KOMISJA EUROPEJSKA

Bruksela, dnia 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie ram dostępu do danych finansowych oraz zmiany rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010, (UE) 1095/2010 i (UE) 2022/2554

(Tekst mający znaczenie dla EOG)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

Aby odnieść sukces w gospodarce opartej na danych, która będzie przynosić korzyści obywatelom i przedsiębiorstwom, Europa musi znaleźć równowagę między przepływem i szerokim wykorzystywaniem danych a wysokim poziomem prywatności, bezpieczeństwa i norm etycznych. W komunikacie dotyczącym europejskiej strategii w zakresie danych 1 Komisja określiła sposób, w jaki UE powinna stworzyć atrakcyjne warunki polityczne, aby do 2030 r. udział UE w gospodarce opartej na danych co najmniej odpowiadał jej znaczeniu gospodarczemu. 

Jeśli chodzi o finanse, Komisja wskazała promowanie finansów opartych na danych jako jeden z priorytetów w swojej strategii w zakresie finansów cyfrowych z 2020 r. 2 oraz ogłosiła zamiar przedstawienia wniosku ustawodawczego w sprawie ram dostępu do danych finansowych. W komunikacie z 2021 r. dotyczącym unii rynków kapitałowych 3 Komisja potwierdziła swoje ambicje w zakresie przyspieszenia prac nad promowaniem usług finansowych opartych na danych. Komisja ogłosiła w nim utworzenie grupy ekspertów ds. europejskiej przestrzeni danych finansowych w celu uzyskania informacji na temat pierwszego zestawu przypadków zastosowań. Niedawno przewodnicząca Komisji Ursula von der Leyen potwierdziła w liście intencyjnym powiązanym z orędziem o stanie Unii w 2022 r., że dostęp do danych w usługach finansowych należy do kluczowych nowych inicjatyw na 2023 r.

Klienci sektora finansowego UE nie mogą obecnie skutecznie kontrolować dostępu do swoich danych i ich udostępniania poza rachunkami płatniczymi. Użytkownicy danych, tj. firmy, które chcą uzyskać dostęp do danych klienta w celu świadczenia innowacyjnych usług, mają problemy z dostępem do danych znajdujących się w posiadaniu posiadaczy danych, tj. instytucji finansowych, które gromadzą, przechowują i przetwarzają dane klienta. W konsekwencji, nawet jeśli klienci sobie tego życzą, nie mają oni powszechnego dostępu do usług i produktów finansowych opartych na danych. Ograniczony dostęp do danych wynika z grupy powiązanych ze sobą problemów. Po pierwsze, ze względu na brak przepisów i narzędzi umożliwiających zarządzanie zezwoleniami na udostępnianie danych, klienci nie wierzą, że uwzględniono potencjalne zagrożenia związane z udostępnianiem danych. W związku z tym często niechętnie udostępniają swoje dane. Po drugie, nawet jeśli chcą udostępnić dane, brak jest przepisów regulujących takie udostępnianie, albo są one niejasne. W rezultacie posiadacze danych, tacy jak instytucje kredytowe, ubezpieczyciele i inne instytucje finansowe posiadające dane klientów, nie zawsze są zobowiązani do umożliwienia dostępu do danych użytkownikom danych, takim jak na przykład spółki z branży technologii finansowych, czyli spółki wykorzystujące technologię do wspierania lub świadczenia usług finansowych, lub instytucje finansowe, które świadczą usługi finansowe i opracowują produkty finansowe na podstawie udostępniania danych. Po trzecie, udostępnianie danych jest bardziej kosztowne, ponieważ zarówno same dane, jak i infrastruktura techniczna nie są znormalizowane i w związku z tym znacząco się różnią.

Celem niniejszego wniosku jest rozwiązanie tych problemów dzięki umożliwieniu konsumentom i firmom lepszej kontroli dostępu do ich danych finansowych. Dałoby to konsumentom i firmom możliwość korzystania z produktów i usług finansowych dostosowanych do ich potrzeb z uwzględnieniem istotnych dla nich danych, a zarazem uniknięcia nieodłącznego ryzyka.

Ogólnym celem niniejszego wniosku jest poprawa wyników ekonomicznych klientów usług finansowych (konsumentów i przedsiębiorstw) oraz firm z sektora finansowego przez wspieranie transformacji cyfrowej i przyspieszenia przyjmowania modeli biznesowych opartych na danych w sektorze finansowym UE. Po osiągnięciu tego celu chętni konsumenci będą mogli uzyskać dostęp do spersonalizowanych, opartych na danych produktów i usług, które mogą lepiej odpowiadać ich konkretnym potrzebom. Firmy, w szczególności MŚP, miałyby szerszy dostęp do produktów i usług finansowych. Instytucje finansowe będą mogły w pełni wykorzystać możliwości transformacji cyfrowej, a zewnętrzni dostawcy usług będą mogli korzystać z nowych możliwości rynkowych w zakresie innowacji wykorzystujących potencjał danych. Konsumenci i firmy uzyskają dostęp do swoich danych finansowych, aby umożliwić użytkownikom danych dostarczanie produktów i usług finansowych dostosowanych lepiej do potrzeb klientów i firm.

Wniosek ten nie pociąga za sobą oszczędności kosztów administracyjnych, ponieważ są to nowe przepisy, które nie zmieniają wcześniejszych przepisów UE. Z tego samego powodu nie stanowi on również inicjatywy w ramach programu sprawności i wydajności regulacyjnej (REFIT) Komisji, którego celem jest zapewnienie, aby przepisy UE służyły osiąganiu celów, przynosząc korzyści obywatelom i przedsiębiorstwom przy minimalnych kosztach.

•Spójność z przepisami obowiązującymi w tym obszarze polityki

Niniejszy wniosek opiera się na zmienionej dyrektywie w sprawie usług płatniczych (druga dyrektywa w sprawie usług płatniczych), która umożliwiła udostępnianie danych dotyczących rachunków płatniczych („otwarta bankowość”). Niniejszy wniosek umożliwia udostępnianie szerszego zbioru danych dotyczących usług finansowych i zawiera przepisy, zgodnie z którymi udostępnianie danych ma się odbywać. Określono w nim również przepisy mające zastosowanie do uczestników rynku, którzy będą prowadzić tę działalność.

•Spójność z innymi politykami Unii

Niniejszy wniosek jest zgodny z ogólnym rozporządzeniem o ochronie danych (RODO), w którym określono ogólne przepisy dotyczące przetwarzania danych osobowych związanych z osobą, której dane dotyczą, i zapewniono ochronę danych osobowych oraz swobodny przepływ danych osobowych.

Niniejszy wniosek stanowi również element sektorowy, który wpisuje się w szerszą europejską strategię w zakresie danych i umożliwia udostępnianie danych w ramach sektora finansowego i z innymi sektorami. Opiera się na kluczowych zasadach dostępu do danych i ich przetwarzania określonych w międzysektorowych inicjatywach Komisji. W akcie w sprawie zarządzania danymi skoncentrowano się na zwiększeniu zaufania do udostępniania danych i poprawie płynnych wzajemnych połączeń („interoperacyjności”) między przestrzeniami danych oraz stworzeniu ram dla dostawców usług pośrednictwa danych. Kolejną międzysektorową inicjatywą jest akt o rynkach cyfrowych, w którym ustanowiono szereg obowiązków dotyczących danych w celu osłabienia pozycji platform pełniących rolę strażników dostępu i zapewnienia kontestowalności na rynkach cyfrowych dzięki, na przykład, umożliwieniu instytucjom finansowym, w imieniu ich klientów lub podczas korzystania z podstawowych usług platformowych strażników dostępu, dostępu do danych będących w posiadaniu strażników dostępu. Jeszcze inną międzysektorową inicjatywą jest wniosek dotyczący aktu w sprawie danych 4 , który służyłby ustanowieniu nowych praw dostępu do danych w ramach internetu rzeczy (IoT), tj. do danych, które produkty pozyskują, generują lub gromadzą w odniesieniu do ich działania, wykorzystania lub środowiska, zarówno dla użytkowników produktów, jak i dostawców powiązanych usług. Ustanawia się w nim również mające ogólne zastosowanie obowiązki dla posiadaczy danych, którzy są zobowiązani do udostępniania danych odbiorcom danych zgodnie z prawem Unii lub przepisami krajowymi przyjętymi zgodnie z prawem Unii.

Niniejszy wniosek stanowi również uzupełnienie strategii UE w zakresie inwestycji detalicznych 5 . Pomoże on w osiągnięciu jej celu, jakim jest poprawa funkcjonowania ram ochrony inwestorów detalicznych za sprawą zapewnienia środków ochronnych w zakresie wykorzystywania danych inwestorów detalicznych w usługach finansowych. Zapewnia on ponadto zgodność z przepisami dotyczącymi cyberbezpieczeństwa i odporności operacyjnej w sektorze finansowym, o czym mowa w akcie w sprawie operacyjnej odporności cyfrowej, który wszedł w życie 16 stycznia 2023 r.

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

W Traktacie o funkcjonowaniu Unii Europejskiej (TFUE) przyznano instytucjom Unii uprawnienia do ustanawiania przepisów dotyczących zbliżania przepisów państw członkowskich, które to przepisy mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego (art. 114 TFUE). Obejmuje to uprawnienie do przyjmowania przepisów UE w celu zbliżenia wymogów dotyczących coraz większego wykorzystania danych przez instytucje finansowe, ponieważ instytucje finansowe prowadzące działalność transgraniczną miałyby w przeciwnym razie do czynienia z rozbieżnymi wymogami krajowymi, co wiązałoby się z wyższymi kosztami działalności transgranicznej. Stworzenie wspólnych przepisów udostępniania danych w sektorze finansowym przyczyni się do funkcjonowania rynku wewnętrznego. Wspólne przepisy zapewnią zharmonizowane ramy regulacyjne dotyczące zarządzania danymi finansowymi, zgodnie z europejską strategią w zakresie danych. Wyniki te można najlepiej osiągnąć przez przyjęcie rozporządzenia, które ma zastosowanie bezpośrednio w państwach członkowskich.

•Pomocniczość (w przypadku kompetencji niewyłącznych)

Gospodarka oparta na danych stanowi integralną część rynku wewnętrznego. Przepływy danych stanowią podstawowy element działalności cyfrowej i odzwierciedlają istniejące łańcuchy dostaw oraz współpracę między firmami i konsumentami. Każda inicjatywa mająca na celu organizację takich przepływów danych musi dotyczyć rynku wewnętrznego jako całości. Z uwagi na fakt, że posiadacze danych są zazwyczaj licencjonowanymi instytucjami finansowymi podlegającymi obszernemu i szczegółowemu zbiorowi przepisów określonych w dużej mierze w bezpośrednio obowiązujących przepisach i ustaleniach nadzorczych, w przypadku których konwergencję zapewnia się na szczeblu UE, konieczne jest podjęcie działań na szczeblu UE w celu ustalenia wspólnych warunków i utrzymania równych warunków działania dla instytucji finansowych z myślą o ochronie integralności rynku, ochronie konsumentów i stabilności finansowej. Kolejnym powodem podejmowania działań na szczeblu UE jest wysoki poziom integracji w sektorze finansowym. Instytucje finansowe prowadzą również znaczącą działalność transgraniczną.

Problemy opisane w ocenie skutków towarzyszącej niniejszemu wnioskowi są wspólne dla wszystkich państw członkowskich. Regulacja usług finansowych jest kompetencją dzieloną przez UE i jej państwa członkowskie. Państwa członkowskie nie mogą rozwiązać tych problemów działając samodzielnie, biorąc pod uwagę, że posiadacze i potencjalni użytkownicy danych klientów w sektorze finansów często prowadzą działalność w kilku państwach członkowskich. W związku z tym dane klienta mogą być w posiadaniu instytucji finansowych w różnych państwach członkowskich. Aby zwiększyć zaufanie i umożliwić zintegrowane wykorzystanie tych danych, wszystkie te instytucje finansowe musiałyby podlegać tym samym ramom prawnym i odpowiadać tym samym standardom technicznym. Indywidualne przepisy krajowe skutkowałyby nakładaniem się wymogów i nieproporcjonalnie wysokimi kosztami przestrzegania przepisów dla firm i nie byłyby wobec tego najkorzystniejsze dla firm i konsumentów.

•Proporcjonalność

Zgodnie z zasadą proporcjonalności niniejszy wniosek nie wykracza poza to, co jest konieczne do osiągnięcia określonych w nim celów. Obejmuje on jedynie te aspekty, w świetle których obciążenia i koszty administracyjne są proporcjonalne do celów, które mają zostać osiągnięte. Na przykład proporcjonalność została opracowana starannie pod względem zakresu i rygorystyczności. Opiera się ona na kryteriach oceny jakościowej i ilościowej, aby zapewnić szeroką skuteczność nowych przepisów. W załączniku 5 do oceny skutków towarzyszącej niniejszemu wnioskowi wyjaśniono, w jaki sposób kierowano się zasadą proporcjonalności przy wyborze zbiorów danych. W załączniku 8 do oceny skutków towarzyszącej niniejszemu wnioskowi wyjaśniono środki wprowadzone w celu zapewnienia proporcjonalnego wpływu na MŚP.

•Wybór instrumentu

Niniejszy wniosek powinien przyjąć formę rozporządzenia, które będzie bezpośrednio stosowane we wszystkich państwach członkowskich. Ma to na celu zapewnienie, aby we wszystkich państwach członkowskich stosowano wspólne przepisy dotyczące warunków dostępu do danych klientów usług finansowych i ich przetwarzania.

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Oceny ex post/oceny adekwatności obowiązującego prawodawstwa

Niniejszy nowy wniosek nie opiera się na obowiązującym prawodawstwie. Opiera się on na systemie otwartej bankowości określonym w dyrektywie (UE) 2015/2366, ale tworzy nowe prawo dostępu do danych w odniesieniu do zbiorów danych nieobjętych wcześniej żadnymi innymi ramami legislacyjnymi UE.

•Konsultacje z zainteresowanymi stronami

10 maja 2022 r. Komisja Europejska opublikowała zaproszenie do zgłaszania uwag na temat dostępu do danych finansowych. Na zaproszenie do zgłaszania uwag, które zamknięto w dniu 2 sierpnia 2022 r., otrzymano 79 odpowiedzi. Osoby udzielające odpowiedzi we własnym imieniu wyraziły obawy dotyczące udostępniania danych w przypadku braku ram przewidujących przyjęcie konkretnych środków ochronnych, takich jak panele prywatności, wyraźne określenie jego zakresu i równe warunki działania dla uczestników rynku. Firmy były raczej pozytywnie nastawione pod warunkiem wprowadzenia odpowiednich środków ochronnych. Z zaproszenia do zgłaszania uwag wynika, że odpowiednio zaprojektowany dostęp do danych finansowych może mieć pozytywny wpływ.

10 maja 2022 r. Komisja Europejska rozpoczęła również wspólne konsultacje publiczne w sprawie przeglądu zmienionej dyrektywy w sprawie usług płatniczych (druga dyrektywa w sprawie usług płatniczych) i dostępu do danych finansowych. Konsultacje publiczne zakończono w dniu 2 sierpnia 2022 r. Odpowiedzi dotyczące dostępu do danych finansowych stanowiły potwierdzenie opinii wyrażonych w ramach zaproszenia do zgłaszania uwag. Chociaż większość ogółu społeczeństwa, która udzieliła odpowiedzi, chciałaby udostępniać swoje dane na podstawie wyraźnej zgody/umowy konsumenta, wyrażano pewne obawy dotyczące udostępniania danych finansowych. Obawy te wynikały z braku zaufania do kwestii prywatności, ochrony danych i bezpieczeństwa cyfrowego oraz ogólnego poczucia braku kontroli nad sposobem, w jaki ich dane są wykorzystywane.

Profesjonalne zainteresowane strony (użytkownicy biznesowi, firmy z branży technologii finansowych, organizacje konsumenckie, a także odpowiednie organy publiczne i krajowe organy regulacyjne) były bardziej przychylne udostępnianiu danych i wymieniały wynikające z tego korzyści dla klienta w postaci większej konkurencji i innowacji w zakresie produktów i usług finansowych. Znacząca mniejszość specjalistów, którzy wzięli udział w konsultacjach, wyraziła również obawy dotyczące konkurencji, bezpieczeństwa i wykorzystania danych niezgodnie z przeznaczeniem.

10 maja 2022 r. Komisja zainicjowała także ukierunkowane konsultacje w sprawie dostępu do danych finansowych i udostępniania danych w sektorze finansowym. Ukierunkowane konsultacje, w ramach których uzyskano 94 odpowiedzi od profesjonalnych zainteresowanych stron, zamknięto w dniu 5 lipca 2022 r.

Celem ukierunkowanych konsultacji było zebranie opinii ekspertów na temat udostępniania danych w sektorze finansów. Profesjonalne zainteresowane strony, do których kierowano konsultacje, obejmowały instytucje finansowe, podmioty udostępniające dane, spółki z branży technologii finansowych, użytkowników biznesowych, stowarzyszenia ochrony konsumentów, a także odpowiednie organy publiczne i krajowe organy regulacyjne). Ogólnie rzecz biorąc, z odpowiedzi wynika, że większość specjalistów, którzy wzięli udział w konsultacjach dostrzega potencjalne korzyści wynikające z ram prawnych dotyczących dostępu do danych finansowych i dlatego popiera interwencję regulacyjną w niektórych obszarach. Odpowiedzi udzielone w ramach ukierunkowanych konsultacji sugerują jednak, że opinie zainteresowanych stron znacznie się różnią, a poparcie konsumentów i posiadaczy danych jest uzależnione od sposobu, w jaki będzie uzyskiwany dostęp do tych danych i w jaki będą one udostępniane.

•Gromadzenie i wykorzystanie wiedzy eksperckiej

24 października 2022 r. Komisja otrzymała sprawozdanie dotyczące otwartych finansów sporządzone przez grupę ekspertów ds. europejskiej przestrzeni danych finansowych. Grupa ekspertów skupia ekspertów ze środowisk akademickich, konsumentów i sektora (w tym bankowości, ubezpieczeń, zabezpieczeń emerytalnych, inwestycji, a także dostawców usług będących osobami trzecimi i firm z branży technologii finansowych). W sprawozdaniu opisano kluczowe elementy ekosystemu otwartych finansów, tak jak postrzega je grupa ekspertów (dostępność danych, ochronę danych, standaryzację danych, odpowiedzialność, równe warunki działania i główne podmioty) oraz przedstawiono rozważania dotyczące każdego elementu, w tym rozbieżne opinie w grupie. Aby zilustrować wyzwania i możliwości związane z otwartymi finansami, grupa ekspertów oceniła kilka konkretnych przypadków użycia, które opisano szczegółowo w sprawozdaniu. Przypadki użycia i ustalenia zawarte w sprawozdaniu wykorzystano do opracowania niniejszego wniosku, w szczególności przy określaniu danych objętych zakresem wniosku.

•Ocena skutków

Niniejszemu wnioskowi towarzyszy ocena skutków, która została przedłożona Radzie ds. Kontroli Regulacyjnej działającej przy Komisji w dniu 3 lutego 2023 r. i zatwierdzona w dniu 3 marca 2023 r. Rada ds. Kontroli Regulacyjnej zaleciła wprowadzenie ulepszeń w niektórych obszarach w celu wzmocnienia bazy dowodowej, położenia większego nacisku na zaufanie klientów i ochronę konsumentów podatnych na zagrożenia, oraz lepszego określenia ograniczeń i niepewności oceny kosztów i korzyści w odniesieniu do niniejszego wniosku. Ocenę skutków została odpowiednio zmieniona i uwzględniono w niej bardziej szczegółowe uwagi Rady ds. Kontroli Regulacyjnej.

Na podstawie opinii grupy ekspertów ds. europejskiej przestrzeni danych finansowych oraz informacji zwrotnych od zainteresowanych stron wybrano warianty strategiczne.

Rozważono kilka wariantów mających na celu zwiększenie zaufania klientów do udostępniania danych, wyjaśnienie sytuacji prawnej, promowanie normalizacji i zapewnienie zachęt. Jeśli chodzi o zaufanie klientów, rozważane warianty obejmowały obowiązkowe korzystanie z panelów do zarządzania zezwoleniami w ramach otwartych finansów, ustanowienie przepisów określających, kto może uzyskać dostęp do danych klienta, oraz uzupełnienie tych przepisów innymi środkami ochronnymi, w tym wytycznymi, które zapewniają ochronę konsumenta przed niesprawiedliwym traktowaniem lub ryzykiem wykluczenia.

Aby zapewnić jasność prawa, jednym z rozważanych wariantów był zakres, w jakim posiadacze danych mogliby być zobowiązani do udostępniania danych swoich klientów użytkownikom danych. Można by wprowadzić taki obowiązek na wniosek klienta. Rozważono również rodzaje firm, które mają zostać zobowiązane do udostępniania danych (instytucje kredytowe, dostawcy usług płatniczych i inne rodzaje instytucji finansowych w całym sektorze finansowym).

Rozważono kilka wariantów promowania standaryzacji danych klienta i interfejsów. Jednym z wariantów było zespołowe opracowanie przez uczestników rynku wspólnych standardów w odniesieniu do danych klienta i interfejsów w ramach systemów udostępniania danych finansowych. Rozpatrywano, czy w celu uzyskania dostępu do danych uczestnicy rynku powinni uczestniczyć w takim systemie dobrowolnie czy obowiązkowo. Innym wariantem było opracowanie takiego systemu w drodze aktów delegowanych lub wykonawczych (tzw. prawodawstwo poziomu 2, które uzupełnia lub zmienia niektóre, inne niż istotne, elementy aktów podstawowych).

Rozważono szereg wariantów wdrożenia wysokiej jakości interfejsów do udostępniania danych klientów. Jednym z wariantów mogłoby być nałożenie na posiadaczy danych obowiązku wprowadzenia interfejsów programowania aplikacji (API) wykorzystujących wspólne standardy dotyczące danych i interfejsów oraz udostępnienia ich użytkownikom danych bez umowy i bez możliwości otrzymania jakiejkolwiek opłaty od użytkowników danych za korzystanie z tych interfejsów. Innym wariantem byłoby dopuszczenie rozsądnej opłaty z tytułu konfiguracji interfejsów i korzystania z nich oraz ustalenie odpowiedzialności umownej.

Komisja uznała, że preferowanym wariantem jest rozporządzenie UE ustanawiające ramy dostępu do danych finansowych, które obejmuje następujące elementy:

·zobowiązanie uczestników rynku do zapewnienia klientom panelów do zarządzania zezwoleniami w ramach otwartych finansów, ustanowienie przepisów w zakresie kwalifikowalności w odniesieniu do dostępu do danych klienta oraz upoważnienie Europejskich Urzędów Nadzoru (EUN) do wydawania wytycznych w celu ochrony konsumentów przed niesprawiedliwym traktowaniem lub ryzykiem wykluczenia;

·upoważnienie użytkowników danych do dostępu do wybranych zbiorów danych klientów w sektorze finansowym, zawsze pod warunkiem uzyskania zezwolenia klientów, których dane dotyczą;

·zobowiązanie uczestników rynku do opracowania, w ramach systemów, wspólnych standardów w zakresie danych klienta i interfejsów, dotyczących danych podlegających obowiązkowemu dostępowi; oraz

·zobowiązanie posiadaczy danych do wdrażania API za opłatą, wykorzystujących wspólne standardy w zakresie danych klienta i interfejsów opracowanych w ramach systemów, oraz zobowiązanie uczestników systemu do ustalenia odpowiedzialności umownej.

Oczekiwanym ogólnym skutkiem gospodarczym niniejszego wniosku miałby być ulepszony dostęp do usług finansowych o wyższej jakości, prowadzący do polepszenia ogólnego stosunku ceny do jakości. Dostęp do danych finansowych miałby prowadzić do usług w większym stopniu zorientowanych na użytkownika: spersonalizowane usługi mogłyby przynieść korzyści konsumentom poszukującym doradztwa inwestycyjnego i można oczekiwać, że zautomatyzowana ocena zdolności kredytowej ułatwi dostęp MŚP do finansowania. Oczekiwany wpływ na gospodarkę w szerszym ujęciu byłby pozytywny ze względu na bardziej wydajne świadczenie usług w wyniku efektywniejszej konkurencji. Aby jednak ten pozytywny wpływ był możliwy, należy jednak zapewnić, by ponowne wykorzystywanie danych nie prowadziło do zachowań antykonkurencyjnych i zmów, zwłaszcza w świetle wymogu obowiązkowego stosowania systemów umownych, oraz aby w szczególności posiadacze danych nie wykluczali konkurentów, pobierając wysokie opłaty za dostęp do danych.

Można oczekiwać, że wniosek będzie miał ogólnie pozytywne skutki społeczne, pod warunkiem że powiązane zagrożenia pozostaną pod kontrolą. Udostępnianie danych klientów podlegałoby kontroli, ponieważ będzie zależało od wniosku klienta – obowiązkowy dostęp byłby uruchamiany tylko na wniosek klienta dotyczący udostępnienia jego danych. Udostępnianie bardziej szczegółowych danych mogłoby otworzyć dostęp do finansów użytkownikom, którzy dotychczas byli wykluczeni. Mogłoby to przyczynić się do ukierunkowania oszczędności i emerytur dzięki kompleksowemu przeglądowi prywatnych i pracowniczych uprawnień emerytalno-rentowych oraz innych oszczędności przeznaczonych na emeryturę. Z drugiej strony, bez odpowiednich środków ochronnych, większe wykorzystanie danych mogłoby w określonych przypadkach prowadzić do ryzyka wyższych kosztów lub nawet do dalszego wykluczenia klientów o niekorzystnym profilu ryzyka. Szczególną uwagę należy zwrócić na usługi, których nieodłączną część stanowi podział ryzyka, takie jak ubezpieczenia. W ramach preferowanego wariantu taki wpływ zostałby jednak złagodzony, ponieważ zbiory danych, które są bezpośrednio istotne dla podstawowych usług finansowych dla konsumentów, zostałyby wyłączone z jego zakresu, a dodatkowy środek ochronny stanowiłyby wytyczne EBA i EIOPA dotyczące obowiązującego zakresu wykorzystania danych osobowych.

Ogólnie rzecz biorąc, można oczekiwać, że dostęp do danych finansowych będzie miał neutralny lub pozytywny pośredni wpływ na środowisko, gdyż prawdopodobnie przyczyni się on do upowszechnienia innowacyjnych usług inwestycyjnych, w tym usług, które przekierowują inwestycje na bardziej zrównoważoną działalność gospodarczą. Nawet jeśli potencjalnie mogą wystąpić pewne negatywne skutki bardziej intensywnego korzystania z ośrodków przetwarzania danych, które nieuchronnie wiązałoby się ze zwiększeniem ponownego wykorzystania danych, ich zakres będzie prawdopodobnie ograniczony, ponieważ większość danych objętych niniejszym wnioskiem istnieje już w formie cyfrowej. Dodatkowy wolumen przetwarzania pochodziłby głównie od użytkowników danych uzyskujących dostęp do tych danych.

Biorąc pod uwagę ograniczoną dostępność danych oraz charakter niniejszego wniosku, z natury rzeczy trudno jest dokonać ilościowych prognoz dotyczących korzyści, jakie przyniesie całej gospodarce. Równie trudne jest oddzielenie skutków każdego środka z zakresu polityki od potencjalnego łącznego wpływu. Chociaż trudno jest oszacować koszty każdego wariantu strategicznego, jeszcze trudniej oszacować pojedyncze korzyści każdego z nich. Podjęto próbę przedstawienia makroekonomicznej oceny potencjalnych korzyści, opierając się na badaniu na poziomie makro, którego celem nie było jednak jednoznaczne ilościowe określenie korzyści płynących z niniejszego wniosku. W związku z tym przedstawiony poniżej zakres liczb należy traktować jako ilustrację potencjalnych korzyści, a nie konkretne oszacowanie. Zgodnie ze wspomnianą oceną makroekonomiczną łączne roczne korzyści dla gospodarki UE wynikające ze zwiększonego dostępu do danych i ich udostępniania w sektorze finansowym UE wynoszą od 4,6 mld do 12,4 mld EUR, w tym bezpośredni wpływ na gospodarkę UE opartą na danych finansowych od 663 mln do 2 mld EUR rocznie. Całkowity szacowany koszt wniosku mógłby wynieść od 2,2 mld do 2,4 mld EUR w kosztach jednorazowych oraz od 147 mln do 465 mln EUR w rocznych kosztach stałych.

Finanse cyfrowe mają wiele aspektów, które mogą poprawić funkcjonowanie gospodarek i przyczynić się do zrównoważonego rozwoju. Jednym z głównych wyzwań zrównoważonego rozwoju jest dostęp do finansowania. Choć nie jest to bezpośrednim celem wniosku, przyczyni się on pośrednio do przyspieszenia zrównoważonego i sprzyjającego włączeniu społecznemu wzrostu gospodarczego i zatrudnienia. Może on pomóc osobom wykluczonym społecznie w uzyskaniu lepszego dostępu do finansowania. Niniejszy wniosek jest zgodny z celami dotyczącymi budowy stabilnej infrastruktury, zrównoważonego uprzemysłowienia oraz innowacyjności. Może doprowadzić do uwolnienia konkurencyjnych sił gospodarczych, które przyczynią się do poprawy łączności w obszarze finansów. Niniejszy wniosek pomoże również w rozwiązaniu problemu zmiany klimatu dzięki ukierunkowanemu doradztwu inwestycyjnemu, ułatwiającemu inwestorom podejmowanie bardziej świadomych decyzji, które mogą pomóc w ukierunkowaniu przepływów kapitałowych na zrównoważone inwestycje.

•Sprawność regulacyjna i uproszczenie

•Prawa podstawowe

4.WPŁYW NA BUDŻET

Wdrożenie niniejszego wniosku nie miałoby wpływu na budżet ogólny Unii Europejskiej. Chociaż Europejskie Urzędy Nadzoru (EUN) będą musiały zrealizować pewne zadania w celu prawidłowego wdrożenia przepisów, większość z tych zadań wchodzi w zakres obecnych mandatów EUN, np. przygotowywanie projektów standardów regulacyjnych lub wykonawczych bądź opracowanie wytycznych w celu lepszego stosowania niniejszego rozporządzenia. Ponadto, chociaż Europejski Urząd Nadzoru Bankowego (EUNB) byłby zobowiązany do utworzenia rejestru zawierającego informacje np. o dostawcach usług z zakresu informacji finansowych, koszty utworzenia takiego rejestru byłyby ograniczone i powinny zostać pokryte z oszczędności kosztów wynikających z synergii i efektywności, które zgodnie z przewidywaniami powinny zostać osiągnięte przez wszystkie organy Unii. Z drugiej strony przepisy nie przewidywałyby nałożenia na Europejskie Urzędy Nadzoru żadnych nowych zadań w zakresie nadzoru lub monitorowania. W związku z tym wszelkie koszty wynikające z wdrożenia proponowanych przepisów powinny zostać pokryte z istniejącego budżetu EUN.

Wpływ na koszty i obciążenia administracyjne właściwych organów krajowych jest ograniczony. Ich wielkość i rozkład będą zależały od nałożonego na dostawców usług z zakresu informacji finansowych wymogu ubiegania się o zezwolenie udzielane przez właściwy organ krajowy oraz od powiązanych zadań w zakresie nadzoru i monitorowania. Koszty te zostałyby częściowo zrekompensowane przez opłaty nadzorcze, które właściwe organy krajowe pobierałyby od dostawców usług z zakresu informacji finansowych.

Regulowane instytucje finansowe, które już posiadają zezwolenie, nie byłyby objęte nowym systemem udzielania zezwoleń ustanowionym w niniejszym wniosku, i nie wprowadzono by żadnych dodatkowych wymogów w zakresie sprawozdawczości regulacyjnej, udzielania zezwoleń ani innych wymogów. W przypadku firm, które musiałyby ubiegać się o zezwolenie, całkowity koszt jego udzielania szacuje się na około 18,5 mln EUR, przy założeniu, że aby móc uzyskać dostęp do danych klientów, o status dostawcy usług z zakresu informacji finansowych ubiegałoby się około 350 firm. Firmy te musiałyby również spełnić wymogi DORA i wdrożyć wymagane normy w zakresie cyberbezpieczeństwa.

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia oraz przepisy dotyczące monitorowania, oceny i sprawozdawczości

Zapewnienie mechanizmu monitorowania i oceny jest konieczne, aby zapewnić skuteczność podejmowanych działań regulacyjnych w osiąganiu celów. Komisja oceni skutki niniejszego rozporządzenia i otrzyma zadanie dokonania jego przeglądu (art. 31 wniosku).

•Szczegółowe objaśnienie przepisów szczegółowych wniosku

Niniejszy wniosek ma na celu ustanowienie ram regulujących dostęp do danych klientów i ich wykorzystywanie w sektorze finansów (dostęp do danych finansowych „FIDA”). Dostęp do danych finansowych odnosi się do dostępu i przetwarzania danych między przedsiębiorcami oraz między przedsiębiorcami a klientami (w tym konsumentami) na wniosek klienta w ramach szerokiego zakresu usług finansowych. Wniosek jest podzielony na dziewięć tytułów.

W tytule I określono przedmiot, zakres i definicje. Art. 1 stanowi, że w rozporządzeniu ustanowiono przepisy, zgodnie z którymi można uzyskać dostęp do określonych kategorii danych klientów w sektorze finansów, udostępniać je i wykorzystywać. Ustanowiono w nim także wymogi w zakresie dostępu do danych w sektorze finansów, ich udostępniania i wykorzystywania, odpowiednie prawa i obowiązki użytkowników danych i posiadaczy danych oraz odpowiednie prawa i obowiązki dostawców usług z zakresu informacji finansowych w odniesieniu do świadczenia usług informacyjnych jako regularnego zajęcia lub działalności gospodarczej. W art. 2 określono zakres rozporządzenia w odniesieniu do niektórych wyczerpująco opisanych zbiorów danych i wymieniono firmy, do których ma zastosowanie niniejsze rozporządzenie. W art. 3 określono warunki i definicje stosowane do celów niniejszego rozporządzenia, w tym terminy „posiadacz danych”, „użytkownik danych”, „dostawca usług z zakresu informacji finansowych” i inne.

W tytule II nałożono prawny obowiązek na posiadaczy danych i uregulowano sposób wykonania tego obowiązku. Art. 4 stanowi, że posiadacz danych musi udostępnić klientom dane objęte zakresem niniejszego rozporządzenia na ich wniosek. Art. 5 przyznaje klientowi prawo do wystąpienia z wnioskiem, aby posiadacz danych udostępnił te dane użytkownikowi danych. W przypadku danych osobowych wniosek ten musi być zgodny z ważną podstawą prawną, o której mowa w ogólnym rozporządzeniu o ochronie danych (RODO), w którym przewidziano przetwarzanie danych osobowych. W art. 6 nakłada się określone obowiązki na użytkowników danych otrzymujących dane na wniosek klientów. Dostęp do danych klienta powinien być możliwy wyłącznie na podstawie art. 5, a dane te powinny być wykorzystywane wyłącznie do celów i na warunkach uzgodnionych z klientem. Indywidualne dane uwierzytelniające klienta nie powinny być dostępne dla innych stron, a dane nie powinny być przechowywane dłużej niż jest to konieczne.

W tytule III ustanowiono wymogi mające na celu zapewnienie odpowiedzialnego wykorzystywania i bezpieczeństwa danych. W art. 7 przedstawiono wskazówki dotyczące sposobu, w jaki firmy powinny wykorzystywać dane w określonych przypadkach użycia – artykuł ten gwarantuje, że wykorzystanie danych nie będzie skutkowało dyskryminacją ani ograniczeniami w dostępie do usług. Zapewnia on, że klienci, którzy odmówią udzielenia zezwolenia na wykorzystanie zbiorów swoich danych, nie zostaną pozbawieni dostępu do produktów finansowych tylko dlatego, że odmówili udzielenia zgody. W art. 8 ustanawia się panele do zarządzania zezwoleniami w ramach otwartych finansów, aby zapewnić klientom możliwość monitorowania ich zezwoleń dostępu do danych polegającego na dostępie do przeglądu takich zezwoleń, przyznawaniu nowych zezwoleń i w stosownych przypadkach ich wycofywaniu.

W tytule IV określono wymogi dotyczące tworzenia systemów udostępniania danych finansowych i zarządzania nimi, których celem jest skupienie posiadaczy danych, użytkowników danych i organizacji konsumenckich. W ramach takich systemów należy opracować standardy danych i interfejsów, ustanowić mechanizmy koordynacji działania paneli do zarządzania zezwoleniami w ramach otwartych finansów, a także wspólne standaryzowane ramy umowne regulujące dostęp do określonych zbiorów danych, zasady zarządzania tymi systemami, wymogi dotyczące przejrzystości, zasady ustalania opłat, odpowiedzialność i rozstrzyganie sporów. Art. 9 stanowi, że dane objęte zakresem niniejszego rozporządzenia muszą być udostępniane wyłącznie członkom systemu udostępniania danych finansowych, co oznacza, że istnienie takich systemów i uczestnictwo w nich są obowiązkowe. W art. 10 określono procesy zarządzania takim systemem, w tym przepisy dotyczące odpowiedzialności umownej jego uczestników oraz mechanizm pozasądowego rozstrzygania sporów. W art. 10 przewidziano również opracowanie wspólnych standardów udostępniania danych i tworzenie interfejsów technicznych, które mają być wykorzystywane do udostępniania danych. Takie systemy udostępniania danych należy zgłaszać właściwym organom; muszą one korzystać z paszportu umożliwiającego prowadzenie działalności w całej UE, a do celów przejrzystości systemy te muszą być częścią rejestru prowadzonego przez EUNB. Minimalne ustalenia dotyczące systemu udostępniania danych finansowych powinny również stanowić, że posiadaczom danych musi przysługiwać opłata za udostępnianie danych użytkownikom danych zgodnie z warunkami systemu, do którego należą. Opłata w każdym przypadku musi być rozsądna, oparta na jasnej i przejrzystej metodyce uzgodnionej wcześniej przez uczestników systemu oraz powinna odzwierciedlać co najmniej koszty poniesione w związku z udostępnieniem interfejsu technicznego w celu udostępnienia danych, o które wystąpiono. W art. 11 przewidziano uprawnienie Komisji do przyjęcia aktu delegowanego w przypadku braku utworzenia systemu udostępniania danych finansowych należących do jednej lub kilku kategorii danych klienta.

W tytule V określono przepisy dotyczące zezwoleń i warunków działalności dostawców usług z zakresu informacji finansowych. W wymogach tych określono wymaganą treść wniosku (art. 12), wyznaczenie przedstawiciela prawnego (art. 13), zakres zezwolenia, w tym paszport UE dla dostawców usług z zakresu informacji finansowych (art. 14) oraz prawo właściwych organów do wycofania zezwolenia. W art. 15 przewidziano ustanowienie rejestru dostawców usług z zakresu informacji finansowych i systemów udostępniania danych, który ma być prowadzony przez EUNB. W art. 16 określono wymogi organizacyjne dotyczące dostawców usług z zakresu informacji finansowych.

W tytule VI przedstawiono szczegółowe informacje na temat uprawnień właściwych organów. W art. 17 nałożono na państwa członkowskie obowiązek wyznaczenia właściwych organów. W art. 18 określono szczegółowe przepisy dotyczące uprawnień właściwych organów, a w art. 19 przewidziano uprawnienia do zawierania ugód i przyspieszonych postępowań egzekucyjnych. W art. 20–21 szczegółowo określono kary administracyjne i inne środki administracyjne, a także okresowe kary pieniężne, które mogą być nakładane przez właściwe organy. W art. 22 określono okoliczności, które należy uwzględnić, gdy właściwe organy określają kary administracyjne i inne środki administracyjne. Art. 23 dotyczy tajemnicy zawodowej w zakresie wymiany informacji między właściwymi organami. Tytuł VI zawiera przepisy dotyczące prawa do odwołania (art. 24), publikacji informacji o nałożonych karach administracyjnych i zastosowanych środkach administracyjnych (art. 25), przepisy dotyczące wymiany informacji między właściwymi organami (art. 26) oraz rozstrzygania sporów między nimi (art. 27).

W tytule VII przewidziano procedurę powiadamiania właściwych organów przez firmy korzystające ze swobody przedsiębiorczości i swobody świadczenia usług (art. 28), a także obowiązek informacji ze strony właściwych organów, gdy podejmują one środki obejmujące ograniczenia w korzystaniu ze swobody przedsiębiorczości (art. 29).

Tytuł VIII dotyczy wykonania przekazanych uprawnień w celu przyjęcia aktów delegowanych Komisji (art. 30), ponieważ sam wniosek zawiera uprawnienie Komisji do przyjęcia aktu delegowanego na podstawie art. 11. Tytuł ten obejmuje także zobowiązanie Komisji do dokonania przeglądu niektórych aspektów rozporządzenia (art. 31). Art. 32–34 zawierają niezbędne zmiany w rozporządzeniach ustanawiających Europejskie Urzędy Nadzoru w celu rozszerzenia ich zakresu na niniejsze rozporządzenie i dostawców usług z zakresu informacji finansowych. Art. 35 zawiera zmianę rozporządzenia w sprawie operacyjnej odporności cyfrowej. W art. 36 wskazano, że stosowanie niniejszego rozporządzenia rozpoczyna się po upływie 24 miesięcy od dnia jego wejścia w życie, z wyjątkiem tytułu IV (dotyczącego systemów), którego stosowanie rozpoczyna się po upływie 18 miesięcy od dnia wejścia w życie niniejszego rozporządzenia.

2023/0205 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie ram dostępu do danych finansowych oraz zmiany rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010, (UE) 1095/2010 i (UE) 2022/2554

(Tekst mający znaczenie dla EOG)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 6 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Odpowiedzialna gospodarka oparta na danych, która rozwija się dzięki generowaniu i wykorzystywaniu danych, stanowi nieodłączną część unijnego rynku wewnętrznego mogącą przynosić korzyści zarówno obywatelom Unii, jak i gospodarce. Technologie cyfrowe opierające się na danych w coraz większym stopniu wymuszają zmianę na rynkach finansowych w wyniku tworzenia nowych modeli biznesowych, produktów i możliwości nawiązywania przez firmy kontaktu z klientami.

(2)Klienci instytucji finansowych, zarówno konsumenci, jak i przedsiębiorstwa, powinni skutecznie kontrolować swoje dane finansowe oraz mieć możliwość korzystania z otwartych, sprawiedliwych i bezpiecznych innowacji wykorzystujących potencjał danych w sektorze finansowym. Klienci powinni mieć prawo do decydowania o tym, w jaki sposób i przez kogo są wykorzystywane ich dane finansowe, oraz powinni mieć możliwość udzielania firmom dostępu do swoich danych na potrzeby uzyskania usług finansowych i informacyjnych, jeżeli sobie tego życzą.

(3)Unia ma określony interes polityczny w zapewnieniu klientom instytucji finansowych dostępu do ich danych finansowych. W swoim komunikacie w sprawie strategii w zakresie finansów cyfrowych oraz w komunikacie w sprawie unii rynków kapitałowych przyjętym w 2021 r. Komisja potwierdziła zamiar wprowadzenia ram dostępu do danych finansowych, aby klienci mogli czerpać korzyści z udostępniania danych w sektorze finansowym. Takie korzyści obejmują rozwój i zapewnienie produktów finansowych i usług finansowych opartych na danych, co umożliwia udostępnianie danych klienta.

(4)W ramach usług finansowych i w wyniku zmiany dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 7 udostępnianie danych dotyczących rachunków płatniczych w Unii na podstawie zezwolenia klienta zapoczątkowało transformację sposobu, w jaki konsumenci i przedsiębiorstwa korzystają z usług bankowych. Aby wykorzystać środki określone w tej dyrektywie, należy ustanowić ramy regulacyjne udostępniania danych klienta w sektorze finansowym wykraczających poza zakres danych dotyczących rachunków płatniczych. Powinien być to również ważny krok w kierunku pełnego uwzględnienia sektora finansowego w strategii Komisji w zakresie danych 8 , w której propaguje się udostępnianie danych między sektorami. 

(5)Zapewnienie kontroli ze strony klienta oraz jego zaufania jest konieczne, aby zbudować dobrze funkcjonujące i skuteczne ramy udostępniania danych w sektorze finansowym. Zapewnienie skutecznej kontroli klientów nad udostępnianiem danych przyczynia się do innowacji, a także pewności i zaufania klienta w odniesieniu do udostępniania danych. W rezultacie skuteczna kontrola przyczynia się do przezwyciężenia niechęci klienta do udostępnienia swoich danych. Zgodnie z obecnymi unijnymi ramami prawo do przenoszenia danych osoby, której dane dotyczą, zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 9 , jest ograniczone do danych osobowych i może być stosowane wyłącznie wówczas, gdy przeniesienie danych jest technicznie możliwe. Dane klienta i interfejsy techniczne w sektorze finansowym wykraczające poza zakres danych dotyczących rachunków płatniczych nie podlegają standaryzacji, co powoduje, że udostępnianie danych jest bardziej kosztowne. Co więcej instytucje finansowe są zobowiązane prawnie jedynie do udostępniania danych klientów dotyczących płatności.

(6)W związku z tym unijna gospodarka oparta na danych finansowych jest nadal rozdrobniona i wyróżnia się nierównomiernym udostępnianiem danych, barierami oraz znaczną niechęcią zainteresowanych stron do angażowania się w udostępnianie danych inne niż dotyczące rachunków płatniczych. Klienci nie korzystają zatem ze zindywidualizowanych, opartych na danych produktów i usług, które mogą odpowiadać ich konkretnym potrzebom. Brak spersonalizowanych produktów finansowych ogranicza możliwość wprowadzania innowacji poprzez zapewnianie większego wyboru oraz oferowanie produktów i usług finansowych zainteresowanym konsumentom, którzy w takim przypadku mogliby skorzystać z narzędzi opartych na danych mogących wspierać ich w dokonywaniu bardziej świadomych wyborów, porównywaniu ofert w przyjazny dla użytkownika sposób i zmianie na bardziej korzystne produkty, które odpowiadają ich preferencjom, na podstawie ich danych. Istniejące bariery dla udostępniania danych między przedsiębiorstwami uniemożliwiają firmom, w szczególności MŚP, korzystanie z lepszych, wygodnych i zautomatyzowanych usług finansowych.

(7)Udostępnianie danych za pomocą wysokiej jakości interfejsów programowania aplikacji ma zasadnicze znaczenie dla ułatwienia płynnego i skutecznego dostępu do danych. Jednak poza zakresem rachunków płatniczych jedynie niewielki odsetek instytucji finansowych będących posiadaczami danych twierdzi, że udostępniają dane za pomocą interfejsów technicznych takich jak interfejsy programowania aplikacji. Biorąc pod uwagę, że nie istnieją zachęty do opracowywania takich innowacyjnych usług, popyt na rynku w odniesieniu do dostępu do danych utrzymuje się na ograniczonym poziomie.

(8)W związku z tym niezbędne jest określenie na szczeblu unijnym specjalnych zharmonizowanych ram dostępu do danych finansowych, aby odpowiedzieć na potrzeby gospodarki cyfrowej i wyeliminować bariery dla dobrze funkcjonującego rynku wewnętrznego w odniesieniu do danych. Konieczne są przepisy szczegółowe, aby zlikwidować te bariery, aby promować lepszy dostęp do danych klienta i tym samym umożliwić konsumentom i firmom osiąganie korzyści wynikających z lepszych produktów i usług finansowych. Finanse oparte na danych ułatwiłyby przejście przemysłu od tradycyjnego dostarczania produktów standardowych do dopasowanych rozwiązań, które są lepiej dostosowane do konkretnych potrzeb klientów, w tym lepszych interfejsów skierowanych do klienta, które zwiększają konkurencję, polepszają doświadczenie użytkownika i zapewniają usługi finansowe koncentrujące się na kliencie jako użytkowniku końcowym.

(9)Dane objęte zakresem niniejszego rozporządzenia powinny wykazywać wysoką wartość dodaną w odniesieniu do innowacji finansowych, a także niskie ryzyko wykluczenia finansowego w przypadku konsumentów. Niniejsze rozporządzenie nie powinno zatem obejmować danych związanych z ubezpieczeniem chorobowym i zdrowotnym konsumenta zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2009/138/WE 10 , a także danych dotyczących produktów ubezpieczenia na życie konsumenta zgodnie z dyrektywą 2009/138/WE innych niż umowy ubezpieczenia na życie objęte przez ubezpieczeniowe produkty inwestycyjne. Niniejsze rozporządzenie nie powinno również obejmować danych zgromadzonych w ramach oceny zdolności kredytowej konsumenta. Udostępnianie danych klienta wchodzące w zakres niniejszego rozporządzenia powinno odbywać się z poszanowaniem ochrony poufnych danych biznesowych oraz tajemnic przedsiębiorstw. 

(10)Udostępnianie danych klienta wchodzące w zakres niniejszego rozporządzenia powinno opierać się na zezwoleniu klienta. Wraz ze zwróceniem się przez klienta z wnioskiem o udostępnienie jego danych użytkownikowi danych powinien powstać prawny obowiązek posiadacza danych do udostępnienia danych klienta. Wniosek ten może przedłożyć użytkownik danych działający w imieniu klienta. Jeżeli wiąże się to z przetwarzaniem danych osobowych, użytkownik danych powinien posiadać ważną, zgodną z prawem podstawę przetwarzania zgodnie z rozporządzeniem (UE) 2016/679. Dane klienta można przetwarzać w uzgodnionych celach w kontekście świadczonej usługi. Przetwarzanie danych osobowych musi odbywać się zgodnie z zasadami ochrony danych osobowych, w tym z zasadami zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu i minimalizacji danych. Klient ma prawo wycofać zezwolenie udzielone użytkownikowi danych. Jeżeli przetwarzanie danych jest niezbędne do wykonania umowy, klient powinien mieć możliwość wycofania zezwoleń zgodnie z zobowiązaniami wynikającymi z umowy, której stroną jest osoba, której dane dotyczą. W przypadku gdy przetwarzanie danych osobowych odbywa się na podstawie zgody, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, jak przewidziano w rozporządzeniu (UE) 2016/679.

(11)Umożliwienie klientom udostępnienia ich danych na temat ich obecnych inwestycji może pobudzić innowacje w obszarze świadczenia detalicznych usług inwestycyjnych. Gromadzenie danych pierwotnych w celu przeprowadzenia oceny odpowiedniości i stosowności inwestora detalicznego jest czasochłonne dla klienta i stanowi znaczący składnik kosztów w odniesieniu do doradców i dystrybutorów inwestycji, emerytur i ubezpieczeniowych produktów inwestycyjnych. Udostępnianie danych klienta dotyczących posiadanych oszczędności i inwestycji w instrumenty finansowe, w tym w ubezpieczeniowe produkty inwestycyjne, oraz danych zgromadzonych do celów przeprowadzenia oceny odpowiedniości i adekwatności może usprawnić doradztwo inwestycyjne dla konsumentów i ma znaczny potencjał innowacyjny, między innymi w odniesieniu do rozwoju spersonalizowanego doradztwa inwestycyjnego oraz narzędzi zarządzania inwestycjami, które mogą zwiększyć skuteczność detalicznego doradztwa inwestycyjnego. Takie narzędzia zarządzania są już opracowywane na rynku i mogą rozwijać się skuteczniej w środowisku, w którym klient ma możliwość udostępniania swoich danych związanych z inwestycjami.

(12)Dane klienta dotyczące salda, warunków lub szczegółów transakcji związanych z hipotekami, pożyczkami i oszczędnościami mogą umożliwić klientom uzyskanie lepszego wglądu w ich depozyty oraz lepiej odpowiedzieć na swoje potrzeby w zakresie oszczędzania na podstawie danych kredytowych. Niniejsze rozporządzenie powinno obejmować dane klienta wykraczające poza zakres danych dotyczących rachunków płatniczych zdefiniowanych w dyrektywie (UE) 2015/2366. W zakres niniejszego rozporządzenia powinny wchodzić rachunki kredytowe mające pokrycie w linii kredytowej, których nie można wykorzystywać do celów przeprowadzenia transakcji płatniczych na rzecz osób trzecich. Należy zatem rozumieć, że niniejsze rozporządzenie obejmuje dostęp do salda, warunków lub szczegółów transakcji związanych z umowami o kredyt hipoteczny, pożyczkami i rachunkami oszczędnościowymi, a także rodzajami rachunków nieobjętych zakresem dyrektywy (UE) 2015/2366 11 . 

(13)Dane klienta wchodzące w zakres niniejszego rozporządzenia powinny obejmować informacje związane ze zrównoważonym rozwojem, które powinny zapewniać klientom łatwiejszy dostęp do usług finansowych dopasowanych do ich preferencji w zakresie zrównoważonego rozwoju i potrzeb w zakresie zrównoważonego finansowania, zgodnie z przedstawioną przez Komisję strategią finansowania transformacji w stronę gospodarki zrównoważonej 12 . Dostęp do danych związanych ze zrównoważonym rozwojem, które mogą być zawarte w szczegółowych danych dotyczących salda lub transakcji związanych z hipoteką, kredytem, pożyczką i rachunkiem oszczędnościowym, a także dostęp do danych klienta związanych ze zrównoważonym rozwojem będących w posiadaniu firm inwestycyjnych mogą przyczynić się do ułatwienia dostępu do danych niezbędnego, aby uzyskać dostęp do zrównoważonego finansowania lub przeprowadzania inwestycji w zieloną transformację. Ponadto dane klienta objęte zakresem niniejszego rozporządzenia powinny obejmować dane będące częścią oceny zdolności kredytowej dotyczącej firm, w tym małych i średnich przedsiębiorstw, które mogą zapewnić lepszy wgląd w cele małych firm w zakresie zrównoważonego rozwoju. Uwzględnienie danych wykorzystywanych do oceny zdolności kredytowej dotyczącej firm powinno poprawić dostęp do finansowania i usprawnić wnioskowanie o pożyczki. Takie dane powinny być ograniczone do danych na temat firm i nie powinny naruszać praw własności intelektualnej.

(14)Dane klienta związane ze świadczeniem ubezpieczenia innego niż ubezpieczenie na życie mają kluczowe znaczenie dla zapewnienia produktów i usług ubezpieczeniowych istotnych dla zaspokojenia potrzeb klienta, takich jak ochrona domów, pojazdów i innego mienia. Jednocześnie gromadzenie takich danych jest często uciążliwe i kosztowne i może zniechęcać klientów do poszukiwania optymalnej ochrony ubezpieczeniowej. Aby rozwiązać ten problem, należy zatem uwzględnić takie usługi finansowe w zakresie niniejszego rozporządzenia. Dane klienta dotyczące produktów ubezpieczeniowych wchodzące w zakres niniejszego rozporządzenia powinny obejmować zarówno informacje na temat produktów ubezpieczeniowych, takich jak szczegóły dotyczące ochrony ubezpieczeniowej, jak i dane odnoszące się konkretnie do ubezpieczonych aktywów konsumentów, które są gromadzone do celów przeprowadzenia testu wymagań i potrzeb. Udostępnianie takich danych powinno umożliwić rozwój spersonalizowanych narzędzi dla klientów, między innymi paneli dotyczących ubezpieczeń, które mogłyby pomóc konsumentom lepiej zarządzać ryzykiem. Mogłoby to również pomóc klientom w uzyskaniu produktów, które są lepiej dostosowane do ich wymagań i potrzeb, w tym dzięki bardziej wartościowemu doradztwu. Może to przyczynić się do bardziej optymalnej ochrony ubezpieczeniowej klientów oraz większego włączenia finansowego konsumentów, których potrzeby w przeciwnym razie byłyby niewystarczająco uwzględniane, dzięki oferowaniu nowej lub większej ochrony. Ponadto udostępnianie danych dotyczących ubezpieczenia może przynieść korzyści w odniesieniu do skuteczniejszego świadczenia usług ubezpieczeniowych, w tym w szczególności na etapach projektowania produktu, ubezpieczania, wykonywania umowy, między innymi obsługi roszczeń, i ograniczania ryzyka.

(15)Udostępnianie danych na temat zakładowych i indywidualnych oszczędności emerytalnych ma znaczny potencjał innowacyjny dla konsumentów. Osoby oszczędzające na emeryturę często nie mają wystarczającej wiedzy na temat swoich uprawnień emerytalnych, co jest związane z faktem, że dane na temat takich uprawnień są często rozproszone między różnymi posiadaczami danych. Udostępnianie danych związanych z zakładowymi i indywidualnymi oszczędnościami emerytalnymi powinno przyczynić się do opracowania narzędzi monitorowania uprawnień emerytalnych, które zapewniają osobom oszczędzającym kompleksowy przegląd ich uprawnień oraz dochodu emerytalnego zarówno w konkretnym państwie członkowskim, jak i w ujęciu transgranicznym w całej Unii. Dane na temat uprawnień emerytalnych dotyczą w szczególności nabytych uprawnień emerytalnych, prognozowanego poziomu świadczeń emerytalnych, ryzyka oraz gwarancji uczestników i beneficjentów pracowniczych programów emerytalnych. Dostęp do danych związanych z emeryturami zakładowymi pozostaje bez uszczerbku dla krajowego prawa socjalnego i prawa pracy w zakresie organizacji systemów emerytalnych, w tym uczestnictwa w programach oraz wyników układów zbiorowych pracy.

(16)Dane będące częścią oceny zdolności kredytowej firmy wchodzące w zakres niniejszego rozporządzenia powinny obejmować informacje, które firma przekazuje instytucjom i wierzycielom w ramach procesu składania wniosku o pożyczkę lub wniosku o rating kredytowy. Obejmuje to wnioski o pożyczki składane przez mikro-, małe, średnie i duże przedsiębiorstwa. Mogą one uwzględniać dane zgromadzone przez instytucje i wierzycieli, jak określono w załączniku II do wytycznych Europejskiego Urzędu Nadzoru Bankowego dotyczących udzielania kredytów i ich monitorowania 13 . Takie dane mogą obejmować sprawozdania finansowe i prognozy, informacje na temat zobowiązań finansowych i zaległych płatności, dowody potwierdzające własność zabezpieczenia, dowody potwierdzające prawo własności zabezpieczenia oraz informacje na temat gwarancji. Dodatkowe dane mogą być istotne, jeżeli cel wniosku o pożyczkę jest związany z nabyciem nieruchomości komercyjnej lub z działalnością deweloperską.

(17)Z uwagi na fakt, że niniejsze rozporządzenie ma na celu zobowiązanie instytucji finansowych do zapewniania dostępu do określonych kategorii danych na wniosek klienta w przypadku gdy działają jako posiadacze danych oraz umożliwienie udostępniania danych na podstawie zezwolenia klienta w przypadku gdy instytucje finansowe działają jako użytkownicy danych, należy przedstawić wykaz instytucji finansowych, które mogą działać jako posiadacz danych, użytkownik danych albo w obu tych rolach. Należy zatem rozumieć, że instytucje finansowe oznaczają te podmioty, które dostarczają produkty finansowe i świadczą usługi finansowe lub oferują istotne usługi dostępu do informacji klientom w sektorze finansowym.

(18)Praktyki stosowane przez użytkowników danych polegające na łączeniu nowych i tradycyjnych źródeł danych klienta wchodzące w zakres niniejszego rozporządzenia muszą być proporcjonalne, aby zapewnić, że nie prowadzą do ryzyka wykluczenia finansowego dla konsumentów. Praktyki, które prowadzą do bardziej zaawansowanej lub kompleksowej analizy pewnych wrażliwych grup konsumentów, między innymi osób o niskich dochodach, mogą zwiększać ryzyko niesprawiedliwych warunków lub praktyk różnicowania cen, takich jak pobieranie zróżnicowanych składek. Możliwość potencjalnego wykluczenia wzrasta w przypadku dostarczania produktów i świadczenia usług, których ceny ustalane są na podstawie profilu konsumenta, zwłaszcza w przypadku punktowej oceny kredytowej oraz oceny zdolności kredytowej osób fizycznych, a także produktów i usług związanych z oceną ryzyka i ustalaniem cen w odniesieniu do osób fizycznych w przypadku ubezpieczenia na życie i ubezpieczenia zdrowotnego. Biorąc pod uwagę ryzyko, korzystanie z danych dotyczących tych produktów i usług powinno podlegać szczególnym wymogom, aby chronić konsumentów i ich prawa podstawowe.

(19)Zakres wykorzystania danych ustalony w niniejszym rozporządzeniu oraz w towarzyszących mu wytycznych („wytyczne”), które mają zostać opracowane przez Europejski Urząd Nadzoru Bankowego (EUNB) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), powinien zapewniać zatem proporcjonalne ramy dotyczące sposobu wykorzystywania danych osobowych związanych z konsumentem, które wchodzą w zakres niniejszego rozporządzenia. Zakres wykorzystania danych zapewnia spójność między zakresem niniejszego rozporządzenia, z którego wykluczono dane będące częścią oceny zdolności kredytowej konsumenta, a także dane związane z ubezpieczeniem na życie, ubezpieczeniem zdrowotnym i chorobowym konsumenta, a zakresem wytycznych, w których określa się zalecenia dotyczące możliwego sposobu wykorzystania rodzajów danych pochodzących z innych obszarów sektora finansowego objętych zakresem niniejszego rozporządzenia do zapewnienia takich produktów i świadczenia takich usług. W wytycznych opracowanych przez EUNB należy określić sposób wykorzystania innych rodzajów danych objętych zakresem niniejszego rozporządzenia do sporządzania punktowej oceny kredytowej konsumenta. W wytycznych opracowanych przez EIOPA należy również wskazać sposób wykorzystania danych objętych zakresem niniejszego rozporządzenia w odniesieniu do produktów i usług związanych z oceną ryzyka i ustalaniem cen w przypadku produktów związanych z ubezpieczeniem na życie, ubezpieczeniem zdrowotnym i chorobowym. Wytyczne należy opracować w sposób dostosowany do potrzeb konsumenta i proporcjonalny do zapewnienia takich produktów i świadczenia takich usług.

(20)EUNB i EIOPA powinny ściśle współpracować z Europejską Radą Ochrony Danych podczas opracowywania projektu wytycznych, które powinny opierać się na istniejących zaleceniach dotyczących wykorzystywania informacji konsumenta w obszarze kredytu konsumenckiego i hipotecznego, zwłaszcza zasadach wykorzystywania oceny zdolności kredytowej zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2008/48/WE z dnia 23 kwietnia 2008 r. w sprawie umów o kredyt konsumencki oraz uchylającą dyrektywę Rady 87/102/EWG, wytycznych Europejskiego Urzędu Nadzoru Bankowego dotyczących udzielania i monitorowania kredytów oraz wytycznych Europejskiego Urzędu Nadzoru Bankowego w sprawie oceny zdolności kredytowej opracowanych na podstawie dyrektywy 2014/17/UE, a także wytycznych przedstawionych przez Europejską Radę Ochrony Danych dotyczących przetwarzania danych osobowych.

(21)Klienci muszą sprawować skuteczną kontrolę nad swoimi danymi oraz muszą mieć zaufanie w odniesieniu do zarządzania zezwoleniami, których udzielili zgodnie z niniejszym rozporządzeniem. W związku z tym należy wymagać, by posiadacze danych udostępniali klientom wspólne i spójne panele do zarządzania zezwoleniami w ramach otwartych finansów. Panel do zarządzania zezwoleniami powinien zapewnić klientowi prawo do świadomego i bezstronnego zarządzania swoimi zezwoleniami oraz skuteczny środek kontroli nad sposobem wykorzystywania swoich danych osobowych i nieosobowych. Panel nie powinien być skonstruowany w sposób, który mógłby zachęcać klienta do przyznawania lub wycofywania zezwoleń lub wywierać na niego w tym celu nieuzasadniony wpływ. Panel do zarządzania zezwoleniami powinien w stosownych przypadkach uwzględniać wymogi dostępności określone w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2019/882 14 . Przy udostępnianiu paneli do zarządzania zezwoleniami posiadacze danych mogą korzystać z notyfikowanego systemu identyfikacji elektronicznej i usługi zaufania, takiego jak europejski portfel tożsamości cyfrowej wydany przez państwo członkowskie, który wprowadzono we wniosku zmieniającym rozporządzenie (UE) nr 910/2014 w odniesieniu do ustanowienia europejskich ram tożsamości cyfrowej 15 . Posiadacze danych mogą również korzystać z dostawców usług pośrednictwa danych określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/868 16 w celu zapewnienia paneli do zarządzania zezwoleniami spełniających wymogi niniejszego rozporządzenia.

(22)Panel do zarządzania zezwoleniami powinien wyświetlać zezwolenia udzielone przez klienta, w tym w przypadku gdy dane osobowe udostępniane są na podstawie zgody lub gdy jest to niezbędne w celu wykonania umowy. Panel do zarządzania zezwoleniami powinien ostrzegać klienta w standardowy sposób o ryzyku związanym z potencjalnymi umownymi konsekwencjami wycofania zezwolenia, ale klient powinien pozostawać odpowiedzialny za zarządzanie takim ryzykiem. Panel do zarządzania zezwoleniami powinien służyć do zarządzania istniejącymi zezwoleniami. Posiadacze danych powinni informować użytkowników danych w czasie rzeczywistym o każdym wycofaniu zezwolenia. Panel do zarządzania zezwoleniami powinien zawierać rejestr zezwoleń, które zostały wycofane lub wygasły, obejmujący okres do dwóch lat, aby umożliwić klientowi śledzenie udzielonych przez siebie zezwoleń w sposób świadomy i bezstronny. Użytkownicy danych powinni informować posiadaczy danych w czasie rzeczywistym o nowych i przywróconych zezwoleniach udzielonych przez klientów, podając okres obowiązywania danego zezwolenia i krótkie podsumowanie jego celu. Informacje podawane na panelu do zarządzania zezwoleniami pozostają bez uszczerbku dla wymogów informacyjnych wynikających z rozporządzenia (UE) 2016/679.

(23)Aby zapewnić proporcjonalność, niektóre instytucje finansowe nie zostały objęte zakresem niniejszego rozporządzenia z powodów związanych z ich wielkością lub świadczonymi przez nie usługami, co utrudniłoby przestrzeganie przepisów niniejszego rozporządzenia. Należą do nich instytucje pracowniczych programów emerytalnych, które obsługują programy emerytalne liczące łącznie nie więcej niż 15 uczestników, a także pośrednicy ubezpieczeniowi, którzy są mikroprzedsiębiorstwami bądź małymi lub średnimi przedsiębiorstwami. Ponadto małe lub średnie przedsiębiorstwa działające jako posiadacze danych, którzy są objęci zakresem niniejszego rozporządzenia, powinny mieć możliwość wspólnego stworzenia interfejsu programowania aplikacji, ograniczając w ten sposób koszty każdego z nich. Mogą one również korzystać z usług zewnętrznych dostawców technologii, którzy obsługują interfejsy programowania aplikacji w sposób zbiorczy dla instytucji finansowych i mogą pobierać od nich jedynie niską stałą opłatę za użytkowanie i pracować w dużej mierze na zasadzie „pay-per-call” (z ang. „płatność za połączenie”).

(24)W niniejszym rozporządzeniu wprowadzono nowy obowiązek prawny w stosunku do instytucji finansowych działających jako posiadacze danych do udostępniania określonych kategorii danych na wniosek klienta. Nałożony na posiadaczy danych obowiązek udostępniania danych na wniosek klienta należy określić poprzez udostępnienie ogólnie uznanych standardów, aby zapewnić również wystarczająco wysoką jakość udostępnianych danych. Posiadacz danych powinien udostępniać dane klienta w sposób ciągły w celach i na warunkach, w związku z którymi dany klient udzielił zezwolenia użytkownikowi danych. Ciągły dostęp może obejmować wiele wniosków o udostępnienie danych klienta w celu realizacji usługi uzgodnionej z danym klientem. Może to być również jednorazowy dostęp do danych klienta. Chociaż posiadacz danych odpowiada za dostępność interfejsu i jego odpowiednią jakość, interfejs może być udostępniony nie tylko przez posiadacza danych, ale także przez inną instytucję finansową, zewnętrznego dostawcę usług IT, stowarzyszenie branżowe lub grupę instytucji finansowych, lub przez organ publiczny w państwie członkowskim. W przypadku instytucji pracowniczych programów emerytalnych interfejs można zintegrować z panelami dotyczącymi emerytur, które obejmują szerszy zakres informacji, o ile jest to zgodne z wymogami niniejszego rozporządzenia.

(25)Aby umożliwić umowną i techniczną interakcję niezbędną do celów wdrożenia dostępu do danych wśród wielu instytucji finansowych, posiadacze i użytkownicy danych powinni być zobowiązani do uczestnictwa w systemach udostępniania danych finansowych. W ramach tych systemów należy opracować standardy danych i interfejsów, wspólne standaryzowane ramy umowne regulujące dostęp do określonych zbiorów danych oraz zasady zarządzania związane z udostępnianiem danych. Aby zapewnić skuteczne funkcjonowanie tych systemów, konieczne jest ustanowienie ogólnych zasad zarządzania nimi, w tym zasad dotyczących zarządzania integracyjnego oraz uczestnictwa posiadaczy danych, użytkowników danych i klientów (w celu zapewnienia zrównoważonej reprezentacji w tych systemach), wymogów dotyczących przejrzystości oraz dobrze funkcjonującej procedury odwoławczej i procedury przeglądu (w szczególności w odniesieniu do podejmowania decyzji w ramach wspomnianych systemów). Systemy udostępniania danych finansowych muszą być zgodne z przepisami unijnymi w zakresie ochrony konsumentów oraz ochrony danych, prywatności i konkurencji. Uczestników takich systemów zachęca się także do sporządzania kodeksów postępowania podobnych do tych przygotowywanych przez administratorów i podmioty przetwarzające na podstawie art. 40 rozporządzenia (UE) 2016/679. Chociaż podstawę takich systemów mogą stanowić istniejące inicjatywy rynkowe, wymogi określone w niniejszym rozporządzeniu powinny być specyficzne dla systemów udostępniania danych finansowych lub ich części, które uczestnicy rynku wykorzystują do wypełniania swoich obowiązków wynikających z niniejszego rozporządzenia po dacie rozpoczęcia stosowania tych obowiązków.

(26)System udostępniania danych finansowych powinien obejmować umowę zbiorową między posiadaczami danych a użytkownikami danych, której celem jest promowanie efektywności i innowacji technicznych w zakresie udostępniania danych finansowych z korzyścią dla klientów. Zgodnie z przepisami unijnymi dotyczącymi konkurencji na uczestników systemu udostępniania danych finansowych należy nakładać jedynie ograniczenia, które są niezbędne do osiągnięcia jego celów i które są proporcjonalne do tych celów. Nie należy dawać jego uczestnikom możliwości zapobiegania konkurencji, jej ograniczania lub zakłócania w odniesieniu do znacznej części rynku właściwego.

(27)W celu zapewnienia skuteczności niniejszego rozporządzenia należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej w odniesieniu do określania zasad i cech systemu udostępniania danych finansowych, w przypadku gdy systemu nie opracowali posiadacze i użytkownicy danych. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja przeprowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 17 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(28)Posiadacze i użytkownicy danych powinni mieć możliwość korzystania z istniejących standardów rynkowych przy opracowywaniu wspólnych standardów obowiązkowego udostępniania danych.

(29)W celu zapewnienia, aby posiadacze danych byli zainteresowani zapewnieniem wysokiej jakości interfejsów do celów udostępniania danych użytkownikom danych, posiadacze ci powinni mieć możliwość żądania od tych użytkowników rozsądnej opłaty za wprowadzenie interfejsów programowania aplikacji. Ułatwianie dostępu do danych za opłatą zapewniłoby sprawiedliwy podział powiązanych kosztów między posiadaczami a użytkownikami danych w łańcuchu wartości danych. W przypadkach gdy użytkownikiem danych jest MŚP należy zapewnić proporcjonalność w stosunku do mniejszych uczestników rynku w drodze ścisłego ograniczenia opłaty do kosztów poniesionych na potrzeby ułatwienia dostępu do danych. Model ustalania poziomu opłaty należy określić w ramach systemów udostępniania danych finansowych zgodnie z niniejszym rozporządzeniem.

(30)Klienci powinni wiedzieć, jakie są ich prawa w przypadku wystąpienia problemów związanych z udostępnianiem danych i do kogo należy się zwrócić w celu uzyskania odszkodowania. Na uczestników systemu udostępniania danych finansowych, w tym posiadaczy i użytkowników danych, należy nałożyć wymogi dotyczące uzgodnienia odpowiedzialności umownej za naruszenie ochrony danych, a także sposobu rozstrzygania potencjalnych sporów między posiadaczami a użytkownikami danych dotyczących odpowiedzialności. W ramach tych wymogów należy skoncentrować się na ustanowieniu, w przypadku każdej umowy, zasad dotyczących odpowiedzialności, a także jasnych obowiązków i praw w celu ustalenia, czy ciężar odpowiedzialności spoczywa na posiadaczu czy użytkowniku danych. Kwestie odpowiedzialności związane z konsumentami jako osobami, których dane dotyczą, powinny opierać się na rozporządzeniu (UE) 2016/679, w szczególności na prawie do odszkodowania i odpowiedzialności na podstawie art. 82 tego rozporządzenia.

(31)Aby promować ochronę konsumentów, zwiększyć zaufanie klientów i zapewnić równe warunki działania, konieczne jest ustanowienie zasad dotyczących tego, kto jest uprawniony do dostępu do danych klienta. Takie zasady powinny służyć zapewnieniu, aby wszyscy użytkownicy danych byli upoważnieni i nadzorowani przez właściwe organy. W ten sposób zapewniono by dostęp do danych wyłącznie regulowanym instytucjom finansowym lub firmom podlegającym specjalnemu zezwoleniu jako dostawcom usług z zakresu informacji finansowych, którzy podlegają przepisom niniejszego rozporządzenia. Na potrzeby ochrony stabilności finansowej, integralności rynku i ochrony konsumentów niezbędne są zasady kwalifikowalności dotyczące dostawców usług z zakresu informacji finansowych, ponieważ dostawcy ci dostarczaliby produkty i usługi finansowe klientom w Unii i uzyskiwaliby dostęp do danych będących w posiadaniu instytucji finansowych i w przypadku których uczciwość ma zasadnicze znaczenie dla zachowania zdolności tych instytucji finansowych do dalszego świadczenia usług finansowych w bezpieczny i należyty sposób. Takie zasady są również wymagane w celu zagwarantowania właściwego nadzoru nad powyższymi dostawcami przez właściwe organy zgodnie z ich mandatem do ochrony stabilności i integralności finansowej w Unii, co umożliwiłoby tym dostawcom świadczenie w całej Unii usług, na które posiadają zezwolenie.

(32)Użytkownicy danych objęci zakresem niniejszego rozporządzenia powinni podlegać wymogom rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 18 i w związku z tym być zobowiązani do posiadania solidnych standardów cyberodporności w celu prowadzenia działalności. Obejmuje to posiadanie kompleksowych umiejętności umożliwiających solidne i skuteczne zarządzanie ryzykiem związanym z ICT, wraz z konkretnymi mechanizmami oraz strategiami dotyczącymi obsługi wszystkich incydentów związanych z ICT oraz zgłaszania najpoważniejszych z nich. Użytkownicy danych upoważnieni i nadzorowani jako dostawcy usług z zakresu informacji finansowych na podstawie niniejszego rozporządzenia powinni przyjąć to samo podejście i stosować się do tych samych, opartych na zasadach przepisów przy zwalczaniu ryzyka związanego z ICT, uwzględniając przy tym swoją wielkość i ogólny profil ryzyka oraz charakter, skalę i stopień złożoności realizowanych usług, działań i operacji. Dostawców usług z zakresu informacji finansowych należy zatem objąć zakresem stosowania rozporządzenia (UE) 2022/2554.

(33)Aby umożliwić skuteczny nadzór i wyeliminować możliwość uchylania się od nadzoru lub jego obchodzenia, dostawcy usług z zakresu informacji finansowych muszą być utworzeni zgodnie z prawem Unii lub, w przypadku gdy zostali utworzeni w państwie trzecim, muszą wyznaczyć przedstawiciela prawnego w Unii. Skuteczny nadzór ze strony właściwych organów jest niezbędny do egzekwowania wymogów określonych w niniejszym rozporządzeniu w celu zapewnienia integralności i stabilności systemu finansowego oraz ochrony konsumentów. Wymóg utworzenia zgodnie z prawem Unii dostawców usług z zakresu informacji finansowych lub wyznaczenia przez nich przedstawiciela prawnego w Unii nie przekłada się na lokalizację danych, ponieważ niniejsze rozporządzenie nie pociąga za sobą żadnych dalszych wymogów w zakresie dokonywania w Unii przetwarzania danych, w tym ich przechowywania.

(34)Dostawca usług z zakresu informacji finansowych powinien uzyskać zezwolenie w jurysdykcji państwa członkowskiego, w którym znajduje się jego główna jednostka organizacyjna, tj. w którym dostawca ten ma swoją siedzibę zarządu lub siedzibę statutową, w ramach której sprawowane są główne funkcje i kontrola operacyjna. W odniesieniu do dostawców usług z zakresu informacji finansowych, którzy nie mają siedziby w Unii, ale wnioskują o dostęp do danych w Unii i w związku z tym są objęci zakresem niniejszego rozporządzenia, jurysdykcję powinno sprawować państwo członkowskie, w którym ci dostawcy wyznaczyli przedstawiciela prawnego, biorąc pod uwagę funkcję przedstawicieli prawnych określoną w niniejszym rozporządzeniu.

(35)Aby ułatwić przejrzystość w odniesieniu do dostępu do danych oraz dostawców usług z zakresu informacji finansowych, EUNB powinien ustanowić rejestr takich dostawców upoważnionych na podstawie niniejszego rozporządzenia, a także systemów udostępniania danych finansowych uzgodnionych między posiadaczami a użytkownikami danych.

(36)Właściwym organom należy przyznać uprawnienia niezbędne do nadzorowania sposobu, w jaki uczestnicy rynku wywiązują się z obowiązku zapewnienia przez posiadaczy danych dostępu do danych klienta ustanowionego w niniejszym rozporządzeniu, a także do nadzorowania dostawców usług z zakresu informacji finansowych. Dostęp do odpowiednich rejestrów przesyłu danych będących w posiadaniu operatora telekomunikacyjnego, jak również możliwość zajęcia odpowiednich dokumentów na terenie przedsiębiorstwa są ważnymi i niezbędnymi uprawnieniami z myślą o wykrywaniu i udowadnianiu istnienia naruszeń niniejszego rozporządzenia. Właściwe organy powinny zatem posiadać uprawnienia do żądania takich rejestrów, jeżeli są one istotne dla dochodzenia, o ile zezwala na to prawo krajowe. Właściwe organy powinny także współpracować z organami nadzoru ustanowionymi na podstawie rozporządzenia (UE) 2016/679 przy wykonywaniu ich zadań i uprawnień zgodnie z tym rozporządzeniem. 

(37)Ponieważ instytucje finansowe i dostawcy usług z zakresu informacji finansowych mogą mieć siedziby w różnych państwach członkowskich oraz podlegać nadzorowi różnych właściwych organów, należy ułatwić stosowanie niniejszego rozporządzenia poprzez ścisłą współpracę pomiędzy odpowiednimi właściwymi organami, w drodze wzajemnej wymiany informacji i dzięki zapewnieniu pomocy w kontekście odpowiedniej działalności nadzorczej.

(38)Aby zapewnić równe warunki działania w obszarze uprawnień do nakładania sankcji, należy zobowiązać państwa członkowskie do ustanowienia skutecznych, proporcjonalnych i odstraszających kar administracyjnych, w tym okresowych kar pieniężnych i środków administracyjnych w związku z naruszeniem przepisów niniejszego rozporządzenia. Przedmiotowe kary administracyjne, okresowe kary pieniężne i środki administracyjne powinny spełniać pewne minimalne wymogi, w tym w zakresie minimalnych uprawnień, które należy przyznać właściwym organom, aby mogły je nakładać, kryteriów, które właściwe organy powinny brać pod uwagę przy ich nakładaniu, a także zobowiązania do publikacji i składania sprawozdań. Państwa członkowskie powinny ustanowić przepisy szczegółowe i skuteczne mechanizmy dotyczące stosowania okresowych kar pieniężnych.

(39)Oprócz kar i środków administracyjnych właściwe organy powinny być uprawnione do nakładania okresowych kar pieniężnych na dostawców usług z zakresu informacji finansowych i na tych członków ich organów zarządzających, w przypadku których ustalono, że są odpowiedzialni za trwające naruszenie lub którzy są zobowiązani do wykonania nakazu właściwego organu prowadzącego dochodzenie. Ponieważ celem okresowych kar pieniężnych jest nakłonienie osób fizycznych lub prawnych do zastosowania się do polecenia właściwego organu, na przykład do wyrażenia zgody na przesłuchanie lub udzielenie informacji lub do położenia kresu trwającemu naruszeniu, stosowanie okresowych kar pieniężnych nie powinno uniemożliwiać właściwym organom nakładania kolejnych kar administracyjnych za to samo naruszenie. O ile państwa członkowskie nie postanowią inaczej, okresowe kary pieniężne powinny być naliczane codziennie.

(40)W wielu państwach członkowskich występują formy przyspieszonego postępowania egzekucyjnego lub ugody – niezależnie od ich nazw w prawie krajowym – i stosuje się je jako alternatywę dla formalnego postępowania prowadzącego do nałożenia kar. Przyspieszone postępowanie egzekucyjne zwykle rozpoczyna się po zakończeniu dochodzenia i podjęciu decyzji o wszczęciu postępowania prowadzącego do nałożenia kar. Przyspieszone postępowanie egzekucyjne charakteryzuje się tym, że jest krótsze niż formalne, ze względu na uproszczone etapy proceduralne. W ramach ugody strony objęte dochodzeniem prowadzonym przez właściwy organ zazwyczaj zgadzają się na wcześniejsze zakończenie tego dochodzenia, w większości przypadków przez przyjęcie odpowiedzialności za nadużycie.

(41)Chociaż dążenie do harmonizacji na poziomie Unii takich przyspieszonych postępowań egzekucyjnych wprowadzonych przez wiele państw członkowskich nie wydaje się właściwe ze względu na zróżnicowane podejścia prawne przyjęte na poziomie krajowym, należy uznać, że takie metody umożliwiają właściwym organom, które mogą je stosować, prowadzenie spraw o naruszenie w szybszy, mniej kosztowny i ogólnie skuteczny sposób w określonych okolicznościach, a zatem należy wspierać stosowanie takich metod. Państwa członkowskie nie powinny jednak mieć obowiązku wprowadzenia takich metod egzekwowania prawa do swoich ram prawnych ani właściwe organy nie powinny być zobowiązane do ich stosowania, jeśli nie uznają tego za stosowne. W przypadku gdy państwa członkowskie zdecydują się upoważnić właściwe organy do stosowania takich metod egzekwowania prawa, państwa te powinny powiadomić Komisję o takiej decyzji oraz o odpowiednich środkach regulujących takie uprawnienia.

(42)W celu zaradzenia sytuacji w przypadku naruszenia właściwe organy krajowe powinny być upoważnione przez państwa członkowskie do nakładania w razie potrzeby kar administracyjnych i stosowania środków administracyjnych w przypadku dostawców usług z zakresu informacji finansowych oraz innych osób fizycznych lub prawnych. Zakres kar i środków powinien być wystarczająco szeroki, aby umożliwić państwom członkowskim i właściwym organom uwzględnianie różnic między dostawcami usług z zakresu informacji finansowych pod względem ich wielkości, specyfiki i rodzaju działalności.

(43)Publikacja kary administracyjnej lub środka administracyjnego zastosowanych z tytułu naruszenia przepisów niniejszego rozporządzenia może mieć silny skutek odstraszający przed ponownym dopuszczeniem się takiego naruszenia. Publikacja zapewnia również innym podmiotom informację o ryzyku związanym z ukaranym dostawcą usług z zakresu informacji finansowych, zanim nawiążą oni relacje biznesowe, i ułatwia właściwym organom w innych państwach członkowskich określenie ryzyka związanego z danym dostawcą, gdy prowadzi on działalność transgraniczną w ich państwach członkowskich. Z tych powodów publikacja decyzji w sprawie kar administracyjnych i środków administracyjnych powinna być dozwolona, o ile dotyczy osób prawnych. Podejmując decyzję o publikacji kary administracyjnej lub środka administracyjnego, właściwe organy powinny wziąć pod uwagę wagę naruszenia i odstraszający skutek, jaki publikacja może wywołać. Każda taka publikacja odnosząca się do osób fizycznych może jednak w nieproporcjonalny sposób naruszać ich prawa wynikające z Karty praw podstawowych i obowiązujących przepisów Unii dotyczących ochrony danych. Publikacja powinna odbywać się w sposób zanonimizowany, chyba że właściwy organ uzna za konieczne – w celu skutecznego egzekwowania niniejszego rozporządzenia – opublikowanie decyzji zawierających dane osobowe, w tym oświadczeń publicznych lub tymczasowych zakazów. W takich przypadkach właściwy organ powinien uzasadnić swoją decyzję.

(44)Wymiana informacji i wzajemna pomoc pomiędzy właściwymi organami państw członkowskich ma zasadnicze znaczenie dla realizacji celów niniejszego rozporządzenia. W związku z tym współpraca między organami nie powinna podlegać nadmiernie restrykcyjnym warunkom.

(45)Transgraniczny dostęp do danych w odniesieniu do dostawców usług z zakresu informacji finansowych powinien być dozwolony zgodnie ze swobodą świadczenia usług lub swobodą przedsiębiorczości. Dostawca usług z zakresu informacji finansowych, który chce uzyskać dostęp do danych będących w posiadaniu posiadacza danych w innym państwie członkowskim, powinien zgłosić swój zamiar właściwemu organowi, podając informacje na temat rodzaju danych, do których chce uzyskać dostęp, systemu udostępniania danych finansowych, którego jest członkiem, oraz państw członkowskich, w których zamierza uzyskać dostęp do tych danych.

(46)Cele niniejszego rozporządzenia, a mianowicie zapewnienie klientowi skutecznej kontroli nad danymi oraz rozwiązanie kwestii braku praw dostępu do danych klienta będących w posiadaniu posiadaczy danych, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie ze względu na transgraniczny charakter tych celów, natomiast możliwe jest ich lepsze osiągnięcie na poziomie Unii przez stworzenie ram, dzięki którym można by rozwinąć większy rynek transgraniczny z dostępem do danych. Unia może zatem przyjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule, niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(47)We wniosku dotyczącym aktu w sprawie danych [rozporządzenie (UE) XX] ustanawia się horyzontalne ramy dostępu do danych i ich wykorzystywania w całej Unii. W niniejszym rozporządzeniu uzupełnia się i precyzuje przepisy określone we wniosku dotyczącym aktu w sprawie danych [rozporządzenie (UE) XX]. W związku z tym przepisy te mają również zastosowanie do udostępniania danych regulowanego niniejszym rozporządzeniem. Obejmuje to przepisy dotyczące warunków, na jakich posiadacze danych udostępniają dane odbiorcom danych, opłaty, organów rozstrzygających spory w celu ułatwienia zawierania umów między stronami udostępniającymi dane, technicznych środków ochrony, międzynarodowego dostępu do danych i ich przekazywania oraz dozwolonego wykorzystywania lub ujawniania danych.

(48)Rozporządzenie (UE) 2016/679 ma zastosowanie do przetwarzania danych osobowych. Przewidziano w nim prawa osoby, której dane dotyczą, w tym prawo dostępu i prawo do przenoszenia danych osobowych. Niniejsze rozporządzenie pozostaje bez uszczerbku dla praw osoby, której dane dotyczą, przewidzianych w rozporządzeniu (UE) 2016/679, w tym prawa dostępu i prawa do przenoszenia danych. W niniejszym rozporządzeniu nakłada się prawny obowiązek udostępniania danych osobowych i nieosobowych klienta na jego wniosek oraz nakazuje zapewnienie technicznej wykonalności dostępu i udostępniania wszystkich rodzajów danych objętych zakresem niniejszego rozporządzenia. Udzielenie zezwolenia przez klienta pozostaje bez uszczerbku dla obowiązków użytkowników danych wynikających z art. 6 rozporządzenia (UE) 2016/679. Dane osobowe, które udostępnia się użytkownikowi danych, należy przetwarzać wyłącznie na potrzeby usług świadczonych przez użytkownika danych, jeżeli istnieje ważna podstawa prawna zgodnie z art. 6 ust. 1 rozporządzenia (UE) 2016/679 oraz, w stosownych przypadkach, jeżeli spełnione są wymogi art. 9 tego rozporządzenia dotyczące przetwarzania szczególnych kategorii danych.

(49)Niniejsze rozporządzenie opiera się na przepisach dotyczących „otwartej bankowości” określonych w dyrektywie (UE) 2015/2366 i uzupełnia je, a także jest w pełni zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) .../202... w sprawie usług płatniczych i zmieniającym rozporządzenie (UE) nr 1093/2010 19 oraz dyrektywą Parlamentu Europejskiego i Rady (UE) .../202... w sprawie usług płatniczych i usług związanych z pieniądzem elektronicznym zmieniającą dyrektywy 2013/36/UE i 98/26/WE oraz uchylającą dyrektywy 2015/2355/UE i 2009/110/WE 20 . Inicjatywa ta stanowi uzupełnienie już istniejących przepisów dotyczących „otwartej bankowości” określonych w dyrektywie (UE) 2015/2366, które regulują dostęp do danych dotyczących rachunków płatniczych będących w posiadaniu dostawców usług płatniczych prowadzących rachunek. Podstawę powyższej inicjatywy stanowią doświadczenia zdobyte w zakresie „otwartej bankowości”, określone w przeglądzie dyrektywy (UE) 2015/2366 21 . Niniejsze rozporządzenie zapewnia spójność między dostępem do danych finansowych a otwartą bankowością w sytuacjach, w których konieczne są dodatkowe środki, w tym w odniesieniu do paneli do zarządzania zezwoleniami, prawnego obowiązku udzielania bezpośredniego dostępu do danych klienta oraz wymogu wprowadzenia interfejsów przez posiadaczy danych.

(50)Niniejsze rozporządzenie nie ma wpływu na przepisy dotyczące dostępu do danych i udostępniania danych w unijnym prawodawstwie dotyczącym usług finansowych, a mianowicie na następujące przepisy: (i) przepisy dotyczące dostępu do wskaźników oraz systemu dostępu dotyczącego giełdowych instrumentów pochodnych między systemami obrotu a kontrahentami centralnymi ustanowione w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 600/2014 22 ; (ii) przepisy dotyczące dostępu kredytodawców do bazy danych określone w dyrektywie Parlamentu Europejskiego i Rady 2014/17/UE 23 ; (iii) przepisy dotyczące dostępu do repozytoriów sekurytyzacji określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2017/2402 24 ; (iv) przepisy dotyczące prawa do wystąpienia z wnioskiem o wydanie oświadczenia o przebiegu ubezpieczenia oraz dostępu w centralnych archiwach do podstawowych danych, niezbędnych do likwidacji szkody, na podstawie dyrektywy Parlamentu Europejskiego i Rady 2009/103/WE 25 ; (v) prawo dostępu do wszystkich niezbędnych danych osobowych i przekazywania ich nowemu dostawcy ogólnoeuropejskiego indywidualnego produktu emerytalnego na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1238 26 ; oraz (vi) przepisy dotyczące outsourcingu i zależności określone w dyrektywie Parlamentu Europejskiego i Rady (UE) 2018/843 27 . Niniejsze rozporządzenie nie ma ponadto wpływu na stosowanie unijnych lub krajowych reguł konkurencji zawartych w Traktacie o funkcjonowaniu Unii Europejskiej ani żadnych unijnych aktów prawa wtórnego. Niniejsze rozporządzenie pozostaje również bez uszczerbku dla dostępu do danych, ich udostępniania i wykorzystywania bez stosowania obowiązków w zakresie dostępu do danych ustanowionych w niniejszym rozporządzeniu na czysto umownej podstawie.

(51)Ponieważ udostępnianie danych związanych z rachunkami płatniczymi jest regulowane w ramach innego systemu określonego w dyrektywie (UE) 2015/2366, za właściwe uznaje się ustanowienie w niniejszym rozporządzeniu klauzuli przeglądowej z myślą o zbadaniu przez Komisję, czy wprowadzenie przepisów na podstawie niniejszego rozporządzenia ma wpływ na sposób, w jaki dostawcy świadczący usługę dostępu do informacji o rachunku uzyskują dostęp do danych, oraz czy właściwe byłoby usprawnienie przepisów regulujących udostępnianie danych mających zastosowanie do tych dostawców.

(52)Biorąc pod uwagę, że EUNB, EIOPA i ESMA powinny korzystać ze swoich uprawnień w odniesieniu do dostawców usług z zakresu informacji finansowych, należy zapewnić, aby były one w stanie korzystać ze wszystkich uprawnień i wykonywać wszystkie zadania, aby realizować swoje cele w zakresie ochrony interesu publicznego poprzez przyczynianie się do krótko-, średnio- i długoterminowej stabilności i skuteczności systemu finansowego, z korzyścią dla gospodarki Unii, jej obywateli i przedsiębiorstw, a także aby gwarantować objęcie wspomnianych dostawców rozporządzeniami Parlamentu Europejskiego i Rady (UE) nr 1093/2010 28 , (UE) nr 1094/2010 29 i (UE) nr 1095/2010 30 . W związku z tym rozporządzenia te należy odpowiednio zmienić.

(53)W celu umożliwienia przyjęcia regulacyjnych standardów technicznych i aktów delegowanych niezbędnych do doprecyzowania niektórych elementów niniejszego rozporządzenia należy odroczyć datę rozpoczęcia stosowania niniejszego rozporządzenia o XX miesięcy.

(54)Zgodnie z art. 42 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 31 skonsultowano się z Europejskim Inspektorem Ochrony Danych; swoją opinię wydał on w dniu [……….],

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

TYTUŁ I
Przedmiot, zakres i definicje

Artykuł 1
Przedmiot

W niniejszym rozporządzeniu ustanawia się przepisy dotyczące dostępu do niektórych kategorii danych klienta w usługach finansowych oraz udostępniania i wykorzystywania tych danych.

Rozporządzenie to służy także ustanowieniu zasad dotyczących prowadzenia działalności przez dostawców usług z zakresu informacji finansowych i udzielania im zezwoleń.

Artykuł 2
Zakres

1.Niniejsze rozporządzenie ma zastosowanie do następujących kategorii danych klienta dotyczących:

a)umów o kredyt hipoteczny, pożyczek i rachunków, z wyjątkiem rachunków płatniczych określonych w dyrektywie w sprawie usług płatniczych (UE) 2015/2366, w tym danych dotyczących salda, warunków i transakcji;

b)oszczędności, inwestycji w instrumenty finansowe, ubezpieczeniowych produktów inwestycyjnych, kryptoaktywów, nieruchomości i innych powiązanych aktywów finansowych, a także korzyści gospodarczych uzyskanych z takich aktywów; w tym danych zgromadzonych do celów przeprowadzenia oceny odpowiedniości i adekwatności zgodnie z art. 25 dyrektywy Parlamentu Europejskiego i Rady 2014/65/UE 32 ;

c)praw emerytalnych w pracowniczych programach emerytalnych zgodnie z dyrektywą 2009/138/WE oraz dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/2341 33 ;

d)uprawnień emerytalnych w ramach ogólnoeuropejskich indywidualnych produktów emerytalnych zgodnie z rozporządzeniem (UE) 2019/1238;

e)ubezpieczeń innych niż ubezpieczenie na życie zgodnie z dyrektywą 2009/138/WE, z wyjątkiem ubezpieczeń chorobowych i zdrowotnych; w tym danych gromadzonych do celów oceny wymagań i potrzeb zgodnie z art. 20 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/97 34 oraz danych gromadzonych do celów oceny odpowiedniości i stosowności zgodnie z art. 30 dyrektywy (UE) 2016/97.

f)danych będących częścią oceny zdolności kredytowej firmy, które gromadzi się w ramach procesu składania wniosku o pożyczkę lub wniosku o rating kredytowy.

2.Niniejsze rozporządzenie ma zastosowanie do następujących podmiotów działających jako posiadacze danych lub użytkownicy danych:

a)instytucji kredytowych;

b)instytucji płatniczych, w tym dostawców świadczących usługę dostępu do informacji o rachunku oraz instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366;

c)instytucji pieniądza elektronicznego, w tym instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą Parlamentu Europejskiego i Rady 2009/110/WE 35 ;

d)firm inwestycyjnych;

e)dostawców usług w zakresie kryptoaktywów;

f)emitentów tokenów powiązanych z aktywami;

g)zarządzających alternatywnymi funduszami inwestycyjnymi;

h)spółek zarządzających przedsiębiorstwami zbiorowego inwestowania w zbywalne papiery wartościowe;

i)zakładów ubezpieczeń i zakładów reasekuracji;

j)pośredników ubezpieczeniowych i pośredników oferujących ubezpieczenia uzupełniające;

k)instytucji pracowniczych programów emerytalnych;

l)agencji ratingowych;

m)dostawców usług finansowania społecznościowego;

n)dostawców OIPE;

o)dostawców usług z zakresu informacji finansowych.

3.Niniejsze rozporządzenie nie ma zastosowania do podmiotów, o których mowa w art. 2 ust. 3 lit. a)–e) rozporządzenia (UE) 2022/2554.

4.Niniejsze rozporządzenie nie ma wpływu na stosowanie innych unijnych aktów prawnych dotyczących dostępu do danych klienta i udostępniania tych danych, o których mowa w ust. 1, chyba że wyraźnie przewidziano to w niniejszym rozporządzeniu.

Artykuł 3
Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)„konsument” oznacza osobę fizyczną działającą w celach, które nie są związane z jej działalnością handlową, gospodarczą lub zawodową;

2)„klient” oznacza osobę fizyczną lub prawną, która korzysta z produktów i usług finansowych;

3)„dane klienta” oznaczają dane osobowe i nieosobowe gromadzone, przechowywane i w inny sposób przetwarzane przez instytucję finansową w ramach standardowych działań podejmowanych przez tę instytucję w odniesieniu do jej klientów, które obejmują zarówno dane przekazane przez klienta, jak i dane wygenerowane w wyniku interakcji klienta z instytucją finansową;

4)„właściwy organ” oznacza organ wyznaczony przez każde państwo członkowskie zgodnie z art. 17, przy czym w przypadku instytucji finansowych termin ten oznacza dowolny z właściwych organów wymienionych w art. 46 rozporządzenia (UE) 2022/2554;

5)„posiadacz danych” oznacza instytucję finansową inną niż dostawca świadczący usługę dostępu do informacji o rachunku, która gromadzi, przechowuje i w inny sposób przetwarza dane wymienione w art. 2 ust. 1;

6)„użytkownik danych” oznacza dowolny z podmiotów wymienionych w art. 2 ust. 2, który – po uzyskaniu zgody klienta – ma zgodny z prawem dostęp do danych klienta wymienionych w art. 2 ust. 1;

7)„dostawca usług z zakresu informacji finansowych” oznacza użytkownika danych upoważnionego na mocy art. 14 do uzyskiwania dostępu do danych klienta wymienionych w art. 2 ust. 1 na potrzeby świadczenia usług z zakresu informacji finansowych;

8)„instytucja finansowa” oznacza podmioty wymienione w art. 2 ust. 2 lit. a)–n), które są posiadaczami danych, użytkownikami danych albo jednocześnie posiadaczami i użytkownikami danych do celów niniejszego rozporządzenia; 

9)„rachunek inwestycyjny” oznacza dowolny rejestr prowadzony przez firmę inwestycyjną, instytucję kredytową lub brokera ubezpieczeniowego zawierający informacje na temat aktualnego stanu posiadania ich klienta, jeżeli chodzi o instrumenty finansowe lub ubezpieczeniowe produkty inwestycyjne, a także informacje dotyczące wcześniejszych transakcji i inne punkty danych odnoszące się do procesów związanych z cyklem życia danego instrumentu;

10)„dane nieosobowe” oznaczają dane inne niż dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia (UE) 2016/679;

11)„dane osobowe” oznaczają dane osobowe w rozumieniu art. 4 pkt 1 rozporządzenia (UE) 2016/679;

12)„instytucja kredytowa” oznacza instytucję kredytową w rozumieniu art. 4 ust. 1 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 36 ;

13)„firma inwestycyjna” oznacza firmę inwestycyjną w rozumieniu art. 4 ust. 1 pkt 1 dyrektywy 2014/65/UE;

14)„dostawca usług w zakresie kryptoaktywów” oznacza dostawcę usług w zakresie kryptoaktywów, o którym mowa w art. 3 ust. 1 pkt 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/1114 37 ;

15)„emitent tokenów powiązanych z aktywami” oznacza emitenta tokenów powiązanych z aktywami, któremu udzielono zezwolenia zgodnie z art. 21 rozporządzenia (UE) 2023/1114;

16)„instytucja płatnicza” oznacza instytucję płatniczą w rozumieniu art. 4 pkt 4 dyrektywy (UE) 2015/2366;

17)„dostawca świadczący usługę dostępu do informacji o rachunku” oznacza dostawcę świadczącego usługę dostępu do informacji o rachunku, o którym mowa w art. 33 ust. 1 dyrektywy (UE) 2015/2366;

18)„instytucja pieniądza elektronicznego” oznacza instytucję pieniądza elektronicznego w rozumieniu art. 2 pkt 1 dyrektywy 2009/110/WE;

19)„instytucja pieniądza elektronicznego zwolniona zgodnie z dyrektywą 2009/110/WE” oznacza instytucję pieniądza elektronicznego korzystającą z wyłączenia, o którym mowa w art. 9 ust. 1 dyrektywy 2009/110/WE;

20)„zarządzający alternatywnymi funduszami inwestycyjnymi” oznacza zarządzającego alternatywnymi funduszami inwestycyjnymi w rozumieniu art. 4 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady 2011/61/UE 38 ;

21)„spółka zarządzająca przedsiębiorstwami zbiorowego inwestowania w zbywalne papiery wartościowe” oznacza spółkę zarządzającą w rozumieniu art. 2 ust. 1 lit. b) dyrektywy Parlamentu Europejskiego i Rady 2009/65/WE 39 ;

22)„zakład ubezpieczeń” oznacza zakład ubezpieczeń w rozumieniu art. 13 pkt 1 dyrektywy 2009/138/WE;

23)„zakład reasekuracji” oznacza zakład reasekuracji w rozumieniu art. 13 pkt 4 dyrektywy 2009/138/WE;

24)„pośrednik ubezpieczeniowy” oznacza pośrednika ubezpieczeniowego w rozumieniu art. 2 ust. 1 pkt 3 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/97 40 ;

25)„pośrednik oferujący ubezpieczenia uzupełniające” oznacza pośrednika oferującego ubezpieczenia uzupełniające w rozumieniu art. 2 ust. 1 pkt 4 dyrektywy (UE) 2016/97;

26)„instytucja pracowniczych programów emerytalnych” oznacza instytucję pracowniczych programów emerytalnych w rozumieniu art. 6 pkt 1 dyrektywy (UE) 2016/2341;

27)„agencja ratingowa” oznacza agencję ratingową w rozumieniu art. 3 ust. 1 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1060/2009 41 ;

28)„dostawca OIPE” oznacza dostawcę OIPE w rozumieniu art. 2 pkt 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1238;

29)„przedstawiciel prawny” oznacza osobę fizyczną mającą miejsce zamieszkania w Unii lub osobę prawną mającą siedzibę statutową w Unii, która została wyraźnie wyznaczona przez dostawcę usług z zakresu informacji finansowych mającego siedzibę w państwie trzecim i która działa na rachunek takiego dostawcy usług z zakresu informacji finansowych w stosunku do organów, klientów, podmiotów i kontrahentów dostawcy usług z zakresu informacji finansowych w Unii w zakresie określonych w niniejszym rozporządzeniu obowiązków dostawcy usług z zakresu informacji finansowych.

TYTUŁ II
Dostęp do danych

Artykuł 4 
Obowiązek udostępniania danych klientowi

Na żądanie klienta przekazane drogą elektroniczną posiadacz danych udostępnia dane wymienione w art. 2 ust. 1 klientowi niezwłocznie, nieodpłatnie, w sposób ciągły i w czasie rzeczywistym.

Artykuł 5
Obowiązki posiadacza danych w zakresie udostępniania danych klienta użytkownikowi danych

1.Na wniosek klienta złożony drogą elektroniczną posiadacz danych udostępnia użytkownikowi danych dane klienta wymienione w art. 2 ust. 1 do celów, do których klient udzielił zezwolenia danemu użytkownikowi danych. Dane klienta udostępnia się użytkownikowi danych niezwłocznie, w sposób ciągły i w czasie rzeczywistym.

2.Posiadacz danych może żądać od użytkownika danych opłaty za udostępnienie danych klienta zgodnie z ust. 1 tylko w przypadku, gdy te dane klienta udostępnia się użytkownikowi danych zgodnie z zasadami i na warunkach systemu udostępniania danych finansowych, jak przewidziano w art. 9 i 10, lub jeżeli udostępnia się te dane zgodnie z art. 11.

3.W ramach udostępniania danych zgodnie z ust. 1 posiadacz danych:

a)udostępnia użytkownikowi danych dane klienta w formacie opartym na ogólnie uznanych standardach i co najmniej w takiej samej jakości, jaką dysponuje ten posiadacz danych;

b)bezpiecznie komunikuje się z użytkownikiem danych w drodze zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzania i przekazywania danych klienta;

c)wymaga od użytkowników danych wykazania, że uzyskali zezwolenie klienta na dostęp do danych klienta będących w posiadaniu posiadacza danych;

d)zapewnia klientowi panel do zarządzania zezwoleniami w celu monitorowania zezwoleń i zarządzania nimi zgodnie z art. 8;

e)przestrzega poufności tajemnic przedsiębiorstwa i praw własności intelektualnej w przypadku dostępu do danych klienta zgodnie z art. 5 ust. 1.

Artykuł 6
Obowiązki użytkownika danych otrzymującego dane klienta

1.Użytkownik danych jest uprawniony do dostępu do danych klienta zgodnie z art. 5 ust. 1 wyłącznie w przypadku, gdy podlega wymogowi wcześniejszego uzyskania zezwolenia właściwego organu jako instytucja finansowa lub jest dostawcą usług z zakresu informacji finansowych zgodnie z art. 14.

2.Użytkownik danych uzyskuje dostęp do danych klienta udostępnionych na podstawie art. 5 ust. 1 wyłącznie w celach i na warunkach, w związku z którymi dany klient udzielił zezwolenia. Użytkownik danych usuwa dane klienta, gdy nie są one już potrzebne do celów, do których dany klient udzielił zezwolenia.

3.Klient może wycofać zezwolenie, którego udzielił użytkownikowi danych. Gdy przetwarzanie jest niezbędne do wykonania umowy, klient może wycofać zezwolenie, którego udzielił na udostępnienie danych klienta użytkownikowi danych zgodnie ze zobowiązaniami umownymi, którym on podlega.

4.Aby zapewnić skuteczne zarządzanie danymi klienta, użytkownik danych:

a)nie przetwarza żadnych danych klienta w celach innych niż wykonanie usługi wyraźnie zleconej przez klienta;

b)przestrzega poufności tajemnic przedsiębiorstwa i praw własności intelektualnej w przypadku dostępu do danych klienta zgodnie z art. 5 ust. 1;

c)wprowadza odpowiednie środki techniczne, prawne i organizacyjne w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym państwa członkowskiego przekazywaniu nieosobowych danych klienta lub dostępowi do tych danych;

d)wprowadza niezbędne środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przechowywania, przetwarzania i przekazywania nieosobowych danych klienta;

e)nie przetwarza danych klienta do celów reklamowych, z wyjątkiem marketingu bezpośredniego zgodnie z prawem unijnym i krajowym;

f)w przypadku gdy użytkownik danych jest częścią grupy przedsiębiorstw, dane klienta wymienione w art. 2 ust. 1 są dostępne wyłącznie dla podmiotu należącego do danej grupy, który działa jako użytkownik danych, i wyłącznie przez niego przetwarzane.

TYTUŁ III
Odpowiedzialne wykorzystywanie danych oraz panele do zarządzania zezwoleniami

Artykuł 7
Zakres wykorzystania danych

1.Przetwarzanie danych klienta, o których mowa w art. 2 ust. 1 niniejszego rozporządzenia, stanowiących dane osobowe, jest ograniczone do tego, co jest niezbędne do celów, w których są przetwarzane.

2.Zgodnie z art. 16 rozporządzenia (UE) nr 1093/2010 Europejski Urząd Nadzoru Bankowego (EUNB) opracowuje wytyczne dotyczące wdrożenia ust. 1 niniejszego artykułu w odniesieniu do produktów i usług związanych z punktową oceną kredytową konsumenta.

3.Zgodnie z art. 16 rozporządzenia (UE) nr 1094/2010 Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) opracowuje wytyczne dotyczące wdrożenia ust. 1 niniejszego artykułu w odniesieniu do produktów i usług związanych z oceną ryzyka i ustalaniem cen w odniesieniu do konsumenta w przypadku produktów ubezpieczenia na życie, ubezpieczenia zdrowotnego i chorobowego.

4.Przygotowując wytyczne, o których mowa w ust. 2 i 3 niniejszego artykułu, EIOPA i EUNB ściśle współpracują z Europejską Radą Ochrony Danych ustanowioną rozporządzeniem (UE) 2016/679.

Artykuł 8
Panele do zarządzania zezwoleniami w ramach otwartych finansów

1.Posiadacz danych udostępnia klientowi panel do zarządzania zezwoleniami w celu monitorowania i zarządzania zezwoleniami przyznanymi przez klienta użytkownikom danych.

2.Panel do zarządzania zezwoleniami:

a)zapewnia klientowi przegląd wszystkich bieżących zezwoleń przyznanych użytkownikom danych, obejmujący:

(i)nazwę użytkownika danych, któremu udzielono dostępu;

(ii)rachunek klienta, produkt finansowy lub usługę finansową, do których udzielono dostępu;

(iii)cel udzielenia zezwolenia;

(iv)kategorie udostępnianych danych;

(v)okres obowiązywania zezwolenia;

b)umożliwia klientowi cofnięcie zezwolenia udzielonego użytkownikowi danych;

c)umożliwia klientowi przywrócenie wszelkich cofniętych zezwoleń;

d)zawiera rejestr zezwoleń, które zostały wycofane lub wygasły, obejmujący okres dwóch lat.

3.Posiadacz danych zapewnia możliwość łatwego odnalezienia panelu do zarządzania zezwoleniami w jego interfejsie użytkownika oraz zapewnia, aby informacje wyświetlane na pulpicie były przejrzyste, dokładne i zrozumiałe dla klienta.

4.Posiadacz danych i użytkownik danych, któremu klient udzielił zezwolenia, współpracują ze sobą w celu udostępniania informacji klientowi za pośrednictwem pulpitu w czasie rzeczywistym. Aby wypełnić obowiązki określone w ust. 2 lit. a), b), c) i d) niniejszego artykułu:

a)posiadacz danych informuje użytkownika danych o wprowadzonych przez klienta za pośrednictwem panelu zmianach w zezwoleniu dotyczącym tego użytkownika danych;

b)użytkownik danych informuje posiadacza danych o udzielonym przez klienta nowym zezwoleniu dotyczącym danych klienta będących w posiadaniu tego posiadacza danych, wskazując:

(i)cel zezwolenia udzielonego przez klienta;

(ii)okres obowiązywania zezwolenia;

(iii)kategorie odnośnych danych.

TYTUŁ IV
Systemy udostępniania danych finansowych

Artykuł 9
Uczestnictwo w systemie udostępniania danych finansowych

1.W ciągu 18 miesięcy od wejścia w życie niniejszego rozporządzenia posiadacze danych i użytkownicy danych muszą stać się uczestnikami systemu udostępniania danych finansowych regulującego dostęp do danych klienta zgodnie z art. 10.

2.Posiadacze danych i użytkownicy danych mogą zostać uczestnikami większej liczby systemów udostępniania danych finansowych.

Wszelkie udostępnianie danych odbywa się zgodnie z przepisami i warunkami dotyczącymi systemu udostępniania danych finansowych, którego uczestnikami są zarówno użytkownik danych, jak i posiadacz danych.

Artykuł 10
Zarządzanie systemem udostępniania danych finansowych oraz elementy tego systemu

1.System udostępniania danych finansowych obejmuje następujące elementy:

a)do uczestników systemu udostępniania danych finansowych należą:

(i)posiadacze danych i użytkownicy danych stanowiący znaczącą część rynku danego produktu lub usługi, przy czym każda ze stron ma sprawiedliwą i równą reprezentację w wewnętrznych procesach decyzyjnych systemu, a także jednakową wagę we wszelkich procedurach głosowania; w przypadku gdy uczestnik jest zarówno posiadaczem danych, jak i użytkownikiem danych, jego uczestnictwo uwzględnia się w równym stosunku po obu stronach;

(ii)stowarzyszenia klientów i organizacje konsumenckie.

b)przepisy mające zastosowanie do uczestników systemu udostępniania danych finansowych mają zastosowanie w równym stopniu do wszystkich uczestników i niedozwolone jest nieuzasadnione uprzywilejowane lub zróżnicowane traktowanie uczestników;

c)regulamin uczestnictwa w systemie udostępniania danych finansowych zapewnia, aby system był otwarty na uczestnictwo dowolnego posiadacza danych i użytkownika danych, w oparciu o obiektywne kryteria, oraz aby wszyscy uczestnicy byli traktowani w sposób sprawiedliwy i równy;

d)system udostępniania danych finansowych nie nakłada żadnych kontroli ani dodatkowych warunków dotyczących udostępniania danych innych niż przewidziano w niniejszym rozporządzeniu lub w innych obowiązujących przepisach prawa Unii;

e)system udostępniania danych finansowych obejmuje mechanizm umożliwiający zmianę jego regulaminu po przeprowadzeniu analizy skutków i uzyskaniu zgody większości, odpowiednio, w obu grupach – posiadaczy danych i użytkowników danych;

f)system udostępniania danych finansowych obejmuje zasady dotyczące przejrzystości oraz, w stosownych przypadkach, składania sprawozdań uczestnikom;

g)system udostępniania danych finansowych obejmuje wspólne standardy dotyczące danych i interfejsów technicznych, aby umożliwić klientom składanie wniosków o udostępnienie danych zgodnie z art. 5 ust. 1. Wspólne standardy dotyczące danych i interfejsów technicznych, których stosowanie uzgodnią uczestnicy systemu, mogą opracować uczestnicy systemu lub inne strony lub podmioty;

h)w ramach systemu udostępniania danych finansowych ustanawia się model służący określeniu maksymalnej opłaty, jaką posiadacz danych ma prawo pobierać za udostępnianie danych za pośrednictwem odpowiedniego interfejsu technicznego służącego do udostępniania danych użytkownikom danych zgodnie ze wspólnymi standardami opracowanymi na podstawie lit. g). Model opiera się na następujących zasadach:

(i)powinien być ograniczony do rozsądnej opłaty bezpośrednio związanego z udostępnieniem danych użytkownikowi danych i które można przypisać danemu wnioskowi;

(ii)powinien opierać się na obiektywnej, przejrzystej i niedyskryminacyjne metodyce uzgodnionej przez uczestników systemu;

(iii)powinien opierać się na kompleksowych danych rynkowych zebranych od użytkowników danych i posiadaczy danych na temat każdego z uwzględnianych elementów kosztów, wyraźnie wskazanych zgodnie z modelem;

(iv)powinien być poddawany okresowym przeglądom i monitorowany do celów uwzględnienia postępu technologicznego;

(v)powinien być opracowany w taki sposób, aby zrównywać opłatę do najniższych poziomów występujących na rynku; oraz

(vi)powinien być ograniczony do wniosków o udostępnienie danych klienta na podstawie art. 2 ust. 1 lub – w przypadku połączonych wniosków o udostępnienie danych – proporcjonalny do powiązanych zbiorów danych objętych zakresem tego artykułu.

W przypadku gdy użytkownikiem danych jest mikroprzedsiębiorstwo lub małe lub średnie przedsiębiorstwo w rozumieniu art. 2 załącznika do zalecenia Komisji 2003/361/WE z dnia 6 maja 2003 r. 42 , wszelkie uzgodnione opłaty nie mogą przekraczać kosztów, które są bezpośrednio związane z udostępnieniem danych odbiorcy danych i które można przypisać danemu wnioskowi.

i)w ramach systemu udostępniania danych finansowych określa się odpowiedzialność umowną uczestników, w tym w przypadku danych niedokładnych lub nieodpowiedniej jakości lub naruszenia bezpieczeństwa danych lub niewłaściwego ich wykorzystywania. W przypadku danych osobowych przepisy dotyczące odpowiedzialności w ramach systemu udostępniania danych finansowych są zgodne z przepisami rozporządzenia (UE) 2016/679;

j)w ramach systemu udostępniania danych finansowych przewiduje się – zgodnie z wymogami jakościowymi określonymi w dyrektywie Parlamentu Europejskiego i Rady 2013/11/UE 43 – niezależny, bezstronny, przejrzysty, skuteczny system rozstrzygania sporów na potrzeby rozstrzygania sporów między uczestnikami systemu i kwestii związanych z uczestnictwem.

2.Przystąpienie nowych uczestników do systemów udostępniania danych finansowych jest możliwe w dowolnym momencie na warunkach obowiązujących aktualnych uczestników.

3.W terminie jednego miesiąca od przystąpienia do systemu udostępniania danych finansowych posiadacz danych powiadamia właściwy organ państwa członkowskiego, w którym ma siedzibę, o systemach udostępniania danych finansowych, w których uczestniczy.

4.System udostępniania danych finansowych ustanowiony zgodnie z niniejszym artykułem zgłasza się właściwemu organowi dla miejsca siedziby trzech najbardziej znaczących posiadaczy danych, którzy są uczestnikami tego systemu w momencie jego ustanowienia. Jeżeli trzej najbardziej znaczący posiadacze danych mają siedzibę w różnych państwach członkowskich lub jeżeli w państwie członkowskim, w którym mają siedzibę trzej najbardziej znaczący posiadacze danych, istnieje więcej niż jeden właściwy organ, system zgłasza się wszystkim tym organom, które uzgadniają między sobą, który organ przeprowadzi ocenę, o której mowa w ust. 6.

5.Zgłoszenia zgodnie z ust. 4 dokonuje się w terminie jednego miesiąca od utworzenia systemu udostępniania danych finansowych i zawiera ono zasady zarządzania tym systemem oraz jego charakterystykę zgodnie z ust. 1.

6.W terminie jednego miesiąca od otrzymania zgłoszenia na podstawie ust. 4 właściwy organ przeprowadza ocenę zgodności z ust. 1 zasad zarządzania systemem udostępniania danych finansowych oraz charakterystyki tego systemu. Dokonując oceny zgodności systemu udostępniania danych finansowych z ust. 1, właściwy organ może konsultować się z innymi właściwymi organami.

Po zakończeniu oceny właściwy organ informuje EUNB o zgłoszonym systemie udostępniania danych finansowych, który spełnia wymogi określone w ust. 1. System zgłoszony do EUNB zgodnie z tym ustępem jest uznawany we wszystkich państwach członkowskich do celów uzyskiwania dostępu do danych zgodnie z art. 5 ust. 1 i nie wymaga dalszego zgłaszania w żadnym innym państwie członkowskim.

Artykuł 11
Uprawnienie do przyjęcia aktu delegowanego w przypadku braku systemu udostępniania danych finansowych

W przypadku braku utworzenia systemu udostępniania danych finansowych w odniesieniu do jednej lub kilku kategorii danych klienta, które to kategorie wymieniono w art. 2 ust. 1, i braku realistycznych perspektyw na ustanowienie takiego systemu w rozsądnym terminie, Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 30 w celu uzupełnienia niniejszego rozporządzenia w drodze określenia następujących warunków, na jakich posiadacz danych udostępnia dane klienta na podstawie art. 5 ust. 1 w odniesieniu do tej kategorii danych:

a)wspólne standardy dotyczące danych oraz, w stosownych przypadkach, interfejsów technicznych, aby umożliwić klientom składanie wniosków o udostępnienie danych zgodnie z art. 5 ust. 1;

b)model służący określeniu maksymalnej opłaty, jakie posiadacz danych ma prawo pobierać za udostępnianie danych;

c)odpowiedzialność podmiotów zajmujących się udostępnianiem danych klienta.

TYTUŁ V
Kwalifikowalność w zakresie dostępu do danych oraz organizacja dostępu do nich

Artykuł 12
Wniosek o udzielenie zezwolenia dostawcom usług z zakresu informacji finansowych 

1.Dostawca usług z zakresu informacji finansowych kwalifikuje się do uzyskania dostępu do danych klienta na podstawie art. 5 ust. 1, jeżeli właściwy organ państwa członkowskiego udzielił mu zezwolenia.

2.Dostawca usług z zakresu informacji finansowych składa wniosek o udzielenie zezwolenia do właściwego organu państwa członkowskiego, w którym znajduje się jego siedziba statutowa, wraz z następującymi dokumentami: 

a) programem działalności określającym w szczególności rodzaj planowanego dostępu do danych;

b)biznesplanem zawierającym prognozę budżetu na pierwsze trzy lata obrotowe, z którego wynika, że wnioskodawca jest w stanie zastosować odpowiednie i proporcjonalne systemy, zasoby i procedury niezbędne do prawidłowego prowadzenia działalności;

c)opisem stosowanych przez wnioskodawcę zasad zarządzania i mechanizmów kontroli wewnętrznej, w tym procedur administracyjnych, procedur zarządzania ryzykiem i procedur księgowych, jak również ustaleń dotyczących korzystania z usług ICT zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/2554, wykazującym, że te zasady zarządzania, mechanizmy kontroli i procedury są proporcjonalne, właściwe, rzetelne i adekwatne;

d)opisem procedury wprowadzonej w celu monitorowania incydentów związanych z bezpieczeństwem i skarg klientów dotyczących bezpieczeństwa oraz postępowania i działań następczych w przypadku wystąpienia takich incydentów i skarg, łącznie z mechanizmem zgłaszania incydentów uwzględniającym obowiązki dotyczące zgłaszania określone w rozdziale III rozporządzenia (UE) 2022/2554;

e)opisem rozwiązań zapewniających ciągłość działania, w tym jasnym określeniem operacji krytycznych, skutecznej strategii i planów na rzecz ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, a także procedur na potrzeby regularnego testowania i przeglądu adekwatności i skuteczności takich planów zgodnie z rozporządzeniem (UE) 2022/2554; 

f)dokumentem dotyczący strategii w zakresie bezpieczeństwa, łącznie ze szczegółową oceną ryzyka w odniesieniu do prowadzonej przez wnioskodawcę działalności oraz opisem środków kontroli bezpieczeństwa i ograniczania ryzyka wprowadzonych w celu odpowiedniej ochrony jego klientów przed zidentyfikowanymi ryzykami, w tym oszustwami;

g)opisem struktury organizacyjnej wnioskodawcy, jak również opisem ustaleń dotyczących outsourcingu;

h)danymi dotyczącymi tożsamości dyrektorów i osób odpowiedzialnych za zarządzanie wnioskodawcą oraz, w stosownych przypadkach, osób odpowiedzialnych za zarządzanie działalnością wnioskodawcy w zakresie dostępu do danych, jak również dokumentacją potwierdzającą, że osoby te cieszą się dobrą opinią oraz posiadają odpowiednią wiedzę i doświadczenie, by uzyskiwać dostęp do danych, zgodnie z przepisami niniejszego rozporządzenia;

i)informacjami o statusie prawnym wnioskodawcy i jego aktem założycielskim;

j)adresem siedziby zarządu wnioskodawcy;

k)w stosownych przypadkach, zgodnie z art. 13, pisemną umową między dostawcą usług z zakresu informacji finansowych a przedstawicielem prawnym potwierdzającą wyznaczenie tego ostatniego oraz jego zakres odpowiedzialności i zadania, które ma wykonywać. 

Do celów akapitu pierwszego lit. c), d) i g) wnioskodawca dostarcza opis przyjętych przez siebie rozwiązań w zakresie audytu i ustaleń organizacyjnych, które pozwalają mu podjąć wszelkie stosowne kroki dla ochrony interesów jego klientów oraz dla zapewnienia ciągłości prowadzenia działalności i jej rzetelności.

Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w akapicie pierwszym lit. f), wskazują sposób zapewniania przez wnioskodawcę wysokiego poziomu operacyjnej odporności cyfrowej zgodnie z rozdziałem II rozporządzenia (UE) 2022/2554, w szczególności w odniesieniu do bezpieczeństwa technicznego i ochrony danych, w tym oprogramowania i systemów ICT stosowanych przez wnioskodawcę lub przedsiębiorstwa, którym zleca on w ramach outsourcingu całość lub część swoich operacji.

3.Dostawcy usług z zakresu informacji finansowych są ubezpieczeni od odpowiedzialności cywilnej z tytułu działalności zawodowej na terytoriach, na których uzyskują oni dostęp do danych, lub są w posiadaniu innej porównywalnej gwarancji, i zapewniają, co następuje: 

a)zdolność do zabezpieczenia własnej odpowiedzialności wynikającej z nieautoryzowanego lub nielegalnego dostępu do danych lub nieautoryzowanego lub nielegalnego użycia danych;

b)zdolność do pokrycia wartości udziału własnego, kwoty progowej lub franszyzy redukcyjnej przewidzianych w ubezpieczeniu lub porównywalnej gwarancji;

c)monitorowanie na bieżąco zakresu ubezpieczenia lub porównywalnej gwarancji.

W ramach rozwiązania alternatywnego w stosunku do posiadania ubezpieczenia od odpowiedzialności cywilnej z tytułu działalności zawodowej lub innej porównywalnej gwarancji, wymaganych zgodnie z akapitem pierwszym, przedsiębiorstwa, o których mowa w poprzednim akapicie, muszą posiadać kapitał założycielski w wysokości 50 000 EUR, który można bez zbędnej zwłoki zastąpić ubezpieczeniem od odpowiedzialności cywilnej z tytułu działalności zawodowej lub inną porównywalną gwarancją po rozpoczęciu przez te przedsiębiorstwa działalności w charakterze dostawcy usług z zakresu informacji finansowych. 

4.EUNB, we współpracy z ESMA i EIOPA, po konsultacji ze wszystkimi istotnymi zainteresowanymi stronami, opracowuje projekty regulacyjnych standardów technicznych, w których określa:

a)informacje, jakie dostawcy usług z zakresu informacji finansowych muszą przedstawić właściwemu organowi we wniosku o udzielenie zezwolenia, łącznie z wymogami ustanowionymi w ust. 1 lit. a)–l);

b)wspólną metodykę przeprowadzania oceny na potrzeby udzielania zezwoleń na podstawie niniejszego rozporządzenia na prowadzenie działalności w charakterze dostawcy usług z zakresu informacji finansowych;

c)co oznacza porównywalna gwarancja, o której mowa w ust. 2 i która powinna być wymienna z ubezpieczeniem od odpowiedzialności cywilnej z tytułu działalności zawodowej;

d)kryteria ustalania minimalnej kwoty pieniężnej ubezpieczenia od odpowiedzialności cywilnej z tytułu działalności zawodowej lub innej porównywalnej gwarancji, o których mowa w ust. 2.

Opracowując wspomniane projekty regulacyjne standardów technicznych EUNB bierze pod uwagę następujące elementy:

a)profil ryzyka danego przedsiębiorstwa;

b)czy dane przedsiębiorstwo świadczy inne rodzaje usług lub prowadzi inną działalność gospodarczą;

c)wielkość działalności;

d)szczególne cechy porównywalnych gwarancji i kryteria ich wykonania.

EUNB przedstawia Komisji projekty regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym, do dnia [Urząd Publikacji: proszę wstawić datę przypadającą dziewięć miesięcy od dnia wejścia w życie niniejszego rozporządzenia].

Komisja jest uprawniona do przyjęcia regulacyjnych standardów technicznych, o których mowa w akapicie pierwszym niniejszego ustępu, zgodnie z art. 10–14 rozporządzenia nr 1093/2015.

EUNB, zgodnie z art. 10 rozporządzenia (UE) nr 1093/2010, dokonuje regularnego przeglądu i, w stosownych przypadkach, aktualizuje regulacyjne standardy techniczne.

Artykuł 13
Przedstawiciele prawni

1.Dostawcy usług z zakresu informacji finansowych, którzy nie mają jednostki organizacyjnej w Unii, ale potrzebują dostępu do danych finansowych w Unii, wyznaczają na piśmie jako swojego przedstawiciela prawnego osobę prawną lub osobę fizyczną w jednym z państw członkowskich, z którego dostawca usług z zakresu informacji finansowych zamierza uzyskiwać dostęp do danych finansowych.

2.Dostawcy usług z zakresu informacji finansowych upoważniają swoich przedstawicieli prawnych jako osoby, do których – poza dostawcami usług z zakresu informacji finansowych lub zamiast nich – mogą zwracać się właściwe organy we wszystkich niezbędnych kwestiach dotyczących przyjęcia, przestrzegania i egzekwowania niniejszego rozporządzenia. Dostawcy usług z zakresu informacji finansowych przekazują swojemu przedstawicielowi prawnemu niezbędne uprawnienia i zasoby umożliwiające mu współpracę z właściwymi organami i zapewnienie zgodności z ich decyzjami.

3.Wyznaczony przedstawiciel prawny może zostać pociągnięty do odpowiedzialności z tytułu niewywiązania się z obowiązków wynikających z niniejszego rozporządzenia, bez uszczerbku dla odpowiedzialności dostawcy usług z zakresu informacji finansowych i dla kroków prawnych, które mogą zostać podjęte przeciwko dostawcy usług z zakresu informacji finansowych.

4.Dostawcy usług z zakresu informacji finansowych zgłaszają właściwemu organowi w państwie członkowskim, w którym ich przedstawiciel prawny ma miejsce zamieszkania lub siedzibę, imię i nazwisko lub nazwę, adres, adres e-mail oraz numer telefonu tego przedstawiciela prawnego. Dostawcy zapewniają, aby wspomniane informacje były aktualne.

5.Wyznaczenie przedstawiciela prawnego na terytorium Unii zgodnie z ust. 1 nie jest równoznaczne z posiadaniem siedziby w Unii.

Artykuł 14
Udzielenie zezwolenia dostawcom usług z zakresu informacji finansowych oraz cofnięcie zezwolenia

1.Właściwy organ udziela zezwolenia, jeżeli informacje i dokumentacja dołączone do wniosku są zgodne z wymogami określonymi w art. 11 ust. 1 i 2. Przed udzieleniem zezwolenia właściwy organ może, w stosownych przypadkach, przeprowadzić konsultacje z odpowiednimi organami publicznymi.

2.Właściwy organ udziela zezwolenia dostawcy usług z zakresu informacji finansowych mającemu siedzibę w państwie trzecim, jeżeli spełnione są wszystkie poniższe warunki:

a)dostawca usług z zakresu informacji finansowych mający siedzibę w państwie trzecim spełnił wszystkie warunki określone w art. 12 i 16;

b)dostawca usług z zakresu informacji finansowych mający siedzibę w państwie trzecim wyznaczył przedstawiciela prawnego zgodnie z art. 13;

c)w przypadku gdy dostawca usług z zakresu informacji finansowych mający siedzibę w państwie trzecim podlega nadzorowi, właściwy organ dąży do wdrożenia odpowiedniego porozumienia o współpracy z odpowiednim właściwym organem państwa trzeciego, w którym dostawca usług z zakresu informacji finansowych ma siedzibę, aby zapewnić skuteczną wymianę informacji;

d)państwo trzecie, w którym ma siedzibę dostawca usług z zakresu informacji finansowych, nie figuruje w wykazie jurysdykcji niechętnych współpracy do celów podatkowych zgodnie z odpowiednią polityką Unii ani w wykazie jurysdykcji państw trzecich wysokiego ryzyka mających braki zgodnie z rozporządzeniem delegowanym Komisji (UE) 2016/1675 44 .

3.Właściwe organy udzielają zezwolenia jedynie wówczas, gdy – mając na uwadze potrzebę zapewnienia należytego i ostrożnego zarządzania dostawcą usług z zakresu informacji finansowych – dostawca usług z zakresu informacji finansowych posiada solidne zasady zarządzania swoją działalnością związaną ze świadczeniem usług z zakresu informacji. Obejmuje to jasną strukturę organizacyjną z dobrze określonymi, przejrzystymi i spójnymi obszarami odpowiedzialności, skuteczne procedury służące rozpoznawaniu ryzyka, na które jest lub może być narażony dostawca usług z zakresu informacji finansowych, zarządzaniu tym ryzykiem oraz monitorowaniu i zgłaszaniu tego ryzyka, a także odpowiednie mechanizmy kontroli wewnętrznej obejmujące rzetelne procedury administracyjne i księgowe. Te rozwiązania, procedury i mechanizmy są kompleksowe i proporcjonalne do charakteru, skali i stopnia złożoności usług dostępu do informacji świadczonych przez danego dostawcę usług z zakresu informacji finansowych.

4.Właściwy organ udziela zezwolenia tylko wówczas, gdy przepisy ustawowe, wykonawcze lub administracyjne mające zastosowanie do co najmniej jednej osoby fizycznej lub prawnej, z którą dany dostawca usług z zakresu informacji finansowych ma bliskie powiązania – lub trudności związane z egzekwowaniem tych przepisów ustawowych, wykonawczych lub administracyjnych – nie uniemożliwiają skutecznego wykonywania przez ten organ funkcji nadzorczych.

5.Właściwy organ udziela zezwolenia tylko wówczas, gdy jest przekonany, że żadne ustalenia dotyczące outsourcingu nie spowodują, iż dostawca usług z zakresu informacji finansowych stanie się podmiotem-skrzynką pocztową, lub że ustalenia te nie są wprowadzane w celu obejścia przepisów niniejszego rozporządzenia.

6.W terminie trzech miesięcy od daty otrzymania wniosku lub – w przypadku gdy wniosek jest niekompletny – od daty otrzymania wszystkich informacji wymaganych do celów podjęcia decyzji właściwy organ powiadamia wnioskodawcę o udzieleniu zezwolenia lub o odmowie jego udzielenia. W przypadku odmowy udzielenia zezwolenia właściwy organ podaje uzasadnienie.

7.Właściwy organ może cofnąć zezwolenie wydane dostawcy usług z zakresu informacji finansowych jedynie wówczas, gdy dany dostawca:

a)nie skorzysta z zezwolenia w ciągu 12 miesięcy, wyraźnie zrzeknie się zezwolenia lub nie prowadzi działalności od ponad sześciu miesięcy;

b)uzyskał zezwolenie wskutek przedłożenia fałszywych oświadczeń lub w jakikolwiek inny niezgodny z prawem sposób;

c)przestał spełniać warunki, na podstawie których udzielono zezwolenia, lub nie powiadomił właściwego organu o istotnych zmianach w tym względzie;

d)stanowiłby zagrożenie dla ochrony konsumentów i bezpieczeństwa danych.

W przypadku cofnięcia zezwolenia właściwy organ podaje uzasadnienie i powiadamia o nim zainteresowanych. Cofnięcie zezwolenia – w wersji zanonimizowanej – podawane jest przez właściwy organ do wiadomości publicznej.

Artykuł 15
Rejestr

1.EUNB opracowuje, obsługuje i prowadzi elektroniczny centralny rejestr zawierający informacje na temat:

a)upoważnionych dostawców usług z zakresu informacji finansowych;

b)dostawców usług z zakresu informacji finansowych, którzy zgłosili zamiar uzyskiwania dostępu do danych w państwie członkowskim innym niż państwo członkowskie pochodzenia;

c)uzgodnione między posiadaczami danych i użytkownikami danych systemy udostępniania danych finansowych.

2.Rejestr, o którym mowa w ust. 1, zawiera wyłącznie dane zanonimizowane.

3.Rejestr jest publicznie dostępny na stronie internetowej EUNB oraz umożliwia łatwy dostęp i łatwe przeszukiwanie wymienionych informacji. 

4.EUNB wprowadza do rejestru, o którym mowa w ust. 1, wszelkie przypadki cofnięcia zezwolenia udzielonego dostawcom usług z zakresu informacji finansowych lub zakończenia funkcjonowania systemu udostępniania danych finansowych.

5.Właściwe organy państw członkowskich niezwłocznie przekazują EUNB informacje niezbędne do realizacji jego zadań zgodnie z ust. 1 i 3. Właściwe organy odpowiadają za prawidłowość informacji określonych w ust. 1 i 3 oraz za aktualizowanie tych informacji. O ile jest to technicznie możliwe, przekazują wspomniane informacje do EUNB w sposób zautomatyzowany.

Artykuł 16

Wymogi organizacyjne dotyczące dostawców usług z zakresu informacji finansowych

Dostawca usług z zakresu informacji finansowych spełnia następujące wymogi organizacyjne:

a)ustanawia strategie i procedury wystarczające, aby zapewnić spełnienie przez wspomnianego dostawcę, w tym jego kierownictwo i pracowników, obowiązków wynikających z niniejszego rozporządzenia;

b)podejmuje rozsądne działania mające na celu zapewnienie ciągłości i regularności prowadzenia działalności. W tym celu dostawca usług z zakresu informacji finansowych stosuje odpowiednie i proporcjonalne systemy, zasoby i procedury, aby zapewnić ciągłość swoich operacji krytycznych, posiada plany awaryjne oraz procedurę regularnego testowania i przeglądu adekwatności i skuteczności takich planów;

c)w przypadku polegania na osobie trzeciej w sprawie wykonywania funkcji, które mają krytyczne znaczenie dla ciągłego i zadowalającego świadczenia klientom usług oraz prowadzenia działalności w sposób ciągły i zadowalający, dostawca usług z zakresu informacji finansowych zapewnia podejmowanie rozsądnych działań mających na celu uniknięcie dodatkowego ryzyka operacyjnego. Outsourcing ważnych funkcji operacyjnych nie może odbywać się w sposób istotnie obniżający jakość kontroli wewnętrznej dostawcy usług z zakresu informacji finansowych oraz zdolność organu nadzoru do monitorowania przestrzegania wszystkich obowiązków przez dostawcę usług z zakresu informacji finansowych;

d)posiada rzetelne procedury zarządcze, administracyjne i księgowe, mechanizmy kontroli wewnętrznej, skuteczne procedury oceny ryzyka i zarządzania ryzykiem oraz skuteczne rozwiązania w zakresie kontroli i bezpieczeństwa dotyczące systemów przetwarzania informacji;

e)dyrektorzy i osoby odpowiedzialne za zarządzanie dostawcą usług z zakresu informacji finansowych, a także osoby odpowiedzialne za zarządzanie jego działalnością w zakresie dostępu do danych, cieszą się dobrą opinią oraz posiadają – zarówno indywidualnie, jak i zbiorowo – odpowiednią wiedzę, umiejętności i doświadczenie, by wykonywać swoje obowiązki.

f)ustanawia i utrzymuje skuteczne i przejrzyste procedury na potrzeby sprawnego, uczciwego i spójnego monitorowania i obsługi incydentów związanych z bezpieczeństwem i skarg klientów dotyczących bezpieczeństwa oraz prowadzenia działań następczych w przypadku takich incydentów i skarg, łącznie z mechanizmem zgłaszania uwzględniającym obowiązki dotyczące zgłaszania określone w rozdziale III rozporządzenia (UE) 2022/2554.

TYTUŁ VI
Właściwe organy i ramy nadzoru

Artykuł 17
Właściwe organy

1.Państwa członkowskie wyznaczają właściwe organy odpowiedzialne za wykonywanie funkcji i obowiązków przewidzianych w niniejszym rozporządzeniu. Państwa członkowskie powiadamiają o tych właściwych organach Komisję. 

2.Państwa członkowskie zapewniają, aby właściwe organy wyznaczone zgodnie z ust. 1 posiadały wszystkie uprawnienia niezbędne do wykonywania swoich obowiązków.

Państwa członkowskie zapewniają, aby przedmiotowe właściwe organy dysponowały zasobami niezbędnymi do wykonywania powierzonych im zadań, w szczególności jeżeli chodzi o wyspecjalizowany personel, zgodnie z obowiązkami określonymi w niniejszym rozporządzeniu.

3.Państwa członkowskie, które wyznaczyły w ramach swojej jurysdykcji więcej niż jeden właściwy organ do spraw objętych przepisami niniejszego rozporządzenia, zapewniają ścisłą współpracę między tymi organami, tak aby skutecznie wywiązywały się z nałożonych na nie obowiązków.

4.W odniesieniu do instytucji finansowych przestrzeganie niniejszego rozporządzenia zapewniają właściwe organy określone w art. 46 rozporządzenia (UE) 2022/2554, zgodnie z uprawnieniami przyznanymi im na mocy odpowiednich aktów prawnych wymienionych w tym artykule i na podstawie niniejszego rozporządzenia.

Artykuł 18
Uprawnienia właściwych organów

1.Właściwe organy posiadają wszelkie uprawnienia dochodzeniowe niezbędne do wypełniania swoich funkcji. Uprawnienia te obejmują:

a)uprawnienie do wzywania dowolnych osób fizycznych lub prawnych do udzielenia wszelkich informacji niezbędnych do wykonywania zadań powierzonych właściwym organom, w tym informacji, które powinny być przekazywane w regularnych odstępach i w określonych formatach do celów nadzorczych i związanych z nimi celów statystycznych;

b)uprawnienie do prowadzenia wszelkich niezbędnych dochodzeń dotyczących wszelkich osób, o których mowa w lit. a), mających siedzibę lub znajdujących się w danym państwie członkowskim, w razie gdy jest to konieczne do wykonywania zadań powierzonych właściwym organom, w tym uprawnienia do:

(i)wezwania do złożenia dokumentów;

(ii)badania danych w każdej formie, w tym ksiąg i rejestrów prowadzonych przez osoby, o których mowa w lit. a), oraz uzyskiwania kopii lub wyciągów z tych dokumentów;

(iii)uzyskiwania wyjaśnień w formie pisemnej lub ustnej od dowolnej z osób, o których mowa w lit. a), lub od ich przedstawicieli lub członków personelu oraz, w razie potrzeby, wzywania i przesłuchiwania każdej spośród takich osób w celu uzyskania informacji;

(iv)przesłuchiwania wszelkich innych osób fizycznych, które zgadzają się na przesłuchanie, do celów zbierania informacji związanych z przedmiotem dochodzenia;

(v)z zastrzeżeniem innych warunków określonych w prawie Unii lub prawie krajowym, uprawnienie do prowadzenia niezbędnych inspekcji w lokalach osób prawnych i w miejscach innych niż prywatne miejsca zamieszkania osób fizycznych, o których mowa w lit. a), jak również wszelkich innych osób prawnych objętych skonsolidowanym nadzorem, w przypadku, gdy właściwy organ sprawuje nadzór skonsolidowany, z zastrzeżeniem uprzedniego powiadomienia stosownych właściwych organów;

(vi)wchodzenia do pomieszczeń osób fizycznych i prawnych zgodnie z prawem krajowym w celu zajęcia dokumentów i danych w jakiejkolwiek formie w przypadku uzasadnionego przypuszczenia, że dokumenty lub dane związane z przedmiotem kontroli lub dochodzenia mogą być niezbędne i mieć znaczenie dla udowodnienia przypadku naruszenia przepisów niniejszego rozporządzenia;

(vii)żądania, w zakresie dozwolonym prawem krajowym, wydania istniejących rejestrów przesyłu danych przechowywanych przez operatora telekomunikacyjnego, w przypadku uzasadnionego podejrzenia naruszenia i gdy takie rejestry mogą mieć znaczenie dla dochodzenia prowadzonego w sprawie naruszenia przepisów niniejszego rozporządzenia;

(viii)żądania zamrożenia lub zajęcia aktywów lub zastosowania obu tych środków;

(ix)przekazywania spraw w celu wszczęcia postępowania przygotowawczego;

c)wobec braku innych dostępnych środków w celu doprowadzenia do zaprzestania naruszeń niniejszego rozporządzenia lub zapobieżenia takim naruszeniom oraz w celu uniknięcia ryzyka wyrządzenia poważnych szkód interesom konsumentów właściwe organy są uprawnione do zastosowania każdego z następujących środków, w tym w drodze wystąpienia do osoby trzeciej lub innego organu publicznego o wprowadzenie takich środków:

(i)usunięcia treści lub ograniczenia dostępu do interfejsu internetowego lub nakazania umieszczenia wyraźnego ostrzeżenia dla klientów, jeżeli korzystają z dostępu do interfejsu internetowego;

(ii)nakazania dostawcy usług hostingowych usunięcia lub wyłączenia interfejsu internetowego lub ograniczenia dostępu do niego;

(iii)nakazania rejestrom domen lub rejestratorom domen usunięcia pełnej nazwy domenowej oraz umożliwienia danemu właściwemu organowi rejestracji takiego usunięcia.

Wdrożenie i wykonywanie uprawnień określonych w niniejszym ustępie musi być proporcjonalne i zgodne z prawem Unii oraz prawem krajowym, w tym z mającymi zastosowanie gwarancjami proceduralnymi i zasadami Karty praw podstawowych Unii Europejskiej. Środki dochodzeniowe i egzekucyjne przyjęte zgodnie z niniejszym rozporządzeniem muszą być odpowiednie do charakteru i całkowitej rzeczywistej lub potencjalnej szkody wynikającej z naruszenia.

2.Właściwe organy wykonują swoje uprawnienia do prowadzenia dochodzeń w sprawie domniemanych naruszeń niniejszego rozporządzenia oraz nakładają kary administracyjne i stosują inne środki administracyjne przewidziane w niniejszym rozporządzeniu, w dowolny z niniejszych sposobów:

a)bezpośrednio;

b)we współpracy z innymi organami;

c)w drodze przekazania uprawnień innym organom lub podmiotom;

d)w drodze wystąpienia do właściwych organów sądowych państwa członkowskiego.

W przypadku gdy właściwe organy wykonują swoje uprawnienia w drodze przekazania ich innym organom lub podmiotom zgodnie z lit. c), w przekazaniu uprawnień określa się przekazane zadania, warunki, na jakich mają być one wykonywane, oraz warunki, na jakich przekazane uprawnienia mogą zostać odwołane. Organy lub podmioty, którym przekazano uprawnienia, są zorganizowane w sposób zapewniający unikanie konfliktów interesów. Właściwe organy nadzorują działalność organów lub podmiotów, którym przekazano uprawnienia.

3.Wykonując swoje uprawnienia do prowadzenia dochodzeń i nakładania sankcji, w tym w sprawach transgranicznych, właściwe organy skutecznie współpracują ze sobą oraz z organami z dowolnego zainteresowanego sektora, w stosownych przypadkach i zgodnie z prawem krajowym i prawem Unii, w celu zagwarantowania wymiany informacji i wzajemnej pomocy niezbędnej do skutecznego egzekwowania kar administracyjnych i środków administracyjnych.

Artykuł 19
Ugody i przyspieszone postępowania egzekucyjne

1.Bez uszczerbku dla art. 20 państwa członkowskie mogą ustanowić przepisy umożliwiające właściwym organom tych państw zamknięcie dochodzenia w sprawie domniemanego naruszenia niniejszego rozporządzenia w następstwie ugody w celu wyeliminowania domniemanego naruszenia i jego konsekwencji przez rozpoczęciem formalnych postępowań karnych.

2.Państwa członkowskie mogą ustanowić przepisy umożliwiające właściwym organom tych państw zamknięcie dochodzenia w sprawie stwierdzonego naruszenia za pośrednictwem przyspieszonego postępowania egzekucyjnego, aby osiągnąć sprawne przyjęcie decyzji mającej na celu nałożenie kary administracyjnej lub zastosowanie środka administracyjnego. 

Uprawnienie właściwych organów do zawarcia ugody lub wszczęcia przyspieszonego postępowania egzekucyjnego nie ma wpływu na obowiązki państw członkowskich wynikające z art. 20.

3.Jeżeli państwa członkowskie ustanawiają przepisy, o których mowa w ust. 1, powiadamiają Komisję o odpowiednich przepisach ustawowych, wykonawczych i administracyjnych regulujących wykonywanie uprawnień, o których mowa w tym ustępie, oraz powiadamiają ją o wszelkich późniejszych zmianach mających wpływ na wspomniane przepisy.

Artykuł 20
Kary administracyjne i inne środki administracyjne

1.Bez uszczerbku dla uprawnień nadzorczych i dochodzeniowych właściwych organów wymienionych w art. 18 państwa członkowskie, zgodnie z prawem krajowym, przyznają właściwym organom uprawnienia do stosowania odpowiednich kar administracyjnych i innych środków administracyjnych w związku z następującymi naruszeniami:

a)naruszeniami art. 4, 5 i 6;

b)naruszeniami art. 7 i 8;

c)naruszeniami art. 9 i 10;

d)naruszeniami art. 13 i 16;

e)naruszeniami art. 28.

2.Państwa członkowskie mogą zadecydować o nieustanowieniu przepisów dotyczących kar administracyjnych i środków administracyjnych mających zastosowanie do naruszeń niniejszego rozporządzenia, które podlegają sankcjom karnym na podstawie ich krajowego prawa karnego. W takim przypadku państwa członkowskie powiadamiają Komisję o odpowiednich przepisach prawa karnego i wszelkich późniejszych zmianach tych przepisów.

3.Państwa członkowskie zapewniają, zgodnie z prawem krajowym, aby w odniesieniu do naruszeń, o których mowa w ust. 1, właściwe organy miały uprawnienia do nakładania poniższych kar administracyjnych i stosowania innych środków administracyjnych:

a)podanie do wiadomości publicznej informacji wskazującej osobę fizyczną lub prawną odpowiedzialną za naruszenie oraz charakter naruszenia;

b)nakaz zobowiązujący odpowiedzialną osobę fizyczną lub prawną do zaprzestania określonego postępowania stanowiącego naruszenie oraz do powstrzymania się od jego ponownego podejmowania;

c)wyrównanie korzyści uzyskanych lub wyrównania strat unikniętych w wyniku naruszenia, o ile możliwe jest ich ustalenie;

d)tymczasowe zawieszenie zezwolenia na prowadzenie działalności w charakterze dostawcy usług z zakresu informacji finansowych;

e)administracyjna kara pieniężna w maksymalnej wysokości co najmniej dwukrotności kwoty korzyści uzyskanych lub strat unikniętych w wyniku naruszenia, o ile można je określić, nawet jeżeli wysokość takiej kary przekracza kwoty maksymalne określone w lit. f) niniejszego ustępu w odniesieniu do osób fizycznych lub w ust. 4 w odniesieniu do osób prawnych;

f)w przypadku osoby fizycznej –administracyjna kara pieniężna w maksymalnej wysokości 25 000 EUR za każde naruszenie i łącznie do 250 000 EUR rocznie lub – w państwach członkowskich, których walutą urzędową nie jest euro – równowartość tej kwoty w walucie urzędowej tego państwa członkowskiego na dzień ... [Urząd Publikacji: proszę wstawić datę wejścia w życie niniejszego rozporządzenia] r.;

g)tymczasowy zakaz pełnienia funkcji kierowniczych w przedsiębiorstwie dostawców usług z zakresu informacji finansowych wobec dowolnego członka organu zarządzającego dostawcy usług z zakresu informacji finansowych lub dowolnej innej osoby fizycznej, których uznano za odpowiedzialnych za naruszenie;

h)w razie ponownego naruszenia przepisów artykułów, o których mowa w ust. 1, co najmniej 10-letni zakaz pełnienia funkcji kierowniczych w przedsiębiorstwie dostawcy usług z zakresu informacji finansowych wobec dowolnego członka organu zarządzającego dostawcy usług z zakresu informacji finansowych lub dowolnej innej osoby fizycznej, których uznano za odpowiedzialnych za naruszenie.

4.Państwa członkowskie zapewniają, zgodnie z prawem krajowym, aby w odniesieniu do naruszeń, o których mowa w ust. 1, popełnianych przez osoby prawne właściwe organy miały uprawnienia do nakładania administracyjnych kar pieniężnych w maksymalnej wysokości:

a)50 000 EUR za każde naruszenie i łącznie do 500 000 EUR rocznie lub – w państwach członkowskich, których walutą urzędową nie jest euro – równowartości tej kwoty w walucie urzędowej tego państwa członkowskiego na dzień ... [Urząd Publikacji: proszę wstawić datę wejścia w życie niniejszego rozporządzenia] r.;

b)2 % łącznego rocznego obrotu osoby prawnej ustalonego na podstawie ostatniego dostępnego sprawozdania finansowego zatwierdzonego przez organ zarządzający.

W przypadku gdy osoba prawna, o której mowa w akapicie pierwszym, jest jednostką dominującą lub jednostką zależną jednostki dominującej, która jest zobowiązana do sporządzenia skonsolidowanego sprawozdania finansowego zgodnie z art. 22. dyrektywy Parlamentu Europejskiego i Rady 2013/34/UE 45 , za odpowiedni łączny roczny obrót uznaje się przychody netto ze sprzedaży lub przychody, które należy określić zgodnie z odpowiednimi standardami rachunkowości, zgodnie ze skonsolidowanymi sprawozdaniami finansowymi jednostki dominującej najwyższego szczebla dostępnymi na ostatni dzień bilansowy, za które odpowiedzialność ponoszą członkowie organu administrującego, zarządzającego i nadzorczego jednostki dominującej najwyższego szczebla.

5.Państwa członkowskie mogą upoważnić właściwe organy do nakładania innych rodzajów kar administracyjnych i stosowania innych środków administracyjnych oprócz tych, o których mowa w ust. 3 i 4, i mogą przewidzieć wyższe kwoty administracyjnych kar pieniężnych niż kwoty określone w tych ustępach.

Państwa członkowskie powiadamiają Komisję o poziomie takich wyższych kar oraz o wszelkich późniejszych zmianach wysokości tych kar.

Artykuł 21
Okresowe kary pieniężne

1.Właściwe organy są uprawnione do nakładania okresowych kar pieniężnych na osoby prawne lub fizyczne za ciągłe niestosowanie się do decyzji, nakazu, środka tymczasowego, wniosku, obowiązku lub innego środka administracyjnego przyjętego zgodnie z niniejszym rozporządzeniem.

Okresowa kara pieniężna, o której mowa w akapicie pierwszym, musi być skuteczna i proporcjonalna i składać się z kwot, które mają by uiszczane każdego dnia aż do zastosowania się do danego środka. Okresową karę pieniężną nakłada się na okres nieprzekraczający sześciu miesięcy od dnia określonego w decyzji o nałożeniu okresowych kar pieniężnych.

Właściwe organy są uprawnione do nakładania następujących okresowych kar pieniężnych, które mogą być korygowane w zależności od wagi naruszenia i potrzeb danego sektora:

a)3 % średniego dziennego obrotu w przypadku osoby prawnej;

b)30 000 EUR w przypadku osoby fizycznej.

2.Średni dzienny obrót, o którym mowa w ust. 1 akapit trzeci lit. a), jest równy całkowitemu rocznemu obrotowi podzielonemu przez 365.

3.Państwa członkowskie mogą przewidzieć wyższe kwoty okresowych kar pieniężnych niż kwoty określone w ust. 1 akapit trzeci.

Artykuł 22
Okoliczności, które należy uwzględnić przy określaniu kar administracyjnych i innych środków administracyjnych

1.Przy określaniu rodzaju i poziomu kar administracyjnych lub innego środka administracyjnego właściwe organy biorą pod uwagę wszystkie istotne okoliczności w celu zapewnienia, aby takie kary lub środki były skuteczne i proporcjonalne. Okoliczności te obejmują, w stosownych przypadkach:

a)wagę naruszenia oraz czas jego trwania;

b)stopień przyczynienia się osoby prawnej lub fizycznej do naruszenia;

c)sytuację finansową osoby prawnej lub fizycznej odpowiedzialnej za dane naruszenie, określoną na przykład na podstawie wysokości rocznego obrotu osoby prawnej lub rocznego dochodu osoby fizycznej odpowiedzialnej za dane naruszenie;

d)poziom korzyści uzyskanych lub strat unikniętych przez osobę prawną lub fizyczną odpowiedzialną za dane naruszenie, jeżeli takie korzyści lub straty można ustalić;

e)straty poniesione przez osoby trzecie w wyniku naruszenia, jeżeli straty takie można ustalić;

f)niekorzystne skutki dla osoby prawnej lub fizycznej odpowiedzialnej za naruszenie wynikające z powielania się postępowań karnych i administracyjnych oraz kar za to samo postępowanie;

g)wpływ naruszenia na interesy klientów;

h)wszelkie rzeczywiste lub potencjalne negatywne skutki systemowe naruszenia;

i)współsprawstwo lub zorganizowany udział więcej niż jednej osoby prawnej lub fizycznej w naruszeniu;

j)wcześniejsze naruszenia popełnione przez osobę prawną lub fizyczną odpowiedzialną za dane naruszenie;

k)gotowość osoby prawnej lub fizycznej odpowiedzialnej za dane naruszenie do współpracy z właściwym organem;

l)wszelkie działania naprawcze podjęte przez osobę prawną lub fizyczną odpowiedzialną za naruszenie w celu zapobieżenia powtórnemu naruszeniu.

2.Właściwe organy, które stosują ugody lub przyspieszone postępowania egzekucyjne zgodnie z art. 19, dostosowują odpowiednie kary administracyjne i inne środki administracyjne przewidziane w art. 20 do danej sprawy, tak aby zapewnić ich proporcjonalność, w szczególności w drodze uwzględnienia okoliczności wymienionych w ust. 1.

Artykuł 23
Tajemnica zawodowa

1.Wszystkie osoby pracujące obecnie lub w przeszłości dla właściwych organów, jak również eksperci działający w imieniu właściwych organów, są zobowiązani do dochowania tajemnicy zawodowej.

2.Informacje będące przedmiotem wymiany zgodnie z art. 26 są objęte obowiązkiem zachowania tajemnicy zawodowej zarówno przez organ udostępniający, jak i przez organ otrzymujący informacje, aby zapewnić należytą ochronę praw osób fizycznych i przedsiębiorstw.

Artykuł 24
Prawo do odwołania

1.W przypadku wszystkich decyzji podejmowanych przez właściwe organy zgodnie z niniejszym rozporządzeniem istnieje możliwość zaskarżenia ich przed sądem.

2.Ust. 1 stosuje się także w przypadku zaniechania działania.

Artykuł 25
Publikacja decyzji właściwych organów

1.Właściwe organy publikują na swojej stronie internetowej informacje o wszystkich decyzjach dotyczących nałożenia kary administracyjnej lub zastosowania środka administracyjnego w odniesieniu do osób prawnych i fizycznych w związku z naruszeniami niniejszego rozporządzenia oraz, w stosownych przypadkach, informacje o wszystkich zawartych ugodach. Publikacja taka zawiera krótki opis naruszenia, nałożonej kary administracyjnej lub zastosowania innego środka administracyjnego lub, w stosownych przypadkach, oświadczenie o zawarciu ugody. Nie publikuje się informacji na temat tożsamości osoby fizycznej, której dotyczy decyzja dotycząca nałożenia kary administracyjnej lub zastosowania środka administracyjnego.

Właściwe organy publikują decyzję i oświadczenie, o których mowa w ust. 1, niezwłocznie po powiadomieniu osoby prawnej lub fizycznej, której dotyczy decyzja, o tej decyzji lub po podpisaniu ugody.

2.Na zasadzie odstępstwa od ust. 1, w przypadku gdy właściwy organ krajowy uzna publikację informacji na temat tożsamości lub innych danych osobowych osoby fizycznej za niezbędną do celów ochrony stabilności rynków finansowych lub do celów zapewnienia skutecznego egzekwowania niniejszego rozporządzenia, w tym w przypadku oświadczeń publicznych, o których mowa w art. 20 ust. 3 lit. a), lub tymczasowych zakazów, o których mowa w art. 20 ust. 3 lit. g), właściwy organ krajowy może opublikować również informacje na temat tożsamości osób lub dane osobowe, pod warunkiem że uzasadni taką decyzję oraz że publikacja taka ogranicza się do danych osobowych, których ujawnienie jest absolutnie niezbędne do ochrony stabilności rynków finansowych lub do zapewnienia skutecznego egzekwowania niniejszego rozporządzenia.

3.W przypadku gdy od decyzji o nałożeniu kary administracyjnej lub innego środka administracyjnego przysługuje odwołanie do odpowiednich organów sądowych lub innego organu, właściwe organy niezwłocznie publikują na swojej urzędowej stronie internetowej informację na temat takiego odwołania oraz wszelkie późniejsze informacje na temat wyniku tego odwołania w zakresie, w jakim dotyczy ono osób prawnych. W przypadku gdy decyzja, od której wniesiono odwołanie, dotyczy osób fizycznych, a odstępstwo określone w ust. 2 nie ma zastosowania, właściwe organy publikują informacje na temat odwołania wyłącznie w wersji zanonimizowanej.