Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl pasiūlymo dėl Reglamento dėl mokėjimo paslaugų vidaus rinkoje ir pasiūlymo dėl Direktyvos dėl mokėjimo paslaugų ir elektroninių pinigų paslaugų vidaus rinkoje santrauka

(C/2023/1019)

(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje https://edps.europa.eu)

2023 m. birželio 28 d. Europos Komisija paskelbė pasiūlymą dėl Europos Parlamento ir Tarybos reglamento dėl mokėjimo paslaugų vidaus rinkoje, kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 1093/2010 (toliau – MPR pasiūlymas), ir pasiūlymą dėl Europos Parlamento ir Tarybos direktyvos dėl mokėjimo paslaugų ir elektroninių pinigų paslaugų vidaus rinkoje, kuria iš dalies keičiama Direktyva 98/26/EB ir panaikinamos direktyvos (ES) 2015/2366 ir 2009/110/EB (toliau – MPD 3 pasiūlymas), toliau kartu vadinami pasiūlymais.

Teikiant mokėjimo paslaugas dažnai tvarkomi asmens duomenys, o tai darant gali būti atskleista neskelbtina informacija apie atskirą duomenų subjektą. Todėl EDAPP palankiai vertina pastangas užtikrinti suderinamumą su Bendruoju duomenų apsaugos reglamentu (1) (toliau – BDAR). Jis taip pat atkreipia dėmesį į tai, kad reikia daryti aiškų skirtumą tarp pasiūlyme nurodytų „leidimų“ ir asmens duomenų tvarkymo teisinio pagrindo pagal BDAR.

Vienas iš pasiūlymo tikslų – sudaryti sąlygas mokėjimo sistemų ir mokėjimo paslaugų teikėjams tvarkyti specialių kategorijų asmens duomenis viešojo intereso, susijusio su tinkamu mokėjimo paslaugų vidaus rinkos veikimu, labui. Kadangi tokių duomenų tvarkymas gali reikšti rimtą teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą apribojimą, svarbu, kad teisės aktai būtų pakankamai tikslūs, kad būtų galima įrodyti objektyvų ryšį tarp kiekvienos kategorijos duomenų konkrečiomis mokėjimo aplinkybėmis ir viešojo intereso tikslo, kurį reikia pasiekti.

EDAPP palankiai vertina tai, kad pasiūlyme būtų reikalaujama sąskaitas tvarkančių mokėjimo paslaugų teikėjų (STMPT) suteikti naudotojui galimybę naudotis prieigos prie finansinių duomenų leidimo skydeliu, kuriame jis galėtų stebėti ir valdyti savo suteiktą leidimą. Siekdamas dar labiau sumažinti STMPT neteisėto dalijimosi asmens duomenimis riziką, EDAPP rekomenduoja:

—	užtikrinti, kad prieigos prie finansinių duomenų leidimo skydelyje būtų pateikta nuoroda į konkrečią (-ias) paskirtą (-as) mokėjimo paslaugą (-as), kuriai (-ioms) naudotojas suteikė leidimą;

—	užtikrinti, kad prašymai suteikti prieigą neviršytų to, kas būtina prašomai paslaugai teikti;

—	užtikrinti aiškų prašymų suteikti prieigą teisinį pagrindą;

—	leisti STMPT patikrinti mokėjimo paslaugų vartotojo suteiktą leidimą arba MPR pasiūlyme nustatyti tinkamas alternatyvias apsaugos priemones.

Galiausiai EDAPP rekomenduoja užtikrinti glaudų pasiūlyme nurodytų kompetentingų institucijų ir duomenų apsaugos priežiūros institucijų bendradarbiavimą, kad būtų užtikrintas pasiūlymo ir ES duomenų apsaugos teisės aktų taikymo ir vykdymo užtikrinimo nuoseklumas. Todėl EDAPP rekomenduoja MPR pasiūlymo 93 straipsnio 3 dalyje aiškiai nurodyti priežiūros institucijas, atsakingas už duomenų apsaugos teisės aktų stebėseną ir vykdymo užtikrinimą.

1. Įvadas

2023 m. birželio 28 d. Europos Komisija paskelbė pasiūlymą dėl Europos Parlamento ir Tarybos reglamento dėl mokėjimo paslaugų vidaus rinkoje, kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 1093/2010 (toliau – Mokėjimo paslaugų reglamento pasiūlymas arba MPR pasiūlymas) (2) ir pasiūlymą dėl Europos Parlamento ir Tarybos direktyvos dėl mokėjimo paslaugų ir elektroninių pinigų paslaugų vidaus rinkoje, kuria iš dalies keičiama Direktyva 98/26/EB ir panaikinamos direktyvos (ES) 2015/2366 ir 2009/110/EB (toliau – Trečiosios mokėjimo paslaugų direktyvos pasiūlymas arba MPD 3 pasiūlymas) (3), toliau kartu vadinami pasiūlymais.

Prie MPR pasiūlymo ir MPD 3 pasiūlymo pridedami trys priedai (iš viso šeši priedai), kuriuose nurodomos mokėjimo paslaugų rūšys (I priedas) ir elektroninių pinigų paslaugų rūšys (II priedas), kurios patenka į pasiūlymų projektų taikymo sritį. Galiausiai III priede pateikta direktyvų (ES) 2015/2366 ir 2009/110/EB nuostatų ir pasiūlymų nuostatų atitikties lentelė.

EDAPP pažymi, kad pasiūlymuose nurodytų paslaugų rūšys, atrodo, iš esmės sutampa su tomis, kurioms taikoma 2015 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 dėl mokėjimo paslaugų vidaus rinkoje, kuria iš dalies keičiamos direktyvos 2002/65/EB, 2009/110/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 ir panaikinama Direktyva 2007/64/EB (toliau – MPD 2) (4).

Konkretūs MPR pasiūlymo tikslai yra (5):

stiprinti vartotojų apsaugą ir pasitikėjimą mokėjimais, visų pirma gerinant griežto klientų autentiškumo patvirtinimo taikymą, sukuriant teisinį pagrindą keistis informacija apie sukčiavimą, išplečiant tarptautinio banko sąskaitos numerio (IBAN) tikrinimo taikymą visiems kredito pervedimams ir geriau užtikrinant vartotojų teises ir prieigą prie informacijos;

didinti atvirosios bankininkystės paslaugų konkurencingumą: i) reikalaujant, kad sąskaitas tvarkantys mokėjimo paslaugų teikėjai (STMPT) įdiegtų specialiąją prieigos prie duomenų sąsają ir prieigos prie finansinių duomenų leidimo skydelio funkciją, kad naudotojai galėtų valdyti jiems suteiktus atvirosios bankininkystės prieigos leidimus, ir ii) nustatyti išsamesnes būtinųjų reikalavimų, taikomų atvirosios bankininkystės duomenų sąsajoms, specifikacijas;

gerinti teisinės sistemos vykdymo užtikrinimą ir įgyvendinimą valstybėse narėse, visų pirma Antrąją mokėjimo paslaugų direktyvą (MPD 2) pakeičiant tiesiogiai taikomu reglamentu (MPR pasiūlymas), paaiškinant neaiškius MPD 2 aspektus ir gerinant kompetentingų institucijų ir kitų institucijų bendradarbiavimą; taip pat

d.	gerinti ne banko MPT, įskaitant mokėjimo inicijavimo paslaugų teikėjus ir sąskaitos informacijos paslaugos teikėjus, (tiesioginę arba netiesioginę) galimybę naudotis mokėjimo sistemomis ir banko sąskaitomis.

Pasiūlymai pateikiami kartu su pasiūlymu dėl Reglamento dėl prieigos prie finansinės informacijos duomenų (toliau – PFD pasiūlymas) (6), kuris, be kita ko, apima prieigą prie finansinių duomenų, išskyrus mokėjimo sąskaitų duomenis, kurie patenka į pasiūlymų, dėl kurių teikiama ši nuomonė, taikymo sritį (7).

Iš esmės, MPR pasiūlymu būtų:

a.	nustatyti mokėjimo paslaugų sąlygų ir informavimo apie šias paslaugas reikalavimų skaidrumo reikalavimai (8);

nustatomos teisės ir pareigos, susijusios su mokėjimo paslaugų teikimu ir naudojimu, įskaitant taisykles dėl prieigos prie duomenų sąsajos informavimo apie sąskaitas paslaugų ir mokėjimo inicijavimo paslaugų atveju (9) ir mokėjimo paslaugų vartotojų prieigos prie duomenų valdymo (10), dėl duomenų apsaugos (11), dėl informacijos apie sukčiavimą teikimo ir operacijų stebėsenos mechanizmų bei dalijimosi sukčiavimo duomenimis (12), dėl griežto klientų autentiškumo patvirtinimo (13), dėl vykdymo užtikrinimo procedūrų, kompetentingų institucijų ir sankcijų (14), dėl Europos bankininkystės institucijos (EBI) intervencinių įgaliojimų (15).

MPD 3 pasiūlymas iš esmės grindžiamas dabartinės MPD 2 II antraštine dalimi „Mokėjimo paslaugų teikėjai“, kuri taikoma tik mokėjimo įstaigoms. MPD 3 pasiūlymu atnaujinamos ir patikslinamos nuostatos, susijusios su mokėjimo įstaigomis, o elektroninių pinigų įstaigos įtraukiamos į mokėjimo įstaigų pakategorę. Jis taip pat apima nuostatas dėl grynųjų pinigų išėmimo paslaugų, kurias teikia mažmenininkai arba nepriklausomi bankomatų operatoriai (16).

Ši EDAPP nuomonė pateikiama atsakant į 2023 m. birželio 29 d. Europos Komisijos kreipimąsi dėl konsultacijos pagal ESDAR 42 straipsnio 1 dalį. EDAPP palankiai vertina tai, kad MPR pasiūlymo 147 konstatuojamojoje dalyje ir MPD 3 pasiūlymo 77 konstatuojamojoje dalyje pateikta nuoroda į šią konsultaciją. Šiuo atžvilgiu EDAPP taip pat teigiamai pažymi, kad su juo jau anksčiau buvo neoficialiai konsultuotasi dėl pasiūlymų pagal ESDAR reglamento 60 konstatuojamąją dalį.

12. Išvados

52.

Atsižvelgdamas į tai, kas išdėstyta, EDAPP teikia šias rekomendacijas:

(1)	aiškiai atskirti sąvoką „leidimas“ nuo duomenų tvarkymo teisinio pagrindo pagal BDAR, MPR pasiūlymo 62 konstatuojamojoje dalyje paaiškinant, kad „leidimas neturėtų būti aiškinamas kaip „sutikimas“ arba „aiškus sutikimas“, arba „būtinybė vykdyti sutartį“, kaip apibrėžta Reglamente (ES) 2016/679“;

(2)	konstatuojamojoje dalyje paaiškinti, kad mokėjimo paslaugų vartotojo suteiktas leidimas nedaro poveikio visų pirma mokėjimo inicijavimo paslaugų teikėjų ir informavimo apie sąskaitas paslaugų teikėjų prievolėms pagal Reglamento (ES) 2016/679 6 ir 9 straipsnius;

(3)

persvarstyti STMPT taikomą draudimą patikrinti leidimą pagal MPR pasiūlymo 49 straipsnio 4 dalį arba MPR pasiūlymo dėstomojoje dalyje nustatyti tinkamas alternatyvias apsaugos priemones, kad mokėjimo paslaugų vartotojai būtų apsaugoti nuo galimo neteisėto mokėjimo paslaugų teikėjų dalijimosi asmens duomenimis rizikos, kuri gali atsirasti dėl šio draudimo;

(4)	iš dalies pakeisti MPR pasiūlymo 46 straipsnio 2 dalies a punktą ir 47 straipsnio 2 dalies a punktą, nurodant, kad mokėjimo inicijavimo paslaugų teikėjai ir informavimo apie sąskaitas paslaugų teikėjai neturi prieigos prie personalizuotų saugumo požymių;

(5)	patikslinti „neskelbtinų mokėjimo duomenų“ apibrėžtį pagal MPR pasiūlymo 3 straipsnio 38 dalį, visų pirma nurodant asmens duomenų, kuriems taikoma ši apibrėžtis, rūšis;

(6)	nurodyti, dėl kokios konkrečios (-ių) paskirtos (-ų) mokėjimo paslaugos (-ų) rūšies (-ių) mokėjimo sistemos ir mokėjimo paslaugų teikėjas turėtų teisę tvarkyti specialių kategorijų (įskaitant kategorijų nurodymą) asmens duomenis, nurodytus MPR pasiūlymo 80 straipsnyje;

(7)	(konstatuojamojoje dalyje) pagrįsti, kodėl teikiant MPR pasiūlymo 80 straipsnyje nurodytą (-as) mokėjimo paslaugą (-as) specialių kategorijų asmens duomenų tvarkymas yra būtinas, proporcingas ir jo negalima išvengti alternatyviomis techninėmis priemonėmis;

(8)	įtraukti nuorodą į registracijos procesą (siekiant patikrinti, ar buvo suteikta neteisėta prieiga) kaip vieną iš duomenų apsaugos priemonių, nurodytų MPR pasiūlymo 80 straipsnyje;

(9)	į 43 straipsnio 2 dalies a punktą įtraukti nuorodą į nurodytą (-as) mokėjimo paslaugą (-as), kuriai (-ioms) mokėjimo paslaugų vartotojas suteikė leidimą;

(10)

į 47 straipsnio 2 dalį, susijusią su informavimo apie sąskaitas paslaugų teikėjų prievolėmis, įtraukti 46 straipsnio 2 dalies b punkte nustatytą reikalavimą, pagal kurį mokėjimo paslaugų teikėjai gali prašyti mokėjimo paslaugų vartotojo pateikti tik tuos duomenis, kurie yra būtini prašomai paslaugai teikti;

(11)

reikalauti, kad mokėjimo paslaugų teikėjai ir informavimo apie sąskaitas paslaugų teikėjai pagal 43 straipsnio 4 dalies b punktą informuotų sąskaitas tvarkančius mokėjimo paslaugų teikėjus apie kliento sąskaitą, prie kurios prašoma prieigos, ir apie teisinį pagrindą pagal BDAR 6 straipsnio 1 dalį ir (jei taikytina) BDAR 9 straipsnio 2 dalyje numatytą išimtį, kuria jie remtųsi, kad galėtų susipažinti su mokėjimo paslaugų vartotojo asmens duomenimis;

(12)	43 straipsnio b punkte nurodyti, kad prieigos prie finansinių duomenų leidimo skydelis neturėtų būti sukurtas taip, kad mokėjimo paslaugų vartotojai būtų skatinami suteikti ar atšaukti leidimus arba jiems būtų daroma netinkama įtaka;

(13)	aiškiai nustatyti asmens duomenų, kuriuos mokėjimo paslaugų teikėjams būtų leidžiama tvarkyti taikant sandorių stebėsenos mechanizmus, kategorijas (visų pirma pateikiant 83 straipsnio 2 dalies a punkte nurodytos „informacijos apie mokėjimo paslaugų vartotoją“ apibrėžtį);

(14)	nustatyti tinkamus asmens duomenų, surinktų pagal 83 straipsnį, saugojimo laikotarpius;

(15)	į MPR pasiūlymo 3 straipsnį įtraukti sąvokos „susitarimas dėl dalijimosi informacija“ apibrėžtį;

(16)

MPR pasiūlyme numatyti, kad bet koks asmens duomenų tvarkymas siekiant laikytis sukčiavimo prevencijos teisinių prievolių pagal 83 straipsnį gali būti atliekamas tik šiuo konkrečiu tikslu ir negali lemti kliento santykių su mokėjimo paslaugų teikėju nutraukimo arba turėti įtakos mokėjimo paslaugų vartotojo naudojimuisi kito mokėjimo paslaugų teikėjo paslaugomis;

(17)	MPR pasiūlymo 93 straipsnio 3 dalyje aiškiai nurodyti priežiūros institucijas, atsakingas už duomenų apsaugos teisės aktų stebėseną ir vykdymo užtikrinimą.

2023 m. rugpjūčio 22 d., Briuselis

Wojciech Rafał WIEWIÓROWSKI

(1) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(2) COM(2023) 367 final.

(3) COM(2023) 366 final.

(4) 2015 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 dėl mokėjimo paslaugų vidaus rinkoje, kuria iš dalies keičiamos direktyvos 2002/65/EB, 2009/110/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 ir panaikinama Direktyva 2007/64/EB (OL L 337, 2015 12 23, p. 35).

(5) COM(2023) 367 final, p. 5–6.

(6) COM(2023) 360 final.

(7) COM(2023) 367 final, p. 4.

(8) MPR pasiūlymo 4–26 straipsniai.

(9) MPR pasiūlymo 35–38 straipsniai.

(10) MPR pasiūlymo 43 straipsnis.

(11) MPR pasiūlymo 80 straipsnis.

(12) MPR pasiūlymo 82–84 straipsniai.

(13) MPR pasiūlymo 85–86 straipsniai.

(14) MPR pasiūlymo 8 skyrius.

(15) MPR pasiūlymo 9 skyrius.

(16) COM(2023) 367 final, p. 7.