Digitalisering
PSD2 kan krocka med GDPR – oklara regelverk kan slå hårt mot unga teknikbolag
Oklarheter kring vilket av de kommande PSD2- och GDPR-direktiven som står över det andra riskerar att slå hårt mot unga teknikbolag inom bank och finans.
Publicerad
2018 kommer att bli ett omvälvande år för banksektorn. Under året kommer EU nämligen att införa det nya betaltjänstdirektivet PSD2.
Den kommande lagen innebär att bankerna i Sverige och övriga EU-länder inte längre kommer att ha monopol på värdefull kunddata. I stället måste bankerna dela ut information om kunders kontoinformation och betaltjänster – förutsatt att kunden själv har begärt och godkänt det.
Införandet av direktivet har tagits emot med öppna armar av unga svenska bolag som arbetar med att utveckla nya lösningar inom finansiell teknik, ofta förkortat till fintech.
Men PSD2 är inte det enda EU-direktivet som kommer att träda i kraft under nästa år. Från och med maj månad börjar den nya dataskyddslagen GDPR att gälla.
Exakt hur GDPR och PSD2 ska tolkas i förhållande till varandra är ännu inte fastställt. Och det gör att svenska fintech-bolag riskerar att hamna i kläm, larmar branchorganisationen Swedish fintech association, Swefintech. Bland organisationens 45 medlemmar finns bland andra Klarna, Izettle och Sigmastocks.
Läs mer:
GDPR slår fast att du som kund ska ha rätt till all din data, men enligt PSD2 ska bankerna kunna tolka viss data som känslig. Men än så länge är det fortfarande oklart vilket av de två EU-direktiven som faktiskt står över det andra, påpekar Swefintech i en skrivelse till Datainspektionen.
– I grunden är både PSD2 och GDPR bra förslag som kommer gynna konkurrensen. Problemet är att direktiven har utvecklats parallellt. PSD2 säger att viss känslig data rörande kunderna inte får lämnas ut från bankerna. Men vad räknas egentligen som känslig data? Vi ser att det finns en risk att bankerna kommer att vara expansiva med vad det kan vara, säger Elisabeth Thand Ringqvist, styrelsemedlem hos Swefintech.
En annan möjlig komplikation i mötet mellan GDPR och PSD2 som kan få stora konsekvenser handlar om överföringen av kunddata mellan banker och tredjeparts-aktörer.
– Enligt GDPR ska överföringen ske så snabbt och säkert som möjligt. Man kan välja att tolka hur det ska göras. Exempelvis står det inte uttryckligen i PSD2 att informationen måste skickas in digitalt.
Läs mer:
Anser ni att det här är allvarligt?
– Det är allvarligt om det framkommer att GDPR inte trumfar PSD2. Men det är fortfarande för tidigt att säga att det blir så. Vi ser med stor tillförsikt på den arbetsprocess som sker just nu.
– Om det är så att PSD2 bara omfattar information om betalkonton – och den informationen kan skickas i pappersform till tredjeparter – så skulle det innebära döden för all utveckling inom området.
Även it-konsultbolaget Tieto pekar på att oklarheten i hur regelverken ska fungera ihop kan få negativa konsekvenser för aktörer på finansmarknaden – och i slutänden även bankernas slutkunder.
– Vi ser ett behov av att svenska myndigheter som utövar tillsyn för GDPR, PSD2 och penningtvättslagen behöver samordna sig. Men vi förväntar oss att få ett klargörande i kommande lagrådsremiss för PSD2, säger Jimi Inge, chef för Risk & Compliance-lösningar på Tieto.
PSD2-direktivet kommer att införas tidigast i maj. Det gör att det är brådskande med att hitta en lösning, påpekar Swefintech.
– Inom den första halvan av 2018 måste vi få veta vilken riktlinje som det finns en majoritet bakom – om det är GDPR eller PSD2 som slår högst. För oss fintechbolag är det svårt att till exempel vidareutveckla våra tjänster och resa kapital om vi inte vet vilka spelregler som kommer att gälla.
