Datainspektionen granskar betaltjänstföretagen
Datainspektionen har gjort en granskning av hur betaltjänstföretag hanterar användarnas personuppgifter. I huvudsak korrekt, är slutsatsen. Men framöver måste de vara tydligare med vilka uppgifter de sparar och varför.
– Vi har gjort den här granskningen av företag med elektroniska betallösningar på eget initiativ. Företeelsen är ganska ny och vi valde att titta närmare på fyra företag som sinsemellan är ganska olika för att få en översikt, säger jurist Martin Brinnen som lett inspektionerna.
De fyra som sattes under Datainspektionens lupp var Seamless tjänst SEQR, Trustlys tjänst Direktbetalning, 4T:s tjänst WyWallet samt Klarnas tjänster för betalning över nätet, däribland Checkout.
Förbättringskrav
Granskningen har visat att företagen i stort hanterar personuppgifter på ett korrekt sätt men att det finns saker att förbättra.
- Det handlar exempelvis om tydligare interna regler för vad uppgifterna får användas till och när de ska gallras, och att information till kunderna om hur deras personuppgifter kan komma att användas ska vara tydligare, säger Martin Brinnen.
Seqr- bäst i klassen
De här slutsatserna föranledde inspektionen att skicka ut ett föreläggande till alla - utom Seamless Seqr.
– Till företagens försvar kan sägas att de är nya på marknaden och ännu inte haft anledning att ta ställning till en del av de lagringskraven, säger Martin Brinnen.
Företagen lyder under flera olika lagar som sinsemellan har olika tidskrav för lagring av personuppgifter, som till exempel penningtvättslagen,betaltjänstlagen och bokföringslagen.
– Det kan vara svårt att avgöra vilka uppgifter som ska spara och hur länge. Men företagen måste noga gå igenom uppgifterna och bedöma från fall till fall, säger Martin Brinnen.
Om till exempel en uppgift måste spara i sju år för bokföringslagen men bara i fem för penningtvättslagstiftningen, får man inte använda uppgiften i ett fall som rör penningtvätt efter sex år.
Samtycke kräver tydlighet
När företagen ber om användarnas samtycke för att få behandla deras personuppgifter måste användarna få tydlig och klar information om behandlingen. Inspektionen har inte underkänt de fyra företagens information men uppmanar Trustly att förbättra den.
– Användarnas samtycke förutsätter att företaget berättar vad uppgifterna kommer att användas till. Man kan inte ha en formulering som i princip innebär att de ska användas till ”allt möjligt” eller tillhandahålla informationen inbäddad i 20 sidor långt och svårtillgänglig avtal, säger Martin Brinnen.
För gamla uppgifter
Datainspektionen påpekar att de bolag hos vilka kunderna kan betala på kredit, i de här fallet 4T och Klarna, inte får använda för gamla uppgifter om kunden.
När det gäller kreditupplysningar som hämtats från kreditupplysningsföretag så ska de inte vara äldre än tre månader. För de uppgifter som bolagen har om sina egna kunder, och deras eventuella senfärdighet med att betala sina räkningar, kan upp till tre år gamla uppgifter användas.
Seqr glada
Seqr är förstås nöjda med resultatet av granskningen, och var inte sena med att gå ut med en kommentar:
- Säkerheten och integriteten hos våra användare är A&O för SEQR och utgör grunden för hela vår teknologi. Vi är väldigt glada för att detta nu även bekräftats av den svenska staten, säger Seamless vd Peter Fredell.
Ylva Åkesson