Opinia Europejskiego Inspektora Ochrony Danych w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego wymogi techniczne dla poleceń przelewu w euro i poleceń zapłaty w euro oraz zmieniającego rozporządzenie (WE) nr 924/2009(2011/C 284/01)
(Dz.U.UE C z dnia 28 września 2011 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 7 i 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając wniosek o wydanie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2),
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
1. WPROWADZENIE
1. Dnia 16 grudnia 2010 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady ustanawiającego wymogi techniczne dla poleceń przelewu w euro i poleceń zapłaty w euro oraz zmieniającego rozporządzenie (WE) nr 924/2009 (dalej "wniosek").
1.1. Konsultacja z EIOD
2. Dnia 3 stycznia 2011 r. Komisja wysłała wniosek do EIOD. EIOD traktuje przekazanie tego wniosku jako prośbę o udzielenie porady instytucjom i organom wspólnotowym, zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (dalej "rozporządzenie (WE) nr 45/2001"). Uprzednio(3), przed przyjęciem wniosku Komisja zapewniła EIOD możliwość przedstawienia nieformalnych komentarzy. EIOD z zadowoleniem odnosi się do otwartości procesu, która ułatwiła poprawienie tekstu z punktu widzenia ochrony danych na wczesnym etapie. We wniosku uwzględniono niektóre z tych komentarzy. EIOD przyjąłby z zadowoleniem wyraźne odniesienie do niniejszych konsultacji w preambule wniosku.
1.2. SEPA i ramy prawne
3. Od czasu ustanowienia Europejskiej Wspólnoty Gospodarczej czynione są postępy na drodze ku bardziej zintegrowanemu europejskiemu rynkowi finansowemu. Najważniejszymi krokami poczynionymi w obszarze płatności było wprowadzenie euro jako wspólnej waluty w 1999 r. oraz wprowadzenie do obrotu banknotów i monet euro w 2002 r.
4. Jednak jak dotąd w poszczególnych krajach UE niewielkie płatności niegotówkowe w euro (do 50 tys. EUR) są traktowane i przetwarzane na wiele różnych sposobów. W rezultacie opłaty za płatności transgraniczne w UE są przeciętnie wyższe w porównaniu z opłatami za płatności krajowe. Europejskie rozporządzenie w sprawie płatności transgranicznych dokonywanych w euro (rozporządzenie (WE) nr 2560/2001) stanowiło m.in., że opłaty z tytułu dokonywanych w UE transgranicznych płatności w euro nie mogą być już wyższe niż w przypadku analogicznych płatności krajowych w euro. W reakcji na wspomniane rozporządzenie w 2002 r. europejski sektor bankowy utworzył Europejską Radę ds. Płatności ("EPC"), stanowiącą organ koordynujący i decyzyjny w zakresie kwestii związanych z płatnościami, oraz wprowadził w życie projekt jednolitego obszaru płatności w euro ("SEPA"). W 2009 r. rozporządzenie (WE) nr 924/2009 zastąpiło rozporządzenie (WE) nr 2560/2001 i objęło zasadą równych opłat płatności na podstawie polecenia zapłaty, których można dokonywać na poziomie transgranicznym od listopada 2009 r.
5. Ponadto dyrektywa 2007/64/WE ("dyrektywa w sprawie usług płatniczych") zmierza do harmonizacji ustawodawstw krajowych dotyczących płatności w Unii Europejskiej. Celem jest ustanowienie zestandaryzowanych warunków i praw dotyczących usług płatniczych oraz spowodowanie, aby dokonywanie płatności transgranicznych stało się tak samo łatwe, efektywne i bezpieczne, jak dokonywanie płatności "krajowych" w państwie członkowskim. Dyrektywa w sprawie usług płatniczych ma także na celu poprawę konkurencji poprzez otwarcie rynków usług płatniczych dla nowych podmiotów.
6. SEPA ma na celu ustanowienie jednolitego rynku dla płatności detalicznych w euro poprzez przezwyciężenie barier technicznych, prawnych i rynkowych, pochodzących z okresu przed wprowadzeniem wspólnej waluty. Po pełnym wdrożeniu SEPA nie będzie różnicy między krajowymi a transgranicznymi płatnościami dokonywanymi w euro: wszystkie będą mieć charakter krajowy. SEPA obejmuje nie tylko strefę euro, ale też całość Unii Europejskiej (UE), a także Islandię, Liechtenstein, Monako, Norwegię i Szwajcarię. To oznacza, że państwa spoza strefy euro mogą przyjąć praktyki i normy SEPA w odniesieniu do płatności w euro dokonywanych na ich terytorium.
7. Przedmiotowy wniosek dotyczy poleceń przelewu i poleceń zapłaty. Polecenie przelewu to transakcja płatnicza inicjowana przez płatnika, który składa w swoim banku dyspozycję. Na jej podstawie bank przekazuje środki do banku odbiorcy. Taka transakcja może obejmować kilku pośredników. W przypadku poleceń zapłaty płatnik z wyprzedzeniem zezwala odbiorcy na pobranie środków ze swojego rachunku bankowego. "Upoważnia" zatem swój bank do przekazania środków na rachunek odbiorcy. Polecenia zapłaty często służą do regulowania powtarzających się opłat, takich jak rachunki za media, można je jednak również wykorzystywać do płatności jednorazowych. W takim przypadku płatnik zezwala na pojedynczą płatność.
1.3. SEPA i zasady ochrony danych w UE
8. Wprowadzenie i rozwój SEPA obejmują wiele operacji przetwarzania danych: sprawne funkcjonowanie systemu płatności wymaga bezpośredniej wymiany nazw/nazwisk,
numerów rachunków bankowych oraz treści umów między płatnikami a odbiorcami, a także ich pośredniej wymiany poprzez odnośnych dostawców usług płatniczych. W związku z tym wniosek zawiera również artykuł dotyczący "interoperacyjności", przewidujący wprowadzenie standardowych zasad dotyczących transakcji krajowych i transgranicznych oraz wyraźnie stanowiący, że żadne bariery techniczne nie mogą utrudniać przetwarzania poleceń przelewu i poleceń zapłaty. Różne podmioty gospodarcze prowadzące działalność objętą wnioskiem podlegają różnorodnym przepisom krajowym wdrażającym dyrektywę 95/46/WE.
9. EIOD podkreśla, że w związku z wymianą i przetwarzaniem danych osobowych dotyczących płatników i odbiorców, w której uczestniczą różni dostawcy usług płatniczych, należy zapewnić poszanowanie zasad konieczności, proporcjonalności i celowości. Przy przekazywaniu danych poprzez różnych pośredników konieczne jest także poszanowanie zasad poufności i bezpieczeństwa przetwarzania danych, zgodnie z art. 16 i 17 dyrektywy 95/46/WE.
10. Wniosek określa również nową rolę właściwych organów krajowych, polegającą na skutecznym nadzorowaniu przestrzegania przedmiotowego rozporządzenia oraz na podejmowaniu działań koniecznych do zapewnienia takiego przestrzegania. Ta rola ma fundamentalne znaczenie dla zagwarantowania skutecznego wdrożenia SEPA, może jednak wiązać się również z szerokimi uprawnieniami w zakresie dalszego przetwarzania danych osobowych osób fizycznych przez władze. Także w tej dziedzinie w związku z dostępem właściwych organów krajowych do danych osobowych konieczne jest poszanowanie zasad konieczności, proporcjonalności i celowości.
11. Chociaż wniosek nie uwzględnia zbyt szczegółowych przepisów dotyczących przestrzegania zasad ochrony danych, które jest gwarantowane zastosowaniem w stosunku do dowolnej operacji przetwarzania danych przepisów krajowych wdrażających dyrektywę 95/46/WE, EIOD sugeruje jednak wprowadzenie pewnych zmian w tekście w celu doprecyzowania tej kwestii.
2. UWAGI SZCZEGÓŁOWE
2.1. Motyw 26
12. EIOD z zadowoleniem przyjmuje odniesienie do dyrektywy 95/46/WE w motywie 26 wniosku. W celu odzwierciedlenia faktu, że właściwymi dokumentami odniesienia są różne przepisy krajowe wdrażające wspomnianą dyrektywę oraz podkreślenia, że wszelkie operacje przetwarzania danych należy przeprowadzać zgodnie z przepisami wdrażającymi, brzmienie motywu można zmodyfikować w następujący sposób: "Wszelkie przetwarzanie danych osobowych na mocy niniejszego rozporządzenia odbywa się zgodnie z właściwymi przepisami krajowymi wdrażającymi dyrektywę 95/46/WE".
2.2. Artykuły 6, 8, 9 i 10: uprawnienia właściwych organów krajowych
13. Artykuł 6 wniosku wprowadza zakaz nakładania wielostronnych opłat interchange(4) za transakcję polecenia zapłaty bądź innych opłat o analogicznym celu lub skutku. Pod warunkiem spełnienia kilku warunków wielostronne opłaty interchange mogą być natomiast nakładane w przypadku realizowanych przez dostawców usług płatniczych transakcji polecenia zapłaty, które nie mogą zostać należycie wykonane przez dostawcę usług płatniczych (zlecenia odrzucone, odmowa wykonania zlecenia, zlecenia odesłane lub odwrócone - tzw. "transakcje R").
14. Artykuł 8 wniosku nakłada obowiązki na płatnika stosującego polecenie przelewu i na odbiorcę stosującego polecenie zapłaty. Płatnik nie może odmówić wykonania polecenia przelewu na rachunki płatnicze za pośrednictwem dostawców usług płatniczych zlokalizowanych w innym państwie członkowskim i mających zdolność odbiorczą(5) zgodnie z wymogiem zawartym w art. 3. Odbiorca otrzymujący środki na swój rachunek płatniczy z innych rachunków płatniczych za pośrednictwem dostawców usług płatniczych zlokalizowanych w tym samym państwie członkowskim nie może odmówić odbioru polecenia zapłaty z rachunków płatniczych za pośrednictwem dostawców usług płatniczych zlokalizowanych w innym państwie członkowskim.
15. Artykuł 9 wymaga od państw członkowskich wyznaczenia właściwych organów odpowiedzialnych za zapewnienie przestrzegania rozporządzenia. Takie organy mają posiadać wszystkie uprawnienia niezbędne do wykonywania swoich obowiązków oraz monitorować zgodność i podejmować wszelkie niezbędne środki w celu zapewnienia takiej zgodności. Ponadto art. 9 ust. 3 stanowi, że jeżeli w państwie członkowskim kwestie regulowane przepisami rozporządzenia wchodzą w zakres kompetencji więcej niż jednego właściwego organu, państwo członkowskie powinno zapewnić ścisłą współpracę między tymi organami w sposób umożliwiający im skuteczne wywiązywanie się z nałożonych na nie obowiązków. Artykuł 10 nakłada na państwa członkowskie obowiązek ustanowienia przepisów dotyczących sankcji stosowanych w przypadku naruszenia rozporządzenia, a także zapewnienia wdrożenia takich sankcji. Sankcje powinny być skuteczne, proporcjonalne i odstraszające.
16. Na podstawie wspomnianych artykułów organy krajowe będą uprawnione do monitorowania ewentualnych naruszeń wszystkich obowiązków określonych we wniosku, a także do stosowania sankcji, w tym sankcji związanych z obowiązkami określonymi w art. 6 i 8. Takie uprawnienia potencjalnie mogą mieć duży wpływ na prywatność osób fizycznych z perspektywy ochrony danych: władze mogą mieć uogólniony dostęp do informacji o każdej transakcji (czy to w drodze polecenia przelewu, czy to polecenia zapłaty) przekazania funduszy między osobami fizycznymi w celu sprawdzenia, czy nie są naliczane bezprawnie wielostronne opłaty interchange lub czy jakakolwiek odmowa nie zostaje odrzucona, co stanowi naruszenie obowiązków wynikających z art. 6 i 8. Takie uprawnienia obejmują przetwarzanie danych osobowych (nazwisk odnośnych osób, numerów ich rachunków bankowych oraz kwot otrzymywanych bądź przekazywanych środków).
17. Wszelkie tego typu przetwarzanie danych osobowych powinno być wprawdzie zgodne z przepisami krajowymi wdrażającymi dyrektywę 95/46/WE, EIOD pragnie podkreślić jednak, że obowiązek monitorowania powinien już we wniosku być poddany ocenie w świetle zasad proporcjonalności i konieczności, o których mowa w dyrektywie 95/46/WE (art. 6 ust. 1 lit. c)). Pod tym względem, biorąc pod uwagę w szczególności art. 6 i 8, zdaniem EIOD bardziej proporcjonalne byłoby wprowadzenie systemu, w ramach którego właściwe organy przetwarzałyby dane osobowe tylko w poszczególnych przypadkach. To oznaczałoby, że do interwencji organu, a co za tym idzie, do przetwarzania danych osobowych określonego płatnika i/lub odbiorcy, dochodziłoby głównie w sytuacjach, kiedy istnieje określony powód, np. w przypadku skargi z tytułu naruszenia art. 6 lub 8 złożonej przez płatnika lub odbiorcę bądź w kontekście ukierunkowanego zapytania z własnej inicjatywy, potencjalnie na podstawie informacji przekazanych przez stronę trzecią.
18. Skuteczność kontroli zgodności można zagwarantować wprowadzając mechanizm umożliwiający skarżącemu złożenie skargi lub stronie trzeciej przekazanie informacji i szybkie uzyskanie reakcji organu, np. wydania w stosunku do innej strony nakazu zastosowania się do obowiązków wynikających z art. 6 i 8. W rzeczywistości w art. 11 wniosku wprowadza się przepisy dotyczące odpowiednich i skutecznych pozasądowych procedur wnoszenia skarg i procedur rozjemczych, regulujące rozstrzyganie sporów między użytkownikami usług płatniczych a dostawcami takich usług (w ich zakres wchodzą też przypadki związane z art. 6). W celu zachęcania do przestrzegania obowiązków wynikających z art. 8 bez wprowadzania szerokiego uogólnionego dostępu organów krajowych do danych osobowych EIOD sugeruje, aby przepisy art. 11 obejmowały również spory między płatnikami i odbiorcami.
19. EIOD zauważa także, że działalność w zakresie monitorowania może obejmować przekazywanie danych osobowych między właściwymi organami krajowymi różnych państw członkowskich w kontekście "ścisłej współpracy", o której mowa w art. 9 ust. 3. Biorąc pod uwagę szerokie uprawnienia przyznane organom krajowym do celów monitorowania zgodności z rozporządzeniem (a nawet w przypadku wprowadzenia ograniczeń w związku z art. 6 i 8, wspomnianych powyżej), EIOD sugeruje, aby w tekście wyraźnie zaznaczono, że wszelkie przekazywanie danych osobowych między takimi organami musi być zgodne z odnośnymi zasadami ochrony danych. W szczególności takich danych nie należy przekazywać masowo, lecz jedynie w odniesieniu do poszczególnych przypadków, w których istnieje już podejrzenie prima facie możliwego naruszenia rozporządzenia. Dlatego też do art. 9 ust. 3 można dodać następujące zdanie: "Przekazywanie danych osobowych między właściwymi organami w kontekście takiej ścisłej współpracy odbywa się wyłącznie w poszczególnych przypadkach, kiedy istnieje zasadne podejrzenie, że doszło do naruszenia rozporządzenia, a także z poszanowaniem zasad konieczności, proporcjonalności i celowości".
2.3. Załącznik
20. W załączniku do wniosku ustanawia się wymogi techniczne, których należy przestrzegać w odniesieniu do zleceń przelewu i zleceń zapłaty zgodnych z art. 5 wniosku. Celem wprowadzenia tych wymogów jest zapewnienie zharmonizowanych formatów identyfikacji i komunikacji, gwarantujących interoperacyjność transakcji polecenia przelewu i polecenia zapłaty między państwami członkowskimi.
21. W tym kontekście przetwarzanie danych osobowych przez pośredników (dostawców usług płatniczych) ma miejsce w różnych okolicznościach(6):
a) Artykuł 2 litera b): w przypadku poleceń przelewu dane udostępniane przez płatnika swojemu dostawcy usług płatniczych i przekazywane dalej przez cały łańcuch płatności do odbiorcy to: nazwa/nazwisko płatnika i/lub numer IBAN rachunku płatnika, kwota przelewu, nazwa/nazwisko i numer IBAN odbiorcy oraz, ewentualnie, informacje dotyczące przekazu;
b) Artykuł 3 litera b): w przypadku polecenia zapłaty dane udostępniane przez odbiorcę swojemu dostawcy usług płatniczych, a następnie przekazywane przez tego drugiego do dostawcy usług płatniczych płatnika w związku z każdą transakcją to informacje dotyczące upoważnienia (7);
c) Artykuł 3 litera g): w przypadku poleceń zapłaty dane udostępniane przez odbiorcę swojemu dostawcy usług płatniczych i przekazywane dalej przez cały łańcuch płatności do płatnika to: nazwa/nazwisko odbiorcy i numer IBAN jego rachunku, nazwa/nazwisko płatnika i numer jego rachunku.
22. Chociaż wszelkie przetwarzanie danych osobowych musi odbywać się z poszanowaniem krajowych przepisów wdrażających dyrektywę 95/46/WE, w projekcie wspomina się tylko, że transfery związane z sytuacją określoną w lit. a) powyżej mają miejsce "zgodnie z obowiązkami określonymi w przepisach krajowych wdrażających dyrektywę 95/46/WE". W celu uniknięcia jakichkolwiek błędnych interpretacji EIOD sugeruje zamieszczenie takiego odniesienia do dyrektywy także w odniesieniu do art. 3 lit. b) i art. 3 lit. g). Ewentualnie, w przypadku zmiany brzmienia motywu 26 w sposób zgodny z przedstawioną powyżej sugestią, odniesienie do dyrektywy 95/46/WE można usunąć z art. 2 lit. b).
3. WNIOSEK
23. EIOD z zadowoleniem przyjmuje wyraźne odniesienie do dyrektywy 95/46/WE we wniosku. Sugeruje jednak kilka drobnych zmian w tekście, mających na celu doprecyzowanie zastosowania zasad ochrony danych do operacji przetwarzania objętych wnioskiem. W szczególności:
– motyw 26 powinien odzwierciedlać fakt, że właściwymi dokumentami odniesienia są przepisy krajowe wdrażające dyrektywę 95/46/WE oraz podkreślać, że wszelkie operacje przetwarzania danych muszą się odbywać zgodnie z takimi przepisami wdrażającymi,
– uprawnienia właściwych organów krajowych w zakresie monitorowania, odnoszące się do obowiązków określonych w art. 6 i 8, powinny być ograniczone i mieć zastosowanie tylko w poszczególnych przypadkach, kiedy istnieje zasadne podejrzenie, że doszło do naruszenia rozporządzenia, natomiast w celu zachęcania do wywiązywania się z obowiązków określonych w art. 8 mechanizm rozjemczy odnoszący się do sporów pozasądowych, o którym mowa w art. 11, powinien objąć dodatkowo spory między płatnikiem a odbiorcą,
– należy zharmonizować odniesienia do dyrektywy 95/46/WE w załączniku w celu uniknięcia jakichkolwiek błędnych interpretacji.
Sporządzono w Brukseli dnia 23 czerwca 2011 r.
|
Giovanni BUTTARELLI |
|
Zastępca Europejskiego Inspektora Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, s. 31 (dalej "dyrektywa 95/46/WE").
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) We wrześniu 2010 r.
(4) Wielostronna opłata interchange jest to kwota uiszczana przez dostawcę usług płatniczych odbiorcy na rzecz dostawcy usług płatniczych płatnika w kontekście polecenia zapłaty.
(5) Wymóg ten ma na celu zagwarantowanie, aby każdy dostawca usług płatniczych mający zdolność odbiorczą w odniesieniu do transakcji polecenia przelewu lub polecenia zapłaty na poziomie krajowym miał również zdolność odbiorczą w odniesieniu do transakcji inicjowanych poprzez dostawców usług płatniczych zlokalizowanych w dowolnym innym państwie członkowskim (art. 3 wniosku).
(6) Nazwa/nazwisko oraz numer IBAN są przekazywane bezpośrednio od odbiorcy do płatnika w przypadku polecenia przelewu oraz od płatnika do odbiorcy w przypadku polecenia zapłaty. W obu przypadkach legalność przetwarzania wynika z faktu, że to osoba, której dane dotyczą dobrowolnie przekazuje swoje dane.
(7) Takie informacje mogą obejmować nazwę/nazwisko płatnika, jego adres, numer telefonu i wszelkie inne informacje związane z umową stanowiącą powód przekazania środków.