PISP’s en AISP’s als verwerkingsverantwoordelijke

163. Volgens de EDPB kunnen PISP’s en AISP’s, in het licht van de specifieke

omstandigheden, als verwerkingsverantwoordelijke of verwerker worden aanzien onder de GDPR. Daarnaast werkt zij aan ‘nieuwe’ richtsnoeren omtrent de concepten “verwerkingsverantwoordelijke” en “verwerker”.454 _{Volgens de EBF is elke} betalingsdienstaanbieder te aanzien als een verschillende verwerkingsverantwoordelijke die verantwoordelijk is voor zijn eigen verwerkingen.455

“processor”, 16 februari 2010, WP 169, https://ec.europa.eu/justice/article-

29/documentation/opinion-recommendation/files/2010/wp169_en.pdf, 14. 451 _{Art. 4, punt 8 GDPR.}

452 _{Art. 28, derde lid GDPR.}

453 _{Zie ook ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 1/2010 on the concepts of}

“controller” and “processor”, 16 februari 2010, WP 169, https://ec.europa.eu/justice/article-

29/documentation/opinion-recommendation/files/2010/wp169_en.pdf 25; F. ESSONO, “La responsabilité du sous-traitant au sens du RGPD”, Cah. Jur. 2018, afl. 2, (52)-58 ; E.F VAAL en V.I. LAAN, “Back to the basics: Verwerkingsverantwoordelijke of verwerker onder de AVG?”, IR 2019, afl. 5, 160; N. MICHAIL, « Le domaine d’application du GDPR : de sa portée hors de l’Union à sa mise en œuvre dans l’Union » RDC 2019, afl. 1, (63)-64; D. GOENS, Data protection bij financiële

instellingen, Antwerpen, Intersentia, 2018, 100 ev.; . VAN ALSENOY, Regulating data protection: the allocation of responsibility and risk among actors involved in personal data processing, onuitg.

doctoraartsthesis Rechten KU Leuven, 2016, beschikbaar op https://limo.libis.be/primo- explore/fulldisplay?docid=LIRIAS1711667&context=L&vid=Lirias&search_scope=Lirias&tab= default_tab&lang=en_US&fromSitemap=1, 47 e.v..

454 _{EDPB, guidelines 06/2020 on the interplay of the Second Payment Services Directive and the}

GDPR- Version 1.0, 17 juli 2020, 7.

455 _{EBF, guidance for implementation of the revised Payment Services Directive, 20 december 2019,}

102 PISP’s en AISP’s zullen als verwerkingsverantwoordelijke aanzien worden wanneer zij het doel en de wezenlijke middelen vastleggen omtrent de verwerking van de persoonsgegevens.456

Zowel Cake 457 _{als Bonsai}458 _{stippen in hun algemene voorwaarden en privacy-beleid aan} dat zij als verwerkingsverantwoordelijke aanzien moeten worden. Payconiq doet dit niet met zoveel woorden, maar overeenkomstig art. 14, eerste lid, a) en b) geven zij de contact gegevens van de verwerkingsverantwoordelijke, namelijk Payconiq International S.A. en de contactgegevens van hun Data Protection Officer.459

Voor de toepassing van de Case-studies die betrekking hebben op deze masterproef dienen zij dus allen als verwerkingsverantwoordelijke te worden aanzien.

456 _{Zie hiervoor randnummer 161.}

457 _{Cake “Wie zijn wij” beschikbaar op https://cake.app/nl/privacy/.}

458 _{Cashfree NV “Personal data processing” beschikbaar op https://www.paybonsai.com/terms-}

and-conditions/.

459 _{Art. 15 Privacy- en Cookieverklaring van Payconiq voor consument, beschikbaar op}

103

Onderafdeling 2: Schematisch overzicht vergaarde gegevens en DPIA

164. Hierna volgt een kwalificatie van de gegevens in functie van de case-studies,

weergegeven in een in een schematisch overzicht.

In het schematisch overzicht werden de verschillende gegevens in categorieën460 geplaatst. Deze categorieën zijn:

- Identificatiegegevens: gegevens die de betalingsdienstgebruiker dient over te maken om gebruik te kunnen maken van de betalingsdienst;

- Rekeninggegevens: dit zijn gegevens die te koppelen zijn aan de specifieke betaalrekening waarrond de dienstverlening verloopt;

- Transactiegegevens: gegevens betreffende betalingstransacties;

- PSDII gerelateerde gegevens: dit zijn gegevens die vernoemd worden in de PSDII- richtlijn en die van noodzakelijk belang zijn voor de uitvoering van de dienstverlening;

- Gebruikersgegevens van het toestel: doordat de App van de verschillende betalingsdienstaanbieders op een smartphone of tablet zijn geïnstalleerd worden ook gegevens betreffende deze toestellen verzameld;

- Anti-witwas informatie: dit zijn gegevens die verzameld dienen te worden onder wettelijke verplichting;

- Uitbreidende gegevens: dit zijn gegevens die vergaard worden door de betalingsdienstaanbieders om een betere gepersonaliseerde dienst te kunnen aanbieden aan een specifieke betalingsdienstgebruiker aan de hand van vraagstelling;

- Communicatiegegevens: dit zijn gegevens tussen de AISP of PISP en de betalingsdienstgebruiker. Bijvoorbeeld een push-bericht over een nieuwe nevendienst of communicatie wanneer de App of dienstverlening mank loopt, e.a.; en

- Verrijkingsgegevens: gegevens in datasets die gekoppeld worden aan specifieke vergaarde gegevens van individuele betalingsdienstgebruikers.

460 _{De categorieën zijn overgenomen van de privacyverklaring van Cake. Eveneens werden de}

gegevens die daar werden verstrekt gebruikt. Deze zijn aangevuld met andere gegevens die gevonden werden in de privacyverklaringen van Payconiq en Bonsai.

104

165. Deze categorieën met gegevens worden tevens ook gekwalificeerd in het licht van

wat hiervoor is besproken omtrent betalingsgegevens en persoonsgegevens met codes. In de kolom betalingsgegevens geldt:

- In de sub-kolom betalingsgegevens onderverdeeld in de subsub-kolommen dienstverlening en aanvullende gegevens:461

• B: te kwalificeren als betalingsgegevens • /: niet te kwalificeren als betalingsgegevens - In de sub-kolom gevoelige betalingsgegevens:462

• GB: te kwalificeren als gevoelige betalingsgegevens.

• (GB): mogelijk te kwalificeren als gevoelige betalingsgegevens.463

• (GB)*: mogelijk te kwalificeren als gevoelige betalingsgegevens maar voor de activiteiten van betalingsinitiatie- en rekeninginformatiediensten niet te aanzien als gevoelige betalingsgegevens.464

• /: niet te kwalificeren als gevoelige betalingsgegevens. In de kolom persoonsgegevens465 _{waarvoor geldt:}

- In de sub-kolom persoonsgegevens:

• P: te kwalificeren als persoonsgegeven.466

• (P): mogelijk te kwalificeren als persoonsgegeven.467

461 _{Deze gegevens zijn gekwalificeerd volgens het al dan niet verkrijgen van de gegevens bij de}

dienstverlening an sich of de aanvullende gegevens terwijl de betalingsopdracht wordt verwerkt. Zie randnummer 148.

462 _{Gevoelige betalingsgegevens in de zin van PSDII: gegevens die gebruikt kunnen worden voor}

fraude waarin inbegrepen de persoonlijke beveiligingsgegevens. Zie art. 4 punt 31 en 32 PSDII. 463 _{Mogelijk te kwalificeren als gevoelige betalingsgegevens dient te worden verstaan als} gegevens die in combinatie met andere kunnen gebruikt worden voor fraude, maar op zich – alleenstaand - niet steeds als gevoelig worden aanzien. Zie randnummer 139 en voetnoot 359 ter verduidelijking.

464 _{Mogelijk te kwalificeren als gevoelige betalingsgegevens maar niet voor de activiteiten van}

betalingsinitiatie en rekeninginformatiediensten veronderstelt de mogelijkheid zoals in de voetnoot hierboven met dien verstande dat in combinatie met art. 4 punt 32 PSDII dit niet geldt ten aanzien van PISP’s en AISP’s.

465 _{Persoonsgegevens zoals gedefinieerd in art. 4, punt 1 GDPR.}

466 _{Te kwalificeren als persoonsgegeven veronderstelt dat dit een persoonsgegeven is dat direct}

een geïdentificeerde of identificeerbare persoon kan worden aangeduid. Het gegeven op zich volstaat dan om een specifieke natuurlijke persoon te onderscheiden. Zie ook randnummers 147 en 148.

467 _{Mogelijk te kwalificeren als persoonsgegeven veronderstelt dat dit een persoonsgegeven is dat}

105 • /: niet te kwalificeren als persoonsgegeven.

- In de sub-kolom gevoelige persoonsgegevens:

• GP: te kwalificeren als gevoelige persoonsgegevens.468

• (GP): mogelijk te kwalificeren als gevoelige persoonsgegevens.469

• GP*: mogelijk te kwalificeren als persoonsgegevens die hoog risico inhouden bij verwerking.470

• /: niet te kwalificeren als gevoelige persoonsgegevens.

Door onderzoek te doen naar de verschillende privacy-beleidsinstrumenten kon afgeleid worden welke gegevens door welke betalingsdienstaanbieders verzameld worden. In de laatste kolom wordt dan ook aangegeven welke betalingsdienstaanbieder welke gegevens verzameld. Hiervoor geldt:

- X: wordt verzameld door de desbetreffende betalingsdienstaanbieder.

- (X): wordt mogelijk verzameld door de desbetreffende betalingsdienstaanbieder. - /: wordt niet verzameld door de desbetreffende betalingsdienstaanbieder.

Dit schema kan aanzien worden als een soort van Data Protection Impact Assessment (DPIA).

onderscheiden. Het gegeven op zich zal dus waarschijnlijk niet volstaan. Evenwel dient in combinatie met de bulk aan gegevens die worden verzameld door PISP’s en AISP’s ervan uit te worden gegaan dat ook deze gegevens gelinkt kunnen worden aan een te onderscheiden natuurlijke persoon en dus als persoonsgegeven aanzien worden. Zo zal de verwerking van de voornaam van een persoon niet voldoende zijn om een natuurlijke persoon te kunnen aanduiden, maar in combinatie met zijn/haar naam, geboorteplaats en geboortedatum dit wel voldoende zal zijn. Zie ook randnummers 149 en 150.

468 _{Te kwalificeren als gevoelige persoonsgegevens veronderstelt dat dit gevoelige}

persoonsgegevens zijn in de zin van art. 9, eerste lid GDPR. Zie randnummer 153.

469 _{Mogelijke te kwalificeren als gevoelige persoonsgegevens moet aanzien worden als het} mogelijk bevatten van gevoelige persoonsgegevens in de meta-data. Bijvoorbeeld een donatie aan een religieuze gemeenschap of het lidmaatschap van een vakbond. Zie ook randnummer 156.

470 _{Mogelijk te kwalificeren als persoonsgegevens die een hoog risico inhouden bij verwerking}

zijn onder ander: gevoelige hoe (art. 9, eerste lid GDPR) of gegevens van zeer persoonlijke aard (waarmee fraude kan zou kunnen worden gepleegd); gegevens die op grote schaal verwerkt worden, gebruikt worden bij matching of samenvoeging van datasets; gegevens met betrekking tot kwetsbare betrokkenen; gegevens die gebruikt worden bij innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen. Zie ook ARTICLE 29 DATA PROTECTION WORKING PARTY, guidelines on Data Protection Impact Assessment (DPIA)

and determining whether processing is “likely to result in a high risk” for the purposes of Regulation

2016/679, 4 april 2017, WP 248 rev. 01, (9)-14. Beschikbaar op

https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236; Zie ook

106

107

Figuur 9: Schematisch overzicht vergaarde gegevens door case-studies en classificatie (vervolg).

108

Analyse Schema:

- Indien gegevens kwalificeren, of mogelijk kwalificeren, als gevoelige betalingsgegevens overeenkomstig art. 4, punt 32 PSDII zal dit (automatisch) leiden tot een kwalificatie van persoonsgegevens die een hoog risico inhouden bij de verwerking. Dit valt te begrijpen daar gevoelige betalingsgegevens kunnen gebruikt worden om fraude mee te plegen, hetgeen veronderstelt dat er een hoog risico aanwezig is bij de verwerking van deze gegevens. Eenzelfde redenering gaat op wanneer gegevens kwalificeren, of mogelijk kwalificeren als gevoelige persoonsgegevens in de zin van art. 9, eerste lid GDPR.

- Ook locatiegegevens en vergelijkingsgegevens zullen mogelijk een hoog risico inhouden bij de verwerking.

PISP’s en AISP’s zullen deze oefening moeten maken voor zij beginnen met het verwerken van persoonsgegevens.471 _{Dergelijke DPIA is namelijk vereist bij geautomatiseerde} verwerking, waaronder profilering,472 _{grootschalige verwerking van bijzondere} categorieën van persoonsgegevens,473 _{en bij verwerkingen die een hoog risico inhouden} hetgeen hierboven is uitgelegd.474 _{PISP’s en AISP’s doen er goed aan om de noodzaak en} evenredigheid van de verwerkingen met betrekking tot de doeleinden te beoordelen475 en passende waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen te installeren.476 _{Bovendien moet ook rekening} worden gehouden met de opslagbeperking.477 _{Kortom, PISP’s en AISP’s dienen een hoog} niveau van privacy by design te hebben.478 _{Door deze oefening te maken weten we nu} welke betalingsgegevens als (gevoelige) persoonsgegevens kwalificeren. Er zal weliswaar een rechtsgrondslag aanwezig moeten zijn om deze gegevens ook effectief te verwerken. Hierop gaan we dieper in, in deel IV: Analyse PSDII versus GDPR.

471 _{Art. 35, eerste lid GDPR.}

472 _{Art. 35, derde lid, a) GDPR. Zie verder onder randnummer 222.}

473 _{Art. 35, derde lid, b) GDPR.}

474 _{Art. 35, eerste lid j° overw. 75, 76, 92 en 116 GDPR; ARTICLE 29 DATA PROTECTION WORKING}

PARTY, guidelines on Data Protection Impact Assessment (DPIA) and determining whether

processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 4 april 2017,

WP 248 rev. 01, (9)-14.

475 _{Art. 35, lid 7, b) j° art. 5, eerste lid, c) GDPR.} 476 _{Art. 35, lid 7, d) j° art. 5, eerste lid, f) GDPR.}

477 _{Art. 5, eerste lid, e) GDPR; zie verder onder randnummer 246.}

109

In document Betalingsverkeer en gegevensbescherming: Toestemming, een residuele verwerkingsgrondslag (pagina 110-118)