Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52023XX01019

    Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till förordning om betaltjänster på den inre marknaden och förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden (Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats https://edps.europa.eu)

    EUT C, C/2023/1019, 16.11.2023, ELI: http://data.europa.eu/eli/C/2023/1019/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    European flag

    officiella tidning
    Europeiska unionens

    SV

    Serien C

    C/2023/1019

    16.11.2023

    Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till förordning om betaltjänster på den inre marknaden och förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden

    (C/2023/1019)

    (Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats https://edps.europa.eu)

    Den 28 juni 2023 utfärdade Europeiska kommissionen ett förslag till Europaparlamentets och rådets förordning om betaltjänster på den inre marknaden och om ändring av förordning (EU) nr 1093/2010 (nedan kallat förslaget till förordning om betaltjänster på den inre marknaden) och ett förslag till Europaparlamentets och rådets direktiv om betaltjänster och e-penningtjänster på den inre marknaden, om ändring av direktiv 98/26/EG och om upphävande av direktiven (EU) 2015/2366 och 2009/110/EG (nedan kallat förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden). Nedan hänvisas till båda dessa som förslagen.

    Betaltjänster innebär ofta behandling av personuppgifter som kan avslöja känslig information om en enskild registrerad. Europeiska datatillsynsmannen (EDPS) välkomnar därför de åtgärder som vidtagits för att säkerställa överensstämmelse med den allmänna dataskyddsförordningen. Han betonar också behovet av att göra en tydlig åtskillnad mellan begreppet (1) ”tillstånd” enligt förslagen och den rättsliga grunden för behandling av personuppgifter enligt den allmänna dataskyddsförordningen.

    Ett av syftena med förslaget är att göra det möjligt för leverantörer av betalningssystem och betaltjänster att behandla särskilda kategorier av personuppgifter som är av allmänt intresse för en välfungerande inre marknad för betaltjänster. Eftersom behandlingen av sådana uppgifter kan utgöra ett allvarligt ingrepp i rätten till skydd för privatlivet och rätten till skydd av personuppgifter, är det viktigt att lagstiftningen på ett tillräckligt exakt sätt visar det objektiva sambandet mellan varje kategori av uppgifter i ett specifikt betalningssammanhang och det mål av allmänt intresse som ska uppnås.

    EDPS välkomnar att förslaget skulle kräva att kontoförvaltande betaltjänstleverantörer förser användaren med en manöverpanel för att övervaka och hantera det tillstånd som hen har beviljat. För att ytterligare minska risken att kontoförvaltande betaltjänstleverantörer olagligen delar personuppgifter rekommenderar EDPS följande:

    Säkerställa att manöverpanelen hänvisar till den utsedda betaltjänsten/de utsedda betaltjänsterna för vilka hen beviljat tillstånd.

    Säkerställa att begäranden om tillgång förblir begränsade till vad som är nödvändigt för att tillhandahålla den begärda tjänsten.

    Säkerställa tydlighet när det gäller den rättsliga grunden för begäranden om tillgång.

    Göra det möjligt för kontoförvaltande betaltjänstleverantörer att kontrollera det tillstånd som betaltjänstanvändaren har beviljat eller införa lämpliga alternativa skyddsåtgärder i förslaget till förordning om betaltjänster på den inre marknaden.

    Slutligen rekommenderar EDPS ett nära samarbete mellan de behöriga myndigheterna enligt förslaget och tillsynsmyndigheterna för dataskydd för att säkerställa enhetlighet mellan tillämpningen av och verkställigheten för förslaget och EU:s dataskyddslagstiftning. Av denna anledning rekommenderar EDPS att det uttryckligen hänvisas till tillsynsmyndigheter som ansvarar för att övervaka och verkställa dataskyddslagstiftningen i artikel 93.3 i förslaget till förordning om betaltjänster på den inre marknaden.

    1.   Inledning

    1.

    Den 28 juni 2023 utfärdade Europeiska kommissionen ett förslag till Europaparlamentets och rådets förordning om betaltjänster på den inre marknaden och om ändring av förordning (EU) nr 1093/2010 (nedan kallat förslaget till förordning om betaltjänster på den inre marknaden(2) och ett förslag till Europaparlamentets och rådets direktiv om betaltjänster och e-penningtjänster på den inre marknaden, om ändring av direktiv 98/26/EG och om upphävande av direktiven (EU) 2015/2366 och 2009/110/EG (nedan kallat förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden(3). Nedan hänvisas till båda dessa som förslagen.

    2.

    Både förslaget till förordning om betaltjänster på den inre marknaden och förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden åtföljs av tre bilagor (totalt sex bilagor). I dessa beskrivs de typer av betaltjänster (bilaga I) och de typer av e-penningtjänster (bilaga II) som omfattas av förslagsutkasten. Bilaga III innehåller en jämförelsetabell över bestämmelserna i direktiven (EU) 2015/2366 och 2009/110/EG samt bestämmelserna i förslagen.

    3.

    EDPS noterar att de typer av tjänster som omfattas av förslagen i huvudsak verkar vara desamma som de som omfattas av Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (nedan kallat direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden(4).

    4.

    Förslaget till förordning om betaltjänster på den inre marknaden har följande specifika mål (5):

    a.

    Stärka användarskyddet och förtroendet för betalningar, framför allt genom att förbättra tillämpningen av stark kundautentisering, skapa en rättslig grund för utbyte av information om bedrägerier, utvidga Iban-verifiering till att omfatta alla betalningar samt förbättra användarrättigheter och information.

    b.

    Förbättra konkurrenskraften för öppna banktjänster genom att i) kräva att kontoförvaltande betaltjänstleverantörer ska inrätta ett särskilt gränssnitt för dataåtkomst och ”manöverpaneler för tillstånd” som ger användare möjlighet att hantera de tillstånd för öppna banktjänster i form av dataåtkomst som de har beviljat, samt ii) fastställa mer detaljerade specifikationer av minimikraven för datagränssnitt för öppna banktjänster.

    c.

    Förbättra efterlevnadskontrollen och genomförandet av den rättsliga ramen för betaltjänster i medlemsstaterna, särskilt genom att ersätta direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden med en direkt tillämplig förordning (dvs. förslaget till förordning om betaltjänster på den inre marknaden) som klargör aspekter av direktivet som är oklara, samt förbättra samarbetet mellan behöriga myndigheter och andra myndigheter.

    d.

    Förbättra (direkt eller indirekt) tillgången till betalningssystem och bankkonton för betaltjänstleverantörer som inte är banker, inklusive leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster.

    5.

    Förslagen läggs fram tillsammans med förslaget till förordning om åtkomst till finansdata (6), som bland annat omfattar åtkomst till andra finansiella uppgifter än uppgifter om betalkonton, vilka omfattas av tillämpningsområdet för de förslag som ligger till grund för detta yttrande (7).

    6.

    Inom ramen för förslaget till förordning om betaltjänster på den inre marknaden skulle det i huvudsak

    a.

    fastställas krav på transparens när det gäller villkor och informationskrav för betaltjänster (8),

    b.

    fastställas rättigheter och skyldigheter i samband med tillhandahållande och användning av betaltjänster, inbegripet regler om gränssnitt för dataåtkomst för kontoinformationstjänster och betalningsinitieringstjänster (9) och om betaltjänstanvändares hantering av dataåtkomst (10), om dataskydd (11), om bedrägerirapportering och transaktionsövervakningsmekanismer och utbyte av uppgifter om bedrägerier (12), om stark kundautentisering (13), om verkställighetsförfaranden, behöriga myndigheter och sanktioner (14) samt om Europeiska bankmyndighetens (EBA) befogenheter att ingripa (15).

    7.

    Förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden baseras till stor del på avdelning II i nuvarande direktiv (EU) 2015/2366 om betaltjänster på den inre marknaden, med avseende på ”betaltjänstleverantörer”, som endast gäller för betalningsinstitut. Det uppdaterar och förtydligar bestämmelserna om betalningsinstitut och integrerar institut för elektroniska pengar som en underkategori av betalningsinstitut. Det innehåller också bestämmelser om kontantuttagstjänster som tillhandahålls av detaljhandlare eller oberoende uttagsautomataktörer (16).

    8.

    EDPS utfärdar detta yttrande som svar på ett samråd med Europeiska kommissionen den 29 juni 2023, i enlighet med artikel 42.1 i förordning (EU) 2018/1725. EDPS välkomnar hänvisningen till detta samråd i skäl 147 i förslaget till förordning om betaltjänster på den inre marknaden och skäl 77 i förslaget till direktiv om betaltjänster och e-penningtjänster på den inre marknaden. I detta avseende noterar EDPS också med tillfredsställelse att han i ett tidigare skede redan rådfrågats informellt om förslagen i överensstämmelse med skäl 60 i förordning (EU) 2018/1725.

    12.   Slutsatser

    52.

    		 Mot bakgrund av det ovan anförda rekommenderar Europeiska datatillsynsmannen följande:

    (1)

    Att göra en tydlig åtskillnad mellan begreppet ”tillstånd” och den rättsliga grunden för behandling enligt den allmänna dataskyddsförordningen, genom att i skäl 62 i förslaget till förordning om betaltjänster på den inre marknaden förtydliga att ”tillstånd inte bör tolkas som ’samtycke’ eller ’uttryckligt samtycke’ eller ’att ett avtal [...] måste genomföras’ enligt definitionen i förordning (EU) 2016/679”.

    (2)

    Att i ett skäl klargöra att en betaltjänstanvändares beviljande av tillstånd i synnerhet inte påverkar skyldigheterna för leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster enligt artiklarna 6 och 9 i förordning (EU) 2016/679.

    (3)

    Att ompröva förbudet för kontoförvaltande betaltjänstleverantörer att verifiera tillstånd enligt artikel 49.4 i förslaget till förordning om betaltjänster på den inre marknaden eller införa lämpliga alternativa skyddsåtgärder i den normativa delen av förslaget för att skydda betaltjänstanvändare mot den risk för potentiellt olaglig delning av personuppgifter av kontoförvaltande betaltjänstleverantörer som detta förbud kan medföra.

    (4)

    Att ändra artiklarna 46.2 a och 47.2 a i förslaget till förordning om betaltjänster på den inre marknaden och där fastställa att leverantörer av betalningsinitieringstjänster och leverantörer av kontoinformationstjänster inte ska ha åtkomst till personliga säkerhetsbehörighetsuppgifter.

    (5)

    Att klargöra definitionen av ”känsliga betalningsuppgifter” enligt artikel 3.38 i förslaget till förordning om betaltjänster på den inre marknaden, särskilt genom att specificera de typer av personuppgifter som omfattas av denna definition.

    (6)

    Att i förhållande till den utsedda betaltjänsten/de utsedda betaltjänsterna i artikel 80 i förslaget till förordning om betaltjänster på den inre marknaden specificera (vilka kategorier av) särskilda kategorier av personuppgifter som betalningssystemen och betaltjänstleverantören skulle ha rätt att behandla.

    (7)

    Att (i ett skäl) motivera varför behandlingen av de särskilda kategorierna av personuppgifter i förhållande till den utsedda betaltjänsten/de utsedda betaltjänsterna i artikel 80 i förslaget till förordning om betaltjänster på den inre marknaden är nödvändig och proportionell och inte kan undvikas med hjälp av alternativa tekniska medel.

    (8)

    Att inkludera en hänvisning till inloggningsregistrering (för att kontrollera om otillbörlig åtkomst har ägt rum) bland de skyddsåtgärder för dataskydd som nämns i artikel 80 i förslaget till förordning om betaltjänster på den inre marknaden.

    (9)

    Att i artikel 43.2 a lägga till en hänvisning till den utsedda betaltjänsten/de utsedda betaltjänsterna som betaltjänstanvändaren har beviljat tillstånd för.

    (10)

    Att i artikel 47.2, om skyldigheter för leverantörer av kontoinformationstjänster, lägga till kravet i artikel 46.2 b, enligt vilket betaltjänstleverantörer av betaltjänstanvändaren endast får begära de uppgifter som krävs för att tillhandahålla den begärda tjänsten.

    (11)

    Att kräva att betaltjänstleverantörer och leverantörer av kontoinformationstjänster enligt artikel 43.4 b informerar kontoförvaltande betaltjänstleverantörer om det kundkonto till vilket tillgång begärs och om den rättsliga grunden enligt artikel 6.1 i den allmänna dataskyddsförordningen och (i tillämpliga fall) det undantag enligt artikel 9.2 i den allmänna dataskyddsförordningen som de hänvisar till för att få åtkomst till betaltjänstanvändarens personuppgifter.

    (12)

    Att i artikel 43 b specificera att manöverpanelen inte bör utformas på ett sätt som uppmuntrar eller otillbörligt påverkar betaltjänstanvändare att bevilja eller återkalla tillstånd.

    (13)

    Att tydligt fastställa de kategorier av personuppgifter som betaltjänstleverantörer skulle tillåtas att behandla i samband med transaktionsövervakningsmekanismer (särskilt genom att definiera vad som avses med ”information om betaltjänstanvändaren” i artikel 83.2 a).

    (14)

    Att fastställa lämpliga datalagringsperioder för de personuppgifter som samlas in enligt artikel 83.

    (15)

    Att inkludera en definition av ”avtal om informationsutbyte” i artikel 3 i förslaget till förordning om betaltjänster på den inre marknaden.

    (16)

    Att i förslaget till förordning om betaltjänster på den inre marknaden föreskriva att all behandling av personuppgifter i syfte att uppfylla de rättsliga skyldigheterna gällande förebyggande av bedrägerier enligt artikel 83 endast får ske för detta specifika ändamål och att den inte får leda till att kundrelationen med betaltjänstleverantören avslutas eller påverka betaltjänstanvändarens möjligheter att ansluta sig till en annan betaltjänstleverantör.

    (17)

    Att uttryckligen nämna de tillsynsmyndigheter som ansvarar för att övervaka och verkställa dataskyddslagstiftningen i artikel 93.3 i förslaget till förordning om betaltjänster på den inre marknaden.

    Bryssel den 22 augusti 2023.

    Wojciech Rafał WIEWIÓROWSKI

    (1)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

    (2)  COM(2023) 367 final.

    (3)  COM(2023) 366 final.

    (4)  Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

    (5)  COM(2023) 367 final, s. 5–6.

    (6)  COM(2023) 360 final.

    (7)  COM(2023) 367 final, s. 4.

    (8)  Artiklarna 4–26 i förslaget till förordning om betaltjänster på den inre marknaden.

    (9)  Artiklarna 35–38 i förslaget till förordning om betaltjänster på den inre marknaden.

    (10)  Artikel 43 i förslaget till förordning om betaltjänster på den inre marknaden.

    (11)  Artikel 80 i förslaget till förordning om betaltjänster på den inre marknaden.

    (12)  Artiklarna 82–84 i förslaget till förordning om betaltjänster på den inre marknaden.

    (13)  Artiklarna 85–86 i förslaget till förordning om betaltjänster på den inre marknaden.

    (14)  Kapitel 8 i förslaget till förordning om betaltjänster på den inre marknaden.

    (15)  Kapitel 9 i förslaget till förordning om betaltjänster på den inre marknaden.

    (16)  COM(2023) 367 final, s. 7.

    ELI: http://data.europa.eu/eli/C/2023/1019/oj

    ISSN 1977-1061 (electronic edition)

    Top