Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52014XX0208(05)

Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu direktive Evropskega parlamenta in Sveta o plačilnih storitvah na notranjem trgu, o spremembah direktiv 2002/65/ES, 2006/48/ES in 2009/110/ES ter o razveljavitvi Direktive 2007/64/ES, ter predlogu uredbe Evropskega parlamenta in Sveta o medbančnih provizijah za kartične plačilne transakcije

OJ C 38, 8.2.2014, p. 14–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
OJ C 38, 8.2.2014, p. 10–11 (HR)

8.2.2014   

SL

Uradni list Evropske unije

C 38/14


Povzetek mnenja Evropskega nadzornika za varstvo podatkov o predlogu direktive Evropskega parlamenta in Sveta o plačilnih storitvah na notranjem trgu, o spremembah direktiv 2002/65/ES, 2006/48/ES in 2009/110/ES ter o razveljavitvi Direktive 2007/64/ES, ter predlogu uredbe Evropskega parlamenta in Sveta o medbančnih provizijah za kartične plačilne transakcije

(Celotno besedilo tega mnenja je na voljo v angleškem, francoskem in nemškem jeziku na spletni strani ENVP na naslovu http://www.edps.europa.eu)

(2014/C 38/07)

1.   Uvod

1.1   Posvetovanje z Evropskim nadzornikom za varstvo podatkov (ENVP)

1.

Komisija je 27. julija 2013 sprejela osnutek predloga direktive Evropskega parlamenta in Sveta o plačilnih storitvah na notranjem trgu, o spremembah direktiv 2002/65/ES, 2006/48/ES in 2009/110/ES ter o razveljavitvi Direktive 2007/64/ES (v nadaljnjem besedilu: predlagana direktiva), ter uredbe Evropskega parlamenta in Sveta o medbančnih provizijah za kartične plačilne transakcije (1). Predloga sta bila 28. julija 2013 poslana ENVP v posvetovanje.

2.

ENVP pozdravlja dejstvo, da se Komisija posvetuje z njim in da je sklicevanje na to mnenje vključeno v preambuli predlaganih instrumentov.

3.

ENVP je imel pred sprejetjem predlagane uredbe možnost, da Komisiji posreduje neuradne pripombe. Nekatere pripombe so bile upoštevane, zaradi česar predlagana uredba vsebuje močnejše zaščitne ukrepe na področju varstva podatkov.

4.

Ker predlagana uredba ne vzbuja nobenih pomislekov glede varstva podatkov, bodo pripombe ENVP namenjene samo predlagani direktivi.

1.2   Cilji in obseg predlagane direktive

5.

Cilj predlagane direktive je pomagati pri nadaljnjem razvoju vseevropskega trga elektronskih plačil, ki bo potrošnikom, trgovcem na drobno in drugim udeležencem na trgu omogočil, da v celoti izkoristijo prednosti notranjega trga EU v skladu s strategijo Evropa 2020 in digitalno agendo. Da bi to dosegli in spodbudili večjo konkurenco, učinkovitost in inovacije na področju elektronskih plačil, je treba po navedbah Komisije vzpostaviti pravno jasnost in enake konkurenčne pogoje, kar prinaša znižanje stroškov in cen za uporabnike plačilnih storitev ter več izbire in preglednosti pri plačilnih storitvah, spodbuja ponujanje inovativnih plačilnih storitev ter zagotavlja varne in pregledne plačilne storitve.

6.

Komisija trdi, da bodo ti cilji doseženi s posodobitvijo in dopolnitvijo sedanjega okvira za plačilne storitve, s čimer se bodo določila pravila za povečanje preglednosti, inovacij in varnosti na področju plačil malih vrednosti in izboljšala skladnost nacionalnih predpisov s poudarkom na legitimnih potrebah potrošnikov.

3.   Sklepne ugotovitve

ENVP pozdravlja dejstvo, da je bila v člen 84 vključena vsebinska določba, v skladu s katero mora kakršna koli obdelava osebnih podatkov, ki se izvaja v skladu s predlagano direktivo, potekati ob doslednem upoštevanju nacionalne zakonodaje, s katero se prenašata Direktiva 95/46/ES in Direktiva 2002/58/ES, ter v skladu z Uredbo (ES) št. 45/2001.

ENVP pri tem podaja naslednja priporočila:

v konkretnih zaščitnih ukrepih, ki se bodo uporabljali v vseh položajih, v katerih se predvideva obdelava osebnih podatkov, je treba navesti sklicevanja na veljavno zakonodajo s področja varstva podatkov,

v osnutku direktive je treba jasno navesti, da lahko zagotavljanje plačilnih storitev vključuje obdelavo osebnih podatkov,

v predlagani direktivi je treba izrecno pojasniti, da se osebni podatki lahko obdelujejo, če je to potrebno za izvajanje plačilnih storitev,

dodati je treba vsebinsko določbo, v kateri je navedeno, da je treba „vgrajeno zasebnost/samodejno zasebnost“ vključiti v vse sisteme za obdelavo podatkov, ki se razvijajo in uporabljajo v okviru predlagane direktive,

v zvezi z izmenjavo informacij je treba: (i) navesti namene, za katere nacionalni pristojni organi, centralna banka EU, nacionalne centralne banke in drugi organi iz člena 25 lahko obdelujejo osebne podatke; (ii) podrobneje opredeliti vrste osebnih podatkov, ki jih je dovoljeno obdelovati v skladu s predlagano direktivo, in (iii) določiti sorazmerno obdobje hrambe podatkov za obdelavo ali vsaj uvesti natančna merila za njegovo opredelitev,

v člen 22 je treba vključiti zahtevo, da morajo pristojni organi zahtevati dokumentacijo in informacije z uradno odločbo, v kateri se navedejo pravna podlaga in namen zahtevka, katere informacije se zahtevajo in rok, v katerem je treba zagotoviti informacije,

v člen 31 je treba vnesti določbo, da se načini, določeni za zagotavljanje informacij uporabnikom, uporabljajo tudi za zagotavljanje informacij o obdelovanju osebnih podatkov v skladu s členoma 10 in 11 Direktive 95/46/ES,

pri izrazu „razpoložljivost zadostnih sredstev“ v členih 58 in 59 je treba jasno navesti, da lahko informacije, ki se prenašajo tretji stranki, pri vprašanju o razpoložljivosti zadostnih sredstev vsebujejo samo preprost odgovor „da“ ali „ne“, in ne na primer izpiska o stanju sredstev na računu,

pri izrazu „občutljivi plačilni podatki“ v členu 58 je treba izraz „občutljivi“ izbrisati in uporabiti izraz „plačilni podatki“,

v uvodni izjavi je treba pojasniti, da obveznosti poročanja o varnostnih incidentih ne vplivajo na druge obveznosti poročanja o incidentih, ki so določene v drugi zakonodaji, zlasti ne na kršitve zahtev o osebnih podatkih, ki so določene v zakonodaji o varstvu podatkov (v Direktivi 2002/58/ES ter v predlagani splošni direktivi o varstvu podatkov), in zahtev v zvezi z obveščanjem o varnostnih incidentih, ki se načrtujejo v skladu s predlagano direktivo o varnosti omrežij in informacij,

treba je zagotoviti, da se pri obdelavi osebnih podatkov ter njihovem pošiljanju med različnimi posredniki upoštevata načeli zaupnosti in varnosti v skladu s členoma 16 in 17 Direktive 95/46/ES,

v predlagano direktivo je treba vnesti vsebinsko določbo, ki vključuje obveznost, da se standardi razvijajo na podlagi in po izvedbi ocen vpliva na zasebnost,

v predlagano direktivo je treba vključiti sklicevanje na potrebo po posvetovanju z ENVP, če se smernice EBA o najsodobnejših metodah za avtentikacijo strank in vseh izjemah pri uporabi močne avtentikacije strank nanašajo na obdelavo osebnih podatkov.

V Bruslju, 5. decembra 2013

Giovanni BUTTARELLI

Pomočnik evropskega nadzornika za varstvo podatkov


(1)  COM(2013) 547 final in COM(2013) 550 final.


Top