28.9.2011   

DA

Den Europæiske Unions Tidende

C 284/1

1.

Den 16. december 2010 vedtog Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om tekniske krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning (EF) nr. 924/2009 (i det følgende benævnt »forslaget«).

2.

Kommissionen fremsendte forslaget til EDPS den 3. januar 2011. EDPS opfatter denne henvendelse som en anmodning om at rådgive Fællesskabets institutioner og organer i henhold til artikel 28, stk. 2, i forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (i det følgende benævnt »forordning (EF) nr. 45/2001«). Tidligere (3), inden forslaget blev vedtaget, gav Kommissionen EDPS mulighed for at fremsætte uformelle bemærkninger. EDPS glæder sig over åbenheden i processen, som har bidraget til at forbedre teksten, hvad angår databeskyttelsen, i en tidlig fase. Nogle af disse bemærkninger er blevet indarbejdet i forslaget. EDPS vil hilse en udtrykkelig henvisning til den igangværende høring i præamblen til forslaget velkommen.

3.

Siden oprettelsen af Det Europæiske Økonomiske Fællesskab er der sket en gradvis udvikling i retning af et mere integreret europæisk finansielt marked. På betalingsområdet var de tydeligste skridt indførelsen af euroen som fælles valuta i 1999, og at eurosedler og -mønter blev sat i omløb i 2002.

4.

Indtil videre håndteres og behandles ikke-kontante betalinger i euro med begrænset værdi (op til 50 000 EUR) dog stadig vidt forskelligt rundt om i EU. Dette betyder, at gebyrerne på grænseoverskridende betalinger inden for EU i gennemsnit er højere end på indenlandske betalinger. I en europæisk forordning om grænseoverskridende betalinger i euro (forordning (EF) nr. 2560/2001) fastslog man bl.a., at betalingsgebyrer for grænseoverskridende betalinger i euro inden for EU ikke længere måtte være højere end for tilsvarende indenlandske betalinger i euro. Som reaktion på denne forordning oprettede den europæiske banksektor European Payments Council (»EPC«) som et koordinations- og beslutningsorgan for betalingsspørgsmål og iværksatte projektet med det fælles eurobetalingsområde (»SEPA«). I 2009 erstattede forordning (EF) nr. 924/2009 forordning (EF) nr. 2560/2001, og princippet om ensartede gebyrer på direkte debiteringer blev udvidet og indført for grænseoverskridende betalinger fra november 2009.

5.

Desuden har direktiv 2007/64/EF (»betalingstjenestedirektivet«) til formål at sikre en harmonisering af nationale love vedrørende betalinger i Den Europæiske Union. Målet er at indføre standardiserede betingelser og rettigheder for betalingstjenester og gøre grænseoverskridende betalinger lige så nemme, effektive og sikre som »nationale« betalinger inden for en medlemsstat. Med betalingstjenestedirektivet søger man ligeledes at øge konkurrencen ved at åbne betalingsmarkedet for nye markedsdeltagere.

6.

SEPA har til formål at indføre et indre marked for detailbetalinger i euro ved at afskaffe de tekniske, juridiske og markedsmæssige hindringer, der stammer fra perioden før indførelsen af den fælles valuta. Når SEPA er gennemført, vil der ikke være nogen forskel på nationale og grænseoverskridende eurobetalinger: De vil alle være indenlandske. SEPA dækker ikke bare euroområdet, men hele Den Europæiske Union (EU) samt Island, Liechtenstein, Monaco, Norge og Schweiz. Det betyder, at lande uden for euroområdet kan indføre SEPA's standarder og praksis til deres eurobetalinger.

7.

Forslaget gælder kreditoverførsler og direkte debiteringer. En kreditoverførsel er en betaling, som betaleren iværksætter ved at sende en instruktion til sin bank. Derefter flytter banken pengene til betalingsmodtagerens bank. Dette kan ske via flere forskellige formidlere. Ved direkte debiteringer giver betaleren på forhånd betalingsmodtageren tilladelse til at hæve penge på sin bankkonto. Betaleren giver dermed sin bank »mandat« til at overføre penge til betalingsmodtagerens konto. Direkte debiteringer anvendes ofte til gentagne betalinger til f.eks. forsyningsvirksomheder, men kan også bruges til engangsbetalinger. I dette tilfælde giver betaleren tilladelse til en enkelt betaling.

8.

Indførelsen og videreudviklingen af SEPA indebærer flere databehandlingsoperationer: navne, kontonumre og aftaleindhold skal udveksles direkte mellem betalere og betalingsmodtagere og indirekte gennem deres respektive betalingstjenesteudbydere for at garantere, at overførslerne fungerer problemfrit. Med henblik herpå indeholder forslaget også en artikel om »Interoperabilitet«, hvori man slår til lyd for indførelse af standardregler for nationale og grænseoverskridende transaktioner og eksplicit erklærer, at der ikke må indføres tekniske hindringer for behandling af kreditoverførsler og direkte debiteringer. De forskellige erhvervsdrivende, der beskæftiger sig med de aktiviteter, som forslaget dækker, er omfattet af forskellige nationale lovgivninger til gennemførelse af direktiv 95/46/EF.

9.

EDPS understreger, at udveksling og behandling af personoplysninger vedrørende betalere og betalingsmodtagere og med de forskellige udbydere af betalingstjenester skal ske i henhold til principperne om nødvendighed, proportionalitet og formålsbegrænsning. Videresendelse af oplysninger gennem de forskellige formidlere skal ligeledes ske under overholdelse af fortrolighedsprincippet og princippet om behandlingssikkerhed, jf. artikel 16 og 17 i direktiv 95/46/EF.

10.

Med forslaget pålægges de kompetente nationale myndigheder også en ny rolle, idet de skal overvåge, at forordningen overholdes, og træffe alle de nødvendige foranstaltninger for at sikre denne overholdelse. Denne rolle er af grundlæggende betydning med henblik på at sikre en effektiv gennemførelse af SEPA, men kan også betyde, at myndighederne tildeles omfattende beføjelser til viderebehandling af personoplysninger. I samme forbindelse skal de kompetente nationale myndigheders adgang til personoplysninger ligeledes være i overensstemmelse med principperne om nødvendighed, proportionalitet og formålsbegrænsning.

11.

Selv om forslaget ikke bør indeholde alt for detaljerede bestemmelser om overholdelse af databeskyttelsesprincipperne, som sikres gennem deres anvendelse på behandlingsoperationerne i den nationale lovgivning til gennemførelse af direktiv 95/46/EF, foreslår EDPS en række forbedringer af teksten med henblik på at præcisere den yderligere.

12.

EDPS glæder siger over, at direktiv 95/46/EF nævnes i forslagets betragtning 26. Men for at afspejle det forhold, at den korrekte referenceramme er de forskellige nationale love til gennemførelse af et sådant direktiv, og for at understrege, at alle transaktioner i forbindelse med behandling af personoplysninger skal gennemføres i henhold til gennemførelsesbestemmelserne, kan begrundelsens tekst ændres som følger: »Enhver behandling af personoplysninger i henhold til denne forordning skal ske i overensstemmelse med de relevante nationale love til gennemførelse af direktiv 95/46/EF«.

13.

I forslagets artikel 6 indføres et forbud mod indførelse af multilaterale interbankgebyrer (4) pr. direkte debitering og andre aftalte vederlag med samme formål eller virkning. Multilaterale interbankgebyrer kan desuden finde anvendelse på direkte debiteringer, som en betalingstjenesteudbyder ikke kan gennemføre behørigt (afviste eller returnerede operationer, de såkaldte R-transaktioner), forudsat at en række betingelser er opfyldt.

14.

I forslagets artikel 8 indføres forpligtelser for en betaler, der anvender kreditoverførsler, og en betalingsmodtager, der anvender direkte debiteringer. En betaler må ikke nægte at foretage kreditoverførsler til betalingskonti hos betalingstjenesteudbydere, som er etableret i en anden medlemsstat og med adgang (5) i overensstemmelse med artikel 3. En betalingsmodtager, som modtager midler på sin betalingskonto fra andre betalingskonti hos betalingstjenesteudbydere etableret i den samme medlemsstat, må ikke nægte at modtage direkte debiteringer fra betalingskonti hos betalingstjenesteudbydere, som er etableret i en anden medlemsstat.

15.

I forslagets artikel 9 kræves det, at medlemsstaterne skal udpege de kompetente myndigheder, der bærer ansvaret for at sikre, at forordningen overholdes. Disse myndigheder skal have de nødvendige beføjelser til at kunne varetage deres opgaver og skal overvåge overholdelsen og træffe alle nødvendige forholdsregler for at sikre overholdelsen. Desuden anføres det i artikel 9, stk. 3, at hvis der findes mere end én kompetent myndighed for de emner, som omfattes af denne forordning, på medlemsstaternes område, sikrer medlemsstaterne, at disse myndigheder indgår i et tæt samarbejde, således at de kan varetage deres respektive opgaver effektivt. I artikel 10 pålægges medlemsstaterne pligt til at fastsætte bestemmelser om sanktioner for overtrædelse af forordningen og til at sikre gennemførelsen af disse bestemmelser. Disse sanktioner skal være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning.

16.

På grundlag af disse artikler får de nationale myndigheder beføjelser til at overvåge eventuelle overtrædelser af alle forpligtelser i forslaget og til at indføre sanktioner, herunder sanktionerne vedrørende forpligtelserne i artikel 6 og 8. Disse beføjelser har stor potentiel indvirkning på beskyttelsen af privatpersoners personoplysninger: Myndighederne kan have generel adgang til oplysninger om alle overførsler (både via kreditoverførsler og via direkte debitering) af penge mellem private for at kontrollere, om der ulovligt opkræves multilaterale interbankgebyrer, eller om overførslerne nægtes i strid med bestemmelserne i artikel 6 og 8. Disse beføjelser omfatter behandling af personoplysninger (navne på de involverede fysiske personer, deres bankkontonumre og størrelsen af de beløb, der skal modtages eller overføres).

17.

Selvom enhver sådan behandling af personoplysninger skal foregå i overensstemmelse med de nationale bestemmelser for gennemførelse af direktiv 95/46/EF, ønsker EDPS at understrege, at overvågningsforpligtelsen allerede bør vurderes i forslaget i lyset af proportionalitets- og nødvendighedsprincippet, jf. artikel 6, stk. 1, litra c), i direktiv 95/46/EF. Når man i denne forbindelse kigger på navnlig artikel 6 og 8, vil det efter EDPS' mening være mere hensigtsmæssigt at indføre et system, hvor de kompetente myndigheders behandling af personoplysninger udelukkende sker med udgangspunkt i enkeltsager. Dette vil betyde, at myndigheden hovedsagelig vil gribe ind og behandle en bestemt betalers og/eller betalingsmodtagers personoplysninger, når der foreligger en specifik årsag til det, f.eks. hvis en betaler eller betalingsmodtager indgiver en klage over en overtrædelse af artikel 6 eller 8, eller i forbindelse med en målrettet undersøgelse, som myndigheden indleder af egen drift, eventuelt på grundlag af oplysninger fra tredjemand.

18.

Effektiviteten af overensstemmelseskontrollen vil blive sikret i form af en mekanisme, der giver klageren mulighed for at indgive sin klage eller en tredjemand mulighed for at indgive oplysninger og få en hurtig reaktion fra myndigheden, eventuelt et pålæg til den anden part om at overholde bestemmelserne i artikel 6 og 8. Forslagets artikel 11 indeholder faktisk allerede regler om tilstrækkelige og effektive udenretslige klage- og erstatningsprocedurer til bilæggelse af tvister mellem brugere af betalingstjenester og deres udbydere af betalingstjenester (hvilket dækker situationen i artikel 6). For at tilskynde til overholdelse af bestemmelserne i artikel 8 uden at give de nationale myndigheder omfattende og generel adgang til personoplysninger foreslår EDPS, at bestemmelsen i artikel 11 ligeledes skal dække tvister mellem betalere og betalingsmodtagere.

19.

EDPS bemærker ligeledes, at tilsynsaktiviteterne kan omfatte overførsel af personoplysninger mellem kompetente nationale myndigheder fra forskellige medlemsstater i forbindelse med det tætte samarbejde, der nævnes i artikel 9, stk. 3. I lyset af de omfattende beføjelser, som de nationale myndigheder tildeles med henblik på overvågning af overholdelsen af forordningen (og selv, hvis ovenstående forslag til begrænsninger af artikel 6 og 8 gennemføres), foreslår EDPS, at teksten skal indeholde en udtrykkelig passus om, at enhver udveksling af personoplysninger mellem disse skal ske under overholdelse af relevante databeskyttelsesprincipper. Sådanne udvekslinger må navnlig ikke gennemføres i store mængder, men kun i forbindelse med specifikke sager, hvor man på forhånd har en formodning om, at forordningen kan være overtrådt. Derfor kan følgende sætning tilføjes til artikel 9, stk. 3: »Udveksling af personoplysninger mellem kompetente myndigheder i forbindelse med et sådant tæt samarbejde må kun ske i enkeltsager, når der foreligger en rimelig formodning om, at forordningen er overtrådt, og under overholdelse af principperne om nødvendighed, proportionalitet and formålsbegrænsning«.

20.

Bilaget til forslaget indeholder de tekniske krav, der skal overholdes ved kreditoverførsler og direkte debiteringer, jf. forslagets artikel 5. Formålet med at indføre disse krav er at opnå harmoniserede identifikations- og kommunikationsformater for at sikre interoperabilitet ved kreditoverførsler og direkte debiteringsoperationer mellem medlemsstaterne.

21.

I denne forbindelse udfører formidlere (udbydere af betalingstjenester) behandling af personoplysninger i forskellige situationer (6):

22.

Selvom enhver behandling af personoplysninger skal foregå under overholdelse af den relevante nationale lovgivning til gennemførelse af direktiv 95/46/EF, nævner man kun i forslaget, at overførsler vedrørende ovenstående situation a) skal udføres »i overensstemmelse med de krav, der er fastlagt i den nationale lovgivning til gennemførelse af direktiv 95/46/EF«. For at undgå fejlfortolkninger foreslår EDPS, at sådanne henvisninger til direktivet også skal indsættes i forbindelse med artikel 3, litra b), og 3, litra g). Hvis teksten i betragtning 26 ændres som foreslået ovenfor, kan henvisningen til direktiv 95/46/EF imidlertid udelades fra artikel 2, litra b).

23.

EDPS glæder sig over forslagets specifikke henvisning til direktiv 95/46/EF. Man foreslår dog nogle mindre ændringer af teksten for at præcisere, at databeskyttelsesprincipperne skal gælde for de behandlingsoperationer, som forslaget indeholder. Især bør: