PSD2 – A digitális pénzügyi szektor szabályozási keretrendszerének már látható részei

1. PSD1 – Payment Services Directive (PSD) – 2007. december

• Hatékony pénzpiac megteremtése: egységes szabályozás minden tagországban, gyors fizetési tranzakció, kiemelt fogyasztóvédelem, ügyfelek világos információkkal történő ellátása, széles választási lehetőség a pénzügyi szolgáltatók között
• Egységes pénzügyi piac megteremtése az EU Gazdasági övezetében (European Union, Iceland, Norway and Liechtenstein): könnyű és biztonságos határon kívüli pénzügyi szolgáltatások hasonló és alacsony költségszinten az alábbiakra:
  • credit transfers
  • direct debits
  • card payments
  • mobile and online payments
• first payment services directive (PSD 1)
• Lefektette a SEPA alapjait:  single euro payments area,
• Electronic money alapjai – 2009: e-money directive (EMD)
• További információ:
  • Payment Services (europa.eu)

2. SEPA (single euro payments area) – Egységes Euró Fizetési Övezet

• Az Euró övezeten belül egységes fizetési módszerek, szabványok, eljárásmódok összessége, amelyek folyamatosan felváltják a sajátos nemzeti fizetési módokat és szabványokat.
• A fő SEPA fizetési módok és eszközök:
  • SEPA Credit Transfer (SEPA átutalás)
  • SEPA Direct Debit (SEPA beszedési megbízás)
  • SEPA Cards (SEPA kártyás fizetések)
• További információ: Payment services (europa.eu) 

3. PAD (Payment Account Directive) – 2014

• a készpénzt használók is be tudjanak kapcsolódni a digitális pénzügyekbe,
• minden tagállamban legyen egy minimális költséggel járó „alapszámla”,
• az ügyfelek könnyebben tudjanak számlát nyitni küldöldön on-line módon,
• egyszerű számlahordozás on-line módon, beföldö és külföldön egyeránt,
• összehasonlító weboldal létrehozása
• http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32014L0092

4. PSD2 – 2015. december

• payment services directive 2015/2366 (PSD2)

5. RTS: Regulatory Technical Standards – Szabályozástechnikai Sztenderdek

• meghatározza, hogy milyen Ügyfél felhatalmazás esetén tudja lekérni harmadik szolgáltató az ügyfél számlaadatait srégi bankjától
• hitelesítésre vonatkozó szabályok
• biometrikus azonosítás szabványa
• További információ: Technical Standards on the EBA Register under PSD2

6. eIDAS : 2014 – Electronic Identification and Trust Services for electronic transactions – Elektronikus azonosításról és bizalmi szolgáltatásokról szóló rendelkezés

• melynek értelmében valamennyi tagállam köteles a más tagállamokban kibocsátott minősített elektronikus aláírást elismerni AISP és PISP esetén is.
• További információ: Building online trust and confidence: the role of eIDAS and digital identity

7. GDPR, Adatvédelmi Rendelet (hatály 2018.májustól)

a szolgáltatók személyes adatok kezelésére csak a szolgáltatást igénybe vevő GDPR szerinti hozzájárulása esetén jogosultak

• fogyasztók adatait hogyan kell kezelni, tárolni
• adathordozhatóság elvei
• szigorodik az on-line viselkedési adatok gyűjtése, tárolása, felhasználhatósága,
• cookie használásának lehetősége kizárólag ügyfél átali egyértelmű elfogadása
• szigorú büntetések adatvédelmi incidensek esetén: a hatóságok 20 millió euróig – vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-áig– terjedő bírsággal büntethetik a felelősöket.
• A rendelkezés szerint az adatkezelés akkor jogszerű, ha:
  • az érintett minősített hozzájárulását adta, azaz: előzetes, önkéntes, konkrét, megfelelő tájékoztatásonalapul és egyértelmű.
  • az adatkezelő szerződéses teljesítéséhez szükséges;
  • az adatkezelést jogszabályírja elő;
  • az adatkezelés természetes személy létfontosságú érdekeinek védelmemiatt szükséges;
  • az adatkezelés közérdekű vagy közhatalmi jogosítványgyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges
• Az adatkezelőt terheli annak bizonyítása, hogy ilyen hozzájárulással rendelkezik az egyes adatok tekintetében.
• Az önkéntes adatfelhasználás engedélyezése: ennek körében vizsgálja a hatóság, hogy a vállalkozás a szerződés teljesítésének feltételéül szabta-e, hogy az ügyfél olyan személyes adatok kezeléséhez is hozzájáruljon, melyek valójában nem szükségesek a szolgáltatás nyújtásához. A hozzájárulást az egyes ügyekre vonatkozóan, más ügyektől egyértelműen megkülönböztethető módon kell kérni világos és egyszerű nyelvezettel. Azérintettet tájékoztatni kell arról, hogy (i) ki, (ii) mennyi ideig és (iii) mire fogja használni a személyes adatot.
• A hozzájárulás formai követelményével kapcsolatban a GDPR előírja, hogy annak legalább a megerősítést félreérthetetlenül kifejező cselekedetnek kell lennie. Ebbe a kategóriába tartozik az az eset is, amikor egy internetes honlapon az érintett bejelöl egy erre vonatkozó négyzetet, ugyanakkor a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.
• Az ügyfél jogosult:
  • visszavonni hozzájárulását;
  • jogosultkorlátozni a személyes adatainak kezelését;
  • joga van az adatainak törlését kezdeményezni; és
  • az adatkezelő köteles az adatok hordozhatóságát biztosítani.
• Ha utóbb meggondolja magát az érintett, bármikor jogosult visszavonni hozzájárulását, és ennek lehetőségéről az adatkezelőnek előzetesen tájékoztatnia kell az ügyfelet.
• A törléshez vagy más néven a felejtéshez való jogazt jelenti, hogy az érintett kérelmezheti, hogy az adatkezelő késedelem nélkül törölje az adatait, míg az adatkezelő a törvényi feltételek fennállása esetén köteles ezt megtenni.
• Az érintett arra is jogosult, hogy az adatkezelő rendelkezésére bocsátott összes személyes adatát megkapja géppel olvasható formátumban, és továbbítsa egy másik adatkezelőnek.

8. EBA (Európai Bankfelügyelet)  regiszter a szolgáltatókról

• A központi EBA regiszterbe a szolgáltatói adatokat a tagállami felügyeletek töltik fel. A regiszter validálja az adatokat, visszajelzést küld arról, a validáció sikeres volt-e, vagy ha nem, akkor miért utasította el a szolgáltató regisztrálását.
• A tagállami regiszterek tartalmazzák majd az adott tagállamban regisztrált (AISP) vagy engedélyt (PISP) szerző szolgáltatókról az adatokat. Amennyiben egy másik tagállamban regisztrált szolgáltató „validálása” válik szükségessé, a tagállami felügyelet a központi webes vagy API kapcsolaton kérdezheti le a szükséges információkat.

• Az adatbázis a piaci szereplők, fogyasztók számára publikus, és ingyenesen hozzáférhető lesz. ( A fogyasztók itt ellenőrizhetik a saját pénzügyi szolgáltatójukat)

Mely szolgáltatókat találjuk meg az adatbázisban?

A nem banki engedéllyel működő pénzintézeteket, pénzforgalmi szolgáltatókat, valamint a más tagállamban szolgáltatást nyújtó leány,- fiókvállalataikat, és ügynökeiket.

• Az elektronikus pénzkibocsátókat, valamint a más tagállamban szolgáltatást nyújtó leány,- fiókvállalataikat, valamint ügynökeiket.
• AISP és PISP szolgáltatókat és a más tagállamban szolgáltatást nyújtó leány,- fiókvállalataikat, valamint ügynökeiket.
• A távközlési szolgáltatókat, amelyek a telefonszámla terhére nyújtanak mobilvásárlást, vagy egyéb fizetési szolgáltatásokat.
• Zárt hálózatban pénzügyi szolgáltatásokat nyújtó vállalkozásokat.
• Az adatbázis – a PSD2 felhatalmazás hiányában – nem tartalmazza a fizetés kezdeményezési (PISP) és számlainformációs szolgáltatásokat (AISP) nyújtó hitelintézeteket, bankokat. Azaz az EBA regiszter nem fog teljes képet nyújtani az európai pénzügyi piacon működő szolgáltatókról.
• További információ:
  • Technical Standards on the EBA Register under PSD2
  • Így ellenőrzik majd a fintech cégeket a PSD2 után (Fintechzone)

9. Az EBA (Európai Bankfelügyelet) ajánlásai

• A robo-tanácsadásjelenleg még nem indokol részletes szabályozást, ugyanakkor ennek várható elterjedése komoly kockázatokat hordoz magában. A kockázatok részben technikai jellegűek (a szoftver meghibásodásából és a manipulációból fakadó kockázatok), egy része azonban tisztán jogi jellegű (pl. felelősségallokáció).
• A big dataegyaránt lehetőség és kockázat. Lehetőség, hiszen ezáltal jobb szolgáltatások nyújthatók, de kockázat is, hiszen a fogyasztó nem minden esetben van tisztában azzal, hogy az adatait ki és milyen célból kezeli.
• Az EBA egységesebb szabályozást sürgetett a közösségi finanszírozás területén is.
• Szükséges lenne ajánlásokat megfogalmazni a banki területen alkalmazott felhőszolgáltatásokkalkapcsolatban, amelynek során hangsúlyosan figyelembe kellene venni a cybertámadások kockázatát.

10. Az Európai Értékpapír-piaci Hatóság (ESMA) ajánlásai:

• A big data komoly kockázatokhoz vezet. Ennek alátámasztására hivatkozott arra, hogy a viselkedési adatok tanulmányozása azt eredményezheti, hogy a szolgáltatók azonos szolgáltatásokat eltérő áron értékesítenekpéldául a szolgáltatást igénybe vevő korábbi szolgáltatóváltási gyakorlatára figyelemmel. Ez egyrészt a fogyasztók számára kedvezőbb árazást eredményezhet, másrészt viszont komolyan megnehezítheti a termékek és a szolgáltatások összehasonlítását.
• Az EU-ban egységes védelem érvényesüljön a közösségi finanszírozás befektetői számára, valamint, hogy a platformok az EU-n belül határon átnyúlóan is képesek legyenek működni.
• A jövőben kiemelten fontos lesz az adatok szabványosításaés harmonizálása
• EBA-ESMA-EIOPA: “Jelentés az automatizált pénzügyi tanácsadásról”
• További információ:
  • Ajánlás tervezet
  • EBA: Report on automation in financial advice