(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)(Dz.U.UE C z dnia 16 listopada 2023 r.)
28 czerwca 2023 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającego rozporządzenie (UE) nr 1093/2010 (zwany dalej "wnioskiem dotyczącym rozporządzenia w sprawie usług płatniczych") oraz wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym w ramach rynku wewnętrznego, zmieniającej dyrektywę 98/26/WE i uchylającej dyrektywy (UE) 2015/2366 i 2009/110/WE (zwany dalej "wnioskiem dotyczącym trzeciej dyrektywy w sprawie usług płatniczych"), zwane dalej łącznie "wnioskami".
Usługi płatnicze często wiążą się z przetwarzaniem danych osobowych, które mogą ujawniać informacje szczególnie chronione o osobie, której dane dotyczą. EIOD z zadowoleniem przyjmuje zatem starania podjęte w celu zapewnienia spójności z ogólnym rozporządzeniem o ochronie danych 1 (RODO). Podkreśla również potrzebę wyraźnego rozróżnienia między "zezwoleniami" określonymi we wniosku a podstawą prawną przetwarzania danych osobowych przewidzianą w RODO.
Jednym z celów wniosku jest umożliwienie dostawcom systemów płatności i usług płatniczych możliwości przetwarzania szczególnych kategorii danych osobowych w interesie publicznym, jakim jest prawidłowe funkcjonowanie rynku wewnętrznego usług płatniczych. Ponieważ przetwarzanie takich danych może stanowić poważną ingerencję w prawo do poszanowania życia prywatnego i do ochrony danych osobowych, ważne jest, aby przepisy były wystarczająco precyzyjne, by wykazać obiektywny związek między każdą kategorią danych w określonym kontekście płatności a celem interesu publicznego, który ma zostać osiągnięty.
EIOD z zadowoleniem przyjmuje fakt, że wniosek wymagałby, aby dostawcy usług płatniczych prowadzących rachunek (ang. account servicing payment service providers, "ASPSP") udostępniali użytkownikom panel do monitorowania uzyskanych zezwoleń i zarządzania nimi. Z myślą o jeszcze większym ograniczeniu ryzyka bezprawnego udostępniania danych osobowych przez ASPSP, EIOD zaleca, aby:
- zapewnić, że panel dotyczy konkretnie wyznaczonej usługi płatniczej lub usług płatniczych, na które użytkownik udzielił zgody;
- zapewnić, że żądania dostępu pozostają ograniczone do tego, co jest niezbędne do świadczenia żądanej usługi;
- zagwarantować jasność co do podstawy prawnej wniosków o udzielenie dostępu;
- umożliwić ASPSP weryfikację zezwolenia udzielonego przez użytkownika usług płatniczych lub włączenie odpowiednich alternatywnych zabezpieczeń do wniosku dotyczącego rozporządzenia w sprawie usług płatniczych.
Ponadto EIOD zaleca prowadzenie ścisłej współpracy między właściwymi organami określonymi we wniosku a organami nadzorującymi ochronę danych w celu zapewnienia spójności między stosowaniem i egzekwowaniem wniosku a unijnymi przepisami o ochronie danych. EIOD zaleca zatem zawarcie wyraźnego odniesienia do organów nadzorczych odpowiedzialnych za monitorowanie i egzekwowanie przepisów o ochronie danych w art. 93 ust. 3 wniosku dotyczącym rozporządzenia w sprawie usług płatniczych.
1. Wprowadzenie
1. 28 czerwca 2023 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego i zmieniającego rozporządzenie (UE) nr 1093/2010 ("wniosek dotyczący rozporządzenia w sprawie usług płatniczych") 2 oraz wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym w ramach rynku wewnętrznego, zmieniającej dyrektywę 98/26/WE i uchylającej dyrektywy (UE) 2015/2366 i 2009/110/WE ("wniosek dotyczący trzeciej dyrektywy w sprawie usług płatniczych"), 3 zwane dalej łącznie "wnioskami".
2. Zarówno wniosek dotyczący rozporządzenia w sprawie usług płatniczych, jak i wniosek dotyczący trzeciej dyrektywy w sprawie usług płatniczych zawiera trzy załączniki (łącznie sześć załączników), określające rodzaje usług płatniczych (załącznik I), a także rodzaj usług pieniądza elektronicznego (załącznik II) objętych zakresem projektów wniosków. Ponadto w załączniku III przedstawiono tabelę korelacji przepisów dyrektyw (UE) 2015/2366 i 2009/110/WE z przepisami zawartymi we wnioskach.
3. EIOD zauważa, że rodzaje usług objęte wnioskami wydają się być zasadniczo takie same, jak usługi objęte dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającą dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającą dyrektywę 2007/64/WE ("druga dyrektywa w sprawie usług płatniczych") 4 .
4. Cele szczegółowe wniosku dotyczącego rozporządzenia w sprawie usług płatniczych 5 są następujące:
a. zwiększenie ochrony użytkowników i zaufania do płatności, w szczególności poprzez: poprawę stosowania silnego uwierzytelniania klienta; stworzenie podstawy prawnej do wymiany informacji na temat oszustw; rozszerzenie weryfikacji międzynarodowego numeru rachunku bankowego ("IBAN") na wszystkie polecenia przelewu; oraz ulepszenie praw użytkownika i informacji;
b. zwiększenie konkurencyjności usług otwartej bankowości poprzez: (i) wymaganie od ASPSP wprowadzenia specjalnego interfejsu dostępu do danych i "paneli do zarządzania zezwoleniami" umożliwiających użytkownikom zarządzanie przyznanymi przez nich zezwoleniami dostępu w ramach otwartej bankowości; oraz (ii) określenie bardziej szczegółowych specyfikacji minimalnych wymogów dotyczących interfejsów danych w zakresie otwartej bankowości;
c. poprawę egzekwowania i wdrażania ram prawnych dotyczących usług płatniczych w państwach członkowskich, w szczególności poprzez: zastąpienie drugiej dyrektywy w sprawie usług płatniczych rozporządzeniem mającym bezpośrednie zastosowanie ("wniosek dotyczący rozporządzenia w sprawie usług płatniczych") wyjaśniającym niejasne aspekty drugiej dyrektywy w sprawie usług płatniczych oraz zacieśniającym współpracę między właściwymi organami a innymi organami; oraz
d. poprawę (bezpośredniego lub pośredniego) dostępu do systemów płatności i rachunków bankowych dla dostawców usług płatniczych spoza sektora bankowego, w tym dostawców świadczących usługę inicjowania płatności (ang. payment initiation service providers, "PISP") i dostawców świadczących usługę dostępu do informacji o rachunku (ang. account information service providers, "AISP").
5. Wnioski zostały przedstawione wspólnie z wnioskiem dotyczącym rozporządzenia w sprawie dostępu do danych finansowych ("wniosek FIDA") 6 , obejmującym między innymi dostęp do danych finansowych innych niż dane dotyczące rachunku płatniczego, który wchodzi w zakres wniosków stanowiących przedmiot niniejszej opinii 7 .
6. Zasadniczo wniosek dotyczący rozporządzenia w sprawie usług płatniczych zakłada:
a. ustanowienie wymogów w zakresie przejrzystości warunków i wymogów informacyjnych dotyczących usług płatniczych 8 ;
b. ustanowienie praw i obowiązków w odniesieniu do świadczenia usług płatniczych i korzystania z nich, w tym zasad dotyczących interfejsów dostępu do danych dotyczących usług dostępu do informacji o rachunku i usług inicjowania płatności 9 i zarządzania dostępem do danych przez użytkowników usług płatniczych 10 ; ochrony danych 11 ; sprawozdawczości dotyczącej oszustw i mechanizmów monitorowania transakcji oraz udostępniania danych o oszustwach 12 ; silnego uwierzytelniania klienta 13 ; procedur egzekucji, właściwych organów i sankcji 14 ; uprawnień Europejskiego Urzędu Nadzoru Bankowego (EUNB) do interwencji (EUNB) 15 .
7. Wniosek dotyczący trzeciej dyrektywy w sprawie usług płatniczych opiera się w dużej mierze na tytule II obecnej drugiej dyrektywy w sprawie usług płatniczych, dotyczącym "dostawców usług płatniczych", który ma zastosowanie wyłącznie do instytucji płatniczych. Aktualizuje on i wyjaśnia przepisy dotyczące instytucji płatniczych oraz włącza instytucje pieniądza elektronicznego jako podkategorię instytucji płatniczych. Zawiera również przepisy dotyczące usług wypłaty gotówki świadczonych przez sprzedawców detalicznych lub niezależnych operatorów bankomatów 16 .
8. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 29 czerwca 2023 r. zgodnie z art. 42 ust. 1 rozporządzenia UE o ochronie danych. EIOD z zadowoleniem przyjmuje odniesienie do tych konsultacji w motywie 147 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych i w motywie 77 wniosku dotyczącego trzeciej dyrektywy w sprawie usług płatniczych. W tym względzie EIOD z zadowoleniem zauważa również, że uprzednio przeprowadzono już z nim nieformalne konsultacje, zgodnie z motywem 60 rozporządzenia UE o ochronie danych.
12. Wnioski
52. W świetle powyższego EIOD wydaje następujące zalecenia:
(1) wprowadzić wyraźne rozróżnienie między pojęciem "zezwolenia" a podstawą prawną przetwarzania, przewidzianą w RODO, poprzez wyjaśnienie w motywie 62 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, że "zezwolenie nie powinno być rozumiane jako "zgoda" lub "wyraźna zgoda" albo "konieczność wykonania umowy" zgodnie z definicją zawartą w rozporządzeniu (UE) 2016/679;
(2) wyjaśnić, w drodze motywu, że udzielenie zezwolenia przez użytkownika usług płatniczych pozostaje bez uszczerbku w szczególności dla obowiązków dostawców świadczących usługę inicjowania płatności i dostawców świadczących usługę dostępu do informacji o rachunku wynikających z art. 6 i 9 rozporządzenia (UE) 2016/679;
(3) ponownie rozważyć zakaz weryfikacji zezwolenia, mający zastosowanie do dostawców usług płatniczych prowadzących rachunek, na mocy art. 49 ust. 4 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych lub wprowadzić odpowiednie alternatywne zabezpieczenia do części normatywnej wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, w celu ochrony użytkowników usług płatniczych przed ryzykiem ewentualnego bezprawnego udostępniania danych osobowych przez dostawców usług płatniczych prowadzących rachunek, które zakaz ten może pociągać za sobą;
(4) zmienić art. 46 ust. 2 lit. a) i art. 47 ust. 2 lit. a) wniosku dotyczącego rozporządzenia w sprawie usług płatniczych w celu zawarcia stwierdzenia, że dostawcy świadczący usługę inicjowania płatności i dostawcy świadczący usługę dostępu do informacji o rachunku nie mają dostępu do indywidualnych danych uwierzytelniających;
(5) wyjaśnić definicję "szczególnie chronionych danych dotyczących płatności" zawartą w art. 3 pkt 38 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, w szczególności określenie rodzajów danych osobowych objętych tą definicją;
(6) określić, w odniesieniu do jakiego konkretnego rodzaju lub określonych rodzajów wyznaczonych usług płatniczych systemy płatności i dostawca usług płatniczych byliby uprawnieni do przetwarzania szczególnych kategorii (jakich kategorii) danych osobowych, o których mowa w art. 80 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych;
(7) przedstawić uzasadnienie (w motywie), dlaczego przetwarzanie szczególnych kategorii danych osobowych w odniesieniu do wyznaczonej usługi płatniczej lub wyznaczonych usług płatniczych, o których mowa w art. 80 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, jest konieczne i proporcjonalne i nie można go uniknąć za pomocą alternatywnych środków technicznych;
(8) włączyć odniesienie do logowania przy rejestracji (w celu sprawdzenia, czy miał miejsce nieupoważniony dostęp) wśród zabezpieczeń ochrony danych, o których mowa w art. 80 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych;
(9) dodać do art. 43 ust. 2 lit. a) odniesienia do wyznaczonych usług płatniczych, dla których użytkownik usług płatniczych udzielił zezwolenia;
(10) dodać do art. 47 ust. 2, dotyczącego obowiązków dostawcy świadczącego usługę dostępu do informacji o rachunku, wymogu wynikającego z art. 46 ust. 2 lit. b), zgodnie z którym dostawcy usług płatniczych mogą żądać od użytkownika usług płatniczych jedynie tych danych, które są niezbędne do świadczenia żądanej usługi;
(11) nałożyć na dostawców usług płatniczych i dostawców świadczących usługi dostępu do informacji o rachunku na mocy art. 43 ust. 4 lit. b) wymogu informowania dostawców usług płatniczych prowadzących rachunek o rachunku klienta, do którego chce się uzyskać dostęp, oraz o podstawie prawnej na mocy art. 6 ust. 1 RODO i (w stosownych przypadkach) wyjątku na mocy art. 9 ust. 2 RODO, na której mogliby się oprzeć w celu uzyskania dostępu do danych osobowych użytkownika usług płatniczych;
(12) określić w art. 43 lit. b), że panel nie powinien być zaprojektowany w sposób, który zachęcałby użytkowników usług płatniczych do udzielania lub wycofywania zezwoleń lub wywierałby na nich nieuzasadniony wpływ;
(13) wyraźnie określić kategorie danych osobowych, które dostawcy usług płatniczych mogliby przetwarzać w kontekście mechanizmów monitorowania transakcji (w szczególności podać definicję "informacji o użytkowniku usług płatniczych", o której mowa w art. 83 ust. 2 lit. a));
(14) określić odpowiednie okresy przechowywania danych w odniesieniu do danych osobowych gromadzonych na mocy art. 83;
(15) włączyć definicję "umowy o wymianie informacji" do art. 3 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych;
(16) określić we wniosku dotyczącym rozporządzenia w sprawie usług płatniczych, że wszelkie przetwarzanie danych osobowych do wypełnienia obowiązków prawnych w zakresie zapobiegania oszustwom na mocy art. 83 może mieć miejsce wyłącznie w tym konkretnym celu i nie może prowadzić do zakończenia relacji klienta z dostawcą usług płatniczych ani wpływać na jego przyszłe zatrudnienie przez innego dostawcę usług płatniczych;
(17) wyraźnie wspomnieć o organach nadzorczych odpowiedzialnych za monitorowanie i egzekwowanie przepisów o ochronie danych w art. 93 ust. 3 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych.
Bruksela, 22 sierpnia 2023 r.
