Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta, joka koskee ehdotusta asetukseksi maksupalveluista sisämarkkinoilla ja ehdotusta direktiiviksi maksupalveluista ja sähköisen rahan palveluista sisämarkkinoilla

(C/2023/1019)

(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivustolla https://edps.europa.eu)

Euroopan komissio antoi 28. kesäkuuta 2023 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi maksupalveluista sisämarkkinoilla ja asetuksen (EU) N:o 1093/2010 muuttamisesta, jäljempänä ’maksupalveluasetusta koskeva ehdotus’, ja ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi maksupalveluista ja sähköisen rahan palveluista sisämarkkinoilla, direktiivin 98/26/EY muuttamisesta sekä direktiivien 2015/2366/EU ja 2009/110/EY kumoamisesta, jäljempänä ’ehdotus kolmanneksi maksupalveludirektiiviksi’, jäljempänä yhdessä ”ehdotukset”.

Maksupalveluissa käsitellään usein henkilötietoja, jotka voivat paljastaa yksittäistä rekisteröityä koskevia arkaluonteisia tietoja. Siksi tietosuojavaltuutettu suhtautuu myönteisesti pyrkimyksiin varmistaa johdonmukaisuus yleisen tietosuoja-asetuksen kanssa. Tietosuojavaltuutettu korostaa myös tarvetta tehdä selkeä ero ehdotuksen mukaisten (1) ”lupien” ja yleisen tietosuoja-asetuksen mukaisen henkilötietojen käsittelyn oikeusperustan välillä.

Tavoitteena on antaa maksujärjestelmien ja maksupalvelujen tarjoajille mahdollisuus käsitellä erityisiä henkilötietoryhmiä maksupalvelujen sisämarkkinoiden moitteettoman toimintaan liittyvän yleisen edun vuoksi. Koska tällaisten tietojen käsittely voi merkitä vakavaa puuttumista yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin oikeuksiin, on tärkeää, että lainsäädäntö on riittävän täsmällinen, jotta voidaan osoittaa aito yhteys tietyn maksun osalta kunkin henkilötietoryhmän ja saavutettavan yleisen edun mukaisen tavoitteen välillä.

Euroopan tietosuojavaltuutettu on tyytyväinen siihen, että ehdotuksessa edellytetään, että tiliä ylläpitävät maksupalveluntarjoajat antavat käyttäjälle lupahallintanäkymän, jonka avulla hän voi seurata ja hallinnoida myöntämäänsä lupaa. Jotta voidaan edelleen vähentää riskiä siitä, että tiliä ylläpitävät maksupalveluntarjoajat jakavat henkilötietoja lainvastaisesti, Euroopan tietosuojavaltuutettu suosittelee

—	varmistamaan, että lupahallintanäkymässä viitataan tiettyihin erikseen määriteltyihin maksupalveluihin, joita varten on käyttäjän myöntämä lupa

—	varmistamaan, että käyttölupapyynnöt rajoittuvat pyydetyn palvelun tarjoamisen kannalta välttämättömään

—	varmistamaan, että käyttölupapyyntöjen oikeusperusta on selkeä

—	annetaan tiliä ylläpitäville maksupalveluntarjoajille mahdollisuus tarkistaa maksupalvelunkäyttäjän antama lupa tai asetetaan maksupalveluasetusta koskevassa ehdotuksessa asianmukaiset vaihtoehtoiset suojatoimet.

Lopuksi Euroopan tietosuojavaltuutettu suosittelee, että varmistetaan tiivis yhteistyö ehdotuksen mukaisten toimivaltaisten viranomaisten ja tietosuojavalvontaviranomaisten välillä, jotta voidaan taata yhdenmukaisuus ehdotuksen soveltamisen ja täytäntöönpanon ja EU:n tietosuojalainsäädännön välillä. Näin ollen Euroopan tietosuojavaltuutettu suosittelee, että maksupalveluasetusta koskevan ehdotuksen 93 artiklan 3 kohdassa viitataan nimenomaisesti tietosuojalainsäädännön valvonnasta ja täytäntöönpanosta vastaaviin valvontaviranomaisiin.

1. Johdanto

Euroopan komissio antoi 28. kesäkuuta 2023 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi maksupalveluista sisämarkkinoilla ja asetuksen (EU) N:o 1093/2010 muuttamisesta, jäljempänä ’maksupalveluasetusta koskeva ehdotus’ (2), ja ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi maksupalveluista ja sähköisen rahan palveluista sisämarkkinoilla, direktiivin 98/26/EY muuttamisesta sekä direktiivien 2015/2366/EU ja 2009/110/EY kumoamisesta, jäljempänä ’ehdotus kolmanneksi maksupalveludirektiiviksi’ (3), jäljempänä yhdessä ”ehdotukset”.

Sekä maksupalveluasetusta koskevan ehdotuksen että ehdotuksen, joka koskee kolmatta maksupalveludirektiiviä, liitteenä on kolme liitettä (yhteensä kuusi liitettä), joissa esitetään ehdotusten soveltamisalaan kuuluvat maksupalvelut (liite I) ja sähköisen rahan palvelut (liite II). Lopuksi liitteessä III esitetään vastaavuustaulukko direktiivien (EU) 2015/2366 ja 2009/110/EY säännöksistä ja ehdotusten säännöksistä.

Tietosuojavaltuutettu toteaa, että ehdotusten kattamat palvelutyypit näyttävät olennaisilta osin samoilta kuin maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta 25 päivänä marraskuuta 2015 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä ’toinen maksupalveludirektiivi’, soveltamisalaan kuuluvat palvelut (4).

Maksupalveluasetusta koskevan ehdotuksen (5) tavoitteena on

vahvistaa käyttäjän suojaa ja luottamusta maksuihin, erityisesti parantamalla asiakkaan vahvan tunnistamisen käyttöä, luomalla oikeusperusta petoksia koskevalle tiedonvaihdolle, laajentamalla kansainvälisen tilinumeron (IBAN) varmennus sisältymään kaikkiin tilisiirtoihin ja parantamalla käyttäjän oikeuksia ja käyttäjille annettavia tietoja

parantaa avoimen pankkitoiminnan palvelujen kilpailukykyä i) asettamalla tiliä ylläpitäville maksupalveluntarjoajille vaatimus ottaa käyttöön erityinen tiedonsaantirajapinta, ”lupahallintanäkymä”, jonka avulla käyttäjät voivat hallita myöntämiään avoimeen pankkitoimintaan liittyviä käyttölupia, ja ii) määrittelemällä yksityiskohtaisemmin avoimen pankkitoiminnan datarajapintoja koskevat vähimmäisvaatimukset

parantaa maksupalveluja koskevan oikeudellisen kehyksen täytäntöönpanoa ja täytäntöönpanon valvontaa jäsenvaltioissa erityisesti korvaamalla toinen maksupalveludirektiivi suoraan sovellettavalla asetuksella (maksupalveluasetusta koskeva ehdotus), jolla selvennetään toisen maksupalveludirektiivin epäselviä kohtia ja parannetaan toimivaltaisten viranomaisten ja muiden viranomaisten välistä yhteistyötä ja

d.	parantaa pankkisektorin ulkopuolisten maksupalveluntarjoajien, kuten maksutoimeksiantopalvelujen tarjoajien ja tilitietopalvelujen tarjoajien (suoraa tai välillistä) pääsyä maksujärjestelmiin ja pankkitilitietoihin.

5.	Ehdotukset esitellään ehdotuksen yhteydessä, joka koskee asetusta rahoitusdatan saatavuudesta, jäljempänä ’FIDA-asetusehdotus’ (6), joka kattaa muun muassa pääsyn muuhun rahoitusdataan kuin maksutilien tietoihin, jotka kuuluvat tämän lausunnon kohteena olevien ehdotusten soveltamisalaan (7).

Maksupalveluasetusta koskevassa ehdotuksessa säädetään pääosin seuraavaa:

a.	vahvistetaan maksupalvelujen ehtojen avoimuus sekä tietojenantovaatimukset (8)

vahvistetaan maksupalvelujen tarjoamiseen ja käyttöön liittyvät oikeudet ja velvollisuudet. Näihin kuuluvat säännöt, jotka koskevat tilitietopalvelujen ja maksutoimeksiantopalvelujen tietoihin pääsyn rajapintoja (9) ja maksupalvelunkäyttäjien tietoihin pääsyn hallintaa (10), tietosuojaa (11), petoksista ilmoittamista ja maksutapahtumien valvontamekanismeja sekä petoksia koskevien tietojen jakamista (12), asiakkaan vahvaa tunnistamista (13), täytäntöönpanomenettelyitä, toimivaltaisia viranomaisia ja seuraamuksia (14) sekä Euroopan pankkiviranomaisen (EPV) valtuuksia interventiotoimiin (15).

Ehdotus kolmanneksi maksupalveludirektiiviksi perustuu suurelta osin nykyisen toisen maksupalveludirektiivin II osastoon, joka koskee maksupalveluntarjoajia ja jota sovelletaan ainoastaan maksulaitoksiin. Sillä päivitetään ja selvennetään maksulaitoksia koskevia säännöksiä ja sisällytetään sähköisen rahan liikkeeseenlaskijalaitokset yhdeksi maksulaitosten alaluokaksi. Se sisältää myös säännöksiä, jotka koskevat vähittäiskauppiaiden tai riippumattomien pankkiautomaattipalvelujen tarjoajien tarjoamia käteisnostopalveluja (16).

Euroopan tietosuojavaltuutettu on antanut tämän lausunnon vastauksena Euroopan komission 29. kesäkuuta 2023 käynnistämään EU:n tietosuoja-asetuksen 42 artiklan 1 kohdan mukaiseen kuulemiseen. Tietosuojavaltuutettu pitää myönteisenä, että maksupalveluasetusta koskevan ehdotuksen johdanto-osan 147 kappaleessa ja ehdotuksen, joka koskee kolmatta maksupalveludirektiiviä, johdanto-osan 77 kappaleessa viitataan kyseiseen kuulemiseen. Tältä osin tietosuojavaltuutettu panee myös tyytyväisenä merkille, että häntä kuultiin ehdotuksista epävirallisesti jo aiemmin EU:n tietosuoja-asetuksen johdanto-osan 60 kappaleen mukaisesti.

12. Päätelmät

52.

Edellä esitetyn perusteella Euroopan tietosuojavaltuutettu suosittelee

(1)

tekemään selvän eron termin ”lupa” ja yleisen tietosuoja-asetuksen mukaisen käsittelyn oikeusperustan välille selventämällä maksupalveluasetusta koskevan ehdotuksen johdanto-osan 62 kappaleessa, että ”lupaa ei pidä tulkita asetuksessa (EU) 2016/679 määritellyksi ”suostumukseksi” tai ”nimenomaiseksi suostumukseksi” tai ”tarpeeksi panna täytäntöön sopimus”.

(2)	selventämään johdanto-osan kappaleessa, että maksupalvelunkäyttäjän myöntämä lupa ei vaikuta asetuksen (EU) 2016/679 6 ja 9 artiklan mukaisiin maksutoimeksiantopalvelun tarjoajien ja tilitietopalvelun tarjoajien velvollisuuksiin

(3)

harkitsemaan uudelleen tiliä ylläpitäviin maksupalveluntarjoajiin sovellettavan maksupalveluasetusta koskevan ehdotuksen 49 artiklan 4 kohdassa tarkoitettua kieltoa tarkistaa lupa tai sisällyttämään maksupalveluasetusta koskevan ehdotuksen artiklaosaan asianmukaiset vaihtoehtoiset suojatoimet, joilla suojellaan maksupalvelunkäyttäjiä siltä riskiltä, että tiliä ylläpitävät maksupalveluntarjoajat mahdollisesti jakavat henkilötietoja lainvastaisesti, minkä tämä kielto saattaa aiheuttaa

(4)	muuttamaan maksupalveluasetusta koskevan ehdotuksen 46 artiklan 2 kohdan a alakohtaa ja 47 artiklan 2 kohdan a alakohtaa siten, että maksutoimeksiantopalvelun tarjoajilla ja tilitietopalvelun tarjoajilla ei ole pääsyä henkilökohtaisiin turvatunnuksiin

(5)	selkeyttämään maksupalveluasetusta koskevan ehdotuksen 3 artiklan 38 kohdan ”arkaluonteisten maksutietojen” määritelmää erittelemällä tämän määritelmän soveltamisalaan kuuluvat henkilötietotyypit

(6)	täsmentämään maksupalveluasetusta koskevan ehdotuksen 80 artiklassa, minkä tyyppisten maksupalvelujen yhteydessä maksujärjestelmillä ja maksupalveluntarjoajalla on oikeus käsitellä erityisiä henkilötietoryhmiä (ja mitä nämä ryhmät ovat)

(7)

esittämään perustelut (johdanto-osan kappaleessa) sille, miksi maksupalveluasetusta koskevan ehdotuksen 80 artiklan mukainen erityisten henkilötietoryhmien käsittely nimettyä maksupalvelua tai nimettyjä maksupalveluja varten on tarpeen ja oikeasuhteista ja miksi sitä ei voida välttää vaihtoehtoisilla teknisillä keinoilla

(8)	lisäämään viittauksen kirjautumisen rekisteröintiin (sen tarkistamiseksi, onko tietoihin päästy aiheettomasti) maksupalveluasetusta koskevan ehdotuksen 80 artiklassa tarkoitettujen tietosuojatakeiden joukkoon

(9)	lisäämään 43 artiklan 2 kohdan a alakohtaan viittauksen nimettyyn maksupalveluun tai nimettyihin maksupalveluihin, joita varten maksupalvelunkäyttäjä on antanut luvan

(10)	lisäämään 47 artiklan 2 kohtaan 46 artiklan 2 kohdan b alakohdan mukaisen vaatimuksen, jonka mukaan maksupalveluntarjoajat voivat pyytää maksupalvelunkäyttäjältä vain ne tiedot, jotka ovat tarpeen pyydetyn palvelun tarjoamiseksi

(11)

vaatimaan 43 artiklan 4 kohdan b alakohdan mukaisesti maksupalveluntarjoajia ja tilitietopalvelun tarjoajia ilmoittamaan tiliä ylläpitäville maksupalveluntarjoajille asiakastilistä, johon pääsyä haetaan, sekä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisesta oikeusperustasta ja (soveltuvin osin) yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan mukaisesta poikkeuksesta, johon ne tukeutuvat maksupalvelunkäyttäjän henkilötietoihin pääsemiseksi

(12)	täsmentämään 43 artiklan b kohdassa, että lupahallintanäkymää ei saa suunnitella sellaiseksi, että se kannustaa maksupalvelunkäyttäjää myöntämään tai peruuttamaan lupia tai vaikuttaa maksupalvelunkäyttäjään aiheettomasti

(13)	määrittelemään selkeästi ne henkilötietoryhmät, joita maksupalveluntarjoajat saavat käsitellä maksutapahtumien valvontamekanismien yhteydessä (erityisesti määrittelemällä 83 artiklan 2 kohdan a alakohdassa tarkoitetut ”maksupalvelunkäyttäjää koskevat tiedot”)

(14)	määrittelemään asianmukaiset 83 artiklan mukaisesti kerättyjen henkilötietojen säilytysajat

(15)	sisällyttämään ”tietojenvaihtoa koskevan sopimuksen” määritelmän maksupalveluasetusta koskevan ehdotuksen 3 artiklaan

(16)

säätämään maksupalveluasetusta koskevassa ehdotuksessa, että henkilötietojen käsittely 83 artiklan mukaisten petostentorjuntaa koskevien oikeudellisia velvoitteita noudattaen voi tapahtua vain tätä erityistä tarkoitusta varten eikä se voi johtaa asiakassuhteen päättymiseen maksupalveluntarjoajan kanssa tai vaikuttaa maksupalvelunkäyttäjän siirtymiseen toisen maksupalveluntarjoajan asiakkaaksi

(17)	mainitsemaan nimenomaisesti tietosuojalainsäädännön valvonnasta ja täytäntöönpanosta vastaavat valvontaviranomaiset maksupalveluasetusta koskevan ehdotuksen 93 artiklan 3 kohdassa.

Bryssel, 22. elokuuta 2023.

Wojciech Rafał WIEWIÓROWSKI

(1) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(2) COM(2023) 367 final.

(3) COM(2023) 366 final.

(4) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/2366, annettu 25 päivänä marraskuuta 2015, maksupalveluista sisämarkkinoilla, direktiivien 2002/65/EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta (EUVL L 337, 23.12.2015, s. 35).

(5) KOM(2023) 367 lopullinen, s. 5–6.

(6) COM(2023) 360 final.

(7) COM(2023) 367 final, s 4.

(8) Maksupalveluasetusta koskevan ehdotuksen 4–26 artikla.

(9) Maksupalveluasetusta koskevan ehdotuksen 35–38 artikla.

(10) Maksupalveluasetusta koskevan ehdotuksen 43 artikla.

(11) Maksupalveluasetusta koskevan ehdotuksen 80 artikla.

(12) Maksupalveluasetusta koskevan ehdotuksen 82–84 artikla.

(13) Maksupalveluasetusta koskevan ehdotuksen 85–86 artikla.

(14) Maksupalveluasetusta koskevan ehdotuksen 8 luku.

(15) Maksupalveluasetusta koskevan ehdotuksen 9 luku.

(16) COM(2023) 367 final, s 7.