Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2.

Like dokumenter
Høringsuttalelse - EUs reviderte betalingstjenestedirektiv (PSD 2) - Finansdepartementet

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Høringsuttalelse til høring utkast til regler tilsvarende EUs reviderte betalingsdirektiv

Høringsuttalelse fra VBB AS Forskrift om betalingstjenester

Prop. 110 L. ( ) Proposisjon til Stortinget (forslag til lovvedtak) Endringer i finansforetaksloven mv. (andre betalingstjenestedirektiv)

GDPR og PSD2 - særlig om håndtering av samtykke. Rolf Riisnæs Advokat dr. juris BITS seminar PSD2 11. oktober 2017

PSD 2 hva er status? Jan Digranes, Finans Norge.

EUs reviderte betalingstjenestedirektiv PSD2

FORSLAG TIL FORSKRIFT OM BETALINGSTJENESTER HØRINGSUTTALELSE FRA KLARNA BANK AB

PSD II Utviklingen det siste året

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Kampanje Event EU GDPR Advokat Rune Opdahl

Høring Forslag til Europaparlaments- og rådsdirektiv om kredittavtaler i forbindelse med fast eiendom til boligformål (COM (2011) 142 final)

1 GRUNNLEGGENDE OM GDPR OG PERSONVERN 2 DATAOVERSIKTER 3 GJENNOMSIKTIGHET 4 SAMTYKKER 5 DATAUTVEKSLING 6 ENKELTE ANDRE SENTRALE REGLER 7 HVORDAN

Skjema. Dokumentasjon av ansvarsforsikring eller garanti for betalingsfullmakttjenester eller kontoinformasjonstjenester

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Personvern og elektronisk billettering. advokat Eva I. E. Jarbekk

Spørsmål om rekkevidden av unntaket fra rapporteringsplikt for advokater

Tjenestedirektivet og. «sosial dumping»

Personvernreglenes betydning for stordata, analyse, AI, agreggerte data, etc

Deres referanse Vår referanse Dato 15/ /JSK

EUs kommende (?) personvernforordning:

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

HØRINGSSVAR EU -KOMMISJONENS FORSLAG TIL NYE PERSONVERNREGLER

Deres referanse Vår referanse Dato 17/ / /CDG

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

12/ / /JSK 7.

Hva innebærer PSD2 for bankene?

Nåværende EU-rett Dir 96/3/EC

Vår referanse (bes oppgitt ved svar)

Stordata og offentlige tjenester personvernutfordringer?

Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder

Kontraktsmessige følger av at personopplysninger skal inngå i prosjektet ny personvernforordning. 6. Mars 2018 NARMA Av Åshild M.

GDPR og test. Advokat Eva Jarbekk

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

PSD 2 i et bankperspektiv

Vår referanse (bes oppgitt ved svar)

DET KONGELIGE FORNYINGS- OG ADMINISTRASJONSDEPARTEMENT. Deres referanse Vår referanse Dato 2009/00371 ME/ME3 CLH:elt dAKH

PSD 2 i et bankperspektiv

Advokatlovutvalgets utredning NOU 2015: 3 Advokaten i samfunnet - Finansdepartementets høringsuttalelse

Forskrift om betalingstjenester gjennomføring av EØS-regler om forretningsbaserte fullmakttjenester

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Lee A. Bygrave, Senter for rettsinformatikk Person(opplsynings)vernforordningens bestemmelser om innebygget person(opplysnings)vern

Big Data, kommersialisering og eierskap til informasjon

EUs forordning om personopplysningsvern: En oversikt

Revisjon av EUs personverndirektiv - hva innebærer forslagene?

Deres referanse Vår referanse Dato 19/ / /SLI

Vår referanse (bes oppgitt ved svar)

GDPR. Advokat Kari Gimmingsrud

Når Big Data blir Big Business. Foredrag ved Standard Morgen 11.Desember 2017 Arne Dulsrud Forskningssjef SIFO

Klage på Lotteritilsynets vedtak med pålegg om å avvise betalingstransaksjoner av innskudd og gevinst til og fra utenlandske pengespill på nett

GDPR og samtykke. DSOP, 29. august 2017

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

Finansdepartementet 10. april Høringsnotat

16/ /KEK Høring - NOU 2016: 24 Ny straffeprosesslov - Justis- og politidepartementet

EUs personvernforordning og norsk personopplysningsrett

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

EUs personvernforordning (GDPR)

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Et treårig Interreg-prosjekt som skal bidra til økt bruk av fornybare drivstoff til persontransporten. greendriveregion.com

Personvern i norske bedrifter: Hva er status og hva er utfordringene som kommer

Forslag til ny lov om behandling av personopplysninger

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

EUs personvernforordning- Betydningen av den registrertes samtykke

Høring - NOU 2018:1 Markeder for finansielle instrumenter - gjennomføring av utfyllende rettsakter til MiFID II og MiFIR

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Vår referanse (bes oppgitt ved svar)

Verdipapirfondenes forening. Ny personvernforordningen GDPR

Nærings- og fiskeridepartementet Postboks 8090 Dep 0033 OSLO

Innføring av det reviderte betalingstjenestedirektivet (PSD 2) i norsk rett

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

Finans Norges bransjenormer. PwC 1

Roller og ansvar. Hva er behandlingsansvarlig og hva er en databehandler? Thea Rølsåsen, faglig prosjektleder

Barns personvern spesielt samtykke til behandling av personopplysninger

PAYMENT SERVICES DIRECTIVE # 2 MIF-REGULATION BANK ACCOUNT PACKAGE. Betalingsformidlingskonferanse Kjell-Arild Rein

STILLAS - STANDARD FORSLAG FRA SEF TIL NY STILLAS - STANDARD

Utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet - høringsuttalelse

Forslag til forskrift om betalingstjenester høringssvar

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Varsel om vedtak om overtredelsesgebyr - Informasjonsvideoen Trygghet i hverdagen

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Lee A. Bygrave, Senter for rettsinformatikk EUs forordning om personopplysningsvern: Historikk, kontekst og hovedtrekk

Vanlige spørsmål om GDPR og helseforskning

ADDENDUM SHAREHOLDERS AGREEMENT. by and between. Aker ASA ( Aker ) and. Investor Investments Holding AB ( Investor ) and. SAAB AB (publ.

Direktoratet for e-helse: Høringssvar på forskrift om befolkningsbaserte helseundersøkelser

lntegrerings- og mangfoldsdirektoratet

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Rammeverk og metode for aktsomhetsvurdering m.h.t. menneskerettigheter, miljø og korrupsjon hva innebærer det for oppdragsgivere og leverandører?

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Deres ref. Sak nr: 09/ Saksbehandler: Frode Arnesen Dir.tlf:

Fullmakt. Fornavn Etternavn. Statsborgerskap Fødselsdato. DUF Sted/Dato. Signatur søker Signatur verge (hvis søkeren er under 18 år)

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Transkript:

JUSTIS- OG BEREDSKAPSDEPARTEMENTET Postboks 8005 Dep. 0030 OSLO Deres referanse Vår referanse Dato 17/4746 17/01455-2/AHO 12.12.2017 Høringsuttalelse - Ny finansavtalelov Vi viser til høring av forslag til ny finansavtalelov. Bakgrunnen for forslaget er blant annet gjennomføring av EUs reviderte betalingstjenestedirektiv gjerne kalt PSD 2. Deler av gjennomføringen av PSD 2 har vært på høringen fra Finansdepartementets side 1. Vi synes det er beklagelig at gjennomføringen av PSD 2 ikke har vært på samlet høring, slik at man lettere kan se den regulatoriske helheten. Vi merker oss blant annet at de to høringene tilsynelatende legger forskjellig innhold i viktige begreper, noe som er egnet til forvirring 2. I tilknytning til nærværende forslag vil vi si følgende: 1. Om betalingsfullmektig og opplysningsfullmektig På høringsnotatet punkt 4.5.1 foreslår departementet at tilbyder av betalingsiverksettingstjeneste (selve tjenesten kalles i PSD 2 for «payment initiation service» 3 ) skal kalles betalingsfullmektig. Likeledes foreslås det at tilbyder av kontoopplysningstjeneste (i PSD 2 kalles tjenesten for «account information service») skal kalles for opplysningsfullmektig. Videre fremgår det at disse begrepene brukes med et annet meningsinnhold enn i høringen fra Finansdepartementet. Dette er etter vårt syn uheldig og det er vanskelig å se hvorfor man legger forskjellig innhold i begrepet. Problemet synes å ligge i at Finanstilsynet avgrenser begrepene til å gjelde aktører som utelukkende leverer henholdsvis betalingsinitieringstjeneste og kontoopplysningstjeneste noe som etter vårt syn ikke samsvarer med PSD 2. 1 Høring av utkast til regler tilsvarende EUs reviderte betalingstjenestedirektiv ref. 13/03541 FMA IHE Høringsnotatet var utarbeidet av Finanstilsynet. 2 Vi kommer tilbake til det nedenfor. 3 Vi mener «betalingsinitieringstjeneste» er en bedre oversettelse. Så langt vi forstår er selve kjernen i denne tjenesten i initiere betaling ved å inngi betalingsordre til kontotilbyderen (banken). Iverksettingen og gjennomføringen av betalingsordren er det banken som står for. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Vi kan her vise til vår høringsuttalelse til Finansdepartementet 4 hvor vi blant annet skrev: I notatet foreslås det at betalingsinitieringstjenester, slik dette er definert i PSD 2 art. 4.15, skal kalles avtale om betalingsfullmakt. Videre foreslås det at en som tilbyr en slikt tjeneste «payment initiation service provider» (PISP), jf. PSD 2 art. 4.18 skal kalles betalingsfullmektig. Finanstilsynet skriver at «tillatelse som betalingsfullmektig gir kun adgang til å yte avtaler om betalingsfullmakt, jf. definisjonen i PSD artikkel 4.18». Videre er det beskrevet at «En betalingsfullmektig kan kun yte betalingstjeneste som definert i direktivets vedlegg punkt 7 (avtale om betalingsfullmakt)». Ut fra vår forståelse av PSD 2 kan det virke som begrepsbruken her er noe misvisende og er egnet til forvirring. For det første synes vi ikke omskrivingen av betalingsinitieringstjeneste til avtale om betalingsfullmakt, er særlig god. Man synes ikke vinne noe på det, og språklig sett er vel ikke «avtale om ( )fullmakt» helt treffende siden en fullmakt i bunn og grunn er en avtale om at en part kan representere en annen utad. Vi mener man bør bruke begrepet betalingsinitieringstjeneste. For det andre synes det ikke være riktig å si at en betalingsfullmektig er en som kun yter avtale om betalingsfullmakt/betalingsinitieringstjeneste. PSD 2 art. 4.18 definerer «payment initiation service provider» (PISP) som «a payment service provider pursuing business activities as referred to in point (7) of Annex I». Det er ikke noe krav om at man kun driver med betalingsinitieringstjeneste for å bli ansett som PISP. Slik vi forstår det er poenget at enhver «payment service provider» (betalingstjenestetilbyder) som tilbyr en slik tjeneste vil være en PISP, også der foretaket tilbyr andre betalingstjenester. En «payment service provider» er definert i art. 4.11, og omfatter alle foretakene/organene nevnt i art. 1 (1) og fysiske og juridiske personer omfattet av unntakene i art. 32 og art. 33 (disse unntakene gjelder ikke for denne tjenesten). For eksempel vil en kredittinstitusjon måtte anses som PISP dersom foretaket tilbyr en betalingsinitieringstjeneste, med de plikter og rettigheter som da følger med i relasjon til denne tjenesten. Dersom betalingsinitieringstjenesten skal tilbys av noen i kraft av å være et betalingsforetak (payment institution), må man få konsesjon etter art. 11. Etter art. 5.1 (a) skal søknaden beskrive hvilke typer betalingstjenester foretaket skal drive med. Dersom foretaket skal tilby betalingsinitieringstjeneste sammen med andre betalingstjenester, vil konsesjonen omfatte de omsøkte tjenestene (med mindre det er grunn til å bare gi konsesjon for visse tjenester), og etter art. 14 skal det registreres i et offentlig tilgjengelig register hvilke tjenester betalingsforetaket har tillatelse til å tilby. Dersom foretaket kun vil tilby betalingsinitieringstjeneste må man fremdeles søke om tillatelse til å opptre som betalingsforetak, men det lempes noe på enkelte krav. I en slik situasjon vil betalingsforetaket være en ren PISP fordi man bare tilbyr den formen for betalingstjeneste som er betalingsinitieringstjeneste. 4 Vår sak nr. 17/00571 2

Tilsvarende synspunkter gjør seg gjeldende i relasjon til opplysningsfullmektiger: I høringsnotatet foreslås det at kontoopplysningstjeneste, jf. art. 4.16, skal kalles avtale om opplysningsfullmakt. Vi synes ikke det er noe godt begrep og mener man bør beholde kontoopplysningstjeneste som begrep ettersom dette beskriver kjernen i tjenesten mer treffende. En som tilbyr en slik tjeneste «account information service provider» (AISP), jf. art. 4.19 forslås kalt opplysningsfullmektig. I notatet legges det til grunn at «tillatelse som opplysningsfullmektig gir kun adgang til å yte avtaler om opplysningsfullmakt, jf. definisjonen i PSD art. 4.19». Og videre at «opplysningsfullmektiger kan kun yte betalingstjenester som definert i direktivets vedlegg punkt 8 (avtale om opplysningsfullmakt)». Som for betalingsfullmektig over, følger det imidlertid ikke av definisjonen i PSD 2 art. 4.19 at en «account information service provider» (AISP) er et foretak som kun leverer kontoinformasjonstjeneste. Enhver «payment service provider» (betalingstjenestetilbyder), jf. art. 4.11, kan i utgangspunktet tilby slik tjeneste. Det følger imidlertid av art. 33 at dersom man kun skal tilby en slik tjeneste, og ikke andre betalingstjenester, er det en del regler som ikke skal gjelde. Etter art. 33.2 skal imidlertid den som kun tilbyr kontoinformasjonstjeneste behandles som et betalingsforetak. Basert på dette mener vi det ikke er riktig å si at en opplysningsfullmektig (AISP) er en som kun tilbyr kontoinformasjonstjeneste. Etter vårt syn er det vanskelig å forstå at man kan legge forskjellig forståelse av sentrale begreper til grunn avhengig av om man er i den privatrettslige eller offentligrettslige reguleringen. Vi mener derfor man må koordinere begrepsbruken her. 2. Behandling av personopplysninger Det å yte betalingstjenester vil, naturlig nok, medføre behandling av personopplysninger. Med de nye tredjepartstjenestene (betalings- og opplysningsfullmektig) vil det bli flere aktører som behandler personopplysninger. Til tross for dette har verken Finanstilsynet i tidligere høring eller departementet i nærværende høring gått noe inn på forholdet til behandling av personopplysninger. Dette mener vi er nødvendig fordi PSD 2 er ikke ferdig harmonisert med reglene for behandlingen av personopplysninger. Tvert imot synes det å oppstå spørsmål knyttet til personvernforordningen, som også er i ferd med å tas inn i norsk rett, som man må ha et bevisst forhold til. I denne sammenheng vil vi peke enkelte forhold: PSD 2 forutsetter at all behandling av personopplysninger skjer i overenstemmelse med personverndirektivet (direktiv 95/46/EF) og de nasjonale regler som gjennomfører direktivet. 3

Det følger av fortalen punkt 90 at: «This Directive respects the fundamental rights ( ) including ( ) the right to data protection ( ). This Directive must be implemented in accordance with those rights and principles.» Når det gjelder retten til personopplysningsvern og etterlevelse av de regler og prinsipper som er knesatt i direktiv 95/46/EF for å gi slikt vern, fremholder fortalen punkt 91: «In particular, where personal data is processed for the purposes of this Directive, the precise purpose should be specified, the relevant legal basis referred to, the relevant security requirements laid down in Directive 95/46/EC complied with, and the principles of necessity, proportionality, purpose limitation and proportionate data retention period respected. Also, data protection by design and data protection by default should be embedded in all data processing systems developed and used within the framwork of this Directive.» I PSD 2 art 94.1 er det uttrykkelig fastsatt at enhver behandling av personopplysninger skal skje i samsvar med personverndirektivet og de nasjonale lovbestemmelser som gjennomfører direktivet. Opprinnelig foreslo Kommisjonen en bestemmelse i art. 84 som bare sa at «Any processing of personal data for the purposes of this Directive shall be carried out in accordance with Directive 95/46/EC ( ).» The European Data Protection Supervisor (EDPS) påpekte imidlertid i sin «opinion» (høringsuttalelse) 5 at en slik henvisning til reglene for personopplysningsvern ikke i seg selv er tilstrekkelig: «However, the EDPS recalls that clarifying the applicable data protection legislation is essential but not sufficient. The reference to applicable data protection law should be specified in concrete safeguards that will apply to any situation in which personal data processing is envisaged.» EDPS forslo blant annet at: «( ) it should be clarified expressly in the proposed Directive that processing of personal data may be carried out insofar it is necessary for the performance of payment services.» I PSD 2 art. 94.2 er det mot denne bakgrunn inntatt en bestemmelse om at: 5 www.edps.europa.eu/sites/edp/files/publication/13-12-05_opinion_payments_en.pdf 4

Payment service providers shall only access, process and retain personal data necessary for the provision of their payment services, with the explicit consent of the payment service user. Art. 94.2 oppstiller uttrykkelig krav til at enhver betalingstjenestetilbyder (ikke bare såkalte betalingsfullmektiger og opplysningsfullmektiger) bare skal behandle personopplysninger som er nødvendig for å levere deres respektive betalingstjenester og det skal skje på basis av kundens uttrykkelige samtykke. Denne bestemmelsen er etter vår vurdering materiell og må gjennomføres i norsk rett. Bestemmelsen er også viktig med tanke på at tredjepartstjenestene som PSD 2 legger opp til ettersom bruk av disse tjenestene involverer minst to betalingstjenestetilbydere (tredjeparten og banken (kontotilbyder). Begge må basere sin behandling av personopplysninger på samtykke fra den registrerte, se nedenfor. PSD 2 viser gjennomgående til personverndirektivet (direktiv 95/46/EF). Dette direktivet er som kjent i ferd med å erstattes av personvernforordningen (GDPR). Referansene til direktivet må fremover i tid forstås som en referanse til GDPR, jf. GDPR art. 94.2. Forholdet mellom PSD 2 og GDPR er det ikke sagt noe særlig om i verken PSD 2 eller GDPR. Man kan få det inntrykket at dette er regler som skal virke side om side. Dette fører med seg enkelte vesentlige problemstillinger, som blant annet diskuteres i bransjen 6. En problemstilling som oppstår er forholdet mellom PSD 2 og GDPR når det kommer til samtykke. Begge regelsettene bygger i det vesentlige på samme grunntanke nemlig at kundens (den registrertes) selvbestemmelsesrett står i sentrum. PSD 2 har klare forgreininger til GDPRs regler om dataportabilitet og at kunden gjennom å gi sitt samtykke får anledning til i større grad å bestemme hvordan, og av hvem, hans eller hennes data skal behandles. Det er imidlertid ikke klart hvem som er ansvarlig for å innhente samtykke i relasjon til tredjepartstjenestene. Tredjeparten, banken (kontotilbyderen) eller begge? Sett fra et GDPR ståsted vil både banken og tredjeparten hver for seg være behandlingsansvarlige, og begge vil behandle personopplysninger på basis av kundens samtykke. Også PSD 2 art. 94.2 krever samtykke. Etter GDPR art. 7 vil hver behandlingsansvarlig være ansvarlig for at man har nødvendig samtykke. For eksempel når det kommer til kontoopplysningstjenester, hvor banken skal utlevere personopplysninger til en tredjepart, så må banken være sikker på at kunden har samtykket til dette, herunder hvilke opplysninger kunden vil at skal utleveres. Dersom banken ikke har kontroll på kundens samtykke og hva kunden har samtykket til, vil dette fort kunne bli vurdert som mangelfull etterlevelse av GDPR, med de konsekvenser det kan få. Når departementet i høringsnotatet side 4.5.3 legger til grunn at det er tilstrekkelig med samtykke overfor tredjeparten, mener vi dette er tvilsomt og det bør utredes nærmere i lys av 6 Se for eksempel «PSD2 and GDPR friends or foes?» - blogs.deloitte.co.uk/financialservices/2017/08/psd2- and-gdpr-friends-or-foes.html 5

reglene for behandling av personopplysninger. Etter vår vurdering er det ikke tilstrekkelig å bare se på reglene i PSD 2, man må se dette i sammenheng. Vi mener derfor at departementet bør vurdere behandling av personopplysninger nærmere ved gjennomføringen av PSD 2 i norsk rett. Med vennlig hilsen Bjørn Erik Thon direktør Andreas Hobæk seniorrådgiver Kopi: Kommunal- og moderniseringsdepartementet v/statsforvaltningsavdelingen Postboks 8112 Dep, 0032 OSLO 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding