Registreringer af betalingskort

Virksomheder, der sælger varer og ydelser over internettet eller telefonen, må kun gemme data fra forbrugerens betalingskort (kortnummer, udløbsdato mm.) til brug for senere køb, hvis forbrugeren har givet sit aktive samtykke, dvs. sin tilladelse.

Det er dog ikke tilladt for virksomheder at gemme forbrugerens kontrolcifre (de tre tal, der står bag på betalingskortet). Heller ikke, selvom forbrugeren har givet tilladelse til det.

Virksomheden må ikke videregive forbrugeres kortoplysninger til andre. Virksomheden må heller ikke kræve, at forbrugeren skal give tilladelse til, at kortoplysningerne må videregives til andre som en betingelse for, at forbrugeren kan handle hos virksomheden.

De internationale kortselskaber har opsat nogle sikkerhedsstandarder, der gælder i forbindelse med alle kortbetalinger. Alle der behandler kortdata skal overholde kravene i de såkaldte Payment Card Industry Data Security Standard. Standarden gælder for Mastercard, Visa, JCB, UnionPay, American Express og Dankort.

Nedenfor følger også en række krav til betalingsmodtageres håndtering af betalinger ved fjernsalg. Kravene er udtryk for, hvad der efter Forbrugerombudsmandens opfattelse er god markedsføringsskik og god erhvervsskik og kan findes i Forbrugerombudsmandens retningslinjer for betalingsmodtageres håndtering af betalinger ved fjernsalg.

En gyldig tilladelse

Forbrugeren kan sige aktivt ja til at gemme kortdata til senere køb ved for eksempel at afkrydse et ja-tak-felt i webshoppen i forbindelse med, at vedkommende køber en vare på virksomhedens webshop. Det er ikke en gyldig tilladelse, hvis forbrugeren kun accepterer virksomhedens generelle vilkår, hvori der står, at virksomheden har tilladelse til at registrere og gemme kortoplysningerne. Det er heller ikke en gyldig tilladelse, hvis virksomheden på forhånd har krydset feltet af.

En forbrugers kortoplysninger skal altid være opbevaret krypteret, sikkert og fortroligt.

For at leve op til dette krav indgår mange virksomheder en aftale med deres udbyder af betalingsløsning om modtagelse og opbevaring af forbrugerens kortoplysninger.

Virksomheden skal informere kunden om risici

Virksomheden skal informere forbrugeren om, hvilke risici det medfører at give tilladelsen, for eksempel hvis forbrugeren lader andre bruge sit login til hjemmesiden, hvor kortdataene er registreret. Derudover skal virksomheden give forbrugeren mulighed for:

• At se alle oplysninger om, hvilke varer eller tjenesteydelser, der skal betales for, samt prisen
• At oprette et personligt kodeord til at gennemføre fremtidige betalinger
• At se og kontrollere køb, også efter, købet er gennemført
• At vide, hvordan man klager, hvis kunden har indsigelser over en betaling
• Til enhver tid at tilbagekalde godkendelsen til, at virksomheden gemmer oplysningerne

Når forbrugeren har købt en vare, skal virksomheden sende en kvittering via post, mail eller sms.

Hvis forbrugeren giver sin tilladelse

De kortdata, som virksomheden har fået tilladelse til at gemme, skal slettes, hvis forbrugeren ikke har brugt dataene til at købe varer i længere tid.

Virksomheden må ikke benytte de registrerede data til andet end betaling for de varer eller ydelser, forbrugeren køber.

Hvis forbrugeren senere ønsker at købe flere varer hos virksomheden, skal virksomheden oplyse kunden om, at pengene vil blive trukket via de registrerede betalingskortdata, og forbrugeren skal give sit aktive samtykke til betalingen. Ellers vil betalingen være uautoriseret efter betalingslovens § 82.

Forbrugeren skal til enhver tid kunne trække sit samtykke tilbage til, at virksomheden gemmer kortdata. Virksomheden skal herefter straks slette de gemte kortdata.

Persondatalovgivningen om registrering og brug af personoplysninger gælder i supplement til markedsføringslovens regler.