28.9.2011   

SV

Europeiska unionens officiella tidning

C 284/1

1.

Den 16 december 2010 antog kommissionen ett förslag till Europaparlamentets och rådets förordning om antagande av tekniska krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009 (nedan kallad förordningen).

2.

Kommissionen översände förslaget till Europeiska datatillsynsmannen den 3 januari 2011. Datatillsynsmannen tolkar detta som en begäran om att ge råd till gemenskapsinstitutioner och gemenskapsorgan i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (nedan kallad förordning (EG) nr 45/2001). Kommissionen har tidigare (3), innan förslaget antogs, gett datatillsynsmannen möjlighet att lämna informella synpunkter. Europeiska datatillsynsmannen välkomnar öppenheten i processen, som har bidragit till att på ett tidigt stadium göra texten bättre ur dataskyddssynpunkt. Kommissionen har i förslaget tagit hänsyn till vissa av datatillsynsmannens synpunkter. Europeiska datatillsynsmannen skulle välkomna en uttrycklig hänvisning till det aktuella samrådet i förslagets ingress.

3.

Sedan Europeiska ekonomiska gemenskapen inrättades har en progressiv rörelse mot en mer integrerad europeisk finansmarknad pågått. Inom betalningsområdet var det mest uppenbara steget att införa euron som gemensam valuta 1999 och att börja använda eurosedlar och euromynt 2002.

4.

Till dags dato hanteras och behandlas betalningar av låga belopp (upp till 50 000 EUR) med annat än kontanter fortfarande på många olika sätt i EU. Därmed blir avgifterna för gränsöverskridande betalningar inom EU i genomsnitt högre än avgifterna för nationella betalningar. Enligt en europeisk förordning om gränsöverskridande betalningar i euro (förordning (EG) nr 2560/2001) gällde bland annat att betalningsavgifter inte längre fick vara högre för gränsöverskridande eurobetalningar inom EU än för motsvarande nationella eurobetalningar. Som en reaktion på den förordningen skapade den europeiska banksektorn år 2002 Europeiska betalningsrådet (EPC) som utgjorde ett samordnings- och beslutsorgan för betalningsområdet och lanserade projektet med det gemensamma eurobetalningsområdet (Sepa). År 2009 ersattes förordning (EG) nr 2560/2001 av förordning (EG) nr 924/2009 och utökade principen om lika avgifter till autogirering, som blev tillgängligt på gränsöverskridande basis från november 2009.

5.

Vidare syftar direktiv 2007/64/EG (nedan kallat betaltjänstdirektivet) till att harmonisera nationell lagstiftning om betalningar i Europeiska unionen. Målet är ett införa standardiserade villkor och rättigheter för betaltjänster och att göra gränsöverskridande betalningar lika enkla, effektiva och säkra som ”nationella” betalningar inom en medlemsstat. Betaltjänstdirektivet är även avsett att stärka konkurrensen genom att öppna betalmarknaderna för nya aktörer.

6.

Sepa syftar till att inrätta en gemensam marknad för detaljistbetalningar i euro genom att undanröja tekniska, juridiska och marknadsrelaterade hinder som har sitt ursprung i perioden innan den gemensamma valutan infördes. När Sepa har slutförts kommer det inte att vara någon skillnad mellan nationella och gränsöverskridande eurobetalningar: alla betalningar blir inhemska. Sepa omfattar inte bara euroområdet utan hela Europeiska unionen samt Island, Liechtenstein, Monaco, Norge och Schweiz. Detta innebär att även samhällen utanför euroområdet kan anta Sepa-standarder och Sepa-praxis för sina eurobetalningar.

7.

Förslaget gäller betalningar och autogireringar. Betalningar initieras av betalaren, som skickar en instruktion till sin bank. Banken för över medlen till betalningsmottagarens bank. Detta kan ske via flera intermediärer. Vid autogirering ger betalaren i förväg betalningsmottagaren rätt att samla in medel från betalarens bankkonto. Betalaren tillhandahåller därför en ”fullmakt” för sin bank att överföra medel till betalningsmottagarens konto. Autogirering används ofta för återkommande betalningar, t.ex. för el, värme och vatten, men kan också användas för engångsbetalningar. I detta fall godkänner betalaren en enskild betalning.

8.

Införandet och utvecklingen av Sepa medför uppgiftsbehandling av flera slag: namn, bankkontonummer och kontraktsuppgifter måste utbytas direkt mellan betalare och betalningsmottagare och indirekt genom deras respektive betaltjänstleverantörer för att garantera att överföringarna fungerar smidigt. För detta ändamål innehåller förslaget också en artikel om driftskompatibilitet som ger stöd för att skapa standardbestämmelser för nationella och gränsöverskridande transaktioner och som uttryckligen anger att inga tekniska hinder ska försvåra behandlingen av betalningar och autogireringar. De olika ekonomiska operatörer som medverkar i verksamheter som omfattas av förslaget är föremål för olika nationella lagar om genomförande av direktiv 95/46/EG.

9.

Europeiska datatillsynsmannen betonar att utbyte och behandling av personuppgifter om betalare och betalningsmottagare och med olika betaltjänstleverantörer måste respektera nödvändighetsprincipen, proportionalitetsprincipen och principen om ändamålsbegränsning. Även när uppgifter förs vidare mellan olika intermediärer måste principerna för sekretess och säkerhet vid behandling respekteras, i enlighet med artiklarna 16 och 17 i direktiv 95/46/EG.

10.

Förslaget inför också en ny roll för nationella behöriga myndigheter: att övervaka efterlevnaden av förordningen och vidta alla nödvändiga åtgärder för att garantera efterlevnaden. Denna roll är avgörande för ett effektivt genomförande av Sepa men kan också medföra omfattande behörighet för myndigheterna att behandla personuppgifter ytterligare. Även inom detta område måste de nationella behöriga myndigheternas åtkomst till personuppgifter bygga på respekt för nödvändighetsprincipen, proportionalitetsprincipen och principen om ändamålsbegränsning.

11.

Förslaget bör inte införa alltför detaljerade bestämmelser om efterlevnad av principerna för uppgiftsskydd, som garanteras genom att all nationell behandling omfattas av nationella lagar om genomförande av direktiv 95/46/EG, men Europeiska datatillsynsmannen föreslår ändå vissa förtydliganden av texten.

12.

Europeiska datatillsynsmannen ser med tillfredsställelse att direktiv 95/46/EG nämns i skäl 26 i förslaget. För att avspegla att olika nationella lagar om genomförande av ett sådant direktiv är de lämpliga referenserna och betona att all uppgiftsbehandling måste utföras i enlighet med genomförandebestämmelserna skulle texten i skälet dock kunna ändras på följande sätt: ”All behandling av personuppgifter som genomförs i enlighet med denna förordning ska följa relevanta nationella lagar om genomförande av direktiv 95/46/EG”.

13.

Genom artikel 6 i förslaget införs ett förbud mot att införa multilaterala förmedlingsavgifter (4) per autogirering eller någon annan överenskommen ersättning med motsvarande syfte eller verkan. För autogireringar som inte kan genomföras korrekt av betaltjänstleverantören (avvisas, vägras, återsänds eller vänds, s.k. R-transaktion) får en multilateral förmedlingsavgift tillämpas under förutsättning att ett antal villkor är uppfyllda.

14.

Genom artikel 8 i förslaget införs skyldigheter för betalare som använder betalningar och betalningsmottagare som använder autogireringar. En betalare får inte vägra att göra betalningar till betalkonton hos betaltjänstleverantörer som är etablerande i en annan medlemsstat och som är nåbara (5) i enlighet med artikel 3. En betalningsmottagare som tar emot medel på sitt betalkonto från andra betalkonton hos betaltjänstleverantörer i samma medlemsstat får inte vägra att ta emot autogireringar från betalkonton hos betaltjänstleverantörer som är etablerade i en annan medlemsstat.

15.

Enligt artikel 9 i förslaget ska medlemsstaterna utse behöriga myndigheter som ska se till att förordningen efterlevs. Myndigheterna ska ha de befogenheter som krävs för att utföra sina arbetsuppgifter. De ska också övervaka efterlevnaden och vidta alla åtgärder som krävs för att garantera förordningens efterlevnad. Enligt artikel 9.3 gäller vidare att om mer än en myndighet är behörig i frågor som omfattas av denna förordning på en medlemsstats territorium ska denna medlemsstat se till att dessa myndigheter har ett nära samarbete så att de effektivt kan uppfylla sina arbetsuppgifter. Genom artikel 10 införs en skyldighet för medlemsstaterna att fastställa bestämmelser om vilka sanktioner som ska tillämpas vid överträdelser av förordningen och vidta alla åtgärder som krävs för att se till dessa bestämmelser tillämpas. Dessa sanktioner ska vara effektiva, proportionella och avskräckande.

16.

På grundval av dessa artiklar kommer nationella myndigheter att ha befogenhet att övervaka möjliga överträdelser av alla skyldigheter som ingår i förslaget och att tillämpa sanktioner, inbegripet sanktioner i samband med skyldigheten enligt artiklarna 6 och 8. Denna befogenhet kan potentiellt ha stora konsekvenser för integriteten ur dataskyddsperspektiv: myndigheterna kan ha allmän tillgång till information om alla överföringar (oavsett om de sker via betalning eller autogirering) av medel mellan enskilda för att kontrollera om multilaterala förmedlingsavgifter tas ut på ett olagligt sätt eller vid vägran som strider mot skyldigheterna i artiklarna 6 och 8. Denna befogenhet innefattar behandling av personuppgifter (namn på berörda fysiska personer, deras bankkontonummer och de belopp som ska tas emot eller överföras).

17.

All behandling av personuppgifter ska följa nationella lagar om genomförande av direktiv 95/46/EG, men datatillsynsmannen vill betona att övervakningsskyldigheten bör bedömas redan i förslaget med tanke på att proportionalitets- och nödvändighetsprinciperna ska gälla enligt direktiv 95/46/EG (artikel 6.1 c). Särskilt med tanke på artiklarna 6 och 8 anser Europeiska datatillsynsmannen att det i detta avseende vore mer proportionerligt att införa ett system som innebär att behöriga myndigheters behandling av personuppgifter endast utlöses från fall till fall. Detta skulle innebära att myndighetens ingripande – och därmed behandlingen av en viss betalares och/eller betalningsmottagares personuppgifter – huvudsakligen skulle ske när det finns en särskild anledning, t.ex. om ett klagomål om en överträdelse av artikel 6 eller artikel 8 lämnats av en betalare eller betalningsmottagare, eller inom ramen för en målinriktad utredning på eget initiativ, eventuellt på grundval av information som lämnats av tredje part.

18.

Garantin för en effektiv efterlevnadskontroll skulle vara att en mekanism införs som gör att en klagande kan lämna ett klagomål eller en tredje part kan lämna information och snabbt få svar från myndigheten, eventuellt i form av en order till den andra parten att uppfylla skyldigheterna enligt artiklarna 6 och 8. Förslaget inför faktiskt redan i artikel 11 regler för lämpliga och effektiva förfaranden för klagomål och tvistlösning utanför domstol för att lösa tvister mellan betaltjänstanvändare och deras betaltjänstleverantörer (som omfattar fallet enligt artikel 6). För att uppmuntra till efterlevnad av artikel 8 utan att nationella myndigheter får bred allmän tillgång till personuppgifter föreslår Europeiska datatillsynsmannen att bestämmelsen i artikel 11 även omfattar tvister mellan betalare och betalningsmottagare.

19.

Datatillsynsmannen noterar också att övervakningen kan innefatta överföring av personuppgifter mellan behöriga nationella myndigheter i olika medlemsstater inom ramen för det samarbete som nämns i artikel 9.3. Med tanke på den omfattande befogenhet som beviljas nationella myndigheter för övervakning av efterlevnaden av förordningen (även om de begränsningar i samband med artiklarna 6 och 8 som föreslås ovan skulle införas) föreslår Europeiska datatillsynsmannen att texten uttryckligen nämner att överföring av personuppgifter mellan myndigheter måste ske med respekt för relevanta dataskyddsprinciper. Särskilt gäller att sådana överföringar inte bör vara massöverföringar av uppgifter utan endast bör ske i samband med särskilda fall där det redan finns en prima facie-misstanke om en möjlig överträdelse av förordningen. Därför skulle följande mening kunna läggas till i artikel 9.3: ”Överföringar av personuppgifter mellan behöriga myndigheter inom ramen för ett sådant nära samarbete ska endast äga rum från fall till fall när det finns rimlig misstanke om överträdelse av förordningen och med respekt för nödvändighetsprincipen, proportionalitetsprincipen och principen om ändamålsbegränsning.”

20.

I bilagan till förslaget fastställs de tekniska krav som måste uppfyllas för betalningar och autogireringar enligt artikel 5 i förslaget. Syftet med att införa dessa krav är att ha harmoniserade identifierings- och kommunikationsformat som garanterar driftskompatibilitet för betalnings- och autogireringstransaktioner mellan medlemsstaterna.

21.

I detta sammanhang utförs behandling av personuppgifter av intermediärer (betaltjänstleverantörerna) vid olika tillfällen (6):

22.

Behandling av personuppgifter måste följa nationella lagar om genomförande av direktiv 95/46/EG, men i utkastet till förslaget nämns ändå bara att överföringar i förhållande till situation a) ovan ska tillhandahållas ”i enlighet med kraven i den nationella lagen om genomförande av direktiv 95/46/EG”. För att undvika felaktiga tolkningar föreslår Europeiska datatillsynsmannen att en sådan hänvisning till direktivet inkluderas även i förhållande till artikel 3 b och artikel 3 g. Om texten i skäl 26 ändrades enligt förslaget ovan skulle i stället lydelsen i artikel 2 b med hänvisning till direktiv 95/46/EG kunna uteslutas.

23.

Europeiska datatillsynsmannen välkomnar den särskilda hänvisningen i förslaget till direktiv 95/46/EG. Han föreslår dock några smärre ändringar av texten för att förtydliga att dataskyddsprinciperna ska tillämpas på överföringar som omfattas av förslaget. Särskilt gäller följande: