Η Οδηγία PSD2 περιέχει αρκετές διατάξεις για την προστασία των προσωπικών δεδομένων, κάποιες εκ των οποίων δεν είναι ξεκάθαρο αν έχουν ίδιο ή διαφορετικό περιεχόμενο από τον GDPR. Η αλληλεπίδραση μεταξύ τους αποσαφηνίστηκε πρόσφατα από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων με πολύ ενδιαφέροντα συμπεράσματα.
Η δεύτερη Οδηγία για τις υπηρεσίες πληρωμών PSD2 (Payment Service Directive 2) έχει εισάγει μια σειρά από καινοτόμες διατάξεις, με στόχο ασφαλείς, εύκολες και φθηνές πληρωμές σε ολόκληρη την Ευρωπαϊκή Ένωση. Αναμφίβολα, έχει δημιουργήσει νέες ευκαιρίες για τους καταναλωτές και έχει βελτιώσει σημαντικά τη διαφάνεια σε αυτόν τον τομέα, όμως ταυτόχρονα έχει εγείρει ορισμένα ερωτήματα αναφορικά με την επαρκή προστασία των προσωπικών δεδομένων των χρηστών.
Ο GDPR εφαρμόζεται σε κάθε περίπτωση επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της επεξεργασίας που πραγματοποιείται στο πλαίσιο των υπηρεσιών πληρωμών, όπως αυτές ρυθμίζονται από την PSD2. Συνεπώς, κάθε διαδικασία που λαμβάνει χώρα στα πλαίσια της PSD2 και του Κανονισμού 2018/389, ο οποίος αφορά τα τεχνικά πρότυπα για τον έλεγχο της ταυτότητας των πελατών και για την επικοινωνία μεταξύ των παρόχων, πρέπει να συμμορφώνεται με τις απαιτήσεις του GDPR. Επειδή η Οδηγία PSD2 περιέχει αρκετές διατάξεις για την προστασία των προσωπικών δεδομένων, είχε προκύψει αβεβαιότητα σχετικά με την ερμηνεία αυτών των διατάξεων και την αλληλεπίδρασή τους με τον GDPR.
Για να αρθεί αυτή η αβεβαιότητα, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) εξέδωσε στις 15 Δεκεμβρίου 2020 την τελική και οριστική μορφή των κατευθυντήριων γραμμών του, οι οποίες αποσαφηνίζουν πολλά ζητήματα και παρέχουν καθοδήγηση σχετικά με την επεξεργασία των προσωπικών δεδομένων από τους παρόχους υπηρεσιών πληρωμών.
Οι βασικότερες διατάξεις για την προστασία των προσωπικών δεδομένων στην PSD2
Τα κυριότερα σημεία στην PSD2 που οριοθετούν την πρόσβαση στους λογαριασμούς πληρωμών και τη χρήση των πληροφοριών τους είναι:
- Το άρθρο 66 παράγραφος 3 στοιχείο στ) που ορίζει ότι ο πάροχος δεν ζητάει από τον χρήστη των υπηρεσιών πληρωμών κανένα άλλο στοιχείο πέραν αυτών που είναι αναγκαία για την παροχή της υπηρεσίας.
- Το άρθρο 66 παράγραφος 3 στοιχείο ζ) που προβλέπει ότι ο πάροχος δεν προβαίνει σε χρήση, πρόσβαση και αποθήκευση δεδομένων για σκοπούς άλλους από την εκτέλεση της υπηρεσίας εκκίνησης πληρωμής που ζητεί με ρητό τρόπο ο πληρωτής.
- Το άρθρο 67 παράγραφος 2 στοιχείο δ) που περιορίζει την πρόσβαση των παρόχων στις πληροφορίες από καθορισμένους λογαριασμούς πληρωμών και τις σχετικές πράξεις πληρωμής.
- Το άρθρο 67 παράγραφος 2 στοιχείο στ) που ορίζει ότι ο πάροχος δεν προβαίνει σε χρήση, πρόσβαση ή αποθήκευση δεδομένων για σκοπούς άλλους από την εκτέλεση υπηρεσίας πληροφοριών λογαριασμού που αιτείται με ρητό τρόπο ο χρήστης υπηρεσιών πληρωμών, σύμφωνα με τους κανόνες προστασίας των δεδομένων.
- Το άρθρο 94 παράγραφος 2, σύμφωνα με το οποίο οι πάροχοι υπηρεσιών πληρωμών έχουν πρόσβαση, επεξεργάζονται και διατηρούν τα προσωπικά δεδομένα που είναι απαραίτητα για την παροχή των υπηρεσιών πληρωμών, μόνο με τη ρητή συγκατάθεση του χρήστη υπηρεσιών πληρωμών.
Νόμιμοι λόγοι επεξεργασίας
Σύμφωνα με τον GDPR, οι υπεύθυνοι επεξεργασίας πρέπει να έχουν συγκεκριμένη νομική βάση για την επεξεργασία των προσωπικών δεδομένων. Το άρθρο 6 παράγραφος 1 του GDPR αποτελεί εξαντλητικό και περιοριστικό κατάλογο των έξι νομικών βάσεων και εναπόκειται στον υπεύθυνο επεξεργασίας να καθορίσει ποια από αυτές είναι η κατάλληλη και να βεβαιωθεί ότι πληρούνται όλες οι προϋποθέσεις της με βάση τον σκοπό της επεξεργασίας και τη σχέση μεταξύ του υπεύθυνου επεξεργασίας και του υποκειμένου των δεδομένων.
Το άρθρο 6 παράγραφος 1 στοιχείο β) του GDPR απαιτεί τα προσωπικά δεδομένα να συλλέγονται μόνο για καθορισμένους, ρητούς και νόμιμους σκοπούς και να μην υποβάλλονται σε επεξεργασία με τρόπο που δεν είναι συμβατός με αυτούς τους σκοπούς. Αναφορικά με την εφαρμογή αυτής της διάταξης σε μια διαδικτυακή υπηρεσία πληρωμών, οι κατευθυντήριες αρχές του EDPB ορίζουν ότι πρέπει να ληφθεί υπόψη ο συγκεκριμένος σκοπός της υπηρεσίας, ο οποίος πρέπει να προσδιορίζεται με σαφήνεια και να κοινοποιείται στο υποκείμενο των δεδομένων.
Η αξιολόγηση του τι είναι απαραίτητο στη διαδικασία της επεξεργασίας περιλαμβάνει μια συνδυασμένη, βασισμένη σε γεγονότα διερεύνηση της επεξεργασίας, ώστε να διαπιστωθεί αν για την επίτευξη του ίδιου στόχου μπορεί να γίνει μια άλλη επιλογή που περιλαμβάνει την επεξεργασία λιγότερων στοιχείων και σε μικρότερο εύρος. Άλλωστε, το άρθρο 6 παράγραφος 1 στοιχείο β) δεν καλύπτει την επεξεργασία, η οποία είναι μεν χρήσιμη αλλά όχι αντικειμενικά απαραίτητη για την εκτέλεση της συμβατικής υπηρεσίας.
Συνεπώς, αν δεν μπορεί να αποδειχθεί ότι η επεξεργασία των δεδομένων του λογαριασμού πληρωμής είναι αντικειμενικά απαραίτητη για την παροχή των υπηρεσιών πληρωμής, τότε το άρθρο 6 παράγραφος 1 στοιχείο β) του GDPR δεν αποτελεί έγκυρο νόμιμο λόγο επεξεργασίας και ο υπεύθυνος επεξεργασίας θα πρέπει να εξετάσει κάποια άλλη βάση.
Ενδιαφέρουσα αλληλεπίδραση με την PSD2 έχει και το άρθρο 6 παράγραφος 4 του GDPR, το οποίο καθορίζει τους όρους για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από αυτόν, για τον οποίο έχουν συλλεχθεί. Πιο συγκεκριμένα, περαιτέρω επεξεργασία μπορεί να πραγματοποιηθεί, όταν βασίζεται σε δίκαιο της Ένωσης ή των κρατών-μελών, το οποίο αποτελεί απαραίτητο και αναλογικό μέτρο για τη διασφάλιση συγκεκριμένων στόχων που αναφέρονται στο άρθρο 23 παράγραφος 1 ή όταν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του ή όταν η περαιτέρω επεξεργασία για διαφορετικούς σκοπούς από τον αρχικό είναι συμβατή με αυτόν.
Όμως, τα άρθρα 66 παράγραφος 3 στοιχείο ζ) και 67 παράγραφος 2 στοιχείο στ) της PSD2 περιορίζουν σημαντικά τις δυνατότητες επεξεργασίας για άλλους σκοπούς πέρα από τον αρχικό, πράγμα που σημαίνει ότι η επεξεργασία για άλλο σκοπό δεν επιτρέπεται, εκτός εάν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του ή η επεξεργασία καθορίζεται από το δίκαιο της Ένωσης ή το δίκαιο των κρατών-μελών. Η τρίτη εξαίρεση του GDPR περί συμβατότητας της περαιτέρω επεξεργασίας δεν αναφέρεται στα άρθρα αυτά της PSD2. Οι κατευθυντήριες γραμμές ξεκαθαρίζουν ότι ο έλεγχος συμβατότητας του άρθρου 6 παράγραφος 4 του GDPR δεν μπορεί να εφαρμοστεί στις υπηρεσίες πληρωμών ως νομική βάση για περαιτέρω επεξεργασία.
Ρητή συγκατάθεση
Σύμφωνα με τον GDPR, η συγκατάθεση χρησιμεύει ως ένας από τους έξι νομικούς λόγους για τη νομιμότητα της επεξεργασίας των προσωπικών δεδομένων. Το άρθρο 4 παράγραφος 11 του GDPR ορίζει τη συγκατάθεση ως «κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν». Η έννοια της ρητής συγκατάθεσης περιλαμβάνεται, όμως, και στην Οδηγία για τις υπηρεσίες πληρωμών, κάτι που οδηγεί στο ερώτημα αν αυτή πρέπει να ερμηνεύεται με τον ίδιο τρόπο και στα δύο νομοθετήματα.
Οι κατευθυντήριες αρχές του EDPB ξεκαθαρίζουν ότι η ρητή συγκατάθεση στην PSD2 δεν αποτελεί νομική βάση για την επεξεργασία των προσωπικών δεδομένων, όπως συμβαίνει με τον GDPR
H νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την παροχή υπηρεσιών πληρωμών είναι το άρθρο 6 παράγραφος 1 στοιχείο β) του GDPR, καθώς η επεξεργασία είναι απαραίτητη για την εκτέλεση της σύμβασης μεταξύ του παρόχου υπηρεσιών πληρωμής και του χρήστη της υπηρεσίας. Συνεπώς, το άρθρο 94 παράγραφος 2 της PSD2 δεν μπορεί να θεωρηθεί ως πρόσθετη νομική βάση, αλλά ως απαίτηση συμβατικού χαρακτήρα, με σκοπό την παροχή υπηρεσιών πληρωμών και άρα δεν είναι η ίδια με την συγκατάθεση βάσει του GDPR.
Έτσι, η ρητή συγκατάθεση που αναφέρεται στο άρθρο 94 παράγραφος 2 της PSD2 είναι συμβατική συγκατάθεση υπό την έννοια ότι τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται πλήρως για τις συγκεκριμένες κατηγορίες προσωπικών δεδομένων που θα υποβληθούν σε επεξεργασία για συγκεκριμένη υπηρεσία πληρωμής και να δηλώνουν ρητά ότι συμφωνούν με αυτή την επεξεργασία.
Η επεξεργασία των δεδομένων τρίτων μερών
Ένα ζήτημα προστασίας δεδομένων που χρειάζεται προσεκτική εξέταση στις υπηρεσίες πληρωμών είναι η επεξεργασία προσωπικών δεδομένων τρίτων μερών, δηλαδή υποκειμένων δεδομένων τα οποία δεν είναι χρήστες της συγκεκριμένης υπηρεσίας, αλλά των οποίων τα προσωπικά δεδομένα υποβάλλονται σε επεξεργασία από συγκεκριμένο πάροχο υπηρεσιών πληρωμών για την εκτέλεση σύμβασης μεταξύ του παρόχου και ενός χρήστη της υπηρεσίας. Αυτό συμβαίνει, για παράδειγμα, όταν ένας χρήστης υπηρεσιών πληρωμών χρησιμοποιεί τις υπηρεσίες ενός παρόχου και ένα άλλο υποκείμενο δεδομένων, το οποίο δεν συμβάλλεται με τον πάροχο, έχει πραγματοποιήσει συναλλαγές στον λογαριασμό πληρωμών του χρήστη της υπηρεσίας.
Ο GDPR, όπως προαναφέρθηκε, απαιτεί τα προσωπικά δεδομένα να συλλέγονται μόνο για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν επιτρέπεται να υποβάλλονται σε περαιτέρω επεξεργασία με τρόπο ασυμβίβαστο με τους σκοπούς αυτούς. Έτσι, επιτρέπει την επεξεργασία δεδομένων τρίτων μερών, όταν αυτή είναι απαραίτητη για τους σκοπούς που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος (άρθρο 6 παράγραφος 1 στοιχείο στ) του GDPR). Σύμφωνα με τις κατευθυντήριες γραμμές του EDPB, η διάταξη αυτή εφαρμόζεται και στις υπηρεσίες πληρωμών.
Νομική βάση για την επεξεργασία δεδομένων τρίτων μερών μπορεί να είναι το έννομο συμφέρον του υπευθύνου επεξεργασίας ή του χρήστη της υπηρεσίας για την εκτέλεση της σύμβασης
Συγκεκριμένα, νομική βάση για την επεξεργασία προσωπικών δεδομένων τρίτων μερών από τους παρόχους υπηρεσιών πληρωμής μπορεί να είναι το έννομο συμφέρον του υπευθύνου επεξεργασίας ή του χρήστη της υπηρεσίας για την εκτέλεση της σύμβασης. Η επεξεργασία των προσωπικών δεδομένων του τρίτου μέρους είναι περιορισμένη και δεν πρέπει να παρακάμπτει τα συμφέροντα και τα θεμελιώδη δικαιώματά του. Από την άποψη αυτή, ο υπεύθυνος επεξεργασίας πρέπει να καθορίσει τις απαραίτητες δικλείδες ασφαλείας, προκειμένου να προστατεύσει τα δικαιώματα των υποκειμένων των δεδομένων. Αυτό περιλαμβάνει τεχνικά μέτρα, για να διασφαλιστεί ότι τα δεδομένα του τρίτου μέρους δεν υποβάλλονται σε επεξεργασία για άλλο σκοπό εκτός από την εκτέλεση της σύμβασης, ενώ, εφόσον είναι εφικτό, πρέπει επίσης να εφαρμοστεί κρυπτογράφηση ή άλλες τεχνικές για την επίτευξη κατάλληλου επιπέδου ασφάλειας και ελαχιστοποίησης δεδομένων.
Ειδικές κατηγορίες προσωπικών δεδομένων
Το άρθρο 9 παράγραφος 1 του GDPR απαγορεύει την επεξεργασία προσωπικών δεδομένων που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό του.
Το πρόβλημα έγκειται στο ότι οι χρηματοοικονομικές συναλλαγές μπορούν να αποκαλύψουν τέτοιου είδους ευαίσθητες πληροφορίες των χρηστών, όπως για παράδειγμα στην περίπτωση που έχει γίνει κάποια πληρωμή προς πολιτικό κόμμα ή κάποια θρησκευτική οργάνωση, ενώ κάτι αντίστοιχο μπορεί να συμβεί και με συναλλαγές που αποκαλύπτουν πληροφορίες για τη σεξουαλική ζωή ή τις ιατρικές ανάγκες του ατόμου.
Για την επεξεργασία ευαίσθητων δεδομένων, οι πάροχοι υπηρεσιών πληρωμής θα πρέπει να διασφαλίσουν ότι ισχύει κάποια παρέκκλιση από τη γενική απαγόρευση, όπως ορίζεται στον GDPR
Οι κατευθυντήριες αρχές του EDPB ορίζουν ότι οι πάροχοι των υπηρεσιών πληρωμής θα πρέπει να διασφαλίσουν ότι πληρούνται οι προϋποθέσεις για κάποια από τις παρεκκλίσεις από τον γενικό κανόνα της απαγόρευσης, οι οποίες αναφέρονται στην παράγραφο 2 του άρθρου 9 του GDPR, όπως είναι μεταξύ άλλων η ρητή συγκατάθεση του υποκειμένου των δεδομένων, η προάσπιση ζωτικού δημοσίου συμφέροντος με βάση το δίκαιο της Ένωσης ή του κράτους-μέλους και η εκτέλεση των υποχρεώσεων που απορρέουν από τη σύμβαση. Ο κατάλογος των παρεκκλίσεων αυτών είναι εξαντλητικός και δεν αφήνει κανένα περιθώριο για την επεξεργασία των ευαίσθητων προσωπικών δεδομένων στα πλαίσια των υπηρεσιών πληρωμών, εφόσον δεν καλύπτεται με κάποια από αυτές τις παρεκκλίσεις.