Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego rozporządzenia w sprawie usług płatniczych w ramach rynku wewnętrznego oraz wniosku dotyczącego dyrektywy w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym w ramach rynku wewnętrznego (Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)

(Dz.U.UE C z dnia 16 listopada 2023 r.)

28 czerwca 2023 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającego rozporządzenie (UE) nr 1093/2010 (zwany dalej "wnioskiem dotyczącym rozporządzenia w sprawie usług płatniczych") oraz wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym w ramach rynku wewnętrznego, zmieniającej dyrektywę 98/26/WE i uchylającej dyrektywy (UE) 2015/2366 i 2009/110/WE (zwany dalej "wnioskiem dotyczącym trzeciej dyrektywy w sprawie usług płatniczych"), zwane dalej łącznie "wnioskami".

Usługi płatnicze często wiążą się z przetwarzaniem danych osobowych, które mogą ujawniać informacje szczególnie chronione o osobie, której dane dotyczą. EIOD z zadowoleniem przyjmuje zatem starania podjęte w celu zapewnienia spójności z ogólnym rozporządzeniem o ochronie danych 1  (RODO). Podkreśla również potrzebę wyraźnego rozróżnienia między "zezwoleniami" określonymi we wniosku a podstawą prawną przetwarzania danych osobowych przewidzianą w RODO.

Jednym z celów wniosku jest umożliwienie dostawcom systemów płatności i usług płatniczych możliwości przetwarzania szczególnych kategorii danych osobowych w interesie publicznym, jakim jest prawidłowe funkcjonowanie rynku wewnętrznego usług płatniczych. Ponieważ przetwarzanie takich danych może stanowić poważną ingerencję w prawo do poszanowania życia prywatnego i do ochrony danych osobowych, ważne jest, aby przepisy były wystarczająco precyzyjne, by wykazać obiektywny związek między każdą kategorią danych w określonym kontekście płatności a celem interesu publicznego, który ma zostać osiągnięty.

EIOD z zadowoleniem przyjmuje fakt, że wniosek wymagałby, aby dostawcy usług płatniczych prowadzących rachunek (ang. account servicing payment service providers, "ASPSP") udostępniali użytkownikom panel do monitorowania uzyskanych zezwoleń i zarządzania nimi. Z myślą o jeszcze większym ograniczeniu ryzyka bezprawnego udostępniania danych osobowych przez ASPSP, EIOD zaleca, aby:

- zapewnić, że panel dotyczy konkretnie wyznaczonej usługi płatniczej lub usług płatniczych, na które użytkownik udzielił zgody;

- zapewnić, że żądania dostępu pozostają ograniczone do tego, co jest niezbędne do świadczenia żądanej usługi;

- zagwarantować jasność co do podstawy prawnej wniosków o udzielenie dostępu;

- umożliwić ASPSP weryfikację zezwolenia udzielonego przez użytkownika usług płatniczych lub włączenie odpowiednich alternatywnych zabezpieczeń do wniosku dotyczącego rozporządzenia w sprawie usług płatniczych.

Ponadto EIOD zaleca prowadzenie ścisłej współpracy między właściwymi organami określonymi we wniosku a organami nadzorującymi ochronę danych w celu zapewnienia spójności między stosowaniem i egzekwowaniem wniosku a unijnymi przepisami o ochronie danych. EIOD zaleca zatem zawarcie wyraźnego odniesienia do organów nadzorczych odpowiedzialnych za monitorowanie i egzekwowanie przepisów o ochronie danych w art. 93 ust. 3 wniosku dotyczącym rozporządzenia w sprawie usług płatniczych.

1. Wprowadzenie

1. 28 czerwca 2023 r. Komisja Europejska wydała wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego i zmieniającego rozporządzenie (UE) nr 1093/2010 ("wniosek dotyczący rozporządzenia w sprawie usług płatniczych") 2  oraz wniosek dotyczący dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym w ramach rynku wewnętrznego, zmieniającej dyrektywę 98/26/WE i uchylającej dyrektywy (UE) 2015/2366 i 2009/110/WE ("wniosek dotyczący trzeciej dyrektywy w sprawie usług płatniczych"), 3  zwane dalej łącznie "wnioskami".

2. Zarówno wniosek dotyczący rozporządzenia w sprawie usług płatniczych, jak i wniosek dotyczący trzeciej dyrektywy w sprawie usług płatniczych zawiera trzy załączniki (łącznie sześć załączników), określające rodzaje usług płatniczych (załącznik I), a także rodzaj usług pieniądza elektronicznego (załącznik II) objętych zakresem projektów wniosków. Ponadto w załączniku III przedstawiono tabelę korelacji przepisów dyrektyw (UE) 2015/2366 i 2009/110/WE z przepisami zawartymi we wnioskach.

3. EIOD zauważa, że rodzaje usług objęte wnioskami wydają się być zasadniczo takie same, jak usługi objęte dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającą dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającą dyrektywę 2007/64/WE ("druga dyrektywa w sprawie usług płatniczych") 4 .

4. Cele szczegółowe wniosku dotyczącego rozporządzenia w sprawie usług płatniczych 5  są następujące:

a. zwiększenie ochrony użytkowników i zaufania do płatności, w szczególności poprzez: poprawę stosowania silnego uwierzytelniania klienta; stworzenie podstawy prawnej do wymiany informacji na temat oszustw; rozszerzenie weryfikacji międzynarodowego numeru rachunku bankowego ("IBAN") na wszystkie polecenia przelewu; oraz ulepszenie praw użytkownika i informacji;

b. zwiększenie konkurencyjności usług otwartej bankowości poprzez: (i) wymaganie od ASPSP wprowadzenia specjalnego interfejsu dostępu do danych i "paneli do zarządzania zezwoleniami" umożliwiających użytkownikom zarządzanie przyznanymi przez nich zezwoleniami dostępu w ramach otwartej bankowości; oraz (ii) określenie bardziej szczegółowych specyfikacji minimalnych wymogów dotyczących interfejsów danych w zakresie otwartej bankowości;

c. poprawę egzekwowania i wdrażania ram prawnych dotyczących usług płatniczych w państwach członkowskich, w szczególności poprzez: zastąpienie drugiej dyrektywy w sprawie usług płatniczych rozporządzeniem mającym bezpośrednie zastosowanie ("wniosek dotyczący rozporządzenia w sprawie usług płatniczych") wyjaśniającym niejasne aspekty drugiej dyrektywy w sprawie usług płatniczych oraz zacieśniającym współpracę między właściwymi organami a innymi organami; oraz

d. poprawę (bezpośredniego lub pośredniego) dostępu do systemów płatności i rachunków bankowych dla dostawców usług płatniczych spoza sektora bankowego, w tym dostawców świadczących usługę inicjowania płatności (ang. payment initiation service providers, "PISP") i dostawców świadczących usługę dostępu do informacji o rachunku (ang. account information service providers, "AISP").

5. Wnioski zostały przedstawione wspólnie z wnioskiem dotyczącym rozporządzenia w sprawie dostępu do danych finansowych ("wniosek FIDA") 6 , obejmującym między innymi dostęp do danych finansowych innych niż dane dotyczące rachunku płatniczego, który wchodzi w zakres wniosków stanowiących przedmiot niniejszej opinii 7 .

6. Zasadniczo wniosek dotyczący rozporządzenia w sprawie usług płatniczych zakłada:

a. ustanowienie wymogów w zakresie przejrzystości warunków i wymogów informacyjnych dotyczących usług płatniczych 8 ;

b. ustanowienie praw i obowiązków w odniesieniu do świadczenia usług płatniczych i korzystania z nich, w tym zasad dotyczących interfejsów dostępu do danych dotyczących usług dostępu do informacji o rachunku i usług inicjowania płatności 9  i zarządzania dostępem do danych przez użytkowników usług płatniczych 10 ; ochrony danych 11 ; sprawozdawczości dotyczącej oszustw i mechanizmów monitorowania transakcji oraz udostępniania danych o oszustwach 12 ; silnego uwierzytelniania klienta 13 ; procedur egzekucji, właściwych organów i sankcji 14 ; uprawnień Europejskiego Urzędu Nadzoru Bankowego (EUNB) do interwencji (EUNB) 15 .

7. Wniosek dotyczący trzeciej dyrektywy w sprawie usług płatniczych opiera się w dużej mierze na tytule II obecnej drugiej dyrektywy w sprawie usług płatniczych, dotyczącym "dostawców usług płatniczych", który ma zastosowanie wyłącznie do instytucji płatniczych. Aktualizuje on i wyjaśnia przepisy dotyczące instytucji płatniczych oraz włącza instytucje pieniądza elektronicznego jako podkategorię instytucji płatniczych. Zawiera również przepisy dotyczące usług wypłaty gotówki świadczonych przez sprzedawców detalicznych lub niezależnych operatorów bankomatów 16 .

8. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską 29 czerwca 2023 r. zgodnie z art. 42 ust. 1 rozporządzenia UE o ochronie danych. EIOD z zadowoleniem przyjmuje odniesienie do tych konsultacji w motywie 147 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych i w motywie 77 wniosku dotyczącego trzeciej dyrektywy w sprawie usług płatniczych. W tym względzie EIOD z zadowoleniem zauważa również, że uprzednio przeprowadzono już z nim nieformalne konsultacje, zgodnie z motywem 60 rozporządzenia UE o ochronie danych.

12. Wnioski

52. W świetle powyższego EIOD wydaje następujące zalecenia:

(1) wprowadzić wyraźne rozróżnienie między pojęciem "zezwolenia" a podstawą prawną przetwarzania, przewidzianą w RODO, poprzez wyjaśnienie w motywie 62 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, że "zezwolenie nie powinno być rozumiane jako "zgoda" lub "wyraźna zgoda" albo "konieczność wykonania umowy" zgodnie z definicją zawartą w rozporządzeniu (UE) 2016/679;

(2) wyjaśnić, w drodze motywu, że udzielenie zezwolenia przez użytkownika usług płatniczych pozostaje bez uszczerbku w szczególności dla obowiązków dostawców świadczących usługę inicjowania płatności i dostawców świadczących usługę dostępu do informacji o rachunku wynikających z art. 6 i 9 rozporządzenia (UE) 2016/679;

(3) ponownie rozważyć zakaz weryfikacji zezwolenia, mający zastosowanie do dostawców usług płatniczych prowadzących rachunek, na mocy art. 49 ust. 4 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych lub wprowadzić odpowiednie alternatywne zabezpieczenia do części normatywnej wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, w celu ochrony użytkowników usług płatniczych przed ryzykiem ewentualnego bezprawnego udostępniania danych osobowych przez dostawców usług płatniczych prowadzących rachunek, które zakaz ten może pociągać za sobą;

(4) zmienić art. 46 ust. 2 lit. a) i art. 47 ust. 2 lit. a) wniosku dotyczącego rozporządzenia w sprawie usług płatniczych w celu zawarcia stwierdzenia, że dostawcy świadczący usługę inicjowania płatności i dostawcy świadczący usługę dostępu do informacji o rachunku nie mają dostępu do indywidualnych danych uwierzytelniających;

(5) wyjaśnić definicję "szczególnie chronionych danych dotyczących płatności" zawartą w art. 3 pkt 38 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, w szczególności określenie rodzajów danych osobowych objętych tą definicją;

(6) określić, w odniesieniu do jakiego konkretnego rodzaju lub określonych rodzajów wyznaczonych usług płatniczych systemy płatności i dostawca usług płatniczych byliby uprawnieni do przetwarzania szczególnych kategorii (jakich kategorii) danych osobowych, o których mowa w art. 80 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych;

(7) przedstawić uzasadnienie (w motywie), dlaczego przetwarzanie szczególnych kategorii danych osobowych w odniesieniu do wyznaczonej usługi płatniczej lub wyznaczonych usług płatniczych, o których mowa w art. 80 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych, jest konieczne i proporcjonalne i nie można go uniknąć za pomocą alternatywnych środków technicznych;

(8) włączyć odniesienie do logowania przy rejestracji (w celu sprawdzenia, czy miał miejsce nieupoważniony dostęp) wśród zabezpieczeń ochrony danych, o których mowa w art. 80 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych;

(9) dodać do art. 43 ust. 2 lit. a) odniesienia do wyznaczonych usług płatniczych, dla których użytkownik usług płatniczych udzielił zezwolenia;

(10) dodać do art. 47 ust. 2, dotyczącego obowiązków dostawcy świadczącego usługę dostępu do informacji o rachunku, wymogu wynikającego z art. 46 ust. 2 lit. b), zgodnie z którym dostawcy usług płatniczych mogą żądać od użytkownika usług płatniczych jedynie tych danych, które są niezbędne do świadczenia żądanej usługi;

(11) nałożyć na dostawców usług płatniczych i dostawców świadczących usługi dostępu do informacji o rachunku na mocy art. 43 ust. 4 lit. b) wymogu informowania dostawców usług płatniczych prowadzących rachunek o rachunku klienta, do którego chce się uzyskać dostęp, oraz o podstawie prawnej na mocy art. 6 ust. 1 RODO i (w stosownych przypadkach) wyjątku na mocy art. 9 ust. 2 RODO, na której mogliby się oprzeć w celu uzyskania dostępu do danych osobowych użytkownika usług płatniczych;

(12) określić w art. 43 lit. b), że panel nie powinien być zaprojektowany w sposób, który zachęcałby użytkowników usług płatniczych do udzielania lub wycofywania zezwoleń lub wywierałby na nich nieuzasadniony wpływ;

(13) wyraźnie określić kategorie danych osobowych, które dostawcy usług płatniczych mogliby przetwarzać w kontekście mechanizmów monitorowania transakcji (w szczególności podać definicję "informacji o użytkowniku usług płatniczych", o której mowa w art. 83 ust. 2 lit. a));

(14) określić odpowiednie okresy przechowywania danych w odniesieniu do danych osobowych gromadzonych na mocy art. 83;

(15) włączyć definicję "umowy o wymianie informacji" do art. 3 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych;

(16) określić we wniosku dotyczącym rozporządzenia w sprawie usług płatniczych, że wszelkie przetwarzanie danych osobowych do wypełnienia obowiązków prawnych w zakresie zapobiegania oszustwom na mocy art. 83 może mieć miejsce wyłącznie w tym konkretnym celu i nie może prowadzić do zakończenia relacji klienta z dostawcą usług płatniczych ani wpływać na jego przyszłe zatrudnienie przez innego dostawcę usług płatniczych;

(17) wyraźnie wspomnieć o organach nadzorczych odpowiedzialnych za monitorowanie i egzekwowanie przepisów o ochronie danych w art. 93 ust. 3 wniosku dotyczącego rozporządzenia w sprawie usług płatniczych.

Bruksela, 22 sierpnia 2023 r.