Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023XX01019

    Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til en forordning om betalingstjenester i det indre marked og forslaget til et direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked (Udtalelsen findes i sin helhed på engelsk, fransk og tysk på EDPS' websted https://edps.europa.eu)

    EUT C, C/2023/1019, 16.11.2023, ELI: http://data.europa.eu/eli/C/2023/1019/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    European flag

    Tidende
    Den Europæiske Unions

    DA

    Serie C

    C/2023/1019

    16.11.2023

    Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til en forordning om betalingstjenester i det indre marked og forslaget til et direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked

    (C/2023/1019)

    (Udtalelsen findes i sin helhed på engelsk, fransk og tysk på EDPS' websted https://edps.europa.eu)

    Den 28. juni 2023 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om betalingstjenester i det indre marked og om ændring af forordning (EU) nr. 1093/2010 (»PSR-forslaget«) og et forslag til Europa-Parlamentets og Rådets direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked, om ændring af direktiv 98/26/EF og om ophævelse af direktiv (EU) 2015/2366 og 2009/110/EF (»PSD3-forslaget«), i det følgende samlet benævnt »forslagene«.

    Betalingstjenester involverer ofte behandling af personoplysninger, som kan afsløre følsomme oplysninger om den enkelte registrerede. EDPS glæder sig derfor over de bestræbelser, der er gjort for at sikre overensstemmelse med den generelle forordning om databeskyttelse (»GDPR«). EDPS understreger også behovet for klart at skelne mellem »tilladelser« i henhold (1) til forslaget og det juridiske grundlag for behandling af personoplysninger i henhold til GDPR.

    Ét af formålene med forslaget er at gøre det muligt for udbydere af betalingssystemer og betalingstjenester at behandle særlige kategorier af personoplysninger i offentlighedens interesse i et velfungerende indre marked for betalingstjenester. Da behandlingen af sådanne data kan udgøre et alvorligt indgreb i retten til respekt for privatlivet og til beskyttelse af personoplysninger, er det vigtigt, at lovgivningen er konkret nok til at vise den objektive forbindelse mellem hver datakategori i en specifik betalingssammenhæng og det mål af almen interesse, der skal nås.

    EDPS glæder sig over, at kontoførende betalingstjenesteudbydere i henhold til forslaget ville skulle stille et dashboard til rådighed for brugere til overvågning og administration af den tilladelse, de har givet. For yderligere at reducere risikoen for, at kontoførende betalingstjenesteudbydere deler personoplysninger på ulovlig vis, anbefaler EDPS:

    at sikre, at dashboardet henviser til de(n) specifikke udpegede betalingstjeneste(r), hvortil der er givet tilladelse

    at sikre, at anmodninger om adgang forbliver begrænset til, hvad der er nødvendigt for at levere den ønskede tjeneste

    at sikre klarhed med hensyn til retsgrundlaget for anmodninger om adgang

    at give kontoførende betalingstjenesteudbydere mulighed for at kontrollere den tilladelse, som betalingstjenestebrugeren har givet, eller at indføre passende alternative garantier i PSR-forslaget.

    Endelig anbefaler EDPS, at der sikres et tæt samarbejde mellem kompetente myndigheder i henhold til forslaget og tilsynsmyndigheder for databeskyttelse for at sikre sammenhæng mellem anvendelsen og håndhævelsen af forslaget og EU's databeskyttelseslovgivning. EDPS anbefaler derfor, at der i artikel 93, stk. 3, i PSR-forslaget udtrykkeligt henvises til de tilsynsmyndigheder, der er ansvarlige for at overvåge og håndhæve databeskyttelseslovgivningen.

    1.   Introduktion

    1.

    Den 28. juni 2023 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om betalingstjenester i det indre marked og om ændring af forordning (EU) nr. 1093/2010 (»PSR-forslaget«) (2) og et forslag til Europa-Parlamentets og Rådets direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked, om ændring af direktiv 98/26/EF og om ophævelse af direktiv (EU) 2015/2366 og 2009/110/EF (»forslaget om et tredje betalingstjenestedirektiv« eller »PSD3-forslaget«) (3), i det følgende samlet benævnt »forslagene«.

    2.

    Der er knyttet tre bilag til både PSR-forslaget og PSD3-forslaget (seks bilag i alt), som beskriver de typer af betalingstjenester (bilag I) og de typer af elektroniske pengetjenester (bilag II), der er omfattet af udkastene til forslag. Endelig indeholder bilag III en sammenligningstabel over henholdsvis bestemmelserne i direktiv (EU) 2015/2366 og direktiv 2009/110/EF og bestemmelserne i forslagene.

    3.

    EDPS bemærker, at de typer af tjenester, der er omfattet af forslagene, i det væsentlige synes at være de samme som dem, der er omfattet af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (»PSD2«) (4).

    4.

    De specifikke mål med PSR-forslaget (5) er:

    a.

    at styrke brugerbeskyttelsen og tilliden til betalinger, især ved at: forbedre anvendelsen af stærk kundeautentifikation, skabe et retsgrundlag for udveksling af oplysninger om svig, udvide IBAN-verifikationen (verifikationen af det internationale bankkontonummer) til at omfatte alle kreditoverførsler, og forbedre brugerrettigheder og -information

    b.

    at forbedre open banking-tjenesters konkurrenceevne ved: i) at kræve, at kontoførende betalingstjenesteudbydere indfører en særlig grænseflade for dataadgang og »tilladelsesdashboards«, så brugerne kan administrere deres tildelte open banking-adgangstilladelser, og ii) at fastsætte mere detaljerede specifikationer af minimumskrav til open banking-datagrænseflader

    c.

    at forbedre håndhævelsen og gennemførelsen af de retlige rammer for betalingstjenester i medlemsstaterne, navnlig ved at: erstatte PSD2 med en forordning (»PSR-forslaget«), der finder direkte anvendelse, og som præciserer aspekter af PSD2, som er uklare, og forbedre samarbejdet mellem kompetente myndigheder og andre myndigheder

    d.

    at forbedre (direkte eller indirekte) adgangen til betalingssystemer og bankkonti for betalingstjenesteudbydere, der ikke er banker, herunder betalingsinitieringstjenesteudbydere (PISP'er) og kontooplysningstjenesteudbydere (AISP'er).

    5.

    Forslagene fremlægges i sammenhæng med forslaget til en forordning om adgang til finansielle data (»FIDA-forslaget«) (6), som bl.a. omfatter adgang til andre finansielle data end betalingskontodata, som falder ind under anvendelsesområdet for de forslag, der er genstand for denne udtalelse (7).

    6.

    I det væsentlige ville PSR-forslaget:

    a.

    opstille krav om åbenhed om betingelserne for og oplysningskravene til betalingstjenester (8)

    b.

    fastlægge rettigheder og forpligtelser i forbindelse med udbud og brug af betalingstjenester, herunder regler om dataadgangsgrænseflader for kontooplysningstjenester og betalingsinitieringstjenester (9) og om betalingstjenestebrugeres forvaltning af dataadgang (10), om databeskyttelse (11), om mekanismer til indberetning af svig og overvågning af transaktioner og udveksling af data om svig (12), om stærk kundeautentifikation (13), om fuldbyrdelsesprocedurer, kompetente myndigheder og sanktioner (14), om Den Europæiske Banktilsynsmyndigheds (EBA's) interventionsbeføjelser (15).

    7.

    PSD3-forslaget er i vid udstrækning baseret på afsnit II i det nuværende PSD2 vedrørende »udbydere af betalingstjenester«, som kun gælder for betalingsinstitutter. Det ajourfører og præciserer bestemmelserne vedrørende betalingsinstitutter og integrerer e-pengeinstitutter som en underkategori af betalingsinstitutter. Det indeholder også bestemmelser om kontanthævningstjenester leveret af detailhandlere eller uafhængige pengeautomater (16).

    8.

    Denne udtalelse fra EDPS er afgivet på grundlag af Europa-Kommissionens høring af 29. juni 2023 i medfør af artikel 42, stk. 1, i EUDPR. EDPS ser med tilfredshed på henvisningen til denne høring i betragtning 147 i PSR-forslaget og betragtning 77 i PSD3-forslaget. I den forbindelse glæder EDPS sig ligeledes over allerede at være blevet hørt uformelt om forslagene i medfør af betragtning 60 i EUDPR.

    12.   Konklusioner

    52.

    		 På baggrund af ovenstående fremsætter EDPS følgende henstillinger:

    (1)

    at skelne klart mellem udtrykket »tilladelse« og retsgrundlaget for behandling i henhold til GDPR ved at præcisere følgende i betragtning 62 i PSR-forslaget: »Tilladelse bør ikke fortolkes som »samtykke« eller »udtrykkeligt samtykke« eller »behovet for opfyldelse af en kontrakt« som defineret i forordning (EU) 2016/679«

    (2)

    ved hjælp af en betragtning at præcisere, at tilladelsen fra betalingstjenestebrugeren ikke berører betalingsinitieringstjenesteudbyderes og kontooplysningstjenesteudbyderes forpligtelser i henhold til artikel 6 og 9 i forordning (EU) 2016/679

    (3)

    at genoverveje forbuddet i artikel 49, stk. 4, i PSR-forslaget gældende for kontoførende betalingstjenesteudbydere mod at kontrollere tilladelsen, eller at indføre passende alternative garantier i den dispositive del af PSR-forslaget for at beskytte betalingstjenestebrugere mod den risiko for potentiel ulovlig deling af personoplysninger fra kontoførende betalingstjenesteudbyderes side, som dette forbud kan indebære

    (4)

    at ændre artikel 46, stk. 2, litra a), og artikel 47, stk. 2, litra a), i PSR-forslaget, så det fremhæves, at betalingsinitieringstjenesteudbydere og kontooplysningstjenesteudbydere ikke har adgang til personaliserede sikkerhedsoplysninger

    (5)

    i artikel 3, stk. 38, i PSR-forslaget at præcisere »følsomme betalingsdata«, navnlig ved at specificere, hvilke typer af personoplysninger der er omfattet af denne definition

    (6)

    i artikel 80 i PSR-forslaget at specificere, i relation til hvilke(n) specifik(ke) type(r) udpeget/udpegede betalingstjeneste(r) betalingssystemerne og betalingstjenesteudbyderen ville have ret til at behandle (hvilke kategorier af) særlige kategorier af personoplysninger

    (7)

    i artikel 80 i PSR-forslaget at begrunde (i en betragtning), hvorfor behandlingen af de særlige kategorier af personoplysninger for de(n) udpegede betalingstjeneste(r) er nødvendig og forholdsmæssig og ikke kan undgås ved hjælp af alternative tekniske midler

    (8)

    at indføje en henvisning til login-registrering (for at verificere, om uretmæssig adgang har fundet sted) blandt de sikkerhedsforanstaltninger, der henvises til i artikel 80 i PSR-forslaget

    (9)

    i artikel 43, stk. 2, litra a), at indføje en henvisning til de(n) udpegede betalingstjeneste(r), for hvilke(n) betalingstjenestebrugeren har givet sin tilladelse

    (10)

    i artikel 47, stk. 2, om kontooplysningstjenesteudbyderes forpligtelser, at tilføje kravet under artikel 46, stk. 2, litra b), i henhold til hvilket betalingstjenesteudbydere kun kan anmode betalingstjenestebrugeren om de oplysninger, der er nødvendige for at levere den ønskede tjeneste

    (11)

    i artikel 43, stk. 4, litra b), at kræve, at betalingstjenesteudbydere og kontooplysningstjenesteudbydere oplyser kontoførende betalingstjenesteudbydere om den kundekonto, hvortil der anmodes om adgang, og om retsgrundlaget i henhold til artikel 6, stk. 1, i GDPR og (hvis relevant) den undtagelse i henhold til artikel 9, stk. 2, i GDPR, som de ville anvende til at få adgang til betalingstjenestebrugerens personoplysninger

    (12)

    i artikel 43, litra b), at præcisere, at dashboardet ikke bør udformes på en måde, der ville tilskynde eller uretmæssigt påvirke betalingstjenestebrugere til at give deres tilladelse eller trække den tilbage

    (13)

    klart at fastlægge de kategorier af personoplysninger, som betalingstjenesteudbydere ville have lov til at behandle i forbindelse med mekanismer til overvågning af transaktioner (især ved at præcisere »oplysninger om betalingstjenestebrugeren«, som anvendt i artikel 83, stk. 2, litra a))

    (14)

    i artikel 83 at fastlægge passende datalagringsperioder for de indsamlede personoplysninger

    (15)

    i artikel 3 i PSR-forslaget at indføje en definition af »informationsudvekslingsaftale«

    (16)

    i PSR-forslaget at tilsikre, at enhver behandling af personoplysninger med henblik på at overholde de retlige forpligtelser til forebyggelse af svig i henhold til artikel 83 kun kan finde sted til dette specifikke formål og ikke kan føre til ophør af kundeforholdet med betalingstjenesteudbyderen eller påvirke betalingstjenestebrugerens onboarding hos en anden betalingstjenesteudbyder

    (17)

    at de tilsynsmyndigheder, der er ansvarlige for at føre tilsyn med og håndhæve databeskyttelseslovgivningen, udtrykkeligt nævnes i artikel 93, stk. 3, i PSR-forslaget.

    Bruxelles, den 22. august 2023.

    Wojciech Rafał WIEWIÓROWSKI

    (1)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

    (2)  COM(2023) 367 final.

    (3)  COM(2023) 366 final.

    (4)  Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35).

    (5)  COM(2023) 367 final, side 5-6.

    (6)  COM(2023) 360 final.

    (7)  COM(2023) 367 final, side 4.

    (8)  Artikel 4-26 i PSR-forslaget.

    (9)  Artikel 35-38 i PSR-forslaget.

    (10)  Artikel 43 i PSR-forslaget.

    (11)  Artikel 80 i PSR-forslaget.

    (12)  Artikel 82-84 i PSR-forslaget.

    (13)  Artikel 85-86 i PSR-forslaget.

    (14)  Kapitel 8 i PSR-forslaget.

    (15)  Kapitel 9 i PSR-forslaget.

    (16)  COM(2023) 367 final, side 7.

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    ISSN 1977-0871 (electronic edition)

    Top