EVROPSKÁ KOMISE

V Bruselu dne 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

o rámci pro přístup k finančním údajům a o změně nařízení (EU) č. 1093/2010, (EU) č. 1094/2010, (EU) č. 1095/2010 a (EU) 2022/2554

(Text s významem pro EHP)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

DŮVODOVÁ ZPRÁVA

1.SOUVISLOSTI NÁVRHU

•Odůvodnění a cíle návrhu

 Aby byla Evropa úspěšná, pokud jde o ekonomiku založenou na datech, která funguje ve prospěch lidí a podniků, musí udržovat rovnováhu mezi tokem a širokým využíváním dat a zachováním přísných norem ochrany soukromí, bezpečnosti a etiky. Ve sdělení o evropské strategii pro data 1 Komise uvedla, jak by EU měla vytvořit atraktivní politické prostředí, aby do roku 2030 její podíl na ekonomice založené na datech odpovídal alespoň její hospodářské váze.

Ve finanční oblasti označila Komise za jednu z priorit své strategie digitálních financí do roku 2020 2 podporu financí založených na datech a oznámila svůj záměr předložit legislativní návrh rámce pro přístup k finančním údajům. Ambici Komise urychlit práci na podpoře finančních služeb založených na datech potvrdilo i sdělení o unii kapitálových trhů z roku 2021 3 . Komise v něm oznámila zřízení odborné skupiny pro evropský prostor pro finanční údaje, jejímž úkolem je poskytnout podklady pro první soubor případů použití. Nedávno předsedkyně Komise von der Leyenová ve svém prohlášení o záměru doplňující její projev o stavu Unie v roce 2022 potvrdila, že přístup k údajům ve finančních službách patří mezi klíčové nové iniciativy pro rok 2023.

Zákazníci finančního sektoru EU v současné době nemohou účinně kontrolovat přístup ke svým údajům a jejich sdílení nad rámec platebních účtů. Uživatelé údajů, tj. podniky, které chtějí získat přístup k zákaznickým údajům za účelem poskytování inovativních služeb, mají problémy s přístupem k údajům, jimiž disponují držitelé údajů, tj. finanční instituce, které tyto zákaznické údaje shromažďují, uchovávají a zpracovávají. V důsledku toho nemají zákazníci široký přístup k finančním službám a finančním produktům založeným na datech ani v případech, kdy by o to měli zájem. Omezený přístup k údajům vyplývá z řady vzájemně souvisejících problémů. Za prvé, pokud neexistují pravidla a nástroje pro správu povolení ke sdílení údajů, zákazníci nemají důvěru v to, že jsou řešena potenciální rizika sdílení údajů. Proto se často zdráhají své údaje sdílet. Za druhé, i když chtějí údaje sdílet, pravidla, kterými se takové sdílení řídí, buď chybí, nebo jsou nejasná. V důsledku toho držitelé údajů, jako jsou úvěrové instituce, pojišťovny a další finanční instituce, které mají v držení zákaznické údaje, nemusí vždy umožnit přístup ke svým údajům uživatelům údajů, jako jsou například společnosti působící v oboru finančních technologií, tj. společnosti využívající technologie k podpoře nebo poskytování finančních služeb, nebo finanční instituce, které poskytují finanční služby a vyvíjejí finanční produkty na základě sdílení údajů. Za třetí, sdílení údajů je nákladnější, protože jak samotné údaje, tak technická infrastruktura nejsou standardizovány, a proto se značně liší.

Cílem tohoto návrhu je řešit tyto problémy tím, že spotřebitelům a podnikům umožní lépe kontrolovat přístup k jejich finančním údajům. Spotřebitelé a podniky by tak mohli využívat finanční produkty a služby, které by byly přizpůsobeny jejich potřebám na základě údajů, které jsou pro ně relevantní, a zároveň by se vyhnuli souvisejícím rizikům.

Obecným cílem tohoto návrhu je zvýšit ekonomické přínosy pro zákazníky finančních služeb (spotřebitele a podniky) a podniky finančního sektoru podporou digitální transformace a urychlením zavádění obchodních modelů založených na datech ve finančním sektoru EU. Po dosažení tohoto cíle by spotřebitelé, kteří o to mají zájem, měli přístup k personalizovaným produktům a službám založeným na datech, které by mohly lépe vyhovovat jejich specifickým potřebám. Podniky, zejména malé a střední, by měly širší přístup k finančním produktům a službám. Finanční instituce by mohly plně využít trendů digitální transformace, zatímco poskytovatelé služeb z řad třetích stran by měli nové obchodní příležitosti v oblasti inovací založených na datech. Spotřebitelé a podniky budou mít přístup ke svým finančním údajům, aby uživatelé údajů mohli poskytovat finanční produkty a služby na míru, které budou lépe vyhovovat potřebám zákazníků a podniků.

Návrh nepředstavuje úsporu administrativních nákladů, protože se jedná o nový právní předpis, který nemění předchozí pravidla EU. Ze stejného důvodu se nejedná ani o iniciativu zahrnutou do programu Komise pro účelnost a účinnost právních předpisů (REFIT), jehož cílem je zajistit, aby právní předpisy EU plnily své cíle s minimálními náklady ve prospěch občanů a podniků.

•Soulad s platnými předpisy v této oblasti politiky

Tento návrh vychází z revidované směrnice o platebních službách (PSD2), která umožnila sdílení údajů o platebních účtech (dále jen „otevřené bankovnictví“). Tento návrh umožňuje sdílení širšího souboru údajů o finančních službách a stanoví pravidla, podle nichž bude sdílení údajů probíhat. Stanoví rovněž pravidla platná pro účastníky trhu, kteří se budou na této činnosti podílet.

•Soulad s ostatními politikami Unie

Tento návrh respektuje obecné nařízení o ochraně osobních údajů (GDPR), které stanoví obecná pravidla pro zpracování osobních údajů týkajících se subjektu údajů a zajišťuje ochranu osobních údajů i volný pohyb těchto údajů.

Tento návrh je rovněž jedním ze základních stavebních kamenů celého sektoru, který zapadá do širší evropské strategie pro data a umožňuje sdílení údajů v rámci samotného finančního sektoru, jakož i jejich sdílení s dalšími odvětvími. Vychází z klíčových zásad přístupu k údajům a jejich zpracování stanovených v meziodvětvových iniciativách Komise. Na zvýšení důvěry ve sdílení údajů a zlepšení bezproblémového propojení (tzv. „interoperability“) mezi datovými prostory a na vytvoření rámce pro poskytovatele služeb zprostředkování dat se zaměřuje akt o správě dat. Další meziodvětvovou iniciativou je akt o digitálních trzích, který zavádí řadu povinností týkajících se dat s cílem řešit moc platforem strážců přístupu (gatekeeperů) a zajistit na digitálních trzích otevřenost hospodářské soutěži, a to například tím, že finančním institucím umožní jménem svých zákazníků nebo při využívání hlavních služeb platforem strážců přístup k údajům, které strážci spravují. Další meziodvětvovou iniciativou je návrh aktu o datech 4 , který by zavedl nová práva na přístup k datům, pokud jde o data internetu věcí – tj. k datům, která výrobky získávají, vytvářejí nebo shromažďují o svém výkonu, používání nebo okolí – a to jak pro uživatele výrobků, tak pro poskytovatele souvisejících služeb. Stanoví rovněž obecně platné povinnosti pro držitele údajů, kteří jsou povinni zpřístupnit údaje příjemcům údajů podle práva EU nebo vnitrostátních právních předpisů přijatých v souladu s právem EU.

Tento návrh rovněž doplňuje strategii EU pro retailové investice 5 . Podpoří její cíl zlepšit fungování rámce ochrany retailových investorů tím, že poskytne záruky při používání údajů o retailových investorech ve finančních službách. Kromě toho zajišťuje dodržování pravidel kybernetické bezpečnosti a provozní odolnosti ve finančním sektoru, jak je stanoveno v nařízení o digitální provozní odolnosti, které vstoupilo v platnost 16. ledna 2023.

2.PRÁVNÍ ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA

•Právní základ

Smlouva o fungování Evropské unie (Smlouva o fungování EU) svěřuje orgánům EU pravomoc stanovit pravidla pro sbližování právních předpisů členských států, jejichž cílem je vytvoření a fungování vnitřního trhu (článek 114 SFEU). To zahrnuje pravomoc přijímat právní předpisy EU s cílem sblížit požadavky na stále důležitější využívání údajů finančními institucemi, neboť finanční instituce působící přes hranice by jinak čelily rozdílným vnitrostátním požadavkům, což by prodražilo přeshraniční činnost. Vytvoření společných pravidel pro sdílení údajů ve finančním sektoru přispěje k fungování vnitřního trhu. Společná pravidla zajistí harmonizovaný regulační rámec pro správu finančních údajů v souladu s evropskou strategií pro data. Těchto výsledků bude nejlépe dosaženo přijetím nařízení, které bude přímo použitelné v členských státech.

•Subsidiarita (v případě nevýlučné pravomoci)

Ekonomika založená na datech je nedílnou součástí vnitřního trhu. Datové toky tvoří základní součást digitálních činností a odrážejí stávající dodavatelské řetězce a spolupráci mezi podniky a spotřebiteli. Jakákoli iniciativa zaměřená na organizaci těchto datových toků se musí vztahovat na vnitřní trh jako celek. Vzhledem k tomu, že držitelé údajů jsou zpravidla licencované finanční instituce, které podléhají rozsáhlému a podrobnému souboru pravidel, jež jsou z velké části stanovena v přímo použitelných předpisech a režimech dohledu, jejichž sbližování je zajištěno na úrovni EU, je třeba přijmout opatření na úrovni EU s cílem stanovit společný rámec a zároveň zachovat rovné podmínky pro finanční instituce, aby byla zajištěna integrita trhu, ochrana spotřebitelů a finanční stabilita. Dalším důvodem pro opatření na úrovni EU je vysoká míra integrace ve finančním sektoru. Finanční instituce rovněž provádějí významnou přeshraniční činnost.

Problémy popsané v posouzení dopadů připojeném k tomuto návrhu jsou společné pro všechny členské státy EU. Regulace finančních služeb je pravomocí sdílenou mezi EU a jejími členskými státy. Tyto problémy nemohou vyřešit členské státy samostatně, protože držitelé a potenciální uživatelé zákaznických údajů v oblasti financí často působí v několika členských státech. Proto mohou mít údaje o určitém zákazníkovi v držení finanční instituce v různých členských státech. Aby se zvýšila důvěra a umožnilo integrované využívání těchto údajů, musely by se všechny tyto finanční instituce řídit stejným právním rámcem a stejnými technickými normami. Samostatná vnitrostátní pravidla by vedla k překrývání požadavků a nepřiměřeně vysokým nákladům na jejich dodržování ze strany podniků, aniž by byla pro podniky a spotřebitele nejvýhodnější.

•Proporcionalita

V souladu se zásadou proporcionality nepřekračuje tento návrh rámec toho, co je nezbytné k dosažení jeho cílů. Zahrnuje pouze ty aspekty, u nichž jsou administrativní zátěž a náklady přiměřené cílům, jichž má být dosaženo. Proporcionalita je například pečlivě navržena z hlediska rozsahu a přísnosti. Je podložena kvalitativními a kvantitativními kritérii posouzení, aby se zajistil široký účinek nových pravidel. V příloze 5 připojeného posouzení dopadů je vysvětleno, jakým způsobem se proporcionalitou řídil výběr souborů údajů. Příloha 8 připojeného posouzení dopadů vysvětluje opatření přijatá k zajištění přiměřeného dopadu na malé a střední podniky.

•Volba nástroje

Tento návrh by měl mít podobu nařízení, které by bylo přímo použitelné ve všech členských státech. Cílem je zajistit, aby ve všech členských státech platila společná pravidla týkající se podmínek přístupu k zákaznickým údajům v oblasti finančních služeb a nakládání s nimi.

3.VÝSLEDKY HODNOCENÍ EX POST, KONZULTACÍ SE ZÚČASTNĚNÝMI STRANAMI A POSOUZENÍ DOPADŮ

•Hodnocení ex-post / kontroly účelnosti platných právních předpisů

Tento nový návrh se neopírá o žádné platné právní předpisy. Vychází z režimu otevřeného bankovnictví stanoveného ve směrnici (EU) 2015/2366, ale vytváří nové právo na přístup k údajům pro soubory údajů, na které se dosud nevztahoval žádný jiný právní rámec EU.

•Konzultace se zúčastněnými stranami

Evropská komise dne 10. května 2022 zveřejnila výzvu k předložení faktických podkladů týkající se přístupu k finančním údajům. Výzva k předložení faktických podkladů byla ukončena dne 2. srpna 2022, přičemž se sešlo 79 odpovědí. Osoby, které odpověděly jako jednotlivci, vyjádřily obavy ze sdílení údajů, pokud by neexistoval rámec poskytující jasné záruky, jako jsou přehledy o ochraně soukromí, jasné vymezení jeho rozsahu a rovné podmínky pro účastníky trhu. Podniky se vyjádřily spíše pozitivně, pokud budou zavedena vhodná ochranná opatření. Výzva k předložení faktických podkladů ukázala, že pokud bude přístup k finančním údajům správně koncipován, může mít pozitivní dopad.

Dne 10. května 2022 Evropská komise rovněž zahájila společnou veřejnou konzultaci o přezkumu revidované směrnice o platebních službách (PSD2) a přístupu k finančním údajům. Veřejná konzultace skončila dne 2. srpna 2022. Odpovědi týkající se přístupu k finančním údajům potvrdily názory vyjádřené ve výzvě k předložení faktických podkladů. Zatímco většina respondentů z řad široké veřejnosti by chtěla sdílet své údaje na základě důrazného souhlasu či svolení spotřebitele, byly vyjádřeny určité obavy ohledně sdílení finančních údajů. Tyto obavy vycházely z nedostatku důvěry, pokud jde o otázky soukromí, ochrany údajů a digitální bezpečnosti, a z obecného pocitu, že nemají kontrolu nad tím, jak jsou jejich údaje využívány.

Zúčastněné profesní subjekty (podnikoví uživatelé, společnosti působící v oboru finančních technologií, spotřebitelské organizace i příslušné orgány veřejné správy a vnitrostátní regulační orgány) byly sdílení údajů nakloněny více a uváděly přínosy pro zákazníka v podobě větší konkurence a inovací finančních produktů a služeb. Významná menšina respondentů z řad odborníků vyjádřila také obavy z konkurence, bezpečnosti a zneužití údajů.

Dne 10. května 2022 Komise rovněž zahájila cílenou konzultaci o přístupu k finančním údajům a sdílení údajů ve finančním sektoru. Cílená konzultace skončila 5. července 2022 a v jejím rámci bylo od zúčastněných profesních subjektů shromážděno 94 odpovědí.

Účelem této cílené konzultace bylo získat jejich odborné podněty ke sdílení údajů v oblasti financí. Mezi cílové zúčastněné profesní subjekty patřily finanční instituce, prodejci dat, společnosti působící v oboru finančních technologií, podnikoví uživatelé, sdružení na ochranu spotřebitelů, jakož i příslušné orgány veřejné správy a vnitrostátní regulační orgány. Celkově odpovědi ukázaly, že většina respondentů z řad odborníků vidí potenciální přínos právního rámce pro přístup k finančním údajům, a proto podporují regulační zásahy v některých oblastech. Z odpovědí na cílenou konzultaci však vyplývá, že stanoviska zúčastněných stran se značně liší a že podpora ze strany spotřebitelů a držitelů údajů je podmíněna tím, jak budou tyto údaje zpřístupňovány a sdíleny.

•Sběr a využití výsledků odborných konzultací

Dne 24. října 2022 obdržela Komise zprávu o otevřených financích od odborné skupiny pro evropský prostor pro finanční údaje. Tato odborná skupina sdružuje odborníky z akademické sféry, z řad spotřebitelů a z finančního sektoru (včetně bankovnictví, pojišťovnictví, důchodů, investic, ale i poskytovatelů z řad třetích stran a společností působících v oboru finančních technologií). Zpráva popisuje klíčové prvky otevřeného finančního ekosystému, jak je vidí tato odborná skupina (dostupnost údajů, ochrana údajů, standardizace údajů, odpovědnost, rovné podmínky a klíčoví aktéři), a obsahuje úvahy týkající se jednotlivých prvků, přičemž zmiňuje i rozdílné názory v rámci skupiny. Pro ilustraci výzev a příležitostí otevřeného financování posoudila odborná skupina několik konkrétních případů použití, které jsou ve zprávě podrobně popsány. Případy použití a zjištění zprávy byly použity při vypracovávání tohoto návrhu, zejména při určování údajů, které spadají do oblasti působnosti návrhu.

•Posouzení dopadů

K návrhu je připojeno posouzení dopadů, které bylo předloženo Výboru Komise pro kontrolu regulace (RSB) dne 3. února 2023 a schváleno dne 3. března 2023. Výbor RSB doporučil zlepšení v některých oblastech s cílem posílit důkazní základnu, klást větší důraz na důvěru zákazníků a ochranu zranitelných spotřebitelů a také lépe definovat omezení a nejistoty analýzy nákladů a přínosů tohoto návrhu. Posouzení dopadů bylo odpovídajícím způsobem změněno a zohlednilo podrobnější připomínky výboru RSB.

Možnosti politiky byly vybrány na základě odborné skupiny Komise pro evropský prostor pro finanční údaje a na základě zpětné vazby od zúčastněných stran.

Zvažovalo se několik možností, jejichž cílem bylo zvýšit důvěru zákazníků ve sdílení údajů, vyjasnit právní situaci, podpořit standardizaci a poskytnout pobídky. Pokud jde o důvěru zákazníků, zvažované možnosti zahrnovaly povinné používání přehledů o povoleních k přístupu k finančním údajům, stanovení pravidel pro to, kdo může mít přístup k zákaznickým údajům, a doplnění těchto pravidel o další ochranná opatření, včetně obecných pokynů, které chrání spotřebitele před nespravedlivým zacházením nebo riziky vyloučení.

V zájmu zajištění právní jasnosti byla jednou ze zvažovaných možností i míra, do jaké by držitelé údajů mohli být povinni sdílet své zákaznické údaje s uživateli údajů. Toto sdílení by mohlo být prováděno povinně, a to na základě žádosti zákazníka. Zvažovaly se také typy podniků, které budou povinny údaje sdílet (úvěrové instituce, poskytovatelé platebních služeb a další typy finančních institucí napříč celým finančním sektorem).

Bylo zváženo několik možností, jak podpořit standardizaci zákaznických údajů a rozhraní. Jednou z možností bylo, aby účastníci trhu společně vypracovali společné standardy pro zákaznické údaje a rozhraní v rámci systémů sdílení finančních údajů. Bylo zváženo, zda by účastníci trhu měli být součástí takového systému na dobrovolném nebo povinném základě, aby měli přístup k údajům. Další možností bylo vytvořit takový systém prostřednictvím aktů v přenesené pravomoci nebo prováděcích aktů (tzv. právních předpisů úrovně 2, které doplňují nebo mění některé nepodstatné prvky základních aktů).

Byla zvažována řada možností, jak zavést vysoce kvalitní rozhraní pro sdílení zákaznických údajů. Jednou z možností by mohlo být, že by držitelé údajů byli povinni zavést aplikační programovací rozhraní (API), která by prováděla společné standardy pro údaje a rozhraní, a zpřístupnit je uživatelům údajů bez smlouvy a bez možnosti získat od uživatelů údajů jakoukoli náhradu za používání těchto rozhraní. Další možností by bylo umožnit přiměřenou náhradu za zřízení a používání rozhraní a dohodnout se na smluvní odpovědnosti.

Komise usoudila, že upřednostňovanou možností je nařízení EU, které stanoví rámec pro přístup k finančním údajům, jenž bude mít následující charakteristiky:

·bude požadovat, aby účastníci trhu poskytovali zákazníkům přehledy o povoleních k přístupu k finančním údajům, stanovili pravidla způsobilosti pro přístup k zákaznickým údajům a zmocnili evropské orgány dohledu (ESA) k vydávání obecných pokynů na ochranu spotřebitelů před nespravedlivým zacházením nebo riziky vyloučení,

·zmocní uživatele údajů k přístupu k vybraným souborům zákaznických údajů v rámci celého finančního sektoru, a to vždy na základě povolení zákazníků, kterých se tyto údaje týkají;

·bude požadovat, aby účastníci trhu v rámci systémů vypracovali společné standardy pro zákaznické údaje a rozhraní týkající se údajů, která podléhají povinnému přístupu; a

·bude požadovat, aby držitelé údajů za náhradu zavedli rozhraní pro programování aplikací provádějící společné standardy pro zákaznické údaje a rozhraní vypracované v rámci systémů, a požadovat, aby se členové systému dohodli na smluvní odpovědnosti.

Očekávaným celkovým hospodářským dopadem tohoto návrhu by byl lepší přístup ke kvalitnějším finančním službám, tedy zlepšení celkového poměru mezi cenou a kvalitou. Přístup k finančním údajům by vedl ke službám více zaměřeným na uživatele: personalizované služby by mohly být přínosem pro spotřebitele, kteří hledají investiční poradenství, a lze očekávat, že automatizované posuzování úvěruschopnosti pomůže usnadnit přístup k financování pro malé a střední podniky. Očekávaný dopad na širší ekonomiku je pozitivní, a to díky účinnějšímu poskytování služeb v důsledku účinnější hospodářské soutěže. Aby se však tyto pozitivní dopady projevily, je důležité zajistit, aby opakované použití údajů nevedlo k protisoutěžnímu chování a k nekalým praktikám, zejména s ohledem na požadavek povinného dodržování smluvních systémů, a aby zejména držitelé údajů nevytlačovali konkurenty z trhu prostřednictvím vysokých poplatků za přístup k údajům.

Lze očekávat, že návrh bude mít celkově pozitivní sociální dopad, pokud se podaří udržet pod kontrolou rizika s ním spojená. Sdílení zákaznických údajů by bylo kontrolováno, protože by podléhalo žádosti zákazníka – povinný přístup by se uplatnil až poté, co by zákazník o sdílení svých údajů zažádal. Podrobnější sdílení údajů by mohlo otevřít přístup k financování dříve vyloučeným uživatelům. Mohlo by usnadnit cílené spoření a důchodové zabezpečení tím, že by usnadnilo získání komplexního přehledu o nárocích ze soukromého a zaměstnaneckého důchodového pojištění i o dalším důchodovém spoření. Na druhou stranu by bez vhodných ochranných opatření větší využívání údajů mohlo v konkrétních případech vést k riziku vyšších nákladů nebo dokonce k dalšímu vyloučení zákazníků s nepříznivým rizikovým profilem. Zvláštní pozornost je třeba věnovat službám spojeným se sdílením rizik, jako je pojištění. Upřednostňovaná možnost by však takový dopad zmírnila, protože soubory údajů, které jsou přímo relevantní pro základní finanční služby pro spotřebitele, by byly z její působnosti vyloučeny, přičemž jako dodatečná záruka by sloužily obecné pokyny EBA a EIOPA o příslušném rozsahu použití osobních údajů.

Celkově lze očekávat, že přístup k finančním údajům bude mít neutrální až pozitivní nepřímý dopad na životní prostředí, protože pravděpodobně podpoří využívání inovativních investičních služeb, včetně těch, které směrují investice do udržitelnějších činností. Přestože by intenzivnější využívání datových center, které by bylo spojeno s širším opětovným využíváním údajů, mohlo mít potenciálně určité negativní důsledky, jejich rozsah bude pravděpodobně omezený, protože většina údajů, kterých se tento návrh týká, již existuje v digitální podobě. Dodatečný objem zpracování by pocházel především od uživatelů údajů, kteří k těmto údajům přistupují.

Vzhledem k omezené dostupnosti dat a povaze tohoto návrhu je již z jeho samotné podstaty obtížné kvantitativně odhadnout, jaký by byl jeho přínos pro hospodářství jako celek. Stejně tak je náročné oddělit účinky jednotlivých politických opatření od potenciálního celkového dopadu. Zatímco náklady jednotlivých možností politiky je již nyní obtížné odhadnout, posoudit jejich izolované přínosy je ještě obtížnější. Byl učiněn pokus o makroekonomické posouzení potenciálních přínosů na základě studie na makroúrovni, jejímž cílem však nebylo jednoznačně kvantifikovat přínosy tohoto návrhu. Níže uvedené rozmezí číselných údajů je proto třeba brát spíše jako ilustraci potenciálních přínosů než jako přesný odhad. Podle tohoto makroekonomického posouzení se celkové roční přínosy pro hospodářství EU, které plynou z lepšího přístupu k údajům a jejich sdílení ve finančním sektoru EU, pohybují v rozmezí od 4,6 miliardy EUR do 12,4 miliardy EUR, včetně přímého dopadu na ekonomiku finančních údajů v EU v rozmezí od 663 milionů EUR do 2 miliard EUR ročně. Celkové odhadované náklady na návrh by se mohly pohybovat v rozmezí od 2,2 miliardy EUR do 2,4 miliardy EUR v jednorázových nákladech a od 147 milionů EUR do 465 milionů EUR v opakujících se ročních nákladech.

Digitální finance mají mnoho aspektů, které mohou zlepšit fungování ekonomik a podpořit udržitelný rozvoj. Přístup k financování je jednou z hlavních výzev udržitelného rozvoje. Ačkoli to není přímým cílem návrhu, nepřímo to pomůže podpořit udržitelný hospodářský růst podporující začlenění a zaměstnanost. Může pomoci sociálně vyloučeným osobám získat lepší přístup k financování. Tento návrh je v souladu s budováním odolné infrastruktury, udržitelnou industrializací a inovacemi. Může uvolnit konkurenceschopné ekonomické síly, které zlepší propojení v oblasti financí. Návrh rovněž pomůže řešit změnu klimatu prostřednictvím cíleného investičního poradenství, které pomůže investorům činit informovanější rozhodnutí, jež mohou pomoci nasměrovat kapitálové toky do udržitelných investic.

•Účelnost právních předpisů a zjednodušení

•Základní práva

4.ROZPOČTOVÉ DŮSLEDKY

Provedení tohoto návrhu by nemělo dopad na souhrnný rozpočet Evropské unie. Ačkoli evropské orgány dohledu budou muset plnit některé úkoly, aby byly právní předpisy řádně prováděny, většina těchto úkolů spadá do stávajících mandátů evropských orgánů dohledu, např. příprava návrhů regulačních nebo prováděcích norem či obecných pokynů pro lepší uplatňování tohoto nařízení. Kromě toho by Evropský orgán pro bankovnictví (EBA) sice musel zřídit rejstřík obsahující informace např. o poskytovatelích služeb finančních informací, avšak náklady na zřízení takového rejstříku by byly omezené a měly by být pokryty úsporami nákladů plynoucími z vyšší efektivity a ze synergií, kterých by měly dosáhnout všechny orgány Unie. Na druhou stranu by právní předpisy neukládaly evropským orgánům dohledu žádné nové úkoly v oblasti dohledu nebo kontroly. Veškeré náklady vyplývající z provádění navrhovaných právních předpisů by proto měly být hrazeny ze stávajícího rozpočtu evropských orgánů dohledu.

Důsledky pro příslušné vnitrostátní orgány jsou omezené, pokud jde o náklady a administrativní zátěž. Jejich rozsah a rozložení bude záviset na požadavku, aby poskytovatelé služeb finančních informací požádali o licenci poskytovanou příslušným vnitrostátním orgánem, a na souvisejících úkolech v oblasti dohledu a kontroly. Tyto náklady příslušných vnitrostátních orgánů by byly částečně kompenzovány poplatky za dohled, které by příslušné vnitrostátní orgány vybíraly od poskytovatelů služeb finančních informací.

Nový licenční režim, který by tento návrh zavedl, by se nedotkl regulovaných finančních institucí, které již licenci mají, a nevznikly by žádné další regulační požadavky na podávání zpráv, získání licence ani jiné požadavky. Pro podniky, které by musely požádat o licenci, se celkové náklady na žádost o licenci odhadují na přibližně 18,5 milionu EUR za předpokladu, že přibližně 350 podniků požádá o to, aby se mohly stát poskytovateli služeb finančních informací a mohly přistupovat k zákaznickým údajům. Tyto podniky by rovněž musely splnit požadavky nařízení DORA a zavést požadované standardy kybernetické bezpečnosti.

5.OSTATNÍ PRVKY

•Plány provádění a způsoby monitorování, hodnocení a podávání zpráv

Zřízení mechanismu monitorování a hodnocení je nezbytné, aby bylo zajištěno, že provedená regulační opatření budou účinně dosahovat svých cílů. Komise posoudí dopad tohoto nařízení a bude mít za úkol jej přezkoumat (článek 31 návrhu).

•Podrobné vysvětlení konkrétních ustanovení návrhu

Cílem tohoto návrhu je vytvořit rámec upravující přístup k zákaznickým údajům v oblasti financí a jejich využívání (dále jen „přístup k finančním údajům“). Přístupem k finančním údajům se rozumí přístup k údajům mezi podniky navzájem a mezi podniky a zákazníky (včetně spotřebitelů) a jejich zpracování na žádost zákazníka v rámci široké škály finančních služeb. Návrh je rozdělen do devíti hlav.

Hlava I stanoví předmět, oblast působnosti a definice. V článku 1 se uvádí, že nařízení stanoví pravidla, podle nichž lze přistupovat k určitým kategoriím zákaznických údajů v oblasti financí, sdílet je a používat. Dále tento článek stanoví požadavky na přístup k údajům v oblasti financí a na jejich sdílení a používání, příslušná práva a povinnosti uživatelů údajů a držitelů údajů a příslušná práva a povinnosti poskytovatelů služeb finančních informací v souvislosti s poskytováním služeb informací jakožto pravidelnou činností při výkonu povolání nebo podnikatelské činnosti. Článek 2 vymezuje oblast působnosti nařízení na určité taxativně popsané soubory údajů a uvádí seznam podniků, na které se toto nařízení vztahuje. Článek 3 stanoví pojmy a definice, které se používají pro účely tohoto nařízení, včetně pojmů „držitel údajů“, „uživatel údajů“, „poskytovatele služeb finančních informací“ a dalších.

Hlava II zavádí právní povinnost držitelů údajů a upravuje způsob, jakým by tato povinnost měla být vykonávána. Článek 4 uvádí, že držitel údajů musí na základě žádosti zpřístupnit zákazníkům údaje spadající do oblasti působnosti tohoto nařízení. Článek 5 poskytuje zákazníkovi právo požadovat, aby držitel údajů sdílel tyto údaje s uživatelem údajů. Pokud se jedná o osobní údaje, musí být žádost v souladu s platným právním základem uvedeným v obecném nařízení o ochraně osobních údajů (GDPR), který umožňuje zpracování osobních údajů. Článek 6 ukládá uživatelům údajů, kteří získávají údaje na žádost zákazníků, určité povinnosti. Přístup k zákaznickým údajům by měl být umožněn pouze podle článku 5 a tyto údaje by měly být použity pouze pro účely a za podmínek dohodnutých se zákazníkem. Osobní bezpečnostní údaje zákazníka by neměly být přístupné jiným stranám a údaje by neměly být uchovávány déle, než je nezbytné.

Hlava III stanoví požadavky na zajištění odpovědného používání a zabezpečení údajů. Článek 7 poskytuje pokyny, jak by měly podniky využívat údaje pro dané případy použití, a zajišťuje, že v důsledku použití údajů nedojde k diskriminaci nebo omezení přístupu ke službám. Zajišťuje, že zákazníkům, kteří odmítnou udělit povolení k použití souborů svých údajů, nebude odepřen přístup k finančním produktům jen proto, že tito zákazníci odmítli udělit povolení. Článek 8 zavádí přehledy o povoleních k přístupu k finančním údajům, aby bylo zajištěno, že zákazníci mohou sledovat svá povolení k údajům tím, že mají přístup k soupisu svých povolení k údajům, že mohou udělovat nová povolení a že je mohou v případě potřeby odejmout.

Hlava IV stanoví požadavky na vytváření a řízení systémů sdílení finančních údajů, jejichž cílem je spojit držitele údajů, uživatele údajů a spotřebitelské organizace. Tyto systémy by měly vypracovat standardy pro údaje a rozhraní, stanovit koordinační mechanismy pro fungování přehledů o povoleních k přístupu k finančním údajům a také společný standardizovaný smluvní rámec upravující přístup ke konkrétním souborům údajů, pravidla pro správu těchto systémů, požadavky na transparentnost, pravidla pro náhradu, odpovědnost a řešení sporů. Článek 9 stanoví, že údaje, které spadají do oblasti působnosti tohoto nařízení, musí být zpřístupněny pouze členům systému sdílení finančních údajů, přičemž existence těchto systémů a členství v nich jsou povinné. Článek 10 stanoví postupy řízení takového systému, včetně pravidel smluvní odpovědnosti jeho členů a mechanismu mimosoudního řešení sporů. Článek 10 rovněž upravuje vývoj společných standardů pro sdílení údajů a vytváření technických rozhraní, která se mají ke sdílení údajů používat. Takové systémy sdílení údajů musí být oznámeny příslušným orgánům, musí využívat pas pro operace v celé EU a pro účely transparentnosti musí být tyto systémy součástí rejstříku, který povede EBA. Minimální ujednání pro systém sdílení finančních údajů by měla rovněž stanovit, že držitelé údajů musí mít nárok na náhradu za zpřístupnění údajů uživatelům údajů v souladu s podmínkami systému, jehož jsou oba součástí. Náhrada musí být v každém případě přiměřená, založená na jasné a transparentní metodice předem odsouhlasené členy systému a měla by odrážet přinejmenším náklady vynaložené na zpřístupnění technického rozhraní pro sdílení požadovaných údajů. Článek 11 stanoví zmocnění Komise k přijetí aktu v přenesené pravomoci v případě, že není vytvořen systém sdílení finančních údajů pro jednu nebo více kategorií zákaznických údajů.

Hlava V obsahuje ustanovení o povolování poskytovatelů služeb finančních informací a o podmínkách výkonu jejich činnosti. Tyto požadavky se zaměřují na požadovaný obsah žádosti (článek 12), jmenování právního zástupce (článek 13), rozsah povolení, včetně pasu EU pro poskytovatele služeb finančních informací (článek 14), a právo příslušných orgánů odejmout povolení. Článek 15 stanoví zřízení rejstříku poskytovatelů služeb finančních informací a systémů sdílení údajů, který povede EBA. Článek 16 stanoví organizační požadavky na poskytovatele služeb finančních informací.

V hlavě VI jsou uvedeny podrobnosti o pravomocích příslušných orgánů. Článek 17 ukládá členským státům povinnost určit příslušné orgány. Článek 18 obsahuje podrobná ustanovení o pravomocích příslušných orgánů, článek 19 upravuje pravomoc uzavírat dohody o urovnání a zrychlená vykonávací řízení. V článcích 20 až 21 jsou podrobně popsány správní sankce a jiná správní opatření, jakož i penále, které mohou ukládat příslušné orgány. Článek 22 stanoví okolnosti, které by měly být zohledněny při stanovení správních sankcí a jiných správních opatření příslušnými orgány. Článek 23 se týká služebního tajemství při výměně informací mezi příslušnými orgány. Hlava VI obsahuje pravidla týkající se práva na odvolání (článek 24), zveřejňování uložených správních sankcí a správních opatření (článek 25), pravidla pro výměnu informací mezi příslušnými orgány (článek 26) a řešení sporů mezi nimi (článek 27).

Hlava VII stanoví postup oznamování příslušným orgánům pro podniky, které vykonávají právo usazování a volný pohyb služeb (článek 28), jakož i informační povinnost příslušných orgánů v případě, kdy přijmou opatření zahrnující omezení svobody usazování (článek 29).

Hlava VIII zahrnuje výkon přenesené pravomoci za účelem přijímání aktů v přenesené pravomoci Komisí (článek 30), neboť samotný návrh obsahuje zmocnění Komise k přijetí aktu v přenesené pravomoci podle článku 11. Tato hlava rovněž zahrnuje povinnost Komise přezkoumat některé aspekty nařízení (článek 31). Články 32 až 34 obsahují nezbytné změny nařízení, kterými se zřizují evropské orgány dohledu, s cílem zahrnout toto nařízení a poskytovatele služeb finančních informací do jejich působnosti. Článek 35 obsahuje změnu nařízení o digitální provozní odolnosti. Článek 36 uvádí, že toto nařízení se začne používat 24 měsíců po vstupu v platnost, s výjimkou hlavy IV (o systémech), která se začne používat 18 měsíců po vstupu nařízení v platnost.

2023/0205 (COD)

Návrh

NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY

o rámci pro přístup k finančním údajům a o změně nařízení (EU) č. 1093/2010, (EU) č. 1094/2010, (EU) č. 1095/2010 a (EU) 2022/2554

(Text s významem pro EHP)

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 114 této smlouvy,

s ohledem na návrh Evropské komise,

po předložení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru 6 ,

v souladu s řádným legislativním postupem,

vzhledem k těmto důvodům:

(1)Odpovědná datová ekonomika, která se opírá o vytváření a využívání dat, je nedílnou součástí vnitřního trhu Unie a může přinést výhody jak občanům Unie, tak i celému hospodářství Digitální technologie založené na datech jsou stále častěji hnací silou změn na finančních trzích, protože vytvářejí nové obchodní modely, produkty a způsoby, jak mohou firmy vstupovat do interakce se zákazníky.

(2)Zákazníci finančních institucí, a to jak spotřebitelé, tak i podniky, by měli mít účinnou kontrolu nad svými finančními údaji a možnost využívat otevřené, spravedlivé a bezpečné inovace ve finančním sektoru založené na datech. Tito zákazníci by měli mít možnost rozhodovat o tom, jak a kým budou jejich finanční údaje využívány, a pokud o to mají zájem, měli by mít možnost poskytnout podnikům přístup ke svým údajům za účelem získání finančních a informačních služeb.

(3)Unie deklarovala v rámci své politiky zájem na tom, aby zákazníci finančních institucí měli ke svým finančním údajům přístup. Komise ve svém sdělení o strategii v oblasti digitálních financí a sdělení o unii kapitálových trhů přijatém v roce 2021 potvrdila záměr zavést rámec pro přístup k finančním údajům, aby mohli zákazníci využívat výhod sdílení údajů ve finančním sektoru. Mezi tyto výhody patří vývoj a poskytování finančních produktů a finančních služeb založených na datech, což je možné díky sdílení zákaznických údajů.

(4)V rámci finančních služeb a v důsledku revidované směrnice Evropského parlamentu a Rady (EU) 2015/2366 7 začalo sdílení údajů o platebních účtech v Unii na základě povolení zákazníka měnit způsob, jakým spotřebitelé a podniky využívají bankovní služby. V návaznosti na opatření uvedené směrnice by měl být vytvořen regulační rámec pro sdílení zákaznických údajů v celém finančním sektoru nad rámec údajů o platebních účtech. To by mělo být také základním kamenem pro plné začlenění finančního sektoru do strategie Komise pro data 8 , která podporuje sdílení údajů napříč odvětvími.

(5)Pro vytvoření dobře fungujícího a účinného rámce pro sdílení údajů ve finančním sektoru je nezbytné zajistit kontrolu ze strany zákazníků a jejich důvěru. Zajištění účinné kontroly ze strany zákazníků nad sdílením údajů přispívá k inovacím i k důvěře zákazníků v toto sdílení. Účinná kontrola tak pomáhá překonat neochotu zákazníků sdílet své údaje. Podle stávajícího unijního rámce je právo subjektu údajů na přenositelnost údajů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 9 omezeno na osobní údaje a lze se na něj odvolat pouze v případě, že je přenos údajů technicky proveditelný. Zákaznické údaje a technická rozhraní ve finančním sektoru nad rámec platebních účtů nejsou standardizována, což prodražuje sdílení údajů. Finanční instituce mají dále pouze zákonnou povinnost zpřístupnit údaje o platbách svých zákazníků.

(6)Ekonomika finančních údajů v Unii proto zůstává roztříštěná a vyznačuje se nerovnoměrným sdílením údajů, překážkami a velkou neochotou zúčastněných stran zapojit se do sdílení údajů nad rámec platebních účtů. Zákazníci proto nemají prospěch z individualizovaných produktů a služeb založených na datech, které by mohly vyhovovat jejich specifickým potřebám. Neexistence personalizovaných finančních produktů omezuje možnost inovací prostřednictvím nabídky více možností výběru a většího rozsahu finančních produktů a služeb pro spotřebitele, kteří o to mají zájem a kteří by jinak mohli využívat nástroje založené na datech, jež by jim umožnily přijímat informovaná rozhodnutí, porovnávat uživatelsky vstřícným způsobem jednotlivé nabídky a přecházet na výhodnější produkty, které na základě jejich údajů odpovídají jejich preferencím. Stávající překážky sdílení obchodních údajů brání podnikům, zejména malým a středním, využívat lepší, pohodlnější a automatizované finanční služby.

(7)Pro usnadnění bezproblémového a účinného přístupu k údajům je nezbytné zpřístupnění údajů prostřednictvím kvalitních aplikačních programovacích rozhraní (API). Mimo oblast platebních účtů však pouze menšina finančních institucí, které jsou držiteli údajů, uvádí, že údaje zpřístupňují prostřednictvím technických rozhraní, jako jsou aplikační programovací rozhraní (API). Vzhledem k tomu, že pobídky k rozvoji takových inovativních služeb chybí, zůstává poptávka po přístupu k údajům na trhu omezená.

(8)Na úrovni Unie je proto nutné vytvořit specializovaný a harmonizovaný rámec pro přístup k finančním údajům, aby bylo možné reagovat na potřeby digitální ekonomiky a odstranit překážky bránící dobrému fungování vnitřního trhu s daty. K odstranění těchto překážek jsou zapotřebí zvláštní pravidla, která by podpořila lepší přístup k zákaznickým údajům a umožnila tak spotřebitelům a podnikům využívat výhod plynoucích z lepších finančních produktů a služeb. Finance založené na datech by usnadnily přechod odvětví od tradičního poskytování standardizovaných produktů k řešením na míru, která lépe vyhovují specifickým potřebám zákazníků, včetně vylepšených rozhraní pro zákazníky, která zvýší konkurenci, zlepší komfort pro uživatele a zajistí finanční služby zaměřené na zákazníka jako koncového uživatele.

(9)Údaje zahrnuté do oblasti působnosti tohoto nařízení by měly vykazovat vysokou přidanou hodnotu pro finanční inovace a nízké riziko finančního vyloučení pro spotřebitele. Toto nařízení by se proto nemělo vztahovat na údaje týkající se zdravotního a nemocenského pojištění spotřebitele v souladu se směrnicí Evropského parlamentu a Rady 2009/138/ES 10 ani na údaje o produktech životního pojištění spotřebitele v souladu se směrnicí 2009/138/ES, které nejsou smlouvami týkajícími se životního pojištění krytými pojistnými produkty s investiční složkou. Toto nařízení by se rovněž nemělo vztahovat na údaje shromažďované při posuzování úvěruschopnosti spotřebitele. Sdílení zákaznických údajů v oblasti působnosti tohoto nařízení by mělo respektovat ochranu důvěrných obchodních údajů a obchodních tajemství.

(10)Sdílení zákaznických údajů v oblasti působnosti tohoto nařízení by mělo být založeno na povolení zákazníka. Právní povinnost držitelů údajů sdílet zákaznické údaje by měla vzniknout v okamžiku, kdy zákazník požádá o sdílení svých údajů s uživatelem údajů. Tuto žádost může podat uživatel údajů jednající jménem zákazníka. Pokud se jedná o zpracování osobních údajů, měl by mít uživatel údajů platný právní základ pro zpracování podle nařízení (EU) 2016/679. Údaje o zákaznících mohou být zpracovávány pro dohodnuté účely v rámci poskytované služby. Zpracování osobních údajů musí respektovat zásady ochrany osobních údajů, včetně zákonnosti, korektnosti a transparentnosti, účelového omezení a minimalizace údajů. Zákazník má právo povolení udělené uživateli údajů odejmout. Pokud je zpracování údajů nezbytné pro plnění smlouvy, měl by mít zákazník možnost odejmout povolení v souladu se smluvními závazky, kde je subjekt údajů jednou ze stran. Pokud je zpracování osobních údajů založeno na souhlasu, má subjekt údajů právo svůj souhlas kdykoli odvolat, jak stanoví nařízení (EU) 2016/679.

(11)To, že se zákazníkům umožní sdílet údaje o jejich současných investicích, může podpořit inovace v oblasti poskytování retailových investičních služeb. Shromažďování primárních údajů pro posouzení vhodnosti a přiměřenosti retailového investora je pro zákazníka časově náročné a pro poradce a distributory investičních a penzijních produktů a pojistných produktů s investiční složkou představuje významný nákladový faktor. Sdílení zákaznických údajů týkajících se objemu úspor a investic do finančních nástrojů, včetně pojistných produktů s investiční složkou, a údajů shromážděných za účelem posouzení vhodnosti a přiměřenosti může zlepšit investiční poradenství pro spotřebitele a má silný inovační potenciál, včetně vývoje nástrojů personalizovaného investičního poradenství a správy investic, které mohou zvýšit účinnost poradenství v oblasti retailových investic. Takové nástroje pro správu již na trhu vznikají a mohou se efektivněji rozvíjet v kontextu, kdy zákazník může sdílet své údaje týkající se investic.

(12)Zákaznické údaje týkající se podrobností o zůstatku, podmínkách nebo transakcích v oblasti hypoték, úvěrů a spoření mohou zákazníkům umožnit získání lepšího přehledu o jejich vkladech a lépe uspokojit jejich potřeby v oblasti úspor na základě údajů o úvěrech. Toto nařízení by se mělo vztahovat na zákaznické údaje nad rámec platebních účtů ve smyslu směrnice (EU) 2015/2366. Úvěrové účty kryté úvěrovou linkou, které nelze použít k provádění platebních transakcí třetím stranám, by měly spadat do oblasti působnosti tohoto nařízení. Je proto třeba vycházet ze skutečnosti, že toto nařízení se vztahuje na přístup k podrobnostem o zůstatku, podmínkách nebo transakcích souvisejících se smlouvami o hypotečním úvěru, úvěry a spořícími účty, jakož i na typy účtů, které nespadají do oblasti působnosti směrnice (EU) 2015/2366 11 .

(13)Zákaznické údaje zahrnuté do oblasti působnosti tohoto nařízení by měly zahrnovat informace týkající se udržitelnosti, které by měly zákazníkům umožnit snazší přístup k finančním službám, jež odpovídají jejich preferencím v oblasti udržitelnosti a potřebám udržitelného financování, v souladu se strategií Komise pro financování přechodu k udržitelnému hospodářství 12 . Přístup k údajům týkajícím se udržitelnosti, která mohou být obsažena v podrobnostech o zůstatku nebo o transakcích na hypotečním, úvěrovém či spořícím účtu, jakož i přístup k zákaznickým údajům týkajícím se udržitelnosti, kterými disponují investiční podniky, může přispět k usnadnění přístupu k údajům potřebným pro přístup k udržitelnému financování nebo pro realizaci investic do zelené transformace. Kromě toho by zákaznické údaje v oblasti působnosti tohoto nařízení měly zahrnovat i údaje, které jsou součástí posouzení úvěruschopnosti podniků, včetně malých a středních, a které mohou poskytnout lepší vhled do cílů udržitelnosti malých podniků. Zahrnutí údajů používaných pro posouzení úvěruschopnosti podniků by mělo zlepšit přístup k financování a zjednodušit podávání žádostí o úvěry. Tyto údaje by se měly omezit na údaje o podnicích a neměly by porušovat práva duševního vlastnictví.

(14)Zákaznické údaje související s poskytováním neživotního pojištění jsou nezbytné k tomu, aby bylo možné vytvářet pojistné produkty a služby důležité pro naplnění potřeb zákazníků, jako je ochrana domácností, vozidel a dalšího majetku. Zároveň je shromažďování těchto údajů často zatěžující a nákladné a může zákazníky odrazovat od hledání optimálního pojistného krytí. Pro řešení tohoto problému je proto nezbytné zahrnout tyto finanční služby do oblasti působnosti tohoto nařízení. Zákaznické údaje týkající se pojistných produktů v oblasti působnosti tohoto nařízení by měly zahrnovat jak informace o pojistném produktu, jako jsou podrobnosti o pojistném krytí, tak údaje specifické pro pojištěný majetek spotřebitele, které se shromažďují pro účely posouzení požadavků a potřeb. Sdílení těchto údajů by mělo umožnit vývoj personalizovaných nástrojů pro zákazníky, jako jsou například přehledy pojištění, které by mohly spotřebitelům pomoci lépe řídit jejich rizika. Sdílení údajů by také mohlo pomoci zákazníkům získat produkty, které jsou lépe zaměřené na jejich požadavky a potřeby, a to i prostřednictvím přínosnějšího poradenství. To může přispět k vhodnějšímu pojistnému krytí pro zákazníky a k většímu finančnímu začlenění spotřebitelů s jinak nedostatečnou dostupností služeb tím, že bude nabídnuto nové nebo rozšířené krytí. Sdílení údajů o pojištění může být navíc přínosné pro efektivnější poskytování pojištění, zejména ve fázích navrhování produktů, upisování, uzavírání smluv, včetně likvidace pojistných událostí, a zmírňování rizik.

(15)Sdílení údajů o zaměstnaneckém a osobním penzijním spoření má pro spotřebitele velký inovační potenciál. Osoby, které si spoří na důchod, často nemají dostatečné znalosti o svých důchodových právech, což souvisí se skutečností, že informace o těchto právech jsou často rozptýleny mezi různými držiteli údajů. Sdílení údajů týkajících se zaměstnaneckého a osobního penzijního spoření by mělo přispět k vývoji nástrojů pro sledování důchodů, které střadatelům poskytnou komplexní přehled o jejich nárocích a důchodových příjmech jak v rámci jednotlivých členských států, tak i přeshraničně v Unii. Údaje o důchodových právech se týkají zejména nabytých důchodových nároků, předpokládané výše důchodových dávek, rizik a záruk účastníků a příjemců plánů zaměstnaneckého penzijního pojištění. Přístupem k údajům týkajícím se zaměstnaneckých důchodů nejsou dotčeny vnitrostátní sociální a pracovněprávní předpisy o organizaci důchodových systémů, včetně účasti v jednotlivých plánech a výsledků kolektivních smluv.

(16)Údaje, které jsou součástí posouzení úvěruschopnosti podniku v oblasti působnosti tohoto nařízení, by měly sestávat z informací, které podnik poskytuje institucím a věřitelům během procesu žádosti o úvěr nebo žádosti o úvěrový rating. Jedná se o žádosti o úvěry mikropodniků, malých, středních a velkých podniků. Mohou zahrnovat údaje shromážděné institucemi a věřiteli, jak je uvedeno v příloze II obecných pokynů Evropského orgánu pro bankovnictví k poskytování a sledování úvěrů 13 . Tyto údaje mohou zahrnovat finanční výkazy a prognózy, informace o finančních závazcích a nedoplatcích, doklady o vlastnictví kolaterálu, doklady o pojištění kolaterálu a informace o zárukách. Další údaje mohou být relevantní v případě, kdy se účel žádosti o úvěr týká nákupu komerční nemovitosti nebo rozvoje nemovitosti.

(17)Vzhledem k tomu, že cílem tohoto nařízení je uložit finančním institucím povinnost poskytovat na žádost zákazníka přístup k vymezeným kategoriím údajů, pokud vystupují jako držitelé údajů, a umožnit na základě povolení zákazníka sdílení údajů, pokud vystupují jako uživatelé údajů, mělo by obsahovat seznam finančních institucí, které mohou vystupovat buď jako držitelé údajů, uživatelé údajů, nebo jako obojí. Finančními institucemi by se proto měly rozumět subjekty, které poskytují finanční produkty a finanční služby nebo nabízejí příslušné služby informací zákazníkům ve finančním sektoru.

(18)Postupy používané uživateli údajů při kombinování nových a tradičních zdrojů zákaznických údajů v oblasti působnosti tohoto nařízení musí být přiměřené, aby se zajistilo, že nepovedou k riziku finančního vyloučení spotřebitelů. Postupy, které vedou k sofistikovanější nebo komplexnější analýze určitých zranitelných segmentů spotřebitelů, jako jsou osoby s nízkými příjmy, mohou zvýšit riziko nespravedlivých podmínek nebo uplatňování rozdílných cen, jako je účtování rozdílného pojistného. Možnost vyloučení se zvyšuje při poskytování produktů a služeb, jejichž cena se určuje podle profilu spotřebitele, zejména při provádění úvěrového ohodnocení a při posuzování úvěruschopnosti fyzických osob, jakož i u produktů a služeb souvisejících s posuzováním rizik a stanovováním cen u fyzických osob v případě životního a zdravotního pojištění. Vzhledem k uvedeným rizikům by využívání údajů pro tyto produkty a služby mělo podléhat zvláštním požadavkům na ochranu spotřebitelů a jejich základních práv.

(19)Rozsah použití údajů stanovený v tomto nařízení a v doprovodných obecných pokynech (dále jen „obecné pokyny“), které vypracují Evropský orgán pro bankovnictví (EBA) a Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA), by měl poskytnout přiměřený rámec pro to, jak by měly být používány osobní údaje týkající se spotřebitele, které spadají do oblasti působnosti tohoto nařízení. Rozsah použití údajů zajišťuje soulad mezi oblastí působnosti tohoto nařízení, z níž jsou vyloučeny údaje, jež jsou součástí posouzení úvěruschopnosti spotřebitele, a údaje týkající se životního, zdravotního a nemocenského pojištění spotřebitele, a oblastí působnosti obecných pokynů, které stanoví doporučení, jak lze k poskytování těchto produktů a služeb využívat typy údajů pocházející z jiných oblastí finančního sektoru, které spadají do oblasti působnosti tohoto nařízení. Obecné pokyny vypracované EBA by měly stanovit, jakým způsobem lze k provedení úvěrového ohodnocení spotřebitele použít další typy údajů, které spadají do oblasti působnosti tohoto nařízení. Obecné pokyny vypracované EIOPA by měly stanovit, jak lze údaje spadající do oblasti působnosti tohoto nařízení využívat v rámci produktů a služeb souvisejících s posuzováním rizik a stanovováním cen v případě produktů životního, zdravotního a nemocenského pojištění. Obecné pokyny by měly být vypracovány tak, aby odpovídaly potřebám spotřebitelů a byly přiměřené poskytování těchto produktů a služeb.

(20)EBA a EIOPA by měly při vypracovávání obecných pokynů úzce spolupracovat s Evropským sborem pro ochranu osobních údajů, který by měl vycházet ze stávajících doporučení týkajících se využívání informací o spotřebitelích v oblasti spotřebitelských a hypotečních úvěrů, zejména z pravidel pro používání posouzení úvěruschopnosti podle směrnice Evropského parlamentu a Rady 2008/48/ES ze dne 23. dubna 2008 o smlouvách o spotřebitelském úvěru a o zrušení směrnice Rady 87/102/EHS, obecných pokynů Evropského orgánu pro bankovnictví k poskytování a sledování úvěrů a obecných pokynů Evropského orgánu pro bankovnictví k posouzení úvěruschopnosti vypracovaných podle směrnice 2014/17/EU, jakož i pokynů Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů.

(21)Zákazníci musí mít účinnou kontrolu nad svými údaji a důvěru ve správu povolení, která udělili v souladu s tímto nařízením. Držitelé údajů by proto měli mít povinnost poskytovat zákazníkům společné a konzistentní přehledy o povoleních k přístupu k finančním údajům. Přehled o povoleních by měl zákazníkovi umožnit spravovat svá povolení informovaným a nestranným způsobem a poskytnout mu silnou míru kontroly nad tím, jak jsou jeho osobní a neosobní údaje používány. Neměl by být koncipován tak, aby zákazníka nabádal k udělení nebo odejmutí povolení nebo ho při tom nepatřičně ovlivňoval. Přehled o povoleních by měl v příslušných případech zohlednit požadavky na přístupnost podle směrnice Evropského parlamentu a Rady (EU) 2019/882 14 . Při poskytování přehledu o povoleních by držitelé údajů mohli využít oznámenou službu elektronické identifikace vytvářející důvěru, jako je evropská peněženka digitální identity vydaná členským státem, kterou zavádí návrh, kterým se mění nařízení (EU) č. 910/2014, pokud jde o zřízení rámce pro evropskou digitální identitu 15 . Při poskytování přehledů o povoleních, které splňují požadavky tohoto nařízení, se držitelé údajů mohou také obrátit na poskytovatele služeb zprostředkování dat podle nařízení Evropského parlamentu a Rady (EU) 2022/868 16 .

(22)V přehledu o povoleních by se měla zobrazovat povolení udělená zákazníkem, včetně případů, kdy jsou osobní údaje sdíleny na základě souhlasu nebo jsou nezbytné pro plnění smlouvy. Přehled o povoleních by měl zákazníka standardním způsobem upozornit na riziko možných smluvních důsledků odejmutí povolení s tím, že za řízení tohoto rizika by však měl zůstat odpovědný zákazník. Přehled o povoleních by měl sloužit ke správě stávajících povolení. Držitelé údajů by měli v reálném čase informovat uživatele údajů o každém odejmutí povolení. Přehled o povoleních by měl po dobu až dvou let obsahovat záznamy o povoleních, která byla odňata nebo jejichž platnost vypršela, aby zákazník svá povolení mohl informovaně a nestranně sledovat. Uživatelé údajů by měli v reálném čase informovat držitele údajů o nových a obnovených povoleních udělených zákazníky, včetně doby platnosti jednotlivých povolení a krátkého shrnutí jejich účelu. Informacemi uvedenými v přehledu o povoleních nejsou dotčeny požadavky na informace podle nařízení (EU) 2016/679.

(23)V zájmu zajištění přiměřenosti jsou z oblasti působnosti tohoto nařízení vyňaty některé finanční instituce, a to z důvodů, které souvisejí s jejich velikostí nebo se službami, které poskytují, a které by příliš ztěžovaly dodržování tohoto nařízení. Patří mezi ně instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány, jež dohromady nemají více než 15 účastníků, a také zprostředkovatelé pojištění, kteří jsou mikropodniky nebo malými či středními podniky. Kromě toho by mělo být malým nebo středním podnikům, které vystupují jako držitelé údajů a spadají do oblasti působnosti tohoto nařízení, umožněno vytvořit aplikační programovací rozhraní (API) společně, čímž by se snížily náklady každého z nich. Mohou také využít služeb externích poskytovatelů technologií, kteří pro finanční instituce provozují aplikační programovací rozhraní (API) sdruženým způsobem a mohou jim účtovat pouze nízký fixní poplatek za použití a pracovat převážně na bázi platby podle využívání.

(24)Toto nařízení zavádí novou právní povinnost finančních institucí, které vystupují jako držitelé údajů, sdílet na žádost zákazníka vymezené kategorie údajů. Povinnost držitelů údajů sdílet údaje na žádost zákazníka by měla být upřesněna zpřístupněním obecně uznávaných standardů, aby bylo rovněž zajištěno, že sdílené údaje jsou dostatečně kvalitní. Držitel údajů by měl zákaznické údaje nepřetržitě zpřístupňovat pro účely a za podmínek, pro které zákazník udělil uživateli údajů povolení. Nepřetržitý přístup by mohl spočívat ve vícenásobných žádostech o zpřístupnění zákaznických údajů za účelem splnění služby dohodnuté se zákazníkem. Mohlo by se také jednat o jednorázový přístup k zákaznickým údajům. Zatímco držitel údajů je odpovědný za dostupnost rozhraní a jeho odpovídající kvalitu, samotné rozhraní může poskytnout nejen držitel údajů, ale i jiná finanční instituce, externí poskytovatel IT, oborové sdružení nebo skupina finančních institucí či veřejný subjekt v členském státě. V případě institucí zaměstnaneckého penzijního pojištění lze rozhraní integrovat do přehledů důchodových ukazatelů, které zahrnují širší rozsah informací, pokud splňují požadavky tohoto nařízení.

(25)Aby byla možná smluvní a technická interakce nezbytná pro realizaci přístupu k údajům mezi více finančními institucemi, mělo by se od držitelů a uživatelů údajů vyžadovat, aby byli součástí systémů sdílení finančních údajů. Tyto systémy by měly vypracovat standardy pro údaje a rozhraní, společné standardizované smluvní rámce upravující přístup ke konkrétním souborům údajů a pravidla správy týkající se sdílení údajů. Aby bylo zajištěno účinné fungování těchto systémů, je nutné stanovit obecné zásady pro jejich správu, včetně pravidel pro inkluzivní správu a účast držitelů a uživatelů údajů a zákazníků (aby bylo v systémech zajištěno vyvážené zastoupení), požadavků na transparentnost a kvalitně fungujícího odvolacího a přezkumného řízení (zejména v souvislosti s rozhodováním o systémech). Systémy sdílení finančních údajů musí být v souladu s pravidly Unie v oblasti ochrany spotřebitele a údajů, ochrany soukromí a hospodářské soutěže. Účastníci těchto systémů jsou rovněž vyzýváni, aby vypracovali kodexy chování podobné těm, které vypracovávají správci a zpracovatelé podle článku 40 nařízení (EU) 2016/679. Ačkoli tyto systémy mohou vycházet ze stávajících tržních iniciativ, požadavky stanovené v tomto nařízení by měly být specifické pro systémy sdílení finančních údajů nebo jejich části, které účastníci trhu využívají ke splnění svých povinností podle tohoto nařízení ode dne použitelnosti těchto povinností.

(26)Systém sdílení finančních údajů by měl spočívat ve společné smluvní dohodě mezi držiteli a uživateli údajů s cílem podpořit efektivnost a technické inovace v oblasti sdílení finančních údajů ve prospěch zákazníků. V souladu s pravidly Unie o hospodářské soutěži by měl systém sdílení finančních údajů ukládat svým členům pouze omezení, která jsou nezbytná k dosažení jeho cílů a která jsou těmto cílům přiměřená. Neměl by svým členům poskytovat možnost bránit hospodářské soutěži nebo ji omezovat či narušovat na podstatné části relevantního trhu.

(27)Za účelem zajištění účinnosti tohoto nařízení by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie, pokud jde o stanovení podmínek a charakteristik systému sdílení finančních údajů v případě, že systém nevypracují držitelé a uživatelé údajů. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů 17 . Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(28)Držitelé a uživatelé údajů by při vytváření společných standardů pro povinné sdílení údajů měli mít možnost používat stávající tržní standardy.

(29)Aby se zajistilo, že držitelé údajů budou mít zájem na poskytování kvalitních rozhraní pro zpřístupnění údajů uživatelům údajů, měli by mít držitelé údajů možnost požadovat od uživatelů údajů přiměřenou náhradu za zavedení aplikačního programovacího rozhraní (API). Usnadnění přístupu k údajům za náhradu by zajistilo spravedlivé rozdělení souvisejících nákladů mezi držitele a uživatele údajů v datovém hodnotovém řetězci. V případech, kdy je uživatelem údajů malý nebo střední podnik, by měla být zajištěna proporcionalita pro menší účastníky trhu tím, že se náhrada omezí striktně na náklady vynaložené na usnadnění přístupu k údajům. Model pro stanovení výše náhrady by měl být stanoven jako součást systémů sdílení finančních údajů, jak je stanoveno v tomto nařízení.

(30)Zákazníci by měli vědět, jaká jsou jejich práva v případě, že při sdílení údajů dojde k problémům, a na koho se obrátit s žádostí o náhradu újmy. Od členů systému sdílení finančních údajů, včetně držitelů a uživatelů údajů, by se proto mělo vyžadovat, aby se dohodli na smluvní odpovědnosti za porušení ochrany údajů a na způsobu řešení případných sporů mezi držiteli a uživateli údajů týkajících se odpovědnosti. Tyto požadavky by se měly zaměřit na stanovení pravidel odpovědnosti, jakož i jasných povinností a práv pro určení odpovědnosti mezi držitelem a uživatelem údajů, a to v rámci jakékoli smlouvy. Otázky odpovědnosti týkající se spotřebitelů jako subjektů údajů by měly vycházet z nařízení (EU) 2016/679, zejména z práva na náhradu újmy a odpovědnosti podle článku 82 uvedeného nařízení.

(31)Za účelem ochrany spotřebitele, posílení důvěry zákazníků a zajištění rovných podmínek je nezbytné stanovit pravidla, pokud jde o to, kdo je oprávněn přistupovat k údajům zákazníků. Tato pravidla by měla zajistit, aby všichni uživatelé údajů podléhali povolování ze strany příslušných orgánů a jejich dohledu. Tím by se zajistilo, že k údajům budou mít přístup pouze regulované finanční instituce nebo podniky, které mají zvláštní povolení jako poskytovatelé služeb finančních informací, na něž se vztahuje toto nařízení. Pravidla způsobilosti pro poskytovatele služeb finančních informací jsou nezbytná k zajištění finanční stability, integrity trhu a ochrany spotřebitelů, neboť poskytovatelé služeb finančních informací by poskytovali finanční produkty a služby zákazníkům v Unii a měli by přístup k údajům, které mají finanční instituce k dispozici a jejichž integrita je nezbytná pro zachování schopnosti finančních institucí nadále poskytovat finanční služby řádným a bezpečným způsobem. Tato pravidla jsou rovněž nezbytná k zajištění řádného dohledu nad poskytovateli služeb finančních informací ze strany příslušných orgánů v souladu s jejich mandátem k zajištění finanční stability a integrity v Unii, což by poskytovatelům služeb finančních informací umožnilo poskytovat v celé Unii služby, pro které mají povolení.

(32)Na uživatele údajů v oblasti působnosti tohoto nařízení by se měly vztahovat požadavky nařízení Evropského parlamentu a Rady (EU) 2022/2554 18 , a proto by měli být povinni mít pro výkon své činnosti zavedeny přísné normy kybernetické odolnosti. To zahrnuje komplexní schopnosti umožňující silné a účinné řízení rizika v oblasti informačních a komunikačních technologií (IKT) a specifické mechanismy a politiky pro zvládnutí všech incidentů souvisejících s IKT a pro hlášení závažných incidentů souvisejících s IKT. Uživatelé údajů, kterým bylo podle tohoto nařízení uděleno povolení k činnosti poskytovatele služeb finančních informací a nad nimiž je v souvislosti s touto činností vykonáván dohled, by měli při řešení rizik v oblasti IKT uplatňovat stejný přístup a stejná pravidla založená na zásadách s přihlédnutím k jejich velikosti a celkovému rizikovému profilu a k povaze, rozsahu a složitosti svých služeb, činností a operací. Poskytovatelé služeb finančních informací by proto měli být zahrnuti do oblasti působnosti nařízení (EU) 2022/2554.

(33)Aby byl umožněn účinný dohled a vyloučena možnost vyhýbání se dohledu nebo jeho obcházení, musí být poskytovatelé služeb finančních informací buď zapsáni v obchodním rejstříku v Unii, nebo v případě, že jsou zapsáni v obchodním rejstříku ve třetí zemi, musí jmenovat právního zástupce v Unii. Účinný dohled příslušných orgánů je nezbytný pro prosazování požadavků podle tohoto nařízení, aby byla zajištěna integrita a stabilita finančního systému a ochrana spotřebitelů. Požadavek na zapsáni poskytovatelů služeb finančních informací v obchodním rejstříku v Unii nebo na jmenování právního zástupce v Unii nepředstavuje lokalizaci údajů, neboť toto nařízení nestanoví žádný další požadavek na zpracování údajů včetně jejich uložení v Unii.

(34)Poskytovatel služeb finančních informací by měl mít povolení v jurisdikci členského státu, kde se nachází jeho hlavní provozovna, tj. kde má poskytovatel služeb finančních informací své ústředí nebo sídlo, v němž jsou vykonávány hlavní funkce a provozní kontrola. Pokud jde o poskytovatele služeb finančních informací, kteří nemají provozovnu v Unii, ale vyžadují přístup k údajům v Unii, a proto spadají do oblasti působnosti tohoto nařízení, měl by pro ně být příslušný členský stát, v němž tito poskytovatelé služeb finančních informací jmenovali svého právního zástupce, s ohledem na funkci právních zástupců podle tohoto nařízení.

(35)Pro usnadnění transparentnosti, pokud jde o přístup k údajům a poskytovatele služeb finančních informací, by měl EBA vytvořit rejstřík poskytovatelů služeb finančních informací povolených podle tohoto nařízení, jakož i systémů sdílení finančních údajů dohodnutých mezi držiteli a uživateli údajů.

(36)Příslušným orgánům by měly být svěřeny pravomoci nezbytné pro dohled nad tím, jak účastníci trhu plní povinnost držitelů údajů poskytovat přístup k zákaznickým údajům stanovenou tímto nařízením, jakož i pro dohled nad poskytovateli služeb finančních informací. Mezi důležité a nezbytné pravomoci při odhalování a prokazování případného porušení tohoto nařízení patří přístup k příslušným záznamům o datovém provozu, které má k dispozici telekomunikační operátor, a dále i možnost zabavit příslušné dokumenty přímo na místě. Pokud jsou relevantní pro vyšetřování a umožňuje to vnitrostátní právo, měly by mít příslušné orgány pravomoc tyto záznamy vyžadovat. Příslušné orgány by měly při plnění svých úkolů a výkonu svých pravomocí v souladu s nařízením (EU) 2016/679 spolupracovat také s dozorovými úřady zřízenými podle uvedeného nařízení. 

(37)Vzhledem k tomu, že finanční instituce a poskytovatelé služeb finančních informací mohou být usazeni v různých členských státech a dohlížet na ně mohou různé příslušné orgány, měla by při uplatňování tohoto nařízení probíhat mezi relevantními příslušnými orgány úzká spolupráce, a to prostřednictvím vzájemné výměny informací a poskytování součinnosti v rámci příslušných činností dohledu.

(38)V zájmu zajištění rovných podmínek v oblasti sankčních pravomocí by členské státy měly být povinny stanovit pro případ porušení ustanovení tohoto nařízení účinné, přiměřené a odrazující správní sankce, včetně penále, a správní opatření. Tyto správní sankce, penále a správní opatření by měly splňovat určité minimální požadavky, včetně minimálních pravomocí, které by měly být svěřeny příslušným orgánům, aby je mohly ukládat, kritérií, která by měly příslušné orgány při jejich ukládání zohlednit, a povinnosti zveřejňovat a podávat zprávy. Členské státy by měly stanovit zvláštní pravidla a účinné mechanismy pro uplatňování penále.

(39)Kromě správních sankcí a správních opatření by příslušné orgány měly být oprávněny ukládat penále poskytovatelům služeb finančních informací a těm členům jejich vedoucího orgánu, u nichž je zjištěna odpovědnost za trvající porušení nebo kteří jsou povinni splnit příkaz vyšetřujícího příslušného orgánu. Vzhledem k tomu, že účelem penále je přimět fyzické nebo právnické osoby, aby splnily příkaz příslušného orgánu učinit určitý úkon, například aby souhlasily s výslechem nebo poskytly informace, nebo aby ukončily trvající porušení, nemělo by uplatňování penále bránit příslušným orgánům v ukládání následných správních sankcí za stejné porušení. Nestanoví-li členské státy jinak, penále by se mělo vypočítávat jako denní částka.

(40)Bez ohledu na jejich označení ve vnitrostátním právu se v mnoha členských státech vyskytují formy zrychleného vykonávacího řízení nebo dohody o urovnání, které se využívají jako alternativa k formálnímu řízení vedoucímu k uložení sankcí. Zrychlené vykonávací řízení se obvykle zahajuje po ukončení šetření a po přijetí rozhodnutí o zahájení řízení vedoucího k uložení sankcí. Zrychlené vykonávací řízení se vyznačuje tím, že je kratší než formální řízení, a to díky zjednodušeným procesním úkonům. V rámci dohody o urovnání se strany, které jsou předmětem šetření ze strany příslušného orgánu, obvykle dohodnou na předčasném ukončení tohoto šetření, a to ve většině případů přijetím odpovědnosti za protiprávní jednání. 

(41)Ačkoli se vzhledem k různým právním přístupům uplatňovaným na vnitrostátní úrovni nezdá vhodné usilovat o harmonizaci těchto zrychlených vykonávacích řízení, které zavedlo mnoho členských států, na úrovni Unie, je třeba uznat, že tyto metody umožňují příslušným orgánům, které je mohou použít, řešit případy porušení za určitých okolností rychleji, méně nákladně a celkově účinně, a proto by měly být podporovány. Členské státy by však neměly být povinny zavést tyto metody vymáhání do svého právního rámce a ani by příslušné orgány neměly být nuceny je používat, pokud to nepovažují za vhodné. Pokud se členské státy rozhodnou zmocnit své příslušné orgány k použití těchto metod vymáhání, měly by toto rozhodnutí a příslušná opatření upravující tyto pravomoci oznámit Komisi.

(42)Členské státy by měly příslušným vnitrostátním orgánům udělit pravomoc ukládat poskytovatelům služeb finančních informací a dalším fyzickým nebo právnickým osobám takové správní sankce a správní opatření, aby v případě porušení předpisů zjednaly nápravu. Rozsah sankcí a opatření by měl být dostatečně široký, aby umožnil členským státům a příslušným orgánům zohlednit rozdíly mezi poskytovateli služeb finančních informací, pokud jde o jejich velikost, vlastnosti a povahu jejich činnosti.

(43)Zveřejnění správní sankce nebo opatření za porušení ustanovení tohoto nařízení může mít silný odrazující účinek proti opakování takového porušení. Zveřejněním sankce jsou rovněž před navázáním obchodního vztahu informovány ostatní subjekty o rizicích spojených s poskytovatelem služeb finančních informací, na kterého byla sankce uvalena, a zveřejnění také pomáhá příslušným orgánům v jiných členských státech v souvislosti s riziky spojenými s poskytovatelem služeb finančních informací, pokud působí v jejich členských státech na přeshraničním základě. Z těchto důvodů by mělo být povoleno zveřejňování rozhodnutí o správních sankcích a správních opatřeních, pokud se týkají právnických osob. Při rozhodování, zda zveřejnit správní sankci nebo správní opatření, by příslušné orgány měly zohlednit závažnost protiprávního jednání a odrazující účinek, který by zveřejnění mohlo mít. Každé takové zveřejnění, které se týká fyzických osob, však může nepřiměřeným způsobem zasáhnout do jejich práv vyplývajících z Listiny základních práv a platných právních předpisů Unie v oblasti ochrany údajů. Zveřejnění by mělo probíhat anonymním způsobem, pokud příslušný orgán nepovažuje za nezbytné zveřejnit rozhodnutí obsahující osobní údaje pro účinné prosazování tohoto nařízení, a to i v případě veřejných oznámení nebo dočasných zákazů. V takových případech by měl příslušný orgán své rozhodnutí odůvodnit.

(44)Pro účely tohoto nařízení je nezbytné, aby si příslušné orgány členských států vzájemně vyměňovaly informace a poskytovaly součinnost. Spolupráce mezi orgány by proto neměla podléhat nepřiměřeným omezujícím podmínkám.

(45)Přeshraniční přístup poskytovatelů služeb informací k údajům by měl být umožněn v souladu s volným pohybem služeb nebo svobodou usazování. Poskytovatel služeb finančních informací, který chce mít přístup k údajům, jimiž disponuje držitel údajů v jiném členském státě, by měl svůj záměr oznámit příslušnému orgánu a poskytnout informace o typu údajů, k nimž chce získat přístup, o systému sdílení finančních údajů, jehož je členem, a o členských státech, v nichž hodlá přístup k údajům získat.

(46)Cílů tohoto nařízení, totiž poskytnutí účinné kontroly nad údaji zákazníkovi a řešení nedostatečných práv na přístup k zákaznickým údajům, jimiž disponují držitelé údajů, nemůže být vzhledem k jejich přeshraniční povaze dosaženo uspokojivě členskými státy, ale spíše jich může být lépe dosaženo na úrovni Unie, a to vytvořením rámce, jehož prostřednictvím by se mohl rozvinout větší přeshraniční trh s přístupem k údajům. Unie proto může přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení těchto cílů.

(47)Návrh aktu o datech [nařízení (EU) XX] stanoví horizontální rámec pro přístup k datům a jejich používání v celé Unii. Toto nařízení doplňuje a upřesňuje pravidla stanovená v návrhu aktu o datech [nařízení (EU) XX]. Uvedená pravidla se proto vztahují i na sdílení údajů, které upravuje toto nařízení. To zahrnuje ustanovení o podmínkách, za nichž držitelé údajů zpřístupňují údaje příjemcům údajů, o náhradách, orgánech pro řešení sporů, které usnadňují dohody mezi stranami sdílejícími údaje, technických ochranných opatřeních, mezinárodním přístupu k údajům a jejich předávání a o povoleném používání nebo zveřejňování údajů.

(48)Při zpracování osobních údajů platí nařízení (EU) 2016/679. Stanoví práva subjektu údajů, včetně práva na přístup k osobním údajům a práva na jejich přenos. Tímto nařízením nejsou dotčena práva subjektu údajů podle nařízení (EU) 2016/679, včetně práva na přístup a práva na přenositelnost údajů. Toto nařízení zakládá právní povinnost sdílet osobní a neosobní údaje o zákaznících na jejich žádost a nařizuje technickou proveditelnost přístupu a sdílení pro všechny typy údajů v oblasti působnosti tohoto nařízení. Udělením povolení ze strany zákazníka nejsou dotčeny povinnosti uživatelů údajů podle článku 6 nařízení (EU) 2016/679. Osobní údaje, které jsou zpřístupněny a sdíleny s uživatelem údajů, by měly být zpracovávány pouze pro služby poskytované uživatelem údajů, pokud existuje platný právní základ podle čl. 6 odst. 1 nařízení (EU) 2016/679 a případně pokud jsou splněny požadavky článku 9 uvedeného nařízení o zpracování zvláštních kategorií údajů.

(49)Toto nařízení vychází z ustanovení o „otevřeném bankovnictví“ podle směrnice (EU) 2015/2366 a doplňuje je a je plně v souladu s nařízením Evropského parlamentu a Rady (EU) …/202.. o platebních službách a o změně nařízení (EU) č. 1093/2010 19 a směrnicí Evropského parlamentu a Rady (EU) …/202.. o platebních službách a službách elektronických peněz, o změně směrnic 2013/36/EU a 98/26/ES a o zrušení směrnic (EU) 2015/2355 a 2009/110/ES 20 . Tato iniciativa doplňuje již existující ustanovení o „otevřeném bankovnictví“ podle směrnice (EU) 2015/2366, která upravují přístup k údajům o platebních účtech vedených poskytovateli platebních služeb, kteří vedou účet. Vychází z poznatků o „otevřeném bankovnictví“, které byly zjištěny v rámci přezkumu směrnice (EU) 2015/2366 21 . Toto nařízení zajišťuje soudržnost mezi přístupem k finančním údajům a otevřeným bankovnictvím v případech, kdy jsou nutná další opatření, a to včetně přehledů o povoleních, právních povinností poskytovat přímý přístup k zákaznickým údajům a požadavku, aby držitelé údajů vytvořili rozhraní.

(50)Tímto nařízením nejsou dotčena ustanovení týkající se přístupu k údajům a sdílení údajů v právních předpisech Unie v oblasti finančních služeb, a to zejména: i) ustanovení o přístupu k referenčním hodnotám a režimu přístupu k derivátům obchodovaným v obchodním systému mezi obchodními systémy a ústředními protistranami obsažená v nařízení Evropského parlamentu a Rady (EU) č. 600/2014 22 ; ii) pravidla pro přístup věřitelů do databáze podle směrnice Evropského parlamentu a Rady 2014/17/EU 23 ; iii) pravidla pro přístup k registrům sekuritizací podle nařízení Evropského parlamentu a Rady (EU) 2017/2402 24 ; iv) pravidla týkající se práva požadovat od pojistitele potvrzení o škodním průběhu a přístupu do centrálních evidencí k základním údajům nezbytným pro likvidaci škod podle směrnice Evropského parlamentu a Rady 2009/103/ES 25 ; v) právo na přístup ke všem potřebným osobním údajům a jejich předání novému poskytovateli panevropského osobního penzijního produktu podle nařízení Evropského parlamentu a Rady (EU) 2019/1238 26 ; a vi) ustanovení o outsourcingu a spoléhání se na třetí strany podle směrnice Evropského parlamentu a Rady (EU) 2018/843 27 . Tímto nařízením dále není dotčeno uplatňování unijních nebo vnitrostátních pravidel hospodářské soutěže podle Smlouvy o fungování Evropské unie a jakýchkoli sekundárních aktů Unie. Tímto nařízením rovněž není dotčen přístup k údajům, jejich sdílení a používání bez využití povinností přístupu k údajům stanovených tímto nařízením na čistě smluvním základě.

(51)Vzhledem k tomu, že sdílení údajů týkajících se platebních účtů je upraveno jiným režimem, stanoveným ve směrnici (EU) 2015/2366, považuje se za vhodné zahrnout do tohoto nařízení ustanovení o přezkumu, aby Komise přezkoumala, zda zavedení pravidel podle tohoto nařízení ovlivňuje způsob, jakým poskytovatelé služeb informování o účtu přistupují k údajům, a zda by bylo vhodné zjednodušit pravidla platná pro poskytovatele služeb informování o účtu, pokud jde o sdílení údajů.

(52)Vzhledem k tomu, že EBA, EIOPA a ESMA by měly být pověřeny využíváním svých pravomocí vůči poskytovatelům služeb finančních informací, je nezbytné zajistit, aby byly schopny vykonávat všechny své pravomoci a úkoly v oblasti ochrany veřejných zájmů přispíváním ke krátkodobé, střednědobé a dlouhodobé stabilitě a účinnosti finančního systému v zájmu hospodářství Unie, jejích občanů a podniků, a dále také zajistit, aby se na poskytovatele služeb finančních informací vztahovala nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 28 , (EU) č. 1094/2010 29 a (EU) č. 1095/2010 30 . Uvedená nařízení by proto měla být odpovídajícím způsobem změněna.

(53)Datum použitelnosti tohoto nařízení by mělo být odloženo o XX měsíců, aby mohly být přijaty regulační technické normy a akty v přenesené pravomoci, které jsou potřebné pro upřesnění některých prvků tohoto nařízení.

(54)Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2018/1725 31 a dne [……….] vydal své stanovisko,

PŘIJALY TOTO NAŘÍZENÍ:

HLAVA I
Předmět, oblast působnosti a definice

Článek 1
Předmět

Toto nařízení stanoví pravidla pro přístup k určitým kategoriím zákaznických údajů v oblasti finančních služeb a jejich sdílení a používání.

Toto nařízení rovněž stanoví pravidla týkající se povolování a činnosti poskytovatelů služeb finančních informací.

Článek 2
Působnost

1.Toto nařízení se vztahuje na následující kategorie zákaznických údajů:

a)smlouvy o hypotečním úvěru, úvěry a účty, s výjimkou platebních účtů ve smyslu směrnice o platebních službách (EU) 2015/2366, včetně údajů o zůstatku, podmínkách a transakcích;

b)úspory, investice do finančních nástrojů, pojistné produkty s investiční složkou, kryptoaktiva, nemovitosti a další související finanční aktiva, jakož i ekonomické výhody plynoucí z těchto aktiv; včetně údajů shromážděných pro účely posouzení vhodnosti a přiměřenosti v souladu s článkem 25 směrnice Evropského parlamentu a Rady 2014/65/EU 32 ;

c)důchodová práva v plánech zaměstnaneckého penzijního pojištění v souladu se směrnicí 2009/138/ES a směrnicí Evropského parlamentu a Rady (EU) 2016/2341 33 ;

d)důchodová práva na poskytování panevropských osobních penzijních produktů v souladu s nařízením (EU) 2019/1238;

e)produkty neživotního pojištění v souladu se směrnicí 2009/138/ES, s výjimkou produktů nemocenského a zdravotního pojištění; včetně údajů shromážděných pro účely posouzení požadavků a potřeb v souladu s článkem 20 směrnice Evropského parlamentu a Rady (EU) 2016/97 34 a údajů shromážděných pro účely posouzení vhodnosti a přiměřenosti v souladu s článkem 30 směrnice (EU) 2016/97.

f)údaje, které jsou součástí posouzení úvěruschopnosti podniku a které jsou shromažďovány v rámci procesu žádosti o úvěr nebo žádosti o úvěrové hodnocení.

2.Toto nařízení se vztahuje na následující subjekty, pokud vystupují jako držitelé nebo uživatelé údajů:

a)úvěrové instituce;

b)platební instituce, včetně poskytovatelů služeb informování o účtu a platebních institucí vyňatých podle směrnice (EU) 2015/2366;

c)instituce elektronických peněz, včetně institucí elektronických peněz vyňatých podle směrnice Evropského parlamentu a Rady 2009/110/ES 35 ;

d)investiční podniky;

e)poskytovatelé služeb souvisejících s kryptoaktivy;

f)vydavatelé tokenů vázaných na aktiva;

g)správci alternativních investičních fondů;

h)správcovské společnosti subjektů kolektivního investování do převoditelných cenných papírů;

i)pojišťovny a zajišťovny;

j)zprostředkovatelé pojištění a zprostředkovatelé doplňkového pojištění;

k)instituce zaměstnaneckého penzijního pojištění;

l)ratingové agentury;

m)poskytovatelé služeb skupinového financování;

n)poskytovatelé PEPP;

o)poskytovatelé služeb finančních informací.

3.Toto nařízení se nevztahuje na subjekty uvedené v čl. 2 odst. 3 písm. a) až e) nařízení (EU) 2022/2554.

4.Tímto nařízením není dotčeno uplatňování jiných právních aktů Unie týkajících se přístupu k zákaznickým údajům uvedených v odstavci 1 a jejich sdílení, s výjimkou případů výslovně stanovených tímto nařízením.

Článek 3
Definice

Pro účely tohoto nařízení se rozumí:

1)„spotřebitelem“ fyzická osoba, jež jedná za jiným účelem než za účelem své obchodní, podnikatelské nebo profesní činnosti;

2)„zákazníkem“ fyzická nebo právnická osoba, která využívá finanční produkty a služby;

3)„zákaznickými údaji“ osobní a neosobní údaje, které finanční instituce shromažďuje, uchovává a jinak zpracovává v rámci běžného obchodního styku se zákazníky, což zahrnuje jak údaje poskytnuté zákazníkem, tak údaje vzniklé v důsledku interakce zákazníka s finanční institucí;

4)„příslušným orgánem“ orgán určený každým členským státem v souladu s článkem 17 a v případě finančních institucí kterýkoli z příslušných orgánů uvedených v článku 46 nařízení (EU) 2022/2554;

5)„držitelem údajů“ finanční instituce, která není poskytovatelem služeb informování o účtu a která shromažďuje, uchovává a jinak zpracovává údaje uvedené v čl. 2 odst. 1;

6)„uživatelem údajů“ kterýkoli ze subjektů uvedených v čl. 2 odst. 2, který má na základě povolení zákazníka oprávněný přístup k zákaznickým údajům uvedeným v čl. 2 odst. 1;

7)„poskytovatelem služeb finančních informací“ uživatel údajů, který je podle článku 14 oprávněn přistupovat k zákaznickým údajům uvedeným v čl. 2 odst. 1 za účelem poskytování služeb finančních informací;

8)„finanční institucí“ subjekty uvedené v čl. 2 odst. 2 písm. a) až n), které jsou pro účely tohoto nařízení buď držiteli údajů, nebo uživateli údajů, nebo obojím;

9)„investičním účtem“ jakýkoli rejstřík spravovaný investičním podnikem, úvěrovou institucí nebo pojišťovacím makléřem, který uvádí údaje o aktuálním stavu finančních nástrojů nebo pojistných produktů s investiční složkou jejich klienta, včetně minulých transakcí a dalších údajů týkajících se událostí v životním cyklu daného nástroje;

10)„neosobními údaji“ údaje jiné než osobní údaje ve smyslu čl. 4 bodu 1 nařízení (EU) 2016/679;

11)„osobními údaji“ osobní údaje ve smyslu čl. 4 bodu 1 nařízení 2016/679;

12)„úvěrovou institucí“ úvěrová instituce ve smyslu čl. 4 odst. 1 bodu 1 nařízení Evropského parlamentu a Rady (EU) č. 575/2013 36 ;

13)„investičním podnikem“ investiční podnik ve smyslu čl. 4 odst. 1 bodu 1 směrnice 2014/65/EU;

14)„poskytovatelem služeb souvisejících s kryptoaktivy“ poskytovatel služeb souvisejících s kryptoaktivy ve smyslu čl. 3 odst. 1 bodu 15 nařízení Evropského parlamentu a Rady (EU) 2023/1114 37 ;

15)„vydavatelem tokenů vázaných na aktiva“ vydavatel tokenů vázaných na aktiva povolený podle článku 21 nařízení (EU) 2023/1114;

16)„platební institucí“ platební instituce ve smyslu čl. 4 bodu 4 směrnice (EU) 2015/2366;

17)„poskytovatelem služeb informování o účtu“ poskytovatel služeb informování o účtu podle čl. 33 odst. 1 směrnice (EU) 2015/2366;

18)„institucí elektronických peněz“ instituce elektronických peněz ve smyslu čl. 2 bodu 1 směrnice 2009/110/ES;

19)„institucí elektronických peněz vyňatou podle směrnice 2009/110/ES“ instituce elektronických peněz, na niž se podle čl. 9 odst. 1 směrnice 2009/110/ES vztahuje výjimka;

20)„správcem alternativních investičních fondů“ správce alternativních investičních fondů ve smyslu čl. 4 odst. 1 písm. b) směrnice Evropského parlamentu a Rady 2011/61/EU 38 ;

21)„správcovskou společností subjektů kolektivního investování do převoditelných cenných papírů“ správcovská společnost ve smyslu čl. 2 odst. 1 písm. b) směrnice Evropského parlamentu a Rady 2009/65/ES 39 ;

22)„pojišťovnou“ pojišťovna ve smyslu čl. 13 bodu 1 směrnice 2009/138/ES;

23)„zajišťovnou“ zajišťovna ve smyslu čl. 13 bodu 4 směrnice 2009/138/ES;

24)„zprostředkovatelem pojištění“ zprostředkovatel pojištění ve smyslu čl. 2 odst. 1 bodu 3 směrnice Evropského parlamentu a Rady (EU) 2016/97 40 ;

25)„zprostředkovatelem doplňkového pojištění“ zprostředkovatel doplňkového pojištění ve smyslu čl. 2 odst. 1 bodu 4 směrnice (EU) 2016/97;

26)„institucí zaměstnaneckého penzijního pojištění“ instituce zaměstnaneckého penzijního pojištění ve smyslu čl. 6 bodu 1 směrnice (EU) 2016/2341;

27)„ratingovou agenturou“ ratingová agentura ve smyslu čl. 3 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (ES) č. 1060/2009 41 ;

28)„poskytovatelem PEPP“ poskytovatel PEPP ve smyslu čl. 2 bodu 15 nařízení Evropského parlamentu a Rady (EU) 2019/1238;

29)„právním zástupcem“ fyzická osoba, která má bydliště v Unii, nebo právnická osoba, která má sídlo v Unii, a která na základě výslovného pověření poskytovatelem služeb finančních informací usazeným ve třetí zemi jedná jeho jménem s orgány, klienty, subjekty a protistranami poskytovatele služeb finančních informací v Unii, pokud jde o povinnosti poskytovatele služeb finančních informací vyplývající z tohoto nařízení.

HLAVA II
Přístup k údajům

Článek 4 
Povinnost zpřístupnit údaje zákazníkovi

Na žádost zákazníka podanou elektronickými prostředky zpřístupní držitel údajů zákazníkovi bez zbytečného odkladu, bezplatně, průběžně a v reálném čase údaje uvedené v čl. 2 odst. 1.

Článek 5
Povinnosti držitele údajů zpřístupnit zákaznické údaje uživateli údajů

1.Na žádost zákazníka podanou elektronickými prostředky zpřístupní držitel údajů uživateli údajů zákaznické údaje uvedené v čl. 2 odst. 1 pro účely, pro které zákazník udělil uživateli údajů povolení. Zákaznické údaje jsou uživateli údajů zpřístupněny bez zbytečného odkladu, nepřetržitě a v reálném čase.

2.Držitel údajů může od uživatele údajů požadovat náhradu za zpřístupnění zákaznických údajů podle odstavce 1 pouze tehdy, pokud jsou zákaznické údaje zpřístupněny uživateli údajů v souladu s pravidly a podmínkami systému sdílení finančních údajů, jak je stanoveno v článcích 9 a 10, nebo pokud jsou zpřístupněny podle článku 11.

3.Při zpřístupňování údajů podle odstavce 1 držitel údajů:

a)zpřístupní zákaznické údaje uživateli údajů ve formátu založeném na obecně uznávaných standardech a přinejmenším ve stejné kvalitě, jakou má sám k dispozici;

b)bezpečně komunikuje s uživatelem údajů zajištěním odpovídající úrovně zabezpečení při zpracování a přenosu zákaznických údajů;

c)požaduje, aby uživatelé údajů prokázali, že získali povolení zákazníka k přístupu k zákaznickým údajům, které má držitel údajů k dispozici;

d)poskytne zákazníkovi přehled o povoleních ke sledování a správě povolení v souladu s článkem 8;

e)při přístupu k zákaznickým údajům v souladu s čl. 5 odst. 1 dodržuje důvěrnost obchodních tajemství a práv duševního vlastnictví.

Článek 6
Povinnosti uživatele údajů, který obdrží zákaznické údaje

1.Uživatel údajů je způsobilý k přístupu k zákaznickým údajům podle čl. 5 odst. 1 pouze tehdy, pokud tento uživatel údajů podléhá předchozímu povolení příslušného orgánu jako finanční instituce nebo je poskytovatelem služeb finančních informací podle článku 14.

2.Uživatel údajů má přístup k zákaznickým údajům zpřístupněným podle čl. 5 odst. 1 pouze pro účely a za podmínek, pro které mu zákazník udělil povolení. Uživatel údajů vymaže zákaznické údaje, pokud již nejsou potřebné k účelům, pro které mu zákazník udělil povolení.

3.Zákazník může povolení, které udělil uživateli údajů, odejmout. Pokud je zpracování údajů nezbytné pro plnění smlouvy, může zákazník povolení, které udělil ke zpřístupnění zákaznických údajů uživateli údajů, odejmout v souladu se smluvními závazky, které se na něj vztahují.

4.K zajištění účinné správy zákaznických údajů uživatel údajů:

a)nezpracovává žádné zákaznické údaje pro jiné účely než pro provedení služby, kterou si zákazník výslovně vyžádal;

b)při přístupu k zákaznickým údajům v souladu s čl. 5 odst. 1 dodržuje důvěrnost obchodních tajemství a práva duševního vlastnictví;

c)zavede vhodná technická, právní a organizační opatření, aby se zabránilo předávání neosobních zákaznických údajů nebo přístupu k nim, pokud jsou takové předávání nebo takový přístup podle práva Unie nebo vnitrostátního práva členského státu protiprávní;

d)přijme nezbytná opatření k zajištění odpovídající úrovně zabezpečení pro ukládání, zpracování a přenosu neosobních zákaznických údajů;

e)nezpracovává zákaznické údaje pro reklamní účely, s výjimkou přímého marketingu v souladu s právem Unie a vnitrostátním právem;

f)pokud je uživatel údajů součástí skupiny společností, k zákaznickým údajům uvedeným v čl. 2 odst. 1 má přístup a zpracovává je pouze ten subjekt skupiny, který vystupuje jako uživatel údajů.

HLAVA III
Zodpovědné využívání údajů a přehledy o povoleních

Článek 7
Rozsah použití údajů

1.Zpracování zákaznických údajů uvedených v čl. 2 odst. 1 tohoto nařízení, které představují osobní údaje, je omezeno na to, co je nezbytné vzhledem k účelům, pro které jsou údaje zpracovávány.

2.V souladu s článkem 16 nařízení (EU) č. 1093/2010 vypracuje Evropský orgán pro bankovnictví (EBA) obecné pokyny k provádění odstavce 1 tohoto článku pro produkty a služby související s úvěrovým ohodnocením spotřebitele.

3.V souladu s článkem 16 nařízení (EU) č. 1094/2010 vypracuje Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) obecné pokyny k provádění odstavce 1 tohoto článku pro produkty a služby související s posuzováním rizik a stanovováním cen u spotřebitele v případě produktů životního, zdravotního a nemocenského pojištění.

4.Při přípravě obecných pokynů uvedených v odstavcích 2 a 3 tohoto článku EIOPA a EBA úzce spolupracují s Evropským sborem pro ochranu osobních údajů zřízeným nařízením (EU) 2016/679.

Článek 8
Přehledy o povoleních k přístupu k finančním údajům

1.Držitel údajů poskytne zákazníkovi přehled o povoleních, aby mohl zákazník sledovat a spravovat povolení, která udělil uživatelům údajů.

2.Přehled o povoleních:

a)poskytuje zákazníkovi přehled o všech aktuálních povoleních udělených uživatelům údajů, včetně těchto informací:

i)jména nebo názvu uživatele údajů, kterému byl přístup udělen;

ii)zákaznického účtu, finančního produktu nebo finanční služby, ke kterým byl přístup udělen;

iii)účelu povolení;

iv)kategorií sdílených údajů;

v)doby platnosti povolení;

b)umožňuje zákazníkovi odejmout povolení udělené uživateli údajů;

c)umožňuje zákazníkovi obnovit všechna odejmutá povolení;

d)po dobu dvou let obsahuje záznamy o povoleních, která byla odňata nebo jejichž platnost vypršela.

3.Držitel údajů zajistí, aby bylo možné přehled o povoleních v jeho uživatelském rozhraní snadno nalézt a aby informace v tomto přehledu zobrazené byly jasné, přesné a pro zákazníka snadno srozumitelné.

4.Držitel údajů a uživatel údajů, pro kterého zákazník udělil povolení, spolupracují na zpřístupnění informací zákazníkovi prostřednictvím přehledu v reálném čase. Pro splnění povinností uvedených v odst. 2 písm. a), b), c) a d) tohoto článku:

a)držitel údajů informuje uživatele údajů o změnách povolení týkajících se tohoto uživatele údajů, které provedl zákazník prostřednictvím přehledu;

b)uživatel údajů informuje držitele údajů o novém povolení uděleném zákazníkem, které se týká zákaznických údajů, jimiž tento držitel údajů disponuje, včetně:

i)účelu povolení uděleného zákazníkem;

ii)doby platnosti povolení;

iii)kategorií dotčených údajů.

HLAVA IV
Systémy sdílení finančních údajů

Článek 9
Členství v systému sdílení finančních údajů

1.Do 18 měsíců od vstupu tohoto nařízení v platnost se držitelé a uživatelé údajů stanou členy systému sdílení finančních údajů, který upravuje přístup k zákaznickým údajům v souladu s článkem 10.

2.Držitelé a uživatelé údajů se mohou stát členy více než jednoho systému sdílení finančních údajů.

Jakékoli sdílení údajů se provádí v souladu s pravidly a podmínkami systému sdílení finančních údajů, jehož jsou uživatel i držitel údajů členy.

Článek 10
Správa a obsah systému sdílení finančních údajů

1.Systém sdílení finančních údajů zahrnuje tyto prvky:

a)mezi členy systému sdílení finančních údajů patří:

i)držitelé údajů a uživatelé údajů, kteří představují významnou část trhu s daným produktem nebo službou, přičemž každá strana má spravedlivé a rovné zastoupení v rámci interních rozhodovacích procesů systému a stejnou váhu při případném hlasování; pokud je člen zároveň držitelem i uživatelem údajů, započítává se jeho členství rovnoměrně na obě strany;

ii)zákaznické organizace a sdružení spotřebitelů;

b)pravidla platná pro členy systému sdílení finančních údajů se vztahují na všechny členy stejně a mezi členy nesmí docházet k neodůvodněnému zvýhodňování nebo rozlišování;

c)pravidla členství v systému sdílení finančních údajů zajistí, aby byl systém otevřen účasti jakéhokoli držitele a uživatele údajů na základě objektivních kritérií a aby se všemi členy bylo zacházeno spravedlivě a stejně;

d)systém sdílení finančních údajů neukládá žádné jiné kontroly nebo dodatečné podmínky pro sdílení údajů než ty, které jsou stanoveny v tomto nařízení nebo v jiných platných právních předpisech Unie;

e)systém sdílení finančních údajů obsahuje mechanismus, jehož prostřednictvím lze jeho pravidla měnit na základě analýzy dopadů a souhlasu většiny každého společenství držitelů a uživatelů údajů;

f)systém sdílení finančních údajů zahrnuje pravidla transparentnosti a v případě potřeby podávání zpráv jeho členům;

g)systém sdílení finančních údajů zahrnuje společné standardy pro údaje a technická rozhraní, která zákazníkům umožňují požádat o sdílení údajů v souladu s čl. 5 odst. 1. Společné standardy pro údaje a technická rozhraní, na jejichž používání se členové systému dohodnou, mohou vypracovat členové systému nebo jiné strany či subjekty;

h)systém sdílení finančních údajů stanoví model pro určení maximální náhrady, kterou je držitel údajů oprávněn účtovat za zpřístupnění údajů prostřednictvím vhodného technického rozhraní pro sdílení údajů s uživateli údajů v souladu se společnými standardy vypracovanými podle písmene g). Tento model je založen na následujících zásadách:

i)měl by být omezen na přiměřenou náhradu, která přímo souvisí se zpřístupněním údajů uživateli údajů a kterou lze přičíst žádosti;

ii)měl by být založen na objektivní, transparentní a nediskriminační metodice odsouhlasené členy systému;

iii)měl by být založen na komplexních tržních údajích shromážděných od uživatelů a držitelů údajů o každém ze zvažovaných nákladových prvků, které budou jasně určeny v souladu s modelem;

iv)měl by být pravidelně přezkoumáván a sledován s ohledem na technologický pokrok;

v)měl by být navržen tak, aby se náhrada blížila nejnižším úrovním převládajícím na trhu; a

vi)měl by být omezen na žádosti o zákaznické údaje podle čl. 2 odst. 1 nebo být úměrný souvisejícím souborům údajů v oblasti působnosti uvedeného ustanovení v případě kombinovaných žádostí o údaje.

Pokud je uživatelem údajů mikropodnik či malý nebo střední podnik ve smyslu článku 2 přílohy doporučení Komise 2003/361/ES ze dne 6. května 2003 42 , nesmí dohodnutá náhrada překročit náklady, které přímo souvisejí se zpřístupněním údajů příjemci údajů a které lze přičíst žádosti;

i)systém sdílení finančních údajů stanoví smluvní odpovědnost svých členů, a to i v případě, že jsou údaje nepřesné nebo nedostatečné kvality, nebo je ohroženo zabezpečení údajů nebo jsou údaje zneužity. V případě osobních údajů musí být ustanovení o odpovědnosti v rámci systému sdílení finančních údajů v souladu s ustanoveními nařízení (EU) 2016/679;

j)systém sdílení finančních údajů zajistí nezávislý, nestranný, transparentní a účinný způsob řešení sporů mezi členy systému a problémů týkajících se členství v souladu s požadavky na kvalitu stanovenými směrnicí Evropského parlamentu a Rady 2013/11/EU 43 .

2.Členství v systémech sdílení finančních údajů zůstává kdykoli otevřeno novým členům za stejných podmínek, jaké platí pro stávající členy.

3.Držitel údajů informuje příslušný orgán členského státu, v němž je usazen, o systémech sdílení finančních údajů, jichž je součástí, a to do jednoho měsíce od vstupu do systému.

4.Systém sdílení finančních údajů zřízený v souladu s tímto článkem se oznámí příslušnému orgánu usazení tří nejvýznamnějších držitelů údajů, kteří jsou členy tohoto systému v době jeho zřízení. Pokud jsou tři nejvýznamnější držitelé údajů usazeni v různých členských státech nebo pokud je v členském státě usazení tří nejvýznamnějších držitelů údajů více než jeden příslušný orgán, oznámí se systém všem těmto orgánům; ty se mezi sebou dohodnou, který orgán provede posouzení uvedené v odstavci 6.

5.Oznámení podle odstavce 4 se provede do jednoho měsíce od zřízení systému sdílení finančních údajů a obsahuje způsoby jeho řízení a charakteristiky podle odstavce 1.

6.Do jednoho měsíce od obdržení oznámení podle odstavce 4 příslušný orgán posoudí, zda jsou způsoby řízení a charakteristiky systému sdílení finančních údajů v souladu s odstavcem 1. Při posuzování souladu systému sdílení finančních údajů s odstavcem 1 může příslušný orgán konzultovat jiné příslušné orgány.

Po dokončení posouzení příslušný orgán informuje EBA o oznámeném systému sdílení finančních údajů, který splňuje ustanovení odstavce 1. Systém oznámený orgánu EBA v souladu s tímto odstavcem se uznává ve všech členských státech pro účely přístupu k údajům podle čl. 5 odst. 1 a nevyžaduje další oznámení v žádném jiném členském státě.

Článek 11
Zmocnění k aktu v přenesené pravomoci v případě, že neexistuje systém sdílení finančních údajů

V případě, že pro jednu nebo více kategorií zákaznických údajů uvedených v čl. 2 odst. 1 není zřízen systém sdílení finančních údajů a nelze realisticky předpokládat, že by byl takový systém v přiměřené době zřízen, je Komise zmocněna přijmout v souladu s článkem 30 akt v přenesené pravomoci, kterým toto nařízení doplní stanovením následujících podmínek, za nichž držitel údajů zpřístupní zákaznické údaje podle čl. 5 odst. 1 pro danou kategorii údajů:

a)společné standardy pro údaje a případně technická rozhraní, která zákazníkům umožní požádat o sdílení údajů podle čl. 5 odst. 1;

b)model pro stanovení maximální náhrady, kterou je držitel údajů oprávněn účtovat za zpřístupnění údajů;

c)odpovědnost subjektů zapojených do zpřístupňování zákaznických údajů.

HLAVA V
Způsobilost pro přístup k údajům a organizace

Článek 12
Žádost o povolení poskytovatelů služeb finančních informací 

1.Poskytovatel služeb finančních informací je způsobilý k přístupu k zákaznickým údajům podle čl. 5 odst. 1, pokud obdrží povolení od příslušného orgánu členského státu.

2.Poskytovatel služeb finančních informací podá žádost o povolení příslušnému orgánu členského státu, v němž má sídlo, a přiloží k ní:

a) plán činností uvádějící zejména druh plánovaného přístupu k údajům;

b)obchodní plán včetně kalkulace předpokládaného rozpočtu na první tři účetní období, který prokazuje, že žadatel je schopen používat vhodné a přiměřené systémy, zdroje a postupy nutné pro řádnou činnost;

c)popis mechanismů pro správu a řízení a vnitřních kontrolních mechanismů žadatele, včetně správních postupů, postupů řízení rizik a účetních postupů, jakož i opatření pro využívání služeb v oblasti informačních a komunikačních technologií (IKT) v souladu s nařízením Evropského parlamentu a Rady (EU) 2022/2554, který prokazuje, že tyto mechanismy pro správu a řízení, kontrolní mechanismy a postupy jsou přiměřené, vhodné, řádné a adekvátní;

d)popis postupu zavedeného pro sledování a řešení bezpečnostních incidentů a stížností zákazníků souvisejících s bezpečností a přijímání opatření v návaznosti na takové incidenty a stížnosti, včetně mechanismu pro oznamování incidentů zohledňujícího oznamovací povinnosti podle kapitoly III nařízení (EU) 2022/2554;

e)popis opatření k zajištění kontinuity činnosti, včetně jasné identifikace zásadních operací, účinné politiky a plánů kontinuity činnosti pro IKT a plánů reakce a obnovy pro IKT a postupu pro pravidelné testování a přezkoumávání přiměřenosti a účinnosti těchto plánů v souladu s nařízením (EU) 2022/2554;

f)bezpečnostní předpis, včetně podrobného posouzení rizik ve vztahu k jeho operacím a popisu bezpečnostních kontrol a opatření za účelem zmírnění rizik zavedených v zájmu odpovídající ochrany jeho zákazníků před zjištěnými riziky, včetně podvodů;

g)popis organizačního uspořádání žadatele, jakož i popis ujednání o externím zajištění služeb nebo činností;

h)totožnost vedoucích pracovníků a osob odpovědných za řízení žadatele a případně osob odpovědných za řízení činností žadatele v oblasti přístupu k údajům, jakož i důkazy, že se tyto osoby těší dobré pověsti a mají vhodné znalosti a zkušenosti pro přístup k údajům podle tohoto nařízení;

i)právní status žadatele a stanovy;

j)adresu ústředí žadatele;

k)případně písemnou dohodu mezi poskytovatelem služeb finančních informací a právním zástupcem, která dokládá jmenování, rozsah odpovědnosti a úkoly, které má právní zástupce vykonávat v souladu s článkem 13.

Pro účely prvního pododstavce písm. c), d) a g) poskytne žadatel popis svých pravidel auditu a organizačních opatření, která zavedl s cílem učinit veškeré přiměřené kroky na ochranu zájmů svých zákazníků a pro zajištění nepřetržitého a spolehlivého provádění svých činností.

V popisu bezpečnostních kontrol a opatření za účelem zmírnění rizik uvedeném v prvním pododstavci písm. f) musí být uvedeno, jakým způsobem žadatel zajistí vysokou úroveň digitální provozní odolnosti v souladu s kapitolou II nařízení (EU) 2022/2554, zejména pokud jde o technické zabezpečení a ochranu údajů, včetně toho, jaký software a systémy IKT žadatel nebo externí subjekty, které žadatel využívá pro své operace nebo jejich část, používají.

3.Poskytovatelé služeb finančních informací musí mít pojištění odpovědnosti za škodu způsobenou při výkonu povolání, které se vztahuje na území, kde mají přístup k údajům, nebo jinou srovnatelnou záruku, a musí zajistit následující:

a)schopnost pokrýt jejich odpovědnost vyplývající z neoprávněného nebo podvodného přístupu k údajům nebo jejich neoprávněného nebo podvodného použití;

b)schopnost pokrýt hodnotu případné spoluúčasti, prahové hodnoty nebo odpočitatelné částky z pojištění nebo srovnatelné záruky;

c)průběžné sledování krytí pojištění nebo srovnatelné záruky.

Jako alternativu k pojištění odpovědnosti za škodu způsobenou při výkonu povolání nebo jiné srovnatelné záruce, jak je požadováno v prvním pododstavci, musí mít podnik uvedený v předchozím pododstavci počáteční kapitál ve výši 50 000 EUR, který může být bez zbytečného odkladu nahrazen pojištěním odpovědnosti za škodu způsobenou při výkonu povolání nebo jinou srovnatelnou zárukou poté, co zahájí svou činnost jako poskytovatel služeb finančních informací.

4.EBA ve spolupráci s ESMA a EIOPA po konzultaci se všemi příslušnými zúčastněnými stranami vypracuje návrhy regulačních technických norem, které upřesní:

a)informace poskytované příslušnému orgánu v žádosti o povolení poskytovatelů služeb finančních informací, včetně požadavků stanovených v odst. 1 písm. a) až l);

b)společnou metodiku posuzování pro udělení povolení k činnosti poskytovatele služeb finančních informací podle tohoto nařízení;

c)co je srovnatelná záruka, jak je uvedeno v odstavci 2, která by měla být zaměnitelná s pojištěním odpovědnosti za škodu způsobenou při výkonu povolání;

d)kritéria pro stanovení minimální peněžní částky pojištění odpovědnosti za škodu způsobenou při výkonu povolání nebo jiné srovnatelné záruky uvedené v odstavci 2.

Při vypracovávání těchto regulačních technických norem zohlední EBA následující skutečnosti:

a)rizikový profil podniku;

b)zda podnik poskytuje jiné druhy služeb nebo se zabývá jinými obchodními činnostmi;

c)objem činnosti;

d)konkrétní parametry srovnatelných záruk a kritéria pro jejich uplatnění.

EBA předloží tyto návrhy regulačních technických norem uvedené v prvním pododstavci Komisi do [Úřad pro publikace: vložte datum = 9 měsíců po vstupu tohoto nařízení v platnost].

Komisi je svěřena pravomoc přijímat regulační technické normy uvedené v prvním pododstavci tohoto odstavce podle článků 10 až 14 nařízení 1093/2015.

V souladu s článkem 10 nařízení (EU) č. 1093/2010 EBA tyto regulační technické normy přezkoumá a případně aktualizuje. 

Článek 13
Právní zástupci

1.Poskytovatelé služeb finančních informací, kteří nejsou usazeni v Unii, ale potřebují přístup k finančním údajům v Unii, písemně určí právnickou nebo fyzickou osobu jako svého právního zástupce v jednom z členských států, odkud poskytovatel služeb finančních informací zamýšlí získat přístup k finančním údajům.

2.Poskytovatelé služeb finančních informací pověří své právní zástupce, aby se na ně příslušné orgány obracely kromě poskytovatele služeb finančních informací nebo místo něj ve všech záležitostech nezbytných pro přijetí, dodržování a prosazování tohoto nařízení. Poskytovatelé služeb finančních informací poskytnou svému právnímu zástupci nezbytné pravomoci a zdroje, které mu umožní spolupracovat s příslušnými orgány a zajistit dodržování jejich rozhodnutí.

3.Určený právní zástupce může být činěn odpovědným za nedodržení povinností podle tohoto nařízení, aniž je dotčena odpovědnost a právní kroky, které by mohly být zahájeny proti poskytovateli služeb finančních informací.

4.Poskytovatelé služeb finančních informací oznámí jméno, adresu, adresu elektronické pošty a telefonní číslo svého právního zástupce příslušnému orgánu v členském státě, kde má tento právní zástupce bydliště či sídlo nebo je v něm usazen. Zajistí, aby tyto informace byly aktuální.

5.Určení právního zástupce v Unii podle odstavce 1 nepředstavuje usazení v Unii.

Článek 14
Udělování a odnímání povolení poskytovatelům služeb finančních informací

1.Příslušný orgán povolení udělí, pokud údaje a doklady připojené k žádosti vyhovují požadavkům stanoveným v čl. 11 odst. 1 a 2. Před udělením povolení může příslušný orgán případně konzultovat další relevantní orgány veřejné správy.

2.Příslušný orgán udělí povolení poskytovateli služeb finančních informací ze třetí země, pokud jsou splněny všechny následující podmínky:

a)poskytovatel služeb finančních informací ze třetí země splnil všechny podmínky stanovené v článcích 12 a 16;

b)poskytovatel služeb finančních informací ze třetí země určil právního zástupce podle článku 13;

c)pokud poskytovatel služeb finančních informací ze třetí země podléhá dohledu, usiluje příslušný orgán o zavedení vhodného systému spolupráce s příslušným orgánem třetí země, v níž je poskytovatel služeb finančních informací usazen, aby byla zajištěna účinná výměna informací;

d)třetí země, v níž je poskytovatel služeb finančních informací usazen, není uvedena na seznamu nespolupracujících jurisdikcí pro daňové účely vypracovaném v rámci příslušné politiky Unie, nebo na seznamu vysoce rizikových jurisdikcí třetích zemí, které vykazují nedostatky v souladu s nařízením Komise v přenesené pravomoci (EU) 2016/1675 44 .

3.Příslušný orgán udělí povolení pouze v případě, že s ohledem na potřebu zajistit řádné a obezřetné řízení poskytovatele služeb finančních informací má poskytovatel služeb finančních informací silné mechanismy řízení své činnosti v oblasti služeb informací. To zahrnuje jasnou organizační strukturu s dobře vymezenými, transparentními a konzistentními hranicemi odpovědnosti, účinné postupy k zjišťování, řízení, kontrole a oznamování rizik, kterým je nebo by mohl být vystaven, a přiměřené mechanismy vnitřní kontroly včetně řádných administrativních a účetních postupů. Tato opatření, postupy a mechanismy musí být komplexní a přiměřené povaze, rozsahu a složitosti služeb informací poskytovaných poskytovatelem služeb finančních informací.

4.Příslušný orgán udělí povolení pouze v případě, že účinnému výkonu jeho dohledových funkcí nebrání právní nebo správní předpisy vztahující se na jednu či více fyzických nebo právnických osob, s nimiž je poskytovatel služeb finančních informací úzce propojen, anebo obtíže související s uplatňováním těchto právních nebo správních předpisů.

5.Příslušný orgán udělí povolení pouze v případě, že je přesvědčen, že žádná ujednání o externím zajištění služeb nebo činností nečiní z poskytovatele služeb finančních informací subjekt typu „poštovní schránka“ nebo že nejsou prováděna jako prostředek k obcházení ustanovení tohoto nařízení.

6.Příslušný orgán uvědomí žadatele o tom, zda jeho žádosti bylo vyhověno, nebo zda byla zamítnuta, do tří měsíců od obdržení žádosti, nebo v případě neúplné žádosti do tří měsíců od obdržení všech informací, jež jsou k rozhodnutí požadovány. Zamítnutí žádosti musí být příslušným orgánem odůvodněno.

7.Příslušný orgán může povolení udělené poskytovateli služeb finančních informací odejmout pouze v případě, že poskytovatel:

a)nevyužije toto povolení do dvanácti měsíců, výslovně se jej vzdá nebo přestane podnikat na dobu delší než šest měsíců;

b)získal povolení na základě nepravdivých prohlášení nebo jinými nedovolenými prostředky;

c)již nesplňuje podmínky pro udělení povolení nebo neinformuje příslušný orgán o významných změnách, k nimž v tomto ohledu došlo;

d)by představoval riziko pro ochranu spotřebitele a bezpečnost údajů.

Každé odnětí povolení musí příslušný orgán odůvodnit a musí o této skutečnosti informovat dotčené osoby. Příslušný orgán zveřejní odnětí povolení v anonymizované verzi.

Článek 15
Rejstřík

1.EBA vytvoří, provozuje a udržuje elektronický centrální rejstřík, který obsahuje tyto informace:

a)povolené poskytovatele služeb finančních informací;

b)poskytovatele služeb finančních informací, kteří oznámili svůj záměr přistupovat k údajům v jiném než ve svém domovském členském státě;

c)systémy sdílení finančních údajů dohodnuté mezi držiteli a uživateli údajů.

2.Rejstřík uvedený v odstavci 1 obsahuje pouze anonymizované údaje.

3.Rejstřík je veřejně přístupný na internetových stránkách EBA a umožňuje snadné vyhledávání a přístup k uvedeným informacím.

4.EBA zapíše do rejstříku uvedeného v odstavci 1 každé odnětí povolení poskytovatelům služeb finančních informací nebo ukončení systému sdílení finančních údajů.

5.Příslušné orgány členských států neprodleně sdělí EBA informace nezbytné pro plnění jeho úkolů podle odstavců 1 a 3. Příslušné orgány odpovídají za přesnost informací uvedených v odstavcích 1 a 3 a za jejich aktualizaci. Pokud je to technicky možné, předávají tyto informace orgánu EBA automatizovaně.

Článek 16

Organizační požadavky na poskytovatele služeb finančních informací

Poskytovatel služeb finančních informací musí splňovat následující organizační požadavky:

a)zavede strategie a postupy umožňující zajistit, že on sám i jeho řídící pracovníci a zaměstnanci budou plnit povinnosti podle tohoto nařízení;

b)přijme přiměřená opatření k tomu, aby zajistil nepřerušený a řádný výkon svých činností. Za tímto účelem poskytovatel služeb finančních informací používá vhodné a přiměřené systémy, zdroje a postupy k zajištění kontinuity svých zásadních operací, má zavedeny pohotovostní plány a postup pro pravidelné testování a přezkoumávání přiměřenosti a účinnosti těchto plánů;

c)pokud pověří plněním úkolů, které jsou zásadní pro poskytování nepřerušených a uspokojivých služeb zákazníkům a nepřerušený a uspokojivý výkon činností, třetí osobu, přijme přiměřená opatření k vyloučení nepřiměřeného zvýšení provozního rizika. Externí zajištění důležitých provozních funkcí nelze provádět způsobem, který by významně poškodil kvalitu vnitřní kontroly a schopnost osoby provádějící dohled sledovat, zda poskytovatel služeb finančních informací dodržuje všechny povinnosti;

d)má řádné řídicí, administrativní a účetní postupy, mechanismy vnitřní kontroly, účinné postupy k posouzení a řízení rizik a účinná kontrolní a ochranná opatření pro systémy zpracování údajů;

e)jeho vedoucí pracovníci a osoby odpovědné za jeho řízení, jakož i osoby odpovědné za řízení jeho činností v oblasti přístupu k údajům se těší dobré pověsti a mají odpovídající znalosti, dovednosti a zkušenosti, a to jak jednotlivě, tak společně, aby mohli plnit své povinnosti;

f)zavede a udržuje účinné a transparentní postupy pro rychlé, spravedlivé a důsledné sledování a řešení bezpečnostních incidentů a stížností zákazníků souvisejících s bezpečností a přijímání opatření v návaznosti na takové incidenty a stížnosti, včetně mechanismu pro oznamování zohledňujícího oznamovací povinnosti podle kapitoly III nařízení (EU) 2022/2554;

HLAVA VI
Příslušné orgány a rámec dohledu

Článek 17
Příslušné orgány

1.Členské státy určí příslušné orgány odpovědné za plnění funkcí a úkolů stanovených v tomto nařízení. Členské státy oznámí tyto příslušné orgány Komisi.

2.Členské státy zajistí, aby příslušné orgány určené podle odstavce 1 měly veškeré pravomoci nezbytné pro plnění svých úkolů.

Členské státy zajistí, aby tyto příslušné orgány měly nezbytné zdroje, zejména pokud jde o specializované zaměstnance, aby mohly plnit své úkoly podle povinností vyplývajících z tohoto nařízení.

3.Členské státy, které v rámci své jurisdikce jmenovaly více než jeden příslušný orgán pro záležitosti, na něž se vztahuje toto nařízení, zajistí úzkou spolupráci mezi těmito orgány, která jim umožní účinně plnit své povinnosti.

4.V případě finančních institucí zajišťují dodržování tohoto nařízení příslušné orgány uvedené v článku 46 nařízení (EU) 2022/2554 v souladu s pravomocemi udělenými příslušnými právními akty uvedenými ve zmíněném článku a tímto nařízením.

Článek 18
Pravomoci příslušných orgánů

1.Příslušné orgány mají veškeré vyšetřovací pravomoci, které jsou nezbytné pro výkon jejich funkcí. Tyto pravomoci zahrnují:

a)pravomoc požadovat od jakýchkoli fyzických nebo právnických osob poskytnutí všech informací nutných k provádění úkolů příslušných orgánů, včetně informací, které mají být poskytovány v pravidelných intervalech a ve specifikovaných formátech pro účely dohledu a související statistické účely;

b)pravomoc provádět veškerá nezbytná šetření jakékoli osoby uvedené v písmenu a) usazené nebo nacházející se v dotčeném členském státě, pokud je to nezbytné k výkonu úkolů příslušných orgánů, včetně pravomoci:

i)požadovat předložení dokumentů;

ii)nahlížet do údajů v jakékoli podobě, včetně účetních knih a záznamů osob uvedených v písmenu a), a pořizovat si z těchto dokumentů kopie nebo výpisy;

iii)získat písemné nebo ústní vysvětlení od kterékoli osoby uvedené v písmenu a) nebo od jejích zástupců či zaměstnanců a v případě potřeby předvolat a vyslechnout kteroukoli takovou osobu za účelem získání informací;

iv)vyslechnout jakoukoli jinou fyzickou osobu, která s tím souhlasí, za účelem získání informací souvisejících s předmětem šetření;

v)vykonávat s výhradou dalších podmínek stanovených právem Unie nebo vnitrostátním právem nezbytné kontroly v prostorách právnických osob a na místech, které nejsou soukromým bydlištěm, fyzických osob, jež jsou uvedeny v písmenu a), jakož i jakýchkoli jiných právnických osob, na něž se vztahuje dohled na konsolidovaném základě, kde příslušný orgán vykonává dohled na konsolidovaném základě, s výhradou předchozího uvědomění dotčených příslušných orgánů;

vi)vstupovat do prostor fyzických a právnických osob v souladu s vnitrostátními právními předpisy za účelem zabavení dokumentů a údajů v jakékoli formě, pokud existuje důvodné podezření, že dokumenty nebo údaje týkající se předmětu dané kontroly nebo šetření mohou být nezbytné a relevantní pro dokazování případu porušení ustanovení tohoto nařízení;

vii)v rozsahu povoleném vnitrostátním právem vyžadovat existující záznamy o datovém provozu uchovávané telekomunikačním operátorem, jestliže existuje důvodné podezření na porušení a jestliže tyto záznamy mohou být relevantními podklady pro vyšetřování porušení tohoto nařízení;

viii)požadovat zmrazení nebo obstavení aktiv či obojí;

ix)předávat záležitosti k trestnímu vyšetřování;

c)pokud neexistují jiné dostupné prostředky, které by vedly k zastavení porušování tohoto nařízení nebo k jeho předcházení, a aby se předešlo riziku vážného poškození zájmů spotřebitelů, jsou příslušné orgány oprávněny přijmout kterékoli z následujících opatření, a to i tím, že požádají třetí stranu nebo jiný orgán veřejné správy o jejich provedení:

i)odstranit obsah nebo omezit přístup k online rozhraní nebo nařídit, aby se zákazníkům při přístupu k online rozhraní výslovně zobrazilo varování;

ii)nařídit poskytovateli hostingových služeb, aby odstranil online rozhraní nebo k němu znemožnil či omezil přístup;

iii)nařídit registrům nebo registrátorům domén vymazat plně kvalifikované doménové jméno a umožnit dotčenému příslušnému orgánu tento výmaz zaznamenat.

Provádění tohoto odstavce a výkon v něm stanovených pravomocí musí být přiměřené a v souladu s právem Unie a vnitrostátním právem, včetně platných procesních záruk a zásad Listiny základních práv Evropské unie. Vyšetřovací a donucovací opatření přijatá podle tohoto nařízení musí odpovídat povaze a celkové skutečné nebo potenciální újmě způsobené porušením.

2.Příslušné orgány vykonávají své pravomoci při vyšetřování možných porušení tohoto nařízení a ukládání správních sankcí a jiných správních opatření stanovených v tomto nařízení některým z těchto způsobů:

a)přímo;

b)ve spolupráci s dalšími orgány;

c)přenesením pravomocí na jiné orgány nebo subjekty;

d)obrácením se na příslušné soudní orgány členského státu.

Pokud příslušné orgány vykonávají své pravomoci jejich přenesením na jiné orgány nebo subjekty podle písmene c), uvedou v přenesení pravomoci přenesené úkoly, podmínky, za nichž mají být vykonávány, a podmínky, za nichž mohou být přenesené pravomoci zrušeny. Orgány nebo subjekty, na které jsou přeneseny pravomoci, musejí být organizovány tak, aby nedocházelo ke střetu zájmů. Příslušné orgány dohlížejí na činnost orgánů nebo subjektů, na které byly pravomoci přeneseny.

3.Při výkonu svých vyšetřovacích a sankčních pravomocí, a to i v přeshraničních případech, příslušné orgány účinně spolupracují mezi sebou a s orgány z jakéhokoli dotčeného odvětví podle okolností každého případu a v souladu s vnitrostátním právem a právem Unie, aby zajistily výměnu informací a vzájemnou součinnost nezbytnou pro účinné vymáhání správních sankcí a správních opatření.

Článek 19
Dohody o urovnání a zrychlená vykonávací řízení

1.Aniž je dotčen článek 20, mohou členské státy stanovit pravidla, která jejich příslušným orgánům umožní ukončit vyšetřování údajného porušení tohoto nařízení na základě dohody o urovnání s cílem ukončit údajné porušení a jeho důsledky před zahájením formálního sankčního řízení.

2.Členské státy mohou stanovit pravidla, která jejich příslušným orgánům umožní ukončit vyšetřování týkající se zjištěného porušení prostřednictvím zrychleného vykonávacího řízení, aby bylo možné rychle přijmout rozhodnutí o uložení správní sankce nebo správního opatření. 

Zmocnění příslušných orgánů k urovnání nebo k zahájení zrychleného vykonávacího řízení nemá vliv na povinnosti členských států podle článku 20.

3.Pokud členské státy stanoví pravidla uvedená v odstavci 1, oznámí Komisi příslušné právní a správní předpisy upravující výkon pravomocí uvedených ve zmíněném odstavci a oznámí jí veškeré následné změny, které se těchto pravidel týkají.

Článek 20
Správní sankce a jiná správní opatření

1.Aniž jsou dotčeny dohledové a vyšetřovací pravomoci příslušných orgánů uvedené v článku 18, členské státy poskytnou v souladu s vnitrostátním právem příslušným orgánům pravomoc přijmout příslušné správní sankce a jiná správní opatření v případě těchto porušení:

a)porušení článků 4, 5 a 6;

b)porušení článků 7 a 8;

c)porušení článků 9 a 10;

d)porušení článků 13 a 16;

e)porušení článku 28.

2.Členské státy se mohou rozhodnout, že nestanoví pravidla pro správní sankce a správní opatření použitelná na porušení tohoto nařízení, na která se vztahují sankce podle vnitrostátního trestního práva. V takovém případě členské státy oznámí Komisi příslušná ustanovení trestního práva a všechny jejich následné změny.

3.Členské státy v souladu s vnitrostátním právem zajistí, že příslušné orgány mají pravomoc uložit tyto správní sankce a jiná správní opatření ve vztahu k porušením uvedeným v odstavci 1:

a)veřejné oznámení, v němž je uvedena fyzická nebo právnická osoba, která je za porušení odpovědná, a povaha daného porušení;

b)příkaz, aby fyzická nebo právnická osoba, která je za porušení odpovědná, od jednání představujícího porušení upustila a už se jej dále nedopouštěla;

c)vrácení zisku plynoucího z porušení nebo ztráty, které se dotyčná osoba díky porušením vyhnula, pokud je lze zjistit;

d)dočasné pozastavení oprávnění poskytovatele služeb finančních informací;

e)maximální správní pokutu ve výši nejméně dvojnásobku zisku plynoucího z porušení nebo ztráty, které se dotyčná osoba díky porušením vyhnula, pokud je lze zjistit, a to i v případě, že tato pokuta přesahuje maximální částky stanovené v tomto odstavci písm. f), pokud jde o fyzické osoby, nebo v odstavci 4, pokud jde o právnické osoby;

f)v případě fyzické osoby maximální správní pokuty až do výše 25 000 EUR za každé porušení a až do celkové výše 250 000 EUR za rok nebo, v členských státech, jejichž úřední měnou není euro, v odpovídající výši v úřední měně tohoto členského státu ke dni ... [Úřad pro publikace: vložte datum vstupu tohoto nařízení v platnost];

g)dočasný zákaz výkonu řídících funkcí u poskytovatelů služeb finančních informací pro kteréhokoli člena vedoucího orgánu poskytovatele služeb finančních informací nebo pro jakoukoli jinou fyzickou osobu, kteří jsou odpovědni za porušení;

h)v případě opakovaného porušení článků uvedených v odstavci 1 zákaz výkonu řídících funkcí u poskytovatelů služeb finančních informací na dobu nejméně 10 let pro kteréhokoli člena vedoucího orgánu poskytovatele služeb finančních informací nebo pro jakoukoli jinou fyzickou osobu, kteří jsou odpovědni za porušení.

4.Členské státy v souladu s vnitrostátními právními předpisy zajistí, aby příslušné orgány měly pravomoc ukládat za porušení uvedená v odstavci 1, jichž se dopustily právnické osoby, správní pokuty v maximální výši:

a)až do výše 50 000 EUR za každé porušení a až do celkové výše 500 000 EUR za rok nebo, v členských státech, jejichž úřední měnou není euro, v odpovídající výši v úřední měně tohoto členského státu ke dni ... [Úřad pro publikace: vložte datum vstupu tohoto nařízení v platnost];

b)2 % z celkového ročního obratu právnické osoby podle poslední dostupné účetní závěrky schválené vedoucím orgánem.

Je-li právnická osoba uvedená v prvním pododstavci mateřským podnikem nebo dceřiným podnikem mateřského podniku, který je povinen sestavovat konsolidovanou účetní závěrku v souladu s článkem 22 směrnice Evropského parlamentu a Rady 2013/34/EU 45 , je příslušným celkovým ročním obratem čistý obrat nebo výnos, který se určí v souladu s příslušnými účetními standardy podle konsolidované účetní závěrky vrcholného mateřského podniku dostupné k poslednímu rozvahovému dni, za kterou jsou odpovědní členové správního, vedoucího a dozorčího orgánu vrcholného podniku.

5.Členské státy mohou zmocnit příslušné orgány k ukládání dalších druhů správních sankcí a jiných správních opatření kromě těch, které jsou uvedeny v odstavcích 3 a 4, a mohou stanovit vyšší částky správních peněžitých pokut, než jsou částky stanovené v uvedených odstavcích.

Dále Komisi oznámí výši těchto vyšších sankcí a jejich případné následné změny.

Článek 21
Penále

1.Příslušné orgány jsou oprávněny ukládat právnickým nebo fyzickým osobám penále za trvající neplnění rozhodnutí, příkazu, předběžného opatření, výzvy, povinnosti nebo jiného správního opatření přijatého v souladu s tímto nařízením.

Penále uvedené v prvním pododstavci je účinné a přiměřené a skládá se z denní částky, která se platí až do okamžiku, kdy bude plnění obnoveno. Ukládá se na dobu nejvýše šesti měsíců ode dne uvedeného v rozhodnutí o uložení penále.

Příslušné orgány jsou oprávněny uložit následující penále, které může být upraveno v závislosti na závažnosti porušení a potřebách odvětví:

a)3 % průměrného denního obratu v případě právnické osoby;

b)30 000 EUR v případě fyzické osoby.

2.Průměrný denní obrat uvedený v odst. 1 třetím pododstavci písm. a) je celkový roční obrat vydělený 365.

3.Členské státy mohou stanovit vyšší částky penále, než jsou částky stanovené v odst. 1 třetím pododstavci.

Článek 22
Okolnosti, které je třeba zohlednit při stanovení správních sankcí a jiných správních opatření

1.Příslušné orgány při určování druhu a výše správních sankcí nebo jiných správních opatření zohlední všechny relevantní okolnosti, aby zajistily, že tyto sankce nebo opatření budou účinné a přiměřené. Tyto okolnosti případně zahrnují:

a)závažnost a dobu trvání porušení;

b)míru odpovědnosti právnické nebo fyzické osoby odpovědné za porušení;

c)finanční sílu právnické nebo fyzické osoby odpovědné za porušení, vyplývající mimo jiné z celkového ročního obratu právnické osoby nebo z ročního příjmu fyzické osoby odpovědné za porušení;

d)výši zisků, kterých právnická nebo fyzická osoba odpovědná za porušení dosáhla, nebo ztrát, kterým se vyhnula, pokud lze tyto zisky nebo ztráty stanovit;

e)ztráty třetích stran způsobené porušením, pokud je lze stanovit;

f)nevýhodu, která právnické nebo fyzické osobě odpovědné za porušení vzniká z duplicity trestních a správních řízení a sankcí za stejné jednání;

g)vliv porušení na zájmy zákazníků;

h)veškeré skutečné nebo možné systémové negativní důsledky porušení;

i)spoluúčast nebo organizovaná účast více než jedné právnické nebo fyzické osoby na porušení;

j)předchozí porušení, kterých se dopustila právnická nebo fyzická osoba odpovědná za porušení;

k)úroveň spolupráce právnické nebo fyzické osoby odpovědné za porušení s příslušným orgánem;

l)veškerá nápravná opatření nebo kroky přijaté právnickou nebo fyzickou osobou odpovědnou za porušení k tomu, aby zabránila jeho opakování.

2.Příslušné orgány, které používají dohody o urovnání nebo zrychlená vykonávací řízení podle článku 19, přizpůsobí příslušné správní sankce a jiná správní opatření stanovená v článku 20 danému případu, aby zajistily jejich přiměřenost, zejména s přihlédnutím k okolnostem uvedeným v odstavci 1.

Článek 23
Služební tajemství

1.Všechny osoby, které pracují nebo pracovaly pro příslušné orgány, jakož i odborníci jednající jménem příslušných orgánů, jsou vázány povinností zachovávat služební tajemství.

2.Na informace vyměňované podle článku 26 se vztahuje povinnost zachovávat služební tajemství jak ze strany orgánu, který informace sdílí, tak ze strany orgánu, který je přijímá, aby byla zajištěna ochrana práv jednotlivců a podnikatelských subjektů.

Článek 24
Právo na opravný prostředek

1.Rozhodnutí přijatá příslušnými orgány podle tohoto nařízení jsou soudně přezkoumatelná.

2.Odstavec 1 se použije i v případě nečinnosti.

Článek 25
Zveřejňování rozhodnutí příslušných orgánů

1.Příslušné orgány zveřejní na svých internetových stránkách všechna rozhodnutí o uložení správní sankce nebo správního opatření právnickým a fyzickým osobám za porušení tohoto nařízení a případně všechny dohody o urovnání. Zveřejnění musí obsahovat stručný popis porušení, uloženou správní sankci nebo jiné správní opatření, případně prohlášení o dohodě o urovnání. Totožnost fyzické osoby, na kterou se rozhodnutí o uložení správní sankce nebo správního opatření vztahuje, se nezveřejňuje.

Příslušné orgány zveřejní rozhodnutí a prohlášení uvedené v odstavci 1 neprodleně poté, co bylo právnické nebo fyzické osobě, na kterou se rozhodnutí vztahuje, toto rozhodnutí oznámeno nebo byla podepsána dohoda o urovnání.

2.Považuje-li příslušný vnitrostátní orgán zveřejnění totožnosti nebo jiných osobních údajů fyzické osoby za nezbytné pro ochranu stability finančních trhů nebo pro zajištění účinného prosazování tohoto nařízení, včetně případů veřejných oznámení uvedených v čl. 20 odst. 3 písm. a), nebo dočasných zákazů uvedených v čl. 20 odst. 3 písm. g), může odchylně od odstavce 1 zveřejnit rovněž totožnost osob nebo osobní údaje, pokud takové rozhodnutí odůvodní a pokud je zveřejnění omezeno na osobní údaje, které jsou nezbytně nutné k ochraně stability finančních trhů nebo k zajištění účinného prosazování tohoto nařízení.

3.Je-li proti rozhodnutí o uložení správní sankce nebo jiného správního opatření podán opravný prostředek k příslušnému soudnímu či jinému orgánu, příslušné orgány informaci o podání opravného prostředku rovněž neprodleně zveřejní na svých oficiálních internetových stránkách, stejně jako veškeré následné informace týkající se výsledku řízení o tomto opravném prostředku, pokud se týká právnických osob. Týká-li se napadené rozhodnutí fyzických osob a neuplatní-li se odchylka podle odstavce 2, zveřejní příslušné orgány informace o opravném prostředku pouze v anonymizované verzi.

4.Příslušné orgány zajistí, aby každé zveřejnění v souladu s tímto článkem zůstalo na jejich oficiálních internetových stránkách po dobu nejméně pěti let. Osobní údaje obsažené ve zveřejnění se ponechávají na oficiálních internetových stránkách příslušného orgánu pouze tehdy, pokud každoroční přezkum prokáže, že je nadále nutné tyto údaje ponechat zveřejněné za účelem ochrany stability finančních trhů nebo zajištění účinného prosazování tohoto nařízení, a v každém případě však ne déle než pět let.

Článek 26
Spolupráce a výměna informací mezi příslušnými orgány

1.Příslušné orgány spolupracují mezi sebou a s dalšími relevantními příslušnými orgány určenými podle práva Unie nebo vnitrostátního práva, které se vztahuje na finanční instituce, jež pro účely tohoto nařízení plní úkoly příslušných orgánů.

2.Výměna informací mezi příslušnými orgány a příslušnými orgány jiných členských států odpovědnými za povolování poskytovatelů služeb finančních informací a dohled nad nimi je povolena pro účely plnění jejich úkolů podle tohoto nařízení.

3.Příslušné orgány, které si podle tohoto nařízení vyměňují informace s jinými příslušnými orgány, mohou v okamžiku sdělení informací uvést, že tyto informace nesmějí být bez jejich výslovného souhlasu dále sděleny; v tom případě lze výměnu těchto informací provádět výhradně pro účely, pro které tyto orgány daly souhlas.

4.Jiným orgánům nebo fyzickým či právnickým osobám předá příslušný orgán informace sdílené jinými příslušnými orgány pouze s výslovným souhlasem příslušných orgánů, které informace poskytly, a výhradně pro účely, pro které tyto orgány daly souhlas, s výjimkou řádně odůvodněných okolností. V tom případě kontaktní místo ihned informuje kontaktní místo, které informace zaslalo.

5.Pokud se povinnosti podle tohoto nařízení týkají zpracování osobních údajů, spolupracují příslušné orgány s dozorovými úřady zřízenými podle nařízení (EU) 2016/679.

Článek 27
Řešení sporů mezi příslušnými orgány

1.Pokud se příslušný orgán členského státu domnívá, že přeshraniční spolupráce s příslušnými orgány jiného členského státu podle článků 28 nebo 29 tohoto nařízení v konkrétní záležitosti není v souladu s příslušnými podmínkami stanovenými v uvedených ustanoveních, může záležitost postoupit EBA a požádat ho o pomoc v souladu s článkem 19 nařízení (EU) č. 1093/2010.

2.Pokud EBA obdržel žádost o poskytnutí pomoci podle odstavce 1, přijme bez zbytečného odkladu rozhodnutí v souladu s čl. 19 odst. 3 nařízení (EU) č. 1093/2010. EBA může rovněž z vlastního podnětu pomáhat příslušným orgánům dosáhnout dohody v souladu s čl. 19 odst. 1 druhým pododstavcem uvedeného nařízení. V obou případech zúčastněné příslušné orgány odloží svá rozhodnutí až do vyřešení sporu podle článku 19 nařízení (EU) č. 1093/2010.

HLAVA VII
Přeshraniční přístup k údajům

Článek 28
Přeshraniční přístup poskytovatelů služeb finančních informací k údajům

1.Poskytovatelům služeb finančních informací a finančním institucím se na základě volného pohybu služeb nebo svobody usazování umožní přístup k údajům uvedeným v čl. 2 odst. 1 vztahujícím se k unijním zákazníkům, které mají k dispozici držitelé údajů usazení v Unii.

2.Poskytovatel služeb finančních informací, který si na základě práva na usazování nebo volného pohybu služeb přeje poprvé získat přístup k údajům uvedeným v čl. 2 odst. 1 tohoto nařízení v jiném než ve svém domovském členském státě sdělí příslušným orgánům svého domovského členského státu tyto informace:

a)název, adresu a případně číslo povolení poskytovatele služeb finančních informací;

b)členský stát nebo členské státy, ve kterých hodlá mít přístup k údajům uvedeným v čl. 2 odst. 1;

c)typ údajů, ke kterým chce mít přístup;

d)systémy sdílení finančních údajů, jichž je členem.

Má-li poskytovatel služeb finančních informací v úmyslu svěřit provozní funkce přístupu k údajům externím subjektům (outsourcing) na území hostitelského členského státu, uvědomí o tom příslušné orgány svého domovského členského státu.

3.Do jednoho měsíce od obdržení všech informací podle odstavce 1 postoupí příslušné orgány domovského členského státu tyto informace příslušným orgánům hostitelského členského státu.

4.Poskytovatel služeb finančních informací bez zbytečného odkladu sdělí příslušným orgánům domovského členského státu jakékoli významné změny týkající se informací sdělených podle odstavce 1, včetně dalších subjektů poskytujících outsourcing v hostitelských členských státech, v nichž poskytovatel služeb finančních informací působí. Použije se postup podle odstavců 2 a 3.

Článek 29
Odůvodnění a oznámení opatření

Opatření přijatá příslušnými orgány podle článku 18 nebo článku 28 a obsahující sankce nebo omezení svobody poskytování služeb či svobody usazování, musí být řádně odůvodněna a oznámena dotčenému poskytovateli služeb finančních informací.

HLAVA VIII

Závěrečná ustanovení

Článek 30
Výkon přenesené pravomoci

1.Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

2.Pravomoc přijmout akt v přenesené pravomoci uvedená v článku 11 je svěřena Komisi na dobu XX měsíců od ... [Úřad pro publikace: vložte: datum vstupu tohoto nařízení v platnost]. Komise vypracuje zprávu o přenesení pravomoci nejpozději devět měsíců před koncem tohoto XXměsíčního období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament ani Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

3.Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v článku 11 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm upřesněné. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

5.Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

6.Akt v přenesené pravomoci přijatý podle článku 11 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament ani Rada nevysloví námitky ve lhůtě tří měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o tři měsíce.

Článek 31
Hodnocení tohoto nařízení a zpráva o přístupu k finančním údajům

1.Do [Úřad pro publikace: vložte datum = 4 roky od data použitelnosti tohoto nařízení] provede Komise hodnocení tohoto nařízení a předloží zprávu o hlavních zjištěních Evropskému parlamentu a Radě, jakož i Evropskému hospodářskému a sociálnímu výboru. V tomto hodnocení se posuzuje zejména:

a)zpřístupnění dalších kategorií nebo souborů údajů;

b)vyloučení určitých kategorií údajů a subjektů z oblasti působnosti;

c)změny smluvních postupů držitelů a uživatelů údajů a fungování systémů sdílení finančních údajů;

d)začlenění dalších typů subjektů k subjektům, kterým bylo uděleno právo přístupu k údajům;

e)dopad náhrady na schopnost uživatelů údajů účastnit se systémů sdílení finančních údajů a přistupovat k údajům od držitelů údajů.

2.Do [Úřad pro publikace: vložte datum = 4 roky po vstupu tohoto nařízení v platnost] předloží Komise Evropskému parlamentu a Radě zprávu, v níž posoudí podmínky přístupu k finančním údajům, které se vztahují na poskytovatele služeb informování o účtu podle tohoto nařízení a podle směrnice (EU) 2015/2366. V případě potřeby může být doplněna legislativním návrhem.

Článek 32
Změna nařízení (EU) č. 1093/2010

V čl. 1 odst. 2 nařízení (EU) č. 1093/2010 se první pododstavec nahrazuje tímto:

„Orgán pro bankovnictví jedná v rámci pravomocí, které mu byly svěřeny tímto nařízením, a v oblasti působnosti směrnice Evropského parlamentu a Rady 2002/87/ES, směrnice Evropského parlamentu a Rady 2008/48/ES*, směrnice Evropského parlamentu a Rady 2009/110/ES, nařízení Evropského parlamentu a Rady (EU) č. 575/2013**, směrnice Evropského parlamentu a Rady 2013/36/EU***, směrnice Evropského parlamentu a Rady 2014/49/EU****, směrnice Evropského parlamentu a Rady 2014/92/EU*****, směrnice Evropského parlamentu a Rady (EU) 2015/2366******, nařízení Evropského parlamentu a Rady (EU) 2023/1114 (*******), nařízení Evropského parlamentu a Rady (EU) 2024/.../EU (********) a relevantních částí směrnice 2002/65/ES, pokud se tyto akty použijí na úvěrové a finanční instituce a příslušné orgány, které nad nimi vykonávají dohled, včetně všech směrnic, nařízení a rozhodnutí vycházejících z uvedených aktů, a v oblasti působnosti dalších právně závazných aktů Unie, které svěřují úkoly orgánu pro bankovnictví. Orgán pro bankovnictví rovněž jedná v souladu s nařízením Rady (EU) č. 1024/2013*********.

*    Směrnice Evropského parlamentu a Rady 2008/48/ES ze dne 23. dubna 2008 o smlouvách o spotřebitelském úvěru a o zrušení směrnice Rady 87/102/EHS (Úř. věst. L 133, 22.5.2008, s. 66).

**    Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 176, 27.6.2013, s. 1).

***    Směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES (Úř. věst. L 176, 27.6.2013, s. 338).

****    Směrnice Evropského parlamentu a Rady 2014/49/EU ze dne 16. dubna 2014 o systémech pojištění vkladů (Úř. věst. L 173, 12.6.2014, s. 149).

*****    Směrnice Evropského parlamentu a Rady 2014/92/EU ze dne 23. července 2014 o porovnatelnosti poplatků souvisejících s platebními účty, změně platebního účtu a přístupu k platebním účtům se základními prvky (Úř. věst. L 257, 28.8.2014, s. 214).

******    Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, o změně směrnice 2002/65/ES, 2009/110/ES, 2013/36/EU a nařízení (EU) č. 1093/2010 a o zrušení směrnice 2007/64/ES (Úř. věst. L 337, 23.12.2015, s. 35).

*******    Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 (Úř. věst. L 150, 9.6.2023, s. 40).

******** Nařízení Evropského parlamentu a Rady (EU) 2024/... ze dne ... o rámci pro přístup k finančním údajům a o změně nařízení (EU) č. 1093/2010, (EU) č. 1095/2010 a (EU) 2022/2554 a směrnice (EU) 2019/1937 (Úř. věst. L ..., ...., s.).

*********    Nařízení Rady (EU) č. 1024/2013 ze dne 15. října 2013, kterým se Evropské centrální bance svěřují zvláštní úkoly týkající se politik, které se vztahují k obezřetnostnímu dohledu nad úvěrovými institucemi (Úř. věst. L 287, 29.10.2013, s. 63).“

Článek 33
Změna nařízení (EU) č. 1094/2010

V čl. 1 odst. 2 nařízení (EU) č. 1094/2010 se první pododstavec nahrazuje tímto:

* Nařízení Evropského parlamentu a Rady (EU) 2024/... ze dne ... o rámci pro přístup k finančním údajům a o změně nařízení (EU) č. 1093/2010, (EU) č. 1094/2010, (EU) č. 1095/2010, (EU) č. 1094/2010 a (EU) 2022/2554 a směrnice (EU) 2019/1937 (Úř. věst. L ..., ...., s.).

** Směrnice Evropského parlamentu a Rady (EU) 2016/97 
ze dne 20. ledna 2016 o distribuci pojištění (Úř. věst. L 26, 2.2.2016, s. 19).

*** Směrnice Evropského parlamentu a Rady (EU) 2016/2341 
ze dne 14. prosince 2016 o činnostech institucí 
zaměstnaneckého penzijního pojištění (IZPP) a dohledu nad nimi (Úř. věst. L 354, 23.12.2016, s. 37).“

Článek 34
Změna nařízení (EU) č. 1095/2010

V čl. 1 odst. 2 nařízení (EU) č. 1095/2010 se první pododstavec nahrazuje tímto:

„Orgán pro cenné papíry a trhy jedná v rámci pravomocí, které mu byly svěřeny tímto nařízením, a v oblasti působnosti směrnice 97/9/ES, 98/26/ES, 2001/34/ES, 2002/47/ES, 2004/109/ES, 2009/65/ES, směrnice Evropského parlamentu a Rady 2011/61/EU*, nařízení Evropského parlamentu a Rady (ES) č. 1060/2009 a směrnice Evropského parlamentu a Rady 2014/65/EU**, nařízení Evropského parlamentu a Rady (EU) 2017/1129***, nařízení Evropského parlamentu a Rady (EU) 2023/1114****, nařízení Evropského parlamentu a Rady (EU) 2024/… ***** a relevantních částí směrnice 2002/87/ES a směrnice 2002/65/ES, pokud se tyto akty použijí na podniky poskytující investiční služby nebo na subjekty kolektivního investování obchodující se svými podíly nebo akciemi, vydavatele kryptoaktiv nebo osoby nabízející kryptoaktiva, osoby usilující o přijetí k obchodování nebo poskytovatele služeb souvisejících s kryptoaktivy, poskytovatele služeb finančních informací a na příslušné orgány vykonávající nad nimi dohled, včetně všech směrnic, nařízení a rozhodnutí vycházejících z uvedených aktů, a v oblasti působnosti dalších právně závazných aktů Unie, které svěřují úkoly orgánu pro cenné papíry a trhy.

___________

*    Směrnice Evropského parlamentu a Rady 2011/61/EU ze dne 8. června 2011 o správcích alternativních investičních fondů a o změně směrnic 2003/41/ES a 2009/65/ES a nařízení (ES) č. 1060/2009 a (EU) č. 1095/2010 (Úř. věst. L 174, 1.7.2011, s. 1).

**    Směrnice Evropského parlamentu a Rady 2014/65/EU ze dne 15. května 2014 o trzích finančních nástrojů a o změně směrnic 2002/92/ES a 2011/61/EU (Úř. věst. L 173, 12.6.2014, s. 349).

***    Nařízení Evropského parlamentu a Rady (EU) 2017/1129 ze dne 14. června 2017 o prospektu, který má být uveřejněn při veřejné nabídce nebo přijetí cenných papírů k obchodování na regulovaném trhu, a o zrušení směrnice 2003/71/ES (Úř. věst. L 168, 30.6.2017, s. 12).

****    Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 (Úř. věst. L 150, 9.6.2023, s. 40).

***** Nařízení Evropského parlamentu a Rady (EU) 2024/... ze dne ... o rámci pro přístup k finančním údajům a o změně nařízení (EU) č. 1093/2010, (EU) č. 1094/2010, (EU) č. 1095/2010 a (EU) 2022/2554 a směrnice (EU) 2019/1937 (Úř. věst. L ..., ...., s.).“

Článek 35
Změna nařízení (EU) 2022/2554

Ustanovení čl. 2 odst. 1 nařízení (EU) 2022/2554 se mění takto:

1)v písmenu u) se interpunkční znaménko „.“ nahrazuje znaménkem „;“

2)doplňuje se nové písmeno v), které zní:

„v) poskytovatele služeb finančních informací.“

Článek 36
Vstup v platnost a použitelnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Použije se od [Úřad pro publikace: vložte datum = 24 měsíců ode dne vstupu tohoto nařízení v platnost]. Články 9 až 13 se však použijí od [Úřad pro publikace: vložte datum = 18 měsíců ode dne vstupu tohoto nařízení v platnost].

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne

(1)    Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů ze dne 19. února 2020, Evropská strategie pro data (COM(2020) 66 final).

(2)

   Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů ze dne 29. září 2020 o strategii EU v oblasti digitálních financí (COM/2020/591 final)

(3)    Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů ze dne 25. listopadu 2021, Unie kapitálových trhů– plnění rok po akčním plánu (COM/2021/720 final)

(4)    Návrh nařízení Evropského parlamentu a Rady o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání (Akt o datech), COM/2022/68 final.

(5)    Součástí přijaté strategie pro retailové investice je návrh směrnice Evropského parlamentu a Rady, kterou se mění směrnice (EU) 2009/65/ES, 2009/138/ES, 2011/61/EU, 2014/65/EU a (EU) 2016/97, pokud jde o pravidla Unie na ochranu retailových investorů, a návrh nařízení Evropského parlamentu a Rady, kterým se mění nařízení (EU) č. 1286/2014, pokud jde o modernizaci sdělení klíčových informací. 

(6)    Úř. věst. C , , s. .

(7)    Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, o změně směrnice 2002/65/ES, 2009/110/ES, 2013/36/EU a nařízení (EU) č. 1093/2010 a o zrušení směrnice 2007/64/ES (Úř. věst. L 337, 23.12.2015, s. 35).

(8)    https://eur-lex.europa.eu/legal-content/CS/TXT/?qid=1593073685620&uri=CELEX%3A52020DC0066

(9)    Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(10)    Směrnice Evropského parlamentu a Rady 2009/138/ES ze dne 25. listopadu 2009 o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II) (přepracované znění) (Úř. věst. L 335, 17.12.2009, s. 1).

(11)    Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu, o změně směrnice 2002/65/ES, 2009/110/ES, 2013/36/EU a nařízení (EU) č. 1093/2010 a o zrušení směrnice 2007/64/ES (Úř. věst. L 337, 23.12.2015, s. 35).

(12)    Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů, Strategie financování přechodu k udržitelnému hospodářství, COM/2021/390 final.

(13)     Závěrečná zpráva EBA – Obecné pokyny k poskytování a sledování úvěrů.pdf (europa.eu) , 29. 5. 2020.

(14)    Směrnice Evropského parlamentu a Rady (EU) 2019/882 ze dne 17. dubna 2019 o požadavcích na přístupnost u výrobků a služeb (Úř. věst. L 151, 7.6.2019, s. 70).

(15)    COM(2021) 281 final, 2021/0136(COD).

(16)    Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat) (Úř. věst. L 152, 3.6.2022, s. 1).

(17)    Úř. věst. L 123, 12.5.2016, s. 1.

(18)    Nařízení Evropského parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (Úř. věst. L 333, 27.12.2022, s. 1).

(19)    Nařízení (EU) ... (Úř. věst. ....)

(20)    Směrnice (EU) ... (Úř. věst...).

(21)    Zpráva Komise o přezkumu směrnice Evropského parlamentu a Rady (EU) 2015/2366 o platebních službách na vnitřním trhu.

(22)    Nařízení Evropského parlamentu a Rady (EU) č. 600/2014 ze dne 15. května 2014 o trzích finančních nástrojů a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 173, 12.6.2014, s. 84).

(23)    Směrnice Evropského parlamentu a Rady 2014/17/EU ze dne 4. února 2014 o smlouvách o spotřebitelském úvěru na nemovitosti určené k bydlení a o změně směrnic 2008/48/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 (Úř. věst. L 060, 28.2.2014, s. 34).

(24)    Nařízení Evropského parlamentu a Rady (EU) 2017/2402 ze dne 12. prosince 2017, kterým se stanoví obecný rámec pro sekuritizaci a vytváří se zvláštní rámec pro jednoduchou, transparentní a standardizovanou sekuritizaci a kterým se mění směrnice 2009/65/ES, 2009/138/ES, 2011/61/EU a nařízení (ES) č. 1060/2009 a (EU) č. 648/2012 (Úř. věst. L 347, 28.12.2017, s. 35).

(25)    Směrnice Evropského parlamentu a Rady 2009/103/ES ze dne 16. září 2009 o pojištění občanskoprávní odpovědnosti z provozu motorových vozidel a kontrole povinnosti uzavřít pro případ takové odpovědnosti pojištění (Úř. věst. L 263, 7.10.2009, s. 11).

(26)    Nařízení Evropského parlamentu a Rady (EU) 2019/1238 ze dne 20. června 2019 o panevropském osobním penzijním produktu (PEPP) (Úř. věst. L 198, 25.7.2019, s. 1).

(27)    Směrnice Evropského parlamentu a Rady (EU) 2018/843 ze dne 30. května 2018, kterou se mění směrnice (EU) 2015/849 o předcházení využívání finančního systému k praní peněz nebo financování terorismu a směrnice 2009/138/ES a 2013/36/EU (Úř. věst. L 156, 19.6.2018, s. 43).

(28)    Nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES (Úř. věst. L 331, 15.12.2010, s. 12).

(29)    Nařízení Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES (Úř. věst. L 331, 15.12.2010, s. 48).

(30)    Nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/77/ES (Úř. věst. L 331, 15.12.2010, s. 84).

(31)    Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).

(32)    Směrnice Evropského parlamentu a Rady 2014/65/EU ze dne 15. května 2014 o trzích finančních nástrojů a o změně směrnic 2002/92/ES a 2011/61/EU (přepracované znění) (Úř. věst. L 173, 12.6.2014, s. 349).

(33)    Směrnice Evropského parlamentu a Rady (EU) 2016/2341 ze dne 14. prosince 2016 o činnostech institucí zaměstnaneckého penzijního pojištění (IZPP) a dohledu nad nimi (přepracované znění) (Úř. věst. L 354, 23.12.2016, s. 37).

(34)    Směrnice Evropského parlamentu a Rady (EU) 2016/97 ze dne 20. ledna 2016 o distribuci pojištění (přepracované znění) (Úř. věst. L 26, 2.2.2016, s. 19).

(35)    Směrnice Evropského parlamentu a Rady 2009/110/ES ze dne 16. září 2009 o přístupu k činnosti institucí elektronických peněz, o jejím výkonu a o obezřetnostním dohledu nad touto činností, o změně směrnic 2005/60/ES a 2006/48/ES a o zrušení směrnice 2000/46/ES (Úř. věst. L 267, 10.10.2009, s. 7).

(36)    Nařízení Evropského parlamentu a Rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012 (Úř. věst. L 176, 27.6.2013, s. 1).

(37)    Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. května 2023 o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 (Úř. věst. L 150, 9.6.2023, s. 40).

(38)    Směrnice Evropského parlamentu a Rady 2011/61/EU ze dne 8. června 2011 o správcích alternativních investičních fondů a o změně směrnic 2003/41/ES a 2009/65/ES a nařízení (ES) č. 1060/2009 a (EU) č. 1095/2010 (Úř. věst. L 174, 1.7.2011, s. 1).

(39)    Směrnice Evropského parlamentu a Rady 2009/65/ES ze dne 13. července 2009 o koordinaci právních a správních předpisů týkajících se subjektů kolektivního investování do převoditelných cenných papírů (SKIPCP) (přepracované znění) (Úř. věst. L 302, 17.11.2009, s. 32).

(40)    Směrnice Evropského parlamentu a Rady (EU) 2016/97 ze dne 20. ledna 2016 o distribuci pojištění (přepracované znění) (Úř. věst. L 26, 2.2.2016, s. 19).

(41)    Nařízení Evropského parlamentu a Rady (ES) č. 1060/2009 ze dne 16. září 2009 o ratingových agenturách (Úř. věst. L 302, 17.11.2009, s. 1).

(42)    Doporučení Komise ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků (C(2003) 1422) (Úř. věst. L 124, 20.5.2003, s. 36).

(43)    Směrnice Evropského parlamentu a Rady 2013/11/EU ze dne 21. května 2013 o alternativním řešení spotřebitelských sporů a o změně nařízení (ES) č. 2006/2004 a směrnice 2009/22/ES (směrnice o alternativním řešení spotřebitelských sporů) (Úř. věst. L 165, 18.6.2013, s. 63).

(44)    Nařízení Komise v přenesené pravomoci (EU) 2016/1675 ze dne 14. července 2016, kterým se směrnice (EU) 2015/849 Evropského parlamentu a Rady doplňuje o identifikaci vysoce rizikových třetích zemí se strategickými nedostatky

(45)    Směrnice Evropského parlamentu a Rady 2013/34/EU ze dne 26. června 2013 o ročních účetních závěrkách, konsolidovaných účetních závěrkách a souvisejících zprávách některých forem podniků, o změně směrnice Evropského parlamentu a Rady 2006/43/ES a o zrušení směrnic Rady 78/660/EHS a 83/349/EHS (Úř. věst. L 182, 29.6.2013, s. 19).