Jeho hlavním cílem je urychlit digitální transformaci ve finančním sektoru a umožnit jednodušší přístup k finančním datům rozšiřující současné možnosti, které platí prozatím v sektoru platebních služeb. Jeho cílem je odstranit stávající překážky a zlepšit existující modely podle směrnice o platebních službách (PSD2).[4] Tímto opatřením se otevírá cesta k novým datově řízeným obchodním modelům ve finančním sektoru.[5]

Návrh vychází z rámce otevřeného bankovnictví (Open banking), a který bankám umožnil sdílet údaje o platebních účtech, pokud k tomu zákazníci dali souhlas. Návrh FIDA se týká dalších finančních údajů, jako jsou pojištění, spořicí účty, půjčky, investice a penzijní produkty.

Finanční instituce, zákazníci a další aktéři finančního trhu by měli mít prospěch z jednoduššího přístupu k finančním datům, což podle Komise umožní poskytování finančních produktů a služeb, které jsou přizpůsobené potřebám a očekáváním zákazníků. FIDA se zaměřuje na sdílení dat na základě souhlasu zákazníků a rozšiřuje typy dat, která jsou k tomuto účelu vhodná.

FIDA se týká sdílení, přístupu a opakovaného použití osobních a neosobních údajů pro účely poskytování široké škály finančních služeb. Myšlenkou je, že sdílení údajů může podpořit inovativní finanční produkty a služby ve prospěch zákazníků a společností. Otevřené finance (Open finance) mohou mimo jiné vést k personalizovanějším finančním produktům a lépe přizpůsobeným službám pro porovnávání finančních produktů. Zákazníci však zůstávají v centru dění, protože před sdílením svých údajů musí udělit souhlas a tento souhlas mohou kdykoli odvolat.

Reklama

DPP/DPČ ve víru legislativních změn (online - živé vysílání) - 25.11.2024

25.11.2024 09:303 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Kromě FIDA zveřejnila Evropská komise 28. června 2023 také balíček k platebním službám, který se skládá ze směrnice o platebních službách 3 (PSD3),[6] která modernizuje směrnici PSD2, a nařízení o platebních službách (PSR).[7] Balíček platebních služeb svědčí o tom, že prioritou Evropské komise je zlepšit stávající regulační režim a ochranu zákazníků v oblasti sdílení dat.

1. Jaký je hlavní cíl nařízení FIDA?

Hlavním cílem nařízení FIDA je podpořit digitální transformaci ve finančním sektoru urychlením zavádění obchodních modelů založených na datech a rozvojem otevřených financí. V současné době údaje o zákaznících a technická rozhraní ve finančním sektoru nad rámec platebních účtů nejsou standardizovány, což prodražuje přístup k údajům, a to by se do budoucna mělo změnit.

Podle Komise absence personalizovaných finančních produktů omezuje možnost inovací tím, že nenabízí větší výběr a finanční produkty a služby pro zainteresované zákazníky, kteří by jinak mohli využívat nástroje založené na datech, které jim mohou pomoci při informovaném výběru, uživatelsky přívětivém porovnávání nabídek a přechodu na výhodnější produkty, které odpovídají jejich preferencím na základě jejich osobní situace.

2. O čem je nařízení o přístupu k finančním údajům?

FIDA rozšiřuje typ údajů způsobilých ke sdílení nad rámec pouhých údajů o platebních účtech. Tímto legislativním návrhem hodlá Evropská komise předložit účinný všeobecný rámec otevřených financí pro sdílení údajů o zákaznících napříč finančním sektorem, a to odstraněním stávajících překážek a zdokonalením stávajících modelů v rámci směrnice PSD2.

FIDA se při sdílení údajů spoléhá především na souhlas zákazníka, ať už jde o člověka nebo právnickou osobu, který by měl převzít kontrolu nad přístupem a sdílením svých osobních i neosobních údajů. Souhlas je skutečně jádrem tohoto nařízení, protože povinnost sdílet údaje musí být pouze na žádost zákazníků. Zákazníkem se přitom rozumí fyzická osoba s bydlištěm v Unii nebo právnická osoba usazená v Unii, která je spotřebitelem nebo mikropodnikem, malým nebo středním podnikem, který je stranou smlouvy o využívání finančních produktů a služeb nebo o ni požádal.

3. Jaká je oblast působnosti nařízení o přístupu k finančním údajům?

Podle návrhu FIDA budou muset subjekty, které mají údaje o zákaznících (držitelé údajů), sdílet údaje o zákaznících s třetími stranami (uživateli údajů). Každý takový proces sdílení údajů bude prováděn podle dohodnutých schémat sdílení údajů (FDSS). Kromě toho budou zákazníkům zpřístupněny přehledy oprávnění (permission dashboard), zejména s cílem pomoci kontrolovat udělená oprávnění.

4. Jaké údaje o zákaznících jsou v oblasti působnosti nařízení FIDA?

Podle nařízení FIDA zahrnuje pojem údaje o zákaznících osobní i neosobní údaje, které finanční instituce obvykle shromažďují, uchovávají a zpracovávají v rámci běžných interakcí se zákazníky, jimiž mohou být buď fyzické osoby, nebo právnické osoby. V čl. 2 odst. 1 směrnice FIDA je uveden výčet údajů, které spadají do oblasti působnosti.

Revidovaný návrh FIDA „údaji o zákazníkovi“ rozumí osobní a neosobní údaje v digitální podobě, které finanční instituce shromažďuje, uchovává a spravuje v rámci své běžné činnosti v souvislosti se vztahem mezi zákazníkem a finanční institucí jako držitelem údajů pro poskytování těchto služeb, což zahrnuje jak údaje poskytnuté zákazníkem, tak údaje o transakcích týkajících se zákazníka, které má finanční instituce k dispozici, a nezahrnuje údaje vytvořené v důsledku profilování podle definice v čl. 4 odst. 4 nařízení (EU) 2016/679 (GDPR) a obchodní tajemství podle definice v čl. 2 bodě 1 směrnice (EU) 2016/943 (směrnice o ochraně obchodního tajemství).

Finanční instituce v oblasti působnosti FIDA (držitelé údajů) jsou na pokyn zákazníka povinny poskytnout přístup k informacím ostatním finančním institucím v oblasti působnosti (uživatelé údajů) a poskytovatelům finančním informačních služeb (FISP), pokud jde o:

a) smlouvy o hypotečním úvěru ve smyslu směrnice 2014/17/EU (MCD), smlouvy o úvěru a účty, včetně účtů kreditních karet, s výjimkou platebních účtů ve smyslu směrnice o platebních službách (EU) 2015/2366 (PSD2) a technických účtů, včetně údajů o zůstatku, podmínkách a transakcích;

b) úspory zahrnující termínované vklady, strukturované vklady a spořicí účty, investice do finančních nástrojů v souladu s oddílem C přílohy I směrnice 2014/65/EU (MiFID II) a s výjimkou derivátových transakcí používaných pro účely řízení rizik, investičních produktů založených na pojištění, kryptoaktiv definovaných v čl. 3 odst. 1 bodě 5 nařízení Evropského parlamentu a Rady (EU) 2023/1114 (MiCAR), nemovitostí a jiných souvisejících finančních aktiv, jakož i ekonomických výhod plynoucích z těchto aktiv; včetně údajů shromážděných pro účely provedení posouzení vhodnosti a přiměřenosti v souladu s článkem 25 směrnice Evropského parlamentu a Rady 2014/65/EU (MiFID II);

c) důchodových práv v zaměstnaneckých penzijních systémech v souladu se směrnicí 2009/138/ES (Solventnost II) a směrnicí Evropského parlamentu a Rady (EU) 2016/2341 (IORP II), které jsou přístupné všem zainteresovaným spotřebitelům, s výjimkou údajů týkajících se nemocenského a zdravotního pojištění člena nebo příjemce;

d) důchodová práva na poskytování celoevropských osobních penzijních produktů v souladu s nařízením (EU) 2019/1238 (PEPP);

e) produkty neživotního pojištění v souladu se směrnicí 2009/138/ES (Solventnost II), s výjimkou produktů zdravotního a nemocenského pojištění; včetně údajů shromážděných pro účely posouzení požadavků a potřeb v souladu s článkem 20 směrnice Evropského parlamentu a Rady (EU) 2016/97 (IDD) a údajů shromážděných pro účely posouzení vhodnosti a přiměřenosti v souladu s článkem 30 směrnice (EU) 2016/97;

f) údaje, které jsou součástí posouzení úvěruschopnosti podniku a které jsou shromažďovány v rámci procesu žádosti o úvěrovou smlouvu. Údaje shromážděné v rámci posouzení úvěruschopnosti spotřebitelů jsou vyloučeny;

fa) kategorie údajů, které nejsou citlivé a které držitelé údajů používají ke splnění požadavků na „know-your-customer“ u firemních zákazníků.

Finanční údaje uvedené v rámci FIDA představují neúplný seznam možných údajů, což naznačuje, že cílem FIDA je být „univerzálním“ nařízením týkajícím se sdílení údajů ve finančním sektoru. Prozatím cílem FIDA není omezit právo na přenositelnost osobních údajů podle nařízení GDPR, takže na jiné kategorie finančních údajů (především založených na souhlas nebo smlouvě) se použije obecný rámec ochrany osobních údajů vč. relevantních výkladových stanovisek.[8] Podstatné přitom je, že přenositelnosti se týkají údaje aktivně a vědomě poskytnuté subjektem údajů nebo vypozorované údaje na základě používané služby nebo zařízení (např. lokalizační či jinak shromážděné), nikoli však ty týkající se dalších operací zpracování jako je analýza, profilování, hodnocení nebo doporučení.

4.1. Údaje týkající se testování vhodnosti a přiměřenosti investičních produktů

Jedním z příkladů údajů v rozsahu FIDA jsou údaje týkající se testování vhodnosti a přiměřenosti investičních produktů podle nařízení (EU) 2017/565,[9] nebo nařízení (EU) 2017/2359 (IBIPs).[10] Ty jsou omezeny na údaje, které finanční instituce od zákazníka shromáždila za účelem posouzení jeho znalostí a zkušeností, finanční situace a investičních cílů, jak je stanoveno v těchto ustanoveních. Jde tak typicky o informace získané od zákazníka anebo jinak vypozorované. Nezahrnuje to tudíž výsledek samotného posouzení vhodnosti nebo přiměřenosti provedeného finanční institucí na základě údajů shromážděných od zákazníka, zprávu o vhodnosti poskytnutou zákazníkovi ani jakoukoli analýzu nebo přípravnou práci pro účely takové zprávy, které by měly být z oblasti působnosti tohoto nařízení vyloučeny. Další (pod)skupinou mohou být údaje zákazníka týkající se preferencí udržitelnosti v režimu MiFID II nebo IDD, o které se testování vhodnosti rozšířilo v roce 2022.

Nutno dodat, že akční rádius sdílení těchto dat velmi rychle podléhá zubu času, protože typicky znalosti a zkušenosti, finanční situace nebo investiční cíle se mohou dramaticky změnit i během půl roku.

4.2. Informace týkající se požadavků a potřeb v neživotním pojištění

Jiným příkladem jsou pak data zákazníků týkající se neživotního pojištění. Údaje o zákaznících související s poskytováním neživotního pojištění jsou nezbytné k tomu, aby bylo možné poskytovat pojistné produkty a služby důležité pro potřeby zákazníků, jako je ochrana domácností, vozidel a dalšího majetku či rizika odpovědnosti. Údaje o zákaznících týkající se pojistných produktů v oblasti působnosti tohoto nařízení by měly zahrnovat jak informace o pojistném produktu, jako jsou podrobnosti o pojistném krytí, tak údaje specifické pro pojištěný majetek zákazníka, které se shromažďují pro účely testu požadavků a potřeb ve smyslu směrnice IDD.

Podobně jako v předchozím příkladě jde primárně o data získaná od zákazníka, nikoli o údaje týkající se dalšího zpracování navazující na shromáždění dat. Přístup k těmto údajům a jejich opakované použití by mělo umožnit vývoj personalizovaných nástrojů pro zákazníky, jako jsou například přehledy pojištění, které by mohly zákazníkům pomoci lépe řídit jejich rizika, resp. snadněji měnit poskytovatele pojistných produktů.

4.3. Systém pro sledování penzijních práv

Přístup k údajům o zaměstnaneckých (podle směrnice IORP II)[11] a osobních penzí včetně nařízení PEPP a jejich opakované použití by měly přispět k vývoji nástrojů pro sledování důchodů (pension tracker), které střadatelům poskytnou komplexní přehled o jejich nárocích a důchodových příjmech jak v rámci konkrétních členských států,[12] tak přeshraničně v Unii,[13] nebo ke sladění tohoto přístupu a opakovaného použití, pokud jde o obsah a formáty údajů, se stávajícími systémy sledování důchodů, které zahrnují nároky z veřejných a zaměstnaneckých důchodových systémů a v některých případech také z osobních systémů. Potřeba mít přehled o veškerých penzijních nárocích není jen na straně zákazníků, ale i případných dědiců, když by snadnější přístup notářů k údajům pozůstalých mohl značně usnadnit práci samotným notářům a také dědici by nepřišli o své případné nároky, o kterých nemusí mít úplný přehled.

4.4. Informace týkající se úvěruschopnosti osob, které nejsou člověkem

Dále lze zmínit, že v působnosti návrhu FIDA jsou také údaje, které jsou součástí posouzení úvěruschopnosti podniku v oblasti, by měly sestávat z informací, které podnik poskytuje institucím a věřitelům v rámci procesu žádosti o úvěr. To zahrnuje žádosti o úvěr mikropodniků, malých, středních a velkých podniků. Mohou zahrnovat údaje shromážděné institucemi a věřiteli, jak je stanoveno v příloze II pokynů Evropského orgánu pro bankovnictví k poskytování a sledování úvěrů.[14] Tyto údaje mohou zahrnovat finanční výkazy a prognózy, informace o finančních závazcích a nedoplatcích, doklady o zajištění, doklady o pojištění a informace o zárukách, případně ESG profil instituce. Další údaje mohou být relevantní, pokud se účel žádosti o úvěr týká nákupu komerčních nemovitostí nebo výstavby nemovitostí.

4.5. Know-your-customer údaje

Údaje, které finanční společnosti, včetně malých a středních podniků, potřebují k provádění procesů „poznej svého zákazníka“, mohou být cenné při přijímání nových zákazníků. Přístup k těmto údajům a jejich opakované použití by proto mohlo významně přispět ke snížení překážek při změně poskytovatele, a tím vést ke zvýšení konkurence a inovací finančních produktů a služeb ve prospěch zákazníků. Připomeňme jen, že identifikací člověka, a to i pro účely identifikace AML se na Evropské úrovni má zabývat návrh nařízení eIDAS 2.0,[15] a nikoli FIDA.

4.6. Vyloučené údaje

Z oblasti působnosti se navrhuje vyloučit údaje týkající se pojištění pro případ smrti, nemocenského pojištění a zdravotního pojištění jako zvláštní kategorie údajů (jejich volný pohyb v digitální podobě pak řeší návrh EHDS,[16] byť omezeně pro sekundární využití dat mimo zdravotní sektor), jakož i důvěrné obchodní údaje a nezveřejněné know-how.

Z návrhu však není jasné, proč se omezení týká celých produktů, a nikoli jen části, kde dochází k posouzení zdravotních rizik jako je oblast úpisu rizik (underwriting) a likvidace pojistných událostí. Ty totiž zahrnují zdravotní údaje (zejména podle § 2828 občanského zákoníku), zatímco zjišťování požadavků a potřeb souvisí spíš s osobní situací zákazníka, který se snaží řešit vlastní pojistnou potřebu (např. kolik prostředků bude potřebovat v případě propadu příjmů podle § 77 a § 78 zákona o distribuci pojištění a zajištění). Návrh FIDA se tak zdá být zbytečně omezující, když en bloc vyjímá celou kategorii pojistných produktů.

5. Co je systém sdílení dat (FDSS)?

Podle současného návrhu FIDA je hlavní zodpovědnost za zavedení systémů pro sdílení dat (FDSS) na finančních institucích a poskytovatelích datových služeb, nikoli na členských státech. Nicméně členské státy mají významnou roli v tom, jakým způsobem budou tyto nařízení implementována a jakým způsobem budou kontrolovány. V pozdější fázi může být takový systém do národních právních řádů importován pomocí regulatorních technických standardů vydaných Evropskou komisí.

Systém přístupu k finančním údajům by měl sestávat z kolektivní smluvní dohody mezi držiteli údajů a uživateli údajů. Do vytváření systémů přístupu k finančním údajům by měly být zapojeny všechny strany těchto systémů. FIDA stanoví přesně termín, kdy by měly být systémy sdílení dat plně funkční a provozuschopné (včetně příslušné dohody o odpovědnosti, odměně za předání dat, organizačních, technických a bezpečnostních opatřeních).

Takové schéma je systémem dohod, který je běžný zejména na platebních trzích. Známým systémem v Nizozemsku je iDEAL.[17] V rámci tohoto schématu banky, u nichž jsou vedeny platební účty, a poskytovatelé inkasních platebních služeb upravují způsob, jakým mohou zákazníci provádět platby prostřednictvím iDEAL. V rámci schémat jsou uzavírány dohody o transparentnosti, přehledech oprávnění, odměňování držitelů údajů (za poskytování údajů) a odpovědnosti držitelů údajů. Důležitou součástí je maximální odměna, kterou je držitel údajů oprávněn účtovat za zpřístupnění údajů prostřednictvím vhodného technického rozhraní pro sdílení údajů s uživateli údajů.

Systémy sdílení údajů mimo jiné určí společné standardy pro technická rozhraní, která zákazníkům umožní požádat o sdílení údajů, maximální náhradu, kterou může držitel údajů účtovat za zpřístupnění údajů uživateli údajů, a smluvní odpovědnost držitelů údajů a uživatelů údajů například v případě nepřesnosti nebo zneužití údajů

Členové systému sdílení dat by měli být nejen zástupci trhu využívající produkty nebo služby týkající se systému sdílení dat (a kterým to umožňuje rozsah FIDA), ale také zástupci zákazníků a spotřebitelské organizace, které mají odbornost v odvětví finančních služeb. Jinými slovy, tento systém by měl být vytvořen a spravován držiteli údajů a uživateli údajů, kteří představují významnou část trhu daného produktu nebo služby. Kromě toho musí být do systémů zapojeny příslušné organizace zákazníků a sdružení spotřebitelů.

Poslanci Evropského parlamentu navrhli přístup k údajům prostřednictvím vysoce kvalitních technických rozhraní, a shodli se také na tom, že držitelé a uživatelé údajů by měli mít možnost při vytváření společných norem pro povinný přístup k údajům využívat stávající tržní standardy a infrastruktury pro technická rozhraní, jako jsou rozhraní pro programování aplikací. Držitelé údajů by měli mít možnost požadovat od uživatelů údajů přiměřenou náhradu nákladů vzniklých při poskytování přístupu a nákladů souvisejících se zavedením a údržbou aplikačních programových rozhraní. Evropský výbor pro inovace v oblasti údajů by měl vydat pokyny k zajištění celounijních interoperabilních datových standardů týkajících se údajů o zákaznících v oblasti působnosti tohoto nařízení.

Bude-li systém sdílení údajů zaveden, pak držitelé i uživatelé údajů mají povinnost připojit se k „systému sdílení finančních údajů“. Jakékoli sdílení údajů musí probíhat podle pravidel a podmínek systému sdílení finančních údajů, jehož členy jsou uživatel i držitel údajů. Finanční subjekty a poskytovatelé FISP, kteří spadají do oblasti působnosti, se proto musí stát členy systémů sdílení údajů (FDSS).

Existuje také určitá pojistka proti nečinnosti trhu na národní úrovni. Pokud pro některou z kategorií údajů uvedených v rámci FIDA nebude vytvořen žádný systém, může Evropská komise přijmout akt v přenesené pravomoci, kterým vypracuje standardizované formáty pro údaje a technická rozhraní, standardy odměňování držitelů údajů a odpovědnost držitelů údajů a uživatelů údajů zapojených do zpřístupňování údajů o zákaznících, takže do dané země může systém pro sdílení finančních informací tímto způsobem importovat.

Za vytváření systémů sdílení údajů jsou odpovědní sami účastníci trhu. Vytvoření systému sdílení údajů je podmíněno oznámením tří nejvýznamnějších držitelů údajů, kteří jsou členy systému, regulačním orgánům. Příslušné regulační orgány (kterých může být více) musí do jednoho měsíce posoudit, zda systém sdílení údajů splňuje požadavky FIDA. Pokud ano, je systém sdílení údajů oznámen Evropskému orgánu pro bankovnictví (EBA), v důsledku čehož je uznán jako systém sdílení údajů, který je v souladu s požadavky FIDA, ve všech členských státech EU. Systémy sdílení údajů musí být otevřené účasti všech držitelů a uživatelů údajů, kteří splňují objektivní kritéria stanovená systémem. Se všemi členy systému sdílení údajů musí být zacházeno stejně.

6. Jak je řešeno právo na přiměřenou náhradu a náhradu újmy?

Jedním z hlavních rozdílů mezi pravidly FIDA a PSD2 pro otevřené bankovnictví je, že držitelé údajů budou mít právo požadovat od uživatelů údajů přiměřenou náhradu. Zde existuje důležité propojení mezi FIDA a nařízením EU o datech (Data act),[18] ačkoli podrobnosti nejsou v této fázi zcela jasné. Data act zavádí meziodvětvový rámec správy pro zákonem nařízené sdílení údajů. To zahrnuje pravidla pro stanovení spravedlivé výše náhrady, např. jaké náklady na tvorbu údajů mohou držitelé údajů zohlednit. FIDA v případě potřeby nařízení o datech rozšíří. Například již nyní stanoví, že náhrada pro držitele údajů by měla přímo souviset s náklady na zpřístupnění údajů uživateli údajů. Vyzývá také k objektivní, transparentní a nediskriminační metodice zaměřené na nejnižší úrovně trhu. V každém případě by se na příslušné metodice pro výpočet náhrady měla podílet Komise, která by měla přijmout pokyny pro výpočet přiměřené náhrady.

Dále se od členů systému přístupu k finančním údajům, včetně držitelů a uživatelů údajů, bude vyžadovat, aby se dohodli na smluvní odpovědnosti za porušení ochrany údajů, na odškodnění zákazníků v případě zneužití údajů, včetně případů, kdy jsou údaje předány třetí straně bez výslovného souhlasu zákazníka, jakož i na způsobu řešení případných sporů mezi držiteli a uživateli údajů týkajících se odpovědnosti. Tyto požadavky by se měly zaměřit na stanovení pravidel odpovědnosti jako součásti každé smlouvy (porušení smluvní povinnosti podle § 2913 občanského zákoníku), jakož i jasných povinností a práv pro určení odpovědnosti mezi držitelem údajů a uživatelem údajů (v souladu s § 2915 občanského zákoníku).

5. Jaké subjekty jsou v oblasti působnosti nařízení FIDA?

Seznam subjektů, které vystupují jako držitelé nebo uživatelé údajů podle návrhu nařízení FIDA, je uveden v čl. 2 odst. 2 nařízení. Dynamika mezi subjekty, které shromažďují a žádají o údaje zahrnuté do oblasti působnosti FIDA, je zachycena pojmy držitel údajů a uživatel údajů, přičemž „držitelem údajů“ se má na mysli finanční instituce, která shromažďuje a uchovává jednu nebo více kategorií údajů, zatímco „uživatelem údajů“ se rozumí kterýkoli ze subjektů uvedených v čl. 2 odst. 2, který má na základě povolení zákazníka oprávněný přístup k údajům zákazníka.

Do působnosti nařízení FIDA spadají výslovně následující subjekty:

a) úvěrové instituce,

b) platební instituce,

c) instituce elektronických peněz,

d) investiční podniky,

e) poskytovatelé služeb v oblasti kryptoaktiv,

f) vydavatelé tokenů odkazujících na aktiva,

g) správci alternativních investičních fondů,

h) správcovské společnosti subjektů kolektivního investování do převoditelných cenných papírů,

i) pojišťovny,

j) zprostředkovatelé pojištění a doplňkoví zprostředkovatelé pojištění,

k) instituce zaměstnaneckého penzijního pojištění (IORP), které jsou přístupné všem zainteresovaným spotřebitelům, s výjimkou malých IORP uvedených v článku 5 směrnice (EU) 2016/2341,

m) poskytovatelé služeb crowdfundingu, kteří nejsou platformami pro poskytování spotřebitelských úvěrů,

n) poskytovatelé PEPP,

o) poskytovatelé finančních informačních služeb,

oa) provozovatelé platebních schémat.

Finanční instituce, které vystupují jako držitelé údajů, mohou také získávat údaje v roli uživatele údajů, aniž by k tomu měly zvláštní licenci nebo povolení. Kromě toho existují dvě strany, které získávají údaje (jako uživatelé údajů), ale nevystupují jako držitelé údajů. Jedná se o poskytovatele služeb informování o účtu (AISP) ve smyslu směrnice PSD2 a poskytovatele FISP, jak je nově zavádí směrnice FIDA. Logika spočívá v tom, že FISP a AISP sami nevytvářejí finanční údaje a pouze je využívají ve prospěch svých zákazníků, a působí zde jako zprostředkující činitel mezi držitelem údajů a uživatelem údajů, přes který příslušná data se dostanou z bodu A do bodu B. 

Všechny subjekty uvedené v čl. 2 odst. 3 směrnice FIDA mají svůj základ v evropských právních předpisech. Některé finanční subjekty mají pouze licenci nebo registraci podle vnitrostátních právních předpisů. Pro tyto „subjekty s vnitrostátní licencí“ by členské státy mohly ve svých jurisdikcích rozšířit oblast působnosti a zahrnout tyto subjekty vedle těch, na které se vztahuje samotná směrnice FIDA.

6. Které subjekty jsou vyloučené z působnosti FIDA a z možnosti stát se FISP?

FIDA neobsahuje přímo výčet subjektů, které se nemohou účastnit systému pro sdílení údajů, nicméně je zde silná vazba na zachování stejného standardu v oblasti kybernetické bezpečnosti. Tzn., že subjekty vyňaté podle čl. 2 odst. 3 písm. a) – e) nařízení o digitální provozní odolnosti (DORA)[19] jsou rovněž vyňaty podle FIDA a nespadají do jeho působnosti. Problémem rozsahu DORA je pak skutečnost, že i kdyby se subjekty vyloučené z jeho rozsahu dobrovolně rozhodly naplňovat požadavky DORA, pak jim stejně nebude umožněno být součástí FIDA, a mohou tak být v konkurenční nevýhodě.

Poslanci rovněž rozhodli, že velké digitální platformy určené jako „Gatekeepers“ podle nařízení o digitálních trzích (Digital market act, DMA)[20] by neměly mít nárok stát se poskytovateli finančních informačních služeb (v současné době jsou určenými Gatekeepers společnosti Alphabet, Amazon, Apple, ByteDance, Meta a Microsoft). Jedná se o platformy, jejichž dominantní postavení na internetu prakticky znemožňuje, aby se podniky dostaly ke koncovým uživatelům, pokud se nedostanou přes jejich brány, a jejich vyloučení má zajistit, aby nemohly obcházet pravidla v případě, že by vlastnily nebo ovládaly uživatele údajů.

7. Kdo je poskytovatel finančních informačních služeb (FISP)?

Poskytovatelé finančních informačních služeb („FISP“) jsou novou kategorií regulovaných poskytovatelů služeb, jejichž režim je zveřejněn a specifikován ve FIDA. FISP je uživatel údajů oprávněný k přístupu k údajům o zákaznících uvedeným ve FIDA za účelem poskytování finančních informačních služeb. FISP vyžaduje licenci podle FIDA od příslušného orgánu, která je podobná licenci pro AISP podle PSD2.

Podle návrhu FIDA se „finanční informační službou“ (FIS) rozumí online služba, kterou uživatel údajů poskytuje zákazníkům za účelem shromažďování a konsolidace údajů o zákaznících, a nezahrnuje poskytování služeb regulovaných stávajícími právními předpisy Unie v oblasti finančních služeb a vyhrazených finančním institucím s povolením podle práva Unie. FIDA dále definuje „poskytovatele finančních informačních služeb“ (FISP) jako subjekt poskytující finanční informační služby, který je usazen v Unii a je oprávněn podle čl. 14 přistupovat k údajům o zákaznících uvedeným v čl. 2 odst. 1 za účelem poskytování finančních informačních služeb.

Pro získání povolení jako FISP musí začínající FISP předložit stanovy, LEI kód, program činnosti, obchodní plán na první tři finanční roky, popis opatření pro správu a řízení, zajistit fit & proper vedoucích osob, popis organizační struktury včetně outsourcingu, popis opatření týkající se zajištění kontinuity činností, mechanismy vnitřní kontroly včetně mechanismů kybernetické bezpečnosti sladěných s DORA, postupy pro podávání stížností a bezpečnostní politiku včetně politiky, jak chránit své zákazníky před riziky zjištěnými při posuzování bezpečnosti. V tomto ohledu čl. 35 FIDA mění DORA v tom smyslu, že se DORA vztahuje i na FISP a také na uživatele údajů. FISP tedy musí dodržovat DORA, konkrétně pokud jde o technickou bezpečnost a ochranu údajů, což zahrnuje software a systémy IKT používané FISP a společnostmi, kterým zadává své činnosti. FISP dále musí disponovat pojištěním profesní odpovědnosti nebo odpovídající finanční záruky, alternativně držet počáteční kapitál ve výší alespoň 50 000 EUR. Tyto podmínky musí FISP splňovat po celou dobu své činnosti, přičemž EBA ve spolupráci s ostatními Evropskými orgány dohledu (ESAs) k tomu vydá příslušnou licenční metodiku prostřednictvím delegovaných aktů. Celý licenční proces by přitom měl být ukončen do 2 měsíců od obdržení všech dokumentů a informací nutných k posouzení řádnosti.  

Povolení poskytovatele finančních informačních služeb mohou získat pouze právnické osoby usazené v EU, aby byl zajištěn efektivní dohled, zejména tam, kde má registrované sídlo nebo kde probíhají klíčové operace. Velké digitální platformy určené jako gatekeepers podle nařízení o digitálních trzích se nemohou stát poskytovateli FISP.

8. Jak funguje sdílení údajů v rámci programu FIDA?

Režim přístupu k údajům je zveřejněn v hlavě II nařízení FIDA a spočívá především v systémech sdílení údajů a zavádění přehledů povolení (permission dashboards). Držitelé a uživatelé údajů budou muset vstoupit do jednoho nebo více systémů sdílení finančních údajů (FDSS). Tato schémata budou odpovědná za řízení přístupu k údajům o zákaznících v souladu s FIDA a dalšími platnými předpisy EU (např. nařízení GDPR).

Uživatel údajů je oprávněn k přístupu k údajům o zákaznících podle čl. 5 odst. 1 návrhu FIDA pouze v případě, že je finanční institucí nebo právnickou osobou, která získala povolení jako poskytovatel finančních informačních služeb (FISP) podle čl. 14 návrhu FIDA.

Obecně platí, že držitelé údajů musí údaje o zákaznících zpřístupnit uživatelům údajů na žádost zákazníka a podle ní:

a) údaje o zákaznících musí být zpřístupněny bez zbytečného odkladu, průběžně a v reálném čase.

b) získaný přístup a informace jsou omezeny podmínkami povolení uděleného zákazníkem.

c) toto povolení je odvolatelné, což znamená, že zákazníci jsou oprávněni jej odvolat.

d) kromě toho musí držitelé údajů poskytnout zákazníkům přehled oprávnění, který jim umožní sledovat a spravovat udělená oprávnění. Držitelé údajů musí zajistit, aby přehledy oprávnění byly „uživatelsky přívětivé“ a snadno přístupné.

Přístup k údajům se má stát na základě dvou možností:

a) zpřístupnění zákazníkovi,

b) zpřístupnění uživateli údajů.

Ad a) držitel údajů na žádost zákazníka podanou prostřednictvím vyhrazeného online nebo mobilního zákaznického rozhraní musí zpřístupnit údaje uvedené v čl. 2 odst. 1 FIDA zákazníkovi prostřednictvím tohoto zákaznického rozhraní ve snadno čitelném formátu, který odráží stav, v němž jsou tyto údaje držiteli údajů snadno dostupné v okamžiku, kdy o přístup zákazník požádá, a to bez zbytečného odkladu, bezplatně, nepřetržitě a v reálném čase. Zákazník má tak možnost uložit si údaje do své elektronické peněženky, cloudu nebo na jiné zařízení.

Ad b) držitel údajů zpřístupní na výslovnou žádost zákazníka podanou prostřednictvím vyhrazeného online nebo mobilního zákaznického rozhraní uživateli údajů, který jedná jménem zákazníka, údaje o zákazníkovi uvedené v čl. 2 odst. 1 pouze pro účely související s konkrétní službou, pro kterou zákazník udělil výslovný souhlas s použitím svých údajů. Údaje o zákaznících se uživateli údajů zpřístupní bez zbytečného odkladu, nepřetržitě a v reálném čase. Za toto zpřístupnění může být vyžadována odměna, což je rozdíl o předchozího případu. Zároveň zákazníkovi nejsou jeho údaje zpřístupněny, ale pouze uživateli údajů, takže si je nemusí nikde ukládat.

9. Jak probíhá kontrola zákazníků nad jejich údaji?

Jedním z klíčových pilířů návrhu FIDA je vybavení zákazníka nástroji kontroly nad svými údaji. Primárně zákazníci by měli rozhodovali o tom, jak a kdo bude jejich finanční údaje používat. Přístup by měl být založen na výslovném souhlasu zákazníků a uživatelé údajů by museli specifikovat, co s nimi hodlají dělat. Údaje by nemohly být bez souhlasu předány třetí straně. Souhlas by navíc bylo možné kdykoli bezplatně odvolat. Platný souhlas zákazníka by neměl být založen pouze na přístupu „zaškrtávacích políček“ (tick-box) nebo na používání zobecňujících frází. Uživatelé údajů by měli při žádosti o výslovný souhlas zákazníka s použitím jeho údajů upřesnit účel použití údajů, který podléhá souhlasu zákazníka.

FIDA výslovně definuje pojem „povolení“ (permission), jímž se myslí jasné a jednoznačné oprávnění uživatele údajů k přístupu k údajům o zákaznících, které poskytují sami zákazníci a na jehož základě je držitel údajů povinen zpřístupnit požadované údaje pro stanovený účel. Dojde-li k porušení a zákazníkovi vznikne újma, měla by být nahraditelná podle podmínek stanovených ve FDSS.

Kromě povinnosti uživatelů údajů, kteří přijímají údaje o zákaznících, včetně výslovného zákazu předávání údajů o zákaznících třetím stranám bez výslovného souhlasu zákazníka, anebo zajištění práva zákazníka kdykoli bezplatně odvolat svůj souhlas, stanoví FIDA také další záruky ochrany zákazníka. Jednou z nich je například výslovný zákaz odepření finančních služeb spotřebitelům, kteří odmítnou udělit souhlas s přístupem ke svým údajům údajů. Důkazní břemeno spočívá na uživateli údajů, který musí prokázat, že povolení bylo uděleno.

Evropské orgány dohledu mohou společně vypracovat návrhy regulačních technických norem pro provádění tohoto čl. 6 pro konkrétní postupy, včetně předem zaškrtnutých políček a behaviorálních pobídek.

10. Co je datový perimetr?

FIDA stanoví základní požadavky na rámec datového perimetru, který má být dále rozpracován v regulačních pokynech, a v podstatě stanoví, jak by měly být osobní údaje týkající se spotřebitele, které spadají do oblasti působnosti směrnice FIDA, používány (tj. pro které účely by měly být používány). Datový perimetr zjednodušeně představuje rozsah a hranice dat, která mohou být přístupná a sdílená v rámci finančního sektoru pro různé účely. Tento koncept je klíčový pro zajištění bezpečnosti, ochrany osobních údajů a efektivního sdílení informací.

EIOPA má výslovné zmocnění vypracovat návrhy regulačních technických norem pro produkty a služby související s posouzením rizik a stanovením ceny pro spotřebitele v případě produktů životního pojištění, zdravotního pojištění, pojištění motorových vozidel, pojištění domácnosti a pojištění nemoci. Aby se předešlo tomu, že někteří spotřebitelé nebudou mít přístup k pojištění z důvodu příliš granulovaného posouzení rizika, budou tyto regulační technické normy obsahovat ustanovení o tom, jak lze údaje používat, aby se zabránilo přílišné granularitě, která narušuje zásadu „sdílení rizika“ v pojištění. EIOPA by se měla zabývat tím, jak se „právo být zapomenut“ osob, které přežily rakovinu nebo jiná chronická onemocnění a duševní stavy, uplatní ve vztahu k pojistným smlouvám, které se netýkají úvěrů, včetně životního a zdravotního pojištění.

11. Co je permission dashboard?

Permission dashboard je centralizovaný nástroj určený k monitorování a správě oprávnění pro přístup k finančním datům. Tento dashboard umožňuje zákazníkům v reálném čase vidět, kdo má přístup k jejich datům, a kontrolovat tato oprávnění. Prostřednictvím permission dashboardu mohou držitelé dat udělovat, odebírat nebo upravovat přístupová práva jednotlivým finančním institucím a třetím stranám. Tím je zajištěna transparentnost a bezpečnost v oblasti sdílení dat, posiluje se ochrana soukromí a zajišťuje se, že data jsou přístupná pouze autorizovaným subjektům.

Držitel údajů má povinnost poskytnout zákazníkovi přehled oprávnění integrovaný do svého uživatelského rozhraní, aby mohl sledovat a spravovat oprávnění, která zákazník udělil uživatelům údajů. Přehled oprávnění by měl zákazníkovi umožnit spravovat svá oprávnění informovaným a nestranným způsobem a poskytnout mu silnou míru kontroly nad tím, jak jsou jeho osobní a neosobní údaje používány.

Držitel údajů musí zajistit:

a) aby byl panel s povolením snadno dohledatelný v jeho uživatelském rozhraní,

b) aby informace zobrazené na panelu byly jasné, neutrální, přesné a pro zákazníka snadno pochopitelné a aby se omezovaly výhradně na informace poskytnuté příslušným uživatelem údajů,

c) aby informační panel s povolením zákazníkovi umožnit odhlásit se od přístupu k údajům u třetích stran, a to obecně pro všechny současné i budoucí žádosti o povolení přístupu k údajům.

Jakmile již není nutné k údajům o zákaznících přistupovat, měla by je služba FISP vymazat. Podle směrnice FIDA neexistuje žádný jasný časový rámec, kdy a zda vůbec musí poskytovatel FISP znovu potvrdit povolení k používání údajů, na rozdíl od poskytovatele AISP, který tak musí učinit každých 180 dní. Držitel údajů nicméně musí uchovávat záznamy o odvolaných nebo vypršených povoleních po dobu dvou let.

12. Jak je řešeno obchodní tajemství, práva duševního vlastnictví, ochrana údajů a soukromí?

Protože EU chce prostřednictvím FIDA podpořit komplexní prostor pro finanční údaje, je cílem návrhu FIDA usnadnit přístup k údajům, jejich sdílení a zpracování a zároveň zachovat rovnováhu mezi rozvojem obchodních modelů a ochranou práv k individuálním údajům, obchodních tajemství a práv duševního vlastnictví. Držitelé a uživatelé údajů musí tudíž dodržovat důvěrnost a mít pod kontrolou obchodní tajemství a práva duševního vlastnictví.

V souladu s nařízením GDPR musí být zpracování osobních údajů omezeno na to, co je nezbytné ve vztahu k účelu, pro který jsou zpracovávány. Návrh FIDA výslovně uvádí svou použitelnost vedle GDPR a zdůrazňuje nutnost dodržování příslušných požadavků GDPR, včetně stanovení právního základu pro sdílení osobních údajů. Tento paralelní rámec zajišťuje, že držitelé a uživatelé údajů, kteří nakládají s finančními údaji zákazníků podle FIDA, musí dodržovat ustanovení GDPR, čímž se zabrání jakémukoli ohrožení standardů ochrany údajů. Kromě toho, aby byli spotřebitelé dále chráněni před možným zneužitím a porušením ochrany údajů, budou držitelé i uživatelé údajů vázáni pravidly DORA.

Podle návrhu nařízení FIDA by účely zpracování osobních údajů na základě souhlasu zákazníka měly být přísně omezeny na poskytování finančních produktů, finančních služeb nebo finančních informačních služeb. Souhlas by pak měl být kdykoli odvolatelný a vždy zdarma. Uživatel údajů by neměl mít možnost předat údaje o zákaznících třetí straně, nebo dokonce jinému subjektu v rámci stejné skupiny, vlastnické nebo řídicí struktury, bez tohoto výslovného souhlasu. Uživatel údajů, který je FISP, by se neměl stát držitelem údajů tím, že získá přístup k údajům o zákaznících od držitele údajů nebo je od něj jinak obdrží.

13. Jak by měl fungovat dohled v rámci FIDA?

13.1. Stanovení příslušných orgánů dohledu

Příslušné orgány určené členskými státy EU budou vybaveny vyšetřovacími a sankčními pravomocemi, zejména k vyšetřování možných porušení nařízení FIDA a k ukládání správních sankcí a dalších správních opatření.

13.2. Registr

Příslušné orgány a Evropský orgán pro bankovnictví (EBA) by měli zřídit registr oprávněných poskytovatelů finančních informačních služeb (FISP) a také systémy přístupu k finančním údajům dohodnuté mezi držiteli údajů a jejich uživateli (FDSS). Výměna údajů by měla pobíhat mezi EBA a národními registry v automatizované podobě a údaje z registru by měly být strojově čitelné.

13.3. Přezkum systémů pro sdílení dat

Evropské orgány dohledu by měly provádět pravidelné komplexní přezkumy opatření pro správu systémů přístupu k údajům stanovených v čl. 10 odst. 1. Tyto přezkumy zahrnují důkladné a zdokumentované posouzení, zda jsou opatření systémů vhodná a důvěryhodná pro účely zajištění odpovědného zacházení s údaji zákazníků.

13.4. Spolupráce příslušných orgánů s úřady pro ochranu osobních údajů

Návrh FIDA počítá s tím, že příslušné orgány určené členskými státy by měly úzce spolupracovat s úřady pro ochranu osobních údajů, které mají na starosti dohled a vynucování nařízení GDPR.

13.5. Speciální dohled nad „Big Tech“

Podle nového čl. 18a budou podléhat zvláštnímu posouzení entity vlastněné nebo pod kontrolou subjektu určeného jako tzv. gatekeeper podle čl. 3 nařízení (EU) 2022/1925 (DMA).

13.6. Pokuty a sankce

FIDA pamatuje také na pokuty a sankce. Kromě pokut pro fyzické osoby (které tvoří zanedbatelnou část), se stanoví pro právnické osoby maximální správní pokuty ve výši:

a) až do výše 160 000 EUR za každé porušení a až do celkové výše 1 600 000 EUR za rok, nebo v členských státech, jejichž úřední měnou není euro, odpovídající hodnotu v úřední měně tohoto členského státu ke dni ... [pozn: vstupu tohoto nařízení v platnost];

b) 4,5 % celkového ročního obratu právnické osoby za předchozí účetní období podle poslední dostupné účetní závěrky schválené řídícím orgánem;

Příslušným celkovým ročním obratem je čistý obrat nebo výnos, který se stanoví v souladu s příslušnými účetními standardy, podle konsolidované účetní závěrky nejvyššího mateřského podniku, která je k dispozici k poslednímu rozvahovému dni a za kterou jsou odpovědní členové správního, řídícího a dozorčího orgánu nejvyššího podniku.

Příslušné orgány jsou oprávněny uložit opakující pokuty na dobu nejvýše šesti měsíců ode dne uvedeného v rozhodnutí, které může být upraveno v závislosti na závažnosti porušení a potřebách odvětví:

a) 3 % průměrného denního obratu v případě právnické osoby;

b) 30 000 EUR v případě fyzické osoby.

Průměrný denní obrat se pak počítá jako celkový roční obrat vydělený 365.

14. Jaké jsou důsledky FIDA pro byznys?

FIDA je zatím vzdálenou budoucností, ale může mít dalekosáhlé dopady na byznys. Pro mnohé to může znamenat mimořádné investice do nových technologií a aktualizace stávající infrastruktury pro podporu bezpečného a efektivního sdílení dat, resp. zajištění dostatečných IT zdrojů pro správu a ochranu dat. Firmy se musí připravit na změny v data governance, řízení přístupu, zabezpečení dat a dodržování regulačních požadavků. Může jít např. o investice do technologií, školení zaměstnanců a zavedení robustních kontrolních mechanismů, nebo přijetí standardizovaných datových protokolů pro interoperabilitu mezi různými systémy a platformami.

FIDA pravděpodobně podpoří rozvoj nových obchodních modelů založených na datech. Pro menší společnosti by byl přístup k údajům užitečný při získávání nových zákazníků, snižování nákladů a překážek vstupu na trh, čímž by se zvýšila konkurence a inovace finančních produktů a služeb.

FIDA vyvolává však v tomto odvětví velké provozní výzvy a strategické obavy. Provádění všech zásad stanovených ve FIDA pravděpodobně vystaví finanční instituce novým výzvám, ať už vystupují jako držitelé údajů, nebo jako jejich uživatelé. Poskytovatelé finančních informačních služeb (FISP) se stanou hlavními aktéry otevřeného finančního ekosystému a budou se muset vyvíjet jednotným a soudržným způsobem, což bývá v konkurenčním prostředí často neřešitelný problém.

Finanční instituce budou čelit také několika dalším výzvám vyplývajícím z FIDA:

a) finanční instituce se musí do těchto systémů povinně zapojit.

b) musí být vyvinuta a implementována rozhraní API, jejichž prostřednictvím bude možné sdílet široký rozsah dat v reálném čase.

c) musí být zavedeny robustní protokoly pro správu údajů, aby byla zajištěna ochrana soukromí, bezpečnost a dodržování předpisů.

15. Kdy nastane účinnost FIDA?

V současné době návrh FIDA stanoví jako termín účinnosti 32 měsíců od nabytí platnosti FIDA s výjimkou čl. 9 a 13, které se uplatní již 30 měsíců od nabytí platnosti. Jedním dechem však čl. 36 dodává, že na držitele údajů a uživatele údajů se FIDA aplikuje teprve 38 měsíců od její platnosti s výjimkou čl. 9 a 13, které se uplatní již 36 měsíců od nabytí platnosti. Tzn. že dřívější nabytí účinnosti dopadá na ostatní adresáty, kterými jsou například FISP nebo dohledové orgány.

V neposlední řadě chtějí poslanci Evropského parlamentu poskytnout malým firmám dalších 12 měsíců na uplatňování pravidel, aby bylo zajištěno jejich přiměřené zapojení. Pozdější účinnost tak má zohlednit proporcionalitu při zavádění nových pravidel.

Závěr

FIDA je dalším regulačním krokem ve finančním sektoru, který se rychle digitalizuje. Jejím cílem je standardizovat protokoly pro sdílení údajů v souladu s normami otevřeného bankovnictví zavedenými v rámci směrnice PSD2 a pokračujícími v rámci nového nařízení o platebních službách. FIDA však nepůsobí izolovaně. Využívání údajů o zákaznících může mít dopad na povinnosti v oblasti ochrany osobních údajů podle GDPR a kvalifikace jako FISP podle FIDA spouští požadavky na digitální provozní odolnost podle DORA.

Z hlediska národní adaptace FIDA by mělo dojít minimálně k určení příslušného orgánu a jeho notifikaci Komisi, určení jeho pravomocí včetně udělování sankcí a jejich rozsahu podle nařízení FIDA. Příslušné orgány by měly vést registry FISP a FDSS. Komisi by se pak měly oznámit případné vyšší výměry maximálních sankcí nebo jiná administrativní opatření než stanovené v návrhu FIDA.

Návrh FIDA má také řadu nezodpovězených otázek jako je chybějící jednotný standard pro rozhraní pro programování aplikací (API) v celé EU. Uživatelům údajů to může vytvářet značné překážky, protože musí vynakládat značné zdroje na vývoj a údržbu připojení k různým rozhraním API.

S potupnou digitalizací je otázka udělování souhlasu k přístupu k osobním údajům stále důležitější. Na rozdíl od placení za službu, kde je výměna hodnoty jasně definována, jde o zásah do soukromí, který může mít dlouhodobé a často nevratné důsledky. Podle návrhu FIDA by neměl by platit princip „pay or OK“. Lidé se často neuvědomují dopady souhlasu na jejich soukromí. Budování digitální gramotnosti je tak jistě otázkou, která dříve nebo později bude muset přijít na scénu.

Návrh FIDA nikterak neupravuje obchodní nebo cenový model systému pro sdílení dat, kde nutně vzniknou výdaje na vývoj celého systému a jeho provoz. Aby celý systém byl udržitelný, musí cena za poskytnuté služby nebo jiné zdroje příjmu převýšit náklady na vývoj a provoz, a případně vytvořit potřebnou marži. Klíčovým faktorem pro úspěch je nalezení rovnováhy mezi náklady na implementaci a provoz systému a cenou, kterou jsou uživatelé za přístup k datům ochotni zaplatit. Důležitou roli hraje také zajištění právní a technologické podpory, která umožní bezpečné a efektivní sdílení údajů. Prozatím tak není jisté, zda se tento projekt skutečně realizuje, resp. v jaké podobě. Doufejme, že výsledná cena za finanční informační službu nebude „showstopper“.