoplysninger. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som undlader at indhente udtrykkeligt samtykke fra brugeren i strid med forslagets § 01, stk. 2.

Det foreslås i stk. 3, at en erhvervsdrivende kun må behandle betalingsoplysninger til visse formål.

Med forslaget til stk. 3 ændres det nugældende forbud mod behandling af betalingsdata i § 85, stk. 3, i lov om betalingstjenester og elektroniske penge, således at bestemmelsen fastsætter tre principper for, til hvilke formål betalingsoplysninger må behandles. Det bemærkes dog, at der, jf. stk. 2, altid kun kan ske behandling af personoplysninger med brugerens udtrykkelige samtykke, medmindre dette er til gennemførelse eller korrektion af en betalingstransaktion. Derudover skal de almindelige principper for god databehandlingsskik i persondataloven overholdes, jf. stk. 1.

De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være meget følsomme, idet virksomheder kan foretage registreringer af brugerens adfærd og udarbejde personprofiler af brugeren. Formålet med bestemmelsen er at sikre, at sådanne oplysninger ikke behandles til uvedkommende formål eller i integritetskrænkende øjemed. Derfor foreslås det, at fastsætte tre principper for, til hvilke formål betalingsoplysninger kan behandles.

Det følger af forslaget til stk. 3, at behandlingen af betalingsoplysninger er begrænset til, hvad der er nødvendigt for at levere en given tjeneste. Det indebærer, at hvis en bruger eksempelvis har gjort brug af en budgetfunktion, så må udbyderen af budgetfunktionen ikke selv tilgå dette budget, da dette ikke er nødvendigt for at levere budgettet til brugeren. Det forudsættes således, at princippet om »privacy by design« er indarbejdet i de tjenester, der udbydes.

Principperne behandles særskilt nedenfor.

Det bemærkes, at forslaget til stk. 3 alene omhandler, til hvilke formål betalingsoplysninger kan behandles. I visse tilfælde kan selve behandlingen være en tilladelsespligtig aktivitet i henhold til dette lovforslag eller anden lovgivning. Eksempelvis følger det af lovforslagets § 60, at virksomheder, der udbyder kontooplysningstjenester, skal have en tilladelse fra Finanstilsynet. En kontooplysningstjeneste er i henhold til lovforslagets § 7, nr.21, en tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere, eksempelvis i form af et forbrugsoverblik eller et budget. Ligeledes følger det af lov om finansielle rådgivere og boligkreditformidlere, at en virksomhed, der yder rådgivning om finansielle produkter, skal have Finanstilsynets tilladelse som finansiel rådgiver, og at en virksomhed, der yder rådgivning om eller formidling af boligkreditaftaler, skal have Finanstilsynets tilladelse som boligkreditformidler.

Det bemærkes endvidere, at erhvervsministeren, jf. lovforslagets § 1, stk. 7, under visse forudsætninger har mulighed for helt eller delvis at dispensere fra bestemmelserne i stk. 3. Erhvervsministeren har således eksempelvis mulighed for at dispensere fra kravet om, at betalingsoplysninger ikke må behandles, hvis den ønskede behandling alene omhandler brug af disse oplysninger til private forsknings- og statistikprojekter. Dispensation forudsætter en konkret stillingtagen til det enkelte forskningsprojekt. I vurderingen af en ansøgning om dispensation fra kravet i stk. 3 skal der foretages en afvejning mellem projektets samfundsmæssige relevans og typen af oplysninger, der ønskes anvendt til projektet. Hvis der gives dispensation, gælder persondatalovens generelle regler om private forsknings- og statistikprojekter.

Det foreslås i stk. 3, nr. 1, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med gennemførelse eller korrektion af en betalingstransaktion.

Udgangspunktet er, at betalingsoplysninger altid kan behandles, når det er nødvendigt til gennemførelse eller korrektion af en betalingstransaktion, da dette er en forudsætning for at kunne gennemføre en betalingstjeneste. Dette følger også af § 85, stk. 3, litra 1, i den nugældende lov om betalingstjenester og elektroniske penge. Dette princip videreføres således med dette forslag.

Det bemærkes, at det særlige samtykkekrav i stk. 2 ikke finder anvendelse ved gennemførelse eller korrektion af en betalingstransaktion.

Det foreslås i stk. 3, nr. 2, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren.

Betalingsoplysninger kan således med forslaget behandles i forbindelse med tjenester, der er direkte henvendt til brugeren. Det vil sige, at det er tjenester, som brugeren selv ønsker, og som brugeren aktivt vælger at anmode om. Eksempler på tjenester, der er direkte rettet mod brugeren selv, kan være udarbejdelse af et budget eller et forbrugsoverblik til brugerens egen anvendelse, advisering til brugeren om dennes eget forbrug eller forbrugsmønstre, påmindelser om betalinger til brugeren selv og opbevaring af brugerens egne kvitteringer. Betalingsoplysninger vil ligeledes kunne anvendes til rådgivning af brugeren, om produkter og tjenester brugerens selv ønsker og aktivt har anmodet om, eller i forbindelse med indberetning af brugerens donationer til velgørenhed til offentlige myndigheder.

Modsat kan en erhvervsdrivende ikke behandle betalingsoplysninger, selv om om brugeren skulle have givet sit samtykke, hvis dette er til brug for tjenester, der ikke er direkte rettet mod brugeren, jf. dog stk. 3, nr. 3. Derudover må en erhvervsdrivende ikke anvende, tilgå eller lagre oplysninger med andre formål end levering af den tjeneste, som brugeren udtrykkeligt har anmodet om. Princippet svarer til, hvad der i medfør af artikel 67, stk. 3, litra g, gælder for udbydere af kontooplysningstjenester. Princippet beskytter brugeren mod, at betalingsoplysninger behandles til andre formål end levering af den tjeneste, brugeren har anmodet om.

En kontooplysningstjeneste er, jf. lovforslagets § 7, nr. 21, en tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere. Med forslaget til stk. 3, nr. 2, begrænses muligheden for at udbyde kontooplysningstjenester således ikke, da en udbyder med brugerens samtykke kan give en bruger information om vedkommendes egne betalingskonti.

Forslaget medfører endvidere, at betalingsoplysninger med brugerens samtykke kan anvendes til individuel markedsføring målrettet brugeren, dog så længe, at betalingsoplysningerne ikke anvendes til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere, jf. stk. 4.

Det foreslås i stk. 3, nr. 3, at erhvervsdrivende må behandle betalingsoplysninger i forbindelse med anonymisering af betalingsoplysninger.

Begrebet behandling omfatter enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Det betyder, at selve anonymiseringen af betalingsoplysninger også er en form for behandling. Med forslaget til stk. 3, nr. 3, kan betalingsoplysninger anonymiseres. Det bemærkes, at det særlige samtykkekrav i stk. 2 ikke finder anvendelse ved anonymisering af betalingsoplysninger.

Med forslaget kan en erhvervsdrivende indsamle betalingsoplysninger med det formål at anonymisere dem. Når betalingsoplysningerne er anonymiseret, kan de også anvendes til formål, der ikke er direkte henvendt til brugeren selv. Anonymiseret betyder, at oplysningerne er gjort anonyme på en sådan måde, at brugeren ikke længere kan identificeres. Anonymisering handler derfor om at fjerne muligheden for at identificere enkeltpersoner i et datasæt. Der skal være tale om en uigenkaldelig afidentificering.

Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Er eksempelvis navn, adresse eller personnummer erstattet af en kode eller et løbenummer, der kan føres tilbage til den oprindelige individuelle oplysning, vil der stadig væk være tale om personhenførbare betalingsoplysninger. Det gælder også, selv om den, der ligger inde med oplysningerne, ikke selv har adgang til den liste eller nøgle, der viser sammenhængen mellem løbenummer og de egentlige identifikationsoplysninger. Det vil sige, at selv hvis det kun for den indviede vil være muligt at forstå, hvem en oplysning vedrører, vil der være tale om en personhenførbar betalingsoplysning, som derved ikke er anonym.

Hvis betalingsoplysninger er uigenkaldeligt afidentificeret, kan de derefter også anvendes til formål, der ikke er rettet mod brugeren selv. Det kunne eksempelvis være til brug for generel markedsføring eller til brug for forbrugssammenligning, hvor en bruger vil kunne sammenligne sit eget forbrug med en repræsentativ gruppes forbrug.

Der vil eksempelvis også kunne ske behandling, når det er nødvendigt for udbyderens tilpasning af betalingssystemer, således at disse er sikre, effektive og tidssvarende, hvis der ikke frembringes personhenførbare oplysninger.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 3, straffes med bøde.

Overtrædelse af forslagets § 01, stk. 3, vil omfatte den situation, hvor en virksomhed behandler betalingsoplysninger til andre formål end dem, der er angivet i § 01, stk. 3. Ansvarssubjektet er den virksomhed, der behandler betalingsoplysninger i strid med § 01, stk. 3.

Det foreslås i stk. 4, at uanset stk. 3 må betalingsoplysninger ikke behandles til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere. For forsikringsaftaler gælder endvidere, at betalingsoplysninger ikke må behandles i forbindelse med opfyldelse af forsikringsaftaler.

De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være meget følsomme, idet virksomheder kan foretage registreringer af brugerens adfærd og lave personprofiler af vedkommende. Det fremgår af stk. 4, at betalingsoplysninger uanset stk. 3 ikke må anvendes til fastsættelse af individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere.

Det omfatter således også anvendelse af betalingsoplysninger til at fastsætte renten på et lån eller præmien på en forsikring. Hensynet er, at det ikke bør have betydning for en persons mulighed for at få et lån eller tegne en forsikring, hvordan vedkommende vælger at sammensætte sit forbrug, og hvor og hvornår en given betalingstjeneste anvendes. Det bør således alene være brugerens økonomiske situation, der afgør dette.

Betalingsoplysninger kan bruges til at identificere brugeres betalingsvillighed mere generelt. Dette omfatter eksempelvis den situation, hvor en erhvervsdrivende identificerer brugere, der er meget prisbevidste, og brugere, der er mindre prisbevidste, og på den baggrund fastsætter forskellige priser. Det er hensigten med bestemmelsen at sikre, at en persons mulighed for at benytte sig af et tilbud eller en speciel pris ikke afhænger af, hvordan vedkommende generelt vælger at sammensætte sit forbrug.

Det indebærer, at betalingsoplysninger ikke må behandles til at fastsætte individuelle priser for den enkelte betaler eller individuelle vilkår for den enkelte betaler. Der kan således fortsat anvendes betalingsoplysninger til brug for generelle, forud fastlagte rabatstrukturer såsom elektroniske »klippekort«, hvor eksempelvis den tiende liter mælk, der købes, er gratis, og behandling af oplysningerne til at fastsætte medlemstilbud, når disse tilbud gælder for alle medlemmer af et rabat- eller loyalitetsprogram.

De oplysninger, der kan registreres om en brugers anvendelse af en betalingstjeneste, kan være meget følsomme. Det foreslås med bestemmelsen, at betalingsoplysninger ikke kan behandles i forbindelse med forhold, der vedrører opfyldelse af en forsikringsaftale. Opfyldelse af en forsikringsaftale omfatter alle forhold i forbindelse med behandling af skadesanmeldelser, herunder efterforsikringsskridt og udbetaling af forsikringssum. Eksempelvis kan oplysninger om, at en bruger betaler kontingent til en fodboldklub, ikke anvendes ved efterforskning i forbindelse med en arbejdsskadeforsikring. Ved indgåelse af en sundhedsforsikring kunne det være et vilkår, at en bruger ikke drikker mere end de af sundhedsstyrelsen anbefalede genstande. Med forslaget til stk. 4, 2. pkt., må forsikringsselskabet dog ikke anvende betalingsoplysninger til at overvåge brugerens køb af alkohol, som led i overholdelsen af aftalen. Forbuddet gælder, uanset om forsikringsaftalen indgås direkte mellem forsikringstageren og forsikringsselskabet, eller om aftalen indgås via en forsikringsmægler eller forsikringsagent.

Det bemærkes, at bestemmelsen alene omhandler behandling af betalingsoplysninger. Bestemmelsen berører således ikke markedsføringslovens regler om god skik i øvrigt eller Forbrugerombudsmandens praksis på baggrund heraf. Det bemærkes endvidere, at stk. 4 ikke hindrer betalingsmodtager i at opkræve et gebyr hos betaler for brugen af et bestemt betalingsinstrument, at tilbyde betaleren en rabat eller på anden måde at tilskynde betaleren til at anvende et givent betalingsinstrument, jf. lovforslagets § 121, stk. 2 og 3.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 4, straffes med bøde.

Overtrædelse af forslagets § 01, stk. 4, vil omfatte den situation, hvor en erhvervsdrivende behandler betalingsoplysninger til at fastsætte individuelle priser eller vilkår for samme vare eller tjeneste til forskellige brugere, eller hvor en erhvervsdrivende behandler betalingsoplysninger i forbindelse med opfyldelse af en forsikringsaftale. Ansvarssubjektet er den virksomhed, der behandler betalingsoplysninger i strid med § 01, stk. 4.

Det foreslås i stk. 5, at uanset stk. 4 kan en erhvervsdrivende behandle aggregerede betalingsoplysninger til brug for en kreditvurdering.

Formålet med bestemmelsen er at sikre, at brugere, der får udarbejdet budgetter eller forbrugsoverblik på baggrund af betalingsoplysninger, kan overdrage disse budgetter eller forbrugsoverblik til kreditgiver til brug for kreditvurderingen, hvis de ønsker det. Begrebet kreditvurdering må forstås bredt. Det indebærer, at et budget eller et forbrugsoverblik ikke kun vil kunne overdrages til kreditgivere, såsom pengeinstitutter og finansieringsselskaber, men også til eksempelvis leasingselskaber, forsyningsselskaber, teleselskaber, og lign., hvor der er en kreditrisiko på kunden, hvorfor der foretages en kreditvurdering i forbindelse med indgåelse af aftalen.

Ifølge stk. 4 kan betalingsoplysninger ikke anvendes til fastsættelse af individuelle priser til forskellige kunder for det samme produkt. I forbindelse med optagelse af et lån eller indgåelse af aftale om et andet kreditbaseret produkt, såsom leasing, vil en bruger typisk skulle aflevere et budget for at blive kreditvurderet, hvilket også vil indebære en fastsættelse af renten på lånet eller den periodiske ydelse på leasingaftalen. I det tilfælde vil det uanset stk. 4 være muligt at benytte et budget eller et forbrugsoverblik til kreditvurderingen, hvis betalingsoplysningerne er aggregerede.

Med aggregerede oplysninger forstås, at betalingsoplysningerne er aggregeret på en måde, hvor det ikke længere er muligt at identificere enkelte betalingsmodtagere eller enkelte typer af varer eller tjenester. Det kræver således, at betalingsoplysningerne er summerede i overordnede forbrugskategorier. Det kunne eksempelvis være, at betalingsoplysningerne samles i budgetkategorier såsom bolig, fritid, dagligvarer og tøj, sko og personlig pleje.

Betalingsoplysninger, der ikke er aggregerede, kan jf. stk. 5 dog ikke anvendes til kreditvurdering. Hensynet til dette er, at en persons kreditværdighed ikke bør afhænge af, hvilke specifikke varer og tjenester vedkommende køber, og hvor de specifikt bliver købt, men alene af personens økonomiske situation.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 5, straffes med bøde.

Overtrædelse af forslagets § 01, stk. 5, vil omfatte den situation, hvor en erhvervsdrivende behandler betalingsoplysninger, der ikke er aggregerede, til brug for en kreditvurdering. Ansvarssubjektet er den virksomhed, der behandler betalingsoplysninger i strid med § 01, stk. 5.

Det foreslås i stk. 6, at uanset stk. 3 må en erhvervsdrivende ikke videregive betalingsoplysninger til tredjemand, medmindre dette er hjemlet ved anden lovgivning eller sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke er i strid med stk. 2-5.

Det præciseres i stk. 6, at uanset om brugeren har givet sit samtykke, kan betalingsoplysninger ikke videregives til tredjemand, medmindre dette sker i forbindelse med udbuddet af en konkret tjeneste, som brugeren har anmodet om. Det betyder, at det eksempelvis vil være muligt for en betalingstjenesteudbyder eller en forretning at videregive kvitteringsoplysinger til en udbyder af elektronisk kvitteringsopbevaring, hvis brugeren selv har anmodet om brugen af elektronisk kvitteringsopbevaring.

Det er dog en forudsætning for videregivelse, at den tjeneste, som brugeren har anmodet om, ikke er i strid med stk. 2-5. Dette skal sikre, at en virksomhed i Danmark ikke kan videregive betalingsoplysninger til en udenlandsk virksomhed, hvis videregivelsen medfører, at der sker behandling af betalingsoplysninger til brug for eksempelvis fastsættelse af individuelle priser eller vilkår til brug for markedsføring af forsikringsaftaler.

Derudover kan der ske videregivelse til tredjemand, hvis dette er hjemlet ved anden lovgivning. Dette kunne eksempelvis være i forbindelse med hvidvasklovens videregivelsesbestemmelser.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 01, stk. 6, straffes med bøde.

Overtrædelse af forslagets § 01, stk. 6, vil omfatte den situation, hvor en virksomhed videregiver betalingsoplysninger, når det ikke sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller sker i forbindelse med udbuddet af en tjeneste, som brugeren selv har anmodet om. Ansvarssubjektet er den virksomhed, der videregiver betalingsoplysninger i strid med § 01, stk. 6.

Til nr. 32

Der er alene tale om en sproglig korrektion.

Til nr. 33

Der er tale om en præcisering af lovforslagets § 141, stk. 1, med henblik på at sikre, at det ikke kun er virksomheder, der er omfattet af loven, som kan være part i henhold til loven, men derimod, at enhver virksomhed, som Finanstilsynet træffer afgørelser rettet imod i medfør af denne lov, er part i forhold til Finanstilsynet, for så vidt angår den konkrete afgørelse truffet i medfør af denne lov eller i medfør af regler udstedt i medfør af denne lov.

Til nr. 34

Der er tale om en præcisering af lovforslagets § 141, stk. 2, nr. 5, med henblik på at tydeliggøre, at som part i forhold til Finanstilsynet anses den person eller virksomhed, som er omfattet af afgørelser, der træffes af Finanstilsynet i henhold til § 10, stk. 1, nr. 4, § 53 eller § 133, om en persons egnethed og hæderlighed, for så vidt angår den konkrete afgørelse.

Til nr. 35

Der er tale om en korrektion som konsekvens af, at § 124 i det fremsatte lovforslag med ændringsforslag nr. 30 og 31 opdeles i § 124 og § 01.

Til nr. 36

Der er tale om en korrektion, da henvisningen rettelig skulle have været til §§ 2 og 3.

Overtrædelse af forslagets § 2 vil omfatte den situation, hvor en virksomhed udsteder elektroniske penge uden at have tilladelse som e-pengeinstitut efter § 8, en begrænset tilladelse efter § 50 eller en tilladelse som pengeinstitut og virksomheden ikke er Danmarks Nationalbank eller en offentlig myndighed.

Ansvarssubjektet er den virksomhed, der udsteder elektroniske penge i strid med § 2.

Overtrædelse af forslagets § 3, vil omfatte den situation, hvor en virksomhed udbyder betalingstjenester uden at have tilladelse som e-pengeinstitut efter § 8, betalingsinstitut efter § 9, en begrænset tilladelse efter § 51 eller en tilladelse som pengeinstitut og virksomheden ikke er Danmarks Nationalbank eller en offentlig myndighed.

Ansvarssubjektet er den virksomhed, der udbyder betalingstjenester i strid med § 3.

Til nr. 37

Der er tale om en korrektion, da henvisningerne i § 151, stk. 2, rettelig skulle have været til § 43, stk. 1 og stk. 7, 4. pkt., § 91, stk. 1-4, § 96, stk. 1-3, § 124, stk. 2 og 4, og § 01, stk. 2-6.

Til nr. 38

Det foreslås i § 153, stk. 2, at lovens § 155, nr. 01, træder i kraft den 3. januar 2018. Det skyldes, at den del af loven skal følge implementeringen af MiFID II, herunder ikrafttrædelsesdatoen for lov om kapitalmarkeder og den dertilhørende følgelov, som blev behandlet i Folketinget som lovforslag nr. 155 og 156. Disse to love træder i kraft den 3. januar 2018.

Til nr. 39 og 40

I § 1, nr. 101, i det af Folketinget den 30. maj 2017 vedtagne forslag til lov om ændring af lov om finansiel virksomhed, lov om finansielle rådgivere og boligkreditformidlere og forskellige andre love (Gennemførelse af direktiv om markeder for finansielle instrumenter (MiFID II) og ændringer som følge af forordning om markeder for finansielle instrumenter (MiFIR) m.v.) nyaffattes § 361 i lov om finansiel virksomhed.

I ændringsforslaget foreslås det at ændre § 361, stk. 3, i lov om finansiel virksomhed således, at lov om betalingstjenester og elektroniske penge bliver til lov om betalinger, som den nye lov kommer til at hedde.

Der er alene tale om en lovteknisk korrektion, og ændringen medfører ingen materielle ændringer.

Hans Kristian Skibby (DF) Mette Hjermind Dencker (DF) Jan Rytkjær Callesen (DF) Lise Bech (DF) Tilde Bork (DF) Dorthe Ullemose (DF) Torsten Schack Pedersen (V) Preben Bang Henriksen (V) Eva Kjer Hansen (V) Jacob Jensen (V) Erling Bonnesen (V) Jane Heitmann (V) Villum Christensen (LA) Joachim B. Olsen (LA) nfmd. Anders Johansson (KF) Erik Christensen (S) Karin Gaardsted (S) Peter Hummelgaard Thomsen (S) Kaare Dybvad (S) Morten Bødskov (S) fmd. Rasmus Horn Langhoff (S) Thomas Jensen (S) Pelle Dragsted (EL) Henning Hyllested (EL) René Gade (ALT) Christian Poll (ALT) Ida Auken (RV) Lisbeth Bech Poulsen (SF) Karsten Hønge (SF)

Inuit Ataqatigiit, Tjóðveldi og Javnaðarflokkurin havde ikke medlemmer i udvalget.