Betalingsoplysninger må ikke videregives i ikke-aggregeret form til brug for en kreditværdighedsvurdering

Forbrugerombudsmanden var i forbindelse med en anden sag blevet opmærksom på, at en kontooplysningstjenesteudbyder havde videregivet en brugers betalingsoplysninger til kreditgiver i forbindelse med udarbejdelse af en kreditværdighedsvurdering. Betalingsoplysningerne var blevet videregivet i en ikke-aggregeret form, og indeholdt både låntagers egne betalingsoplysninger og brugerens kærestes betalingsoplysninger.

Kontooplysningstjenesteudbyderen oplyste, at den indsamler, behandler og sammenstiller en brugers kontooplysninger, hvorefter oplysningerne blev gjort tilgængelige i kontooplysningstjenesten og hermed præsenteres for brugeren. Det blev oplyst, at kontooplysningstjenesten er en løsning, som stilles til rådighed for brugeren, hvor kontooplysningstjenesten giver brugeren mulighed for at dele betalingsoplysningerne med tredjepartselskaber, fx en kreditgiver.

Kontooplysningstjenesteudbyderen sendte et eksempel på brugerrejsen på udbyderens platform, herunder den samtykketekst, som brugeren præsenteres for i forbindelse med oprettelsen af en bruger på kontooplysningstjenestens platform. Det fremgik af samtykketeksten, at brugeren i første trin blev bedt om at give ét samtykke til omfanget af kontooplysninger, som tilgås og derefter deles, og om at acceptere brugervilkårene og databeskyttelsespolitikken.

Det følger af betalingslovens §§ 87 og 88, at en udbyder af kontooplysningstjenester skal indhente brugerens forudgående udtrykkelige samtykke til specifikt angivne betalingskonti, når denne tilgår brugerens betalingskonti. En bruger kan ikke give samtykke til, at en kontooplysningstjeneste får en generel adgang til samtlige af brugerens betalingskonti. Udbyderen må desuden kun tilgå oplysninger på de betalingskonti, der er omfattet af dette samtykke, og oplysningerne må ikke behandles til et andet formål, end hvad der er nødvendigt for at levere dén kontooplysningstjeneste, som brugeren udtrykkeligt har samtykket til.

Det var Forbrugerombudsmandens vurdering, at kravet om, at forbrugeren skal give udtrykkeligt samtykke til specifikt angivne betalingskonti, indebærer, at samtykketeksten skal klarlægge omfanget af samtykket, således at det er klart, hvilke betalingskonti der tilgås, og hvorvidt de indhentede oplysninger videregives til tredjepart, inden brugeren selv bliver præsenteret for oplysningerne.

Det var endvidere Forbrugerombudsmandens vurdering, at brugerens samtykke til, at en kontooplysningstjenesteudbyder må tilgå og indsamle brugerens betalingsoplysninger skal gives særskilt. Brugeren kunne derfor ikke ved samme viljeserklæring give samtykke til, at kontooplysningstjenesteudbyderen indhentede og delte brugerens oplysninger med tredjepartsselskabet. Ej heller kunne samtykket gives i forbindelse med, at brugeren accepterede kontooplysningstjenesteudbyderens brugervilkår og privatlivspolitik.

Det var på denne baggrund Forbrugerombudsmandens vurdering, at kontooplysningstjenesteudbyderen ikke havde indhentet forbrugerens udtrykkelige samtykke som foreskrevet i betalingslovens § 87, stk. 1 og 2.   

Betalingslovens § 125 finder anvendelse på enhver erhvervsdrivende, når denne behandler betalingsoplysninger, og har til formål at sikre, at oplysninger om, hvad en bruger har købt, hvor det er købt, og hvad det har kostet, ikke behandles til uvedkommende formål, da sådanne oplysninger kan være meget følsomme.

Efter betalingslovens § 125, stk. 3, nr. 2, må behandling af betalingsoplysninger ske i forbindelse med udbuddet af en tjeneste, der er direkte henvendt til brugeren, hvis brugeren har givet sit udtrykkelige samtykke hertil, jf. bestemmelsens stk. 2.

Det er Forbrugerombudsmandens vurdering, at § 125, stk. 3, nr. 2, finder anvendelse på udbydere af kontooplysningstjenesters behandling af brugerens betalingsoplysninger, i det omfang kontooplysningstjenesten er henvendt til brugeren, og brugeren har anmodet om tjenesten.

I den pågældende sag havde kontooplysningstjenesteudbyderen oplyst, at brugerrejsen startede på kreditgivers platform, hvor brugeren i forbindelse med etableringen af et kundeforhold var blevet videredirigeret til kontooplysningstjenestens platform med henblik på, at tjenesten skulle indsamle betalingsoplysninger, da disse oplysninger var nødvendige for kreditgiver.

Det var Forbrugerombudsmandens vurdering, at kontooplysningstjenesten ikke var leveret på baggrund af brugerens eget ønske om tjenesten, ligesom at brugeren ikke aktivt havde anmodet om tjenesten, eller at tjenesten havde til formål at blive brugt til brugerens egen anvendelse. Derfor havde kontooplysningstjenesten ikke været direkte henvendt til brugeren i henhold til § 125, stk. 3, nr. 2.

Efter betalingslovens § 125, stk. 6, kan en erhvervsdrivende alene videregive betalingsoplysninger til tredjemand, såfremt dette er hjemlet ved anden lovgivning, eller hvis det sker i forbindelse med gennemførelse eller korrektion af en betalingstransaktion eller udbuddet af en tjeneste, som brugeren har anmodet om, og som ikke er i strid med § 125, stk. 2-5.

Det var Forbrugerombudsmandens vurdering, at kontooplysningstjenesteudbyderen havde overtrådt betalingslovens § 125, stk. 6, ved at videregive brugerens betalingsoplysninger i en ikke-aggregeret form til en kreditgiver, som skulle bruge oplysningerne til en kreditværdighedsvurdering.