52023XX01019

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 52023XX01019 - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 52023XX01019

Samenvatting van het advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een verordening betreffende betalingsdiensten in de interne markt en het voorstel voor een richtlijn betreffende betalingsdiensten en elektronischgelddiensten in de interne markt (De volledige tekst van dit advies is in het Duits, Engels en Frans beschikbaar op de EDPS-website: https://edps.europa.eu)

PB C, C/2023/1019, 16.11.2023, ELI: http://data.europa.eu/eli/C/2023/1019/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/C/2023/1019/oj

HTML

PDF - authentic OJ

e-signature

How to verify the authenticity of the Official Journal

Publicatieblad
van de Europese Unie

Serie C

C/2023/1019

16.11.2023

(C/2023/1019)

(De volledige tekst van dit advies is in het Duits, Engels en Frans beschikbaar op de EDPS-website: https://edps.europa.eu)

De Europese Commissie heeft op 28 juni 2023 twee voorstellen uitgebracht: een voorstel voor een verordening van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt en houdende wijziging van Verordening (EU) nr. 1093/2010 (hierna: “het PSR-voorstel”) en een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende betalingsdiensten en elektronischgelddiensten in de interne markt, houdende wijziging van Richtlijn 98/26/EG en houdende intrekking van Richtlijn (EU) 2015/2366 en Richtlijn 2009/110/EG (hierna: “het PSD3-voorstel”), hierna samen “de voorstellen” genoemd.

Betalingsdiensten gaan vaak gepaard met de verwerking van persoonsgegevens die gevoelige informatie over een individuele betrokkene kunnen onthullen. De EDPS is dan ook ingenomen met de inspanningen die zijn geleverd om de voorstellen te laten overeenstemmen met de algemene verordening gegevensbescherming (1) (hierna: “AVG”). Het is evenwel belangrijk om een duidelijk onderscheid te maken tussen de “toestemmingen” zoals bedoeld in de voorstellen en de rechtsgrondslag voor de verwerking van persoonsgegevens uit hoofde van de AVG.

Een van de doelstellingen van de voorstellen bestaat erin aanbieders van betalingssystemen en betalingsdiensten in staat te stellen bijzondere categorieën persoonsgegevens te verwerken in het algemeen belang van de goede werking van de interne markt voor betalingsdiensten. Aangezien de verwerking van dergelijke gegevens een ernstige inbreuk kan vormen op het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, is het van belang dat de wetgeving nauwkeurig genoeg wordt geformuleerd om het objectieve verband tussen elke categorie gegevens in een specifieke betalingscontext en de nagestreefde doelstelling van algemeen belang aan te tonen.

De EDPS merkt verheugd op dat de voorgestelde handelingen rekeninghoudende betalingsdienstaanbieders ertoe zouden verplichten gebruikers een dashboard ter beschikking te stellen waar zij de door hen verleende toestemming kunnen monitoren en beheren. Teneinde het risico op het onrechtmatig delen van persoonsgegevens door rekeninghoudende betalingsdienstaanbieders verder te beperken, beveelt de EDPS aan om:

—	ervoor te zorgen dat het dashboard de specifieke aangewezen betalingsdienst(en) weergeeft waarvoor de gebruiker toestemming heeft verleend;

—	te waarborgen dat verzoeken om toegang beperkt blijven tot wat nodig is om de gevraagde dienst te verlenen;

—	de rechtsgrondslag van verzoeken om toegang duidelijk aan te geven;

—	rekeninghoudende betalingsdienstaanbieders in staat te stellen de door de betalingsdienstgebruiker verleende toestemming te controleren of passende alternatieve waarborgen in het PSR-voorstel op te nemen.

Tot slot beveelt de EDPS aan te zorgen voor nauwe samenwerking tussen de bevoegde autoriteiten in het kader van het voorstel en de toezichthoudende autoriteiten voor gegevensbescherming om de consistentie tussen de toepassing en handhaving van het voorstel en de EU-wetgeving inzake gegevensbescherming te waarborgen. De EDPS adviseert derhalve om in artikel 93, lid 3, van het PSR-voorstel uitdrukkelijk te verwijzen naar de toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op en de handhaving van de gegevensbeschermingswetgeving.

1. Inleiding

De Europese Commissie heeft op 28 juni 2023 twee voorstellen uitgebracht: een voorstel voor een verordening van het Europees Parlement en de Raad betreffende betalingsdiensten in de interne markt en houdende wijziging van Verordening (EU) nr. 1093/2010 (hierna: “het voorstel voor een betalingsdienstenverordening” of “het PSR-voorstel”) (2) en een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende betalingsdiensten en elektronischgelddiensten in de interne markt, houdende wijziging van Richtlijn 98/26/EG en houdende intrekking van Richtlijn (EU) 2015/2366 en Richtlijn 2009/110/EG (hierna: “het voorstel voor een derde richtlijn betalingsdiensten” of “het PSD3-voorstel”) (3), hierna samen “de voorstellen” genoemd.

Zowel het PSR-voorstel als het PSD3-voorstel gaat vergezeld van drie bijlagen (dus zes bijlagen in totaal), waarin de soorten betalingsdiensten (bijlage I) en de soorten elektronischgelddiensten (bijlage II) worden beschreven die onder het toepassingsgebied van de ontwerpvoorstellen vallen. Tot slot bevat bijlage III een concordantietabel om toe te lichten hoe de bepalingen uit Richtlijn (EU) 2015/2366 en Richtlijn 2009/110/EG overeenstemmen met de bepalingen in de voorstellen.

De EDPS merkt op dat de soorten diensten waarop de voorstellen betrekking hebben, in wezen dezelfde lijken te zijn als de diensten die vallen onder Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (hierna: “de PSD2”) (4).

De specifieke doelstellingen van het PSR-voorstel (5) zijn:

de bescherming van de gebruiker en het vertrouwen in betalingen versterken, met name door de toepassing van sterke cliëntauthenticatie (SCA) te verbeteren, een rechtsgrondslag te creëren voor de uitwisseling van informatie over fraude, de verificatie van internationale bankrekeningnummers (IBAN’s) uit te breiden naar alle overmakingen en de gebruikersrechten en -informatie te verbeteren;

het concurrentievermogen van open bankdiensten verbeteren, door i) rekeninghoudende betalingsdienstaanbieders het vereiste op te leggen om een specifieke interface voor gegevenstoegang op te zetten en “toestemmingsdashboards” te creëren waar gebruikers de aan hen verleende toestemmingen voor open bankieren kunnen beheren, en ii) nadere specificaties vast te stellen van minimumvereisten voor gegevensinterfaces voor open bankieren;

de handhaving en uitvoering van het rechtskader voor betalingsdiensten in de lidstaten verbeteren, met name door de PSD2 te vervangen door een rechtstreeks toepasselijke verordening (vervat in het PSR-voorstel) waarin onduidelijke aspecten van de PSD2 worden verduidelijkt en door de samenwerking tussen bevoegde autoriteiten en andere autoriteiten te verbeteren, en

d.	de (directe of indirecte) toegang tot betalingssystemen en bankrekeningen verbeteren voor niet-bancaire betalingsdienstaanbieders, met inbegrip van betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders.

De voorstellen zijn ingediend in samenhang met het voorstel voor een verordening betreffende toegang tot financiële informatie (hierna: “het FIDA-voorstel”) (6), dat onder meer betrekking heeft op de toegang tot andere financiële gegevens dan betaalrekeninggegevens. Laatstgenoemde gegevens vallen onder het toepassingsgebied van de voorstellen die het voorwerp van dit advies vormen (7).

In wezen zouden bij de voorgestelde verordening:

a.	eisen worden opgelegd betreffende de transparantie van aan betalingsdiensten verbonden voorwaarden en informatievereisten (8);

rechten en plichten worden vastgesteld met betrekking tot de aanbieding en het gebruik van betalingsdiensten, met inbegrip van regels betreffende interfaces voor gegevenstoegang voor rekeninginformatiediensten en betalingsinitiatiediensten (9) alsook betreffende het beheer van gegevenstoegang door betalingsdienstgebruikers (10); betreffende gegevensbescherming (11); betreffende de melding van fraude, transactiemonitoringmechanismen en de uitwisseling van fraudegegevens (12); betreffende SCA (13); betreffende handhavingsprocedures, bevoegde autoriteiten en sancties (14), en betreffende interventiebevoegdheden van de Europese Bankautoriteit (EBA) (15).

Het PSD3-voorstel is grotendeels gebaseerd op titel II van de huidige PSD2, “Betalingsdienstaanbieders”, die alleen van toepassing is op betalingsinstellingen. Met dit voorstel worden de bepalingen inzake betalingsinstellingen bijgewerkt en verduidelijkt en worden instellingen voor elektronisch geld opgenomen als subcategorie van betalingsinstellingen. Het voorstel bevat voorts bepalingen inzake geldopnamediensten die worden aangeboden door detailhandelaren of door onafhankelijke exploitanten van geldautomaten (16).

Dit advies van de EDPS wordt uitgebracht naar aanleiding van een raadpleging door de Europese Commissie van 29 juni 2023, overeenkomstig artikel 42, lid 1, EUVG. De EDPS is ingenomen met de verwijzing naar deze raadpleging in overweging 147 van het PSR-voorstel en overweging 77 van het PSD3-voorstel. In dit verband merkt de EDPS ook met tevredenheid op dat hij al eerder informeel over de voorstellen is geraadpleegd overeenkomstig overweging 60 EUVG.

12. Conclusies

52.

In het licht van het voorgaande beveelt de EDPS aan om:

(1)

een duidelijk onderscheid te maken tussen de term “toestemming” en de rechtsgrondslag voor verwerking uit hoofde van de AVG, door in overweging 62 toe te lichten dat toestemming niet mag worden opgevat als “toestemming” of “uitdrukkelijke toestemming” of “noodzakelijk voor de uitvoering van een overeenkomst” zoals gedefinieerd in Verordening (EU) 2016/679;

(2)	in een overweging met name te verduidelijken dat het feit dat een betalingsdienstgebruiker toestemming verleent geenszins afbreuk doet aan de verplichtingen van betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders uit hoofde van de artikelen 6 en 9 van Verordening (EU) 2016/679;

(3)

het verbod voor rekeninghoudende betalingsdienstaanbieders om toestemmingen te verifiëren krachtens artikel 49, lid 4, van het PSR-voorstel te heroverwegen, of in het dispositief van het PSR-voorstel passende alternatieve waarborgen op te nemen ter bescherming van betalingsdienstgebruikers tegen het mogelijke risico op het onrechtmatig delen van persoonsgegevens door rekeninghoudende betalingsdienstaanbieders waarmee dit verbod gepaard gaat;

(4)	artikel 46, lid 2, punt a), en artikel 47, lid 2, punt a), van het PSR-voorstel te wijzigen zodat betalingsinitiatiedienstaanbieders en rekeninginformatiedienstaanbieders zich geen toegang mogen verschaffen tot persoonlijke beveiligingsgegevens;

(5)	de definitie van “gevoelige betalingsgegevens” in artikel 3, punt 38, van het PSR-voorstel te verduidelijken, met name door te specificeren welke soorten persoonsgegevens onder deze definitie vallen;

(6)	in artikel 80 van het PSR-voorstel specifiek aan te geven welke bijzondere categorieën persoonsgegevens mogen verwerkt door betalingssystemen en betalingsdienstaanbieders en in het kader van welke specifieke soort(en) aangewezen betalingsdienst(en) dat het geval zou zijn;

(7)

(in een overweging) te rechtvaardigen waarom de verwerking van deze bijzondere categorieën persoonsgegevens voor de aangewezen betalingsdienst(en) vermeld in artikel 80 van het PSR-voorstel noodzakelijk en evenredig is en niet door het gebruik van alternatieve technische middelen kan worden vermeden;

(8)	een verwijzing naar inlogregistratie (om na te kunnen gaan of onrechtmatige toegang heeft plaatsgevonden) toe te voegen aan de gegevensbeschermingswaarborgen in artikel 80 van het PSR-voorstel;

(9)	in artikel 43, lid 2, punt a), een verwijzing in te voegen naar de aangewezen betalingsdienst(en) waarvoor de betalingsdienstgebruiker toestemming heeft verleend;

(10)

in artikel 47, lid 2, betreffende de verplichtingen van rekeninginformatiedienstverleners, het vereiste van artikel 46, lid 2, punt b), over te nemen, op grond waarvan betalingsdienstaanbieders van betalingsdienstgebruikers alleen gegevens kunnen vragen die nodig zijn om de gewenste dienst te verlenen;

(11)

betalingsdienstaanbieders en rekeninginformatiedienstaanbieders op grond van artikel 43, lid 4, punt b), te verplichten rekeninghoudende betalingsdienstaanbieders in kennis te stellen van de cliëntenrekening waartoe toegang wordt gevraagd, de toepasselijke rechtsgrondslag overeenkomstig artikel 6, lid 1, AVG en (in voorkomend geval) de uitzondering in de zin van artikel 9, lid 2, AVG op basis waarvan zij zich toegang zouden verschaffen tot de persoonsgegevens van de betalingsdienstgebruiker;

(12)	in artikel 43, punt b), van het voorstel te specificeren dat het dashboard niet zodanig mag worden ontworpen dat de betalingsdienstgebruiker wordt aangemoedigd of onrechtmatig wordt beïnvloed om toestemming te verlenen of in te trekken;

(13)	duidelijk af te bakenen welke categorieën persoonsgegevens betalingsdienstaanbieders mogen verwerken in het kader van transactiemonitoringmechanismen (door met name een definitie te verstrekken van “informatie over de betalingsdienstgebruiker” in de zin van artikel 83, lid 2, punt a));

(14)	passende gegevensopslagtermijnen vast te stellen voor persoonsgegevens die op grond van artikel 83 worden verzameld;

(15)	een definitie van “regelingen voor de uitwisseling van informatie” op te nemen in artikel 3 van het PSR-voorstel;

(16)

in het PSR-voorstel te bepalen dat de verwerking van persoonsgegevens met het oog op de naleving van de wettelijke verplichtingen ter preventie van fraude uit hoofde van artikel 83 uitsluitend voor dat specifieke doel kan plaatsvinden en niet mag leiden tot beëindiging van de cliëntrelatie met de betalingsdienstaanbieder of enige gevolgen voor de aansluitprocedure van de betalingsdienstgebruiker bij een andere betalingsdienstaanbieder;

(17)	in artikel 93, lid 3, van het PSR-voorstel uitdrukkelijk te verwijzen naar de toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op en de handhaving van de gegevensbeschermingswetgeving.

Brussel, 22 augustus 2023.

Wojciech Rafał WIEWIÓROWSKI

(1) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(2) COM(2023) 367 final.

(3) COM(2023) 366 final.

(4) Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).

(5) COM(2023) 367 final, blz. 5-6.

(6) COM(2023) 360 final.

(7) COM(2023) 367 final, blz. 4.

(8) Artikelen 4-26 van het PSR-voorstel.

(9) Artikelen 35-38 van het PSR-voorstel.

(10) Artikel 43 van het PSR-voorstel.

(11) Artikel 80 van het PSR-voorstel.

(12) Artikelen 82-84 van het PSR-voorstel.

(13) Artikelen 85-86 van het PSR-voorstel.

(14) Hoofdstuk 8 van het PSR-voorstel.

(15) Hoofdstuk 9 van het PSR-voorstel.

(16) COM(2023) 367 final, blz. 7.

ELI: http://data.europa.eu/eli/C/2023/1019/oj

ISSN 1977-0995 (electronic edition)

Top

Choose the experimental features you want to try