Fintech i GDPR

U prvoj polovici 2018. godine, na snagu je stupila druga Direktiva o platnim uslugama (Payment Service Directive 2 – PSD2 ili „Direktiva“, 13.1.2018.), a nakon nekoliko mjeseci počela je primjena Opće uredbe o zaštiti podataka (GDPR, 25.5. 2018). U ovom članku se raspravlja odnos između Direktive i GDPR-a i na koji način tzv. fintech poslovanje utječe na obradu osobnih podataka korisnika platnih usluga.

Direktiva o platnim uslugama (Payment Service Directive 2)

Svrha Direktive je uključiti treće strane u dosad uobičajeni okvir platnih usluga te time stvoriti regulatorni okvir koji bi omogućio nove usluge na tržištu. Njome je stvorena obveza pružatelja platnih usluga da trećim stranama (Third Party Providers – TPP-ovi) omogući pristup podacima računa za plaćanje koji pripadaju korisnicima platnih usluga. Treće strane o kojima je ovdje riječ, odnosno TPP-ovi, su: a) pružatelji usluga pružanja informacija o računu te b) pružatelji usluge iniciranja plaćanja. U Hrvatskoj je Direktiva transponirana u Zakon o elektroničkom novcu, Zakon o platnom prometu, Odluci i zaštiti novčanih sredstava korisnika platnih usluga, Odluci o regulatornom kapitalu institucija za platni promet te u Odluci o regulatornom kapitalu institucija za elektronički novac.

Pristup osobnim podacima

Takvo omogućavanje pristupa podacima računa za plaćanje omogućava i pristup osobnim podacima, stoga se uz Direktivu primjenjuje i GDPR. Dok je svrha GDPR-a zaštita osobnih podataka, PSD2 je donesen kako bi se stvorio regulirani pristup osobnim podacima u okviru platnih usluga. Svrha PSD2 je bila jačanje konkurencije i inovacije na europskom tržištu platnih usluga na način da omogući TPP-ovima da uđu na platno tržište pružanjem usluga pružanja informacija o računu i usluga iniciranja plaćanja. Zbog činjenice razilaženja u njihovim svrhama, postavila su se mnoga pitanja u vezi s primjenom Direktive i GDPR-a u odnosu na osobne podatke korisnika.

Pismo Europskog odbora za zaštitu osobnih podataka

Europski odbor za zaštitu podataka (Odbor) je u svom pismu, kao odgovor na upit člana Europskog parlamenta u vezi nekih nejasnoća iz PSD2, pružio određene smjernice oko toga kako tumačiti Direktivu na način koji se ne kosi s odredbama GDPR-a.

Odbor napominje da se, među odredbama koje se posebno tiču obrade osobnih podataka, u članku 94. PSD2, propisuje da obrada osobnih podataka mora biti u skladu s europskim zakonima o zaštiti podataka. Direktiva također određuje da je potrebno navesti točnu svrhu obrade, poštovati sigurnosne zahtjeve navedene u GDPR-u te poštovati načela nužnosti, razmjernosti, ograničenja svrhe i razmjernog razdoblja čuvanja podataka. Uz sve to, tehnička i integrirana zaštita osobnih podataka trebala bi biti ugrađena u sve sustave za obradu podataka koji se razvijaju i koriste u okviru PSD2.

Suglasnost i privola

U članku 94. točka 2., PSD2 propisuje da „pružatelji platnih usluga isključivo pristupaju osobnim podacima, obrađuju i čuvaju osobne podatke koji su im potrebni za pružanje platnih usluga uz izričitu suglasnost korisnika platnih usluga“.

Budući da PSD2 i Zakon o platnom prometu, ne definiraju „izričitu suglasnost“, pitanje privole je potrebno promatrati u kontekstu GDPR-a. U GDPR-u je privola jedan od šest pravnih temelja za obradu osobnih podataka, dok je u PSD2 privola neophodna za obradu osobnih podataka. Također, u skladu s GDPR-om, privola se može povući i ispitanik može zatražiti da se podaci koji su se obrađivali na temelju privole trajno izbrišu. Navedeno, u okviru platnih usluga, nije uvijek izvedivo zbog propisa u vezi sa platnim prometom i propisa o sprječavanju pranja novca i financiranja terorizma.

Međutim, Odbor je u svojem pismu razložio ovo pitanje i jasno naveo da se značenje privole u Direktivi i GDPR-u znatno razlikuje. Izričita suglasnost iz PSD2 odnosi se na ugovornu suglasnost, odnosno suglasnost strana koja je potrebna da bi se ugovor sklopio. Kako to i sama Direktiva propisuje, platne usluge se pružaju uvijek na temelju ugovora između korisnika platnih usluga i pružatelja platnih usluga. Što se tiče pravne osnove obrade osobnih podataka kako ih određuje GDPR, pri pružanju platnih usluga ona će uvijek biti izvršenje ugovora. Odbor smatra da se članak 94. točka 2. treba tumačiti u skladu s GDPR-om, ali na način da zadrži svoj koristan učinak. To znači da, pri sklapanju ugovora s pružateljima platnih usluga, ispitanici trebaju biti u potpunosti svjesni svrha u koje će se njihovi osobni podaci obrađivati. To će se postići jasnim izdvajanjem takvih odredbi od ostatka ugovora i takve odredbe korisnici platnih usluga trebaju izričitim očitovanjem volje prihvatiti. Izričita suglasnost po PSD2 je dakle dodatna pretpostavka ugovorne prirode i nije isto što i (izričita) privola iz GDPR-a.

Silent party data

Ovdje se također javlja i pitanje „silent party data“, npr. kada ispitanik koristi usluge pružatelja usluge iniciranjem plaćanja kako bi prenio novac nekoj drugoj fizičkoj osobi, tada pružatelj usluge nužno mora obrađivati i podatke te druge osobe da bi mogao izvršiti uslugu. Postavlja se pitanje ima li TPP tada pravni temelj za obradu osobnih podataka i koji bi taj temelj bio. Odbor je izrazio mišljenje da se osobni podaci te druge fizičke osobe mogu zakonito obrađivati na temelju legitimnog interesa. Pri tome se, naravno, mora paziti da se tom obradom ne nadvladaju interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka. Obrada također mora biti nužna i razmjerna te u skladu s ostalim načelima GDPR-a. Ako se takvi podaci obrađuju na temelju legitimnog interesa, ne smiju se koristiti u druge svrhe od onih zbog kojih su prikupljeni.

Način prijenosa podataka

Nadalje, pružatelji platnih usluga i TPP-ovi međusobno moraju uspostaviti platformu, odnosno sučelje, preko kojega će se pružati platne usluge. U pogledu zaštite podataka, PSD2 uvodi standarde kao što su djelotvorni postupci upravljanja incidentima i jači postupci autentifikacije.

Nadzorna tijela su nadležna izvršiti procjenu primjenjuju li voditelj i izvršitelj obrade sve tehničke i organizacijske mjere potrebne da bi osigurali odgovarajuću razinu sigurnosti te provodi li se tehnička i integrirana zaštita podataka.

U vezi s time, Europsko nadzorno tijelo za bankarstvo (EBA) je još 27.11.2017. je donijelo regulatorne tehničke standarde za pouzdanu autentifikaciju klijenta i zajedničke sigurne otvorene standarde komunikacije u obliku dopune Direktive (EU) 2015/2366. Time se potiče inovacija i poboljšava sigurnost platnih usluga.

Osjetljivi podaci o plaćanju

Što se tiče osobnih podataka, PSD2 spominje posebnu skupinu osobnih podataka pod nazivom „osjetljivi podaci o plaćanju”. Te podatke definira kao sve podatke, uključujući personalizirane sigurnosne podatke, koji se mogu koristiti za izvršenje prijevare. Iako se radi o sličnoj terminologiji, važno je napomenuti da se ne radi o podacima koji bi pripadali posebnoj kategoriji podataka koje uređuje GDPR.

PSD2 daje posebnu zaštitu osjetljivim podacima o plaćanju te određuje da pružatelji usluga iniciranja plaćanja ne smiju pohranjivati osjetljive podatke o plaćanjima korisnika platnih usluga. Što se tiče pružatelja usluga pružanja informacijama o računu, određeno je da oni pri pružanju svoje usluge ne zahtijevaju osjetljive podatke o računima za plaćanje. Osjetljivi podaci o plaćanju su dakle osobni podaci koji uživaju dodatnu zaštitu pod PSD2.

Tko je voditelj, a tko izvršitelj obrade?

Što se tiče uloga koje GDPR definira u vezi s obradom osobnih podataka, pružatelji platnih usluga i TPP-ovi će morati procijeniti svoj međusobni odnos od slučaja do slučaja i zatim utvrditi hoće li se TPP-ovi smatrati voditeljima ili izvršiteljima obrade. Za slučaj da i TPP-ovi određuju način i sredstva obrade (što će vjerojatno biti u većini slučajeva), bit će potrebno procijeniti jesu li oni odvojeni voditelji ili zajednički voditelji obrade s pružateljima platnih usluga. Međutim, članci 66. i 67. PSD2 određuju da pružanje usluga iniciranja plaćanja i pružanja informacija o računu ne ovise o postojanju ugovornog odnosa za tu namjenu između TPP-a i pružatelja platnih usluga koji vode račun. To znači da pružatelji platnih usluga ne mogu odbiti TPP-ovima omogućiti pristup podacima klijenata ako oni ne žele sklopiti ugovor.

Navedeno nepostojanje obveze sklapanja ugovora otežava pružateljima platnih usluga raspodjelu odgovornosti u vezi s obvezama koje postavlja GDPR i onemogućava im pružanje jamstva u vezi sa sigurnošću obrade osobnih podataka.

Author image
Marija Boskovic Batarelo