Streszczenie opinii w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającej dyrektywy 2002/65/WE, 2006/48/WE i 2009/110/WE i uchylającej dyrektywę 2007/64/WE oraz dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę.

Dzienniki UE

Dz.U.UE.C.2014.38.14

Akt nienormatywny
Wersja od: 8 lutego 2014 r.

Streszczenie opinii Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającej dyrektywy 2002/65/WE, 2006/48/WE i 2009/110/WE i uchylającej dyrektywę 2007/64/WE oraz dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę

(Niniejsza opinia jest dostępna w pełnym brzmieniu w języku angielskim, francuskim i niemieckim na stronie internetowej EIOD: http://www.edps.europa.eu)

(2014/C 38/07)

(Dz. U.UE C z dnia 8 lutego 2014 r.)

1.
Wprowadzenie
1.1.
Konsultacje z EIOD
1.
W dniu 27 lipca 2013 r. Komisja przyjęła projekt wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie usług płatniczych w ramach rynku wewnętrznego oraz zmieniającej dyrektywy 2002/65/WE, 2006/48/WE i 2009/110/WE i uchylającej dyrektywę 2007/64/WE (zwanej dalej "proponowaną dyrektywą") oraz dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie opłat interchange w odniesieniu do transakcji płatniczych realizowanych w oparciu o kartę 1 . Wnioski te przesłano EIOD do konsultacji w dniu 28 lipca 2013 r.
2.
EIOD z zadowoleniem przyjmuje fakt przeprowadzenia z nim konsultacji przez Komisję oraz zamieszczenie odniesienia do niniejszej opinii w preambułach instrumentów.
3.
Przed przyjęciem proponowanego rozporządzenia EIOD miał możliwość przedstawienia Komisji nieformalnych uwag. Niektóre z nich zostały uwzględnione we wniosku. W efekcie tego zawarte w proponowanym rozporządzeniu gwarancje ochrony danych zostały wzmocnione.
4.
Wniosek dotyczący rozporządzenia nie budzi żadnych obaw z punktu widzenia ochrony danych, więc uwagi EIOD odnoszą się do proponowanej dyrektywy.
1.2.
Cele i zakres proponowanej dyrektywy
5.
Celem proponowanej dyrektywy jest wsparcie procesu dalszego rozwoju ogólnounijnego rynku płatności elektronicznych, który umożliwi konsumentom, detalistom oraz innym uczestnikom rynku czerpanie w pełni z korzyści, jakie niesie unijny rynek wewnętrzny, zgodnie z założeniami strategii "Europa 2020" i agendy cyfrowej. Aby osiągnąć ten cel i wspierać większą konkurencję, wydajność i dalsze innowacje w dziedzinie e-płatności, Komisja dostrzega potrzebę zapewnienia jasności prawa i równych warunków działania, sprzyjających uniwersalnemu obniżaniu poziomu kosztów i cen dla użytkowników usług płatniczych, zapewniających większy wybór i przejrzystość usług płatniczych, ułatwiających świadczenie innowacyjnych usług płatniczych, a także zapewniających bezpieczne i przejrzyste usługi tego rodzaju.
6.
Komisja stwierdza, że cele te zostaną osiągnięte przez aktualizację i uzupełnienie dotychczasowych ram regulujących usługi płatnicze, ustanowienie przepisów zwiększających przejrzystość, innowacyjność i bezpieczeństwo w obszarze płatności detalicznych oraz zwiększenie spójności między przepisami poszczególnych państw członkowskich, z naciskiem na uzasadnione potrzeby konsumentów.
3.
Wnioski

EIOD z zadowoleniem przyjmuje zamieszczenie w art. 84 przepisu materialnego, w którym stwierdza się, że jakiekolwiek przetwarzanie danych osobowych w ramach proponowanej dyrektywy powinno odbywać się z pełnym poszanowaniem przepisów krajowych wdrażających dyrektywę 95/46/WE i dyrektywę 2002/58/WE, jak też przepisów rozporządzenia (WE) nr 45/2001.

EIOD zaleca, aby:

-
odniesienia do obowiązującego prawa o ochronie danych zawrzeć w konkretnych zabezpieczeniach mających zastosowanie w każdej sytuacji, w której przewidywane jest przetwarzanie danych osobowych,
-
jasno wskazać w projekcie dyrektywy, że świadczenie usług płatniczych może wiązać się z przetwarzaniem danych osobowych,
-
wyraźnie wyjaśnić w proponowanej dyrektywie, że przetwarzanie danych osobowych może odbywać się w zakresie niezbędnym do świadczenia usług płatniczych,
-
dodać przepis materialny nakładający obowiązek uwzględnienia ochrony prywatności już w fazie projektowania lub domyślnej ochrony prywatności we wszystkich systemach przetwarzania danych opracowanych i wykorzystywanych w ramach proponowanej dyrektywy,
-
w odniesieniu do wymiany informacji:
(i)
wyszczególnić cele, do których dane osobowe mogą być przetwarzane przez właściwe organy krajowe, bank centralny UE, krajowe banki centralne i pozostałe organy, o których jest mowa w art. 25;
(ii)
określić rodzaj danych osobowych, jakie mogą być przetwarzane na podstawie proponowanej dyrektywy; oraz
(iii)
ustalić proporcjonalny okres zatrzymywania danych na potrzeby przetwarzania lub przynajmniej wprowadzić precyzyjne kryteria ustalania takiego okresu,
-
w art. 22 wprowadzić wymóg, aby właściwe organy zwracały się o dokumenty i informacje w drodze formalnej decyzji, wskazując podstawę prawną i cel wniosku oraz wymagane informacje i termin ich dostarczenia,
-
w art. 31 wskazać, że zasady określone w odniesieniu do udzielania informacji użytkownikom mają również zastosowanie do udzielania informacji na temat przetwarzania danych osobowych zgodnie z art. 10 i 11 dyrektywy 95/46/WE,
-
w przypadku pojęcia "dostępności wystarczających środków pieniężnych" w art. 58 i 59 jasno wskazać, że informacje przekazywane stronie trzeciej powinny mieć postać prostej odpowiedzi "tak" lub "nie" na pytanie, czy dostępne są wystarczające środki pieniężne, a nie na przykład informacji o saldzie rachunku,
-
w przypadku terminu "szczególnie chronione dane dotyczące płatności" w art. 58 skreślić wyrazy "szczególnie chronione", stosując w zamian termin "dane dotyczące płatności",
-
w motywie wyjaśnić, że obowiązki zgłaszania incydentów w zakresie bezpieczeństwa mają zastosowanie bez uszczerbku dla innych obowiązków zgłaszania incydentów określonych w pozostałym ustawodawstwie, w szczególności wymagań dotyczących naruszeń ochrony danych osobowych na mocy prawa o ochronie danych osobowych (określonych w dyrektywie 2002/58/WE oraz w proponowanym ogólnym rozporządzeniu o ochronie danych), jak też wymagań dotyczących zgłaszania incydentów w zakresie bezpieczeństwa planowanych w ramach proponowanej dyrektywy w sprawie bezpieczeństwa sieci i informacji,
-
zapewnić poszanowanie zasad poufności i bezpieczeństwa zgodnie z art. 16 i 17 dyrektywy 95/46/WE podczas przetwarzania danych osobowych oraz ich przekazywania przez różnych pośredników,
-
w proponowanej dyrektywie dodać przepis materialny nakładający obowiązek opracowania standardów na podstawie uprzednio dokonanych ocen wpływu na prywatność,
-
w proponowanej dyrektywie zamieścić odniesienie do konieczności przeprowadzenia konsultacji z EIOD w zakresie, w jakim wytyczne EUNB dotyczące aktualnego stanu wiedzy na temat autoryzacji klienta oraz wszelkich wyjątków od stosowania wzmocnionej autoryzacji klienta odnoszą się do przetwarzania danych osobowych.

Sporządzono w Brukseli dnia 5 grudnia 2013 r.

Giovanni BUTTARELLI
Zastępca Europejskiego Inspektora Ochrony Danych
1 COM(2013) 547 final i COM(2013) 550 final.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.