Høringsuttalelse - EUs reviderte betalingstjenestedirektiv (PSD 2) - Finansdepartementet

Like dokumenter
Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Høringsuttalelse fra VBB AS Forskrift om betalingstjenester

Høringsuttalelse til høring utkast til regler tilsvarende EUs reviderte betalingsdirektiv

Prop. 110 L. ( ) Proposisjon til Stortinget (forslag til lovvedtak) Endringer i finansforetaksloven mv. (andre betalingstjenestedirektiv)

FORSLAG TIL FORSKRIFT OM BETALINGSTJENESTER HØRINGSUTTALELSE FRA KLARNA BANK AB

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse Dato 15/ /JSK

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

EUs reviderte betalingstjenestedirektiv PSD2

PSD 2 hva er status? Jan Digranes, Finans Norge.

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse Dato 17/ / /CDG

Skjema. Dokumentasjon av ansvarsforsikring eller garanti for betalingsfullmakttjenester eller kontoinformasjonstjenester

12/ / /JSK 7.

Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder

Innføring av det reviderte betalingstjenestedirektivet (PSD 2) i norsk rett

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Kampanje Event EU GDPR Advokat Rune Opdahl

Deres referanse Vår referanse Dato 19/ / /SLI

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

PSD 2 i et bankperspektiv

lntegrerings- og mangfoldsdirektoratet

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

EUs personvernforordning og norsk personopplysningsrett

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Høringsuttalelse - endringer i introduksjonsloven og tilhørende forskrifter

Vår referanse (bes oppgitt ved svar)

16/ /KEK Høring - NOU 2016: 24 Ny straffeprosesslov - Justis- og politidepartementet

I POLITIET. Politidirektoratet Postboks 8051 Dep OSLO HØRINGSSVAR OM MANDAT TIL PERSONVERNKOM MISJON

Forslag til forskrift om betalingstjenester høringssvar

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Tjenestedirektivet og. «sosial dumping»

Vi viser til brev av 7. november 2016 fra Barne- og likestillingsdepartementet hvor NOU 2016:16 Ny barnevernslov sendes ut på høring.

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Høring Forslag til Europaparlaments- og rådsdirektiv om kredittavtaler i forbindelse med fast eiendom til boligformål (COM (2011) 142 final)

Stordata og offentlige tjenester personvernutfordringer?

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

PSD 2 i et bankperspektiv

Nåværende EU-rett Dir 96/3/EC

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Søknadsskjema etter finansforetaksforskriften 3-2

Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

PSD II Utviklingen det siste året

Nærings- og fiskeridepartementet Postboks 8090 Dep 0033 OSLO

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

Statens vegvesen. Implementering av direktiv 2007/38/EF - ettermontering av speil på tunge kjøretøy - høring

Samtidig foreslås å oppheve forskrift nr. 309 om norsk ansvarlig organ for

Høringsbrev - forslag til lov- og forskriftsendringer som følge av a- opplysningsloven

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Vår referanse (bes oppgitt ved svar)

Revisjon av EUs personverndirektiv - hva innebærer forslagene?

Høringsnotat - forslag til forskriftsbestemmelse til hvitvaskingsloven

DET KONGELIGE FORNYINGS- OG ADMINISTRASJONSDEPARTEMENT. Deres referanse Vår referanse Dato 2009/00371 ME/ME3 CLH:elt dAKH

Personopplysningslovens formål og grunnleggende begreper. Dag Wiese Schartum, AFIN

HØRINGSNOTAT Forslag til forskrift om endringer i petroleumsforskriften

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

I det følgende vil vi kommentere ulike forslag som vi mener er av særlig betydning for våre klienter.

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Hva innebærer PSD2 for bankene?

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Utlendingsnemnda (UNE) viser til departementets brev med vedlagt høringsnotat.

Deres referanse Vår referanse Dato 04/4076 SA LRD/rla /AKH

Statens vegvesen. Behandlende enhet: Saksbehandler/innvalgsnr: Vår referanse: Deres referanse: Vår dato:

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Verdipapirforetaks tilknyttede agenter. Høringsnotat og forskriftsforslag

Når Big Data blir Big Business. Foredrag ved Standard Morgen 11.Desember 2017 Arne Dulsrud Forskningssjef SIFO

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Spørsmål om rekkevidden av unntaket fra rapporteringsplikt for advokater

Høring - forskrift om uttak og utnytting av genetisk materiale - bioprospektieringsforskriften

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Høring forslag til endringer i forskrifter til konkurranseloven, og forslag til forskrift om ikrafttredelse og overgangsregler

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Høring - NOU 2018:1 Markeder for finansielle instrumenter - gjennomføring av utfyllende rettsakter til MiFID II og MiFIR

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Høringsuttalelse - Justis- og politidepartementet - Behandling av personopplysninger - Lov av

HØRING - ENDRINGER I OFFENTLEGLOVA - POLITIDIREKTORATETS MERKNADER

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

HØRINGSSVAR EU -KOMMISJONENS FORSLAG TIL NYE PERSONVERNREGLER

GDPR og test. Advokat Eva Jarbekk

Forskrift om betalingstjenester gjennomføring av EØS-regler om forretningsbaserte fullmakttjenester

of Utlendingsdirektoratet

Vår referanse:

EUs personvernforordning- Betydningen av den registrertes samtykke

Utkast til regler tilsvarende EUs reviderte betalingstjenestedirektiv - høringsuttalelse

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Endring av forskrift om bruk av bilbelte legeerklæring om unntak fra påbudet om bruk av bilbelte

EUs kommende (?) personvernforordning:

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

20 JUL Justis- og beredskapsdepartementet Postboks 8005 Dep 0030 OSLO

Transkript:

Finansdepartementet Postboks 8008 Dep 0030 OSLO Deres referanse Vår referanse Dato 13/03541-82 17/00571-2/AHO 18.08.2017 Høringsuttalelse - EUs reviderte betalingstjenestedirektiv (PSD 2) - Finansdepartementet Vi viser til høring av forslag til regler tilsvarende EUs reviderte betalingstjenestedirektiv (PSD 2), datert 28.04.2017. PSD 2 er ennå ikke tatt inn i EØS-avtalen, men det må forventes at den vil bli tatt inn. Ifølge høringsbrevet kan det være aktuelt å gjennomføre direktivet førtidig i norsk rett. Høringsnotatet tar for seg de deler av PSD 2 som faller innunder Finansdepartementets ansvarsområde. Justis- og beredskapsdepartementet vil ta for seg de deler som hører inn under dets ansvarsområde i en egen høring om endringer i finansavtaleloven. Ifølge Finansdepartementets høringsbrev bør de to høringsnotatene ses i sammenheng slik at ikrafttredelse av regler som svarer til hele direktivet kan samordnes. Så langt vi er kjent med foreligger ikke høringsnotatet fra Justis- og beredskapsdepartementet ennå. Det har dermed ikke vært mulig, under denne høringsrunden, å se forslaget til gjennomføringen av PSD 2 i sammenheng. Ettersom Finansdepartementet i sitt høringsbrev åpner for å iverksette gjennomføring av regler som svarer til direktivbestemmelsene som er omtalt i høringsnotatet før de tilsvarende endringer i finansavtaleloven, finner vi det beklagelig at ikke høringen er bedre koordinert. Datatilsynet mener at gjennomføringen bør samordnes slik at det ikke blir regulatoriske hull. I tilknytning til nærværende forslag har vi følgende merknader: 1. Om betalingsfullmektig og opplysningsfullmektig I høringsnotatet side 15-20 omtales henholdsvis betalingsfullmektig og opplysningsfullmektig. I notatet foreslås det at betalingsinitieringstjenester, slik dette er definert i PSD 2 art. 4.15, skal kalles avtale om betalingsfullmakt. Videre foreslås det at en som tilbyr en slikt tjeneste «payment initiation service provider» (PISP), jf. PSD 2 art. 4.18 skal kalles betalingsfullmektig. Finanstilsynet skriver at «tillatelse som betalingsfullmektig gir kun Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

adgang til å yte avtaler om betalingsfullmakt, jf. definisjonen i PSD artikkel 4.18». Videre er det beskrevet at «En betalingsfullmektig kan kun yte betalingstjeneste som definert i direktivets vedlegg punkt 7 (avtale om betalingsfullmakt)». Ut fra vår forståelse av PSD 2 kan det virke som begrepsbruken her er noe misvisende og er egnet til forvirring. For det første synes vi ikke omskrivingen av betalingsinitieringstjeneste til avtale om betalingsfullmakt, er særlig god. Man synes ikke vinne noe på det, og språklig sett er vel ikke «avtale om ( )fullmakt» helt treffende siden en fullmakt i bunn og grunn er en avtale om at en part kan representere en annen utad. Vi mener man bør bruke begrepet betalingsinitieringstjeneste. For det andre synes det ikke være riktig å si at en betalingsfullmektig er en som kun yter avtale om betalingsfullmakt/betalingsinitieringstjeneste. PSD 2 art. 4.18 definerer «payment initiation service provider» (PISP) som «a payment service provider pursuing business activities as referred to in point (7) of Annex I». Det er ikke noe krav om at man kun driver med betalingsinitieringstjeneste for å bli ansett som PISP. Slik vi forstår det er poenget at enhver «payment service provider» (betalingstjenestetilbyder) som tilbyr en slik tjeneste vil være en PISP, også der foretaket tilbyr andre betalingstjenester. En «payment service provider» er definert i art. 4.11, og omfatter alle foretakene/organene nevnt i art. 1 (1) og fysiske og juridiske personer omfattet av unntakene i art. 32 og art. 33 (disse unntakene gjelder ikke for denne tjenesten). For eksempel vil en kredittinstitusjon måtte anses som PISP dersom foretaket tilbyr en betalingsinitieringstjeneste, med de plikter og rettigheter som da følger med i relasjon til denne tjenesten. Dersom betalingsinitieringstjenesten skal tilbys av noen i kraft av å være et betalingsforetak (payment institution), må man få konsesjon etter art. 11. Etter art. 5.1 (a) skal søknaden beskrive hvilke typer betalingstjenester foretaket skal drive med. Dersom foretaket skal tilby betalingsinitieringstjeneste sammen med andre betalingstjenester, vil konsesjonen omfatte de omsøkte tjenestene (med mindre det er grunn til å bare gi konsesjon for visse tjenester), og etter art. 14 skal det registreres i et offentlig tilgjengelig register hvilke tjenester betalingsforetaket har tillatelse til å tilby. Dersom foretaket kun vil tilby betalingsinitieringstjeneste må man fremdeles søke om tillatelse til å opptre som betalingsforetak, men det lempes noe på enkelte krav. I en slik situasjon vil betalingsforetaket være en ren PISP fordi man bare tilbyr den formen for betalingstjeneste som er betalingsinitieringstjeneste. Tilsvarende synspunkter gjør seg gjeldende i relasjon til opplysningsfullmektiger: I høringsnotatet foreslås det at kontoopplysningstjeneste, jf. art. 4.16, skal kalles avtale om opplysningsfullmakt. Vi synes ikke det er noe godt begrep og mener man bør beholde kontoopplysningstjeneste som begrep ettersom dette beskriver kjernen i tjenesten mer treffende. 2

En som tilbyr en slik tjeneste «account information service provider» (AISP), jf. art. 4.19 forslås kalt opplysningsfullmektig. I notatet legges det til grunn at «tillatelse som opplysningsfullmektig gir kun adgang til å yte avtaler om opplysningsfullmakt 1, jf. definisjonen i PSD art. 4.19». Og videre at «opplysningsfullmektiger kan kun yte betalingstjenester som definert i direktivets vedlegg punkt 8 (avtale om opplysningsfullmakt)». Som for betalingsfullmektig over, følger det imidlertid ikke av definisjonen i PSD 2 art. 4.19 at en «account information service provider» (AISP) er et foretak som kun leverer kontoinformasjonstjeneste. Enhver «payment service provider» (betalingstjenestetilbyder), jf. art. 4.11, kan i utgangspunktet tilby slik tjeneste. Det følger imidlertid av art. 33 at dersom man kun skal tilby en slik tjeneste, og ikke andre betalingstjenester, er det en del regler som ikke skal gjelde. Etter art. 33.2 skal imidlertid den som kun tilbyr kontoinformasjonstjeneste behandles som et betalingsforetak. Basert på dette mener vi det ikke er riktig å si at en opplysningsfullmektig (AISP) er en som kun tilbyr kontoinformasjonstjeneste. 2. Behandling av personopplysninger Det å yte betalingstjenester vil, naturlig nok, medføre behandling av personopplysninger. PSD 2 forutsetter derfor at all behandling av personopplysninger skjer i overenstemmelse med personverndirektivet (direktiv 95/46/EF) og de nasjonale regler som gjennomfører direktivet, jf. art. 94. Det følger av fortalen punkt 90 at: «This Directive respects the fundamental rights ( ) including ( ) the right to data protection ( ). This Directive must be implemented in accordance with those rights and principles.» Når det gjelder retten til personopplysningsvern og etterlevelse av de regler og prinsipper som er knesatt i direktiv 95/46/EF for å gi slikt vern, fremholder fortalen punkt 91: «In particular, where personal data is processed for the purposes of this Directive, the presise purpose should be specified, the relevant legal basis referred to, the relevant security requirements laid down in Directive 95/46/EC complied with, and the principles of necessity, proportionality, purpose limitation and proportionate data retention period respected. Also, data protection by design and data protection by default should be embedded in all data processing systems developed and used within the framwork of this Directive.» I høringsnotatet er behandling av personopplysninger så vidt berørt på side 27. Finanstilsynet viser til at art. 94.1 krever at behandling av personopplysninger skal være i tråd med personverndirektivet. Videre er det skrevet at «etter ordlyden innsnevrer PSD 2 artikkel 94.2 1 I notatet står det betalingsfullmakt, men det må være feilskrift. 3

betalingstjenestetilbyderes adgang til å behandle personopplysninger. Finanstilsynet tolker regelen dithen at den viser til at behandlingstjenestetilbydere skal behandle opplysningene i tråd med personverndirektivet, og foreslår ingen endringer i norsk rett.» Vi mener høringsnotatet her bygger på en noe feilaktig forståelse. Art. 94.2 er en materiell bestemmelse som presiserer de generelle reglene for personopplysningsvern som følger av personverndirektivet. Det er altså ikke en bestemmelse som bare viser til at behandling av personopplysninger skal skje i samsvar med personverndirektivet. Opprinnelig forslo Kommisjonen en bestemmelse i art. 84 som bare sa at «Any processing of personal data for the purposes of this Directive shall be carried out in accordance with Directive 95/46/EC ( ).» The European Data Protection Supervisor (EDPS) påpekte imidlertid i sin «opinion» (høringsuttalelse) 2 at en slik henvisning til reglene for personopplysningsvern ikke i seg selv er tilstrekkelig: «However, the EDPS recalls that clarifying the applicable data protection legislation is essential but not sufficient. The referance to applicable data protection law should be specified in concrete safeguards that will apply to any situation in which personal data processing is envisaged.» EDPS forslo blant annet at: «( ) it should be clarified expressly in the proposed Directive that processing of personal data may be carried out insofar it is necessary for the performance of payment services.» Poenget slik vi forstår det er at art. 94.2 presiserer de alminnelige prinsippene om formålsbegrensning og dataminimalitet ved at si at betalingstjenestetilbydere bare skal behandle personopplysninger som er nødvendig for å kunne yte sine betalingstjenester. I tillegg presiseres det at behandlingen skal skje på basis av eksplisitt samtykke, noe som er en presisering av det rettslige grunnlaget. Disse presiseringene er viktige beskyttelsestiltak for å motvirke at behandlingen av personopplysninger i forbindelse med betalingstjenester sklir ut og brukes til andre kommersielle formål. Vi mener det derfor er nødvendig å lovfeste bestemmelsen i art. 94.2. 3. Forslag til forskrift om betalingssystemer 7 Det er foreslått å forskriftsfeste blant annet at «Tilbyderen skal ikke be om sensitiv betalingsinformasjon knyttet til betalingskontoen». 2 www.edps.europa.eu/sites/edp/files/publication/13-12-05_opinion_payments_en.pdf 4

Vi anbefaler at begrepet «sensitiv betalingsinformasjon» defineres. 4. Forslag til forskrift om betalingssystemer 8 Forslaget gjennomfører etter det vi forstår PSD 2 art. 66.3 bokstav g og art. 67.2 bokstav f. Bestemmelsen har fått overskriften «Om lagring av informasjon». Etter vårt syn er denne overskriften noe misvisende ettersom den gir inntrykk av at bestemmelsen regulerer lagring og, som en naturlig del av dette, lagringstid. Det er imidlertid ikke det sentrale med bestemmelsen. Art. 66.3 (g) og art. 67.2 (f) er presiseringer av formålsbegrensningsprinsippet 3 ved at de gjør det klart at man ikke kan bruke, skaffe seg tilgang til eller lagre data til andre formål enn å levere den aktuelle tjenesten betaleren har bedt om. Etter vårt syn bør den materielle skranken for bruk, lagring mv. av informasjon for henholdsvis tilbydere av betalingsinitieringstjeneste (avtale om betalingsfullmakt) og kontoinformasjonstjeneste (avtale om opplysningsfullmakt) ikke skilles ut som en egen bestemmelse slik som i forslagets 8, men istedenfor tas inn i henholdsvis 6 og 7 i forslaget. For ordens skyld nevner vi til slutt at forslaget her referer til «lov om personvern». Riktig henvisning skal nok være «lov om behandling av personopplysninger». Med vennlig hilsen Bjørn Erik Thon direktør Andreas Hobæk seniorrådgiver Kopi: Kommunal- og moderniseringsdepartementet v/statsforvaltningsavdelingen Postboks 8112 Dep, 0032 OSLO 3 Formålsbegrensningsprinsippet er sentralt i personopplysningsretten, og går ut på at personopplysninger kun skal behandles til uttrykkelig fastsatte formål, og ikke til senere formål uforenlig med det opprinnelige formålet. 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding