EUROPSKA KOMISIJA

Bruxelles, 28.6.2023.

COM(2023) 360 final

2023/0205(COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o okviru za pristup financijskim podacima i izmjeni uredbi (EU) br. 1093/2010, (EU) br. 1094/2010, (EU) br. 1095/2010 i (EU) 2022/2554

(Tekst značajan za EGP)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

OBRAZLOŽENJE

1.KONTEKST PRIJEDLOGA

•Razlozi i ciljevi prijedloga

 Kako bi bila uspješna u gospodarstvu utemeljenom na podacima koje služi interesu građana i poduzeća, Europa mora uspostaviti ravnotežu između protoka i široke uporabe podataka te očuvanja visokih standarda privatnosti, zaštite i sigurnosti te etičkih standarda. U Komunikaciji o europskoj strategiji za podatke 1 Komisija je utvrdila da bi EU trebao oblikovati politike koje omogućuju privlačno okruženje tako da bi do 2030. njegov udio u podatkovnom gospodarstvu trebao odgovarati barem njegovoj gospodarskoj važnosti.

Komisija je promicanje financija utemeljenih na podacima postavila kao jedan od prioriteta u svojoj strategiji za digitalne financije za 2020. 2 te je najavila da namjerava iznijeti zakonodavni prijedlog o okviru za pristup financijskim podacima. U Komunikaciji o uniji tržišta kapitala iz 2021. 3 potvrđena je ambicija Komisije da ubrzano radi na promicanju financijskih usluga utemeljenih na podacima. Najavila je osnivanje stručne skupine za europski prostor za financijske podatke od koje će se prikupljati informacije o prvom skupu slučajeva uporabe. Predsjednica Komisije Ursula von der Leyen nedavno je u pismu namjere uz govor o stanju Unije 2022. potvrdila da je pristup podacima u financijskim uslugama jedna od ključnih novih inicijativa za 2023.

Klijenti u financijskom sektoru EU-a trenutačno ne mogu, osim u slučaju računa za plaćanje, učinkovito kontrolirati pristup svojim podacima i njihovu razmjenu. Korisnici podataka, tj. poduzeća koja žele pristupiti podacima o klijentima radi pružanja inovativnih usluga, nailaze na probleme u pristupu podacima kojima raspolažu vlasnici podataka, tj. financijske institucije koje prikupljaju, pohranjuju i obrađuju te podatke o klijentima. Zato klijenti, čak i ako to žele, nemaju širok pristup financijskim uslugama i proizvodima utemeljenima na podacima. Pristup podacima ograničava niz međusobno povezanih problema. Prvo, s obzirom na to da ne postoje pravila ni alati za upravljanje dopuštenjima za razmjenu podataka, klijenti ne vjeruju da se potencijalni rizici razmjene podataka uklanjanju. Stoga su često neskloni razmjenjivati podatke. Drugo, čak i ako žele razmjenjivati podatke, pravila kojima se uređuje takva razmjena ne postoje ili su nejasna. Zbog toga se od vlasnika podataka kao što su kreditne institucije, osiguravatelji i druge financijske institucije koje raspolažu podacima o klijentima ne zahtijeva uvijek da omoguće pristup svojim podacima korisnicima podataka, na primjer financijskotehnološkim poduzećima, tj. poduzećima koja upotrebljavaju tehnologiju za podupiranje ili pružanje financijskih usluga, ili financijskim institucijama koje pružaju financijske usluge i razvijaju financijske proizvode na temelju razmjene podataka. Treće, razmjena podataka skuplja je jer ni sami podaci ni tehnička infrastruktura nisu standardizirani i stoga se znatno razlikuju.

Cilj je ovog Prijedloga riješiti te probleme tako da se potrošačima i poduzećima omogući bolja kontrola pristupa njihovim financijskim podacima. Zahvaljujući tomu, mogli bi koristiti financijske proizvode i usluge koji su prilagođeni njihovim potrebama na temelju podataka koji se odnose na njih, a da pritom izbjegnu s tim povezane rizike.

Opći je cilj ovog Prijedloga poboljšati gospodarske rezultate za korisnike financijskih usluga (potrošače i poduzeća) i poduzeća u financijskom sektoru promicanjem digitalne transformacije i bržim usvajanjem poslovnih modela utemeljenih na podacima u financijskom sektoru EU-a. Nakon što se to postigne, potrošači koji to žele mogli bi pristupiti personaliziranim proizvodima i uslugama utemeljenima na podacima koji bi mogli bolje odgovarati njihovim specifičnim potrebama. Poduzeća, posebno MSP-ovi, imala bi širi pristup financijskim proizvodima i uslugama. Financijske institucije mogle bi u potpunosti iskoristiti trendove u području digitalne transformacije, dok bi se trećim stranama pružateljima usluga otvorile nove poslovne prilike u području inovacija utemeljenih na podacima. Potrošači i poduzeća dobit će pristup svojim financijskim podacima kako bi im korisnici podataka mogli pružati financijske proizvode i usluge prilagođenije njihovim potrebama.

Prijedlogom se ne ostvaruju uštede administrativnih troškova jer je riječ o novom zakonodavstvu kojim se ne mijenjaju prethodna pravila EU-a. Iz istog razloga to nije ni inicijativa uključena u Komisijin Program za primjerenost i učinkovitost propisa (REFIT), čiji je cilj osigurati da zakonodavstvo EU-a ostvari svoje ciljeve uz minimalne troškove u korist građana i poduzeća.

•Dosljednost s postojećim odredbama politike u tom području

Ovaj se Prijedlog temelji na revidiranoj Direktivi o platnim uslugama (PSD2), kojom je omogućena razmjena podataka o računima za plaćanje („otvoreno bankarstvo”). Ovim se Prijedlogom omogućuje razmjena šireg skupa podataka o financijskim uslugama i utvrđuju pravila za razmjenu tih podataka. Utvrđuju se i pravila primjenjiva na sudionike na tržištu koji će obavljati tu aktivnost.

•Dosljednost u odnosu na druge politike Unije

Ovaj je Prijedlog u skladu s Općom uredbom o zaštiti podataka (OUZP), kojom se utvrđuju opća pravila o obradi osobnih podataka povezanih s ispitanikom i osiguravaju zaštita osobnih podataka te slobodno kretanje osobnih podataka.

Ovaj je Prijedlog i sektorska sastavnica koja se uklapa u širu europsku strategiju za podatke i omogućuje razmjenu podataka unutar financijskog sektora i s drugim sektorima. Temelji se na ključnim načelima za pristup podacima i njihovu obradu utvrđenima u međusektorskim inicijativama Komisije. Akt o upravljanju podacima usmjeren je na povećanje povjerenja u razmjenu podataka i poboljšanje neometane međusobne povezanosti („interoperabilnost”) podatkovnih prostora te stvaranje okvira za pružatelje usluga podatkovnog posredovanja. Akt o digitalnim tržištima je međusektorska inicijativa kojom se utvrđuju obveze povezane s podacima kako bi se riješio problem moći platformi koje djeluju kao nadzornici pristupa i omogućilo neograničeno tržišno natjecanje na digitalnim tržištima, na primjer tako da se financijskim institucijama u ime njihovih klijenata ili pri uporabi osnovnih usluga tih platformi omogući pristup podacima kojima raspolažu nadzornici pristupa. Prijedlog akta o podacima 4 je međusektorska inicijativa kojom bi se i za korisnike proizvoda i za pružatelje povezanih usluga uspostavila nova prava na pristup podacima interneta stvari, tj. podacima koje proizvodi dobivaju, generiraju ili prikupljaju o svojoj izvedbi, uporabi ili okruženju. Njime se utvrđuju i općenito primjenjive obveze za vlasnike podataka, od kojih se zahtijeva da podatke stave na raspolaganje primateljima podataka na temelju prava EU-a ili nacionalnog zakonodavstva donesenog u skladu s pravom EU-a.

Ovim se Prijedlogom dopunjuje i EU-ova strategija ulaganja za male ulagatelje 5 . Doprinijet će ostvarenju njezina cilja da se poboljša funkcioniranje okvira za zaštitu malih ulagatelja tako što će se utvrditi zaštitne mjere za uporabu podataka malih ulagatelja u financijskim uslugama. Nadalje, njime se osigurava usklađenost s pravilima o kibernetičkoj sigurnosti i operativnoj otpornosti u financijskom sektoru, kako je utvrđeno u Aktu o digitalnoj operativnoj otpornosti koji je stupio na snagu 16. siječnja 2023.

2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST

•Pravna osnova

Ugovorom o funkcioniranju Europske unije (UFEU) institucijama EU-a dodjeljuje se ovlast za utvrđivanje pravila o usklađivanju zakonodavstava država članica čiji je cilj uspostava i funkcioniranje unutarnjeg tržišta (članak 114. UFEU-a). To uključuje ovlast za donošenje zakonodavstva EU-a kojim bi se uskladili zahtjevi za financijske institucije u pogledu sve važnije uporabe podataka jer bi financijske institucije s prekograničnim poslovanjem inače morale ispunjavati različite nacionalne zahtjeve, zbog čega bi takvo poslovanje bilo skuplje. Utvrđivanje zajedničkih pravila za razmjenu podataka u financijskom sektoru doprinijet će funkcioniranju unutarnjeg tržišta. Zajednička pravila stvorit će usklađeni regulatorni okvir za upravljanje financijskim podacima u skladu s europskom strategijom za podatke. U tom će se smislu najbolji rezultati postići donošenjem uredbe koja se izravno primjenjuje u državama članicama.

•Supsidijarnost (za neisključivu nadležnost)

Podatkovno gospodarstvo sastavni je dio unutarnjeg tržišta. Protok podataka ključan je dio digitalnih aktivnosti te odražava postojeće lance opskrbe i suradnju poduzeća i potrošača. Svaka inicijativa čiji je cilj organizirati takav protok podataka mora se primjenjivati na cijelo unutarnje tržište. Budući da su vlasnici podataka uglavnom financijske institucije koje imaju odobrenje za rad i na koje se primjenjuju opsežna i detaljna pravila od kojih je većina utvrđena u izravno primjenjivim propisima i nadzornim mehanizmima čija se konvergencija osigurava na razini EU-a, djelovanje na razini EU-a potrebno je kako bi se utvrdili zajednički uvjeti i održali jednaki uvjeti za sve financijske institucije radi očuvanja integriteta tržišta, zaštite potrošača i financijske stabilnosti. Djelovanje na razini EU-a potrebno je i zbog visoke razine integriranosti financijskog sektora. Osim toga, poslovanje financijskih institucija u velikoj je mjeri prekogranično.

Problemi opisani u procjeni učinka uz ovaj Prijedlog javljaju se u svim državama članicama EU-a. Reguliranje financijskih usluga ovlast je koju dijele EU i njegove države članice. Države članice ne mogu same riješiti te probleme s obzirom na to da vlasnici i potencijalni korisnici podataka o klijentima u području financija često posluju u nekoliko država članica. Stoga podacima o istom klijentu mogu raspolagati financijske institucije u različitim državama članicama. Kako bi se povećalo povjerenje i omogućila integrirana uporaba tih podataka, na sve te financijske institucije trebali bi se primjenjivati isti pravni okvir i isti tehnički standardi. Pojedinačna nacionalna pravila dovela bi do preklapanja zahtjeva i neproporcionalno visokih troškova usklađivanja za poduzeća, a pritom ne bi bila najkorisnija za poduzeća i potrošače.

•Proporcionalnost

U skladu s načelom proporcionalnosti Prijedlog ne prelazi ono što je potrebno za ostvarivanje njegovih ciljeva. Obuhvaća samo aspekte u kojima su administrativno opterećenje i troškovi proporcionalni ciljevima koje treba ostvariti. Na primjer, područje primjene i strogost pažljivo su usklađeni s načelom proporcionalnosti. Proporcionalnost se temelji na kvalitativnim i kvantitativnim kriterijima procjene kako bi se osiguralo da nova pravila imaju širok učinak. U Prilogu 5. priloženoj procjeni učinka objašnjeno je kako je proporcionalnost utjecala na odabir skupova podataka. U Prilogu 8. priloženoj procjeni učinka objašnjene su mjere poduzete kako bi se osigurao proporcionalan učinak na MSP-ove.

•Odabir instrumenta

Ovo bi trebao biti prijedlog uredbe koja se izravno primjenjuje u svim državama članicama. Time se osigurava da se u svim državama članicama primjenjuju zajednička pravila o uvjetima za pristup podacima o klijentima u financijskim uslugama i postupanje s njima.

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA

•Ex post evaluacije/provjere primjerenosti postojećeg zakonodavstva

Ovaj novi prijedlog ne oslanja se na postojeće zakonodavstvo. Temelji se na sustavu otvorenog bankarstva uspostavljenog Direktivom (EU) 2015/2366, ali se njime stvara novo pravo na pristup skupovima podataka koji prethodno nisu obuhvaćeni nijednim drugim zakonodavnim okvirom EU-a.

•Savjetovanja s dionicima

Europska komisija objavila je 10. svibnja 2022. poziv na očitovanje o pristupu financijskim podacima. Poziv je bio otvoren do 2. kolovoza 2022. i prikupljeno je 79 odgovora. Osobe koje su odgovorile u svojstvu pojedinca izrazile su zabrinutost zbog razmjene podataka bez okvira koji bi sadržavao jasne zaštitne mjere, kao što su nadzorne ploče za zaštitu privatnosti, jasno određenog opsega razmjene i jednakih uvjeta za sudionike na tržištu. Poduzeća su bila prilično otvorena prema razmjeni podataka sve dok postoje odgovarajuće zaštitne mjere. Poziv na očitovanje pokazao je da bi pravilno uređen pristup financijskim podacima mogao imati pozitivan učinak.

Europska komisija pokrenula je 10. svibnja 2022. i zajedničko javno savjetovanje o preispitivanju revidirane Direktive o platnim uslugama (PSD2) i pristupu financijskim podacima. Javno savjetovanje završeno je 2. kolovoza 2022. Odgovori o pristupu financijskim podacima potvrdili su stajališta izražena u pozivu na očitovanje. Iako bi većina pristala na razmjenu svojih podataka kad bi se ona temeljila na pravovaljanoj privoli/pristanku potrošača, ispitanici iz šire javnosti izrazili su određenu zabrinutost zbog razmjene financijskih podataka. Ona proizlazi iz nedostatka povjerenja kad je riječ o privatnosti, pitanja povezanih sa zaštitom podataka i digitalnom sigurnosti te iz općeg osjećaja da se ne može kontrolirati način na koji se podaci upotrebljavaju.

Strukovni dionici (korporativni korisnici, financijskotehnološka poduzeća, organizacije potrošača te relevantna javna tijela i nacionalna regulatorna tijela) bili su otvoreniji prema razmjeni podataka i naveli su koristi koje klijenti mogu ostvariti od povećane konkurencije i inovacija u području financijskih proizvoda i usluga. Značajna manjina tih ispitanika također je izrazila zabrinutost zbog tržišnog natjecanja, sigurnosti i zlouporabe podataka.

Komisija je 10. svibnja 2022. pokrenula i ciljano savjetovanje o pristupu financijskim podacima i njihovoj razmjeni u financijskom sektoru. Ciljano savjetovanje završeno je 5. srpnja 2022. i prikupljena su 94 odgovora dionika iz struke.

Svrha ciljanog savjetovanja bila je prikupiti njihova stručna stajališta o razmjeni podataka u području financija. Ciljani strukovni dionici uključivali su financijske institucije, distributere, financijskotehnološka poduzeća, korporativne korisnike, udruge za zaštitu potrošača te relevantna javna tijela i nacionalna regulatorna tijela. Odgovori su pokazali da većina ispitanika iz struke prepoznaje potencijalne koristi pravnog okvira za pristup financijskim podacima i stoga podupire regulatorne intervencije u određenim područjima. Međutim, odgovori na ciljano savjetovanje upućuju na to da se stajališta dionika znatno razlikuju te da potpora potrošača i vlasnika podataka ovisi o tome kako će se tim podacima pristupati i kako će ih se razmjenjivati.

•Prikupljanje i primjena stručnog znanja

Komisija je 24. listopada 2022. primila izvješće o otvorenim financijama Stručne skupine za europski prostor za financijske podatke. Stručna skupina okuplja stručnjake iz akademske zajednice, potrošače i predstavnike sektora (uključujući subjekte iz područja bankarstva, osiguranja, mirovina i ulaganja te treće strane pružatelje usluga i financijskotehnološka poduzeća). U izvješću se opisuju ključne sastavnice ekosustava otvorenih financija koje je Stručna skupina utvrdila (dostupnost, zaštita i standardizacija podataka, odgovornost, jednaki uvjeti i ključni akteri) te se iznose razmatranja o svakom elementu i različita stajališta unutar skupine. Kako bi prikazala probleme i mogućnosti otvorenih financija, Stručna skupina procijenila je nekoliko konkretnih slučajeva uporabe koji su detaljno opisani u izvješću. Slučajevi uporabe i nalazi izvješća upotrijebljeni su u izradi ovog Prijedloga, prije svega kako bi se utvrdilo koji će podaci biti obuhvaćeni njegovim područjem primjene.

•Procjena učinka

Ovom Prijedlogu priložena je procjena učinka, koja je 3. veljače 2023. dostavljena Odboru za nadzor regulative i odobrena 3. ožujka 2023. Odbor za nadzor regulative preporučio je poboljšanja u nekim područjima kako bi se ojačali dokazi, posvetilo više pozornosti povjerenju klijenata i zaštiti ranjivih potrošača te razjasnili ograničenja i nesigurnosti analize troškova i koristi ovog Prijedloga. U skladu s tim izmijenjena je procjena učinka i u njoj su razmotrene detaljnije primjedbe Odbora.

Opcije politike odabrane su na temelju rada Komisijine Stručne skupine za europski prostor za financijske podatke i povratnih informacija dionika.

Nekoliko razmotrenih opcija bilo je usmjereno na povećanje povjerenja klijenata u razmjenu podataka, pojašnjenje pravne situacije, promicanje standardizacije i pružanje poticaja. Kao opcije za povećanje povjerenja klijenata razmatrali su se obvezna uporaba nadzornih ploča za dopuštenja za pristup financijskim podacima, utvrđivanje pravila o tome tko može pristupiti podacima o klijentima i dopuna tih pravila drugim zaštitnim mjerama, uključujući smjernice za zaštitu potrošača od nepoštenog postupanja ili rizikâ od isključivanja.

Kao jedna od opcija za veću pravnu jasnoću razmatrala se mogućnost da se vlasnike podataka obveže na razmjenu njihovih podataka o klijentima s korisnicima podataka. Ta bi se obveza ispunjavala isključivo na zahtjev klijenta. Razmatralo se i koje bi vrste poduzeća bile obvezne razmjenjivati podatke (kreditne institucije, pružatelji platnih usluga i druge vrste financijskih institucija u cijelom financijskom sektoru).

Za standardizaciju podataka o klijentima i sučelja razmatralo se nekoliko opcija. Jedna od opcija bila je da sudionici na tržištu izrade zajedničke standarde za podatke o klijentima i sučelja u okviru sustavâ razmjene financijskih podataka. Razmatralo se trebaju li sudionici na tržištu biti dio takvog sustava na dobrovoljnoj ili obveznoj osnovi da bi mogli pristupiti podacima. Druga opcija bila je da se takav sustav razvije na temelju delegiranih ili provedbenih akata (zakonodavstvo druge razine kojim se dopunjuju ili izmjenjuju određeni elementi temeljnih akata koji nisu ključni).

Razmatralo se nekoliko opcija za uvođenje visokokvalitetnih sučelja za razmjenu podataka o klijentima. Jedna od opcija bila je da se vlasnike podataka obveže na to da uspostave aplikacijska programska sučelja (API) u kojima će se primjenjivati zajednički standardi za podatke i sučelja te da ih stave na raspolaganje korisnicima podataka bez ugovora i mogućnosti primanja bilo kakve naknade od korisnika podataka za uporabu tih sučelja. Još jedna opcija bila je razumna naknada za uspostavu i uporabu sučelja te dogovor o tome tko snosi ugovornu odgovornost.

Komisija je smatrala da je najpoželjnija opcija uredba EU-a kojom se uspostavlja okvir za pristup financijskim podacima, koji ima sljedeća obilježja:

·sudionici na tržištu obvezni su klijentima staviti na raspolaganje nadzorne ploče za dopuštenja za pristup financijskim podacima, utvrđena su pravila prihvatljivosti za pristup podacima o klijentima i europska nadzorna tijela ovlaštena su za izdavanje smjernica za zaštitu potrošača od nepoštenog postupanja ili rizikâ od isključivanja;

·korisnicima podataka mora se osigurati pristup odabranim skupovima podataka o klijentima u financijskom sektoru, uvijek uz dopuštenje klijenata na koje se podaci odnose;

· sudionici na tržištu obvezni su u okviru relevantnih sustava izraditi zajedničke standarde za podatke o klijentima i sučelja koja se odnose na podatke kojima se mora moći pristupiti; i

·vlasnici podataka obvezni su u zamjenu za naknadu uspostaviti API-je, u kojima će se primjenjivati zajednički standardi za podatke o klijentima i sučelja izrađeni u okviru sustavâ, dok su članovi sustava obvezni dogovoriti se o tome tko snosi ugovornu odgovornost.

Očekivani ukupni gospodarski učinak ovog Prijedloga bio bi bolji pristup kvalitetnijim financijskim uslugama, čime bi se poboljšao ukupni odnos cijene i kvalitete. Zahvaljujući pristupu financijskim podacima usluge bi bile usmjerenije na korisnika: personalizirane usluge mogle bi koristiti potrošačima koji traže investicijske savjete, a može se očekivati i da će automatizirana procjena kreditne sposobnosti MSP-ovima olakšati pristup financiranju. Očekivani učinak na šire gospodarstvo pozitivan je jer iz djelotvornijeg tržišnog natjecanja proizlazi učinkovitije pružanje usluga. Međutim, kako bi se ti pozitivni učinci ostvarili, važno je osigurati da ponovna uporaba podataka ne dovede do protutržišnog postupanja i tajnih sporazuma, posebno s obzirom na obvezu poštovanja ugovornih sustava, te da naročito vlasnici podataka ne isključuju konkurente visokim naknadama za pristup podacima.

Može se očekivati da će Prijedlog ukupno imati pozitivan socijalni učinak ako se povezani rizici drže pod kontrolom. Razmjena podataka o klijentima kontrolirala bi se tako što bi pristup tim podacima bilo obvezno omogućiti tek nakon što klijent zatraži njihovu razmjenu. Detaljnija razmjena podataka mogla bi prethodno isključenim korisnicima omogućiti pristup financiranju. Mogla bi olakšati ostvarivanje ciljanih ušteda i pristup mirovinama jer bi omogućila sveobuhvatan pregled prava iz privatnih i strukovnih mirovinskih osiguranja te drugih mirovinskih štednji. S druge strane, bez odgovarajućih zaštitnih mjera veća uporaba podataka mogla bi u određenim slučajevima dovesti do rizika od viših troškova ili čak isključivanja većeg broja klijenata s nepovoljnim profilom rizičnosti. Posebnu pozornost treba posvetiti uslugama kojima je svojstvena podjela rizika, kao što je osiguranje. Međutim, najpoželjnijom opcijom ublažio bi se takav učinak jer bi skupovi podataka koji se izravno odnose na osnovne financijske usluge za potrošače bili isključeni iz njezina područja primjene, a dodatnu zaštitu pružile bi smjernice Europskog nadzornog tijela za bankarstvo (EBA) i Europskog nadzornog tijela za osiguranje i strukovno mirovinsko osiguranje (EIOPA) o primjenjivom opsegu uporabe osobnih podataka.

Općenito se može očekivati da će pristup financijskim podacima imati neutralan do pozitivan neizravni učinak na okoliš jer bi vjerojatno doprinio prihvaćanju inovativnih investicijskih usluga, uključujući one kojima se ulaganja usmjeravaju prema održivijim aktivnostima. Iako bi intenzivnija uporaba podatkovnih centara mogla imati neke negativne posljedice koje proizlaze iz šire ponovne uporabe podataka, one će vjerojatno biti ograničene jer većina podataka obuhvaćenih ovim Prijedlogom već postoji u digitalnom obliku. Dodatni obujam obrade uglavnom bi se odnosio na korisnike koji pristupaju tim podacima.

S obzirom na ograničenu dostupnost podataka i prirodu ovog Prijedloga teško je samo po sebi kvantitativno predvidjeti kako bi on koristio gospodarstvu u cjelini. Isto tako, jednako je teško razdvojiti učinke svake mjere politike od potencijalnog ukupnog učinka. Iako je troškove svake opcije politike već teško procijeniti, još je teže procijeniti njihove pojedinačne koristi. Pokušala se dati makroekonomska procjena mogućih koristi na temelju studije na makrorazini, čiji cilj nije bio izričito kvantificirati koristi ovog Prijedloga. Stoga bi raspon podataka navedenih u nastavku trebalo shvatiti kao prikaz mogućih koristi, a ne kao namjensku procjenu. Prema toj makroekonomskoj procjeni ukupne godišnje koristi za gospodarstvo EU-a koje proizlaze iz poboljšanog pristupa podacima i njihove razmjene u financijskom sektoru EU-a iznose između 4,6 milijardi EUR i 12,4 milijarde EUR, uključujući izravan učinak na financijskopodatkovno gospodarstvo EU-a u rasponu od 663 milijuna EUR do 2 milijarde EUR godišnje. Ukupni procijenjeni trošak Prijedloga mogao bi iznositi između 2,2 milijarde EUR i 2,4 milijarde EUR jednokratnih troškova te između 147 milijuna EUR i 465 milijuna EUR stalnih godišnjih troškova.

Digitalne financije imaju brojne aspekte koji mogu poboljšati funkcioniranje gospodarstava i doprinijeti održivom razvoju. Pristup financiranju jedan je od glavnih izazova održivog razvoja. Iako mu to nije izravan cilj, Prijedlog će neizravno doprinijeti promicanju uključivog i održivog gospodarskog rasta i zapošljavanja. Može pomoći socijalno isključenim pojedincima da dobiju bolji pristup financiranju. Ovaj je Prijedlog u skladu s izgradnjom otporne infrastrukture, održivom industrijalizacijom i inovacijama. Njime se mogu stvoriti konkurentne gospodarske sile koje poboljšavaju povezanost u području financija. Prijedlogom će se doprinijeti i borbi protiv klimatskih promjena ciljanim investicijskim savjetovanjem, koje će ulagateljima pomoći u donošenju informiranijih odluka radi boljeg usmjeravanja tokova kapitala prema održivim ulaganjima.

•Primjerenost i pojednostavnjenje propisa

•Temeljna prava

4.UTJECAJ NA PRORAČUN

Provedba ovog Prijedloga ne bi utjecala na opći proračun Europske unije. Iako će europska nadzorna tijela morati obaviti određene zadaće kako bi se zakonodavstvo pravilno provelo, većina tih zadaća, na primjer izrada nacrta regulatornih ili provedbenih standarda ili smjernica za bolju primjenu ove Uredbe, obuhvaćena je postojećim mandatima europskih nadzornih tijela. Osim toga, iako bi EBA morala uspostaviti registar s informacijama o, na primjer, pružateljima usluga pružanja financijskih informacija, troškovi uspostave takvog registra bili bi ograničeni i trebali bi biti pokriveni uštedama koje proizlaze iz očekivanih sinergija i učinkovitosti koje bi trebala ostvariti sva tijela Unije. S druge strane, zakonodavstvom se europskim nadzornim tijelima ne bi dodijelile nikakve nove zadaće nadzora ni praćenja. Stoga bi sve troškove koji proizlaze iz provedbe predloženog zakonodavstva trebalo pokriti iz postojećeg proračuna europskih nadzornih tijela.

Utjecaj na troškove i administrativno opterećenje nacionalnih nadležnih tijela ograničen je. Njegov opseg i raspodjela ovisit će o obvezi pružatelja usluga pružanja financijskih informacija da podnesu zahtjev za odobrenje za rad koje izdaje nacionalno nadležno tijelo te povezanim zadaćama nadzora i praćenja. Te bi troškove nacionalna nadležna tijela djelomično nadoknadila naknadama za nadzor koje bi naplatila pružateljima usluga pružanja financijskih informacija.

Regulirane financijske institucije koje već imaju odobrenje za rad ne bi bile obuhvaćene novim sustavom izdavanja odobrenja za rad koji bi se uspostavio ovim Prijedlogom te ne bi bilo dodatnih zahtjeva u pogledu regulatornog izvješćivanja, ishođenja odobrenja za rad ili drugih zahtjeva. Procjenjuje se da će ukupni troškovi ishođenja odobrenja za rad za poduzeća koja to trebaju učiniti iznositi oko 18,5 milijuna EUR, pod pretpostavkom da će oko 350 poduzeća podnijeti zahtjev za izdavanje odobrenja za rad kao pružatelj usluga pružanja financijskih informacija kako bi mogli pristupiti podacima o klijentima. Ta bi poduzeća morala ispunjavati i zahtjeve DORA-e i primjenjivati potrebne standarde kibernetičke sigurnosti.

5.DRUGI ELEMENTI

•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja

Potrebno je osigurati mehanizam praćenja i evaluacije kako bi poduzete regulatorne mjere bile učinkovite u postizanju svojih ciljeva. Komisija će procijeniti učinak ove Uredbe i bit će zadužena za njezino preispitivanje (članak 31. Prijedloga).

•Detaljno obrazloženje posebnih odredaba prijedloga

Ovim se Prijedlogom nastoji uspostaviti okvir kojim se uređuju pristup podacima o klijentima i njihova uporaba u području financija (pristup financijskim podacima, „FIDA”). Pristup financijskim podacima odnosi se na pristup i obradu podataka koje razmjenjuju međusobno poduzeća ili poduzeća i klijenti (uključujući potrošače) koji se provode na zahtjev klijenta u velikom broju financijskih usluga. Prijedlog je podijeljen na devet glava.

U glavi I. utvrđuju se predmet, područje primjene i definicije. U članku 1. utvrđuje se da se Uredbom uspostavljaju pravila u skladu s kojima se u području financija može pristupiti određenim kategorijama podataka o klijentima, razmjenjivati ih i upotrebljavati. Njome se utvrđuju i zahtjevi u pogledu pristupa podacima, njihove razmjene i uporabe u području financija, odgovarajuća prava i obveze korisnika i vlasnika podataka te odgovarajuća prava i obveze pružatelja usluga pružanja financijskih informacija u slučajevima kad je pružanje usluga pružanja informacija redovno zanimanje ili poslovna djelatnost. U članku 2. područje primjene Uredbe ograničava se na određene taksativno nabrojane skupove podataka i navodi se popis poduzeća na koja se ona primjenjuje. U članku 3. utvrđuju se pojmovi i definicije koji se upotrebljavaju za potrebe ove Uredbe, uključujući pojmove „vlasnik podataka”, „korisnik podataka”, „pružatelj usluga pružanja financijskih informacija”.

U glavi II. uvodi se pravna obveza za vlasnike podataka i uređuje način na koji bi se ta obveza trebala izvršavati. U članku 4. navodi se da vlasnik podataka mora na njihov zahtjev klijentima staviti na raspolaganje podatke obuhvaćene područjem primjene ove Uredbe. U članku 5. klijentu se dodjeljuje pravo na to da od vlasnika podataka zatraži da te podatke razmijeni s korisnikom podataka. Zahtjev koji se odnosi na osobne podatke mora imati valjanu pravnu osnovu iz Opće uredbe o zaštiti podataka (OUZP) na temelju koje se osobni podaci mogu obrađivati. Člankom 6. uvode se određene obveze za korisnike podataka koji primaju podatke na zahtjev klijenata. Pristup bi trebalo omogućiti samo podacima o klijentima koji su stavljeni na raspolaganje u skladu s člankom 5. i ti bi se podaci trebali upotrebljavati samo u svrhe i u skladu s uvjetima dogovorenima s klijentom. Personalizirani sigurnosni podaci klijenta ne bi trebali biti dostupni drugim stranama i ne bi se smjeli pohranjivati dulje nego što je nužno.

U glavi III. utvrđuju se zahtjevi za odgovornu uporabu i sigurnost podataka. U članku 7. navode se smjernice o tome kako bi poduzeća trebala koristiti podatke u određenim slučajevima uporabe i osigurava se da neće doći do diskriminacije ili ograničenja u pristupu uslugama zbog uporabe podataka. Osigurava se da se klijentima koji odbiju dopustiti uporabu skupova svojih podataka neće uskratiti pristup financijskim proizvodima samo zato što su odbili dati dopuštenje. U članku 8. uvode se nadzorne ploče za dopuštenja za pristup financijskim podacima kako bi se osiguralo da klijenti mogu pratiti svoja dopuštenja za podatke tako što će moći pristupiti njihovu pregledu, izdati nova dopuštenja i prema potrebi povući postojeća.

U glavi IV. utvrđuju se zahtjevi za stvaranje sustava razmjene financijskih podataka, čiji je cilj povezati vlasnike i korisnike podataka te organizacije potrošača, i upravljanje tim sustavima. U takvim bi se sustavima trebali izraditi standardi za podatke i sučelja, uspostaviti koordinacijski mehanizmi za rad nadzornih ploča za dopuštenja za pristup financijskim podacima, kao i zajednički standardizirani ugovorni okvir kojim se uređuju pristup određenim skupovima podataka, pravila o upravljanju tim sustavima, zahtjevi u pogledu transparentnosti, pravila o naknadi, odgovornost i rješavanje sporova. U članku 9. predviđa se da se podaci obuhvaćeni područjem primjene ove Uredbe moraju staviti na raspolaganje samo članovima sustava razmjene financijskih podataka, zbog čega su postojanje takvih sustava i članstvo u njima obvezni. U članku 10. utvrđuju se postupci upravljanja takvim sustavom, uključujući pravila o ugovornoj odgovornosti njegovih članova i mehanizam izvansudskog rješavanja sporova. U članku 10. propisuje se i izrada zajedničkih standarda za razmjenu podataka i stvaranje tehničkih sučelja koja će se upotrebljavati za razmjenu podataka. O takvim sustavima razmjene podataka moraju se obavijestiti nadležna tijela, sustavi moraju imati odobrenje za prekogranično poslovanje u EU-u te radi transparentnosti moraju biti upisani u registar koji će voditi EBA. Jedan od minimalnih zahtjeva za sustav razmjene financijskih podataka trebalo bi biti i pravo vlasnika podataka na naknadu za stavljanje podataka na raspolaganje korisnicima podataka u skladu s uvjetima sustava čiji su oboje članovi. Naknada u svakom slučaju mora biti razumna i temeljiti se na jasnoj i transparentnoj metodologiji koju su prethodno dogovorili članovi sustava, a njezin bi iznos trebao biti jednak barem troškovima za pružanje tehničkog sučelja za razmjenu traženih podataka. U članku 11. Komisiji se dodjeljuje ovlast za donošenje delegiranog akta ako za jednu ili više kategorija podataka o klijentima nije razvijen sustav razmjene financijskih podataka.

U glavi V. nalaze se odredbe o izdavanju odobrenja za rad i uvjetima poslovanja pružatelja usluga pružanja financijskih informacija. Tim se zahtjevima utvrđuju obvezni sadržaj zahtjeva (članak 12.), obveza imenovanja pravnog zastupnika (članak 13.), opseg odobrenja za rad, uključujući odobrenje za prekogranično poslovanje u EU-u za pružatelje usluga pružanja financijskih informacija (članak 14.) i pravo nadležnih tijela da oduzmu odobrenje za rad. U članku 15. propisuje se uspostava registra pružatelja usluga pružanja financijskih informacija i sustava razmjene podataka koji će voditi EBA. U članku 16. utvrđuju se organizacijski zahtjevi za pružatelje usluga pružanja financijskih informacija.

U glavi VI. navode se pojedinosti o ovlastima nadležnih tijela. U članku 17. utvrđena je obveza država članica da imenuju nadležna tijela. U članku 18. navedene su detaljne odredbe o ovlastima nadležnih tijela, dok se u članku 19. utvrđuje ovlast za sklapanje sporazuma o nagodbi i za ubrzane postupke izvršenja. U člancima od 20. do 21. detaljno se navode administrativne kazne i druge administrativne mjere te periodični penali koje mogu izreći nadležna tijela. U članku 22. utvrđuju se okolnosti koje bi nadležna tijela trebala razmotriti pri određivanju administrativnih kazni i drugih administrativnih mjera. U članku 23. propisuje se čuvanje poslovne tajne pri razmjeni informacija među nadležnim tijelima. U glavi VI. utvrđuju se pravila o pravu na žalbu (članak 24.), objavi izrečenih administrativnih sankcija i mjera (članak 25.), razmjeni informacija među nadležnim tijelima (članak 26.) i rješavanju sporova među njima (članak 27.).

U glavi VII. propisuje se postupak obavješćivanja nadležnih tijela za poduzeća koja ostvaruju pravo poslovnog nastana i slobodu pružanja usluga (članak 28.), kao i obveza obavješćivanja za nadležna tijela kad poduzimaju mjere koje uključuju ograničenja slobode poslovnog nastana (članak 29.).

U glavi VIII. navedene su odredbe o izvršavanju delegiranja ovlasti s ciljem donošenja delegiranih akata Komisije (članak 30.) s obzirom na to da se člankom 11. Prijedloga Komisiji dodjeljuje ovlast za donošenje delegiranog akta. U toj se glavi utvrđuje i obveza Komisije da preispita određene aspekte Uredbe (članak 31.). Članci od 32. do 34. sadržavaju potrebne izmjene uredbi o osnivanju europskih nadzornih tijela kako bi se ova Uredba i pružatelji usluga pružanja financijskih informacija uključili u njihovo područje primjene. Članak 35. sadržava izmjenu Uredbe o digitalnoj operativnoj otpornosti. U članku 36. navedeno je da se ova Uredba počinje primjenjivati 24 mjeseca nakon njezina stupanja na snagu, osim glave IV. (o sustavima), koja se počinje primjenjivati 18 mjeseci nakon stupanja na snagu Uredbe.

2023/0205 (COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o okviru za pristup financijskim podacima i izmjeni uredbi (EU) br. 1093/2010, (EU) br. 1094/2010, (EU) br. 1095/2010 i (EU) 2022/2554

(Tekst značajan za EGP)

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora 6 ,

u skladu s redovnim zakonodavnim postupkom,

budući da:

(1)Odgovorno podatkovno gospodarstvo, koje se temelji na generiranju i uporabi podataka, sastavni je dio unutarnjeg tržišta Unije koji može koristiti i građanima Unije i gospodarstvu. Digitalne tehnologije utemeljene na podacima sve više potiču promjene na financijskim tržištima stvaranjem novih poslovnih modela, proizvoda i načina na koje poduzeća mogu surađivati s klijentima.

(2)Klijenti financijskih institucija, i potrošači i poduzeća, trebali bi imati stvarnu kontrolu nad svojim financijskim podacima i mogućnost korištenja otvorenih, poštenih i sigurnih inovacija utemeljenih na podacima u financijskom sektoru. Ti bi klijenti trebali imati pravo odlučivati o tome kako će se upotrebljavati njihovi financijski podaci i tko će ih upotrebljavati te bi trebali moći, ako to žele, poduzećima dopustiti pristup njihovim podacima za potrebe primanja financijskih usluga i usluga pružanja informacija.

(3)U interesu je politike Unije da se klijentima financijskih institucija omogući pristup njihovim financijskim podacima. Komisija je u svojoj Komunikaciji o strategiji za digitalne financije i Komunikaciji o uniji tržišta kapitala donesenoj 2021. potvrdila da namjerava uspostaviti okvir za pristup financijskim podacima kako bi klijenti ostvarili koristi od razmjene podataka u financijskom sektoru. Te koristi uključuju razvoj i ponudu financijskih proizvoda i usluga utemeljenih na podacima, što omogućuje razmjena podataka o klijentima.

(4)U području financijskih usluga i na temelju revidirane Direktive (EU) 2015/2366 Europskog parlamenta i Vijeća 7 razmjena podataka o računima za plaćanje u Uniji na temelju dopuštenja klijenta počela je mijenjati način na koji potrošači i poduzeća upotrebljavaju bankovne usluge. Kako bi se nadovezalo na mjere iz te direktive, trebalo bi za cijeli financijski sektor uspostaviti regulatorni okvir za razmjenu podataka o klijentima, a ne samo podataka o računima za plaćanje. To bi trebao biti i temelj za potpunu integraciju financijskog sektora u Komisijinu strategiju za podatke 8 , kojom se promiče međusektorska razmjena podataka.

(5)Kontrola i povjerenje klijenata ključni su za izgradnju djelotvornog okvira za razmjenu podataka u financijskom sektoru koji dobro funkcionira. Djelotvorna kontrola klijenata nad razmjenom podataka doprinosi inovacijama, kao i pouzdanju i povjerenju klijenata u razmjenu podataka. Zato pomaže i u prevladavanju nesklonosti klijenata da razmjenjuju svoje podatke. U postojećem okviru Unije pravo ispitanika na prenosivost podataka u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća 9 ograničeno je na osobne podatke i na njega se može pozvati samo ako je prijenos podataka tehnički izvediv. Podaci o klijentima i tehnička sučelja u financijskom sektoru, osim u slučaju računa za plaćanje, nisu standardizirani, zbog čega je razmjena podataka skuplja. Nadalje, financijske institucije zakonski su obvezne staviti na raspolaganje samo podatke o plaćanjima svojih klijenata.

(6)Stoga je financijskopodatkovno gospodarstvo Unije i dalje rascjepkano, obilježeno neujednačenom razmjenom podataka, preprekama i velikom nesklonošću dionika da razmjenjuju druge podatke osim onih o računima za plaćanje. Klijentima se stoga ne mogu ponuditi individualizirani proizvodi i usluge utemeljeni na podacima koji bi mogli odgovarati njihovim specifičnim potrebama. Nepostojanje personaliziranih financijskih proizvoda ograničava inovacije, kojima bi se povećali izbor i ponuda financijskih proizvoda i usluga za zainteresirane potrošače koji bi inače mogli koristiti alate utemeljene na podacima za donošenje informiranih odluka, usporedbu ponuda na način prilagođen korisnicima i prelazak na povoljnije proizvode koji odgovaraju njihovim preferencijama na temelju njihovih podataka. Postojeće prepreke razmjeni poslovnih podataka sprečavaju poduzeća, posebno MSP-ove, u korištenju boljih, praktičnih i automatiziranih financijskih usluga.

(7)Stavljanje podataka na raspolaganje u okviru visokokvalitetnih aplikacijskih programskih sučelja ključno je da bi se omogućio neometan i djelotvoran pristup podacima. No, osim u slučaju računa za plaćanje, samo manji broj financijskih institucija koje su vlasnici podataka navodi da podatke stavljaju na raspolaganje u okviru tehničkih sučelja kao što su aplikacijska programska sučelja. Budući da ne postoje poticaji za razvoj takvih inovativnih usluga, tržišna potražnja za pristupom podacima i dalje je ograničena.

(8)Stoga je na razini Unije potreban poseban i usklađen okvir za pristup financijskim podacima kako bi se zadovoljile potrebe digitalnog gospodarstva i uklonile prepreke dobrom funkcioniranju unutarnjeg tržišta podataka. Potrebna su posebna pravila za uklanjanje tih prepreka kako bi se promicao bolji pristup podacima o klijentima te time potrošačima i poduzećima omogućilo da ostvare korist iz boljih financijskih proizvoda i usluga. Financije utemeljene na podacima olakšale bi prelazak sektora s tradicionalne ponude standardiziranih proizvoda na prilagođena rješenja koja bolje odgovaraju specifičnim potrebama klijenata, uključujući poboljšana sučelja za klijente kojima se jača tržišno natjecanje, poboljšava korisničko iskustvo i pružaju financijske usluge usmjerene na klijenta kao krajnjeg korisnika.

(9)Podaci uključeni u područje primjene ove Uredbe trebali bi imati visoku dodanu vrijednost za financijske inovacije, kao i nizak rizik od financijskog isključivanja potrošača. Ova Uredba stoga ne bi trebala obuhvaćati podatke o osiguranju od bolesti i zdravstvenom osiguranju potrošača u skladu s Direktivom 2009/138/EZ Europskog parlamenta i Vijeća 10 , kao ni podatke o proizvodima životnog osiguranja potrošača u skladu s tom direktivom, osim o ugovorima o životnom osiguranju obuhvaćenima investicijskim osigurateljnim proizvodima. Ova Uredba ne bi trebala obuhvaćati ni podatke prikupljene u okviru procjene kreditne sposobnosti potrošača. Pri razmjeni podataka o klijentima obuhvaćenih područjem primjene ove Uredbe trebala bi se poštovati zaštita povjerljivih poslovnih podataka i poslovnih tajni.

(10)Razmjena podataka o klijentima obuhvaćenih područjem primjene ove Uredbe trebala bi se temeljiti na dopuštenju klijenta. Pravna obveza vlasnika podataka o razmjeni podataka o klijentima trebala bi se aktivirati nakon što klijent zatraži da se njegovi podaci razmijene s korisnikom podataka. Taj zahtjev može podnijeti korisnik podataka u ime klijenta. Korisnik podataka trebao bi imati valjanu zakonitu osnovu za obradu osobnih podataka u skladu s Uredbom (EU) 2016/679. Podaci o klijentima mogu se obrađivati u dogovorene svrhe u kontekstu pružene usluge. Pri obradi osobnih podataka moraju se poštovati načela zaštite osobnih podataka, uključujući zakonitost, poštenost i transparentnost, ograničavanje svrhe i smanjenje količine podataka. Klijent ima pravo povući dopuštenje dano korisniku podataka. Ako je obrada podataka nužna za izvršavanje ugovora, klijent bi trebao moći povući dopuštenja u skladu s obvezama iz ugovora u kojem je ispitanik stranka. Ako se osobni podaci obrađuju na temelju privole, ispitanik ima pravo u bilo kojem trenutku povući svoju privolu, kako je predviđeno Uredbom (EU) 2016/679.

(11)Inovacije u pružanju investicijskih usluga za male ulagatelje mogu se potaknuti tako da se klijentima omogući razmjena njihovih podataka o tekućim ulaganjima. Prikupljanje osnovnih podataka kako bi se dovršila procjena primjerenosti i prikladnosti malog ulagatelja vremenski je zahtjevno za klijenta i bitan čimbenik troškova za savjetnike i distributere investicijskih, mirovinskih i investicijskih osigurateljnih proizvoda. Razmjena podataka o štednji klijenata i njihovim ulaganjima u financijske instrumente, uključujući investicijske osigurateljne proizvode, i podataka prikupljenih za potrebe procjene primjerenosti i prikladnosti može unaprijediti investicijsko savjetovanje potrošača te ima velik inovacijski potencijal, među ostalim u razvoju personaliziranog investicijskog savjetovanja i alata za upravljanje ulaganjima koji mogu povećati učinkovitost investicijskog savjetovanja malih ulagatelja. Takvi alati za upravljanje već se razvijaju na tržištu i mogu se učinkovitije razvijati kad klijent može razmjenjivati svoje podatke o ulaganjima.

(12)Uvidom u podatke o saldu, uvjetima ili transakcijama za svoje hipoteke, zajmove i štednje klijenti mogu dobiti bolji pregled svojih depozita i bolje zadovoljiti svoje potrebe za štednjom na temelju podataka o kreditima. Ova bi Uredba trebala obuhvaćati podatke o klijentima koji se ne odnose samo na račune za plaćanje definirane u Direktivi (EU) 2015/2366. Kreditni računi obuhvaćeni kreditnom linijom koji se ne mogu koristiti za platne transakcije s trećim stranama trebali bi biti obuhvaćeni područjem primjene ove Uredbe. Iz toga je stoga jasno da ova Uredba obuhvaća pristup pojedinostima o saldu, uvjetima ili transakcijama za ugovore o hipotekarnim kreditima, zajmove i štedne račune te za vrste računa koji nisu obuhvaćeni područjem primjene Direktive (EU) 2015/2366 11 .

(13)Podaci o klijentima obuhvaćeni područjem primjene ove Uredbe trebali bi uključivati informacije o održivosti koje bi klijentima trebale olakšati pristup financijskim uslugama koje su, u skladu sa strategijom Komisije za financiranje tranzicije prema održivom gospodarstvu 12 , usklađene s njihovim preferencijama u pogledu održivosti i potrebama za održivim financiranjem. Pristup podacima o održivosti koji mogu biti sadržani u pojedinostima o saldu ili transakcijama na hipotekarnim, kreditnim, zajmovnim i štednim računima, kao i pristup podacima o klijentima u području održivosti kojima raspolažu investicijska društva, može olakšati pristup podacima potrebnima za pristup održivom financiranju ili za ulaganja u zelenu tranziciju. Nadalje, podaci o klijentima obuhvaćeni područjem primjene ove Uredbe trebali bi uključivati podatke iz procjene kreditne sposobnosti poduzeća, uključujući mala i srednja poduzeća, koji mogu pružiti bolji uvid u ciljeve održivosti malih poduzeća. Uključivanje podataka koji se upotrebljavaju za procjenu kreditne sposobnosti poduzeća trebalo bi poboljšati pristup financiranju i pojednostavniti traženje zajmova. Takvi podaci trebali bi biti ograničeni na podatke o poduzećima i njima se ne bi smjela kršiti prava intelektualnog vlasništva.

(14)Podaci o neživotnom osiguranju klijenata ključni su za ponudu proizvoda i usluga osiguranja koji su važni za potrebe klijenata, kao što su zaštita domova, vozila i druge imovine. Međutim, prikupljanje takvih podataka često je zahtjevno i skupo te može odvratiti klijente od traženja optimalnog pokrića osiguranja. Stoga je za rješavanje tog problema potrebno uključiti takve financijske usluge u područje primjene ove Uredbe. Podaci o proizvodima osiguranja klijenata obuhvaćeni područjem primjene ove Uredbe trebali bi uključivati i informacije o proizvodu osiguranja, kao što su pojedinosti o pokriću osiguranja, i podatke o osiguranoj imovini potrošačâ koji se prikupljaju za potrebe ispitivanja zahtjeva i potreba. Razmjena takvih podataka trebala bi omogućiti razvoj personaliziranih alata za klijente, kao što su nadzorne ploče za osiguranje koje bi potrošačima mogle pomoći da bolje upravljaju svojim rizicima. Mogla bi i pomoći klijentima da dobiju proizvode koji su bolje usmjereni na njihove zahtjeve i potrebe, među ostalim zahvaljujući korisnijim savjetima. Time se, na način da se nude nova ili povećana pokrića, može optimizirati pokriće osiguranja za klijente i proširiti financijsko uključivanje potrošača kojima se inače ne nudi dovoljno usluga. Nadalje, razmjena podataka o osiguranju može doprinijeti učinkovitijem pružanju usluga osiguranja, posebno u fazi oblikovanja proizvoda, preuzimanja rizika, izvršavanja ugovora, uključujući upravljanje odštetnim zahtjevima, i smanjenja rizika.

(15)Razmjena podataka o strukovnoj i osobnoj mirovinskoj štednji ima velik inovacijski potencijal za potrošače. Mirovinski štediše često ne znaju dovoljno o svojim mirovinskim pravima, što je povezano s činjenicom da su podaci o takvim pravima često raspršeni među raznim vlasnicima podataka. Razmjena podataka o strukovnoj i osobnoj mirovinskoj štednji trebala bi doprinijeti razvoju alata za praćenje mirovina koji štedišama pružaju sveobuhvatan pregled njihovih prava i mirovinskih primanja u Uniji koja su stekli u pojedinačnim državama članicama i prekogranično. Podaci o mirovinskim pravima posebno se odnose na stečena mirovinska prava, predviđene iznose mirovina, rizike i jamstva članova i korisnika programa strukovnog mirovinskog osiguranja. Pristupom podacima o strukovnoj mirovini ne dovodi se u pitanje nacionalno socijalno i radno pravo o organizaciji mirovinskih sustava, uključujući članstvo u programima i ishode kolektivnih ugovora.

(16)Podaci iz procjene kreditne sposobnosti poduzeća obuhvaćenog područjem primjene ove Uredbe trebali bi se sastojati od informacija koje poduzeće dostavlja institucijama i vjerovnicima u postupku podnošenja zahtjeva za zajam ili zahtjeva za kreditni rejting. To uključuje zahtjeve za zajmove mikropoduzeća te malih, srednjih i velikih poduzeća. Može uključivati podatke koje su prikupili institucije i vjerovnici kako je utvrđeno u Prilogu II. Smjernicama Europskog nadzornog tijela za bankarstvo o odobravanju i praćenju kredita 13 . Ti podaci mogu uključivati financijske izvještaje i projekcije, informacije o financijskim obvezama i dospjelim nepodmirenim obvezama, dokaze o vlasništvu nad kolateralom, dokaze o osiguranju kolaterala i informacije o jamstvima. Drugi podaci mogu biti relevantni ako se zahtjev za kredit podnosi radi kupnje poslovnih nekretnina ili razvoja nekretnina.

(17)Budući da je svrha ove Uredbe obvezati financijske institucije da omoguće pristup definiranim kategorijama podataka na zahtjev klijenta kad djeluju kao vlasnici podataka te omogućiti razmjenu podataka na temelju dopuštenja klijenta kad djeluju kao korisnici podataka, ona bi trebala sadržavati popis financijskih institucija koje mogu djelovati kao vlasnici ili korisnici podataka ili oboje. Stoga bi financijskim institucijama trebalo smatrati subjekte koji klijentima u financijskom sektoru pružaju financijske proizvode i usluge ili im nude relevantne usluge pružanja informacija.

(18)Prakse koje korisnici podataka primjenjuju za kombiniranje novih i tradicionalnih izvora podataka o klijentima obuhvaćenih područjem primjene ove Uredbe moraju biti proporcionalne kako ne bi dovele do rizika od financijskog isključivanja potrošača. Prakse koje omogućuju sofisticiraniju ili detaljniju analizu određenih ranjivih segmenata potrošača, kao što su osobe s niskim dohotkom, mogu povećati rizik od nepoštenih uvjeta ili diferencijalnog određivanja cijena, kao što je naplata diferencijalnih premija. Isključivanje je vjerojatnije u slučaju pružanja proizvoda i usluga čije se cijene određuju na temelju profila potrošača, uključujući posebno ocjenjivanje i procjenu kreditne sposobnosti fizičkih osoba te proizvode i usluge povezane s procjenom rizika i određivanjem cijena za fizičke osobe u slučaju životnog i zdravstvenog osiguranja. S obzirom na rizike na uporabu podataka za te proizvode i usluge trebale bi se primjenjivati posebne obveze zaštite potrošača i njihovih temeljnih prava.

(19)Opseg uporabe podataka utvrđen u ovoj Uredbi i pratećim smjernicama („smjernice”) koje trebaju izraditi Europsko nadzorno tijelo za bankarstvo (EBA) i Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje (EIOPA) trebao bi služiti kao proporcionalan okvir za uporabu osobnih podataka o potrošaču koji su obuhvaćeni područjem primjene ove Uredbe. Opseg uporabe podataka osigurava dosljednost između područja primjene ove Uredbe, koje ne obuhvaća podatke iz procjene kreditne sposobnosti potrošača kao ni podatke o životnom ili zdravstvenom osiguranju ili osiguranju od bolesti potrošača, te područja primjene smjernica, u kojima se utvrđuju preporuke o tome kako se vrste podataka iz drugih područja financijskog sektora koji su obuhvaćeni područjem primjene ove Uredbe mogu upotrebljavati za pružanje tih proizvoda i usluga. U smjernicama koje će izraditi EBA trebalo bi utvrditi kako se druge vrste podataka koje su obuhvaćene područjem primjene ove Uredbe mogu upotrijebiti za ocjenjivanje kreditne sposobnosti potrošača. U smjernicama koje će izraditi EIOPA trebalo bi utvrditi kako se podaci obuhvaćeni područjem primjene ove Uredbe mogu upotrebljavati u proizvodima i uslugama povezanima s procjenom rizika i određivanjem cijena u slučaju proizvoda životnog i zdravstvenog osiguranja te osiguranja od bolesti. Smjernice bi trebalo izraditi u skladu s potrebama potrošača i proporcionalno pružanju takvih proizvoda i usluga.

(20)EBA i EIOPA trebale bi blisko surađivati s Europskim odborom za zaštitu podataka pri izradi smjernica, koje bi se trebale temeljiti na postojećim preporukama o uporabi informacija o potrošačima u području potrošačkih i hipotekarnih kredita, posebno na pravilima o procjeni kreditne sposobnosti iz Direktive 2008/48/EZ Europskog parlamenta i Vijeća od 23. travnja 2008. o ugovorima o potrošačkim kreditima i stavljanju izvan snage Direktive Vijeća 87/102/EEZ, Smjernicama EBA-e o odobravanju i praćenju kredita i Smjernicama EBA-e o procjeni kreditne sposobnosti izrađenima u skladu s Direktivom 2014/17/EU, kao i na Smjernicama Europskog odbora za zaštitu podataka o obradi osobnih podataka.

(21)Klijenti moraju imati stvarnu kontrolu nad svojim podacima i pouzdati se u upravljanje dopuštenjima koja su dali u skladu s ovom Uredbom. Stoga bi vlasnike podataka trebalo obvezati da klijentima stave na raspolaganje zajedničke i dosljedne nadzorne ploče za dopuštenja za pristup financijskim podacima. Nadzorna ploča za dopuštenja trebala bi omogućiti klijentima da upravljaju svojim dopuštenjima na informiran i nepristran način te steknu opsežnu kontrolu nad načinom na koji se upotrebljavaju njihovi osobni i neosobni podaci. Ne bi trebala biti oblikovana tako da klijenta potiče na davanje ili povlačenje dopuštenja ili da neprimjereno utječe na njegovu odluku o tome. Pri izradi nadzornih ploča za dopuštenja trebalo bi prema potrebi uzeti u obzir zahtjeve za pristupačnost iz Direktive (EU) 2019/882 Europskog parlamenta i Vijeća 14 . Vlasnici podataka mogli bi za prijavu na nadzornu ploču za dopuštenja koristiti prijavljeni sustav elektroničke identifikacije i usluge povjerenja, kao što je europska lisnica za digitalni identitet koju izdaje država članica, kako je uvedena Prijedlogom o izmjeni Uredbe (EU) br. 910/2014 u pogledu uspostavljanja europskog okvira za digitalni identitet 15 . Vlasnici podataka mogli bi u skladu s Uredbom (EU) 2022/868 Europskog parlamenta i Vijeća 16 angažirati pružatelje usluga podatkovnog posredovanja kako bi na raspolaganje stavili nadzorne ploče za dopuštenja koje ispunjavaju zahtjeve iz ove Uredbe.

(22)Nadzorna ploča za dopuštenja trebala bi prikazivati dopuštenja koja je dao klijent, među ostalim kad se osobni podaci razmjenjuju na temelju privole ili su nužni za izvršavanje ugovora. Nadzorna ploča za dopuštenja trebala bi na standardan način upozoriti klijenta na rizik od mogućih ugovornih posljedica povlačenja dopuštenja, ali bi klijent trebao ostati odgovoran za upravljanje takvim rizikom. Nadzorna ploča za dopuštenja trebala bi se upotrebljavati za upravljanje postojećim odobrenjima. Vlasnici podataka trebali bi u stvarnom vremenu obavijestiti korisnike podataka o svakom povlačenju dopuštenja. Nadzorna ploča za dopuštenja trebala bi sadržavati evidenciju povučenih ili isteklih dopuštenja za razdoblje do dvije godine kako bi klijent mogao svoja dopuštenja pratiti na informiran i nepristran način. Korisnici podataka trebali bi u stvarnom vremenu obavijestiti vlasnike podataka o novim i obnovljenim dopuštenjima koja su im dali klijenti, uključujući rok valjanosti dopuštenja i kratak sažetak svrhe dopuštenja. Informacije na nadzornoj ploči za dopuštenja ne dovode u pitanje zahtjeve u pogledu obavješćivanja iz Uredbe (EU) 2016/679.

(23)Kako bi se osigurala proporcionalnost, određene financijske institucije nisu obuhvaćene područjem primjene ove Uredbe jer bi njihova veličina ili usluge koje pružaju otežali usklađivanje s ovom Uredbom. To uključuje institucije za strukovno mirovinsko osiguranje koje upravljaju mirovinskim programima koji zajedno nemaju više od 15 članova, kao i posrednike u osiguranju koji su mikropoduzeća ili mala ili srednja poduzeća. Osim toga, malim i srednjim poduzećima koja djeluju kao vlasnici podataka i obuhvaćena su područjem primjene ove Uredbe trebalo bi dopustiti zajedničko uspostavljanje aplikacijskog programskog sučelja, čime bi se smanjili troškovi svakog od njih. Mogu angažirati i vanjske pružatelje tehnoloških usluga koji skupno upravljaju aplikacijskim programskim sučeljima za financijske institucije i koji im mogu naplatiti samo nisku fiksnu naknadu za uporabu te uglavnom rade na osnovi plaćanja po pozivu.

(24)Ovom se Uredbom uvodi nova pravna obveza za financijske institucije koje djeluju kao vlasnici podataka da razmjenjuju definirane kategorije podataka na zahtjev klijenta. Obvezu vlasnika podataka da razmjenjuju podatke na zahtjev klijenta trebalo bi razraditi u općeprihvaćenim standardima kako bi se osigurala i dovoljno visoka kvaliteta razmijenjenih podataka. Vlasnik podataka trebao bi podatke o klijentima kontinuirano stavljati na raspolaganje u svrhe i pod uvjetima za koje je klijent dao dopuštenje korisniku podataka. Stalan pristup mogao bi uključivati nekoliko zahtjeva za stavljanje na raspolaganje podataka o klijentu kako bi se izvršila usluga dogovorena s njim. Mogao bi podrazumijevati i jednokratni pristup podacima o klijentu. Iako je vlasnik podataka odgovoran za dostupnost i odgovarajuću kvalitetu sučelja, osim njega sučelje može pružati i druga financijska institucija, vanjski pružatelj IT usluga, strukovno udruženje odnosno skupina financijskih institucija ili javno tijelo u državi članici. Za institucije za strukovno mirovinsko osiguranje sučelje se može integrirati u preglede mirovina koji obuhvaćaju širi raspon informacija, pod uvjetom da su ispunjeni zahtjevi iz ove Uredbe.

(25)Kako bi se omogućila ugovorna i tehnička interakcija koja je potrebna za uspostavu pristupa podacima među raznim financijskim institucijama, vlasnici i korisnici podataka trebali bi imati obvezu sudjelovanja u sustavima razmjene financijskih podataka. U okviru tih sustava trebali bi se izraditi standardi za podatke i sučelja, zajednički standardizirani ugovorni okviri kojima se uređuje pristup određenim skupovima podataka i pravila upravljanja povezana s razmjenom podataka. Kako bi se osigurala njihova djelotvornost, potrebno je utvrditi opća načela za upravljanje tim sustavima, uključujući pravila o uključivom upravljanju i sudjelovanju vlasnika i korisnika podataka te klijenata (radi uravnotežene zastupljenosti u sustavima), zahtjeve u pogledu transparentnosti te djelotvoran postupak žalbe i preispitivanja (posebno u pogledu donošenja odluka u sustavima). Sustavi razmjene financijskih podataka moraju biti u skladu s pravilima Unije u području zaštite potrošača, zaštite podataka, privatnosti i tržišnog natjecanja. Sudionike u takvim sustavima potiče se i da izrade kodekse ponašanja slične onima koje su pripremili voditelji i izvršitelji obrade u skladu s člankom 40. Uredbe (EU) 2016/679. Iako se takvi sustavi mogu temeljiti na postojećim tržišnim inicijativama, zahtjevi utvrđeni u ovoj Uredbi trebali bi se konkretno odnositi na sustave razmjene financijskih podataka ili njihove dijelove koje sudionici na tržištu koriste za ispunjavanje svojih obveza iz ove Uredbe nakon datuma početka primjene tih obveza.

(26)Sustav razmjene financijskih podataka trebao bi se sastojati od kolektivnog ugovora između vlasnikâ i korisnikâ podataka s ciljem promicanja učinkovitosti i tehničkih inovacija u razmjeni financijskih podataka u korist klijenata. U skladu s pravilima Unije o tržišnom natjecanju članovima sustava razmjene financijskih podataka trebalo bi odrediti samo ograničenja koja su potrebna za postizanje ciljeva sustava i koja su proporcionalna tim ciljevima. Njegovim članovima ne bi trebalo omogućiti sprečavanje, ograničavanje ili narušavanje tržišnog natjecanja u odnosu na znatan dio mjerodavnog tržišta.

(27)Kako bi se osigurala učinkovitost ove Uredbe, Komisiji bi u skladu s člankom 290. Ugovora o funkcioniranju Europske unije trebalo delegirati ovlast za donošenje akata u pogledu utvrđivanja modaliteta i obilježja sustava razmjene financijskih podataka ako vlasnici i korisnici podataka ne razviju sustav. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. 17 Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(28)Vlasnicima i korisnicima podataka trebalo bi dopustiti da zajedničke standarde za obveznu razmjenu podataka izrade na temelju postojećih tržišnih standarda.

(29)Kako bi imali interes za pružanje visokokvalitetnih sučelja za stavljanje podataka na raspolaganje korisnicima podataka, vlasnici podataka trebali bi moći zatražiti razumnu naknadu od korisnika podataka za uspostavu aplikacijskih programskih sučelja. Kad bi se za omogućivanje pristupa plaćala naknada, povezani troškovi pravedno bi se raspodijelili među vlasnicima i korisnicima podataka u vrijednosnom lancu podataka. Proporcionalnost za manje sudionike na tržištu, kao što je slučaj kad je korisnik podataka MSP, trebalo bi osigurati tako da se iznos naknade ograniči isključivo na troškove omogućivanja pristupa podacima. Model za određivanje iznosa naknade trebalo bi utvrditi u okviru sustava razmjene financijskih podataka kako je predviđeno ovom Uredbom.

(30)Klijenti bi trebali znati koja su njihova prava u slučaju pojave problema pri razmjeni podataka i kome se obratiti kako bi zatražili naknadu. Stoga bi članove sustava za razmjenu financijskih podataka, uključujući vlasnike i korisnike podataka, trebalo obvezati na to da se dogovore o tome tko snosi ugovornu odgovornost za povrede podataka te kako će se rješavati mogući sporovi između vlasnika i korisnika podataka u pogledu odgovornosti. Ti bi zahtjevi trebali biti usmjereni na utvrđivanje pravila o odgovornosti te jasnih obveza i prava u bilo kakvoj vrsti ugovora kako bi se utvrdila odgovornost vlasnika i korisnika podataka. Odredbe o odgovornosti koje se odnose na potrošače kao ispitanike trebale bi se temeljiti na Uredbi (EU) 2016/679, posebno na njezinu članku 82. o pravu na naknadu štete i odgovornosti.

(31)Kako bi se promicala zaštita potrošača, povećalo povjerenje klijenata i osigurali jednaki uvjeti, potrebno je propisati pravila o tome tko ima pravo pristupa podacima o klijentima. U tim pravilima trebalo bi propisati da svi korisnici podataka moraju imati odobrenje za rad i biti pod nadzorom nadležnih tijela. Time bi se osiguralo da podacima mogu pristupiti samo regulirane financijske institucije ili poduzeća koja moraju imati posebno odobrenje za rad, koje je obuhvaćeno ovom Uredbom, da bi mogla pružati usluge pružanja financijskih informacija. Pravila o prihvatljivosti za pružatelje tih usluga potrebna su da bi se očuvali financijska stabilnost, integritet tržišta i zaštita potrošača jer bi ti pružatelji nudili financijske proizvode i usluge klijentima u Uniji i pristupali podacima kojima raspolažu financijske institucije i čija je cjelovitost ključna za očuvanje sposobnosti financijskih institucija da nastave pružati financijske usluge na siguran i pouzdan način. Takva su pravila potrebna i kako bi se zajamčio pravilan nadzor pružatelja usluga pružanja financijskih informacija koji bi nadležna tijela provodila u skladu sa svojim mandatom očuvanja financijske stabilnosti i integriteta u Uniji, što bi tim pružateljima omogućilo da u cijeloj Uniji pružaju usluge za koje im je izdano odobrenje za rad.

(32)Korisnici podataka obuhvaćeni područjem primjene ove Uredbe trebali bi podlijegati zahtjevima iz Uredbe (EU) 2022/2554 Europskog parlamenta i Vijeća 18 te biti obvezni primjenjivati stroge standarde kibernetičke otpornosti pri obavljanju svojih aktivnosti. To uključuje sveobuhvatne kapacitete kojima se omogućuje snažno i djelotvorno upravljanje IKT rizicima, kao i posebne mehanizme i politike za postupanje u vezi sa svim IKT incidentima i izvješćivanje o značajnim IKT incidentima. Korisnici podataka kojima je u skladu s ovom Uredbom izdano odobrenje za rad kao pružateljima usluga pružanja financijskih informacija i koje se nadzire u skladu s njom trebali bi pri uklanjanju IKT rizika slijediti isti pristup i ista pravila koja se temelje na načelima, pri čemu bi uzimali u obzir njihovu veličinu i ukupni profil rizičnosti te prirodu, opseg i složenost svojih usluga, aktivnosti i poslovanja. Stoga bi pružatelje usluga pružanja financijskih informacija trebalo uključiti u područje primjene Uredbe (EU) 2022/2554.

(33)Kako bi se omogućio djelotvoran nadzor i uklonila mogućnost njegova izbjegavanja ili zaobilaženja, pružatelji usluga pružanja financijskih informacija moraju biti zakonski osnovani u Uniji ili, ako su osnovani u trećoj zemlji, imenovati pravnog zastupnika u Uniji. Nadležna tijela trebaju provoditi djelotvoran nadzor kako bi se provedbom zahtjeva iz ove Uredbe zajamčili integritet i stabilnost financijskog sustava i zaštitili potrošači. Zahtjev za zakonsko osnivanje pružatelja usluga pružanja financijskih informacija u Uniji odnosno imenovanje pravnog zastupnika u Uniji ne obuhvaća lokalizaciju podataka jer ovom Uredbom nisu predviđeni dodatni zahtjevi u pogledu obrade podataka, uključujući pohranu podataka u Uniji.

(34)Pružatelj usluga pružanja financijskih informacija trebao bi imati odobrenje za rad u jurisdikciji države članice u kojoj se nalazi njegov glavni poslovni nastan, odnosno u kojoj taj pružatelj ima glavno ili registrirano sjedište u kojem se izvršavaju glavne funkcije i operativna kontrola. Nadležnost nad pružateljima usluga pružanja financijskih informacija koji nemaju poslovni nastan u Uniji, ali im je potreban pristup podacima u Uniji te su stoga obuhvaćeni područjem primjene ove Uredbe, trebala bi imati država članica u kojoj su ti pružatelji imenovali svojeg pravnog zastupnika, uzimajući u obzir funkciju pravnih zastupnika u skladu s ovom Uredbom.

(35)Kako bi se olakšala transparentnost u pogledu pristupa podacima i samih pružatelja usluga pružanja financijskih informacija, EBA bi trebala uspostaviti registar pružatelja kojima je izdano odobrenje za rad u skladu s ovom Uredbom, kao i sustava razmjene financijskih podataka koje su dogovorili vlasnici i korisnici podataka.

(36)Nadležnim tijelima trebalo bi dodijeliti ovlasti potrebne za nadzor načina na koji sudionici na tržištu izvršavaju obvezu vlasnika podataka da omoguće pristup podacima o klijentima u skladu s ovom Uredbom, kao i ovlasti potrebne za nadzor pružatelja usluga pružanja financijskih informacija. Pristup evidencijama o podatkovnom prometu kojima raspolaže telekomunikacijski operater, kao i mogućnost zapljene relevantnih dokumenata u poslovnom prostoru poduzeća, važne su i nužne ovlasti za otkrivanje i dokazivanje povreda u skladu s ovom Uredbom. Nadležna tijela stoga bi trebala imati ovlast da zahtijevaju takvu evidenciju ako je relevantna za istragu, u mjeri u kojoj je to dopušteno nacionalnim pravom. Nadležna tijela trebala bi surađivati i s nadzornim tijelima osnovanima na temelju Uredbe (EU) 2016/679 pri obavljanju svojih zadaća i izvršavanju svojih ovlasti u skladu s tom uredbom. 

(37)Budući da financijske institucije i pružatelji usluga pružanja financijskih informacija mogu imati poslovni nastan u različitim državama članicama i biti pod nadzorom različitih nadležnih tijela, primjenu ove Uredbe trebalo bi olakšati bliskom suradnjom relevantnih nadležnih tijela u okviru uzajamne razmjene informacija i pružanja pomoći u kontekstu relevantnih nadzornih aktivnosti.

(38)Kako bi se osigurali jednaki uvjeti u području ovlasti sankcioniranja, od država članica trebalo bi zahtijevati da propišu učinkovite, proporcionalne i odvraćajuće administrativne sankcije, uključujući periodične penale i administrativne mjere za povredu odredaba ove Uredbe. Te administrativne sankcije, periodični penali i administrativne mjere trebali bi ispunjavati određene minimalne zahtjeve, uključujući minimalne ovlasti koje bi trebale biti dodijeljene nadležnim tijelima kako bi ih mogla izreći, kriterije koje bi nadležna tijela trebala uzeti u obzir pri njihovu izricanju te obvezu objavljivanja i izvješćivanja. Države članice trebale bi donijeti posebna pravila i djelotvorne mehanizme za primjenu periodičnih penala.

(39)Osim administrativnih sankcija i mjera, nadležna tijela trebala bi biti ovlaštena za izricanje periodičnih penala pružateljima usluga pružanja financijskih informacija i članovima njihova upravljačkog tijela za koje je utvrđeno da su odgovorni za postojeću povredu ili koji moraju poštovati nalog nadležnog istražnog tijela. Budući da je svrha periodičnih penala primorati fizičke ili pravne osobe da postupaju u skladu s nalogom nadležnog tijela, na primjer da pristanu na razgovor ili dostave informacije odnosno isprave postojeću povredu, izricanje periodičnih penala ne bi trebalo spriječiti nadležna tijela u izricanju dodatnih administrativnih sankcija za istu povredu. Osim ako države članice predvide drukčije, periodične penale trebalo bi izračunavati na dnevnoj osnovi.

(40)Neovisno o njihovu nazivu u nacionalnom pravu, razni oblici ubrzanog postupka izvršenja ili sporazuma o nagodbi postoje u mnogim državama članicama i provode se umjesto formalnih postupaka za izricanje sankcija. Ubrzani postupak izvršenja obično započinje nakon završetka istrage i donošenja odluke o pokretanju postupka za izricanje sankcija. Kraći je od formalnog postupka zbog pojednostavnjenih postupovnih koraka. Na temelju sporazuma o nagodbi stranke koje su predmet istrage nadležnog tijela obično pristaju prijevremeno okončati tu istragu, u većini slučajeva prihvaćanjem odgovornosti za prijestupe.

(41)Iako se zbog različitih pravnih pristupa donesenih na nacionalnoj razini čini neprimjerenim težiti tomu da se na razini Unije usklade takvi ubrzani postupci izvršenja koje su uvele mnoge države članice, trebalo bi uvažiti činjenicu da takve metode nadležnim tijelima koja ih mogu primijeniti omogućuju da u određenim okolnostima brže, jeftinije i općenito učinkovito rješavaju slučajeve povrede te bi ih stoga trebalo poticati. No države članice ne bi trebale biti obvezne uvesti takve metode izvršenja u svoj pravni okvir niti bi nadležna tijela trebala biti primorana primjenjivati ih ako ih ne smatraju primjerenima. Ako države članice odluče ovlastiti svoja nadležna tijela za primjenu takvih metoda izvršenja, trebale bi Komisiju obavijestiti o toj odluci i relevantnim mjerama kojima se uređuju takve ovlasti.

(42)Države članice trebale bi ovlastiti nacionalna nadležna tijela za izricanje takvih administrativnih sankcija i mjera pružateljima usluga pružanja financijskih informacija i drugim fizičkim ili pravnim osobama ako je to potrebno za ispravljanje povrede. Raspon sankcija i mjera trebao bi biti dovoljno širok kako bi države članice i nadležna tijela mogli uzeti u obzir razlike među pružateljima usluga pružanja financijskih informacija s obzirom na njihovu veličinu, značajke i prirodu njihova poslovanja.

(43)Objava administrativne kazne ili mjere izrečene za povredu odredaba ove Uredbe može imati snažan odvraćajući učinak od ponavljanja takve povrede. Objava služi i tomu da se druge subjekte prije stupanja u poslovni odnos obavijesti o rizicima povezanima sa sankcioniranim pružateljem usluga pružanja financijskih informacija te da se nadležna tijela u drugim državama članicama upozna s rizicima povezanima s pružateljem usluga financijskog informiranja kad on prekogranično posluje u njihovim državama članicama. Zbog toga bi trebalo dopustiti objavu odluka o administrativnim kaznama i mjerama sve dok se odnosi na pravne osobe. Kad odlučuju hoće li objaviti odluku o administrativnoj kazni ili mjeri, nadležna tijela trebala bi uzeti u obzir težinu povrede i odvraćajući učinak koji bi objava mogla imati. Međutim, svaka takva objava koja se odnosi na fizičke osobe može neproporcionalno ugroziti njihova prava koja proizlaze iz Povelje o temeljnim pravima i primjenjivog zakonodavstva Unije o zaštiti podataka. Objava bi trebala biti anonimizirana, osim ako nadležno tijelo smatra da je odluke koje sadržavaju osobne podatke potrebno objaviti radi djelotvorne provedbe ove Uredbe, među ostalim u slučaju javnih izjava ili privremenih zabrana. U takvim bi slučajevima nadležno tijelo trebalo obrazložiti svoju odluku.

(44)Razmjena informacija i uzajamno pružanje pomoći među nadležnim tijelima država članica ključni su za potrebe ove Uredbe. Stoga suradnja među tijelima ne bi trebala podlijegati nerazumnim ograničavajućim uvjetima.

(45)Pružateljima usluga pružanja informacija trebalo bi dopustiti prekogranični pristup podacima u skladu sa slobodom pružanja usluga ili slobodom poslovnog nastana. Pružatelj usluga pružanja financijskih informacija koji želi imati pristup podacima kojima raspolaže vlasnik podataka u drugoj državi članici trebao bi o svojoj namjeri obavijestiti svoje nadležno tijelo i dostaviti informacije o vrsti podataka kojima želi pristupiti, sustavu razmjene financijskih podataka čiji je član i državama članicama u kojima namjerava pristupiti podacima.

(46)Ciljeve ove Uredbe, odnosno djelotvornu kontrolu potrošača nad podacima i rješavanje problema nepostojanja prava na pristup podacima o klijentima kojima raspolažu vlasnici podataka, ne mogu dostatno ostvariti države članice zbog njihove prekogranične prirode, nego se oni na bolji način mogu ostvariti na razini Unije stvaranjem okvira za razvoj većeg prekograničnog tržišta s pristupom podacima. Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(47)Prijedlogom akta o podacima [Uredba (EU) XX] uspostavlja se horizontalni okvir za pristup podacima i njihovu uporabu u cijeloj Uniji. Ovom se Uredbom dopunjuju i utvrđuju pravila utvrđena u Prijedlogu akta o podacima [Uredba (EU) XX]. Stoga se ta pravila primjenjuju i na razmjenu podataka uređenu ovom Uredbom. To uključuje odredbe o uvjetima pod kojima vlasnici podataka stavljaju podatke na raspolaganje primateljima podataka, o naknadi štete, o tijelima za rješavanje sporova kako bi se olakšali sporazumi između stranaka koje razmjenjuju podatke, o tehničkim zaštitnim mjerama, o međunarodnom pristupu podacima i njihovu prijenosu te o ovlaštenoj uporabi ili otkrivanju podataka.

(48)Uredba (EU) 2016/679 primjenjuje se na obradu osobnih podataka. U njoj su utvrđena prava ispitanika, uključujući pravo na pristup osobnim podacima i pravo na njihov prijenos. Ovom se Uredbom ne dovode u pitanje prava ispitanika propisana Uredbom (EU) 2016/679, uključujući pravo na pristup podacima i pravo na njihovu prenosivost. Ovom se Uredbom uspostavlja pravna obveza razmjene osobnih i neosobnih podataka o klijentima na zahtjev klijenta i propisuje tehnička izvedivost pristupa i razmjene za sve vrste podataka u okviru područja primjene ove Uredbe. Činjenica da je korisnik dao svoje dopuštenje ne dovodi u pitanje obveze korisnika podataka iz članka 6. Uredbe (EU) 2016/679. Osobni podaci koji se stavljaju na raspolaganje i razmjenjuju s korisnikom podataka trebali bi se obrađivati samo za usluge koje pruža korisnik ako postoji valjana pravna osnova u skladu s člankom 6. stavkom 1. Uredbe (EU) 2016/679 i, kad je primjenjivo, ako su ispunjeni zahtjevi iz članka 9. te uredbe o obradi posebnih kategorija podataka.

(49)Ova Uredba temelji se na odredbama o „otvorenom bankarstvu” iz Direktive (EU) 2015/2366 i dopunjuje ih te je u potpunosti usklađena s Uredbom (EU) …/202.. Europskog parlamenta i Vijeća o platnim uslugama i izmjeni Uredbe (EU) br. 1093/2010 19 i Direktivom (EU) …/202.. Europskog parlamenta i Vijeća o platnim uslugama i uslugama elektroničkog novca, izmjeni direktiva 2013/36/EU i 98/26/EZ te stavljanju izvan snage direktiva 2015/2355/EU i 2009/110/EZ 20 . Inicijativom se dopunjuju već postojeće odredbe o „otvorenom bankarstvu” iz Direktive (EU) 2015/2366, kojima se uređuje pristup podacima o računima za plaćanje kojima raspolažu pružatelji platnih usluga koji vode račune. Temelji se na poukama u području „otvorenog bankarstva” utvrđenima u preispitivanju Direktive (EU) 2015/2366 21 . Ovom se Uredbom usklađuju pristup financijskim podacima i otvoreno bankarstvo u područjima u kojima su potrebne dodatne mjere, uključujući nadzorne ploče za dopuštenja, pravne obveze omogućivanja izravnog pristupa podacima o klijentima i obvezu vlasnika podataka da uspostave sučelja.

(50)Ova Uredba ne utječe na odredbe o pristupu podacima i njihovoj razmjeni iz zakonodavstva Unije o financijskim uslugama, odnosno na i. odredbe o pristupu referentnim vrijednostima i sustavu pristupa za izvedenice kojima se trguje na burzi između mjesta trgovanja i središnjih drugih ugovornih strana utvrđene u Uredbi (EU) br. 600/2014 Europskog parlamenta i Vijeća 22 , ii. pravila o pristupu vjerovnika bazi podataka u skladu s Direktivom 2014/17/EU Europskog parlamenta i Vijeća 23 , iii. pravila o pristupu sekuritizacijskim repozitorijima u skladu s Uredbom (EU) 2017/2402 Europskog parlamenta i Vijeća 24 , iv. pravila o pravu na to da se od osiguravatelja zatraži potvrda o eventualno postavljenim odštetnim zahtjevima i o pristupu središnjim repozitorijima osnovnih podataka potrebnima za likvidaciju šteta u skladu s Direktivom 2009/103/EZ Europskog parlamenta i Vijeća 25 , v. prava na pristup svim potrebnim osobnim podacima i njihov prijenos novom pružatelju paneuropskih osobnih mirovinskih proizvoda u skladu s Uredbom (EU) 2019/1238 Europskog parlamenta i Vijeća 26 i vi. odredbe o eksternalizaciji i oslanjanju iz Direktive (EU) 2018/843 Europskog parlamenta i Vijeća 27 . Nadalje, ova Uredba ne utječe na primjenu EU-ovih ili nacionalnih pravila o tržišnom natjecanju iz Ugovora o funkcioniranju Europske unije i drugih sekundarnih akata Unije. Ovom se Uredbom također ne dovodi u pitanje pristup podacima, njihova razmjena ni uporaba na isključivo ugovornoj osnovi bez primjene obveza povezanih s pristupom podacima utvrđenih ovom Uredbom.

(51)Budući da je razmjena podataka o računima za plaćanje uređena drugim sustavom utvrđenim u Direktivi (EU) 2015/2366, smatra se primjerenim u ovoj Uredbi utvrditi klauzulu o preispitivanju kako bi Komisija ispitala utječe li uvođenje pravila na temelju ove Uredbe na način na koji pružatelji usluga pružanja informacija o računu pristupaju podacima i bi li bilo primjereno pojednostavniti pravila kojima se uređuje razmjena podataka koja se primjenjuju na njih.

(52)Budući da bi EBA, EIOPA i Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA) trebali primijeniti svoje ovlasti na pružatelje usluga pružanja financijskih informacija, potrebno je tim tijelima omogućiti izvršavanje svih njihovih ovlasti i zadaća kako bi ispunila svoje ciljeve zaštite javnog interesa doprinošenjem kratkoročnoj, srednjoročnoj i dugoročnoj stabilnosti i djelotvornosti financijskog sustava u korist gospodarstva Unije, njezinih građana i poduzetnika te obuhvatiti pružatelje usluga pružanja financijskih informacija uredbama (EU) br. 1093/2010 28 , (EU) br. 1094/2010 29 i (EU) br. 1095/2010 30 Europskog parlamenta i Vijeća. Navedene uredbe trebalo bi stoga na odgovarajući način izmijeniti.

(53)Datum početka primjene ove Uredbe trebalo bi odgoditi za XX mjeseci kako bi se omogućilo donošenje regulatornih tehničkih standarda i delegiranih akata potrebnih za podrobnije definiranje određenih elemenata ove Uredbe.

(54)Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 2. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća 31 te je on dao mišljenje [……….],

DONIJELI SU OVU UREDBU:

GLAVA I.
Predmet, područje primjene i definicije

Članak 1.
Predmet

Ovom se Uredbom uspostavljaju pravila o pristupu određenim kategorijama podataka o klijentima, njihovoj razmjeni i uporabi u području financijskih usluga.

Ovom se Uredbom uspostavljaju i pravila o izdavanju odobrenja za rad i radu pružatelja usluga pružanja financijskih informacija.

Članak 2.
Područje primjene

1.Ova se Uredba primjenjuje na sljedeće kategorije podataka o klijentima:

(a)ugovore o hipotekarnim kreditima, zajmove i račune, osim računa za plaćanje kako su definirani u Direktivi (EU) 2015/2366 o platnim uslugama, uključujući podatke o saldu, uvjetima i transakcijama;

(b)štednju, ulaganja u financijske instrumente, investicijske osigurateljne proizvode, kriptoimovinu, nekretnine i drugu sličnu financijsku imovinu te gospodarske koristi koje proizlaze iz takve imovine, uključujući podatke prikupljene za potrebe procjene primjerenosti i prikladnosti u skladu s člankom 25. Direktive 2014/65/EU Europskog parlamenta i Vijeća 32 ;

(c)mirovinska prava iz programâ strukovnog mirovinskog osiguranja u skladu s Direktivom 2009/138/EZ i Direktivom (EU) 2016/2341 Europskog parlamenta i Vijeća 33 ;

(d)mirovinska prava iz usluga pružanja paneuropskih osobnih mirovinskih proizvoda u skladu s Uredbom (EU) 2019/1238;

(e)proizvode neživotnog osiguranja u skladu s Direktivom 2009/138/EZ, osim proizvoda osiguranja od bolesti i zdravstvenog osiguranja, uključujući podatke prikupljene za potrebe procjene zahtjeva i potreba u skladu s člankom 20. Direktive (EU) 2016/97 Europskog parlamenta i Vijeća 34 te podatke prikupljene za potrebe procjene primjerenosti i prikladnosti u skladu s člankom 30. Direktive (EU) 2016/97;

(f)podatke iz procjene kreditne sposobnosti poduzeća koji se prikupljaju u postupku podnošenja zahtjeva za zajam ili zahtjeva za kreditni rejting.

2.Ova se Uredba primjenjuje na sljedeće subjekte kad djeluju kao vlasnici ili korisnici podataka:

(a)kreditne institucije;

(b)institucije za platni promet, uključujući pružatelje usluga pružanja informacija o računu i institucije za platni promet izuzete na temelju Direktive (EU) 2015/2366;

(c)institucije za elektronički novac, uključujući institucije za elektronički novac izuzete na temelju Direktive 2009/110/EZ Europskog parlamenta i Vijeća 35 ;

(d)investicijska društva;

(e)pružatelje usluga povezanih s kriptoimovinom;

(f)izdavatelje tokena vezanih uz imovinu;

(g)upravitelje alternativnih investicijskih fondova;

(h)društva za upravljanje subjektima za zajednička ulaganja u prenosive vrijednosne papire;

(i)društva za osiguranje i društva za reosiguranje;

(j)posrednike u osiguranju i sporedne posrednike u osiguranju;

(k)institucije za strukovno mirovinsko osiguranje;

(l)agencije za kreditni rejting;

(m)pružatelje usluga skupnog financiranja;

(n)pružatelje PEPP-a;

(o)pružatelje usluga pružanja financijskih informacija.

3.Ova se Uredba ne primjenjuje na subjekte iz članka 2. stavka 3. točaka od (a) do (e) Uredbe (EU) 2022/2554.

4.Ova Uredba ne utječe na primjenu drugih pravnih akata Unije o pristupu podacima o klijentima iz stavka 1. i njihovoj razmjeni, osim ako je to izričito predviđeno ovom Uredbom.

Članak 3.
Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.„potrošač” znači fizička osoba koja djeluje izvan područja svoje trgovačke, poslovne ili profesionalne djelatnosti;

2.„klijent” znači fizička ili pravna osoba koja koristi financijske proizvode i usluge;

3.„podaci o klijentima” znači osobni i neosobni podaci koje financijska institucija prikuplja, pohranjuje i na drugi način obrađuje u okviru svojeg uobičajenog poslovanja s klijentima, a koji obuhvaćaju i podatke koje su dostavili klijenti i podatke generirane u okviru interakcije klijenata s financijskom institucijom;

4.„nadležno tijelo” znači tijelo koje je imenovala svaka država članica u skladu s člankom 17., a za financijske institucije znači bilo koje nadležno tijelo iz članka 46. Uredbe (EU) 2022/2554;

5.„vlasnik podataka” znači financijska institucija koja nije pružatelj usluga pružanja informacija o računu i koja prikuplja, pohranjuje i na drugi način obrađuje podatke iz članka 2. stavka 1.;

6.„korisnik podataka” znači bilo koji subjekt iz članka 2. stavka 2. koji nakon dopuštenja klijenta ima zakonit pristup podacima o klijentu iz članka 2. stavka 1.;

7.„pružatelj usluga pružanja financijskih informacija” znači korisnik podataka kojem je u skladu s člankom 14. izdano odobrenje za rad kako bi mogao pristupiti podacima o klijentima iz članka 2. stavka 1. radi pružanja usluga pružanja financijskih informacija;

8.„financijska institucija” znači subjekti iz članka 2. stavka 2. točaka od (a) do (n) koji su vlasnici ili korisnici podataka ili oboje za potrebe ove Uredbe;

9.„investicijski račun” znači svaki registar kojim upravlja investicijsko društvo, kreditna institucija ili broker u osiguranju u vezi s tekućim udjelima u financijskim instrumentima ili investicijskim osigurateljnim proizvodima njihovih klijenata, uključujući prethodne transakcije i druge podatkovne točke o događajima iz životnog ciklusa tog instrumenta;

10.„neosobni podaci” znači podaci koji nisu osobni podaci kako su definirani u članku 4. točki 1. Uredbe (EU) 2016/679;

11.„osobni podaci” znači osobni podaci kako su definirani u članku 4. točki 1. Uredbe 2016/679;

12.„kreditna institucija” znači kreditna institucija kako je definirana u članku 4. stavku 1. točki 1. Uredbe (EU) br. 575/2013 Europskog parlamenta i Vijeća 36 ;

13.„investicijsko društvo” znači investicijsko društvo kako je definirano u članku 4. stavku 1. točki 1. Direktive 2014/65/EU;

14.„pružatelj usluga povezanih s kriptoimovinom” znači pružatelj usluga povezanih s kriptoimovinom iz članka 3. stavka 1. točke 15. Uredbe (EU) 2023/1114 Europskog parlamenta i Vijeća 37 ;

15.„izdavatelj tokena vezanih uz imovinu” znači izdavatelj tokena vezanih uz imovinu koji ima odobrenje za rad u skladu s člankom 21. Uredbe (EU) 2023/1114;

16.„institucija za platni promet” znači institucija za platni promet kako je definirana u članku 4. točki 4. Direktive (EU) 2015/2366;

17.„pružatelj usluga pružanja informacija o računu” znači pružatelj usluga pružanja informacija o računu iz članka 33. stavka 1. Direktive (EU) 2015/2366;

18.„institucija za elektronički novac” znači institucija za elektronički novac kako je definirana u članku 2. točki 1. Direktive 2009/110/EZ;

19.„institucija za elektronički novac izuzeta na temelju Direktive 2009/110/EZ” znači institucija za elektronički novac na koju se primjenjuje izuzeće iz članka 9. stavka 1. Direktive 2009/110/EZ;

20.„upravitelj alternativnih investicijskih fondova” znači upravitelj alternativnih investicijskih fondova kako je definiran u članku 4. stavku 1. točki (b) Direktive 2011/61/EU Europskog parlamenta i Vijeća 38 ;

21.„društvo za upravljanje subjektima za zajednička ulaganja u prenosive vrijednosne papire” znači društvo za upravljanje kako je definirano u članku 2. stavku 1. točki (b) Direktive 2009/65/EZ Europskog parlamenta i Vijeća 39 ;

22.„društvo za osiguranje” znači društvo za osiguranje kako je definirano u članku 13. točki 1. Direktive 2009/138/EZ;

23.„društvo za reosiguranje” znači društvo za reosiguranje kako je definirano u članku 13. točki 4. Direktive 2009/138/EZ;

24.„posrednik u osiguranju” znači posrednik u osiguranju kako je definiran u članku 2. stavku 1. točki 3. Direktive (EU) 2016/97 Europskog parlamenta i Vijeća 40 ;

25.„sporedni posrednik u osiguranju” znači sporedni posrednik u osiguranju kako je definiran u članku 2. stavku 1. točki 4. Direktive (EU) 2016/97;

26.„institucija za strukovno mirovinsko osiguranje” znači institucija za strukovno mirovinsko osiguranje kako je definirana u članku 6. točki 1. Direktive (EU) 2016/2341;

27.„agencija za kreditni rejting” znači agencija za kreditni rejting kako je definirana u članku 3. stavku 1. točki (b) Uredbe (EZ) br. 1060/2009 Europskog parlamenta i Vijeća 41 ;

28.„pružatelj PEPP-a” znači pružatelj PEPP-a kako je definiran u članku 2. točki 15. Uredbe (EU) 2019/1238 Europskog parlamenta i Vijeća;

29.„pravni zastupnik” znači fizička osoba s domicilom u Uniji ili pravna osoba s registriranim sjedištem u Uniji koju je pružatelj usluga pružanja financijskih informacija s poslovnim nastanom u trećoj zemlji izričito imenovao da za potrebe ispunjavanja njegovih obveza iz ove Uredbe djeluje u Uniji u njegovo ime u odnosu na tijela, klijente, institucije i njegove druge ugovorne strane.

GLAVA II.
Pristup podacima

Članak 4. 
Obveza stavljanja podataka na raspolaganje klijentu

Na zahtjev klijenta podnesen elektroničkim putem vlasnik podataka stavlja podatke iz članka 2. stavka 1. na raspolaganje klijentu bez nepotrebne odgode, besplatno, kontinuirano i u stvarnom vremenu.

Članak 5.
Obveze vlasnika podataka da korisniku podataka stavi na raspolaganje podatke o klijentima

1.Na zahtjev klijenata podnesen elektroničkim putem vlasnik podataka korisniku podataka stavlja na raspolaganje podatke o klijentima iz članka 2. stavka 1. u svrhe za koje su klijenti dali dopuštenje korisniku podataka. Podaci o klijentima stavljaju se na raspolaganje korisniku podataka bez nepotrebne odgode, kontinuirano i u stvarnom vremenu.

2.Vlasnik podataka može zatražiti naknadu od korisnika podataka za stavljanje podataka o klijentima na raspolaganje u skladu sa stavkom 1. samo ako su ti podaci korisniku podataka stavljeni na raspolaganje u skladu s pravilima i modalitetima sustava razmjene financijskih podataka, kako je predviđeno člancima 9. i 10., ili ako su stavljeni na raspolaganje u skladu s člankom 11.

3.Pri stavljanju podataka na raspolaganje u skladu sa stavkom 1. vlasnik podataka:

(a)korisniku podataka stavlja podatke o klijentima na raspolaganje u formatu koji je propisan općeprihvaćenim standardima i koji je barem jednake kvalitete kao format dostupan vlasniku podataka;

(b)na siguran način komunicira s korisnikom podataka osiguravanjem odgovarajuće razine sigurnosti za obradu i prijenos podataka o klijentima;

(c)zahtijeva od korisnika podataka da dokažu da su dobili dopuštenje klijenata za pristup podacima o klijentima kojima raspolaže vlasnik podataka;

(d)klijentu stavlja na raspolaganje nadzornu ploču za dopuštenja radi praćenja dopuštenja i upravljanja njima u skladu s člankom 8.;

(e)poštuje povjerljivost poslovnih tajni i prava intelektualnog vlasništva kad se podacima o klijentima pristupa u skladu s člankom 5. stavkom 1.

Članak 6.
Obveze korisnika podataka koji prima podatke o klijentima

1.Korisnik podataka ima pravo pristupa podacima o klijentima u skladu s člankom 5. stavkom 1. samo ako mu je nadležno tijelo već izdalo odobrenje za rad kao financijska institucija ili pružatelj usluga pružanja financijskih informacija u skladu s člankom 14.

2.Korisnik podataka pristupa podacima o klijentima koji su stavljeni na raspolaganje u skladu s člankom 5. stavkom 1. samo u svrhe i pod uvjetima za koje su mu klijenti dali dopuštenje. Korisnik podataka briše podatke o klijentima ako više nisu potrebni u svrhe za koje su klijenti dali dopuštenje.

3.Klijenti mogu povući dopuštenje koje su dali korisniku podataka. Ako je obrada nužna za izvršavanje ugovora, klijenti mogu povući dopuštenje koje su dali kako bi podatke o klijentima stavili na raspolaganje korisniku podataka u skladu sa svojim ugovornim obvezama.

4.Radi djelotvornog upravljanja podacima o klijentima korisnik podataka:

(a)ne obrađuje podatke o klijentima u druge svrhe osim za pružanje usluge koju su klijenti izričito zatražili;

(b)poštuje povjerljivost poslovnih tajni i prava intelektualnog vlasništva kad se podacima o klijentima pristupa u skladu s člankom 5. stavkom 1.;

(c)provodi odgovarajuće tehničke, pravne i organizacijske mjere kako bi se spriječio prijenos neosobnih podataka o klijentima ili pristup takvim podacima, koji je na temelju prava Unije ili nacionalnog prava relevantne države članice nezakonit;

(d)poduzima potrebne mjere kako bi se osigurala odgovarajuća razina sigurnosti za pohranu, obradu i prijenos neosobnih podataka o klijentima;

(e)ne obrađuje podatke o klijentima za potrebe oglašavanja, osim za izravni marketing u skladu s pravom Unije i nacionalnim pravom;

(f)ako je korisnik podataka dio grupe društava, podacima o klijentima navedenima u članku 2. stavku 1. pristupa i obrađuje ih samo subjekt grupe koji djeluje kao korisnik podataka.

GLAVA III.
Odgovorna uporaba podataka i nadzorne ploče za dopuštenja

Članak 7.
Opseg uporabe podataka

1.Obrada podataka o klijentima iz članka 2. stavka 1. ove Uredbe koji se smatraju osobnim podacima ograničena je na ono što je nužno za svrhe u koje se obrađuju.

2.U skladu s člankom 16. Uredbe (EU) br. 1093/2010 Europsko nadzorno tijelo za bankarstvo (EBA) izrađuje smjernice o provedbi stavka 1. ovog članka za proizvode i usluge povezane s ocjenjivanjem kreditne sposobnosti potrošača.

3.U skladu s člankom 16. Uredbe (EU) br. 1094/2010 Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje (EIOPA) izrađuje smjernice o provedbi stavka 1. ovog članka za proizvode i usluge povezane s procjenom rizika i određivanjem cijena za potrošača u slučaju proizvoda životnog i zdravstvenog osiguranja te osiguranja od bolesti.

4.Pri izradi smjernica iz stavaka 2. i 3. ovog članka EIOPA i EBA blisko surađuju s Europskim odborom za zaštitu podataka osnovanim Uredbom (EU) 2016/679.

Članak 8.
Nadzorne ploče za dopuštenja za pristup financijskim podacima

1.Vlasnik podataka dužan je staviti klijentu na raspolaganje nadzornu ploču za dopuštenja kako bi klijent pratio dopuštenja koja je dao korisnicima podataka i upravljao njima.

2.Nadzorna ploča za dopuštenja:

(a)sadržava pregled svih valjanih dopuštenja koja je klijent dao korisnicima podataka, uključujući:

i.ime korisnika podataka kojem je dopušten pristup;

ii.račun klijenta, financijski proizvod ili financijsku uslugu kojima je dopušten pristup;

iii.svrhu dopuštenja;

iv.kategorije podataka koji se razmjenjuju;

v.razdoblje valjanosti dopuštenja;

(b)omogućuje klijentu povlačenje dopuštenja danog korisniku podataka;

(c)omogućuje klijentu ponovno davanje povučenog dopuštenja;

(d)sadržava evidenciju povučenih ili isteklih dopuštenja iz prethodnih dviju godina.

3.Vlasnik podataka dužan je osigurati da se nadzorna ploča za dopuštenja može lako pronaći na njegovu korisničkom sučelju te da su informacije prikazane na njoj jasne, točne i lako razumljive klijentu.

4.Vlasnik podataka i korisnik podataka kojem je klijent dao dopuštenje surađuju kako bi informacije stavili na raspolaganje klijentu na nadzornoj ploči u stvarnom vremenu. Kako bi se ispunile obveze iz stavka 2. točaka (a), (b), (c) i (d) ovog članka:

(a)vlasnik podataka obavješćuje korisnika podataka o izmjenama dopuštenja koje je klijent unio na nadzornoj ploči;

(b)korisnik podataka obavješćuje vlasnika podataka o novim dopuštenjima koja su mu dali klijenti za podatke o klijentima kojima raspolaže taj vlasnik podataka, pri čemu među ostalim navodi:

i.svrhu dopuštenja koje su klijenti dali;

ii.razdoblje valjanosti dopuštenja;

iii.kategorije podataka o kojima je riječ.

GLAVA IV.
Sustavi razmjene financijskih podataka

Članak 9.
Članstvo u sustavu razmjene financijskih podataka

1.U roku od 18 mjeseci od stupanja na snagu ove Uredbe vlasnici i korisnici podataka postaju članovi sustava razmjene financijskih podataka kojim se uređuje pristup podacima o klijentima u skladu s člankom 10.

2.Vlasnici i korisnici podataka mogu postati članovi više od jednog sustava razmjene financijskih podataka.

Podaci se razmjenjuju u skladu s pravilima i modalitetima sustava razmjene financijskih podataka čiji su članovi i korisnik i vlasnik podataka.

Članak 10.
Upravljanje sustavom razmjene financijskih podataka i njegova struktura

1.Sustav razmjene financijskih podataka uključuje sljedeće elemente:

(a)članovi sustava razmjene financijskih podataka uključuju:

i.vlasnike i korisnike podataka koji predstavljaju znatan udio tržišta predmetnog proizvoda ili usluge, pri čemu su strane pošteno i ravnopravno zastupljene u internim postupcima donošenja odluka u okviru sustava te imaju jednaka prava glasa u svim postupcima glasanja; ako je član i vlasnik i korisnik podataka, smatra se punopravnim članom u oba ta svojstva;

ii.organizacije potrošača i udruge potrošača;

(b)pravila koja se primjenjuju na članove sustava razmjene financijskih podataka jednako se primjenjuju na sve članove i nema neopravdano povoljnog ili diferenciranog postupanja prema članovima;

(c)pravila o članstvu u sustavu razmjene financijskih podataka osiguravaju da u sustavu mogu sudjelovati svi vlasnici i korisnici podataka na temelju objektivnih kriterija te da se prema svim članovima postupa na pošten i ravnopravan način;

(d)u sustavu razmjene financijskih podataka ne uvode se kontrole ni dodatni uvjeti za razmjenu podataka osim onih predviđenih ovom Uredbom ili drugim primjenjivim pravom Unije;

(e)sustav razmjene financijskih podataka uključuje mehanizam kojim se njegova pravila mogu izmijeniti nakon analize učinka i suglasnosti većine članova zajednice vlasnika odnosno korisnika podataka;

(f)sustav razmjene financijskih podataka uključuje pravila o transparentnosti i prema potrebi izvješćivanju svojih članova;

(g)sustav razmjene financijskih podataka uključuje zajedničke standarde za podatke i tehnička sučelja kako bi se klijentima omogućilo da zatraže razmjenu podataka u skladu s člankom 5. stavkom 1. Članovi sustava ili druge strane ili tijela mogu izraditi zajedničke standarde za podatke i tehnička sučelja koja članovi sustava pristanu primjenjivati;

(h)u sustavu razmjene financijskih podataka uspostavlja se model za određivanje maksimalne naknade koju vlasnik podataka ima pravo naplatiti za stavljanje podataka na raspolaganje u okviru odgovarajućeg tehničkog sučelja za razmjenu podataka s korisnicima podataka u skladu sa zajedničkim standardima izrađenima u skladu s točkom (g). Model se temelji na sljedećim načelima:

i.naknada bi trebala biti ograničena na razuman iznos koji je izravno povezan sa stavljanjem podataka na raspolaganje korisniku podataka i koji se može pripisati zahtjevu;

ii.naknada bi se trebala temeljiti na objektivnoj, transparentnoj i nediskriminirajućoj metodologiji koju su dogovorili članovi sustava;

iii.naknada bi se trebala temeljiti na detaljnim tržišnim podacima prikupljenima od korisnika i vlasnika podataka o svakom elementu troška koji treba razmotriti i koji je jasno utvrđen u skladu s modelom;

iv.iznos naknada trebalo bi redovito preispitivati i pratiti kako bi se uzeo u obzir tehnološki napredak;

v.naknadu bi trebalo određivati tako da bude što sličnija najnižim naknadama na tržištu; i

vi.naknadu bi trebalo naplaćivati samo za zahtjeve za podatke o klijentima iz članka 2. stavka 1. ili bi trebala biti proporcionalna povezanim skupovima podataka obuhvaćenima područjem primjene tog članka u slučaju zahtjeva za kombinirane podatke.

Ako je korisnik podataka mikropoduzeće, malo ili srednje poduzeće, kako je definirano u članku 2. Priloga Preporuci Komisije 2003/361/EZ od 6. svibnja 2003. 42 , dogovorena naknada ne smije prelaziti troškove koji su izravno povezani sa stavljanjem podataka na raspolaganje primatelju podataka i koji se mogu pripisati zahtjevu.

(i)u okviru sustava razmjene financijskih podataka utvrđuje se ugovorna odgovornost članova, među ostalim ako su podaci netočni ili neprimjerene kvalitete, ako je ugrožena sigurnost podataka ili ako su podaci zloupotrijebljeni. Odredbe o odgovornosti u okviru sustava razmjene financijskih podataka koje se odnose na osobne podatke moraju biti u skladu s odredbama Uredbe (EU) 2016/679;

(j)sustav razmjene financijskih podataka osigurava neovisan, nepristran, transparentan i učinkovit sustav za rješavanje sporova među članovima sustava i rješavanje problema povezanih s članstvom u skladu sa zahtjevima u pogledu kvalitete utvrđenima Direktivom 2013/11/EU Europskog parlamenta i Vijeća 43 .

2.Sustavu razmjene financijskih podataka mogu se u svakom trenutku pridružiti novi članovi pod istim uvjetima kao i postojeći članovi.

3.Vlasnik podataka u roku od mjesec dana od učlanjenja u sustav obavješćuje nadležno tijelo države članice poslovnog nastana o sustavima razmjene financijskih podataka čiji je član.

4.O sustavu razmjene financijskih podataka uspostavljenom u skladu s ovim člankom obavješćuje se nadležno tijelo poslovnog nastana triju najvažnijih vlasnika podataka koji su članovi tog sustava u trenutku uspostave sustava. Ako tri najvažnija vlasnika podataka imaju poslovni nastan u različitim državama članicama ili ako u državi članici njihova poslovnog nastana postoji više nadležnih tijela, o sustavu se obavješćuju sva ta tijela koja se međusobno dogovaraju o tome koje će tijelo provesti procjenu iz stavka 6.

5.Obavijest u skladu sa stavkom 4. šalje se u roku od mjesec dana od uspostave sustava razmjene financijskih podataka i sadržava opis modaliteta i obilježja upravljanja u skladu sa stavkom 1.

6.U roku od mjesec dana od primitka obavijesti u skladu sa stavkom 4. nadležno tijelo procjenjuje jesu li modaliteti i obilježja upravljanja sustavom razmjene financijskih podataka u skladu sa stavkom 1. Pri procjeni usklađenosti sustava razmjene financijskih podataka sa stavkom 1. nadležno tijelo može se savjetovati s drugim nadležnim tijelima.

Po završetku svoje procjene nadležno tijelo obavješćuje EBA-u da sustav razmjene financijskih podataka o kojem je obaviješteno ispunjava odredbe stavka 1. Sustav o kojem je EBA obaviještena u skladu s ovim stavkom priznaje se u svim državama članicama za potrebe pristupa podacima u skladu s člankom 5. stavkom 1. i o njemu ne treba obavijestiti tijela nijedne druge države članice.

Članak 11.
Ovlast za donošenje delegiranog akta u slučaju nepostojanja sustava razmjene financijskih podataka

Ako sustav razmjene financijskih podataka nije razvijen za jednu ili više kategorija podataka o klijentima navedenih u članku 2. stavku 1. i nije vjerojatno da će se takav sustav uspostaviti u razumnom roku, Komisija je ovlaštena donijeti delegirani akt u skladu s člankom 30. radi dopune ove Uredbe utvrđivanjem sljedećih modaliteta za tu kategoriju podataka u okviru kojih vlasnik podataka stavlja na raspolaganje podatke o klijentima u skladu s člankom 5. stavkom 1.:

(a)zajedničkih standarda za podatke i prema potrebi za tehnička sučelja kako bi se klijentima omogućilo da zatraže razmjenu podataka u skladu s člankom 5. stavkom 1.;

(b)modela za određivanje maksimalne naknade koju vlasnik podataka ima pravo naplatiti za stavljanje podataka na raspolaganje;

(c)odgovornosti subjekata uključenih u stavljanje podataka o klijentima na raspolaganje.

GLAVA V.
Prihvatljivost za pristup podacima i njihovu organizaciju

Članak 12.
Zahtjev za izdavanje odobrenja za rad pružateljima usluga pružanja financijskih informacija 

1.Pružatelj usluga pružanja financijskih informacija ima pravo pristupa podacima o klijentima u skladu s člankom 5. stavkom 1. ako mu je nadležno tijelo države članice izdalo odobrenje za rad.

2.Pružatelj usluga pružanja financijskih informacija podnosi zahtjev za izdavanje odobrenja za rad nadležnom tijelu države članice poslovnog nastana u kojem se nalazi njegovo registrirano sjedište, a prilaže mu:

(a) program poslovanja u kojem se posebno utvrđuje predviđena vrsta pristupa podacima;

(b)poslovni plan, uključujući izračun projekcije proračuna za prve tri financijske godine kojim se pokazuje da je podnositelj zahtjeva sposoban koristiti adekvatne i proporcionalne sustave, resurse i postupke za stabilno poslovanje;

(c)opis sustava upravljanja podnositelja zahtjeva te mehanizama unutarnje kontrole, uključujući administrativne i računovodstvene postupke te postupke upravljanja rizikom, kao i aranžmana za uporabu IKT usluga u skladu s Uredbom (EU) 2022/2554 Europskog parlamenta i Vijeća, iz kojih je vidljivo da su navedeni sustavi upravljanja, mehanizmi kontrole i postupci proporcionalni, primjereni, pouzdani i dostatni;

(d)opis postupaka uspostavljenih za praćenje, rješavanje i postupanje nakon sigurnosnih incidenata ili pritužbi klijenata povezanih sa sigurnosti, uključujući mehanizam za izvješćivanje o incidentima kojim se uzimaju u obzir obveze u pogledu obavješćivanja utvrđene u poglavlju III. Uredbe (EU) 2022/2554;

(e)opis mehanizama kontinuiteta poslovanja, uključujući jasnu identifikaciju ključnih operacija, djelotvornu politiku i planove kontinuiteta poslovanja u području IKT-a i planove odgovora i oporavka u području IKT-a, te postupak za redovito testiranje i preispitivanje prikladnosti i učinkovitosti takvih planova u skladu s Uredbom (EU) 2022/2554; 

(f)dokument o sigurnosnoj politici, uključujući detaljnu procjenu rizika u pogledu poslovanja i opis kontrole sigurnosti i mjera ublažavanja koje su poduzete za primjerenu zaštitu klijenata od utvrđenih rizika, uključujući prijevaru;

(g)opis organizacijske strukture podnositelja zahtjeva, kao i opis aranžmana za eksternalizaciju;

(h)informacije o identitetu direktora i osoba odgovornih za upravljanje podnositeljem zahtjeva te, ako je primjenjivo, osoba odgovornih za upravljanje njegovim aktivnostima pristupa podacima te dokaze da imaju dobar ugled i odgovarajuće znanje i iskustvo za pristupanje podacima kako je određeno ovom Uredbom;

(i)informacije o pravnom statusu i statut podnositelja zahtjeva;

(j)adresu glavnog sjedišta podnositelja zahtjeva;

(k)prema potrebi, pisani sporazum između pružatelja usluga pružanja financijskih informacija i pravnog zastupnika kojim se dokazuju imenovanje, opseg odgovornosti i zadaće koje pravni zastupnik treba obavljati u skladu s člankom 13.

Za potrebe prvog podstavka točaka (c), (d) i (g) podnositelj zahtjeva navodi opis svojih revizorskih i organizacijskih programa uspostavljenih s ciljem poduzimanja svih razumnih mjera za zaštitu interesa svojih klijenata i osiguravanje kontinuiteta i pouzdanosti pri obavljanju svojih aktivnosti.

U opisu kontrole sigurnosti i mjera ublažavanja iz prvog podstavka točke (f) navodi se na koji će način podnositelj zahtjeva osigurati visoku razinu digitalne operativne otpornosti u skladu s poglavljem II. Uredbe (EU) 2022/2554, posebno u pogledu tehničke sigurnosti i zaštite podataka, među ostalim za softver i sustave IKT-a koje upotrebljavaju podnositelj zahtjeva ili društva kojima u cijelosti ili djelomično eksternalizira svoje poslovanje.

3.Pružatelji usluga pružanja financijskih informacija dužni su imati osiguranje od profesionalne odgovornosti koje pokriva državna područja na kojima pristupaju podacima ili neko drugo odgovarajuće jamstvo te osigurati sljedeće: 

(a)sposobnost pokrivanja svoje odgovornosti koja proizlazi iz neovlaštenog ili prijevarnog pristupa podacima ili njihove neovlaštene ili prijevarne uporabe;

(b)sposobnost pokrivanja vrijednosti svakog viška, praga ili odbitka od osiguranja ili odgovarajućeg jamstva;

(c)kontinuirano praćenje pokrića osiguranja ili odgovarajućeg jamstva.

Ako nema osiguranje od profesionalne odgovornosti ili drugo odgovarajuće jamstvo kako se zahtijeva u prvom podstavku, poduzeće iz prethodnog podstavka dužno je imati početni kapital u iznosu od 50 000 EUR, koji bez nepotrebne odgode može zamijeniti osiguranjem od profesionalne odgovornosti ili drugim odgovarajućim jamstvom nakon što počne obavljati svoju djelatnost kao pružatelj usluga pružanja financijskih informacija.

4.Nakon savjetovanja sa svim relevantnim dionicima EBA u suradnji s ESMA-om i EIOPA-om izrađuje nacrt regulatornih tehničkih standarda kojima se određuju:

(a)informacije koje treba dostaviti nadležnom tijelu u zahtjevu za izdavanje odobrenja za rad pružateljima usluga pružanja financijskih informacija, uključujući zahtjeve iz stavka 1. točaka od (a) do (l);

(b)zajednička metodologija procjene za izdavanje odobrenja za rad kao pružatelj usluga pružanja financijskih informacija u skladu s ovom Uredbom;

(c)odgovarajuće jamstvo iz stavka 2., koje bi trebalo biti zamjenjivo s osiguranjem od profesionalne odgovornosti;

(d)kriteriji za utvrđivanje minimalnog novčanog iznosa osiguranja od profesionalne odgovornosti ili drugog odgovarajućeg jamstva iz stavka 2.

Pri izradi tih regulatornih tehničkih standarda EBA uzima u obzir sljedeće:

(a)profil rizičnosti društva;

(b)pruža li društvo druge vrste usluga odnosno bavi li se drugim djelatnostima;

(c)opseg aktivnosti;

(d)posebne značajke odgovarajućih jamstava i kriterija za njihovu provedbu.

EBA taj nacrt regulatornih tehničkih standarda iz prvog podstavka Komisiji dostavlja do [Ured za publikacije, unijeti datum = devet mjeseci nakon stupanja na snagu ove Uredbe].

Komisiji se dodjeljuje ovlast za donošenje regulatornih tehničkih standarda iz prvog podstavka ovog stavka u skladu s člancima od 10. do 14. Uredbe (EU) br. 1093/2015.

U skladu s člankom 10. Uredbe (EU) br. 1093/2010 EBA preispituje i prema potrebi ažurira te regulatorne tehničke standarde. 

Članak 13.
Pravni zastupnici

1.Pružatelji usluga pružanja financijskih informacija koji nemaju poslovni nastan u Uniji, a traže pristup financijskim podacima u Uniji, imenuju u pisanom obliku pravnu ili fizičku osobu kao svojeg pravnog zastupnika u jednoj od država članica iz koje namjeravaju pristupiti financijskim podacima.

2.Pružatelji usluga pružanja financijskih informacija ovlašćuju svoje pravne zastupnike za to da se, osim ili umjesto pružateljima, nadležna tijela mogu obratiti i njima u vezi sa svim pitanjima koja je potrebno riješiti za prihvaćanje, poštovanje i provedbu ove Uredbe. Pružatelji usluga pružanja financijskih informacija svojem pravnom zastupniku daju potrebne ovlasti i resurse kako bi mogao surađivati s nadležnim tijelima i osigurati usklađenost s njihovim odlukama.

3.Imenovani pravni zastupnik može se smatrati odgovornim za neispunjavanje obveza koje proizlaze iz ove Uredbe, čime se ne dovode u pitanje odgovornost pružatelja usluga pružanja financijskih informacija ni pravne radnje koje bi se mogle pokrenuti protiv tog pružatelja.

4.Pružatelji usluga pružanja financijskih informacija obavješćuju nadležno tijelo u državi članici u kojoj njihov pravni zastupnik ima boravište ili poslovni nastan o imenu, adresi, elektroničkoj adresi i telefonskom broju svojeg pravnog zastupnika. Oni vode računa da su te informacije ažurirane.

5.Imenovanje pravnog zastupnika unutar Unije na temelju stavka 1. ne čini poslovni nastan u Uniji.

Članak 14.
Izdavanje i oduzimanje odobrenja za rad pružateljima usluga pružanja financijskih informacija

1.Nadležno tijelo izdaje odobrenje za rad ako su informacije i dokazi koji se prilažu zahtjevu u skladu sa zahtjevima utvrđenima u članku 11. stavcima 1. i 2. Prije izdavanja odobrenja za rad nadležna tijela mogu se prema potrebi savjetovati s drugim relevantnim javnim tijelima.

2.Nadležno tijelo izdaje odobrenje za rad pružatelju usluga pružanja financijskih informacija iz treće zemlje ako su ispunjeni svi sljedeći uvjeti:

(a)pružatelj usluga pružanja financijskih informacija iz treće zemlje ispunio je sve uvjete utvrđene u člancima 12. i 16.;

(b)pružatelj usluga pružanja financijskih informacija iz treće zemlje imenovao je pravnog zastupnika u skladu s člankom 13.;

(c)ako pružatelj usluga pružanja financijskih informacija iz treće zemlje podliježe nadzoru, nadležno tijelo nastoji sklopiti odgovarajući sporazum o suradnji s relevantnim nadležnim tijelom treće zemlje u kojoj pružatelj ima poslovni nastan kako bi se osigurala učinkovita razmjena informacija;

(d)treća zemlja u kojoj pružatelj usluga pružanja financijskih informacija ima poslovni nastan nije na popisu nekooperativnih jurisdikcija u porezne svrhe u okviru relevantne politike Unije ili na popisu jurisdikcija visokorizičnih trećih zemalja s nedostacima iz Delegirane uredbe Komisije (EU) 2016/1675 44 .

3.Nadležno tijelo izdaje odobrenje za rad samo ako pružatelj usluga pružanja financijskih informacija, uzimajući u obzir potrebu da se zajamči dobro i razborito upravljanje njime, ima pouzdane sustave upravljanja svojom djelatnosti pružanja usluga pružanja informacija. To uključuje jasnu organizacijsku strukturu s dobro definiranim, transparentnim i dosljednim linijama odgovornosti, djelotvorne postupke za utvrđivanje, upravljanje, praćenje i izvješćivanje o rizicima kojima je izložen ili bi mogao biti izložen te odgovarajuće mehanizme unutarnje kontrole, uključujući jasno utvrđene administrativne i računovodstvene postupke. Ti aranžmani, postupci i mehanizmi detaljni su i proporcionalni prirodi, opsegu i složenosti usluga pružanja informacija koje pruža pružatelj usluga pružanja financijskih informacija.

4.Nadležno tijelo izdaje odobrenje za rad samo ako zakoni i drugi propisi kojima se uređuje poslovanje jedne ili više fizičkih ili pravnih osoba s kojima je pružatelj usluga pružanja financijskih informacija usko povezan ili poteškoće pri provedbi tih zakona i propisa ne sprečavaju djelotvorno obavljanje njegovih nadzornih funkcija.

5.Nadležno tijelo izdaje odobrenje za rad samo ako se uvjeri u to da pružatelj usluga pružanja financijskih informacija neće postati fiktivni subjekt zbog aranžmana za eksternalizaciju, odnosno da se oni ne sklapaju kako bi se zaobišle odredbe ove Uredbe.

6.U roku od tri mjeseca od zaprimanja zahtjeva ili, ako je zahtjev nepotpun, od zaprimanja svih informacija potrebnih za donošenje odluke nadležno tijelo obavješćuje podnositelja zahtjeva o tome je li mu odobrenje za rad izdano ili odbijeno. U slučaju da odbije izdati odobrenje za rad, nadležno tijelo dužno je to obrazložiti.

7.Nadležno tijelo može oduzeti odobrenje za rad izdano pružatelju usluga pružanja financijskih informacija samo ako:

(a)pružatelj ne započne s radom u roku od 12 mjeseci od izdavanja odobrenja za rad, izričito se odrekne odobrenja za rad ili prestane poslovati dulje od šest mjeseci;

(b)pružatelju je izdano odobrenje za rad na temelju lažnih izjava ili na drugi nepropisan način;

(c)pružatelj više ne ispunjava uvjete na temelju kojih je dobio odobrenje za rad ili nije obavijestio nadležno tijelo o bitnim promjenama u tom pogledu;

(d)pružatelj bi predstavljao rizik za zaštitu potrošača i sigurnost podataka.

Nadležno tijelo navodi razloge za oduzimanje odobrenja za rad i o tome obavješćuje osobe na koje se ono odnosi. Nadležno tijelo objavljuje anonimiziranu verziju odluke o oduzimanju odobrenja za rad.

Članak 15.
Registar

1.EBA izrađuje, vodi i održava elektronički središnji registar koji sadržava informacije o:

(a)pružateljima usluga pružanja financijskih informacija kojima je izdano odobrenje za rad;

(b)pružateljima usluga pružanja financijskih informacija koji su obavijestili o svojoj namjeri pristupa podacima u državi članici koja nije njihova matična država članica;

(c)sustavima razmjene financijskih podataka koje su dogovorili vlasnici i korisnici podataka.

2.Registar iz stavka 1. sadržava samo anonimizirane podatke.

3.Registar je javno dostupan na internetskim stranicama EBA-e i omogućuje jednostavno pretraživanje i pristup navedenim informacijama.

4.EBA u registar iz stavka 1. upisuje svako oduzimanje odobrenja za rad izdanih pružateljima usluga pružanja financijskih informacija ili ukidanje sustava razmjene financijskih podataka.

5.Nadležna tijela država članica bez odgode dostavljaju EBA-i informacije potrebne za ispunjavanje njezinih zadaća u skladu sa stavcima 1. i 3. Nadležna tijela odgovorna su za točnost i ažuriranje informacija iz stavaka 1. i 3. Ako je to tehnički moguće, EBA-i te informacije prenose automatiziranim sustavom.

Članak 16.

Organizacijski zahtjevi za pružatelje usluga pružanja financijskih informacija

Pružatelj usluga pružanja financijskih informacija mora ispuniti sljedeće organizacijske zahtjeve:

(a)uspostavlja politike i postupke kojima se osigurava ispunjavanje njegovih obveza te obveza njegovih upravitelja i zaposlenika na temelju ove Uredbe;

(b)poduzima razumne korake za kontinuirano i redovito obavljanje svojih aktivnosti. U tu svrhu pružatelj usluga pružanja financijskih informacija koristi primjerene i proporcionalne sustave, resurse i postupke kako bi osigurao kontinuitet svojih ključnih operacija te uspostavlja planove za nepredvidive situacije i postupak za redovito testiranje i preispitivanje prikladnosti i učinkovitosti takvih planova;

(c)poduzima razumne korake kako bi izbjegao dodatne operativne rizike kad angažira treću stranu za obavljanje funkcija koje su ključne za pružanje kontinuiranih i zadovoljavajućih usluga klijentima te kontinuirano i zadovoljavajuće pružanje usluga. Važne operativne funkcije ne smiju se eksternalizirati na način kojim bi se bitno narušile kvaliteta unutarnje kontrole i sposobnost nadzornog tijela da prati ispunjava li pružatelj usluga pružanja financijskih informacija sve obveze;

(d)primjenjuje odgovarajuće upravljačke, administrativne i računovodstvene postupke, mehanizme unutarnje kontrole, djelotvorne postupke za procjenu rizika i upravljanje njima te djelotvorne mjere nadzora i zaštite sustavâ za obradu informacija;

(e)vodi računa o tome da direktori i osobe odgovorne za upravljanje pružateljem usluga pružanja financijskih informacija, kao i osobe odgovorne za upravljanje njegovim aktivnostima pristupa podacima, imaju dobar ugled i odgovarajuće znanje, vještine i iskustvo, pojedinačno i zajednički, za obavljanje svojih dužnosti;

(f)uspostavlja i primjenjuje djelotvorne i transparentne postupke za brzo, pošteno i dosljedno praćenje, rješavanje i postupanje nakon sigurnosnih incidenata ili pritužbi klijenata povezanih sa sigurnosti, uključujući mehanizam izvješćivanja kojim se uzimaju u obzir obveze u pogledu obavješćivanja utvrđene u poglavlju III. Uredbe (EU) 2022/2554.

GLAVA VI.
Nadležna tijela i nadzorni okvir

Članak 17.
Nadležna tijela

1.Države članice imenuju nadležna tijela odgovorna za obavljanje funkcija i izvršavanje dužnosti predviđenih u ovoj Uredbi. Države članice obavješćuju Komisiju o tim nadležnim tijelima.

2.Države članice osiguravaju da nadležna tijela imenovana u skladu sa stavkom 1. imaju sve ovlasti potrebne za obavljanje svojih zadaća.

Države članice osiguravaju da ta nadležna tijela imaju potrebne resurse, osobito odgovarajuće osoblje, kako bi ispunile svoje zadaće u skladu s obvezama iz ove Uredbe.

3.Države članice koje su u svojoj jurisdikciji imenovale više nadležnih tijela za pitanja obuhvaćena ovom Uredbom osiguravaju blisku suradnju tih tijela kako bi ona djelotvorno obavljala svoje zadaće.

4.Usklađenost financijskih institucija s ovom Uredbom osiguravaju nadležna tijela navedena u članku 46. Uredbe (EU) 2022/2554 u skladu s ovlastima koje su im dodijeljene odgovarajućim pravnim aktima iz tog članka i ovom Uredbom.

Članak 18.
Ovlasti nadležnih tijela

1.Nadležnim tijelima dodjeljuju se sve istražne ovlasti potrebne za obavljanje njihovih funkcija. Te ovlasti uključuju:

(a)ovlast da od fizičkih ili pravnih osoba zatraže sve informacije koje su potrebne za obavljanje njihovih zadaća, uključujući informacije koje se za potrebe nadzora i s njima povezane statističke potrebe dostavljaju u redovitim vremenskim razmacima i u određenim formatima;

(b)ovlast da provedu sve potrebne istrage nad osobama iz točke (a) koje imaju poslovni nastan ili se nalaze u dotičnoj državi članici kad je to potrebno za obavljanje zadaća nadležnih tijela, uključujući ovlast:

i.da zatraže dostavu dokumenata;

ii.da pregledaju podatke u bilo kojem obliku, uključujući knjige i evidenciju osoba iz točke (a), i da izrade preslike tih dokumenata ili izvatke iz njih;

iii.da ishode pisana ili usmena objašnjenja od bilo koje osobe iz točke (a) ili njezina predstavnika ili osoblja te da prema potrebi pozovu i ispitaju takve osobe radi dobivanja informacija;

iv.da obave razgovor s drugim fizičkim osobama koje pristanu na razgovor za potrebe prikupljanja informacija o predmetu istrage;

v.da, u skladu s drugim uvjetima utvrđenima u pravu Unije ili nacionalnom pravu te uz prethodnu obavijest dotičnih nadzornih tijela, provedu sve potrebne inspekcije u poslovnom prostoru pravnih osoba i na lokacijama koje nisu privatno boravište fizičkih osoba iz točke (a), kao i bilo koje druge pravne osobe uključene u konsolidirani nadzor ako je nadležno tijelo konsolidirajuće nadzorno tijelo;

vi.da, u skladu s nacionalnim pravom, ulaze u poslovne prostore fizičkih i pravnih osoba radi zapljene dokumenata i podataka u bilo kojem obliku ako postoji opravdana sumnja da dokumenti ili podaci povezani s predmetom inspekcije ili istrage mogu biti potrebni i relevantni za dokazivanje povrede odredbi ove Uredbe;

vii.da, u mjeri u kojoj je to dopušteno nacionalnim pravom, zatraže postojeće evidencije o podatkovnom prometu koje posjeduje telekomunikacijski operater ako postoji opravdana sumnja u povredu i ako takve evidencije mogu biti relevantne za istragu povrede ove Uredbe;

viii.da traže zamrzavanje ili oduzimanje imovine ili oboje;

ix.da upute predmete u postupak kaznene istrage;

(c)ako nema drugih sredstava za prekid ili sprečavanje bilo kakve povrede ove Uredbe, nadležna tijela imaju pravo poduzeti bilo koju od sljedećih mjera kako bi se izbjegao rizik od ozbiljne štete interesima potrošača, među ostalim i tako da od treće strane ili drugog javnog tijela zatraže da ih provedu:

i.uklanjanje sadržaja ili ograničavanje pristupa internetskom sučelju ili izdavanje naloga da se klijentima jasno prikaže upozorenje kad pristupaju internetskom sučelju;

ii.izdavanje naloga pružatelju usluga smještaja na poslužitelju da ukloni, onemogući ili ograniči pristup internetskom sučelju;

iii.izdavanje naloga registrima ili voditeljima registara za domene da izbrišu potpuno kvalificirani naziv domene i omoguće dotičnom nadležnom tijelu da evidentira to brisanje.

Provedba ovog stavka i izvršavanje ovlasti iz njega moraju biti proporcionalni i u skladu s pravom Unije i nacionalnim pravom, među ostalim i s primjenjivim postupovnim jamstvima i načelima Povelje Europske unije o temeljnim pravima. Istražne mjere i mjere praćenja provedbe donesene u skladu s ovom Uredbom moraju biti primjerene prirodi povrede i ukupnoj stvarnoj ili potencijalnoj šteti uzrokovanoj povredom.

2.Nadležna tijela dužna su izvršavati svoje ovlasti za istragu mogućih povreda ove Uredbe i izricanje administrativnih kazni i drugih administrativnih mjera predviđenih ovom Uredbom na bilo koji od sljedećih načina:

(a)izravno;

(b)u suradnji s drugim tijelima;

(c)delegiranjem ovlasti drugim tijelima;

(d)upućivanjem predmeta nadležnim pravosudnim tijelima države članice.

Ako nadležna tijela izvršenje svojih ovlasti delegiraju drugim tijelima u skladu s točkom (c), u tom su delegiranju dužna navesti delegirane zadaće, uvjete pod kojima ih treba izvršiti, kao i uvjete pod kojima se delegiranje ovlasti može opozvati. Tijela kojima se ovlasti delegiraju moraju biti ustrojena tako da se zajamči izbjegavanje sukoba interesa. Nadležna tijela dužna su nadzirati rad tijela kojima su ovlasti delegirane.

3.Pri izvršavanju svojih istražnih ovlasti i ovlasti sankcioniranja, među ostalim u prekograničnim predmetima, nadležna tijela dužna su dobro surađivati uzajamno i s drugim tijelima iz dotičnog sektora, ovisno o svakom predmetu i u skladu s nacionalnim pravom i pravom Unije, kako bi se osigurali razmjena informacija i pružanje uzajamne pomoći koji su potrebni za djelotvornu provedbu administrativnih sankcija i mjera.

Članak 19.
Sporazumi o nagodbi i ubrzani postupci izvršenja

1.Ne dovodeći u pitanje članak 20., države članice mogu propisati pravila koja njihovim nadležnim tijelima omogućuju da istragu o navodnoj povredi ove Uredbe okončaju nakon sklapanja sporazuma o nagodbi kako bi se navodna povreda i njezine posljedice okončale prije pokretanja formalnog postupka sankcioniranja.

2.Države članice mogu propisati pravila koja njihovim nadležnim tijelima omogućuju da istragu o utvrđenoj povredi okončaju u okviru ubrzanog postupka izvršenja kako bi se brzo donijela odluka čiji je cilj izricanje administrativne sankcije ili mjere. 

Ovlast nadležnih tijela za sklapanje sporazuma o nagodbi ili pokretanje ubrzanog postupka izvršenja ne utječe na obveze država članica iz članka 20.

3.Ako države članice propišu pravila iz stavka 1., obavješćuju Komisiju o mjerodavnim zakonima i drugim propisima kojima se uređuje izvršavanje ovlasti iz tog stavka te je obavješćuju o svim kasnijim izmjenama koje utječu na ta pravila.

Članak 20.
Administrativne kazne i druge administrativne mjere

1.Ne dovodeći u pitanje nadzorne i istražne ovlasti nadležnih tijela iz članka 18., države članice u skladu s nacionalnim pravom dodjeljuju nadležnim tijelima ovlast da izriču odgovarajuće administrativne kazne i poduzimaju druge administrativne mjere u vezi sa sljedećim povredama:

(a)povrede članaka 4., 5. i 6.;

(b)povrede članaka 7. i 8.;

(c)povrede članaka 9. i 10.;

(d)povrede članaka 13. i 16.;

(e)povrede članka 28.

2.Države članice mogu odlučiti da neće propisivati pravila o administrativnim sankcijama i mjerama za povrede ove Uredbe na koje se primjenjuju sankcije u skladu s nacionalnim kaznenim pravom. U tom slučaju države članice obavješćuju Komisiju o mjerodavnim odredbama kaznenog prava i svim njihovim kasnijim izmjenama.

3.Države članice u skladu s nacionalnim pravom osiguravaju da nadležna tijela imaju ovlast za izricanje sljedećih administrativnih kazni i drugih administrativnih mjera u slučaju povreda iz stavka 1.:

(a)javna izjava u kojoj se navodi odgovorna fizička ili pravna osoba i priroda povrede;

(b)nalog kojim se od odgovorne fizičke ili pravne osobe zahtijeva da prekine postupanje koje predstavlja povredu i da to postupanje više ne ponavlja;

(c)povrat ostvarene dobiti ili izbjegnutog gubitka zbog povrede u mjeri u kojoj ih je moguće utvrditi;

(d)privremena suspenzija odobrenja za rad izdanog pružatelju usluga pružanja financijskih informacija;

(e)najviša administrativna novčana kazna u iznosu barem dva puta većem od iznosa ostvarene dobiti ili izbjegnutog gubitka zbog povrede ako se ti iznosi mogu utvrditi, čak i ako takva kazna premašuje najviše iznose utvrđene u ovom stavku točki (f) ako je riječ o fizičkim osobama odnosno u stavku 4. ako je riječ o pravnim osobama;

(f)najviše administrativne novčane kazne za fizičku osobu u iznosu do 25 000 EUR po povredi i do ukupnog iznosa od 250 000 EUR godišnje ili u državama članicama čija službena valuta nije euro u odgovarajućoj vrijednosti u službenoj valuti te države članice na dan … [Ured za publikacije, unijeti datum stupanja na snagu ove Uredbe];

(g)privremena zabrana obavljanja upravljačkih funkcija u pružatelju usluga pružanja financijskih informacija članu upravljačkog tijela tog pružatelja ili drugoj fizičkoj osobi koju se smatra odgovornom za povredu;

(h)u slučaju ponovljene povrede članaka iz stavka 1. zabrana obavljanja upravljačkih funkcija u pružatelju usluga pružanja financijskih informacija u trajanju od najmanje 10 godina članu upravljačkog tijela tog pružatelja ili drugoj fizičkoj osobi koju se smatra odgovornom za povredu.

4.Države članice u skladu s nacionalnim pravom osiguravaju da u slučaju povreda iz stavka 1. koje su počinile pravne osobe nadležna tijela imaju ovlast izreći najviše administrativne novčane kazne u iznosu od:

(a)do 50 000 EUR po povredi i do ukupnog iznosa od 500 000 EUR godišnje ili u državama članicama čija službena valuta nije euro u odgovarajućoj vrijednosti u službenoj valuti te države članice na dan … [Ured za publikacije, unijeti datum stupanja na snagu ove Uredbe];

(b)2 % ukupnog godišnjeg prihoda pravne osobe prema posljednjim dostupnim financijskim izvještajima koje je odobrilo upravljačko tijelo.

Ako je pravna osoba iz prvog podstavka matično društvo ili društvo kći matičnog društva koje je dužno sastavljati konsolidirane financijske izvještaje u skladu s člankom 22. Direktive 2013/34/EU Europskog parlamenta i Vijeća 45 , relevantni ukupni godišnji prihod je neto prihod koji se utvrđuje u skladu s relevantnim računovodstvenim standardima i konsolidiranim financijskim izvještajima krajnjeg matičnog društva dostupnima na dan zadnje bilance, za koje odgovornost snose članovi administrativnog, upravljačkog ili nadzornog tijela krajnjeg matičnog društva.

5.Države članice mogu ovlastiti nadležna tijela za izricanje drugih vrsta administrativnih kazni i drugih administrativnih mjera uz one iz stavaka 3. i 4. te mogu propisati veće iznose administrativnih novčanih kazni od onih utvrđenih u tim stavcima.

Države članice obavješćuju Komisiju o iznosu takvih viših kazni i svim njihovim kasnijim izmjenama.

Članak 21.
Periodični penali

1.Nadležna tijela imaju pravo izricati periodične penale pravnim ili fizičkim osobama za kontinuirano nepostupanje po odluci, nalogu, privremenoj mjeri, zahtjevu, obvezi ili drugoj administrativnoj mjeri u skladu s ovom Uredbom.

Periodični penali iz prvog podstavka moraju biti učinkoviti i proporcionalni i izriču se u dnevnom iznosu koji se plaća sve dok se ponovno ne postigne usklađenost. Izriču se na razdoblje od najviše šest mjeseci od datuma navedenog u odluci o periodičnim penalima.

Nadležna tijela imaju pravo izreći sljedeće periodične penale koji se mogu prilagoditi ovisno o težini povrede i potrebama sektora:

(a)za pravnu osobu 3 % prosječnog dnevnog prihoda;

(b)za fizičku osobu 30 000 EUR.

2.Prosječni dnevni prihod iz stavka 1. trećeg podstavka točke (a) ukupni je godišnji prihod podijeljen s 365.

3.Države članice mogu propisati više iznose periodičnih penala od onih iz stavka 1. trećeg podstavka.

Članak 22.
Okolnosti koje treba uzeti u obzir pri utvrđivanju administrativnih kazni i drugih administrativnih mjera

1.Da bi sankcije odnosno mjere bile učinkovite i proporcionalne, nadležna tijela dužna su pri određivanju vrste i iznosa administrativnih kazni ili drugih administrativnih mjera razmotriti sve relevantne okolnosti. Te okolnosti uključuju prema potrebi:

(a)težinu i trajanje povrede;

(b)stupanj odgovornosti pravne ili fizičke osobe odgovorne za povredu;

(c)financijsku snagu pravne ili fizičke osobe odgovorne za povredu, koja je među ostalim vidljiva iz ukupnog godišnjeg prihoda pravne osobe ili godišnjeg dohotka fizičke osobe odgovorne za povredu;

(d)iznos ostvarene dobiti pravne ili fizičke osobe odgovorne za povredu odnosno gubitaka koje je izbjegla, ako ih je moguće utvrditi;

(e)gubitke koje su zbog povrede pretrpjele treće osobe, ako ih je moguće utvrditi;

(f)nepovoljan položaj u koji je pravna ili fizička osoba odgovorna za povredu dovedena zbog kumuliranja kaznenog i administrativnog postupka i kazni za isto postupanje;

(g)utjecaj povrede na interese klijenata;

(h)sve stvarne ili moguće sistemske posljedice povrede;

(i)sudioništvo ili organizirano sudjelovanje nekoliko pravnih ili fizičkih osoba u povredi;

(j)prethodne povrede koje je počinila pravna ili fizička osoba odgovorna za povredu;

(k)razinu suradnje pravne ili fizičke osobe odgovorne za povredu s nadležnim tijelom;

(l)svaki pravni lijek ili mjeru koju je pravna ili fizička osoba odgovorna za povredu poduzela da spriječi njezino ponavljanje.

2.Nadležna tijela koja koriste sporazume o nagodbi ili ubrzane postupke izvršenja u skladu s člankom 19. dužna su relevantne administrativne kazne i druge administrativne mjere predviđene člankom 20. prilagoditi predmetnom slučaju radi njihove proporcionalnosti, posebno uzimajući u obzir okolnosti navedene u stavku 1.

Članak 23.
Čuvanje poslovne tajne

1.Svi zaposlenici ili bivši zaposlenici nadležnih tijela te stručnjaci koji djeluju u ime nadležnih tijela podliježu obvezi čuvanja poslovne tajne.

2.Tijelo koje šalje i tijelo koje prima informacije koje se razmjenjuju u skladu s člankom 26. obvezna su te informacije čuvati kao poslovnu tajnu radi zaštite prava pojedinaca i poduzeća.

Članak 24.
Pravo na žalbu

1.Odluke nadležnih tijela donesene u skladu s ovom Uredbom mogu se osporiti pred sudom.

2.Stavak 1. primjenjuje se i na propušteno djelovanje.

Članak 25.
Objava odluka nadležnih tijela

1.Nadležna tijela dužna su na svojim internetskim stranicama objaviti sve odluke o izricanju administrativne kazne ili mjere pravnim ili fizičkim osobama za povrede ove Uredbe i, ovisno o slučaju, sporazume o nagodbi. Objava mora sadržavati kratak opis povrede, izrečenu administrativnu kaznu ili drugu administrativnu mjeru ili, ovisno o slučaju, izjavu o sporazumu o nagodbi. Ne objavljuje se identitet fizičke osobe na koju se odnosi odluka o izricanju administrativne kazne ili mjere.

Nadležna tijela objavljuju odluku i izjavu iz stavka 1. odmah nakon slanja obavijesti pravnoj ili fizičkoj osobi o toj odluci ili nakon potpisivanja sporazuma o nagodbi.

2.Odstupajući od stavka 1., ako smatra da je objavljivanje identiteta ili drugih osobnih podataka fizičke osobe potrebno radi zaštite stabilnosti financijskih tržišta ili djelotvorne provedbe ove Uredbe, među ostalim u slučaju javnih izjava iz članka 20. stavka 3. točke (a) ili privremenih zabrana iz članka 20. stavka 3. točke (g), nacionalno nadležno tijelo može objaviti i identitet osoba odnosno osobne podatke pod uvjetom da obrazloži takvu odluku i da je objava ograničena na osobne podatke koji su nužni za zaštitu stabilnosti financijskih tržišta ili djelotvornu provedbu ove Uredbe.

3.Ako je odluka o izricanju administrativne kazne ili druge administrativne mjere upućena pravnoj osobi predmet žalbenog postupka pred relevantnim pravosudnim ili drugim tijelom, nadležna tijela dužna su na svojim službenim internetskim stranicama bez odgode objaviti informacije o žalbenom postupku i sve dodatne informacije o ishodu žalbe. Ako je odluka koja je predmet žalbenog postupka upućena fizičkoj osobi, a ne primjenjuje se odstupanje iz stavka 2., nadležna tijela objavljuju informacije o žalbenom postupku samo u anonimiziranoj verziji.

4.Nadležna tijela dužna su se pobrinuti za to da svaka objava u skladu s ovim člankom bude na njihovim službenim internetskim stranicama dostupna najmanje pet godina. Osobni podaci iz te objave ostaju na službenim internetskim stranicama nadležnog tijela samo ako se godišnjom revizijom utvrdi da ti podaci trebaju i dalje biti objavljeni radi zaštite stabilnosti financijskih tržišta ili djelotvorne provedbe ove Uredbe, ali u svakom slučaju najdulje pet godina.

Članak 26.
Suradnja i razmjena informacija između nadležnih tijela

1.Nadležna tijela dužna su surađivati međusobno i s drugim relevantnim nadležnim tijelima koja obavljaju dužnosti nadležnih tijela, a imenovana su u skladu s pravom Unije ili nacionalnim pravom koje se primjenjuje na financijske institucije za potrebe ove Uredbe.

2.Razmjena informacija između nadležnih tijela i nadležnih tijela drugih država članica odgovornih za izdavanje odobrenja za rad i nadzor pružatelja usluga pružanja financijskih informacija dopuštena je za potrebe izvršavanja njihovih dužnosti iz ove Uredbe.

3.Nadležna tijela koja razmjenjuju informacije s drugim nadležnim tijelima u skladu s ovom Uredbom mogu pri priopćavanju informacija naznačiti da se te informacije ne smiju otkrivati bez njihove izričite suglasnosti, u kojem se slučaju takve informacije mogu razmijeniti samo u svrhu u koju su ta tijela dala suglasnost.

4.Nadležno tijelo ne smije prenositi informacije koje razmjenjuju druga nadležna tijela drugim tijelima ni fizičkim i pravnim osobama bez izričite suglasnosti nadležnih tijela koja su ih objavila i isključivo u svrhe za koje su ta tijela dala suglasnost, osim u opravdanim okolnostima. U tom zadnjem slučaju kontaktna točka dužna je odmah obavijestiti kontaktnu točku koja je poslala informacije.

5.Ako se obveze iz ove Uredbe odnose na obradu osobnih podataka, nadležna tijela dužna su surađivati s nadzornim tijelima osnovanima u skladu s Uredbom (EU) 2016/679.

Članak 27.
Rješavanje sporova između nadležnih tijela

1.Ako nadležno tijelo države članice smatra da u vezi s određenim pitanjem prekogranična suradnja s nadležnim tijelima druge države članice iz članka 28. ili 29. ove Uredbe nije u skladu s relevantnim uvjetima utvrđenima u tim odredbama, može se obratiti EBA-i i zatražiti njezinu pomoć u skladu s člankom 19. Uredbe (EU) br. 1093/2010.

2.Ako je EBA-i upućen zahtjev za pružanje pomoći u skladu sa stavkom 1. ovog članka, ona bez nepotrebne odgode donosi odluku u skladu s člankom 19. stavkom 3. Uredbe (EU) br. 1093/2010. EBA također može na vlastitu inicijativu pomoći nadležnim tijelima u postizanju dogovora u skladu s člankom 19. stavkom 1. drugim podstavkom te uredbe. U svakom slučaju uključena nadležna tijela odgađaju donošenje svojih odluka do rješenja spora u skladu s člankom 19. Uredbe (EU) br. 1093/2010.

GLAVA VII.
Prekogranični pristup podacima

Članak 28.
Prekogranični pristup pružatelja usluga pružanja financijskih informacija podacima

1.Na temelju slobode pružanja usluga ili slobode poslovnog nastana pružateljima usluga pružanja financijskih informacija i financijskim institucijama dopušten je pristup podacima o klijentima u Uniji koji su navedeni u članku 2. stavku 1. i kojima raspolažu vlasnici podataka s poslovnim nastanom u Uniji.

2.Pružatelj usluga pružanja financijskih informacija koji na temelju prava poslovnog nastana ili slobode pružanja usluga prvi puta želi pristupiti podacima iz članka 2. stavka 1. ove Uredbe u državi članici koja nije njegova matična država članica nadležnim tijelima u svojoj matičnoj državi članici priopćuje sljedeće informacije:

(a)naziv, adresu i prema potrebi broj odobrenja za rad izdanog pružatelju usluga pružanja financijskih informacija;

(b)države članice u kojima namjerava pristupiti podacima iz članka 2. stavka 1.;

(c)vrstu podataka kojima želi pristupiti;

(d)sustave razmjene financijskih podataka čiji je član.

Ako pružatelj usluga pružanja financijskih informacija namjerava eksternalizirati operativne funkcije pristupanja podacima drugim subjektima u državi članici domaćinu, dužan je o tome obavijestiti nadležna tijela u svojoj matičnoj državi članici.

3.U roku od mjesec dana od primitka svih informacija iz stavka 1. nadležna tijela matične države članice te informacije šalju nadležnim tijelima države članice domaćina.

4.Pružatelj usluga pružanja financijskih informacija bez nepotrebne odgode obavješćuje nadležna tijela matične države članice o svim važnim promjenama u pogledu informacija priopćenih u skladu sa stavkom 1., uključujući dodatna tijela kojima su eksternalizirane aktivnosti u državama članicama domaćinima u kojima djeluje. Primjenjuje se postupak utvrđen u stavcima 2. i 3.

Članak 29.
Obrazloženje i priopćavanje

Sve mjere koje nadležna tijela poduzmu na temelju članka 18. ili članka 28., a koje uključuju kazne ili ograničenja u pogledu ostvarenja slobode pružanja usluga ili slobode poslovnog nastana propisno se obrazlažu i priopćuju dotičnom pružatelju usluga pružanja financijskih informacija.

GLAVA VIII.

Završne odredbe

Članak 30.
Izvršavanje delegiranja ovlasti

1.Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji u skladu s uvjetima utvrđenima u ovom članku.

2.Ovlast za donošenje delegiranih akata iz članka 11. dodjeljuje se Komisiji na razdoblje od XX mjeseci počevši od … [Ured za publikacije, unijeti datum stupanja na snagu ove Uredbe]. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije završetka razdoblja od XX mjeseci. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

3.Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 11. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.Delegirani akt donesen na temelju članka 11. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od tri mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za tri mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Članak 31.
Evaluacija ove Uredbe i izvješće o pristupu financijskim podacima

1.Komisija do [Ured za publikacije, unijeti datum = četiri godine nakon stupanja na snagu ove Uredbe] provodi evaluaciju ove Uredbe i podnosi izvješće o svojim glavnim nalazima Europskom parlamentu i Vijeću te Europskom gospodarskom i socijalnom odboru. Tom se evaluacijom posebno ocjenjuje sljedeće:

(a)druge kategorije ili skupovi podataka koje je potrebno staviti na raspolaganje;

(b)isključenje podataka i subjekata iz opsega određenih kategorija;

(c)promjene ugovornih praksi vlasnika i korisnika podataka te funkcioniranje sustava razmjene financijskih podataka;

(d)uključivanje drugih vrsta subjekata u subjekte koji imaju pravo na pristup podacima;

(e)utjecaj naknade na sposobnost korisnika podataka da sudjeluju u sustavima razmjene financijskih podataka i pristupaju podacima vlasnika podataka.

2.Komisija do [Ured za publikacije, unijeti datum = četiri godine nakon stupanja na snagu ove Uredbe] podnosi izvješće Europskom parlamentu i Vijeću o procjeni uvjeta za pristup financijskim podacima koji se primjenjuju na pružatelje usluga pružanja informacija o računu na temelju ove Uredbe i Direktive (EU) 2015/2366. Izvješće se prema potrebi može popratiti zakonodavnim prijedlogom.

Članak 32.
Izmjene Uredbe (EU) br. 1093/2010

U članku 1. stavku 2. Uredbe (EU) br. 1093/2010 prvi podstavak zamjenjuje se sljedećim:

„Tijelo djeluje u okviru ovlasti koje su mu dodijeljene ovom Uredbom te u području primjene Direktive 2002/87/EZ, Direktive 2008/48/EZ*, Direktive 2009/110/EZ, Uredbe (EU) br. 575/2013**, Direktive 2013/36/EU***, Direktive 2014/49/EU****, Direktive 2014/92/EU*****, Direktive (EU) 2015/2366******, Uredbe (EU) 2023/1114 (*******), Uredbe (EU) 2024/…/EU (********) Europskog parlamenta i Vijeća i, u mjeri u kojoj se ti akti primjenjuju na kreditne i financijske institucije i nadležna tijela koja ih nadziru, u okviru relevantnih dijelova Direktive 2002/65/EZ, uključujući sve direktive, uredbe i odluke koje se temelje na tim aktima, te u okviru bilo kojeg drugog pravno obvezujućeg akta Unije kojim se Tijelu dodjeljuju zadaće. Tijelo djeluje i u skladu s Uredbom Vijeća (EU) br. 1024/2013*********.

*    Direktiva 2008/48/EZ Europskog parlamenta i Vijeća od 23. travnja 2008. o ugovorima o potrošačkim kreditima i stavljanju izvan snage Direktive Vijeća 87/102/EEZ (SL L 133, 22.5.2008., str. 66.).

**    Uredba (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i o izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27.6.2013., str. 1.).

***    Direktiva 2013/36/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o pristupanju djelatnosti kreditnih institucija i bonitetnom nadzoru nad kreditnim institucijama, izmjeni Direktive 2002/87/EZ te stavljanju izvan snage direktiva 2006/48/EZ i 2006/49/EZ (SL L 176, 27.6.2013., str. 338.).

****    Direktiva 2014/49/EU Europskog parlamenta i Vijeća od 16. travnja 2014. o sustavima osiguranja depozita (SL L 173, 12.6.2014., str. 149.).

*****    Direktiva 2014/92/EU Europskog parlamenta i Vijeća od 23. srpnja 2014. o usporedivosti naknada povezanih s računima za plaćanje, prebacivanju računa za plaćanje i pristupu računima za plaćanje s osnovnim uslugama (SL L 257, 28.8.2014., str. 214.).

******    Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (SL L 337, 23.12.2015., str. 35.).

*******    Uredba (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (SL L 150, 9.6.2023., str. 40.).

******** Uredba (EU) 2024/… Europskog parlamenta i Vijeća od … o okviru za pristup financijskim podacima i izmjeni uredbi (EU) br. 1093/2010, (EU) br. 1095/2010 i (EU) 2022/2554 te Direktive (EU) 2019/1937 (SL L …, …, str. .).

*********    Uredba Vijeća (EU) br. 1024/2013 od 15. listopada 2013. o dodjeli određenih zadaća Europskoj središnjoj banci u vezi s politikama bonitetnog nadzora kreditnih institucija (SL L 287, 29.10.2013., str. 63.).”.

Članak 33.
Izmjene Uredbe (EU) br. 1094/2010

U članku 1. stavku 2. Uredbe (EU) br. 1094/2010 prvi podstavak zamjenjuje se sljedećim:

* Uredba (EU) 2024/… Europskog parlamenta i Vijeća od … o okviru za pristup financijskim podacima i izmjeni uredbi (EU) br. 1093/2010, (EU) br. 1094/2010, (EU) br. 1095/2010, (EU) 1094/2010 i (EU) 2022/2554 te Direktive (EU) 2019/1937 (SL L …, …, str. .).

** Direktiva (EU) 2016/97 Europskog parlamenta i Vijeća 
od 20. siječnja 2016. o distribuciji osiguranja (SL L 26, 2.2.2016., str. 19.).

*** Direktiva (EU) 2016/2341 Europskog parlamenta i Vijeća 
od 14. prosinca 2016. o djelatnostima i nadzoru institucija za 
strukovno mirovinsko osiguranje (SL L 354, 23.12.2016., str. 37.).

Članak 34.
Izmjene Uredbe (EU) br. 1095/2010

U članku 1. stavku 2. Uredbe (EU) br. 1095/2010 prvi podstavak zamjenjuje se sljedećim:

„Nadzorno tijelo djeluje u okviru ovlasti koje su mu dodijeljene ovom Uredbom te u području primjene direktiva 97/9/EZ, 98/26/EZ, 2001/34/EZ, 2002/47/EZ, 2004/109/EZ, 2009/65/EZ, Direktive 2011/61/EU Europskog parlamenta i Vijeća*, Uredbe (EZ) br. 1060/2009 i Direktive 2014/65/EU Europskog parlamenta i Vijeća**, Uredbe (EU) 2017/1129 Europskog parlamenta i Vijeća***, Uredbe (EU) 2023/1114 Europskog parlamenta i Vijeća****, Uredbe (EU) 2024/… Europskog parlamenta i Vijeća***** i, u mjeri u kojoj se ti akti primjenjuju na društva koja pružaju investicijske usluge ili na subjekte za zajednička ulaganja koji trguju svojim udjelima ili dionicama, izdavatelje ili ponuditelje kriptoimovine, osobe koje traže uvrštenje za trgovanje ili pružatelje usluga povezanih s kriptoimovinom, pružatelje usluga pružanja financijskih informacija i nadležna tijela koja ih nadziru, u okviru relevantnih dijelova direktiva 2002/87/EZ i 2002/65/EZ, uključujući sve direktive, uredbe i odluke koje se temelje na tim aktima, te u okviru bilo kojeg drugog pravno obvezujućeg akta Unije kojim se Nadzornom tijelu dodjeljuju zadaće.

___________

*    Direktiva 2011/61/EU Europskog parlamenta i Vijeća od 8. lipnja 2011. o upraviteljima alternativnih investicijskih fondova i o izmjeni direktiva 2003/41/EZ i 2009/65/EZ te uredbi (EZ) br. 1060/2009 i (EU) br. 1095/2010 (SL L 174, 1.7.2011., str. 1.).

**    Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (SL L 173, 12.6.2014., str. 349.).

***    Uredba (EU) 2017/1129 Europskog parlamenta i Vijeća od 14. lipnja 2017. o prospektu koji je potrebno objaviti prilikom javne ponude vrijednosnih papira ili prilikom uvrštavanja za trgovanje na uređenom tržištu te stavljanju izvan snage Direktive 2003/71/EZ (SL L 168, 30.6.2017., str. 12.).

****    Uredba (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (SL L 150, 9.6.2023., str. 40.).

***** Uredba (EU) 2024/… Europskog parlamenta i Vijeća od … o okviru za pristup financijskim podacima i izmjeni uredbi (EU) br. 1093/2010, (EU) br. 1094/2010, (EU) br. 1095/2010 i (EU) 2022/2554 te Direktive (EU) 2019/1937 (SL L …, …, str. .).

Članak 35.
Izmjena Uredbe (EU) 2022/2554

Članak 2. stavak 1. Uredbe (EU) 2022/2554 mijenja se kako slijedi:

1.u točki (u) interpunkcijski znak „.” zamjenjuje se znakom „;”;

2.dodaje se sljedeća točka (v):

„pružatelje usluga pružanja financijskih informacija.”.

Članak 36.
Stupanje na snagu i primjena

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Primjenjuje se od [Ured za publikacije, unijeti datum = 24 mjeseca nakon stupanja na snagu ove Uredbe]. Međutim, članci 9. i 13. primjenjuju se od [Ured za publikacije, unijeti datum = 18 mjeseci nakon stupanja na snagu ove Uredbe].

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu,

(1)    Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija od 19. veljače 2020., Europska strategija za podatke (COM(2020) 66 final).

(2)

   Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija od 29. rujna 2020. o strategiji za digitalne financije za EU (COM(2020) 591 final).

(3)    Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija od 25. studenoga 2021., Unija tržišta kapitala – Rezultati godinu dana nakon akcijskog plana (COM(2021) 720 final).

(4)    Prijedlog Uredbe Europskog parlamenta i Vijeća o usklađenim pravilima za pravedan pristup podacima i njihovu uporabu (Akt o podacima), COM(2022) 68 final.

(5)    Donesena strategija ulaganja za male ulagatelje uključuje Prijedlog direktive Europskog parlamenta i Vijeća o izmjeni direktiva (EU) 2009/65/EZ, 2009/138/EZ, 2011/61/EU, 2014/65/EU i (EU) 2016/97 s obzirom na pravila Unije o zaštiti malih ulagatelja i Prijedlog uredbe Europskog parlamenta i Vijeća o izmjeni Uredbe (EU) br. 1286/2014 u pogledu modernizacije dokumenta s ključnim informacijama. 

(6)    SL C , , str. .

(7)    Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (SL L 337, 23.12.2015., str. 35.).

(8)    https://eur-lex.europa.eu/legal-content/HR/TXT/?qid=1593073685620&uri=CELEX%3A52020DC0066

(9)    Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(10)    Direktiva 2009/138/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. o osnivanju i obavljanju djelatnosti osiguranja i reosiguranja (Solventnost II) (preinačeno) (SL L 335, 17.12.2009., str. 1.).

(11)    Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća od 25. studenoga 2015. o platnim uslugama na unutarnjem tržištu, o izmjeni direktiva 2002/65/EZ, 2009/110/EZ i 2013/36/EU te Uredbe (EU) br. 1093/2010 i o stavljanju izvan snage Direktive 2007/64/EZ (SL L 337, 23.12.2015., str. 35.).

(12)    Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija, Strategija za financiranje tranzicije prema održivom gospodarstvu, COM(2021) 390 final.

(13)     Smjernice EBA-e o odobravanju i praćenju kredita (europa.eu) , 29.5.2020.

(14)    Direktiva (EU) 2019/882 Europskog parlamenta i Vijeća od 17. travnja 2019. o zahtjevima za pristupačnost proizvoda i usluga (SL L 151, 7.6.2019., str. 70.–115.).

(15)    COM(2021) 281 final, 2021/0136(COD).

(16)    Uredba (EU) 2022/868 Europskog parlamenta i Vijeća od 30. svibnja 2022. o europskom upravljanju podacima i izmjeni Uredbe (EU) 2018/1724 (Akt o upravljanju podacima) (SL L 152, 3.6.2022., str. 1.).

(17)    SL L 123, 12.5.2016., str. 1.

(18)    Uredba (EU) 2022/2554 Europskog parlamenta i Vijeća od 14. prosinca 2022. o digitalnoj operativnoj otpornosti za financijski sektor i o izmjeni uredbi (EZ) br. 1060/2009, (EU) br. 648/2012, (EU) br. 600/2014, (EU) br. 909/2014 i (EU) 2016/1011 (SL L 333, 27.12.2022., str. 1.).

(19)    Uredba (EU) … (SL …).

(20)    Direktiva (EU) … (SL …).

(21)    Izvješće Komisije o preispitivanju Direktive 2015/2366/EU Europskog parlamenta i Vijeća o platnim uslugama na unutarnjem tržištu.

(22)    Uredba (EU) br. 600/2014 Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištima financijskih instrumenata i izmjeni Uredbe (EU) br. 648/2012 (SL L 173, 12.6.2014., str. 84.).

(23)    Direktiva 2014/17/EU Europskog parlamenta i Vijeća od 4. veljače 2014. o ugovorima o potrošačkim kreditima koji se odnose na stambene nekretnine i o izmjeni direktiva 2008/48/EZ i 2013/36/EU i Uredbe (EU) br. 1093/2010 (SL L 60, 28.2.2014., str. 34.).

(24)    Uredba (EU) 2017/2402 Europskog parlamenta i Vijeća od 12. prosinca 2017. o utvrđivanju općeg okvira za sekuritizaciju i o uspostavi specifičnog okvira za jednostavnu, transparentnu i standardiziranu sekuritizaciju te o izmjeni direktiva 2009/65/EZ, 2009/138/EZ i 2011/61/EU te uredaba (EZ) br. 1060/2009 i (EU) br. 648/2012 (SL L 347, 28.12.2017., str. 35.).

(25)    Direktiva 2009/103/EZ Europskog parlamenta i Vijeća od 16. rujna 2009. u odnosu na osiguranje od građanskopravne odgovornosti u pogledu upotrebe motornih vozila i izvršenje obveze osiguranja od takve odgovornosti (SL L 263, 7.10.2009., str. 11.).

(26)    Uredba (EU) 2019/1238 Europskog parlamenta i Vijeća od 20. lipnja 2019. o paneuropskom osobnom mirovinskom proizvodu (PEPP) (SL L 198, 25.7.2019., str. 1.).

(27)    Direktivom (EU) 2018/843 Europskog parlamenta i Vijeća od 30. svibnja 2018. o izmjeni Direktive (EU) 2015/849 o sprečavanju korištenja financijskog sustava u svrhu pranja novca ili financiranja terorizma i o izmjeni direktiva 2009/138/EZ i 2013/36/EU (SL L 156, 19.6.2018., str. 43.).

(28)    Uredba (EU) br. 1093/2010 Europskog parlamenta i Vijeća od 24. studenoga 2010. o osnivanju europskog nadzornog tijela (Europskog nadzornog tijela za bankarstvo), kojom se izmjenjuje Odluka br. 716/2009/EZ i stavlja izvan snage Odluka Komisije 2009/78/EZ (SL L 331, 15.12.2010., str. 12.).

(29)    Uredba (EU) br. 1094/2010 Europskog parlamenta i Vijeća od 24. studenoga 2010. o osnivanju Europskog nadzornog tijela (Europsko nadzorno tijelo za osiguranje i strukovno mirovinsko osiguranje), o izmjeni Odluke br. 716/2009/EZ i o stavljanju izvan snage Odluke Komisije 2009/79/EZ (SL L 331, 15.12.2010., str. 48.).

(30)    Uredba (EU) br. 1095/2010 Europskog parlamenta i Vijeća od 24. studenoga 2010. o osnivanju europskog nadzornog tijela (Europskog nadzornog tijela za vrijednosne papire i tržišta kapitala), izmjeni Odluke br. 716/2009/EZ i stavljanju izvan snage Odluke Komisije 2009/77/EZ (SL L 331, 15.12.2010., str. 84.).

(31)    Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018, str. 39.).

(32)    Direktiva 2014/65/EU Europskog parlamenta i Vijeća od 15. svibnja 2014. o tržištu financijskih instrumenata i izmjeni Direktive 2002/92/EZ i Direktive 2011/61/EU (preinačena) (SL L 173, 12.6.2014., str. 349.).

(33)    Direktiva (EU) 2016/2341 Europskog parlamenta i Vijeća od 14. prosinca 2016. o djelatnostima i nadzoru institucija za strukovno mirovinsko osiguranje (preinačeno) (SL L 354, 23.12.2016., str. 37.).

(34)    Direktiva (EU) 2016/97 Europskog parlamenta i Vijeća od 20. siječnja 2016. o distribuciji osiguranja (preinačeni tekst) (SL L 26, 2.2.2016., str. 19.–59.).

(35)    Direktiva 2009/110/EZ Europskog parlamenta i Vijeća od 16. rujna 2009. o osnivanju, obavljanju djelatnosti i bonitetnom nadzoru poslovanja institucija za elektronički novac te o izmjeni direktiva 2005/60/EZ i 2006/48/EZ i stavljanju izvan snage Direktive 2000/46/EZ (SL L 267, 10.10.2009., str. 7.).

(36)    Uredba (EU) br. 575/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o bonitetnim zahtjevima za kreditne institucije i investicijska društva i o izmjeni Uredbe (EU) br. 648/2012 (SL L 176, 27.6.2013., str. 1.).

(37)    Uredba (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (SL L 150, 9.6.2023., str. 40.).

(38)    Direktiva 2011/61/EU Europskog parlamenta i Vijeća od 8. lipnja 2011. o upraviteljima alternativnih investicijskih fondova i o izmjeni direktiva 2003/41/EZ i 2009/65/EZ te uredbi (EZ) br. 1060/2009 i (EU) br. 1095/2010 (SL L 174, 1.7.2011., str. 1.).

(39)    Direktiva 2009/65/EZ Europskog parlamenta i Vijeća od 13. srpnja 2009. o usklađivanju zakona i drugih propisa u odnosu na subjekte za zajednička ulaganja u prenosive vrijednosne papire (UCITS) (preinačena) (SL L 302, 17.11.2009., str. 32.).

(40)    Direktiva (EU) 2016/97 Europskog parlamenta i Vijeća od 20. siječnja 2016. o distribuciji osiguranja (preinačeni tekst) (SL L 26, 2.2.2016., str. 19.).

(41)    Uredba (EZ) br. 1060/2009 Europskog parlamenta i Vijeća od 16. rujna 2009. o agencijama za kreditni rejting (SL L 302, 17.11.2009., str. 1.).

(42)    Preporuka Komisije od 6. svibnja 2003. o definiciji mikropoduzeća, malih i srednjih poduzeća (C(2003) 1422), SL L 124, 20.5.2003., str. 36.

(43)    Direktiva 2013/11/EU Europskog parlamenta i Vijeća od 21. svibnja 2013. o alternativnom rješavanju potrošačkih sporova i izmjeni Uredbe (EZ) br. 2006/2004 i Direktive 2009/22/EZ (Direktiva o alternativnom rješavanju potrošačkih sporova) (SL L 165, 18.6.2013., str. 63.).

(44)    Delegirana uredba Komisije (EU) 2016/1675 od 14. srpnja 2016. o dopuni Direktive (EU) 2015/849 Europskog parlamenta i Vijeća utvrđivanjem visokorizičnih trećih zemalja sa strateškim nedostacima.

(45)    Direktiva 2013/34/EU Europskog parlamenta i Vijeća od 26. lipnja 2013. o godišnjim financijskim izvještajima, konsolidiranim financijskim izvještajima i povezanim izvješćima za određene vrste poduzeća, o izmjeni Direktive 2006/43/EZ Europskog parlamenta i Vijeća i o stavljanju izvan snage direktiva Vijeća 78/660/EEZ i 83/349/EEZ (SL L 182, 29.6.2013., str. 19.).