EUROPEISKA KOMMISSIONEN

Bryssel den 28.6.2023

COM(2023) 360 final

2023/0205(COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om en ram för åtkomst till finansdata och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010, (EU) nr 1095/2010 och (EU) 2022/2554

(Text av betydelse för EES)

{SEC(2023) 255 final} - {SWD(2023) 224 final} - {SWD(2023) 230 final}

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

•Motiv och syfte med förslaget

 För att Europa ska vara framgångsrikt i en datadriven ekonomi som tjänar invånarna och samhället måste Europa hitta balans mellan å ena sidan flödet av data, liksom den utbredda användningen av data och, å andra sidan, en hög nivå av integritet, säkerhet, trygghet och etiska normer. I meddelandet om en EU-strategi för data 1 anger kommissionen att EU bör skapa en attraktiv politisk miljö så att EU:s andel av dataekonomin år 2030 åtminstone motsvarar dess ekonomiska betydelse. 

När det gäller finanssektorn fastställde kommissionen i sin strategi för digitalisering av finanssektorn från 2020 2 att främjande av datadriven innovation inom finanssektorn är en prioritet och tillkännagav att man ämnade lägga fram ett lagförslag om en ram för åtkomst till finansdata. I meddelandet om en kapitalmarknadsunion från 2021 3 bekräftade kommissionen sin ambition att påskynda sitt arbete med att främja datadrivna finansiella tjänster. Man tillkännagav att en expertgrupp för ett europeiskt dataområde för finanssektorn hade inrättats som skulle ge synpunkter på en första uppsättning användningsfall. Senare har även kommissionens ordförande Ursula von der Leyen i sin avsiktsförklaring om tillståndet i unionen 2022 bekräftat att åtkomst till data när det gäller finansiella tjänster är ett av de viktigaste nya initiativen 2023.

Förutom när det gäller betalkonton har inte kunderna i EU:s finanssektor i dag någon faktisk kontroll över vilka som har åtkomst till deras data och hur deras data används. Dataanvändare, det vill säga företag som vill få åtkomst till kunddata för att kunna erbjuda innovativa tjänster, har svårt att få åtkomst till data som finns hos datainnehavare, dvs. finansinstitut som samlar in, lagrar och behandlar kunddata. Som en följd av detta har inte kunder någon betydande tillgång till datadrivna finansiella produkter även i de fall då de skulle vilja det. Det är flera olika sinsemellan sammankopplade problem som ger upphov till denna begränsade åtkomst till data. För det första finns det inga regler eller verktyg för hantering av tillstånd att dela data, och det gör att kunderna inte litar på att de eventuella riskerna med att dela data är under kontroll. Därför är de ofta ovilliga till att dela sina data. För det andra är reglerna för sådan datadelning antingen obefintliga eller otydliga, även i fall där kunderna vill dela sina data. Därför är datainnehavare, till exempel kreditinstitut, försäkringsgivare och andra finansinstitut som innehar kunddata, inte alltid tvungna att ge åtkomst till dataanvändare, som fintechbolag, alltså företag som möjliggör eller erbjuder finansiella tjänster med hjälp av teknik, eller finansinstitut som tillhandahåller finansiella tjänster och utvecklar finansiella produkter som bygger på datadelning av deras data. För det tredje blir datadelning dyrare eftersom det inte finns några standarder varken för data eller för den tekniska infrastrukturen och dessa därför varierar väsentligt.

Syftet med detta förslag är att åtgärda dessa problem genom att konsumenter och företag får bättre kontroll över vem som får åtkomst till deras finansdata. På så sätt skulle konsumenter och företag få tillgång till finansiella produkter och tjänster som är skräddarsydda efter deras behov utifrån data som är relevanta för dem, samtidigt som naturligt förekommande riskerna undviks.

Det allmänna syftet med detta förslag är att förbättra de ekonomiska resultaten för de som nyttjar finansiella tjänster (konsumenter och företag) och för företag inom finanssektorn genom att främja digital omställning och få fler inom EU:s finanssektor att snabbare börja använda sig av datadrivna affärsmodeller. När detta har uppnåtts kan de konsumenter som så vill få tillgång till personligt anpassade, datadrivna produkter och tjänster som förhoppningsvis tillgodoser deras behov bättre. Företag, främst små och medelstora företag, skulle få större tillgång till finansiella produkter och tjänster. Finansinstitut skulle till fullo kunna utnyttja trender inom den digitala omställningen, medan tredjepartsleverantörer av tjänster skulle få nya affärsmöjligheter inom datadriven innovation. Konsumenter och företag får åtkomst till sina finansdata så att dataanvändare kan tillhandahålla skräddarsydda finansiella produkter och tjänster som är bättre anpassade efter kundernas och företagens behov.

Förslaget innebär inga lägre administrativa kostnader eftersom det rör sig om ny lagstiftning och inte om en ändring av tidigare EU-regler. Av samma anledning ingår detta initiativ inte heller i kommissionens program om lagstiftningens ändamålsenlighet och resultat (Refit-programmet) som ska säkerställa att målen med EU:s lagstiftning uppnås till så låg kostnad som möjligt till gagn för invånare och företag.

•Förenlighet med befintliga bestämmelser inom området

Detta förslag bygger på det ändrade betaltjänstdirektivet, enligt vilket betalkontouppgifter får delas (öppna banktjänster). Genom detta förslag blir det möjligt att dela data om andra finansiella tjänster, och regler för hur datadelningen ska åstadkommas fastställs. Här ges även regler för de marknadsaktörer som bedriver sådan verksamhet.

•Förenlighet med unionens politik inom andra områden

Detta förslag är förenligt med den allmänna dataskyddsförordningen, som innehåller allmänna regler för hur registrerades personuppgifter får behandlas och som säkerställer skydd för personuppgifter och fri rörlighet för personuppgifter.

Detta förslag utgör också en sektoriell byggsten som passar in i den mer omfattande EU-strategin för data och möjliggör datadelning inom finanssektorn och med andra sektorer. Det utgår från de grundläggande principerna för dataåtkomst och databehandling som beskrivs i kommissionens sektorsövergripande initiativ. I dataförvaltningsakten ligger fokus på att öka förtroendet för datadelning, förbättra en sömlös sammankoppling (interoperabilitet) mellan dataområden samt på att skapa en ram för leverantörer som erbjuder dataförmedlingstjänster. Ett annat sektorsövergripande initiativ är förordningen om digitala marknader, där ett antal datarelaterade skyldigheter fastslås som ska motverka grindvaktsplattformarnas makt och där konkurrensen på de digitala marknaderna säkerställs genom att finansinstitut, för sina kunders räkning, eller när de använder grindvakters centrala plattformstjänster, får åtkomst till de data som grindvakten innehar. Förslaget till en dataakt 4 är ett annat sektorsövergripande initiativ som fastställer nya dataåtkomsträttigheter för IoT-data (Internet of Things), det vill säga data som produkter erhåller, genererar eller samlar in om sin prestanda, användning eller miljö, för både produktanvändare och leverantörer av relaterade tjänster. Genom förslaget inrättas även allmänt tillämpliga skyldigheter för datainnehavare, som måste göra data tillgängliga för datamottagare enligt unionslagstiftning eller nationell lagstiftning som antagits i linje med unionslagstiftning.

Detta förslag kompletterar även EU:s strategi för icke-professionella investeringar 5 . Förslaget kommer att bidra till att målet med strategin uppnås, det vill säga att, genom garantier för hur data från icke-professionella investerare används inom finansiella tjänster, förbättra hur ramen för skydd av icke-professionella investerare fungerar. Dessutom överensstämmer förslaget med reglerna om cybersäkerhet och operativ motståndskraft i finanssektorn som fastställs i förordningen om digital operativ motståndskraft för finanssektorn, som trädde i kraft den 16 januari 2023.

2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

Enligt fördraget om Europeiska unionens funktionssätt (EUF-fördraget) har EU-institutionerna befogenhet att fastställa regler för medlemsstaternas tillnärmning av lagstiftning som syftar till att upprätta den inre marknaden och få den att fungera (artikel 114 i EUF-fördraget). Det innebär att de har befogenhet att anta EU-lagstiftning som ska tillnärma kraven för användning av data, som blir allt viktigare för finansinstitut, eftersom finansinstitut med gränsöverskridande verksamhet annars skulle behöva uppfylla varierande nationella krav, vilket skulle göra det dyrare att bedriva gränsöverskridande verksamhet. Gemensamma regler för datadelning inom finanssektorn skulle göra att den inre marknaden fungerar bättre och ge ett harmoniserat regelverk för förvaltning av finansdata i linje med EU-strategin för data. Detta kan bäst uppnås genom en förordning, som är direkt tillämplig i medlemsstaterna.

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet)

Dataekonomin är en viktig del av den inre marknaden. Dataflöden är en central komponent i digital verksamhet och följer mönstren i befintliga leveranskedjor och samarbeten mellan företag och konsumenter. Alla initiativ för att organisera sådana dataflöden måste gälla hela den inre marknaden. Eftersom datainnehavare oftast är finansinstitut som måste ha tillstånd och följa omfattande och detaljerade regler i direkt tillämpliga förordningar och tillsynsordningar, som är enhetliga på EU-nivå, måste gemensamma villkor fastställas och lika konkurrensvillkor mellan finansinstitut bevaras genom åtgärder på EU-nivå för att marknadens integritet, konsumenternas rättigheter och den finansiella stabiliteten ska skyddas. En annan anledning till åtgärder på EU-nivå är den höga graden av integrering i finanssektorn. Finansinstitut bedriver även betydande gränsöverskridande verksamhet.

De problem som beskrivs i konsekvensbedömningen till detta förslag är gemensamma för alla EU:s medlemsstater. Befogenheten att reglera finansiella tjänster delas mellan EU och medlemsstaterna. Dessa problem kan inte lösas av medlemsstaterna på egen hand eftersom innehavare av data och potentiella användare av kunddata inom finanssektorn ofta bedriver verksamhet i flera medlemsstater. En kunds data kan därför finnas hos olika finansinstitut i flera olika medlemsstater. För att förbättra förtroendet och se till att dessa data kan användas över gränserna måste alla dessa finansinstitut regleras av samma regelverk och samma tekniska standarder. Om varje medlemsstat har egna regler skulle kraven överlappa, och det skulle leda till oproportionerligt höga regelefterlevnadskostnader för företagen utan att det skulle vara det mest fördelaktiga för företag och konsumenter.

•Proportionalitetsprincipen

I linje med proportionalitetsprincipen går förslaget inte utöver vad som är nödvändigt för att uppnå förslagets mål. Förslaget gäller endast aspekter där de administrativa arbetsinsatserna och kostnaderna står i proportion till målen som man vill uppnå. Proportionaliteten har till exempel noga övervägts vad gäller omfattning och stränghet, och kvalitativa och kvantitativa bedömningskriterier har använts för att säkerställa att de nya reglerna får övergripande effekt. I bilaga 5 till den medföljande konsekvensbedömningen förklaras hur proportionalitet har varit utgångpunkten vid valet av dataset, och i bilaga 8 till den medföljande konsekvensbedömningen förklaras vilka åtgärder som har vidtagits för att se till att konsekvenserna för små och medelstora företag är proportionerliga.

•Val av instrument

Detta förslag bör utformas som en förordning, som är direkt tillämplig i alla medlemsstater. På så sätt säkerställs att samma regler gäller i alla medlemsstater med avseende på villkoren för åtkomst till kunddata relaterade till finansiella tjänster och hanteringen av sådana data.

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning

Detta nya förslag är helt fristående från befintlig lagstiftning. Det bygger på den ordning för öppna banktjänster som inrättas genom direktiv (EU) 2015/2366, skapar en ny rättighet för dataset som inte redan omfattas av annan EU-lagstiftning.

•Samråd med berörda parter

Den 10 maj 2022 gick Europeiska kommissionen ut med en inbjudan att lämna synpunkter rörande åtkomst till finansdata. Det gick att lämna synpunkter fram till och med den 2 augusti 2022, och 79 svar inkom. De som svarade som privatpersoner uttryckte oro över datadelning om det inte fanns något regelverk med tydliga garantier, till exempel manöverpaneler för integritetsinställningar, tydlig begränsning av omfattningen och lika villkor för olika marknadsaktörer. Företag var ganska positiva, förutsatt att det fanns garantier. Synpunkterna som kom in visade att åtkomst till finansdata kan ha en positiv effekt, om reglerna utformas på lämpligt sätt.

Den 10 maj 2022 inledde Europeiska kommissionen ett offentligt samråd om både översynen av det ändrade betaltjänstdirektivet och åtkomst till finansdata. Det offentliga samrådet avslutades den 2 augusti 2022. Svaren om åtkomst till finansdata bekräftade de synpunkter som hade inkommit som svar på inbjudan att lämna synpunkter. En majoritet av allmänheten svarade att de skulle vilja dela sina data förutsatt att de som konsumenter uttryckligen fick ge sitt samtycke till detta. Vissa uttryckte dock betänkligheter när det gäller delning av finansdata. Dessa betänkligheter berodde på bristande förtroende vad gäller integritet, dataskydd och digital säkerhet och en allmän känsla av inte ha kontroll över hur ens data används.

Berörda parter inom branschen (företagsanvändare, fintechbolag, konsumentorganisationer, liksom tillsynsmyndigheter och andra myndigheter inom området) var mer positivt inställda till datadelning och nämnde fördelar för kunderna i form av ökad konkurrens och innovation för finansiella produkter och tjänster. En betydande minoritet av aktörerna i branschen uttryckte även de oro över konkurrens, säkerhet och missbruk av data.

Den 10 maj 2022 inledde kommissionen även ett riktat samråd om åtkomst till finansdata och datadelning i finanssektorn. Det riktade samrådet pågick till och med den 5 juli 2022, och 94 svar kom in från berörda aktörer inom branschen.

Genom det riktade samrådet ville man få in expertsynpunkter om datadelning i finanssektorn från dessa aktörer. Det riktade samrådet riktade sig till finansinstitut, dataleverantörer, fintechbolag, företagsanvändare, konsumentskyddsorganisationer, liksom tillsynsmyndigheter och andra myndigheter med ansvar inom området. Överlag visade svaren att de flesta av samrådsdeltagarna som är verksamma inom branschen ser potentiella fördelar med ett regelverk för åtkomst till finansdata och därför stöder regleringsåtgärder inom vissa områden. Svaren från det riktade samrådet visar dock även att de berörda aktörernas åsikter går isär betydligt och att konsumenternas och datainnehavarnas stöd beror på hur dessa data kommer att bli tillgängliga och delas.

•Insamling och användning av sakkunnigutlåtanden

Den 24 oktober 2022 mottog kommissionen en rapport om öppna finansiella tjänster från expertgruppen för det gemensamma europeiska dataområdet för finanssektorn. I expertgruppen ingår konsumenter och experter från den akademiska världen och branschen (företag med bank-. försäkrings-, pensions- och investeringsverksamhet, liksom tredjepartsleverantörer och fintechbolag). I rapporten beskrivs de viktigaste komponenterna i ett ekosystem med öppna finansiella tjänster utifrån expertgruppens uppfattning (datatillgänglighet, dataskydd, datastandardisering, ansvar, lika spelregler och viktiga aktörer), liksom vilka frågor som bör diskuteras kring de olika komponenterna, samtidigt som även avvikande åsikter inom gruppen beskrivs. För att illustrera utmaningarna och möjligheterna med öppna finansiella tjänster har expertgruppen utvärderat flera specifika användningsfall, som beskrivs i rapporten. Användningsfallen och slutsatserna från rapporten har använts som underlag till detta förslag, särskilt vid avgörandet av vilka typer av data som ska omfattas av förslaget.

•Konsekvensbedömning

Förslaget åtföljs av en konsekvensbedömning som lades fram för kommissionens nämnd för lagstiftningskontroll den 3 februari 2023 och godkändes den 3 mars 2023. Nämnden rekommenderade förbättringar på ett antal områden. Bland annat ville man se ett starkare faktaunderlag, större fokus på konsumenternas förtroende och skydd för sårbara konsumenter, liksom bättre definition av begränsningarna och osäkerheterna i förslagets kostnads-nyttoanalys. Konsekvensbedömningen ändrades i enlighet med nämndens rekommendationer, varvid hänsyn togs till nämndens mer utförliga kommentarer.

De politiska alternativen har valts utifrån synpunkterna från kommissionens expertgrupp för det gemensamma europeiska dataområdet för finanssektorn och berörda aktörer.

Flera av de alternativ som övervägdes handlade om att förbättra kundernas förtroende för datadelning, förtydliga rättsläget, främja standardisering och tillhandahålla incitament. När det gällde kundernas förtroende övervägdes alternativ som obligatoriska manöverpaneler för tillstånd som gäller åtkomst till finansdata, regler om vem som kan få åtkomst till kunddata och att komplettera dessa regler med andra garantier, som riktlinjer som skyddar konsumenterna mot orättvis behandling och exkludering.

När det gäller rättsläget övervägde man bland annat i vilken utsträckning datainnehavare ska vara skyldiga att dela sina kunddata med dataanvändare. Det kunde vara obligatoriskt om kunden begär det. Vilka typer av företag som ska vara skyldiga att dela data övervägdes också (kreditinstitut, betaltjänstleverantörer eller andra typer av finansinstitut inom hela finanssektorn).

Flera alternativ för hur man kan åstadkomma standardisering av kunddata och gränssnitt övervägdes. Ett alternativ var att marknadsaktörerna ska ingå i system för delning av finansdata och tillsammans utarbeta gemensamma standarder för kunddata och gränssnitt. Man övervägde även om det ska vara frivilligt eller obligatoriskt för marknadsaktörerna att ingå i ett sådant system för att få åtkomst till data. Ett annat alternativ var att inrätta ett sådant system genom delegerade akter eller genomförandeakter (s.k. nivå 2-lagstiftning, som kompletterar eller ändrar vissa icke väsentliga delar av grundakterna).

När det gäller hur man kan få till stånd högkvalitativa gränssnitt för delning av kunddata var det ett antal olika alternativ som övervägdes. Ett alternativ var att datainnehavare skulle vara skyldiga att erbjuda programmeringsgränssnitt (API:er) enligt gemensamma standarder för data och gränssnitt som dataanvändare har tillgång till utan avtal och kan använda utan att betala någon ersättning till innehavarna. Ett annat alternativ var att tillåta skälig ersättning för att få tillgång till och använda gränssnitt och komma överens om avtalsrättsligt ansvar.

Kommissionen kom fram till att det rekommenderade alternativet är en EU-förordning med regler för åtkomst till finansdata där följande ska gälla:

·Marknadsaktörer ska vara skyldiga att erbjuda sina kunder manöverpaneler för tillstånd rörande åtkomst till finansdata. Det ska finnas behörighetsregler för vilka som får åtkomst till kunddata, och europeiska tillsynsmyndigheter ska ges rätt att utfärda riktlinjer som ska skydda konsumenter från orättvis behandling och exkludering.

·Det ska vara obligatoriskt att ge dataanvändare åtkomst till vissa kunddataset inom finanssektorn förutsatt att kunderna som dessa data gäller ger sitt samtycke.

·Marknadsaktörerna ska ingå i ett system och vara skyldiga att utarbeta gemensamma standarder för kunddata och gränssnitt för sådana data till vilka åtkomst måste beviljas. och

·Datainnehavare ska vara skyldiga att mot betalning erbjuda API:er som följer de gemensamma standarder för kunddata och gränssnitt som tagits fram inom ramen för ett system, och de som deltar i systemet ska komma överens om avtalsrättsligt ansvar.

Generellt förväntas detta förslag medföra ekonomiska konsekvenser i form av större tillgång till bättre finansiella tjänster, vilket skulle förbättra den allmänna kopplingen mellan pris och kvalitet. Åtkomst till finansdata skulle ge mer användarcentrerade tjänster. Konsumenter som vill ha investeringsråd skulle exempelvis kunna få personligt anpassade tjänster, och automatiserade kreditprövningar borde underlätta för små och medelstora företag att få tillgång till finansiering. Det förväntas ha en positiv effekt på ekonomin i stort i och med att tjänster kan utföras effektivare och konkurrensen blir mer verkningsfull. För att dessa positiva konsekvenser ska bli verklighet är det dock viktigt att återanvändning av data inte leder till konkurrensbegränsande beteenden och otillåten samverkan, särskilt med tanke på kravet på att följa avtalsordningar eller till att främst datainnehavare utesluter konkurrenter genom att ta ut höga avgifter för dataåtkomst.

Förslaget förväntas ha en allmän positiv inverkan på samhället förutsatt att tillhörande risker hålls i schack. Delningen av kunddata skulle vara kontrollerad eftersom kunderna måste ge tillstånd till delningen. Obligatorisk åtkomst skulle endast gälla då kunderna har begärt att deras data ska delas. Delning av mer detaljerade data skulle kunna ge tidigare utestängda personer tillgång till finansiering, och det skulle bli lättare att anpassa sparande och pensioner, i och med att kunderna kan få god överblick över privata pensionsrättigheter och tjänstepensionsrättigheter, liksom annat pensionssparande. Utan tillräckliga garantier kan å andra sidan ökad användning av data i vissa fall ge upphov till högre kostnader eller till och med leda till att kunder med ogynnsam riskprofil exkluderas i ännu större utsträckning. Särskild uppmärksamhet bör riktas mot tjänster som innebär riskdelning, som försäkringar. Med det rekommenderade alternativet skulle dock sådana effekter mildras eftersom dataset som direkt rör finansiella tjänster som är grundläggande för kunder inte skulle omfattas av datadelningsreglerna, och EBA:s och Eiopas riktlinjer om tillämpliga gränser för användning av personuppgifter skulle utgöra en ytterligare garanti.

Överlag förväntas åtkomst till finansdata ha neutral eller positiv inverkan på miljön, i och med att det sannolikt skulle medföra större användning av innovativa investeringstjänster, till exempel tjänster som innebär att investeringar kanaliseras till mer hållbara verksamheter. Intensivare användning av datacentraler, som går hand i hand med ökad återanvändning av data, skulle eventuellt kunna medföra vissa negativa konsekvenser, men de skulle i så fall sannolikt vara begränsade eftersom den största mängden data som omfattas av detta förslag redan finns i digital form. Den ökade behandlingsvolymen skulle främst uppstå när dataanvändare hämtar dessa data.

Den begränsade tillgången till data och detta förslags karaktär gör det svårt att göra kvantitativa förutsägelser om hur förslaget skulle gynna ekonomin i stort. Det är även svårt att särskilja effekterna av varje enskild politisk åtgärd från den samlade effekten av alla åtgärder tillsammans. Kostnaderna för varje enskilt politiskt alternativ är redan svåra att uppskatta, men att mäta de enskilda fördelarna med varje alternativ är ännu svårare. Det gjordes ett försök att göra en makroekonomisk bedömning av fördelarna utifrån en studie på makronivå, men syftet med den studien var dock inte att kvantifiera fördelarna med just detta förslag. Siffrorna nedan bör därför ses som en illustration över de möjliga fördelarna snarare än en specifik uppskattning. Enligt den makroekonomiska bedömningen skulle bättre åtkomst till data och datadelning i EU:s finanssektor per år ge en kostnadsnytta för EU:s ekonomi på sammanlagt mellan 4,6 och 12,4 miljarder EUR, inräknat en direkt effekt på finansdatasektorn inom EU på mellan 663 miljoner och 2 miljarder EUR per år. De sammanlagda kostnaderna för förslaget skulle kunna ligga på mellan 2,2 till 2,4 miljarder EUR i engångskostnader och på mellan 147 till 465 miljoner EUR i återkommande kostnader per år.

Det finns många aspekter i digitaliseringen av finanssektorn som kan göra att ekonomin fungerar bättre och som gynnar hållbar utveckling. Tillgång till finansiering är en av de största utmaningarna för hållbar utveckling. Även om det inte är det främsta syftet med detta förslag kommer detta förslag att indirekt gynna inkluderande och hållbar tillväxt och sysselsättning. Förslaget kan medföra att socialt utestängda får bättre tillgång till finansiering. Detta förslag går även i linje med målet att bygga motståndskraftig infrastruktur, verka för hållbar industrialisering och främja innovation. Förslaget kan sätta konkurrensfrämjande ekonomiska krafter i rörelse som kan förbättra konnektiviteten inom finanssektorn. Förslaget kommer även bidra till insatserna mot klimatförändringarna genom riktade investeringsråd som hjälper investerare att fatta välinformerade beslut som innebär att kapitalflöden kanaliseras mot hållbara investeringar.

•Lagstiftningens ändamålsenlighet och förenkling

•Grundläggande rättigheter

4.BUDGETKONSEKVENSER

Att genomföra detta förslag skulle inte påverka Europeiska unionens allmänna budget. Även om de europeiska tillsynsmyndigheterna måste utföra visst arbete för att lagstiftningen ska tillämpas korrekt ingår det mesta av detta arbete i dessa myndigheters befintliga uppdrag, som att utarbeta förslag till regel- och genomförandestandarder, liksom riktlinjer för bättre tillämpning av denna förordning. Europeiska bankmyndigheten (EBA) skulle dessutom behöva inrätta ett register med information om exempelvis leverantörer av finansinformationstjänster, men kostnaden för detta skulle vara begränsad och vägas upp av de kostnadsbesparingar som blir följden av de synergier och effektiviseringar som alla EU:s organ bör få ta del av. De europeiska tillsynsmyndigheterna skulle inte heller få några nya tillsynsuppgifter genom lagstiftningen. De kostnader som eventuellt skulle kunna uppstå för tillämpningen av lagstiftningsförslaget bör därför kunna täckas genom de europeiska tillsynsmyndigheternas befintliga budgetar.

Påverkan vad gäller kostnader och administrativ börda för nationella behöriga myndigheter är begränsad. Storleksordningen på kostnaderna och den administrativa bördan för de olika nationella behöriga myndigheterna beror på vilka krav respektive myndighet ställer för att leverantörer av finansinformationstjänster ska få tillstånd och tillhörande tillsynsarbete. Dessa kostnader för de nationella behöriga myndigheterna skulle delvis uppvägas av de tillsynsavgifter som dessa myndigheter kan ta ut från leverantörerna av finansinformationstjänster.

Reglerade finansinstitut som redan har tillstånd skulle inte påverkas av den nya tillståndsordningen som inrättas genom detta förslag, och det skulle inte innebära några ytterligare lagstadgade krav på rapportering, tillstånd eller något annat. För de företag som behöver ansöka om tillstånd beräknas den sammanlagda kostnaden för tillståndsansökan uppgå till runt 18,5 miljoner EUR, under antagandet att runt 350 företag skulle ansöka om tillstånd att bli leverantörer av finansinformationstjänster för att få åtkomst till kunddata. Dessa företag skulle även behöva uppfylla kraven i förordningen om digital operativ motståndskraft och följa de cybersäkerhetsstandarder som krävs.

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

För att säkerställa att målen med de vidtagna lagstiftningsåtgärderna uppnås behövs det en robust övervaknings- och utvärderingsmekanism. Kommissionen ska utvärdera konsekvenserna av denna förordning och får i uppdrag att se över den (artikel 31 i förslaget).

•Ingående redogörelse för de specifika bestämmelserna i förslaget

Syftet med detta förslag är att skapa en ram som ska styra åtkomsten till, och användningen av, kunddata i finanssektorn (åtkomst till finansdata). Med åtkomst till finansdata avses åtkomst till och behandling av data mellan företag och mellan företag och kund (inbegripet konsumenter) på kundens begäran för ett stort antal olika finansiella tjänster. Förslaget är indelat i nio avdelningar.

I avdelning I fastställs syfte, tillämpningsområde och definitioner. I artikel 1 i förordningen fastställs regler för vilka kategorier av kunddata inom finanssektorn som ska omfattas av åtkomst, delning och användning. Här fastställs även krav för åtkomst, delning och användning av data inom finanssektorn, vilka rättigheter och skyldigheter dataanvändare respektive datainnehavare har och vilka rättigheter och skyldigheter leverantörer av finansinformationstjänster har när de tillhandahåller informationstjänster som regelbunden sysselsättning eller affärsverksamhet. I artikel 2 anges att förordningen omfattar vissa utförligt beskrivna typer av data, och här anges vilka företag förordningen gäller. I artikel 3 anges de begrepp och definitioner som används i förordningen, bland andra datainnehavare, dataanvändare och leverantör av finansinformationstjänster.

Genom avdelning II får datainnehavare en lagstadgad skyldighet, och här anges hur denna skyldighet ska uppfyllas. Enligt artikel 4 måste datainnehavare på begäran ge kunder åtkomst till data som omfattas av denna förordning. Genom artikel 5 får kunderna rätt att begära att datainnehavaren delar dessa data med en dataanvändare. Vad gäller personuppgifter måste det för begäran finnas en giltig rättlig grund för behandling av personuppgifter enligt den allmänna dataskyddsförordningen. Genom artikel 6 föreskrivs vissa skyldigheter för dataanvändare som tar emot data på kundernas begäran. Endast de data som kunden enligt artikel 5 begär utlämning av får lämnas ut, och dessa data får endast användas för de syften och under de villkor som dataanvändaren och kunden kommit överens om. Andra parter bör inte ha tillgång till kundernas personliga behörighetsfunktioner och data får inte lagras längre än nödvändigt.

I avdelning III fastställs krav som ska säkerställa ansvarsfull dataanvändning och säkerhet. Artikel 7 innehåller riktlinjer för hur företag ska använda data i givna användningsfall och säkerställer att dataanvändningen inte leder till diskriminering eller begränsning av tillgången till tjänster. Här anges att kunder som inte vill tillåta att vissa av deras data används inte ska vägras tillgång till finansiella produkter endast för att de inte tillåter datadelning. Genom artikel 8 föreskrivs manöverpaneler för tillstånd som gäller åtkomst till finansdata som ska ge kunderna kontroll över sina datadelningstillstånd genom att de får överblick över de tillstånd som de har beviljat och vid behov kan bevilja nya tillstånd eller återkalla tillstånd.

I avdelning IV fastställs krav för hur system för delning av finansdata, där datainnehavare, dataanvändare och konsumentorganisationer sammanförs, ska inrättas och styras. De som ingår i sådana system ska utarbeta data- och gränssnittsstandarder och komma överens om hur funktionen hos manöverpanelerna för tillstånd som gäller åtkomst till finansdata ska samordnas, samt komma överens om gemensamma standardavtal som reglerar åtkomsten till särskilda dataset, regler om styrning av dessa system, transparenskrav, ersättningsregler, ansvar och tvistlösning. Enligt artikel 9 måste åtkomst till de data som omfattas av denna förordning endast ges till aktörer som deltar i ett system för delning av finansdata, vilket gör förekomsten av ett sådant system obligatorisk, liksom deltagande i ett sådant system. I artikel 10 beskrivs hur sådana system ska styras, bland annat vilka regler som ska gälla för deltagarnas avtalsrättsliga ansvar och tvistlösning utanför domstol. Enligt artikel 10 ska även gemensamma standarder för datadelning utarbetas, liksom de tekniska gränssnitt som ska användas för datadelning. Datadelningssystem ska anmälas till de behöriga myndigheterna, de måste omfattas av ett passförfarande för verksamhet i hela EU och/eller transparenskrav samt ingå i ett register som förs av EBA. I villkoren för system för delning av finansdata måste det åtminstone anges att datainnehavare har rätt till ersättning för att de ger dataanvändare som ingår i samma system åtkomst till data. Ersättningen måste i varje enskilt fall vara rimlig och beräknas enligt en tydlig och transparent metod som deltagarna i systemet tidigare kommit överens om. Den bör dessutom så långt som möjligt minst motsvara kostnaderna för att tillhandahålla ett tekniskt gränssnitt för delning av de data som efterfrågas. I artikel 11 ges kommissionen rätt att anta en delegerad akt i de fall då det inte inrättas något system för delning av finansdata för en eller flera kategorier av kunddata.

I avdelning V fastställs bestämmelser för auktorisation och verksamhetsvillkor för leverantörer av finansinformationstjänster. Här anges vad en ansökan måste innehålla (artikel 12), att en rättslig representant måste utses (artikel 13), vad auktorisationen omfattar, inbegripet passförfaranden för leverantörer av finansinformationstjänster (artikel 14) och rätten för behöriga myndigheter att återkalla en auktorisation. Enligt artikel 15 ska ett register över leverantörer av finansinformationstjänster och datadelningssystem inrättas och skötas av EBA. Artikel 16 innehåller krav på hur leverantörer av finansinformationstjänster ska vara organiserade.

I avdelning VI anges vilka befogenheter behöriga myndigheter ska ha. I artikel 17 åläggs medlemsstaterna att utse behöriga myndigheter. I artikel 18 ges en utförlig beskrivning av vilka befogenheter de behöriga myndigheterna har, och artikel 19 handlar om befogenhet att sluta förlikningsavtal och tillämpa påskyndade tillsynsärenden. I artiklarna 20 och 21 beskrivs administrativa sanktioner och andra administrativa åtgärder, liksom de viten som behöriga myndigheter kan fastställa. I artikel 22 anges vilka omständigheter behöriga myndigheter bör överväga när de fastställer administrativa sanktioner eller andra administrativa åtgärder. Artikel 23 handlar om tystnadsplikt avseende informationsutbytet mellan behöriga myndigheter. I avdelning VI finns regler om rätten att överklaga (artikel 24), offentliggörande av fastslagna administrativa sanktioner och åtgärder (artikel 25), informationsutbyte mellan behöriga myndigheter (artikel 26) och lösning av tvister mellan dem (artikel 27).

Avdelning VII handlar om hur företag som utnyttjar sin etableringsrätt och frihet att tillhandahålla tjänster ska göra anmälan till de behöriga myndigheterna (artikel 28) och innehåller en skyldighet för behöriga myndigheter att informera när de vidtar åtgärder som begränsar etableringsfriheten (artikel 29).

Avdelning VIII handlar om utövande av delegering för att kommissionen ska kunna anta delegerade akter (artikel 30), eftersom själva förslaget ger kommissionen befogenhet att anta en delegerad akt enligt artikel 11. Genom denna avdelning har kommissionen även skyldighet att se över vissa aspekter i förordningen (artikel 31). Artiklarna 32 till 34 innehåller de ändringar som behöver göras i förordningarna, genom vilka de europeiska tillsynsmyndigheterna inrättas, för att denna förordning och leverantörer av finansinformationstjänster ska omfattas av de förordningarna. Artikel 35 innehåller en ändring av förordningen om digital operativ motståndskraft. I artikel 36 anges att denna förordning ska börja tillämpas 24 månader efter att den har trätt i kraft, förutom avdelning IV (om system) som ska börja tillämpas 18 månader efter att förordningen har trätt i kraft.

2023/0205 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om en ram för åtkomst till finansdata och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010, (EU) nr 1095/2010 och (EU) 2022/2554

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande 6 ,

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)En ansvarsfull dataekonomi som drivs av datagenerering och dataanvändning är en viktig del av unionens inre marknad som kan gynna både unionens invånare och ekonomi. Digital, databaserad teknik förändrar alltmer finansmarknaderna genom att ge upphov till nya affärsmodeller, produkter och sätt för företagen att komma i kontakt med sina kunder.

(2)Finansinstitutens kunder, såväl konsumenter som företag, bör ha faktisk kontroll över sina finansdata och möjlighet att dra nytta av öppen, rättvis och säker datadriven innovation inom finanssektorn. Dessa kunder bör ha rätt att bestämma hur och av vem deras finansdata används och kunna bevilja företag åtkomst till sina data i syfte att få ta del av finans- och informationstjänster om de så önskar.

(3)Unionen har ett uttalat intresse av att låta finansinstituts kunder få åtkomst till sina finansdata. I sina meddelanden om en strategi för digitalisering av finanssektorn och om kapitalmarknadsunionen, som antogs 2021, bekräftade kommissionen att den planerade fastställa ett regelverk för åtkomst till finansdata så att de positiva effekterna av datadelning inom finanssektorn kan komma kunderna till del. Till dessa positiva effekter hör att delning av kunddata möjliggör utveckling och tillhandahållande av datadrivna finansprodukter och finansiella tjänster.

(4)Inom finansiella tjänster, och som ett resultat av ändringarna i Europaparlamentets och rådets direktiv (EU) 2015/2366 7 , har delning av betalkontouppgifter i EU med kundens tillstånd börjat förändra hur konsumenter och företag använder banktjänster. För att vidareutveckla åtgärderna i det direktivet bör ett regelverk fastställas för delning även av andra kunddata än betalkontouppgifter inom finanssektorn. Detta bör även vara en av byggstenarna för att helt integrera finanssektorn i kommissionens strategi för data 8 , enligt vilken datadelning mellan sektorer bör främjas.

(5)För att skapa ett väl fungerande och ändamålsenligt regelverk för datadelning inom finanssektorn är det nödvändigt att säkerställa att kunderna har kontroll och känner förtroende. Att kunderna har faktisk kontroll över datadelning bidrar till innovation och till kundernas förtroende för datadelning. Faktisk kontroll leder därmed till att kunderna blir mindre ovilliga att dela sina data. Enligt unionens nuvarande regelverk är registrerades rätt till dataportabilitet i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 9 begränsad till personuppgifter och gäller endast i fall där det är tekniskt möjligt att överföra dem. Kunddata och tekniska gränssnitt är, förutom när det gäller betalkonton, inte standardiserade inom finanssektorn, vilket gör datadelning mer kostsamt. Finansinstitut är dessutom endast skyldiga enligt lag att ge åtkomst till sina kunders betalningsdata.

(6)Unionens finansdataekonomi kännetecknas därför fortfarande av fragmentering, stora skillnader när det gäller datadelning, hinder och stor ovillighet bland intressenterna att delta i delning av andra data än betalkontouppgifter. Kunderna kan därför inte ta del av personligt anpassade, datadrivna produkter och tjänster som kan passa just deras behov. Avsaknaden av personligt anpassade finansiella produkter begränsar möjligheterna till innovation, genom att erbjuda fler valmöjligheter och finansiella produkter och tjänster till intresserade kunder som annars kunnat ha nytta av datadrivna verktyg som med utgångspunkt i deras data kan hjälpa dem att fatta väl underbyggda beslut, jämföra erbjudanden på ett användarvänligt sätt och byta till mer fördelaktiga produkter som överensstämmer med deras önskemål. De nuvarande hindren för delning av affärsdata gör att företag, särskilt små och medelstora företag, går miste om bättre, mer praktiska och automatiserade finansiella tjänster.

(7)För att främja en sömlös och effektiv åtkomst till data måste data bli tillgängliga genom programmeringsgränssnitt av hög kvalitet. Förutom när det gäller betalkonton är det dock endast en minoritet av de finansinstitut som är datainnehavare som uppger att de gör data tillgängliga genom tekniska gränssnitt, till exempel programmeringsgränssnitt. Eftersom det inte finns några incitament att utveckla sådana innovativa tjänster är efterfrågan på dataåtkomst begränsad.

(8)För att svara mot den digitala ekonomins behov och undanröja hindren för en väl fungerande inre marknad behövs därför ett särskilt och harmoniserat regelverk på unionsnivå för åtkomst till finansdata. Särskilda regler krävs för att undanröja dessa hinder och främja en bättre åtkomst till kunddata, vilket skulle göra det möjligt för konsumenter och företag att få del av vinsterna med bättre finansiella produkter och tjänster. En datadriven finanssektor skulle underlätta omställningen från ett traditionellt utbud av standardprodukter till skräddarsydda lösningar som är bättre anpassade till kundernas specifika behov, inbegripet bättre gränssnitt mot kund som ökar konkurrensen, förbättrar användarupplevelsen och ställer kunden som slutanvändare i fokus.

(9)De data som omfattas av denna förordning bör uppvisa ett stort mervärde för finansiell innovation och medföra låg risk för finansiell exkludering. Denna förordning ska därför inte omfatta data som rör konsumenters sjukförsäkringar enligt Europaparlamentets och rådets direktiv 2009/138/EG 10 eller data om konsumenters livförsäkringsprodukter enligt samma direktiv, undantaget livförsäkringsavtal som ingår i försäkringsbaserade investeringsprodukter. Denna förordning bör inte heller omfatta data som samlas in i samband med kreditprövningar av konsumenter. Delning av kunddata som omfattas av denna förordning bör ske med respekt för skyddet för konfidentiell affärsinformation och affärshemligheter.

(10)Delning av kunddata som omfattas av denna förordning bör ske med kundens tillstånd. Den lagstadgade skyldigheten för datainnehavare att dela kunddata bör inträda först när kunden har begärt att dennes data ska lämnas ut till en dataanvändare. Denna begäran kan skickas av dataanvändaren för kundens räkning. Om behandling av personuppgifter ingår måste dataanvändaren ha en giltig rättslig grund för detta enligt förordning (EU) 2016/679. Kunddata får behandlas för de ändamål som har överenskommits inom ramen för den tjänst som tillhandahålls. Behandling av personuppgifter måste ske i enlighet med principerna om skydd av personuppgifter, som innefattar laglighet, korrekthet och öppenhet, ändamålsbegränsning och uppgiftsminimering. Kunder har rätt att återkalla det tillstånd som de har beviljat en dataanvändare. I fall där behandling av personuppgifter är nödvändig för fullgörandet av ett avtal bör kunden kunna återkalla tillstånd enligt villkoren i det avtal som den registrerade har ingått. I fall där behandlingen av personuppgifter grundar sig på samtycke har den registrerade rätt att när som helst återkalla sitt samtycke enligt förordning (EU) 2016/679.

(11)Om kunder får möjlighet att dela data om sina nuvarande investeringar kan det uppmuntra till innovation inom tillhandahållandet av investeringstjänster för icke-professionella investerare. Att samla in primärdata för att kunna göra lämplighetsbedömningar av icke-professionella investerare är tidskrävande för kunden och utgör en betydande kostnadsfaktor för rådgivare och distributörer av investerings-, pensions- och försäkringsbaserade investeringsprodukter. Delning av kunddata om sparande och investeringar i finansiella instrument, inbegripet försäkringsbaserade investeringsprodukter, liksom av data som samlas in i syfte att göra en lämplighetsbedömning, kan leda till att kunder får bättre investeringsråd och har stor innovationspotential, till exempel när det gäller att utveckla verktyg för personlig investeringsrådgivning och investeringsförvaltning som kan göra rådgivningen till icke-professionella investerare effektivare. Sådana förvaltningsverktyg håller redan på att tas fram på marknaden och kan bli mer verkningsfulla om kunderna kan dela sina investeringsrelaterade data.

(12)Kunddata om saldon, villkor och transaktioner avseende hypotekslån, andra lån och sparande kan göra det möjligt för kunderna att få bättre överblick över sina insatta medel och bättre tillgodose sina sparbehov. Denna förordning bör omfatta data utöver betalkonton enligt definitionen i direktiv (EU) 2015/2366. Kreditkonton som omfattar en kreditlina som inte kan användas för betalningstransaktioner till tredje part bör omfattas av denna förordning. Därmed förstås att denna förordning gäller åtkomst till data om saldo, villkor och transaktioner avseende hypotekslåneavtal, andra lån och sparkonton, liksom de typer av konton som inte omfattas av direktiv (EU) 2015/2366 11 .

(13)Kunddata som omfattas av denna förordning bör inkludera hållbarhetsrelaterad information så att det blir lättare för kunder att få tillgång till finansiella tjänster som stämmer överens med deras hållbarhetspreferenser och behov av hållbar finansiering i linje med kommissionens strategi för att finansiera omställningen till en hållbar ekonomi 12 . Åtkomst till data rörande hållbarhet som kan finnas i saldo- och transaktionsuppgifter avseende hypotekslån, krediter, andra lån och sparkonton, liksom åtkomst till kunddata om hållbarhet som innehas av värdepappersföretag, kan göra det lättare att få åtkomst till data som behövs för att få tillgång till hållbar finansiering eller investera i den gröna omställningen. Denna förordning bör även omfatta kunddata som ingår i kreditprövningar av företag, även små och medelstora företag, och som kan bättre inblick i mindre företags hållbarhetsmål. Inkludering av data från kreditprövningar av företag bör förbättra tillgången till finansiering och göra det enklare att ansöka om lån. Dessa data bör vara begränsade till data om företagen och inte utgöra intrång i immateriella rättigheter.

(14)Kunddata rörande skadeförsäkringar är viktiga för att göra det möjligt att skapa försäkringsprodukter och försäkringstjänster som kunden behöver för att till exempel skydda sin bostad, sitt fordon eller annan egendom. Insamlingen av sådana data är emellertid tidskrävande och kostsam, vilket kan avskräcka kunderna från att försöka få bästa möjliga försäkringsskydd. För att komma till rätta med detta problem måste därför sådana finansiella tjänster omfattas av denna förordning. Kunddata om försäkringsprodukter inom denna förordnings tillämpningsområde bör omfatta både information om försäkringsprodukter, till exempel närmare uppgifter om försäkringsskydd, och data om kundens försäkrade egendom som samlas in för att göra en krav- och behovsanalys. Delning av sådana data bör göra det möjligt att ta fram personligt anpassade verktyg för kunder, till exempel manöverpaneler för försäkringar, som kan hjälpa kunderna att hantera sina risker bättre. Den kan även hjälpa kunderna att få produkter som stämmer bättre överens med deras krav och behov, till exempel genom en mer relevant rådgivning. Detta kan bidra till ett mer optimalt försäkringsskydd för kunder och till finansiell inkludering av konsumenter som annars inte får tillgång till försäkringstjänster genom att dessa kan erbjudas nytt eller starkare försäkringsskydd. Delning av försäkringsdata kan dessutom bidra till ett effektivare försäkringsutbud, i synnerhet i samband med produktutformning, försäkringsverksamhet och fullgörande av avtal, samt även i fråga om skadereglering och riskreducering.

(15)Delning av data om tjänstepensioner och privat pensionssparande har stor innovationspotential för kunderna. Pensionssparare vet ofta inte tillräckligt mycket om sina pensionsrättigheter på grund av att data om pensionsrättigheter kan vara utspridda på flera olika datainnehavare. Delning av data om tjänstepensioner och privat pensionssparande kan bidra till utveckling av pensionsövervakningsverktyg som ger spararna en samlad överblick över sina pensionsrättigheter och pensionsinkomster, både inom särskilda medlemsstater och gränsöverskridande inom hela EU. Data om pensionsrättigheter utgörs främst av intjänade pensionsrätter, prognoser om pensionsförmåner, risker och garantier för medlemmar och förmånstagare i tjänstepensionssystem. Åtkomst till data om tjänstepensioner påverkar inte nationell social- och arbetsmarknadslagstiftning om organisationen av pensionssystem, till exempel om vilka som omfattas av sådana pensionsförsäkringar och resultat av kollektivavtal.

(16)Data som ingår i kreditprövningar av företag och som omfattas av denna förordning bör vara information som företaget uppger för institut och kreditgivare i samband med en låneansökan eller kreditupplysning. Detta omfattar låneansökningar från mikroföretag samt från små, medelstora och stora företag. Det kan omfatta data som institut och kreditgivare samlar in enligt bilaga 2 till Europeiska bankmyndighetens riktlinjer om kreditgivning och övervakning. 13 Sådana data kan omfatta finansiella rapporter och prognoser, information om finansiella skulder och försenade betalningar, bevis för innehav av säkerhet, bevis för försäkring av säkerheten och information om garantier. Om låneansökan gäller köp av kommersiella fastigheter eller fastighetsutveckling kan det vara aktuellt med ytterligare data.

(17)Eftersom syftet med denna förordning är att ålägga finansinstitut att på kundens begäran ge åtkomst till fastställda kategorier av data när de agerar i egenskap av datainnehavare, och att med kundens tillstånd tillåta datadelning när de agerar som dataanvändare, bör förordningen innehålla en förteckning över de finansinstitut som kan agera som datainnehavare eller dataanvändare, eller som bådadera. Finansinstitut ska därmed förstås som enheter som tillhandahåller finansiella produkter och tjänster eller erbjuder relevanta informationstjänster till kunder inom finanssektorn.

(18)Dataanvändares metoder för att sammanställa nya och traditionella datakällor som omfattas av denna förordning måste vara proportionella för att säkerställa att de inte leder till finansiell exkludering av konsumenter. Metoder som leder till mer sofistikerade eller omfattande analyser av vissa sårbara segment av konsumenter, däribland låginkomsttagare, kan öka risken för orättvisa villkor eller differentierad prissättning, till exempel skillnader i premier. Risken för exkludering är större när det gäller produkter och tjänster som prissätts efter konsumenters profil, särskilt på grundval av kreditbetyg och kreditprövningar när det gäller fysiska personer, samt när det gäller produkter och tjänster som har att göra med riskbedömningar av och prissättning i förhållande till fysiska personer i samband med liv- och sjukförsäkringar. Med tanke på riskerna bör särskilda krav ställas vid användning av data för sådana produkter och tjänster för att skydda konsumenterna och deras grundläggande rättigheter.

(19)De gränser för dataanvändning som fastställs i denna förordning och i åtföljande riktlinjer (riktlinjerna) som kommer att utarbetas av Europeiska bankmyndigheten (EBA) och Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) bör skapa en proportionell ram för hur konsumenters personuppgifter som omfattas av denna förordning får användas. Gränserna för dataanvändningen säkerställer samstämmighet mellan denna förordning, enligt vilken data som ingår i kreditprövningar av konsumenter och data som rör konsumenters liv- eller sjukförsäkringar undantas, och riktlinjerna, som innehåller rekommendationer om hur olika typer av data från andra delar av finanssektorn som omfattas av denna förordning kan användas för att tillhandahålla dessa produkter och tjänster. De riktlinjer som utarbetas av EBA bör ange hur andra typer av data som omfattas av denna förordning får användas för att bedöma konsumenters kreditvärdighet. De riktlinjer som utarbetas av Eiopa bör ange hur data som omfattas av denna förordning får användas i produkter och tjänster som rör riskbedömningar och prissättning i samband med liv- och sjukförsäkringar. Riktlinjerna bör vara anpassade till konsumenternas behov och stå i proportion till tillhandahållandet av dessa produkter och tjänster.

(20)EBA och Eiopa bör samarbeta med Europeiska dataskyddsstyrelsen när de utarbetar riktlinjerna, som bör bygga på befintliga rekommendationer om användning av information om konsumenter när det gäller konsumentkrediter och hypotekslån, främst reglerna om användning av kreditprövningar enligt Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG, Europeiska bankmyndighetens riktlinjer om kreditgivning och övervakning samt om bedömning av kreditvärdighet som utarbetats enligt direktiv 2014/17/EU, samt Europeiska dataskyddsstyrelsens riktlinjer om behandling av personuppgifter.

(21)Kunderna måste ha faktisk kontroll över sina data och känna förtroende för att de kan hantera tillstånd som de har beviljat i enlighet med denna förordning. Datainnehavare bör därför vara skyldiga att erbjuda kunderna en gemensam och enhetlig manöverpanel för tillstånd som gäller åtkomst till finansdata. Manöverpanelen för tillstånd ska ge kunderna möjlighet att hantera sina tillstånd på ett välinformerat och opartiskt sätt och ge kunderna en hög grad av kontroll över hur deras personuppgifter och andra data än personuppgifter används. Den bör inte ha en utformning som uppmuntrar eller på ett otillbörligt sätt påverkar kunderna att bevilja eller återkalla tillstånd. Manöverpanelen för tillstånd bör i förekommande fall uppfylla tillgänglighetskraven i Europaparlamentets och rådets direktiv (EU) 2019/882 14 . När datainnehavare tillhandahåller en manöverpanel för tillstånd kan de använda sig av en anmäld elektronisk identifierings- och tillitstjänst, till exempel den europeiska e-identitetsplånbok utfärdad av en medlemsstat, som införs genom förslaget om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet 15 . Datainnehavare kan även ta hjälp av utförare av dataförmedlingstjänster enligt Europaparlamentets och rådets förordning (EU) 2022/868 16 för att tillhandahålla manöverpaneler för tillstånd som uppfyller kraven i denna förordning.

(22)Manöverpanelen för tillstånd bör visa alla tillstånd som en kund har beviljat, även när personuppgifter delas baserat på samtycke eller måste delas för att ett avtal ska kunna fullgöras. Manöverpanelen bör även på ett standardiserat sätt varna kunden för risken för avtalsmässiga konsekvenser om ett tillstånd återkallas, även om kunden bör vara fortsatt ansvarig för hanteringen av sådana risker. Manöverpanelen bör användas för att hantera befintliga tillstånd. Datainnehavare bör i realtid informera dataanvändare om ett tillstånd återkallas. Manöverpanelen bör i upp till två år inkludera en förteckning över tillstånd som har återkallats eller löpt ut för att ge kunderna en väl underbyggd och objektiv överblick över sina tillstånd. Dataanvändare bör i realtid informera datainnehavare om nya och återställda tillstånd som kunden har beviljat, hur länge tillstånden gäller samt ge en kort sammanfattning av syftet med tillstånden. Den information som ges i manöverpanelen för tillstånd påverkar inte informationskraven i förordning (EU) 2016/679.

(23)För att säkerställa proportionalitet är vissa finansinstitut undantagna från denna förordning på grund av deras storlek eller tjänsteutbud, vilket skulle göra det för svårt för dem att följa denna förordning. Detta gäller till exempel tjänstepensionsinstitut som har pensionsplaner som tillsammans inte omfattar fler än 15 personer totalt, liksom försäkringsförmedlare som är mikroföretag eller små eller medelstora företag. Dessutom bör små och medelstora företag som är datainnehavare som omfattas av denna förordning ha rätt att tillsammans skapa ett programmeringsgränssnitt för att på så sätt minska kostnaderna för var och en av dem. De kan även anlita externa teknikleverantörer som kör programmeringsgränssnitt i en pool för finansinstitut och endast tar ut en låg fast nyttjandeavgift och sedan främst debiterar per anrop.

(24)Genom denna förordning åläggs finansinstitut som agerar som datainnehavare att på kundens begäran dela fastställda kategorier av data. Datainnehavares skyldighet att på kundens begäran dela data bör specificeras genom vedertagna standarder för att även säkerställa att de data som delas är av tillräckligt hög kvalitet. Datainnehavare bör fortlöpande göra kunddata tillgängliga för det ändamål och på de villkor för vilka kunden har beviljat en dataanvändare tillstånd. Fortlöpande åtkomst kan utgöras av flera begäranden om åtkomst till kunddata i syfte att utföra den tjänst som överenskommits med kunden. Den kan även utgöras av åtkomst till kunddata vid ett enda tillfälle. Det är datainnehavaren som är ansvarig för att gränssnittet är tillgängligt och håller tillräckligt hög kvalitet, men gränssnittet behöver inte tillhandahållas endast av datainnehavaren utan kan även tillhandahållas av ett annat finansinstitut, en extern it-leverantör, en branschorganisation, en grupp av finansinstitut eller en myndighet i en medlemsstat. Tjänstepensionsinstitut kan ha ett gränssnitt som är integrerat med manöverpaneler för pensioner som innehåller mer information, under förutsättning att det uppfyller kraven i denna förordning.

(25)För att finansinstitut avtalsmässigt och tekniskt ska kunna interagera med varandra på det sätt som är nödvändigt för att dela data bör datainnehavare och dataanvändare ingå i system för delning av finansdata. Dessa system bör utarbeta standarder för data och gränssnitt, gemensamma standardavtal som reglerar åtkomsten till särskilda dataset, samt styrningsregler i samband med datadelning. För att säkerställa att dessa system fungerar ändamålsenligt är det nödvändigt att fastställa allmänna principer för deras styrning, till exempel regler om inkluderande styrning och deltagande av datainnehavare, dataanvändare och kunder (för att säkerställa en balanserad representation), transparenskrav samt välfungerande överklagande- och omprövningsförfaranden (i synnerhet avseende beslut som fattas i systemet). System för delning av finansdata måste följa unionens regler om konsument- och dataskydd, integritet och konkurrens. Deltagarna i sådana system bör även uppmuntras att upprätta uppförandekoder liknande de som personuppgiftsansvariga och personuppgiftsbiträden utarbetar enligt artikel 40 i förordning (EU) 2016/679. Även om dessa system kan utgå från befintliga marknadsinitiativ bör kraven i denna förordning vara specifika för system för delning av finansdata eller delar av sådana som marknadsaktörer använder för att fullgöra sina skyldigheter enligt denna förordning från och med den dag då dessa skyldigheter blir tillämpliga.

(26)System för delning av finansdata bör bygga på ett kollektivt avtal mellan datainnehavare och dataanvändare i syfte att främja effektivitet och teknisk innovation i delningen av finansdata till nytta för kunderna. I linje med EU:s regler om konkurrens bör systemen för delning av finansdata endast ålägga sina deltagare restriktioner som är nödvändiga för att uppnå, och som står i proportion till, systemets mål. De bör inte ge deltagarna möjlighet att förhindra, begränsa eller snedvrida konkurrensen på någon väsentlig del av den relevanta marknaden.

(27)För att säkerställa denna förordnings ändamålsenlighet bör befogenhet att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen när det gäller att fastställa villkor för och egenskaper hos system för delning av finansdata i fall där ett system inte inrättas av datainnehavare och dataanvändare. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, även med experter, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet om bättre lagstiftning av den 13 april 2016 17 . För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter har systematiskt möjlighet att delta i möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(28)Datainnehavare och dataanvändare bör få använda befintliga marknadsstandarder när de utarbetar gemensamma standarder för obligatorisk datadelning.

(29)För att datainnehavare ska ha intresse av att tillhandahålla gränssnitt av god kvalitet för att ge dataanvändare åtkomst till data bör datainnehavare ha rätt att från dataanvändare begära skälig ersättning för att de tillhandahåller programmeringsgränssnitt. Om åtkomst till data ges mot ersättning skulle kostnaderna för åtkomsten fördelas rättvist mellan datainnehavare och dataanvändare i datavärdekedjan. I de fall då dataanvändare är små och medelstora företag bör proportionalitet för mindre marknadsaktörer säkerställas genom att ersättningen begränsas till endast exakt de kostnader som uppstår för att ge åtkomst till data. Hur storleken på ersättningen ska beräknas bör fastställas inom systemen för delning av finansdata i enlighet med denna förordning.

(30)Kunderna bör känna till vilka rättigheter de har om problem uppstår när data delas och vem de ska vända sig för att begära ersättning. Det bör därför ställas krav på att deltagarna i ett system för delning av finansdata, vari datainnehavare och dataanvändare ingår, måste avtala om vem som har ansvar vid dataintrång, liksom om hur eventuella tvister mellan datainnehavare och dataanvändare rörande ansvar ska lösas. Främst bör det finnas krav på att alla avtal ska innehålla bestämmelser om ansvar, liksom tydliga skyldigheter och rättigheter så att det går att avgöra vem av datainnehavaren och dataanvändaren det är som bär ansvaret. Ansvarsfrågor som gäller konsumenter som registrerade bör grundas på förordning (EU) 2016/679, främst artikel 82 om ansvar och rätt till ersättning.

(31)För att stärka konsumentskyddet, förbättra kundernas förtroende och säkerställa lika villkor måste det fastställas behörighetsregler för vem som kan få åtkomst till kunders data. Dessa regler bör föreskriva att alla dataanvändare ska vara auktoriserade och stå under tillsyn av behöriga myndigheter. På så sätt skulle åtkomst till data endast ges till reglerade finansinstitut eller företag som har fått särskild auktorisation som leverantörer av finansinformationstjänster enligt denna förordning. För att säkra finansiell stabilitet, marknadsintegritet och konsumentskydd måste det finnas behörighetsregler för leverantörer av finansinformationstjänster, eftersom de skulle erbjuda kunder i unionen finansiella produkter och tjänster och få åtkomst till data som innehas av finansinstitut och deras integritet är grundläggande för att finansinstituten ska kunna fortsätta att tillhandahålla finansiella tjänster på ett sunt och säkert sätt. Sådana regler behövs även för att säkerställa att behöriga myndigheter utövar lämplig tillsyn över leverantörerna av finansinformationstjänster i linje med sitt uppdrag att säkra den finansiella stabiliteten och integriteten i unionen, vilket även skulle medföra att leverantörerna av finansinformationstjänster kan tillhandahålla de tjänster som de har fått auktorisation för i hela unionen.

(32)Dataanvändare enligt denna förordning bör vara skyldiga att uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 18 och därmed vara skyldiga att bedriva sin verksamhet enligt strikta cyberresiliensnormer. Det innebär att de måste ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, liksom särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter. Dataanvändare som har auktorisation och står under tillsyn som leverantörer av finansinformationstjänster enligt denna förordning bör följa samma tillvägagångssätt och samma principbaserade regler i sin hantering av IKT-risk med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Leverantörer av finansinformationstjänster bör därför omfattas av förordning (EU) 2022/2554. 

(33)För att tillsynen ska vara ändamålsenlig och för att det inte ska finnas någon möjlighet att undgå eller kringgå tillsyn måste leverantörer av finansinformationstjänster ha sitt säte inom unionen eller, om de har sitt säte i ett tredjeland, ha en rättslig representant i unionen. Ändamålsenlig tillsyn av behöriga myndigheter är nödvändig för att se till att kraven i denna förordning uppfylls och för att säkra integritet och stabilitet i det finansiella systemet och skydda konsumenterna. Kravet på att leverantörer av finansinformationstjänster måste ha säte inom unionen eller ha en rättslig representant i unionen innebär ingen datalokalisering eftersom förordningen inte innehåller några ytterligare krav på att databehandling och datalagring ska ske inom unionen.

(34)Leverantörer av finansinformationstjänster bör ha auktorisation i den medlemsstat där man har sitt huvudsakliga verksamhetsställe, det vill säga där de har sitt huvudkontor eller säte där den huvudsakliga verksamheten bedrivs och varifrån verksamheten styrs. När det gäller leverantörer av finansinformationstjänster som inte har säte i unionen, men som behöver åtkomst till data i unionen och därför omfattas av denna förordning, är det den medlemsstat där leverantören av finansinformationstjänster har sin rättsliga representant som bör ha domsrätt, med tanke på den funktion som rättsliga företrädare har enligt denna förordning.

(35)För att främja transparens när det gäller dataåtkomst och leverantörer av finansinformationstjänster bör EBA upprätta ett register över leverantörer av finansinformationstjänster som är auktoriserade enligt denna förordning, liksom över system för delning av finansdata som datainnehavare och dataanvändare har kommit överens om.

(36)Behöriga myndigheter bör få de befogenheter som behövs för att utöva tillsyn över hur datainnehavare fullgör sin skyldighet att ge åtkomst till kunddata enligt denna förordning, liksom befogenhet att utöva tillsyn över leverantörer av finansinformationstjänster. Åtkomst till uppgifter om datatrafik som innehas av teleoperatörer, liksom möjlighet att beslagta relevanta handlingar på plats, är viktiga befogenheter som behöriga myndigheter måste ha för att kunna upptäcka och bevisa överträdelser av denna förordning. Behöriga myndigheter bör därför ges befogenhet att begära ut sådana uppgifter där det är relevant för en utredning, så länge det är tillåtet enligt nationell rätt. De behöriga myndigheterna bör även samarbeta med de tillsynsmyndigheter som inrättats i enlighet med förordning (EU) 2016/679 i utförandet av deras uppgifter och utövandet av deras befogenheter i enlighet med den förordningen. 

(37)Eftersom finansinstitut och leverantörer av finansinformationstjänster kan ha sitt säte i olika medlemsstater och stå under tillsyn från olika tillsynsmyndigheter bör tillämpningen av denna förordning underlättas genom nära samarbete mellan berörda behöriga myndigheter i form av ömsesidigt informationsutbyte och hjälp i tillsynsarbetet.

(38)För att säkerställa lika villkor när det gäller sanktionsbefogenheter bör det ställas krav på att medlemsstaterna ska införa ändamålsenliga, proportionerliga och avskräckande administrativa sanktioner, som viten och administrativa åtgärder, vid överträdelser av bestämmelserna i denna förordning. Det bör finnas vissa minimikrav avseende dessa administrativa sanktioner, viten och administrativa åtgärder, bland annat krav på vilka befogenheter som behöriga myndigheter minst måste tilldelas för att kunna besluta om sanktioner, viten eller åtgärder, samt krav på de kriterier som de behöriga myndigheterna bör överväga när de beslutar om sådana och om skyldighet att offentliggöra och rapportera. Medlemsstaterna bör fastställa särskilda regler och effektiva mekanismer för tillämpningen av viten.

(39)Förutom administrativa sanktioner och åtgärder bör behöriga myndigheter ha befogenhet att ålägga leverantörer av finansinformationstjänster och de personer i deras ledningsorgan som har fastställts som ansvariga för en pågående överträdelse eller som är skyldiga att följa ett beslut från en utredande behörig myndighet, att betala vite. Eftersom syftet med viten är att förmå fysiska eller juridiska personer att följa ett beslut från en behörig myndighet om att personen i fråga ska göra något, till exempel gå med på att bli förhörd eller tillhandahålla information, eller upphöra med en pågående överträdelse, bör beslut om vite inte innebära att de behöriga myndigheterna inte kan besluta om vidare administrativa sanktioner för samma överträdelse. Om inte något annat gäller enligt lag i en medlemsstat bör viten beräknas per dag.

(40)Oavsett hur de benämns i nationell lagstiftning används i många medlemsstater olika former av förfaranden för skyndsam handläggning och förlikningsavtal som ett alternativ till formella förfaranden som leder till beslut om sanktioner. Förfaranden för skyndsam handläggning inleds oftast efter att en utredning är klar och beslut har fattats om att inleda förfaranden som leder fram till sanktioner. Förfaranden för skyndsam handläggning är kortare än formella förfaranden eftersom de olika faserna i förfarandena är enklare. Förlikningsavtal ingås oftast av parter som är under utredning av en behörig myndighet och som går med på att avsluta utredningen tidigare, oftast genom att erkänna överträdelse.

(41)Det förefaller inte lämpligt att på unionsnivå försöka harmonisera sådana förfaranden för skyndsam handläggning, som många medlemsstater har infört, på grund av de många olika sätt som sådana tillämpas på i medlemsstaterna. Det bör däremot tillstås att sådana metoder gör det möjligt för de behöriga myndigheter som har tillgång till dem att hantera överträdelseärenden på ett snabbare, mindre kostsamt och överlag effektivt sätt under vissa omständigheter, och sådana bör därför uppmuntras. Medlemsstaterna bör dock inte tvingas att införa sådana förfaranden i sina regelverk, och inte heller bör medlemsstater tvingas att använda dem om de inte anser att de är lämpliga. De medlemsstater som väljer att ge sina behöriga myndigheter befogenhet att använda sådana handläggningsförfaranden bör upplysa kommissionen om detta beslut och om de åtgärder som reglerar denna befogenhet.

(42)Medlemsstaterna bör ge de nationella behöriga myndigheterna befogenhet att i tillämpliga fall besluta om administrativa sanktioner och åtgärder mot leverantörer av finansinformationstjänster och andra fysiska eller juridiska personer för att få en eventuell överträdelse att upphöra. Medlemsstaterna och de behöriga myndigheterna bör ha tillgång till tillräckligt många olika sanktioner och åtgärder så att de kan ta hänsyn till skillnader mellan leverantörer av finansinformationstjänster vad gäller storlek, slag av verksamhet och andra faktorer.

(43)Att offentliggöra administrativa sanktioner och åtgärder för överträdelser mot bestämmelserna i denna förordning kan ha en stor avskräckande effekt och göra att överträdelser inte upprepas. Genom offentliggörande får även andra aktörer reda på riskerna med att ingå affärsförbindelser med leverantörer av finansinformationstjänster som har fått beslut om sanktioner mot sig, och det ger behöriga myndigheter i andra medlemsstater kännedom om risker med leverantörer av finansinformationstjänster som har gränsöverskridande verksamhet i deras medlemsstat. Därför bör det vara tillåtet att offentliggöra beslut om administrativa sanktioner och åtgärder så länge det gäller juridiska personer. När behöriga myndigheter fattar beslut om att offentliggöra en administrativ sanktion eller åtgärd bör de ta hänsyn till hur allvarlig överträdelsen är och den avskräckande effekt som offentliggörande sannolikt lär ha. Sådant offentliggörande för fysiska personer kan dock på ett oproportionerligt sätt kränka de rättigheter som de har enligt stadgan om de grundläggande rättigheterna och gällande unionslagstiftning om dataskydd. Offentliggjorda uppgifter bör vara anonymiserade, såvida inte den behöriga myndigheten anser att det är nödvändigt att offentliggöra beslut som innehåller personuppgifter för att se till att denna förordning följs, även vid offentliga utlåtanden och tillfälliga förbud. I sådana fall bör den behöriga myndigheten motivera sitt beslut.

(44)För att syftet med denna förordning ska uppnås är det viktigt att medlemsstaternas behöriga myndigheter har ett informationsutbyte och bistår varandra. Samarbete mellan myndigheter bör därför inte beläggas med orimliga restriktiva villkor.

(45)Leverantörer av finansinformationstjänster bör få åtkomst till data över gränserna med stöd av friheten att tillhandahålla tjänster och etableringsfriheten. Leverantörer av finansinformationstjänster som vill ha åtkomst till data som innehas av en datainnehavare i en annan medlemsstat bör anmäla detta till sin behöriga myndighet med upplysning om vilken typ av data de vill ha åtkomst till, vilket system för delning av finansdata de tillhör och i vilka medlemsstater de vill ha åtkomst till data.

(46)Målen med denna förordning, nämligen att ge kunder faktisk kontroll över data och ge åtkomsträtt till kunddata hos datainnehavare, kan inte i tillräcklig utsträckning kan uppnås av medlemsstaterna eftersom målen är gränsöverskridande utan uppnås bättre på unionsnivå genom inrättande av en ram inom vilken en större gränsöverskridande marknad för dataåtkomst kan utvecklas. Unionen får anta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.

(47)Genom förslaget till en dataakt [förordning (EU) XX] inrättas en övergripande ram för åtkomst till, och användning av, data inom unionen. I denna förordning kompletteras och specificeras reglerna i förslaget till dataakt [förordning (EU) XX]. Därmed gäller de reglerna även för sådan datadelning som regleras i denna förordning. Här återfinns bestämmelser om under vilka villkor datainnehavare måste ge datamottagare åtkomst till data, liksom bestämmelser om ersättning, tvistlösningsorgan som ska underlätta avtal mellan datadelande parter, tekniska skyddsåtgärder, internationell åtkomst till, och överföring av, data samt om godkänd användning och utlämnande av data.

(48)Förordning (EU) 2016/679 gäller när personuppgifter behandlas. I denna förordning ges registrerade rättigheter, bland annat rätt att få tillgång till personuppgifter och dataportabilitet. Denna förordning förändrar inte de rättigheter som registrerade har enligt (EU) 2016/679, som rätten till tillgång till personuppgifter och dataportabilitet. Genom denna förordning inrättas en lagstadgad skyldighet att på kundens begäran dela dennes personuppgifter och andra data än personuppgifter, samt fastställs att det ska vara tekniskt möjligt att ge åtkomst till och dela alla typer av data som omfattas av denna förordning. Att en kund ger sitt tillstånd innebär inte att dataanvändare inte måste fullgöra de skyldigheter som beskrivs i artikel 6 i förordning (EU) 2016/679. Personuppgifter som görs tillgängliga och delas med en dataanvändare bör endast få behandlas för tjänster som tillhandahålls av dataanvändaren om det finns giltig rättslig grund enligt artikel 6.1 i förordning (EU) 2016/679 och om kraven i artikel 9 i den förordningen om behandling av särskilda kategorier av personuppgifter, i förekommande fall, uppfylls.

(49)Genom denna förordning vidareutvecklas och kompletteras bestämmelserna om öppna banktjänster i direktiv (EU) 2015/2366 och den är helt förenlig med Europaparlamentets och rådets förordning (EU) …/202.. om betaltjänster och om ändring av förordning (EU) nr 1093/2010 19 och Europaparlamentets och rådets direktiv (EU) …/202.. om betaltjänster och tjänster för elektroniska pengar och om ändring av direktiven 2013/36/EU och 98/26/EG och om upphävande av direktiven 2015/2355/EU och 2009/110/EG 20 . Initiativet kompletterar de bestämmelser som redan finns om öppna banktjänster i direktiv (EU) 2015/2366 som reglerar åtkomst till betalkontouppgifter som innehas av kontoförvaltande betaltjänstleverantörer. Initiativet bygger på de lärdomar som dragits om öppna banktjänster i samband med översynen av direktiv 2015/2366/EU 21 . Genom denna förordning säkerställs överensstämmelse mellan åtkomst till finansdata och öppna banktjänster i de fall då det behövs ytterligare åtgärder, till exempel avseende manöverpaneler för tillstånd, de lagstadgade skyldigheterna att ge direkt åtkomst till kunddata och kravet på datainnehavare att tillhandahålla gränssnitt.

(50)Denna förordning påverkar inte bestämmelserna om dataåtkomst och datadelning i unionens lagstiftning om finansiella tjänster, vilka är som följer: i) bestämmelserna i Europaparlamentets och rådets förordning (EU) nr 600/2014 22 om tillgång till referensvärden och tillgångsbestämmelserna för börshandlade derivat mellan handelsplatser och centrala motparter, ii) reglerna i Europaparlamentets och rådets direktiv 2014/17/EU 23 om kreditgivares tillgång till databasen, iii) reglerna i Europaparlamentets och rådets förordning (EU) 2017/2402 24 om tillgång till värdepapperiseringsregister, iv) reglerna i Europaparlamentets och rådets direktiv 2009/103/EG 25 om rätten att från försäkringsgivare begära intyg om tidigare ersättningskrav och tillgång till de grundläggande uppgifter som behövs för skadereglering genom ett centralt kontor, v) rätten att få tillgång till och överföra alla nödvändiga personuppgifter till ett nytt PEPP-sparinstitut som ges genom Europaparlamentets och rådets förordning (EU) 2019/1238 26 och vi) bestämmelserna i Europaparlamentets och rådets direktiv (EU) 2018/843 27 om utkontraktering och tillförlitlighet. Denna förordning påverkar inte heller tillämpningen av EU:s eller medlemsstaternas konkurrensregler som återfinns i fördraget om Europeiska unionens funktionssätt och eventuell sekundärlagstiftning på unionsnivå. Den påverkar inte heller dataåtkomst, datadelning och dataanvändning som sker på avtalsmässig grund utan tillämpning av de skyldigheter att ge åtkomst till data som fastställs i denna förordning.

(51)Eftersom delning av data rörande betalkonton regleras i en annan ordning som fastställs i förordning (EU) 2015/2366 anses det lämpligt att i denna förordning föra in en översynsklausul, enligt vilken kommissionen ska undersöka huruvida reglerna i denna förordning på något sätt påverkar hur leverantörer av kontoinformationstjänster får åtkomst till data och huruvida det skulle vara lämpligt att samordna reglerna för datadelning som gäller för leverantörer av kontoinformationstjänster.

(52)Med tanke på att EBA, Eiopa och Esma bör ges rätt att använda sina befogenheter vad gäller leverantörer av finansinformationstjänster måste det säkerställas att dessa myndigheter kan utöva alla sina befogenheter och uppgifter för att förverkliga sina syften, som är att skydda allmänintresset genom att bidra till det finansiella systemets stabilitet och effektivitet på kort, medellång och lång sikt, till förmån för unionens ekonomi, dess medborgare och företag. Det måste även säkerställas att leverantörer av finansinformationstjänster omfattas av Europaparlamentets och rådets förordningar (EU) nr 1093/2010 28 , (EU) nr 1094/2010 29 och (EU) nr 1095/2010 30 . De förordningarna bör därför ändras så att det uppnås.

(53)Tillämpningsdagen för denna förordning bör skjutas upp i XX månader för att göra det möjligt att anta de tekniska standarder för tillsyn och delegerade akter som behövs för att specificera vissa delar av förordningen.

(54)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.2 i Europaparlamentets och rådets förordning (EU) 2018/1725 31 och avgav ett yttrande den [……….].

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

AVDELNING I
Syfte, tillämpningsområde och definitioner

Artikel 1
Syfte

Genom denna förordning fastställs regler om åtkomst, delning och användning av olika kategorier av kunddata inom finansiella tjänster.

Genom denna förordning fastställs även regler för auktorisation av leverantörer av finansinformationstjänster och hur dessa ska bedriva sin verksamhet.

Artikel 2
Tillämpningsområde

1.Denna förordning gäller följande kategorier av kunddata:

a)Hypotekslåneavtal, andra lån och sparkonton, utom betalkonton enligt definitionen i direktiv (EU) 2015/2366, inbegripet data om saldo, villkor och transaktioner.

b)Sparande, investeringar i finansiella instrument, försäkringsbaserade investeringsprodukter, kryptotillgångar, fastigheter och andra finansiella tillgångar, samt vinster från sådana tillgångar, inbegripet data som samlas in för bedömning av lämplighet enligt artikel 25 i Europaparlamentets och rådets direktiv 2014/65/EU 32 .

c)Pensionsrättigheter i tjänstepensionsinstitut i enlighet med Europaparlamentets och rådets direktiv 2009/138/EG och (EU) 2016/2341 33 .

d)Pensionsrättigheter i paneuropeiska privata pensionsprodukter i enlighet med förordning (EU) 2019/1238.

e)Skadeförsäkringsprodukter i enlighet med direktiv 2009/138/EG, undantaget sjukförsäkringar, inbegripet data som samlas in för bedömning av en kunds krav och behov i enlighet med artikel 20 i Europaparlamentets och rådets direktiv (EU) 2016/97 34 och data som samlas in för bedömning av lämplighet och ändamålsenlighet i enlighet med artikel 30 i direktiv (EU) 2016/97.

f)Data som ingår i kreditprövningar av företag och som samlas in i samband med en låneansökan eller kreditupplysning.

2.Denna förordning gäller följande enheter när de agerar som datainnehavare eller dataanvändare:

a)Kreditinstitut.

b)Betalningsinstitut, inbegripet leverantörer av kontoinformationstjänster och betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366.

c)Institut för elektroniska pengar, inbegripet institut för elektroniska pengar som är undantagna enligt Europaparlamentets och rådets direktiv 2009/110/EG 35 .

d)Värdepappersföretag.

e)Leverantörer av kryptotillgångstjänster.

f)Utgivare av tillgångsanknutna token,

g)Förvaltare av alternativa investeringsfonder.

h)Förvaltningsbolag för företag för kollektiva investeringar i överlåtbara värdepapper.

i)Försäkrings- och återförsäkringsföretag.

j)Försäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet.

k)Tjänstepensionsinstitut.

l)Kreditvärderingsinstitut.

m)Leverantörer av gräsrotsfinansieringstjänster.

n)PEPP-sparinstitut.

o)Leverantörer av finansinformationstjänster.

3.Denna förordning är inte tillämplig på de entiteter som anges i artikel 2.3 a–e i förordning (EU) 2022/2554.

4.Om inte annat uttryckligen anges i denna förordning påverkar den inte tillämpningen av unionens andra rättsakter om sådan åtkomst och delning av kunddata som avses i punkt 1.

Artikel 3
Definitioner

I denna förordning gäller följande definitioner:

1)konsument: en fysisk person som agerar för ändamål som ligger utanför dennes närings- eller yrkesverksamhet.

2)kund: en fysisk eller juridisk person som tar del av finansiella produkter och tjänster.

3)kunddata: personuppgifter och andra data än personuppgifter som finansinstitut samlar in, lagrar och på annat sätt behandlar som en del i sin vanliga verksamhet med kunder, både data som tillhandahålls av kunder och data som genereras i samband med kundernas interaktion med finansinstituten.

4)behörig myndighet: den myndighet som utsetts i varje medlemsstat i enlighet med artikel 17 och, för finansinstitut, någon av de behöriga myndigheter som anges i artikel 46 i förordning (EU) 2022/2554.

5)datainnehavare: finansinstitut som inte är leverantörer av finansinformationstjänster och som samlar in, lagrar och på annat sätt behandlar sådana data som anges i artikel 2.1.

6)dataanvändare: någon av de entiteter som anges i artikel 2.2 som efter att ha fått tillstånd från en kund har lagstadgad rätt att få åtkomst till sådana kunddata som anges i artikel 2.1.

7)leverantör av finansinformationstjänster: dataanvändare som är auktoriserade enligt artikel 14 att få åtkomst till sådana kunddata som anges i artikel 2.1 i syfte att tillhandahålla finansinformationstjänster.

8)finansinstitut: sådana entiteter som anges i artikel 2.2 a–n, som är antingen datainnehavare eller dataanvändare eller både och enligt denna förordning.

9)investeringskonto: alla register som förs av värdepappersföretag, kreditinstitut eller försäkringsmäklare om deras kunders innehav av finansiella instrument eller försäkringsbaserade investeringsprodukter, liksom om tidigare transaktioner och andra data rörande instrumentets livscykelhändelser.

10)andra data än personuppgifter: data som inte är personuppgifter enligt artikel 4.1 i förordning (EU) 2016/679.

11)personuppgifter: personuppgifter enligt artikel 4.1 i förordning (EU) 2016/679.

12)kreditinstitut: kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 36 .

13)värdepappersföretag: värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU.

14)leverantör av kryptotillgångstjänster: leverantör av kryptotillgångstjänster enligt definitionen i artikel 3.1.15 i Europaparlamentets och rådets förordning (EU) 2023/1114 37 .

15)utgivare av tillgångsanknutna token: en utgivare av tillgångsanknutna token auktoriserad enligt artikel 21 i förordning (EU) 2023/1114.

16)betalningsinstitut: ett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.

17)leverantör av kontoinformationstjänster: sådana leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366.

18)institut för elektroniska pengar: ett institut för elektroniska pengar enligt definitionen i artikel 2.1 i direktiv 2009/110/EG.

19)institut för elektroniska pengar undantaget enligt direktiv 2009/110/EG: ett institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.

20)förvaltare av alternativa investeringsfonder: en förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i Europaparlamentets och rådets direktiv 2011/61/EU 38 .

21)förvaltningsbolag för företag för kollektiva investeringar i överlåtbara värdepapper: ett förvaltningsbolag enligt definitionen i artikel 2.1 b i Europaparlamentets och rådets direktiv 2009/65/EG 39 .

22)försäkringsföretag: ett försäkringsföretag enligt definitionen i artikel 13.1 i direktiv 2009/138/EG.

23)återförsäkringsföretag: ett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG.

24)försäkringsförmedlare: en försäkringsförmedlare enligt definitionen i artikel 2.1.3 i Europaparlamentets och rådets direktiv (EU) 2016/97 40 .

25)försäkringsförmedlare som bedriver förmedling som sidoverksamhet: en försäkringsförmedlare som bedriver förmedling som sidoverksamhet enligt definitionen i artikel 2.1.4 i direktiv (EU) 2016/97.

26)tjänstepensionsinstitut: tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341.

27)kreditvärderingsinstitut: ett kreditvärderingsinstitut enligt definitionen i artikel 3.1 b i Europaparlamentets och rådets förordning (EG) nr 1060/2009 41 .

28)PEPP-sparinstitut: ett PEPP-sparinstitut enligt definitionen i artikel 2 15 i Europaparlamentets och rådets förordning (EU) 2019/1238.

29)rättslig representant: fysisk person som har sin hemvist i unionen eller juridisk person som har sitt stadgeenliga säte i unionen och som är uttryckligen utsedd av en leverantör av finansinformationstjänster i ett tredjeland att handla för denna leverantörs räkning gentemot myndigheter, klienter, organ och denna leverantörs motparter i unionen vad gäller denna leverantörs skyldigheter enligt denna förordning.

AVDELNING II
Dataåtkomst

Artikel 4 
Skyldighet att göra data tillgängliga för kunden

Datainnehavaren ska på en kunds elektroniskt inlämnade begäran göra de data som anges i artikel 2.1 tillgängliga för kunden utan onödigt dröjsmål, kostnadsfritt, fortlöpande och i realtid.

Artikel 5
Skyldigheter för en datainnehavare att göra kunddata tillgängliga för en dataanvändare

1.Datainnehavaren ska på en kunds elektroniskt inlämnade begäran göra de kunddata som anges i artikel 2.1 tillgängliga för en dataanvändare för de ändamål för vilka kunden har beviljat dataanvändaren tillstånd. Dessa kunddata ska göras tillgängliga för dataanvändaren utan onödigt dröjsmål, fortlöpande och i realtid.

2.En datainnehavare får endast kräva ersättning från en dataanvändare för tillgängliggörande av kunddata enligt punkt 1 om kunddata görs tillgängliga för en dataanvändare i enlighet med reglerna och villkoren för ett system för delning av finansdata enligt artiklarna 9 och 10, eller om de görs tillgängliga i enlighet med artikel 11.

3.När data görs tillgängliga enligt punkt 1 ska datainnehavaren

a)göra kunddata tillgängliga för dataanvändaren i ett format som bygger på vedertagna standarder och som åtminstone är av samma kvalitet som är tillgänglig för datainnehavaren,

b)kommunicera säkert med dataanvändaren genom att säkerställa en lämplig säkerhetsnivå för behandling och överföring av kunddata,

c)begära att dataanvändare visar att de har fått kundens tillstånd att få åtkomst till de kunddata som innehas av datainnehavaren,

d)tillhandahålla en manöverpanel för tillstånd så att kunden kan övervaka och hantera sina tillstånd i enlighet med artikel 8,

e)respektera sekretessen för affärshemligheter och immateriella rättigheter när kunddata används i enlighet med artikel 5.1.

Artikel 6
Skyldigheter för en dataanvändare som tar emot kunddata

1.En dataanvändare ska endast kunna få åtkomst till kunddata enligt artikel 5.1 om dataanvändaren först erhållit auktorisation från en behörig myndighet som finansinstitut eller är leverantör av finansiella informationstjänster enligt artikel 14.

2.En dataanvändare ska endast få åtkomst till kunddata som gjorts tillgängliga enligt artikel 5.1 för de ändamål och på de villkor för vilka kunden beviljat tillstånd. En dataanvändare ska radera kunddata när de inte längre behövs för de ändamål för vilka kunden har beviljat tillstånd.

3.En kund kan återkalla det tillstånd som den har beviljat en dataanvändare. Om behandlingen är nödvändig för fullgörandet av ett avtal kan en kund återkalla det tillstånd som den har beviljat att göra kunddata tillgängliga för en dataanvändare i enlighet med de avtalsenliga skyldigheter som kunden omfattas av.

4.För att säkerställa en effektiv hantering av kunddata ska en dataanvändare

a)inte behandla kunddata för andra ändamål än för att utföra den tjänst som kunden uttryckligen begärt,

b)respektera sekretessen för affärshemligheter och immateriella rättigheter när kunddata används i enlighet med artikel 5.1,

c)vidta tillräckliga tekniska, rättsliga och organisatoriska åtgärder för att förhindra sådan överföring av eller åtkomst till andra kunddata än personuppgifter som strider mot unionsrätten eller den nationella rätten i den berörda medlemsstaten,

d)vidta nödvändiga åtgärder för att säkerställa en lämplig säkerhetsnivå för lagring, behandling och överföring av andra kunddata än personuppgifter,

e)inte behandla kunddata för reklamändamål, med undantag för direktmarknadsföring i enlighet med unionsrätten och nationell rätt,

f)om dataanvändaren ingår i en företagsgrupp, bara den enhet inom gruppen som agerar som dataanvändare ha åtkomst till och behandla de kunddata som anges i artikel 2.1.

AVDELNING III
Ansvarsfull användning av data och manöverpaneler för tillstånd

Artikel 7
Avgränsning av dataanvändning

1.Den behandling av kunddata som avses i artikel 2.1 i denna förordning och som utgör personuppgifter ska begränsas till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas.

2.I enlighet med artikel 16 i förordning (EU) nr 1093/2010 ska Europeiska bankmyndigheten (EBA) utarbeta riktlinjer för genomförandet av punkt 1 i denna artikel för produkter och tjänster som rör konsumentens kreditvärdighet.

3.I enlighet med artikel 16 i förordning (EU) nr 1094/2010 ska Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) utarbeta riktlinjer för genomförandet av punkt 1 i denna artikel för produkter och tjänster som rör riskbedömning av och prissättning i förhållande till konsumenter i samband med liv-, hälso- och sjukförsäkringsprodukter.

4.Vid utarbetandet av de riktlinjer som avses i punkterna 2 och 3 i denna artikel ska Eiopa och EBA ha ett nära samarbete med Europeiska dataskyddsstyrelsen, vilken inrättats genom förordning (EU) 2016/679.

Artikel 8
Manöverpanel för tillstånd gällande åtkomst till finansdata

1.En datainnehavare ska tillhandahålla en manöverpanel för tillstånd så att kunden kan övervaka och hantera tillstånd som denne har beviljat dataanvändare.

2.En manöverpanel för tillstånd ska

a)ge kunden överblick över alla gällande tillstånd som beviljats dataanvändare, inbegripet

i)namnet på den dataanvändare till vilken åtkomst beviljats,

ii)det kundkonto, den finansiella produkt eller den finansiella tjänst för vilket/vilken åtkomst beviljats,

iii)syftet med tillståndet,

iv)de datakategorier som delas,

v)tillståndets giltighetstid,

b)ge kunden möjlighet att återkalla tillståndet för en dataanvändare,

c)göra det möjligt för kunden att återställa eventuella tillstånd som återkallats,

d)under två år innehålla ett register över tillstånd som återkallats eller upphört att gälla.

3.Datainnehavaren ska säkerställa att det är lätt att hitta manöverpanelen för tillstånd i dess användargränssnitt och att den information som visas i manöverpanelen är tydlig, korrekt och lättbegriplig för kunden.

4.Datainnehavaren och den dataanvändare som kunden har beviljat tillstånd ska samarbeta för att göra information tillgänglig för kunden via manöverpanelen i realtid. För att fullgöra skyldigheterna i punkt 2 a, b, c och d i denna artikel ska

a)datainnehavaren informera dataanvändaren om ändringar som en kund har gjort via manöverpanelen av ett tillstånd för denna dataanvändare,

b)en dataanvändare informera datainnehavaren om ett nytt tillstånd som kunden har beviljat avseende kunddata som innehas av den datainnehavaren, inbegripet

i)syftet med det tillstånd som beviljats av kunden,

ii)tillståndets giltighetstid,

iii)de datakategorier som berörs.

AVDELNING IV
System för delning av finansdata

Artikel 9
Medlemskap i system för delning av finansdata

1.Inom 18 månader efter det att denna förordning har trätt i kraft ska datainnehavare och dataanvändare bli medlemmar i ett system för delning av finansdata som reglerar åtkomst till kunddata i enlighet med artikel 10.

2.Datainnehavare och dataanvändare kan bli medlemmar i mer än ett system för delning av finansdata.

All datadelning ska ske i enlighet med reglerna och villkoren för ett system för delning av finansdata i vilket både dataanvändaren och datainnehavaren är medlemmar.

Artikel 10
Styrning av och innehåll i system för delning av finansdata

1.Ett system för delning av finansdata ska innehålla följande:

a)Följande ska vara medlemmar i ett system för delning av finansdata:

i)Datainnehavare och dataanvändare som representerar en betydande andel av marknaden för den berörda produkten eller tjänsten, där varje part har en rättvis och likvärdig representation i systemets interna beslutsprocesser samt likvärdig vikt i eventuella omröstningsförfaranden. Om en medlem är både datainnehavare och dataanvändare ska medlemskapet räknas lika mot båda sidor.

ii)Kundorganisationer och konsumentorganisationer.

b)De regler som gäller för medlemmar i systemet för delning av finansdata ska tillämpas på samma sätt på alla medlemmar och det får inte förekomma någon omotiverad förmånlig eller differentierad behandling av medlemmar.

c)Medlemsreglerna för ett system för delning av finansdata ska säkerställa att systemet är öppet för deltagande av alla datainnehavare och dataanvändare på grundval av objektiva kriterier och att alla medlemmar behandlas på ett rättvist och jämlikt sätt.

d)Ett system för delning av finansdata får inte införa några kontroller eller ytterligare villkor för datadelning utöver dem som föreskrivs i denna förordning eller i annan tillämplig unionsrätt.

e)Ett system för delning av finansdata ska innehålla en mekanism genom vilken dess regler kan ändras, efter en konsekvensanalys och godkännande av majoriteten av varje grupp av datainnehavare respektive dataanvändare.

f)Ett system för delning av finansdata ska innehålla regler om transparens och vid behov rapportering till sina medlemmar.

g)Ett system för delning av finansdata ska omfatta de gemensamma standarderna för data och tekniska gränssnitt som gör det möjligt för kunderna att begära datadelning i enlighet med artikel 5.1. De gemensamma standarderna för de data och tekniska gränssnitt som systemmedlemmarna samtycker till att använda får utvecklas av systemmedlemmar eller av andra parter eller organ.

h)Ett system för delning av finansdata ska inrätta en modell för att fastställa den maximala ersättning som en datainnehavare har rätt att ta ut för att göra data tillgängliga genom ett lämpligt tekniskt gränssnitt för datadelning med dataanvändare i linje med de gemensamma standarder som utvecklats enligt led g. Modellen ska bygga på följande principer:

i)Den bör begränsas till rimlig ersättning som är direkt knuten till att göra data tillgängliga för dataanvändaren och som kan hänföras till begäran.

ii)Den bör baseras på en objektiv, transparent och icke-diskriminerande metod som godkänts av systemmedlemmarna.

iii)Den bör baseras på omfattande marknadsdata som samlats in från dataanvändare och datainnehavare för vart och ett av de kostnadselement som ska beaktas, tydligt identifierade i enlighet med modellen.

iv)Den bör regelbundet ses över och övervakas för att ta hänsyn till den tekniska utvecklingen.

v)Den bör utformas så att ersättningen anpassas till de lägsta nivåer som råder på marknaden.

vi)Den bör begränsas till förfrågningar om kunddata enligt artikel 2.1 eller stå i proportion till de relaterade dataset som omfattas av den artikeln när det gäller kombinerade dataförfrågningar.

Om dataanvändaren är ett mikroföretag eller ett litet eller medelstort företag enligt definitionen i artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG av den 6 maj 2003 42 får den överenskomna ersättningen inte överstiga de kostnader som är direkt förknippade med att göra data tillgängliga för datamottagaren och som kan hänföras till begäran.

i)Ett system för delning av finansdata ska fastställa det avtalsenliga ansvaret för sina medlemmar, inbegripet om data är felaktiga eller av otillräcklig kvalitet, om datasäkerheten äventyras eller om data missbrukas. När det gäller personuppgifter ska ansvarsbestämmelserna i systemet för delning av finansdata vara förenliga med bestämmelserna i förordning (EU) 2016/679.

j)Ett system för delning av finansdata ska tillhandahålla ett oberoende, opartiskt, transparent och ändamålsenligt tvistlösningssystem för att lösa tvister mellan systemets medlemmar och medlemskapsfrågor, i enlighet med de kvalitetskrav som fastställs i Europaparlamentets och rådets direktiv 2013/11/EU 43 .

2.Medlemskap i system för delning av finansdata ska när som helst vara öppet för nya medlemmar på samma villkor som för befintliga medlemmar.

3.En datainnehavare ska meddela den behöriga myndigheten i den medlemsstat där den är etablerad vilka system för delning av finansdata som den ingår i, inom en månad efter det att den har anslutit sig till ett system.

4.Ett system för delning av finansdata som inrättas i enlighet med denna artikel ska anmälas till den behöriga myndigheten för fastställande av de tre mest betydande datainnehavare som är medlemmar i det systemet vid den tidpunkt då systemet inrättas. Om de tre viktigaste datainnehavarna är etablerade i olika medlemsstater, eller om det finns fler än en behörig myndighet i den medlemsstat där de tre viktigaste datainnehavarna är etablerade, ska systemet anmälas till alla dessa myndigheter, som sinsemellan ska komma överens om vilken myndighet som ska utföra den bedömning som avses i punkt 6.

5.Anmälan i enlighet med punkt 4 ska ske inom 1 månad efter upprättandet av systemet för delning av finansdata och ska omfatta dess styrformer och egenskaper i enlighet med punkt 1.

6.Inom en månad efter mottagandet av anmälan enligt punkt 4 ska den behöriga myndigheten bedöma huruvida styrformerna och egenskaperna för systemet för delning av finansdata är förenliga med punkt 1. Vid bedömningen av huruvida systemet för delning av finansdata överensstämmer med punkt 1 får den behöriga myndigheten samråda med andra behöriga myndigheter.

När bedömningen är slutförd ska den behöriga myndigheten informera EBA om ett anmält system för delning av finansdata som uppfyller bestämmelserna i punkt 1. Ett system som anmälts till EBA i enlighet med denna punkt ska erkännas i alla medlemsstater i syfte att få åtkomst till data i enlighet med artikel 5.1 och ska inte kräva ytterligare anmälan i någon annan medlemsstat.

Artikel 11
Befogenhet att anta en delegerad akt om ett system för delning av finansdata saknas

Om ett system för delning av finansdata inte har utvecklats för en eller flera kategorier av kunddata som anges i artikel 2.1 och det inte finns några realistiska utsikter att ett sådant system kommer att inrättas inom rimlig tid, ges kommissionen befogenhet att anta en delegerad akt i enlighet med artikel 30 för att komplettera denna förordning genom att ange följande villkor enligt vilka en datainnehavare ska göra kunddata tillgängliga enligt artikel 5.1 för den datakategorin:

a)Gemensamma standarder för de data och, i förekommande fall, de tekniska gränssnitten för att göra det möjligt för kunderna att begära datadelning enligt artikel 5.1.

b)En modell för att fastställa den maximala ersättning som en datainnehavare har rätt att ta ut för att göra data tillgängliga.

c)Ansvaret för de enheter som är involverade i att göra kunddata tillgängliga.

AVDELNING V
Behörighet för dataåtkomst och organisation

Artikel 12
Ansökan om auktorisation för leverantörer av finansiella informationstjänster 

1.En leverantör av finansiella informationstjänster ska kunna få åtkomst till kunddata enligt artikel 5.1 om den är auktoriserad av den behöriga myndigheten i en medlemsstat.

2.En leverantör av finansiella informationstjänster ska lämna in en ansökan om auktorisation till den behöriga myndigheten i den medlemsstat där den har sitt säte, tillsammans med följande:

a) En verksamhetsplan där det bland annat anges vilken slags åtkomst till data som planeras.

b)En affärsplan med en budgetprognos för de tre första räkenskapsåren, där det visas att den sökande har förmåga att utnyttja system, resurser och förfaranden som är lämpliga och väl anpassade för en sund verksamhet.

c)En beskrivning av den sökandes styrsystem och interna kontrollmekanismer, inbegripet förvaltnings-, riskhanterings- och redovisningsförfaranden samt arrangemang för användning av IKT-tjänster i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554, vilken ska visa att dessa styrsystem, kontrollmekanismer och förfaranden är proportionella, lämpliga, sunda och tillräckliga.

d)En beskrivning av de förfaranden som finns för att övervaka, hantera och följa upp säkerhetsincidenter och säkerhetsrelaterade kundklagomål, inbegripet en rapporteringsmekanism för incidenter som beaktar informationsskyldigheter enligt kapitel III i förordning (EU) 2022/2554.

e)En beskrivning av arrangemang för verksamhetens kontinuitet, inbegripet en tydlig angivelse av kritiska verksamheter, en effektiv policy och planer för kontinuitet i IKT-verksamheten samt respons- och återhämtningsplaner för IKT och ett förfarande för att regelbundet kontrollera och se över dessa planers lämplighet och effektivitet i enlighet med förordning (EU) 2022/2554. 

f)Ett säkerhetspolicydokument, inbegripet en detaljerad riskbedömning av verksamheten och en beskrivning av de säkerhetskontroll- och begränsningsåtgärder som vidtagits för att på lämpligt sätt skydda kunderna mot de identifierade riskerna, bland annat bedrägeri.

g)En beskrivning av sökandens strukturella organisation samt en beskrivning av arrangemangen för utkontraktering.

h)Identiteten på de direktörer och personer som ansvarar för sökandens ledning och i tillämpliga fall på de personer som ansvarar för hanteringen av sökandens dataåtkomstverksamhet samt bevis på att dessa har gott anseende och i enlighet med denna förordning har den kunskap och erfarenhet som krävs för att få dataåtkomst.

i)Den sökandes rättsliga ställning och bolagsordning.

j)Adressen till den sökandes huvudkontor.

k)I tillämpliga fall, det skriftliga avtalet mellan leverantören av finansiella informationstjänster och det rättsliga ombud som styrker utnämningen, omfattningen av ansvar och de uppgifter som ska utföras av det rättsliga ombudet i enlighet med artikel 13.

För de syften som avses i första stycket leden c, d och g ska sökanden tillhandahålla en beskrivning av sina revisionsarrangemang och de organisatoriska arrangemang som har inrättats för att se till att alla skäliga åtgärder vidtas för att skydda kundernas intressen samt trygga kontinuitet och tillförlitlighet vid utförandet av verksamheten.

De säkerhetskontroll- och begränsningsåtgärder som avses i första stycket led f ska ange hur sökanden kommer att säkerställa en hög nivå av digital operativ motståndskraft i enlighet med kapitel II i förordning (EU) 2022/2554, särskilt i fråga om teknisk säkerhet och dataskydd, inbegripet för den programvara och de IKT-system som används av sökanden eller de företag till vilka sökanden lägger ut hela eller delar av sin verksamhet på entreprenad.

3.Leverantörer av finansiella informationstjänster ska inneha en ansvarsförsäkring som omfattar de territorier där de har åtkomst till data, eller någon annan jämförbar garanti, och ska säkerställa följande: 

a)Förmåga att täcka sitt skadeståndsansvar till följd av obehörig eller bedräglig åtkomst till eller obehörig eller bedräglig användning av data.

b)Förmåga att täcka värdet av varje självrisk, tröskel eller avdrag från försäkringen eller jämförbar garanti.

c)Fortlöpande övervakning av försäkringens eller den jämförbara garantins täckning.

Som ett alternativ till att inneha en ansvarsförsäkring eller annan jämförbar garanti enligt kravet i första stycket ska det företag som avses i föregående stycke inneha ett startkapital på 50 000 EUR, som kan ersättas med en ansvarsförsäkring eller annan jämförbar garanti efter det att det utan onödigt dröjsmål inlett sin verksamhet som leverantör av finansiella informationstjänster.

4.EBA ska i samarbete med Esma och Eiopa, efter samråd med alla relevanta intressenter, utarbeta förslag till tekniska standarder för tillsyn som specificerar följande:

a)Den information som ska lämnas till den behöriga myndigheten i ansökan om auktorisation för leverantörer av finansiella informationstjänster, inbegripet de krav som fastställs i punkt 1 a–l.

b)En gemensam bedömningsmetod för beviljande av auktorisation som leverantör av finansiella informationstjänster enligt denna förordning.

c)Vad som är en jämförbar garanti enligt punkt 2, som bör vara utbytbar mot en ansvarsförsäkring.

d)Kriterierna för hur minimibeloppet för den ansvarsförsäkring eller annan jämförbar garanti som avses i punkt 2 ska fastställas.

Vid utarbetandet av dessa tekniska standarder för tillsyn ska EBA beakta följande:

a)företagets riskprofil,

b)Huruvida företaget tillhandahåller andra typer av tjänster eller bedriver annan verksamhet.

c)Verksamhetens storlek.

d)särdragen hos jämförbara garantier och kriterierna för deras genomförande.

EBA ska överlämna de förslag till tekniska standarder för tillsyn som avses i första stycket till kommissionen senast den [Publikationsbyrån: för in datumet 9 månader efter dagen för denna förordnings ikraftträdande].

Kommissionen ska ges befogenhet att anta de tekniska standarder för tillsyn som avses i första stycket i denna punkt i enlighet med artiklarna 10–14 i förordning 1093/2015.

I enlighet med artikel 10 i förordning (EU) nr 1093/2010 ska EBA se över och vid behov uppdatera dessa tekniska standarder för tillsyn. 

Artikel 13
Rättsliga företrädare

1.Leverantörer av finansiella informationstjänster som inte är etablerade i unionen men som behöver åtkomst till finansdata i unionen ska skriftligen utse en juridisk eller fysisk person som rättslig företrädare i en av de medlemsstater från vilken leverantören av finansiella informationstjänster avser att få åtkomst till finansdata.

2.Leverantörer av finansiella informationstjänster ska bemyndiga sina rättsliga företrädare att vid sidan om eller i stället för leverantören av finansiella informationstjänster hantera kontakterna med behöriga myndigheter när det gäller alla frågor som är nödvändiga för mottagande, efterlevnad och tillämpning av denna förordning. Leverantörer av finansiella informationstjänster ska ge sina rättsliga företrädare de befogenheter och resurser som krävs för att de ska kunna samarbeta med de behöriga myndigheterna och säkerställa att deras beslut följs.

3.Den utsedda rättsliga företrädaren kan hållas ansvarig för bristande efterlevnad av skyldigheter enligt denna förordning, utan att det påverkar de skadeståndskrav och rättsliga åtgärder som kan inledas mot leverantören av finansiella informationstjänster.

4.Leverantörer av finansiella informationstjänster ska meddela den rättsliga företrädarens namn, adress, e-postadress och telefonnummer till den behöriga myndigheten i den medlemsstat där den rättsliga företrädaren har sin hemvist eller sitt etableringsställe. De ska säkerställa att den informationen är aktuell.

5.Utseendet av en rättslig företrädare inom unionen enligt punkt 1 ska inte utgöra en etablering i unionen.

Artikel 14
Beviljande och återkallande av auktorisation för leverantörer av finansiella informationstjänster

1.Den behöriga myndigheten ska bevilja auktorisation om de uppgifter och bevis som åtföljer ansökan uppfyller kraven i artikel 11.1 och 11.2. Innan auktorisation beviljas, får de behöriga myndigheterna vid behov höra andra berörda offentliga myndigheter.

2.Den behöriga myndigheten ska auktorisera en leverantör av finansiella informationstjänster från ett tredjeland, förutsatt att samtliga följande villkor är uppfyllda:

a)Leverantören av finansiella informationstjänster i tredjelandet har uppfyllt alla villkor som fastställs i artiklarna 12 och 16.

b)Leverantören av finansiella informationstjänster i tredjelandet har utsett en rättslig företrädare i enlighet med artikel 13.

c)Om leverantören av finansiella informationstjänster i tredjelandet är föremål för tillsyn, ska den behöriga myndigheten försöka inrätta ett lämpligt samarbetsarrangemang med den relevanta behöriga myndigheten i det tredjeland där leverantören av finansiella informationstjänster är etablerad, för att säkerställa ett effektivt informationsutbyte.

d)Det tredjeland där leverantören av finansiella informationstjänster är etablerad är inte förtecknat som en icke samarbetsvillig jurisdiktion på skatteområdet enligt relevant unionspolitik eller som ett högrisktredjeland som uppvisar brister i enlighet med kommissionens delegerade förordning (EU) 2016/1675 44 .

3.Den behöriga myndigheten ska bevilja auktorisation endast om leverantören av finansiella informationstjänster, med beaktande av behovet av att säkerställa en sund och ansvarsfull förvaltning av en leverantör av finansiella informationstjänster, har stabila styrformer för sin informationstjänstverksamhet. Detta innefattar en tydlig organisationsstruktur med väldefinierade, transparenta och konsekventa ansvarsområden, ändamålsenliga förfaranden för att identifiera, hantera, övervaka och rapportera de risker som företaget är eller kan bli utsatt för samt lämpliga mekanismer för intern kontroll, inbegripet sunda förfaranden för administration och redovisning. Dessa arrangemang, förfaranden och mekanismer ska vara heltäckande och stå i proportion till arten, omfattningen och komplexiteten hos de informationstjänster som tillhandahålls av leverantören av finansiella informationstjänster.

4.Den behöriga myndigheten får bevilja auktorisation endast om lagar och andra författningar i ett tredjeland, som gäller för en eller flera fysiska eller juridiska personer till vilka leverantören av finansiella tjänster har nära förbindelser, eller svårigheter vid tillämpningen av dessa lagar och andra författningar, inte hindrar ett effektivt utövande av deras tillsyn.

5.Den behöriga myndigheten ska bevilja auktorisation endast om den är övertygad om att eventuella avtal om utkontraktering inte kommer att göra leverantören av finansiella informationstjänster till ett brevlådeföretag eller att de inte genomförs som ett sätt att kringgå bestämmelserna i denna förordning.

6.Inom tre månader från mottagandet av en ansökan eller, om ansökan skulle vara ofullständig, från mottagandet av all den information som krävs för beslut, ska de behöriga myndigheterna underrätta sökanden om huruvida auktorisationen beviljas eller avslås. Om den behöriga myndigheten nekar auktorisation ska den ange skälen för detta.

7.Den behöriga myndigheten får återkalla en auktorisation som beviljats en leverantör av finansiella informationstjänster endast om leverantören

a)inte utnyttjar auktorisationen inom tolv månader, uttryckligen har avsagt sig auktorisationen eller inte har bedrivit någon verksamhet på mer än sex månader,

b)har erhållit auktorisationen på grundval av oriktiga uppgifter eller på något annat sätt i strid mot gällande regler,

c)inte längre uppfyller villkoren för beviljande av auktorisation eller underlåter att underrätta den behöriga myndigheten om viktiga händelser i detta avseende,

d)skulle utgöra en risk för konsumentskyddet och datasäkerheten.

Den behöriga myndigheten ska ange skälen för återkallandet av en auktorisation och underrätta de som berörs av beslutet om detta. Den behöriga myndigheten ska offentliggöra återkallandet av en auktorisation i en anonymiserad version.

Artikel 15
Register

1.EBA ska utveckla, driva och upprätthålla ett elektroniskt centralt register som innehåller följande information:

a)Auktoriserade leverantörer av finansiella informationstjänster.

b)Leverantörer av finansiella informationstjänster som har meddelat sin avsikt att få åtkomst till data i en annan medlemsstat än sin hemmedlemsstat.

c)System för delning av finansdata som avtalats mellan datainnehavare och dataanvändare.

2.Det register som avses i punkt 1 får endast innehålla anonymiserade data.

3.Registret ska vara tillgängligt för allmänheten på EBA:s webbplats och ska möjliggöra enkel sökning och tillgång till den information som anges.

4.EBA ska i det register som avses i punkt 1 föra in uppgift om auktorisationen av leverantörer av finansiella informationstjänster har dragits in eller om system för delning av finansdata har upphört.

5.Medlemsstaternas behöriga myndigheter ska utan dröjsmål meddela EBA den information som krävs för att EBA ska kunna fullgöra sina uppgifter enligt punkterna 1 och 3. De behöriga myndigheterna ska svara för att den information som anges i punkterna 1 och 3 är korrekt och uppdateras regelbundet. De ska, om det är tekniskt möjligt, automatiskt överföra denna information till EBA.

Artikel 16

Organisatoriska krav för leverantörer av finansiella informationstjänster

En leverantör av finansiella informationstjänster ska uppfylla följande organisatoriska krav:

a)Den ska fastställa policyer och förfaranden som är tillräckliga för att säkerställa att den, inbegripet chefer och anställda, fullgör sina skyldigheter enligt denna förordning.

b)Den ska vidta rimliga åtgärder för att säkerställa kontinuitet och regelbundenhet i utförandet av sin verksamhet. I detta syfte ska leverantören av finansiella informationstjänster använda lämpliga och proportionella system, resurser och förfaranden för att säkerställa kontinuiteten i sin kritiska verksamhet, ha beredskapsplaner och ett förfarande för att regelbundet testa och se över dessa planers lämplighet och effektivitet.

c)Den ska, när den förlitar sig på en tredje part för utförandet av funktioner som är av avgörande betydelse för tillhandahållandet av fortlöpande och tillfredsställande service till kunderna och för utförandet av verksamheten på ett fortlöpande och tillfredsställande sätt, vidta rimliga åtgärder för att undvika onödiga ytterligare operativa risker. Utkontraktering av viktiga operativa funktioner får inte ske på ett sådant sätt att det väsentligt försämrar kvaliteten på dess interna kontroll och tillsynsmyndighetens förmåga att övervaka att leverantören av finansiella informationstjänster fullgör alla skyldigheter.

d)Den ska ha sunda förfaranden för administration och redovisning, interna kontrollmekanismer, ändamålsenliga förfaranden för riskbedömning och riskhantering samt ändamålsenliga kontroll- och skyddssystem för sina informationsbehandlingssystem.

e)De styrelseledamöter och personer som ansvarar för dess ledning samt de personer som ansvarar för ledningen av leverantören av finansiella informationstjänsters dataåtkomstverksamhet har gott anseende och lämplig kunskap, kompetens och erfarenhet, både individuellt och kollektivt, för att utföra sina uppgifter.

f)Den ska inrätta och upprätthålla ändamålsenliga och transparenta förfaranden för snabb, rättvis och konsekvent övervakning, hantering och uppföljning av klagomål avseende säkerhetstillbud och säkerhetsrelaterade kundklagomål, inbegripet en rapporteringsmekanism som tar hänsyn till de anmälningsskyldigheter som fastställs i kapitel III i förordning (EU) 2022/2554.

AVDELNING VI
Behöriga myndigheter och tillsynsram

Artikel 17
Behöriga myndigheter

1.Medlemsstaterna ska utse de behöriga myndigheter som är ansvariga för att fullgöra de funktioner och uppgifter som fastställs i denna förordning. Medlemsstaterna ska informera kommissionen om dessa behöriga myndigheter.

2.Medlemsstaterna ska se till att de enligt punkt 1 utsedda behöriga myndigheterna har alla befogenheter som de behöver för att fullgöra sina uppgifter.

Medlemsstaterna ska se till att dessa behöriga myndigheter har de resurser som krävs, särskilt i form av särskild personal, för att fullgöra sina uppgifter enligt skyldigheterna enligt denna förordning.

3.Medlemsstater som inom sin jurisdiktion har utsett fler än en behörig myndighet för frågor som omfattas av denna avdelning, ska försäkra sig om att dessa myndigheter har ett nära samarbete, så att de kan genomföra sina uppgifter på ett effektivt sätt.

4.När det gäller finansinstitut ska efterlevnaden av denna förordning säkerställas av de behöriga myndigheter som anges i artikel 46 i förordning (EU) 2022/2554 i enlighet med de befogenheter som beviljas genom de respektive rättsakter som förtecknas i den artikeln, och genom denna förordning.

Artikel 18
De behöriga myndigheternas befogenheter

1.De behöriga myndigheterna ska ha alla de undersökningsbefogenheter som de behöver för att utöva sina funktioner. Dessa befogenheter ska omfatta följande:

a)Befogenheten att ålägga varje fysisk eller juridisk person att lämna all information som krävs för att de behöriga myndigheterna ska kunna utföra sina uppgifter, däribland uppgifter ska lämnas vid återkommande tillfällen och i angivna format för tillsynsändamål och därtill hörande statistiska ändamål:

b)Befogenheten att genomföra alla nödvändiga utredningar av alla personer som avses i led a och som är etablerade eller belägna i den berörda medlemsstaten, om detta är nödvändigt för att de behöriga myndigheterna ska kunna utföra sina uppgifter, bland annat befogenheten att

i)begära inlämning av handlingar,

ii)granska data i alla former, inbegripet bokföring och register över de personer som avses i led a och ta kopior av eller göra utdrag ur sådana handlingar,

iii)erhålla skriftliga eller muntliga förklaringar från någon som avses i led a eller deras företrädare eller personal och vid behov kalla och förhöra varje sådan person för att få information,

iv)höra alla andra fysiska personer som samtycker till att höras i syfte att samla in information som rör föremålet för utredningen,

v)om inte annat följer av andra villkor i unionsrätten eller i nationell rätt, utföra nödvändiga inspektioner i de juridiska personernas lokaler och på andra platser än privata bostäder för de fysiska personer som avses i led a, samt för varje annan juridisk person som omfattas av gruppbaserad tillsyn där en behörig myndighet är samordnande tillsynsmyndighet, efter förhandsanmälan till de berörda behöriga myndigheterna,

vi)besöka fysiska och juridiska personers lokaler, i enlighet med nationell lagstiftning, för att beslagta dokument och information, oavsett typ, vid rimlig misstanke om att det finns dokument eller information med koppling till föremålet för kontrollen eller undersökningen som kan vara nödvändiga och relevanta för att bevisa att bestämmelserna i denna förordning har överträtts,

vii)i den mån det är tillåtet enligt nationell rätt, begära in befintliga uppgifter om datatrafik som innehas av en teleoperatör om det finns en rimlig misstanke om en överträdelse och om sådana uppgifter kan vara av betydelse för att undersöka en överträdelse av denna förordning,

viii)Begära att tillgångar fryses eller beläggs med kvarstad eller båda.

ix)Överlämna ärenden för brottsutredning.

c)I avsaknad av andra tillgängliga medel för att få till stånd ett upphörande eller förhindrande av en överträdelse av denna förordning och för att undvika risken för allvarlig skada för konsumenternas intressen, ska de behöriga myndigheterna ha rätt att vidta någon av följande åtgärder, bland annat genom att anmoda en tredje part eller annan offentlig myndighet att genomföra dem:

i)Ta bort innehåll eller begränsa åtkomsten till ett onlinegränssnitt eller beordra att en varning tydligt visas för kunder när de använder ett onlinegränssnitt.

ii)Beordra en värdtjänstleverantör att ta bort, förhindra eller begränsa åtkomst till ett onlinegränssnitt.

iii)Beordra ett domänregister eller en domänregistrator att radera ett fullt kvalificerat domännamn och tillåta den berörda behöriga myndigheten att registrera detta.

Genomförandet av denna punkt och utövandet av de befogenheter som anges i den ska vara proportionellt och förenligt med unionsrätt och nationell rätt, inbegripet med tillämpliga rättssäkerhetsgarantier och principerna i Europeiska unionens stadga om de grundläggande rättigheterna. De utrednings- och verkställighetsåtgärder som antas i enlighet med denna förordning ska vara lämpliga med hänsyn till överträdelsens art och totala faktiska eller potentiella skada.

2.De behöriga myndigheterna ska utöva sina befogenheter att utreda potentiella överträdelser av denna förordning och ålägga administrativa sanktioner och andra administrativa åtgärder som föreskrivs i denna förordning på något av följande sätt:

a)Direkt.

b)I samarbete med andra myndigheter.

c)Genom delegering av befogenheter till andra myndigheter eller organ.

d)Genom att vända sig till de behöriga rättsliga myndigheterna i en medlemsstat.

Om behöriga myndigheter utövar sina befogenheter genom att delegera till andra myndigheter eller organ i enlighet med led c, ska det i delegeringen av befogenheter anges vilka uppgifter som delegerats, på vilka villkor de ska utföras och på vilka villkor de delegerade befogenheterna får återkallas. De myndigheter eller organ till vilka befogenheterna delegerats ska organiseras på ett sådant sätt att intressekonflikter undviks. De behöriga myndigheterna ska övervaka verksamheten vid de myndigheter eller organ till vilka befogenheterna delegerats.

3.När de behöriga myndigheterna utövar sina utrednings- och sanktionsbefogenheter, inbegripet i gränsöverskridande fall, ska de samarbeta med varandra och med myndigheter från alla berörda sektorer på ett ändamålsenligt sätt i enlighet med vad som är tillämpligt i varje enskilt fall och i enlighet med nationell rätt och unionsrätten, för att säkerställa det informationsutbyte och det ömsesidiga bistånd som krävs för en effektiv verkställighet av administrativa sanktioner och administrativa åtgärder.

Artikel 19
Förlikningsavtal och påskyndade verkställighetsförfaranden

1.Utan att det påverkar tillämpningen av artikel 20 får medlemsstaterna fastställa regler som gör det möjligt för deras behöriga myndigheter att lägga ned en utredning om en påstådd överträdelse av denna förordning efter ett förlikningsavtal i syfte att få den påstådda överträdelsen och dess konsekvenser att upphöra innan formella sanktionsförfaranden inleds.

2.Medlemsstaterna får fastställa regler som gör det möjligt för deras behöriga myndigheter att avsluta en utredning om en konstaterad överträdelse genom ett påskyndat verkställighetsförfarande för att uppnå ett snabbt antagande av ett beslut som syftar till att ålägga en administrativ sanktion eller administrativ åtgärd. 

De behöriga myndigheternas befogenhet att avgöra eller öppna påskyndade verkställighetsförfaranden påverkar inte medlemsstaternas skyldigheter enligt artikel 20.

3.Om medlemsstaterna fastställer de regler som avses i punkt 1 ska de underrätta kommissionen om de relevanta lagar och andra författningar som reglerar utövandet av de befogenheter som avses i den punkten och om alla senare ändringar som påverkar dessa regler.

Artikel 20
Administrativa sanktioner och andra administrativa åtgärder

1.Utan att det påverkar de behöriga myndigheternas tillsyns- och utredningsbefogenheter enligt artikel 18 ska medlemsstaterna, i enlighet med nationell lagstiftning, föreskriva att de behöriga myndigheterna ska ha befogenhet att vidta lämpliga administrativa sanktioner och andra administrativa åtgärder i samband med följande överträdelser:

a)Överträdelser av artiklarna 4, 5 och 6.

b)Överträdelser av artiklarna 7 och 8.

c)Överträdelser av artiklarna 9 och 10.

d)Överträdelser av artiklarna 13 och 16.

e)Överträdelser av artikel 28.

2.Medlemsstaterna får besluta att inte fastställa regler om administrativa sanktioner och administrativa åtgärder för överträdelser av denna förordning som är föremål för sanktioner enligt nationell straffrätt. I sådana fall ska medlemsstaterna underrätta kommissionen om relevanta straffrättsliga bestämmelser och eventuella senare ändringar av dessa.

3.Medlemsstaterna ska i enlighet med nationell rätt säkerställa att de behöriga myndigheterna har befogenhet att vidta följande administrativa sanktioner och andra administrativa åtgärder i fråga om de överträdelser som anges i punkt 1:

a)Ett offentligt utlåtande med uppgift om den ansvariga fysiska eller juridiska personen och om överträdelsens art.

b)Ett föreläggande enligt vilket det krävs att den ansvariga fysiska eller juridiska personen upphör med det agerande som utgör överträdelsen och inte upprepar det agerandet.

c)Återföring av de vinster som har gjorts eller förluster som undvikits på grund av överträdelsen, i den mån de kan bestämmas.

d)Ett tillfälligt upphävande av auktorisationen för en leverantör av finansiella informationstjänster.

e)En maximal administrativ sanktionsavgift på minst två gånger beloppet av de vinster som erhållits eller de förluster som undvikits genom överträdelsen, om dessa belopp kan fastställas, även om denna sanktionsavgift överstiger de maximala belopp som fastställs i led f i denna punkt när det gäller fysiska personer, eller i punkt 4 när det gäller juridiska personer.

f)För fysiska personer: maximala administrativa sanktionsavgifter på upp till 25 000 euro per överträdelse och upp till totalt 250 000 EUR per år, eller, i de medlemsstater vars officiella valuta inte är euron, motsvarande värde i den medlemsstatens officiella valuta den… [Publikationsbyrån: för in dagen för denna förordnings ikraftträdande].

g)Ett tillfälligt förbud för varje medlem i ledningsorganet för leverantören av finansiella informationstjänster, eller varje annan fysisk person som hålls ansvarig för överträdelsen, att utöva ledningsfunktioner hos leverantörer av finansiella informationstjänster.

h)Vid upprepade överträdelser av de artiklar som avses i punkt 1, ett förbud på minst tio år för varje medlem i ledningsorganet för en leverantör av finansiella informationstjänster, eller varje annan fysisk person som hålls ansvarig för överträdelsen, att utöva ledningsfunktioner hos en leverantör av finansiella informationstjänster.

4.Medlemsstaterna ska i enlighet med nationell rätt säkerställa att de behöriga myndigheterna har befogenhet att, för de överträdelser som avses i punkt 1 och som begås av juridiska personer, ålägga maximala administrativa sanktionsavgifter på

a)upp till 50 000 euro per överträdelse och upp till totalt 500 000 EUR per år, eller, i de medlemsstater vars officiella valuta inte är euron, motsvarande värde i den medlemsstatens officiella valuta den [Publikationsbyrån: för in dagen för denna förordnings ikraftträdande],

b)2 % av den juridiska personens totala årsomsättning enligt den senaste tillgängliga årsredovisning som godkänts av ledningsorganet;

om den juridiska person som avses i första stycket är ett moderföretag eller ett dotterföretag till ett moderföretag som är skyldigt att upprätta koncernredovisning i enlighet med artikel 22 i Europaparlamentets och rådets direktiv 2013/34/EU 45 , ska den relevanta totala årsomsättningen vara den nettoomsättning eller de intäkter som ska fastställas i enlighet med relevanta redovisningsstandarder, enligt den koncernredovisning för det yttersta moderföretaget som är tillgänglig på den senaste balansdagen, för vilken ledamöterna i förvaltnings-, lednings- och tillsynsorganet i det yttersta företaget har ansvaret.

5.Medlemsstaterna får ge de behöriga myndigheterna befogenhet att ålägga andra typer av administrativa sanktioner och andra administrativa åtgärder utöver dem som avses i punkterna 3 och 4 och får föreskriva högre administrativa sanktionsavgifter än de som anges i de punkterna.

Medlemsstaterna ska till kommissionen anmäla nivån på sådana högre sanktioner och eventuella senare ändringar av dessa.

Artikel 21
Viten

1.Behöriga myndigheter ska ha rätt att förelägga juridiska eller fysiska personer vite om de fortlöpande underlåter att följa beslut, förelägganden, interimistiska åtgärder, begäranden, skyldigheter eller andra administrativa åtgärder som antagits i enlighet med denna förordning.

Ett vite enligt första stycket ska vara ändamålsenligt och proportionellt och ska bestå av ett dagligt belopp som ska betalas till dess att efterlevnaden har återställts. De ska åläggas för en period av högst sex månader från och med den dag som anges i beslutet om föreläggande av viten.

De behöriga myndigheterna ska ha rätt att förelägga följande viten som kan justeras beroende på hur allvarlig överträdelsen är och sektorns behov:

a)3 % av den genomsnittliga dagliga omsättningen för en juridisk person.

b)30 000 EUR för en fysisk person.

2.Den genomsnittliga dagliga omsättning som avses i punkt 1 tredje stycket a ska vara den totala årsomsättningen dividerad med 365.

3.Medlemsstaterna får föreskriva högre viten än de som fastställs i punkt 1 tredje stycket.

Artikel 22
Omständigheter som ska beaktas vid fastställandet av administrativa sanktioner och andra administrativa åtgärder

1.När de behöriga myndigheterna fastställer typen av och nivån på administrativa sanktioner eller andra administrativa åtgärder ska de ta hänsyn till alla relevanta omständigheter för att säkerställa att sådana sanktioner eller åtgärder är ändamålsenliga och proportionella. Dessa omständigheter ska i förekommande fall omfatta följande:

a)Överträdelsens allvarlighetsgrad och varaktighet.

b)Graden av ansvar hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

c)Den finansiella ställningen för den juridiska eller fysiska person som gjort sig skyldig till överträdelsen, som den indikeras genom exempelvis den totala årsomsättningen för en juridisk person eller årsinkomsten för en fysisk person som är ansvarig för överträdelsen.

d)Omfattningen av de vinster som erhållits eller av förluster som undvikits av den juridiska eller fysiska person som har gjort sig skyldig till överträdelsen, i den mån sådana vinster eller förluster kan bestämmas.

e)Förluster för tredje parter orsakade av överträdelsen, i den mån de kan fastställas.

f)Den nackdel som detta medför för den juridiska eller fysiska person som bär ansvaret för överträdelsen till följd av dubblering av straffrättsliga och administrativa förfaranden och påföljder för samma överträdelse.

g)Överträdelsens inverkan på kundernas intressen.

h)Faktiska eller potentiella systemrelevanta negativa konsekvenser av överträdelsen.

i)Fler än en juridisk eller fysisk persons delaktighet eller organiserade delaktighet i överträdelsen.

j)Tidigare överträdelser av den juridiska eller fysiska person som har gjort sig skyldig till överträdelsen.

k)Viljan hos den juridiska eller fysiska person som har gjort sig skyldig till överträdelsen att samarbeta med den behöriga myndigheten.

l)Korrigerande åtgärder eller åtgärder som vidtas av den juridiska eller fysiska person som är ansvarig för överträdelsen för att förhindra att den upprepas.

2.Behöriga myndigheter som använder förlikningsavtal eller påskyndade verkställighetsförfaranden i enlighet med artikel 19 ska anpassa de relevanta administrativa sanktioner och andra administrativa åtgärder som föreskrivs i artikel 20 till det berörda fallet för att säkerställa att de är proportionella, särskilt genom att beakta de omständigheter som anges i punkt 1.

Artikel 23
Tystnadsplikt

1.Alla personer som arbetar eller har arbetat för de behöriga myndigheterna och experter som handlar på de behöriga myndigheternas vägnar är bundna av tystnadsplikt.

2.Den information som utbyts i enlighet med artikel 26 ska omfattas av tystnadsplikt för både den utlämnande och den mottagande myndigheten för att säkerställa skyddet av enskildas och företags rättigheter.

Artikel 24
Rätt att överklaga

1.Beslut som fattas av de behöriga myndigheterna i enlighet med denna förordning får överklagas till domstol.

2.Punkt 1 ska även tillämpas avseende underlåtenhet att agera.

Artikel 25
Offentliggörande av behöriga myndigheters beslut

1.De behöriga myndigheterna ska på sin webbplats offentliggöra alla beslut om att ålägga juridiska och fysiska personer en administrativ sanktion eller administrativ åtgärd för överträdelser av denna förordning och, i tillämpliga fall, alla förlikningsavtal. Offentliggörandet ska innehålla en kort beskrivning av överträdelsen, den administrativa sanktionen eller andra administrativa åtgärder som ålagts eller, i tillämpliga fall, ett uttalande om förlikningsavtalet. Identiteten på den fysiska person som är föremål för beslutet om administrativ sanktion eller administrativ åtgärd får inte offentliggöras.

De behöriga myndigheterna ska offentliggöra det beslut och det uttalande som avses i punkt 1 omedelbart efter det att den juridiska eller fysiska person som är föremål för beslutet har underrättats om beslutet eller förlikningsavtalet har undertecknats.

2.Genom undantag från punkt 1 får den nationella behöriga myndigheten, om den nationella behöriga myndigheten anser det nödvändigt att offentliggöra den fysiska personens identitet eller andra personuppgifter för att skydda finansmarknadernas stabilitet eller för att säkerställa en effektiv tillämpning av denna förordning, inbegripet när det gäller offentliga uttalanden som avses i artikel 20.3 a eller tillfälliga förbud som avses i artikel 20.3 g, även offentliggöra identiteten på personerna eller personuppgifterna, förutsatt att den motiverar ett sådant beslut och att offentliggörandet är begränsat till de personuppgifter som är absolut nödvändiga för att skydda finansmarknadernas stabilitet eller säkerställa en effektiv tillämpning av denna förordning.

3.Om beslutet om att ålägga en administrativ sanktion eller annan administrativ åtgärd kan överklagas till den berörda rättsliga eller andra myndigheten, ska de behöriga myndigheterna också utan dröjsmål offentliggöra information om överklagandet och eventuell senare information om resultatet av ett sådant överklagande i den mån det gäller juridiska personer på sin officiella webbplats. Om det överklagade beslutet gäller fysiska personer och undantaget enligt punkt 2 inte tillämpas, ska de behöriga myndigheterna offentliggöra information om överklagandet endast i en anonymiserad version.

4.De behöriga myndigheterna ska se till att alla offentliggöranden som görs i enlighet med denna artikel finns kvar på deras officiella webbplats i minst fem år. Personuppgifter i offentliggörandet ska bevaras på den behöriga myndighetens officiella webbplats endast om en årlig översyn visar att det finns ett fortsatt behov av att offentliggöra dessa uppgifter för att skydda finansmarknadernas stabilitet eller för att säkerställa en ändamålsenlig tillämpning av denna förordning, och under alla omständigheter under högst fem år.

Artikel 26
Samarbete och utbyte av information mellan behöriga myndigheter

1.De behöriga myndigheterna ska samarbeta med varandra och med andra relevanta behöriga myndigheter som utsetts enligt unionsrätten eller nationell rätt som är tillämplig på finansinstitut vid tillämpningen av denna förordning och som utför de behöriga myndigheternas uppgifter.

2.Utbyte av information mellan behöriga myndigheter och de behöriga myndigheterna i andra medlemsstater med ansvar för auktorisation av och tillsyn över leverantörer av finansiella informationstjänster ska tillåtas för att de ska kunna utföra sina uppgifter enligt denna förordning.

3.De behöriga myndigheter som utbyter information med andra behöriga myndigheter i enlighet med denna förordning får samtidigt med meddelandet ange att sådan information inte får röjas utan deras uttryckliga samtycke, och då endast i det syfte till vilket den myndighet som tillhandahöll informationen har givit sitt samtycke.

4.Den behöriga myndigheten får inte överföra information som delas av andra behöriga myndigheter till andra organ eller fysiska eller juridiska personer utan uttryckligt medgivande från de behöriga myndigheter som lämnade ut informationen och endast för de ändamål för vilka dessa myndigheter gav sitt medgivande, utom i vederbörligen motiverade fall. I detta sist nämnda fall ska kontaktpunkten omedelbart underrätta den kontaktpunkt som överlämnat informationen.

5.Om skyldigheterna enligt denna förordning rör behandling av personuppgifter ska de behöriga myndigheterna samarbeta med de tillsynsmyndigheter som inrättats i enlighet med förordning (EU) 2016/679.

Artikel 27
Lösande av tvister mellan behöriga myndigheter

1.Om en behörig myndighet i en medlemsstat anser att det gränsöverskridande samarbetet med de behöriga myndigheterna i en annan medlemsstat i ett visst ärende som avses i artiklarna 28 eller 29 i denna förordning inte överensstämmer med dessa bestämmelser, får den hänskjuta ärendet till EBA och begära dess bistånd i enlighet med artikel 19 i förordning (EU) nr 1093/2010.

2.I fall där EBA:s bistånd har begärts enligt punkt 1 i den här artikeln ska EBA fatta ett beslut enligt artikel 19.3 i förordning (EU) nr 1093/2010 utan onödigt dröjsmål. EBA får också på eget initiativ bistå de behöriga myndigheterna med att nå en överenskommelse i enlighet med artikel 19.1 andra stycket i den förordningen. I båda fallen ska de berörda behöriga myndigheterna skjuta upp sina beslut i avvaktan på lösning av tvisten i enlighet med artikel 19 i förordning (EU) nr 1093/2010.

AVDELNING VII
Gränsöverskridande åtkomst till data

Artikel 28
Gränsöverskridande åtkomst till data för leverantörer av finansiella informationstjänster

1.Leverantörer av finansiella informationstjänster och finansinstitut ska med stöd av friheten att tillhandahålla tjänster och etableringsfriheten ha åtkomst till de data som anges i artikel 2.1 om unionskunder som innehas av datainnehavare som är etablerade i unionen.

2.Första gången en leverantör av finansiella informationstjänster med stöd av etableringsfriheten eller friheten att tillhandahålla tjänster vill få åtkomst till de data som anges i artikel 2.1 i denna förordning i en annan medlemsstat än hemmedlemsstaten ska denne lämna följande information till de behöriga myndigheterna i sin hemmedlemsstat:

a)Namn och adress samt, i tillämpliga fall, auktorisationsnummer för leverantören av finansiella informationstjänster.

b)Den eller de medlemsstater där den vill få åtkomst till de data som anges i artikel 2.1.

c)Vilken typ av data den vill ha åtkomst till.

d)De system för delning av finansdata som den är medlem i.

När en leverantör av finansiella informationstjänster avser att lägga ut operativa funktioner för dataåtkomst på andra enheter i värdmedlemsstaten ska den meddela detta till de behöriga myndigheterna i sin hemmedlemsstat.

3.Inom en månad efter mottagandet av all information som avses i punkt 1 ska de behöriga myndigheterna i hemmedlemsstaten skicka denna information till de behöriga myndigheterna i värdmedlemsstaten.

4.Leverantören av finansiella informationstjänster ska utan onödigt dröjsmål underrätta de behöriga myndigheterna i hemmedlemsstaten om alla relevanta ändringar av den information som meddelas i enlighet med punkt 1, inbegripet ytterligare enheter till vilka verksamheter utkontrakteras i de värdmedlemsstater där det bedriver verksamhet. Det förfarande som anges i punkterna 2 och 3 ska tillämpas.

Artikel 29
Motivering och meddelande

Varje åtgärd som vidtas av de behöriga myndigheterna enligt artiklarna 18 eller 28 och som innebär sanktioner eller inskränkningar i rätten att tillhandahålla tjänster eller etableringsrätten ska vara väl motiverad och meddelas till den berörda leverantören av finansiella informationstjänster.

AVDELNING VIII

Slutbestämmelser

Artikel 30
Utövande av delegering

1.Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.Den befogenhet att anta delegerade akter som avses i artikel 11 ges till kommissionen för en period på XX månader från och med den … [Publikationsbyrån: för in datum för denna förordnings ikraftträdande]. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på XX månader. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

3.Den delegering av befogenhet som avses i artikel 11 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.En delegerad akt som antas enligt artikel 11 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

Artikel 31
Utvärdering av denna förordning och rapport om åtkomst till finansdata

1.Kommissionen ska senast den [Publikationsbyrån: infoga datum = fyra år efter den dag då denna förordning börjar tillämpas] genomföra en utvärdering av denna förordning och lämna en rapport om de viktigaste resultaten till Europaparlamentet, rådet och Europeiska ekonomiska och sociala kommittén. I utvärderingen ska särskilt följande bedömas:

a)Andra kategorier eller typer av data som ska göras tillgängliga.

b)Undantag från tillämpningsområdet för vissa kategorier av data och enheter.

c)Förändringar i datainnehavares och dataanvändares avtalspraxis och driften av system för delning av finansdata.

d)Inkludering av andra typer av enheter till dessa enheter som beviljats åtkomst till data.

e)Ersättningens inverkan på dataanvändares förmåga att delta i system för delning av finansdata och få åtkomst till data från datainnehavare.

2.Senast den [Publikationsbyrån: infoga datum = fyra år efter dagen för denna förordnings ikraftträdande] ska kommissionen lämna en rapport till Europaparlamentet och rådet med en bedömning av villkoren för åtkomst till finansdata som är tillämpliga på leverantörer av kontoinformationstjänster enligt denna förordning och enligt direktiv (EU) 2015/2366. Rapporten kan vid behov åtföljas av ett lagstiftningsförslag.

Artikel 32
Ändring av förordning (EU) nr 1093/2010

I artikel 1.2 i förordning (EU) nr 1093/2010 ska första stycket ersättas med följande:

”Myndigheten ska agera enligt de befogenheter som den tilldelas genom denna förordning och vara verksam inom tillämpningsområdet för Europaparlamentets och rådets direktiv 2002/87/EG, direktiv 2008/48/EG*, direktiv 2009/110/EG, förordning (EU) nr 575/2013**, direktiv 2013/36/EU***, direktiv 2014/49/EU****, direktiv 2014/92/EU*****, direktiv (EU) 2015/2366******, förordning (EU) 2023/1114 (*******), Europaparlamentets och rådets förordning (EU) 2024/…/EU (********) samt, i den mån dessa akter tillämpas på kredit- och finansinstitut och de behöriga myndigheter som utöver tillsyn över dem, inom ramen för de tillämpliga delarna av direktiv 2002/65/EG, inbegripet alla direktiv, förordningar och beslut som grundas på dessa akter och alla framtida rättsligt bindande unionsakter genom vilka myndigheten tilldelas uppgifter. Myndigheten ska också agera i enlighet med rådets förordning (EU) nr 1024/2013*********.

*    Europaparlamentets och rådets direktiv 2008/48/EG av den 23 april 2008 om konsumentkreditavtal och om upphävande av rådets direktiv 87/102/EEG (EUT L 133, 22.5.2008, s. 66).

**    Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).

***    Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338).

****    Europaparlamentets och rådets direktiv 2014/49/EU av den 16 april 2014 om insättningsgarantisystem (EUT L 173, 12.6.2014, s. 149).

*****    Europaparlamentets och rådets direktiv 2014/92/EU av den 23 juli 2014 om jämförbarhet för avgifter som avser betalkonto, byte av betalkonto och tillgång till betalkonto med grundläggande funktioner (EUT L 257, 28.8.2014, s. 214).

******    Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

*******    Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 (EUT L 150, 9.6.2023, s. 40).

******** Europaparlamentets och rådets förordning (EU) 2024/… av den … om en ram för åtkomst till finansdata och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1095/2010 och (EU) 2022/2554 och direktiv (EU) 2019/1937 (EUT L …, ...., s.).

*********    Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63).”

Artikel 33
Ändring av förordning (EU) nr 1094/2010

I artikel 1.2 i förordning (EU) nr 1094/2010 ska första stycket ersättas med följande:

* Europaparlamentets och rådets förordning (EU) 2024/… av den … om en ram för åtkomst till finansdata och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010, (EU) nr 1095/2010, (EU) 2022/2554 och direktiv (EU) 2019/1937 (EUT L …, ...., s.).

** Europaparlamentets och rådets direktiv (EU) 2016/97 
av den 20 januari 2016 om försäkringsdistribution (EUT L 26, 2.2.2016, s. 19).

*** Europaparlamentets och rådets direktiv (EU) 2016/2341 
av den 14 december 2016 om verksamhet i och tillsyn över 
tjänstepensionsinstitut (EUT L 354, 23.12.2016, s. 37).

Artikel 34
Ändring av förordning (EU) nr 1095/2010

I artikel 1.2 i förordning (EU) nr 1095/2010 ska första stycket ersättas med följande:

”Myndigheten ska agera enligt de befogenheter som den tilldelas genom denna förordning och vara verksam inom tillämpningsområdet för Europaparlamentets och rådets direktiv 97/9/EG, 98/26/EG, 2001/34/EG, 2002/47/EG, 2004/109/EG, 2009/65/EG, Europaparlamentets och rådets direktiv 2011/61/EU*, förordning (EG) nr 1060/2009 och Europaparlamentets och rådets direktiv 2014/65/EU**, Europaparlamentets och rådets förordning (EU) 2017/1129***, Europaparlamentets och rådets förordning (EU) 2023/1114**** Europaparlamentets och rådets förordning (EU) 2024/…***** och, i den mån dessa akter är tillämpliga på företag som tillhandahåller investeringstjänster eller på företag för kollektiva investeringar som erbjuder sina andelar eller aktier till försäljning och de behöriga myndigheter som utövar tillsyn över dem, emittenter eller erbjudare av kryptotillgångar, personer som ansöker om upptagande till handel med eller leverantörer av kryptotillgångstjänster, leverantörer av finansiella informationstjänster och de behöriga myndigheter som utövar tillsyn över dem, inom ramen för de relevanta delarna av direktiven 2002/87/EG och 2002/65/EG, inbegripet alla direktiv, förordningar och beslut som grundar sig på dessa akter och andra framtida rättsligt bindande unionsakter avseende myndighetens uppgifter.

___________

*    Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010 (EUT L 174, 1.7.2011, s. 1).

**    Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349).

***    Europaparlamentets och rådets förordning (EU) 2017/1129 av den 14 juni 2017 om prospekt som ska offentliggöras när värdepapper erbjuds till allmänheten eller tas upp till handel på en reglerad marknad, och om upphävande av direktiv 2003/71/EG (EUT L 168, 30.6.2017, s. 12).

****    Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 (EUT L 150, 9.6.2023, s. 40).”

***** Europaparlamentets och rådets förordning (EU) 2024/… av den … om en ram för åtkomst till finansdata och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010, (EU) nr 1095/2010, (EU) 2022/2554 och direktiv (EU) 2019/1937 (EUT L …, ...., s.).

Artikel 35
Ändringar av förordning (EU) 2022/2554

Artikel 2.1 i förordning (EU) 2022/2554 ska ändras på följande sätt:

1)I led u ska skiljetecknet ”.” ersättas med ”;”

2)Följande led ska läggas till som led v:

”Led v leverantörer av finansiella informationstjänster.”

Artikel 36
Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med den [Publikationsbyrån: fyll i datum = 24 månader efter dagen för ikraftträdandet av denna förordning]. Artiklarna 9–13 ska dock tillämpas från och med den [Publikationsbyrån: för in datum = 18 månader efter ikraftträdandet av denna förordning].

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den

(1)    Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén om en EU-strategi för data, 19.2.2020, (COM(2020) 66 final).

(2)

   Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén om en strategi för digitalisering av finanssektorn i EU, 29.9.2020, (COM(2020) 591 final).

(3)    Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén om en kapitalmarknadsunion för människor och företag – en ny handlingsplan, 25.11.2021, (COM(2021) 720 final).

(4)    Förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten), COM(2022) 68 final.

(5)    Strategin för icke-professionella investeringar består av förslaget till Europaparlamentets och rådets direktiv om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2014/65/EU och (EU) 2016/97 vad gäller unionens regler om skydd för icke-professionella investerare och förslaget till Europaparlamentets och rådets förordning om ändring av förordning (EU) nr 1286/2014 vad gäller moderniseringen av faktabladet. 

(6)    EUT , , s. .

(7)    Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

(8)    https://eur-lex.europa.eu/legal-content/sv/TXT/?qid=1593073685620&uri=CELEX%3A52020DC0066.

(9)    Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (den allmänna dataskyddsförordningen), (EUT L 119, 4.5.2016, s. 1).

(10)    Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (omarbetning) (EUT L 335, 17.12.2009, s. 1).

(11)    Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

(12)    Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén, Strategi för att finansiera omställningen till en hållbar ekonomi, COM(2021) 390 final.

(13)     EBA:s slutrapport om riktlinjer om kreditgivning och övervakning , 29.5.2020.

(14)    Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (EUT L 151, 7.6.2019, s. 70).

(15)    COM(2021) 281 final, 2021/0136(COD).

(16)    Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) (EUT L 152, 3.6.2022, s. 1).

(17)    EUT L 123, 12.5.2016, s. 1.

(18)    Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).

(19)    Förordning (EU) … (EUT. ….).

(20)    Direktiv (EU) … (EUT…).

(21)    Rapport från kommissionen till Europaparlamentet och rådet om översynen av direktiv 2015/2366/EU om betaltjänster på den inre marknaden.

(22)    Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84).

(23)    Europaparlamentets och rådets direktiv 2014/17/EU av den 4 februari 2014 om konsumentkreditavtal som avser bostadsfastighet och om ändring av direktiven 2008/48/EG och 2013/36/EU och förordning (EU) nr 1093/2010 (EUT L 060 28.2.2014, s. 34).

(24)    Europaparlamentets och rådets förordning (EU) 2017/2402 av den 12 december 2017 om ett allmänt ramverk för värdepapperisering och om inrättande av ett särskilt ramverk för enkel, transparent och standardiserad värdepapperisering samt om ändring av direktiven 2009/65/EG, 2009/138/EG och 2011/61/EU och förordningarna (EG) nr 1060/2009 och (EU) nr 648/2012 (EUT L 347 28.12.2017, s. 35).

(25)    Europaparlamentets och rådets direktiv 2009/103/EG av den 16 september 2009 om ansvarsförsäkring för motorfordon och kontroll av att försäkringsplikten fullgörs beträffande sådan ansvarighet (EUT L 263, 7.10.2009, s. 11).

(26)    Europaparlamentets och rådets förordning (EU) 2019/1238 av den 20 juni 2019 om en paneuropeisk privat pensionsprodukt (PEPP-produkt) (EUT L 198, 25.7.2019, s. 1).

(27)    Europaparlamentets och rådets direktiv (EU) 2018/843 av den 30 maj 2018 om ändring av direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, och om ändring av direktiven 2009/138/EG och 2013/36/EU (EUT L 156, 19.6.2018, s. 43).

(28)    Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).

(29)    Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48).

(30)    Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84).

(31)    Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(32)    Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (omarbetning) (EUT L 173, 12.6.2014, s. 349).

(33)    Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut (omarbetning) EUT L 354, 23.12.2016, s. 37).

(34)    Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (omarbetning) (EUT L 26, 2.2.2016, s. 19).

(35)    Europaparlamentets och rådets direktiv 2009/110/EG av den 16 september 2009 om rätten att starta och driva affärsverksamhet i institut för elektroniska pengar samt om tillsyn av sådan verksamhet, om ändring av direktiven 2005/60/EG och 2006/48/EG och om upphävande av direktiv 2000/46/EG (EUT L 267, 10.10.2009, s. 7).

(36)    Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).

(37)    Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 (EUT L 150, 9.6.2023, s. 40).

(38)    Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010 (EUT L 174, 1.7.2011, s. 1).

(39)    Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (omarbetning) (EUT L 302, 17.11.2009, s. 32).

(40)    Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (omarbetning) (EUT L 26, 2.2.2016, s. 19).

(41)    Europaparlamentets och rådets förordning (EG) nr 1060/2009 av den 16 september 2009 om kreditvärderingsinstitut (EUT L 302, 17.11.2009, s. 1).

(42)    Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (C(2003)1422) EUT L 124, 20.5.2003, s. 36.

(43)    Europaparlamentets och rådets direktiv 2013/11/EU av den 21 maj 2013 om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning) (EUT L 165, 18.6.2013, s. 63).

(44)    Kommissionens delegerade förordning (EU) 2016/1675 av den 14 juli 2016 om komplettering av Europaparlamentets och rådets direktiv (EU) 2015/849 genom identifiering av högrisktredjeländer med strategiska brister.

(45)    Europaparlamentets och rådets direktiv 2013/34/EU av den 26 juni 2013 om årsbokslut, koncernredovisning och rapporter i vissa typer av företag, om ändring av Europaparlamentets och rådets direktiv 2006/43/EG och om upphävande av rådets direktiv 78/660/EEG och 83/349/EEG (EUT L 182, 29.6.2013, s. 19).