<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">
Finansbloggen

Finansbloggen Aktuelt for finansnæringen,
børsnoterte selskaper
og kapitalmarkedene

Finansbloggen Aktuelt for finansnæringen,
børsnoterte selskaper
og kapitalmarkedene

Midlertidig forskrift til gjennomføring av PSD 2 i Norge

AvDaniel Næsse , 23. august 2018

Daniel-Naesse1

Payment Services Directive 2 (PSD2) er starten på en ny fremtid for finansbransjen. Tiden der vi gjør alle våre finansielle transaksjoner via banken er forbi. PSD2 åpner opp for helt nye muligheter, og for noen vil det nye regelverket bety en helt ny business. Men hvordan skal man forstå hva regelverket tillater og ei, i lys av det siste høringsnotatet sluppet ifm Prop 110 L (2017-2018)? Og hva er forholdet mellom PSD2 og GDPR?

Payment Services Directive 2 (PSD2) innebærer endringer i regelverket for betalingstjenester, herunder særlig adgang for tredjeparter til å tilby tjenester basert på tilgang til kundens konto hos en tradisjonell bank. Frist for gjennomføring av direktivet i EU var 13. Januar 2018.

I Norge har Finansdepartementet 22. Juni 2018 utarbeidet Prop 110 L (2017-2018) for gjennomføring av de offentligrettslige deler av PSD2. De privatrettslige deler av direktivet er behandlet av Justis- og Beredskapsdepartementet i forslag til ny finansavtalelov av 17. September 2017.

Da arbeidet med sistnevne er omfattende, har Justis- og Beredskapsdepartementet 5. Juli 2018 og fremmet forslag til midlertidig forskrift om betalingstjenester, som gjennomføring av privatrettslige deler av PSD2 i Norge.

Dersom forskriften trer i kraft som planlagt - samtidig som endringene foreslått i Prop 110 L nevnt ovenfor - vil konsekvensen være at de vesentlige områder av PSD2 er i kraft i Norge fra samme dato, slik at markedet åpnes for nye aktører og tjenester.

I dette innlegget vil vi kort gjennomgå forskriftens og det tilhørende høringsnotatets hovedinnhold, fra et rettslig ståsted.

Forskriftens hovedinnhold

  • Sikrer kundens rett til å benytte nye tjenester som innføres ved PSD 2
    • Betalingsfullmakttjenester - en tjeneste hvor kunden gir en tredjepart fullmakt til å få utført betalinger fra kundens konto i en bank (i forskriften omtalt som “kontotilbyder”)
    • Kontoinformasjonstjenester - en tjeneste hvor kunden gir en tredjepart fullmakt til å innhente opplysninger om kundens konto hos en eller flere kontotilbydere og sammenfatte/konsolidere disse opplysningene
  • Definerer nye tjenester og aktører
    • Samlet omtales de ovennevnte tjenestene som “fullmakttjenester” og tilbydere av tjenestene som “fullmaktforetak” i forskriften
    • Forskriften medfører at ovennevnte tjenester defineres som “betalingstjenester” etter finansavtaleloven, og at fullmaktforetakene omfattes av loven, som “lignende foretak” etter finansavtaleloven § 1 (2).
  • Sikrer foretak som ønsker å tilby fullmakttjenester
    • Tilgang til kundens konti hos kontotilbyder på grunnlag av fullmakt fra kunden, og uten at kontotilbyder kan stille krav om avtale med fullmaktforetaket
    • Avgrenses kun mot tilfeller der kontotilbyder har konkret grunn til å mistenke at fullmaktforetak opptrer uten korrekt samtykke fra kontohaveren. I slike tilfeller kan kontotilbyder nekte adgang, og må umiddelbart varsle kunden
  • Gjelder “internettbaserte betalingskontoer”
    • Avgrensing mot innskuddskontoer som ikke er “betalingskontoer”
    • Og kontoer som ikke er tilgjengelig på nett
  • Regulerer ansvarsforholdet mellom tilbyder av betalingsfullmakttjenester (“betalingsfullmektig”) og kontoførende bank overfor kunden ved uautoriserte transaksjoner og transaksjoner som ikke gjennomføres korrekt
    • Betalingsfullmektigen har bevisbyrden for at transaksjonen var korrekt autentisert, registrert og ikke rammet av teknisk svikt. Dette avgrenses i høringsnotatet til betalingsfullmektigens “kompetanseområde”.
    • Kontoførende bank har imidlertid ansvar for å tilbakeføre uautoriserte betalinger til kundens konto.
    • Kontoførende bank kan deretter eventuelt gjøre regresskrav gjeldende mot betalingsfullmektigen
    • Regulerer foretakenes opplysningsplikt og øvrige forpliktelser overfor kundene

PSD 2 vs GDPR

Høringsnotatet har også en del som omhandler forholdet mellom ny personopplysningslov som gjennomfører GDPR (General Data Protection Regulation) i Norge og PSD2.  Problemstillingen er svært aktuell siden betalingstjenesteytere (herunder fullmaktforetak) normalt må behandle og lagre personopplysninger om såvel betaler og mottaker, og benytte disse til en rekke behandlingsformål, herunder eksempelvis lovbestemt plikt etter bokførings- og regnskapslovgivning. Dette temaet har vært gjenstand for mye diskusjon i det siste året, fordi enkelte av bestemmelsene i PSD 2, eksempelvis artikkel 94, skaper uklarheter med hensyn til hva som vil utgjøre grunnlag for behandling av personopplysninger for betalingstjenesteytere.

Justis- og beredskapsdepartementets foreløpige vurdering er imidlertid at behandling av personopplysninger hos betalingstjenesteytere etter PSD2 vil kunne skje enten på grunnlag av samtykke til utføring av behandlingen i seg selv, eller til utføring av betalingstjenester, og at dette vil ha rettslig grunnlag i GDPR artikkel 6 nr 1 bokstav a eller bokstav b.

Begrensninger utover GDPR - virksomhetsbegrensninger for fullmaktforetak

Høringsnotatet tar opp ytterligere et aktuelt tema knyttet til bruk av personopplysninger - nemlig hvorvidt direktivets artikkel 66 og 67 er ment til å regulere betalingstjenestetilbyderes bruk av personopplysninger personvernrettslig eller om disse artiklene skal oppfattes som finansregulatoriske virksomhetsbegrensningsbestemmelser.

Slik vi leser departementets vurderinger vil det siste alternativet være det riktige etter departementets syn. Dette medfører isåfall at grensene for hva som oppfattes som kontoopplysningstjenester vil begrense bruken av personopplysninger tilbyderen har om kunden, selv om kunden har gitt fullmakt.

Et praktisk eksempelet som benyttes i høringsnotatet, er at opplysningsfullmektigen ikke vil kunne inngå avtale med / innhente fullmakt fra kunden om å markedsføre telefoniprodukter basert på informasjon fra kundens kontoutskrift - fordi dette ligger utenfor hva som omfattes av kontoopplysningstjenester.

 

 

Det blir interessant å følge med på utvikling og avklaring av såvel norsk implementering av PSD2 som på EU-nivå (eksempelvis avklaringer fra EBA rundt forståelse av direktivet). Men enda mer spennende er det å følge med på hvordan markedet for betalingstjenester i Norge vil endres når tilgang til kundenes konto blir åpnet for fullmaktforetakene.

Ta gjerne kontakt med meg om du har spørsmål eller kommentarer til artikkelen eller PSD2 ellers!

Interesseområder: Bank og finans

Dele artikkelen:

Daniel Næsse

Daniel Næsse
Hei, jeg heter Daniel Næsse og jeg er advokat i PwC. Jeg arbeider mye med de ulike regelverkene som gjelder for tjenester innenfor finanssektoren, og spesielt med spørsmål rundt verdipapirhandelloven. I forbindelse med MiFID II direktivet vil det bli store endringer på dette området, og jeg er tilknyttet PwC sin internasjonale arbeidsgruppe for bistand til klienter i forbindelse med innføringen av MiFID II. Av andre aktuelle områder kan jeg nevne finansforetaksloven, AIF-loven, godtgjørelsesordninger i finanssektoren, regelverk om kapitalkrav (Solvency II, CRD IV), kommende IDD og PRIIPs regelverk fra EU. Ta gjerne kontakt med meg.
daniel.naesse@pwc.com

Kommentere

Følg bloggen