Összefoglaló az európai adatvédelmi biztosnak a belső piaci pénzforgalmi szolgáltatásokról szóló rendeletre irányuló javaslatról, valamint a belső piaci pénzforgalmi szolgáltatásokról és elektronikuspénz-szolgáltatásokról szóló irányelvre irányuló javaslatról alkotott véleményéről

(C/2023/1019)

(A vélemény teljes szövege angol, francia és német nyelven megtalálható az európai adatvédelmi biztos honlapján: https://edps.europa.eu)

Az Európai Bizottság 2023. június 28-án a belső piaci pénzforgalmi szolgáltatásokról és az 1093/2010/EU rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre (a „PSR-javaslat”), valamint a belső piaci pénzforgalmi szolgáltatásokról és elektronikuspénz-szolgáltatásokról, a 98/26/EK irányelv módosításáról, valamint az (EU) 2015/2366 és a 2009/110/EK irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvre (a „PSD3-javaslat”) irányuló javaslatot terjesztett elő (a továbbiakban együttesen: a javaslatok).

A pénzforgalmi szolgáltatások gyakran olyan személyes adatok kezelésével járnak, amelyek érzékeny információkat fedhetnek fel egy adott érintettel kapcsolatban. Az európai adatvédelmi biztos ezért üdvözli az általános adatvédelmi rendelettel való összhang biztosítása érdekében tett erőfeszítéseket. Hangsúlyozza továbbá, hogy egyértelműen különbséget kell tenni a javaslat szerinti (1) „engedélyek” és a személyes adatok kezelésének az általános adatvédelmi rendelet szerinti jogalapja között.

A javaslat egyik célja, hogy a fizetési rendszerek szolgáltatói és a pénzforgalmi szolgáltatók számára lehetővé tegye a személyes adatok különleges kategóriáinak a pénzforgalmi szolgáltatások belső piacának megfelelő működéséhez fűződő közérdekből történő kezelését. Mivel az ilyen adatok kezelése a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő jogok súlyos csorbulását eredményezheti, fontos, hogy a jogszabály megfogalmazása kellően pontos legyen az egyes konkrét pénzforgalmi összefüggésekben az egyes adatkategóriák és az elérendő közérdekű cél közötti objektív kapcsolatnak a bemutatásához.

Az európai adatvédelmi biztos üdvözli, hogy a javaslat előírná a számlakezelő pénzforgalmi szolgáltatók számára, hogy irányítópultot hozzanak létre a szolgáltatást igénybe vevők számára az általuk megadott engedélyek kezeléséhez. Annak érdekében, hogy tovább lehessen mérsékelni a személyes adatoknak a számlavezető pénzforgalmi szolgáltatók általi jogellenes megosztásával kapcsolatos kockázatot, az európai adatvédelmi biztos a következő ajánlásokat fogalmazza meg:

—	biztosítani kell, hogy az irányítópult hivatkozást tartalmazzon arra (azokra) a konkrét kijelölt pénzforgalmi szolgáltatás(ok)ra, amely(ek)re a szolgáltatást igénybe vevő fél engedélyt adott;

—	gondoskodni kell arról, hogy a hozzáférési kérelmek a kért szolgáltatás rendelkezésre bocsátásához szükséges mértékre korlátozódjanak;

—	egyértelműséget kell biztosítani a hozzáférési kérelmek jogalapjára vonatkozóan;

—	lehetővé kell tenni, hogy a számlavezető pénzforgalmi szolgáltatók ellenőrizzék a pénzforgalmi szolgáltatás igénybe vevője által megadott engedélyt, vagy megfelelő alternatív biztosítékokat kell beilleszteni a PSR-javaslatba.

Végezetül az európai adatvédelmi biztos a javaslat szerinti illetékes hatóságok és az adatvédelmi felügyeleti hatóságok között szoros együttműködés biztosítását javasolja a javaslat és az európai uniós adatvédelmi jog alkalmazása és végrehajtása közötti összhang biztosítása érdekében. Az európai adatvédelmi biztos ezért azt javasolja, hogy a PSR-javaslat 93. cikkének (3) bekezdésében kifejezetten hivatkozzanak az adatvédelmi jogszabályoknak való megfelelés nyomon követéséért és érvényre juttatásáért felelős felügyeleti hatóságokra.

1. Bevezetés

Az Európai Bizottság 2023. június 28-án a belső piaci pénzforgalmi szolgáltatásokról és az 1093/2010/EU rendelet módosításáról szóló európai parlamenti és tanácsi rendeletre (a pénzforgalmi szolgáltatásokról szóló rendeletjavaslat, vagy más néven „PSR-javaslat”) (2), valamint a belső piaci pénzforgalmi szolgáltatásokról és elektronikuspénz-szolgáltatásokról, a 98/26/EK irányelv módosításáról, valamint az (EU) 2015/2366 és a 2009/110/EK irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi irányelvre (a pénzforgalmi szolgáltatásokról szóló 3. irányelvjavaslat, vagy más néven „PSD3-javaslat”) (3) irányuló javaslatot terjesztett elő (a továbbiakban együttesen: a javaslatok).

Mind a PSR-javaslathoz, mind a PSD3-javaslathoz három melléklet tartozik (összesen hat melléklet), amelyek felvázolják a javaslattervezetek hatálya alá tartozó pénzforgalmi szolgáltatások (I. melléklet), valamint az elektronikuspénz-szolgáltatások (II. melléklet) típusait. Végezetül, a III. melléklet az (EU) 2015/2366 és a 2009/110/EK irányelv rendelkezéseinek, valamint a javaslatok rendelkezéseinek megfelelési táblázatát tartalmazza.

Az európai adatvédelmi biztos megjegyzi, hogy a javaslatok hatálya alá tartozó szolgáltatástípusok lényegében megegyeznek a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és az 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről szóló, 2015. november 25-i (EU) 2015/2366 európai parlamenti és tanácsi irányelv („PSD2”) (4) hatálya alá tartozó szolgáltatástípusokkal.

A PSR-javaslat (5) konkrét célkitűzései a következők:

a felhasználóvédelem és a pénzforgalom iránti bizalom megerősítése, különösen a következők révén: az erős ügyfél-hitelesítés alkalmazásának javítása; jogalap megteremtése a csalással kapcsolatos információk cseréjéhez; a nemzetközi bankszámlaszám (IBAN) ellenőrzésének kiterjesztése valamennyi átutalásra; valamint a felhasználói jogok és a tájékoztatás javítása;

a nyílt banki szolgáltatások versenyképességének fokozása a következők révén: i. a számlavezető pénzforgalmi szolgáltatók kötelezése arra, hogy külön adathozzáférési interfészt és „engedély-irányítópultokat” hozzanak létre, amelyek lehetővé teszik a szolgáltatást igénybe vevők számára a megadott nyílt banki hozzáférési engedélyeik kezelését; és ii. a nyílt banki adatinterfészekre vonatkozó minimumkövetelmények részletesebb meghatározása;

a pénzforgalmi szolgáltatásokra vonatkozó jogi keret érvényesítésének és végrehajtásának a javítása a tagállamokban, különösen a következők révén: a második pénzforgalmi szolgáltatási irányelv (PSD2) felváltása egy közvetlenül alkalmazandó rendelettel (a „PSR-javaslat”), amely tisztázza a PSD2 nem egyértelmű szempontjait; valamint az illetékes hatóságok és más hatóságok közötti együttműködés javítása; továbbá

d.	a banknak nem minősülő pénzforgalmi szolgáltatók fizetési rendszerekben való (közvetlen vagy közvetett) részvételi lehetőségeinek javítása, ideértve a fizetéskezdeményezési szolgáltatókat és a számlainformációs szolgáltatókat.

A javaslatokat a pénzügyi adatokhoz való hozzáférésre vonatkozó keretről szóló rendeletjavaslattal (a továbbiakban: „FIDA-javaslat”) (6) együtt terjesztik elő, amely többek között a fizetési számlákra vonatkozó adatoktól eltérő pénzügyi adatokhoz való hozzáférésre vonatkozik, ami a jelen vélemény (7) tárgyát képező javaslatok hatálya alá tartozik.

A PSR-javaslat lényegében:

a.	a pénzforgalmi szolgáltatásokra vonatkozó feltételek és tájékoztatási követelmények átláthatóságára vonatkozó követelményeket állapít meg (8);

jogokat és kötelezettségeket állapít meg a következőkkel kapcsolatban: a pénzforgalmi szolgáltatások nyújtása és igénybevétele, beleértve a számlainformációs szolgáltatások és a fizetéskezdeményezési szolgáltatások adathozzáférési interfészeire vonatkozó szabályokat (9) és a pénzforgalmi szolgáltatást igénybe vevők adathozzáférésének kezelésére vonatkozó szabályokat (10); adatvédelem (11); csalások bejelentése, műveletfigyelő mechanizmusok és a csalási adatok megosztása (12); erős ügyfél-hitelesítés (13); jogérvényesítési eljárások, illetékes hatóságok és szankciók (14); az Európai Bankhatóság (EBH) beavatkozási hatáskörei (15).

A PSD3 javaslat nagyrészt a jelenleg hatályos PSD2 „Pénzforgalmi szolgáltatók” című II. címén alapul, amely csak a pénzforgalmi intézményekre vonatkozik. Aktualizálja és pontosítja a pénzforgalmi intézményekre vonatkozó rendelkezéseket, továbbá beépíti az elektronikuspénz-kibocsátó intézményeket, amelyeket a pénzforgalmi intézmények egyik alkategóriájaként kezel. Emellett rendelkezéseket tartalmaz a kiskereskedők vagy független ATM-üzemeltetők által nyújtott készpénzfelvételi szolgáltatásokra vonatkozóan is (16).

Az európai adatvédelmi biztos jelen véleményét az Európai Bizottsággal 2023. június 29-én folytatott konzultációra válaszul adja ki, az uniós adatvédelmi rendelet 42. cikkének (1) bekezdésével összhangban. Az európai adatvédelmi biztos üdvözli, hogy a PSR-javaslat (147) preambulumbekezdése és a PSD3-javaslat (77) preambulumbekezdése hivatkozik erre a konzultációra. E tekintetben az európai adatvédelmi biztos azt is pozitívumként jegyzi meg, hogy a javaslatokkal kapcsolatban az európai uniós adatvédelmi rendelet (60) preambulumbekezdésének megfelelően korábban már informálisan egyeztettek vele.

12. Összegzés

52.

A fentiek fényében az európai adatvédelmi biztos a következő ajánlásokat teszi:

(1)

egyértelműen különbséget kell tenni az „engedély” kifejezés és az általános adatvédelmi rendelet szerinti adatkezelés jogalapja között, a PSR-javaslat (62) preambulumbekezdésében pontosítva, hogy „az engedély nem értelmezhető az (EU) 2016/679 rendeletben meghatározott »hozzájárulásként« vagy »kifejezett hozzájárulásként« vagy »szerződés teljesítéséhez szükséges hozzájárulásként«”;

(2)	preambulumbekezdésben kell egyértelművé tenni, hogy az engedélynek a pénzforgalmi szolgáltatást igénybe vevő általi megadása nem érinti különösen a fizetéskezdeményezési szolgáltatóknak és a számlainformációs szolgáltatóknak az (EU) 2016/679 rendelet 6., illetve 9. cikke szerinti kötelezettségeit;

(3)

felül kell vizsgálni az engedélynek a PSR-javaslat 49. cikke (4) bekezdése szerinti ellenőrzésére vonatkozóan a számlavezető pénzforgalmi szolgáltatókra alkalmazandó tilalmat, vagy megfelelő alternatív biztosítékokat kell beilleszteni a PSR-javaslat rendelkező részébe annak érdekében, hogy megvédjék a pénzforgalmi szolgáltatásokat igénybe vevőket a személyes adatok számlavezető pénzforgalmi szolgáltatók általi esetleges jogellenes megosztásának kockázatával szemben, amelyet ez a tilalom magában hordozhat;

(4)	módosítani kell a PSR-javaslat 46. cikke (2) bekezdésének a) pontját és 47. cikke (2) bekezdésének a) pontját, mégpedig annak rögzítésével, hogy a fizetéskezdeményezési szolgáltatók és a számlainformációs szolgáltatók nem férhetnek hozzá a személyes hitelesítő adatokhoz;

(5)	pontosítani kell a PSR-javaslat 3. cikkének 38. pontja szerinti „érzékeny fizetési adatok” fogalommeghatározását, nevezetesen meghatározva az e fogalommeghatározás hatálya alá tartozó személyes adatok típusait;

(6)	meg kell határozni, hogy a fizetési rendszerek és a pénzforgalmi szolgáltató a kijelölt pénzforgalmi szolgáltatás(ok) mely konkrét típusa(i) vonatkozásában lennének jogosultak a személyes adatoknak a PSR-javaslat 80. cikkében szereplő különleges kategóriái (és mely kategóriái) kezelésére;

(7)	meg kell indokolni (egy preambulumbekezdésben), hogy a kijelölt pénzforgalmi szolgáltatás(ok) tekintetében miért szükséges és arányos a személyes adatoknak a PSR-javaslat 80. cikke szerinti különleges kategóriái kezelése, és miért nem kerülhető el alternatív technikai eszközökkel;

(8)	a bejelentkezések naplózására való hivatkozást kell beilleszteni a PSR-javaslat 80. cikkében említett adatvédelmi biztosítékok közé (annak ellenőrzése érdekében, hogy történt-e jogosulatlan hozzáférés);

(9)	a 43. cikk (2) bekezdésének a) pontját ki kell egészíteni arra (azokra) a kijelölt pénzforgalmi szolgáltatás(ok)ra való hivatkozással, amely(ek)re vonatkozóan a pénzforgalmi szolgáltatást igénybe vevő az engedélyt megadta;

(10)

a 47. cikk (2) bekezdését a számlainformációs szolgáltatók kötelezettségeivel kapcsolatban ki kell egészíteni a 46. cikk (2) bekezdésének b) pontjában foglalt követelménnyel, melynek értelmében a pénzforgalmi szolgáltatók csak azokat az adatokat kérhetik a pénzforgalmi szolgáltatást igénybe vevőtől, amelyek a kért szolgáltatás nyújtásához szükségesek;

(11)

elő kell írni a pénzforgalmi szolgáltatók és a 43. cikk (4) bekezdésének b) pontja szerinti számlainformációs szolgáltatók számára, hogy tájékoztassák a számlavezető pénzforgalmi szolgáltatókat arról az ügyfélszámláról, amelyhez hozzáférést kérnek, valamint az általános adatvédelmi rendelet 6. cikkének (1) bekezdése szerinti jogalapról és (adott esetben) az általános adatvédelmi rendelet 9. cikkének (2) bekezdése szerinti azon kivételről, amelyre a pénzforgalmi szolgáltatást igénybe vevő személyes adataihoz való hozzáféréshez támaszkodnának;

(12)	a 43. cikk b) pontjában pontosítani kell, hogy az irányítópultot nem lehet úgy kialakítani, hogy az a pénzforgalmi szolgáltatást igénybe vevőket engedélyek megadására vagy visszavonására ösztönözze vagy indokolatlanul befolyásolja;

(13)

egyértelműen meg kell határozni a személyes adatok azon kategóriáit, amelyeket a pénzforgalmi szolgáltatók a műveletfigyelő mechanizmusok keretében kezelhetnének (nevezetesen meg kell határozni a 83. cikk (2) bekezdésének a) pontjában említett „a pénzforgalmi szolgáltatást igénybe vevőre vonatkozó információk” fogalmát);

(14)	megfelelő adattárolási időtartamokat kell meghatározni a 83. cikknek megfelelően gyűjtött személyes adatokra vonatkozóan;

(15)	be kell illeszteni az „információmegosztási megállapodás” fogalommeghatározását a PSR-javaslat 3. cikkébe;

(16)

a PSR-javaslatban rendelkezni kell arról, hogy a személyes adatoknak a 83. cikk szerinti csalásmegelőzési jogi kötelezettségeknek való megfelelés céljából történő kezelése kizárólag e konkrét célból történhet, és nem eredményezheti a pénzforgalmi szolgáltatóval fennálló ügyfélkapcsolat megszüntetését, illetve nem befolyásolhatja azt, hogy az ügyfél a későbbiek során más pénzforgalmi szolgáltatóval szerződjön;

(17)	a PSR-javaslat 93. cikkének (3) bekezdésében kifejezetten meg kell említeni az adatvédelmi jogszabályoknak való megfelelés nyomon követéséért és érvényre juttatásáért felelős felügyeleti hatóságokat.

Brüsszel, 2023. augusztus 22.

Wojciech Rafał WIEWIÓROWSKI

(1) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o.).

(2) COM(2023) 367 final.

(3) COM(2023) 366 final.

(4) Az Európai Parlament és a Tanács (EU) 2015/2366 irányelve (2015. november 25.) a belső piaci pénzforgalmi szolgáltatásokról és a 2002/65/EK, a 2009/110/EK és a 2013/36/EU irányelv és az 1093/2010/EU rendelet módosításáról, valamint a 2007/64/EK irányelv hatályon kívül helyezéséről (HL L 337., 2015.12.23., 35. o.).

(5) COM(2023) 367 final, 5–6. oldal.

(6) COM(2023) 360 final.

(7) COM(2023) 367 final, 4. o.

(8) A PSR-javaslat 4–26. cikke.

(9) A PSR-javaslat 35–38. cikke.

(10) A PSR-javaslat 43. cikke.

(11) A PSR-javaslat 80. cikke.

(12) A PSR-javaslat 82–84. cikke.

(13) A PSR-javaslat 85–86. cikke.

(14) A PSR-javaslat 8. fejezete.

(15) A PSR-javaslat 9. fejezete.

(16) COM(2023) 367 final, 7. o.