Tidende |
DA Serie C |
C/2023/1019 |
16.11.2023 |
Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til en forordning om betalingstjenester i det indre marked og forslaget til et direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked
(C/2023/1019)
(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på EDPS' websted https://edps.europa.eu)
Den 28. juni 2023 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om betalingstjenester i det indre marked og om ændring af forordning (EU) nr. 1093/2010 (»PSR-forslaget«) og et forslag til Europa-Parlamentets og Rådets direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked, om ændring af direktiv 98/26/EF og om ophævelse af direktiv (EU) 2015/2366 og 2009/110/EF (»PSD3-forslaget«), i det følgende samlet benævnt »forslagene«.
Betalingstjenester involverer ofte behandling af personoplysninger, som kan afsløre følsomme oplysninger om den enkelte registrerede. EDPS glæder sig derfor over de bestræbelser, der er gjort for at sikre overensstemmelse med den generelle forordning om databeskyttelse (»GDPR«). EDPS understreger også behovet for klart at skelne mellem »tilladelser« i henhold (1) til forslaget og det juridiske grundlag for behandling af personoplysninger i henhold til GDPR.
Ét af formålene med forslaget er at gøre det muligt for udbydere af betalingssystemer og betalingstjenester at behandle særlige kategorier af personoplysninger i offentlighedens interesse i et velfungerende indre marked for betalingstjenester. Da behandlingen af sådanne data kan udgøre et alvorligt indgreb i retten til respekt for privatlivet og til beskyttelse af personoplysninger, er det vigtigt, at lovgivningen er konkret nok til at vise den objektive forbindelse mellem hver datakategori i en specifik betalingssammenhæng og det mål af almen interesse, der skal nås.
EDPS glæder sig over, at kontoførende betalingstjenesteudbydere i henhold til forslaget ville skulle stille et dashboard til rådighed for brugere til overvågning og administration af den tilladelse, de har givet. For yderligere at reducere risikoen for, at kontoførende betalingstjenesteudbydere deler personoplysninger på ulovlig vis, anbefaler EDPS:
— |
at sikre, at dashboardet henviser til de(n) specifikke udpegede betalingstjeneste(r), hvortil der er givet tilladelse |
— |
at sikre, at anmodninger om adgang forbliver begrænset til, hvad der er nødvendigt for at levere den ønskede tjeneste |
— |
at sikre klarhed med hensyn til retsgrundlaget for anmodninger om adgang |
— |
at give kontoførende betalingstjenesteudbydere mulighed for at kontrollere den tilladelse, som betalingstjenestebrugeren har givet, eller at indføre passende alternative garantier i PSR-forslaget. |
Endelig anbefaler EDPS, at der sikres et tæt samarbejde mellem kompetente myndigheder i henhold til forslaget og tilsynsmyndigheder for databeskyttelse for at sikre sammenhæng mellem anvendelsen og håndhævelsen af forslaget og EU's databeskyttelseslovgivning. EDPS anbefaler derfor, at der i artikel 93, stk. 3, i PSR-forslaget udtrykkeligt henvises til de tilsynsmyndigheder, der er ansvarlige for at overvåge og håndhæve databeskyttelseslovgivningen.
1. Introduktion
1. |
Den 28. juni 2023 fremsatte Europa-Kommissionen et forslag til Europa-Parlamentets og Rådets forordning om betalingstjenester i det indre marked og om ændring af forordning (EU) nr. 1093/2010 (»PSR-forslaget«) (2) og et forslag til Europa-Parlamentets og Rådets direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked, om ændring af direktiv 98/26/EF og om ophævelse af direktiv (EU) 2015/2366 og 2009/110/EF (»forslaget om et tredje betalingstjenestedirektiv« eller »PSD3-forslaget«) (3), i det følgende samlet benævnt »forslagene«. |
2. |
Der er knyttet tre bilag til både PSR-forslaget og PSD3-forslaget (seks bilag i alt), som beskriver de typer af betalingstjenester (bilag I) og de typer af elektroniske pengetjenester (bilag II), der er omfattet af udkastene til forslag. Endelig indeholder bilag III en sammenligningstabel over henholdsvis bestemmelserne i direktiv (EU) 2015/2366 og direktiv 2009/110/EF og bestemmelserne i forslagene. |
3. |
EDPS bemærker, at de typer af tjenester, der er omfattet af forslagene, i det væsentlige synes at være de samme som dem, der er omfattet af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (»PSD2«) (4). |
4. |
De specifikke mål med PSR-forslaget (5) er:
|
5. |
Forslagene fremlægges i sammenhæng med forslaget til en forordning om adgang til finansielle data (»FIDA-forslaget«) (6), som bl.a. omfatter adgang til andre finansielle data end betalingskontodata, som falder ind under anvendelsesområdet for de forslag, der er genstand for denne udtalelse (7). |
6. |
I det væsentlige ville PSR-forslaget:
|
7. |
PSD3-forslaget er i vid udstrækning baseret på afsnit II i det nuværende PSD2 vedrørende »udbydere af betalingstjenester«, som kun gælder for betalingsinstitutter. Det ajourfører og præciserer bestemmelserne vedrørende betalingsinstitutter og integrerer e-pengeinstitutter som en underkategori af betalingsinstitutter. Det indeholder også bestemmelser om kontanthævningstjenester leveret af detailhandlere eller uafhængige pengeautomater (16). |
8. |
Denne udtalelse fra EDPS er afgivet på grundlag af Europa-Kommissionens høring af 29. juni 2023 i medfør af artikel 42, stk. 1, i EUDPR. EDPS ser med tilfredshed på henvisningen til denne høring i betragtning 147 i PSR-forslaget og betragtning 77 i PSD3-forslaget. I den forbindelse glæder EDPS sig ligeledes over allerede at være blevet hørt uformelt om forslagene i medfør af betragtning 60 i EUDPR. |
12. Konklusioner
52. |
På baggrund af ovenstående fremsætter EDPS følgende henstillinger:
|
Bruxelles, den 22. august 2023.
Wojciech Rafał WIEWIÓROWSKI
(1) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
(2) COM(2023) 367 final.
(3) COM(2023) 366 final.
(4) Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, om ændring af direktiv 2002/65/EF, 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og om ophævelse af direktiv 2007/64/EF (EUT L 337 af 23.12.2015, s. 35).
(5) COM(2023) 367 final, side 5-6.
(6) COM(2023) 360 final.
(7) COM(2023) 367 final, side 4.
(8) Artikel 4-26 i PSR-forslaget.
(9) Artikel 35-38 i PSR-forslaget.
(10) Artikel 43 i PSR-forslaget.
(11) Artikel 80 i PSR-forslaget.
(12) Artikel 82-84 i PSR-forslaget.
(13) Artikel 85-86 i PSR-forslaget.
(14) Kapitel 8 i PSR-forslaget.
(15) Kapitel 9 i PSR-forslaget.
(16) COM(2023) 367 final, side 7.
ELI: http://data.europa.eu/eli/C/2023/1019/oj
ISSN 1977-0871 (electronic edition)