Eiropas Datu aizsardzības uzraudzītāja atzinuma kopsavilkums par priekšlikumu regulai par maksājumu pakalpojumiem iekšējā tirgū un priekšlikumu direktīvai par maksājumu pakalpojumiem un elektroniskās naudas pakalpojumiem iekšējā tirgū

(C/2023/1019)

[Pilns šā atzinuma teksts angļu, franču un vācu valodā ir pieejams EDAU tīmekļa vietnē https://edps.europa.eu]

Eiropas Komisija 2023. gada 28. jūnijā nāca klajā ar priekšlikumu Eiropas Parlamenta un Padomes regulai par maksājumu pakalpojumiem iekšējā tirgū un ar ko groza Regulu (ES) Nr. 1093/2010 (“MPR priekšlikums”) un priekšlikumu Eiropas Parlamenta un Padomes direktīvai par maksājumu pakalpojumiem un elektroniskās naudas pakalpojumiem iekšējā tirgū, ar ko groza Direktīvu 98/26/EK un atceļ Direktīvas 2015/2366/ES un 2009/110/EK (“MPD3 priekšlikums”), kopā “priekšlikumi”.

Maksājumu pakalpojumi bieži ietver personas datu apstrādi, kas var atklāt sensitīvu informāciju par atsevišķu datu subjektu. Tāpēc EDAU atzinīgi vērtē centienus nodrošināt saskaņotību ar Vispārīgo datu aizsardzības regulu (1) (“VDAR”). Viņš arī uzsver, ka priekšlikumā paredzētās “atļaujas” ir skaidri jānošķir no personas datu apstrādes juridiskā pamata saskaņā ar VDAR.

Viens no priekšlikuma mērķiem ir ļaut maksājumu sistēmu un maksājumu pakalpojumu sniedzējiem apstrādāt īpašu kategoriju personas datus sabiedrības interesēs, lai nodrošinātu maksājumu pakalpojumu iekšējā tirgus labu darbību. Tā kā šādu datu apstrāde var būt nopietna iejaukšanās tiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību, ir svarīgi, lai tiesību akti būtu pietiekami precīzi, lai parādītu objektīvu saikni starp katru datu kategoriju konkrētā maksājumu kontekstā un sasniedzamo sabiedrības interešu mērķi.

EDAU pauž gandarījumu par to, ka priekšlikumā tiek prasīts, lai kontu apkalpojošie maksājumu pakalpojumu sniedzēji (KAMPS) nodrošinātu lietotājam infopaneli, ar kura palīdzību lietotājs varētu uzraudzīt un pārvaldīt piešķirtās atļaujas. Lai vēl vairāk samazinātu risku, ka KAMPS nelikumīgi apmainās ar personas datiem, EDAU iesaka:

—	nodrošināt, ka infopanelī ir atsauce uz konkrēto(-ajiem) izraudzīto(-ajiem) maksājumu pakalpojumu(-iem), kuram(-iem) tā(-s) piešķīrusi(-is) atļauju.

—	nodrošināt, lai piekļuves pieprasījumi nepārsniegtu to, kas nepieciešams pieprasītā pakalpojuma sniegšanai;

—	nodrošināt skaidrību par piekļuves pieprasījumu juridisko pamatu;

—	ļaut KAMPS pārbaudīt maksājumu pakalpojumu lietotāja piešķirto atļauju vai ieviest atbilstošus alternatīvus aizsardzības pasākumus MPR priekšlikumā.

Visbeidzot, EDAU iesaka nodrošināt ciešu sadarbību starp priekšlikumā minētajām kompetentajām iestādēm un datu aizsardzības uzraudzības iestādēm, lai nodrošinātu konsekvenci starp priekšlikuma un ES datu aizsardzības tiesību aktu piemērošanu un izpildi. Tādēļ EDAU iesaka MPR priekšlikuma 93. panta 3. punktā skaidri atsaukties uz uzraudzības iestādēm, kas ir atbildīgas par datu aizsardzības tiesību aktu uzraudzību un izpildi.

1. Ievads

Eiropas Komisija 2023. gada 28. jūnijā publicēja priekšlikumu Eiropas Parlamenta un Padomes Regulai par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Regulu (ES) Nr. 1093/2010 (“Maksājumu pakalpojumu regulas priekšlikums” jeb “MPR priekšlikums”) (2) un priekšlikumu Eiropas Parlamenta un Padomes Direktīvai par maksājumu pakalpojumiem un elektroniskās naudas pakalpojumiem iekšējā tirgū, ar kuru groza Direktīvu 98/26/EK, un ar ko atceļ Direktīvu 2015/2366/ES un Direktīvu Nr. 2009/110/EK (“Maksājumu pakalpojumu direktīvas 3. priekšlikums” jeb “MPD3 priekšlikums”) (3), turpmāk kopā saukti par “priekšlikumiem”.

Priekšlikumam par maksājumu pakalpojumu sniegšanas noteikumiem un MPD3 priekšlikumam ir pievienoti trīs pielikumi (kopā seši pielikumi), kuros ir norādīti maksājumu pakalpojumu veidi (I pielikums), kā arī elektroniskās naudas pakalpojumu veidi (II pielikums), uz kuriem attiecas priekšlikumu projektu darbības joma. Visbeidzot, III pielikumā ir sniegta atbilstības tabula par Direktīvas (ES) 2015/2366 un Direktīvas 2009/110/EK noteikumiem ar priekšlikumu noteikumiem.

EDAU atzīmē, ka priekšlikumos ietvertie pakalpojumu veidi, šķiet, būtībā ir tie paši, uz kuriem attiecas Eiropas Parlamenta un Padomes 2015. gada 25. novembra Direktīva (ES) 2015/2366 par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Direktīvas 2002/65/EK, 2009/110/EK un 2013/36/ES un Regulu (ES) Nr. 1093/2010 un atceļ Direktīvu 2007/64/EK (“MPD2”) (4).

MPR priekšlikuma (5) konkrētie mērķi ir šādi:

stiprināt lietotāju aizsardzību un uzticēšanos maksājumiem, jo īpaši: uzlabojot Drošas lietotāju autentificēšanas (DLA) piemērošanu; izveidojot juridisko pamatu informācijas apmaiņai par krāpšanu; paplašinot starptautiskā bankas konta numura (IBAN) verifikāciju attiecībā uz visiem kredīta pārvedumiem; un uzlabojot lietotāju tiesības un informāciju;

uzlabot atvērto banku pakalpojumu konkurētspēju: i) pieprasot, lai kontu apkalpojošie maksājumu pakalpojumu sniedzēji (KAMPS) ieviestu īpašu datu piekļuves saskarni un “atļauju infopaneļus”, kas ļautu lietotājiem pārvaldīt tiem piešķirtās atvērtās bankas piekļuves atļaujas; un ii) nosakot detalizētākas specifikācijas minimālajām prasībām attiecībā uz atvērtās bankas datu saskarnēm;

c.	uzlabot maksājumu pakalpojumu tiesiskā regulējuma izpildi un īstenošanu dalībvalstīs, jo īpaši: aizstājot MPD2 ar tieši piemērojamu regulu (“MPR priekšlikums”), precizējot neskaidros MPD2 aspektus un uzlabojot sadarbību starp kompetentajām iestādēm un citām iestādēm; un

d.	uzlabot (tiešo vai netiešo) piekļuvi maksājumu sistēmām un bankas kontiem nebanku MPS, tostarp maksājumu iniciēšanas pakalpojumu sniedzējiem (PISP) un kontu iniciēšanas pakalpojumu sniedzējiem (AISP).

5.	Priekšlikumi ir iesniegti kopā ar priekšlikumu Regulai par piekļuvi finanšu informācijas datiem (“FIDA priekšlikums”) (6), kas cita starpā aptver piekļuvi finanšu datiem, kuri nav maksājumu kontu dati un kuri ietilpst to priekšlikumu darbības jomā, kas ir šā atzinuma priekšmets (7).

Būtībā MPR priekšlikums:

a.	noteiktu prasības attiecībā uz maksājumu pakalpojumu nosacījumu un informācijas prasību pārredzamību (8);

noteiktu tiesības un pienākumus saistībā ar maksājumu pakalpojumu sniegšanu un izmantošanu, tostarp noteikumus par datu piekļuves saskarnēm konta informācijas pakalpojumiem un maksājumu iniciēšanas pakalpojumiem un par maksājumu pakalpojumu lietotāju piekļuves datu pārvaldību (9); par datu aizsardzību (10); par ziņošanu par krāpšanu un darījumu uzraudzības mehānismiem un datu apmaiņu par krāpšanu (11); par drošu lietotāju autentifikāciju (SCA); par izpildes procedūrām, kompetentajām iestādēm un sodiem (12); par Eiropas Banku iestādes (EBI) intervences pilnvarām (13).

MPD3 priekšlikums lielā mērā balstās uz pašreizējās MPD2 II sadaļu par “Maksājumu pakalpojumu sniedzējiem”, kas attiecas tikai uz maksājumu iestādēm. Tajā atjaunināti un precizēti noteikumi, kas attiecas uz maksājumu iestādēm, un integrēta elektroniskās naudas iestādes kā maksājumu iestāžu apakškategorija. Tas ietver arī noteikumus par skaidras naudas izņemšanas pakalpojumiem, ko sniedz mazumtirgotāji vai neatkarīgi bankomātu izvietotāji (14).

Šis EDAU atzinums ir sniegts pēc Eiropas Komisijas 2023. gada 29. jūnija apspriešanās saskaņā ar ESDAR 42. panta 1. punktu. EDAU atzinīgi vērtē atsauci uz šo apspriešanos MPR priekšlikuma 147. apsvērumā un MPD3 priekšlikuma 77. apsvērumā. Šajā sakarā EDAU arī pozitīvi vērtē to, ka saskaņā ar ESDAR 60. apsvērumu ar viņu jau notika neoficiāla apspriešanās par priekšlikumiem.

12. Secinājumi

52.

Ņemot vērā iepriekš minēto, EDAU sniedz šādus ieteikumus:

(1)	skaidri nošķirt terminu “atļauja” no apstrādes juridiskā pamata saskaņā ar VDAR, PPR priekšlikuma 62. apsvērumā precizējot, ka “atļauja nebūtu jāsaprot kā “piekrišana” vai “nepārprotama piekrišana”, vai “nepieciešamība līguma izpildei”, kā noteikts Regulā (ES) 2016/679”;

(2)	ar apsvērumu precizēt, ka atļaujas piešķiršana, ko veic maksājumu pakalpojumu lietotājs, jo īpaši neskar maksājumu ierosināšanas pakalpojumu sniedzēju un konta informācijas pakalpojumu sniedzēju pienākumus saskaņā ar Regulas (ES) 2016/679 6. un 9. pantu.

(3)

pārskatīt KAMPS piemērojamo aizliegumu pārbaudīt atļauju saskaņā ar MPR priekšlikuma 49. panta 4. punktu vai ieviest atbilstošus alternatīvus aizsardzības pasākumus MPR priekšlikuma leģislatīvajos noteikumos, lai aizsargātu maksājumu pakalpojumu lietotājus pret iespējamu nelikumīgu personas datu kopīgas izmantošanas risku, ko var radīt šis aizliegums;

(4)	grozīt MPR priekšlikuma 46. panta 2. punkta a) apakšpunktu un 47. panta 2. punkta a) apakšpunktu, lai noteiktu, ka maksājumu iniciēšanas pakalpojumu sniedzēji un konta informācijas pakalpojumu sniedzēji nedrīkst piekļūt personalizētiem drošības akreditācijas datiem;

(5)	precizēt “sensitīvu maksājumu datu” definīciju saskaņā ar MPR priekšlikuma 3. panta 38. punktu, jo īpaši precizējot personas datu veidus, uz kuriem attiecas šī definīcija;

(6)	precizēt, attiecībā uz kādu(-iem) konkrētu(-iem) izraudzītā(-o) maksājumu pakalpojuma(-u) veidu(-iem) maksājumu sistēmas un maksājumu pakalpojumu sniedzējs būtu tiesīgi apstrādāt (kādas kategorijas) īpašas personas datu kategorijas, kas minētas MPR priekšlikuma 80. pantā;

(7)	sniegt pamatojumu (apsvērumā), kāpēc īpašo kategoriju personas datu apstrāde, kas attiecas uz norādīto(-ajiem) maksājumu pakalpojumu(-iem), kā noteikts MPR priekšlikuma 80. pantā, ir nepieciešama un samērīga un no tās nevar izvairīties, izmantojot alternatīvus tehniskus līdzekļus;

(8)	iekļaut atsauci uz reģistrēšanos (lai pārbaudītu, vai ir notikusi nepamatota piekļuve) starp datu aizsardzības pasākumiem, kas minēti MPR priekšlikuma 80. pantā;

(9)	papildināt 43. panta 2. punkta a) apakšpunktu ar atsauci uz izraudzīto(-ajiem) maksājumu pakalpojumu(-iem), attiecībā uz kuriem maksājumu pakalpojumu lietotājs ir piešķīris atļauju;

(10)

papildināt 47. panta 2. punktu attiecībā uz konta informācijas pakalpojumu sniedzēju pienākumiem 46. panta 2. punkta b) apakšpunktā noteikto prasību, saskaņā ar kuru maksājumu pakalpojumu sniedzēji var pieprasīt no maksājumu pakalpojumu lietotāja tikai tos datus, kas ir vajadzīgi, lai sniegtu pieprasīto pakalpojumu;

(11)

pieprasīt maksājumu pakalpojumu sniedzējiem un kontu informācijas pakalpojumu sniedzējiem saskaņā ar 43. panta 4. punkta b) apakšpunktu informēt kontu apkalpojošos maksājumu pakalpojumu sniedzējus par klienta kontu, kuram tiek lūgta piekļuve, un par tiesisko pamatu saskaņā ar VDAR 6. panta 1. punktu un (attiecīgā gadījumā) VDAR 9. panta 2. punktā paredzēto izņēmumu, uz kuru tie varētu paļauties, lai piekļūtu maksājumu pakalpojumu lietotāja personas datiem;

(12)	43. panta b) punktā precizēt, ka infopaneli nevajadzētu veidot tā, lai mudinātu vai nepamatoti ietekmētu maksājumu pakalpojumu lietotājus piešķirt vai atsaukt atļaujas;

(13)	skaidri noteikt personas datu kategorijas, kuras maksājumu pakalpojumu sniedzējiem būtu atļauts apstrādāt saistībā ar darījumu uzraudzības mehānismiem (jo īpaši sniedzot 83. panta 2. punkta a) apakšpunktā minētās “informācijas par maksājumu pakalpojumu lietotāju” definīciju);

(14)	noteikt atbilstošus datu glabāšanas termiņus personas datiem, kas savākti saskaņā ar 83. pantu;

(15)	iekļaut “informācijas apmaiņas nolīguma” definīciju MPR priekšlikuma 3. pantā;

(16)

noteikt priekšlikumā par maksājumu pakalpojumu sniegšanas noteikumiem, ka jebkura personas datu apstrāde, lai izpildītu 83. pantā noteiktos krāpšanas novēršanas juridiskos pienākumus, var notikt tikai šim konkrētajam mērķim un neizraisa to, ka maksājumu pakalpojumu sniedzējs izbeidz līgumattiecības ar klientu, vai neietekmē tā turpmāku piesaistīšanu citam maksājumu pakalpojumu sniedzējam;

(17)	MPR priekšlikuma 93. panta 3. punktā skaidri minēt uzraudzības iestādes, kas atbild par datu aizsardzības tiesību aktu uzraudzību un izpildi.

Briselē, 2023. gada 22. augustā

Wojciech Rafał WIEWIÓROWSKI

(1) Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV L 119, 4.5.2016., 1. lpp.).

(2) COM(2023) 367 final.

(3) COM(2023) 366 final.

(4) Eiropas Parlamenta un Padomes Direktīva (ES) 2015/2366 (2015. gada 25. novembris) par maksājumu pakalpojumiem iekšējā tirgū, ar ko groza Direktīvas 2002/65/EK, 2009/110/EK un 2013/36/ES un Regulu (ES) Nr. 1093/2010 un atceļ Direktīvu 2007/64/EK (OV L 337, 23.12.2015., 35. lpp.).

(5) COM(2023) 367 final, 5.-6. lpp.

(6) COM(2023) 360 final.

(7) COM(2023) 367 final, 4. lpp.

(8) MPR priekšlikuma 4.–26. pants.

(9) MPR priekšlikuma 43. pants.

(10) MPR priekšlikuma 80. pants.

(11) MPR priekšlikuma 82.–84. pants.

(12) MPR priekšlikuma 8. nodaļa.

(13) MPR priekšlikuma 9. nodaļa.

(14) COM(2023) 367 final, 7. lpp.