Umsögn Persónuverndar um drög að frumvarpi til nýrra laga um greiðsluþjónustu
Mál nr. 2020112872
Efni: Umsögn Persónuverndar um drög að frumvarpi til nýrra laga um greiðsluþjónustu.
Persónuvernd vísar til draga að frumvarpi fjármála- og efnahagsráðuneytisins til nýrra laga um greiðsluþjónustu (PSD2, greiðsluvirkjun, reikningsupplýsingaþjónusta, sterk sannvottun, öryggismál, breyting á lögum um útgáfu og meðferð rafeyris), sem var birt í samráðsgátt stjórnvalda þann 4. nóvember 2020.
Frumvarpsdrögin fela í sér ný heildarlög um greiðsluþjónustu. Með því er lagt til að ákvæði tilskipunar (ESB) 2015/2366 um greiðsluþjónustu á innri markaðnum (PSD2) verði innleidd í íslenskan rétt. Jafnframt eru lagðar til einstakar breytingar á lögum um útgáfu og meðferð rafeyris nr. 17/2013, sem einnig byggjast á efni tilskipunarinnar.
Persónuvernd gerir athugasemdir við eftirfarandi atriði:
1.
Í 21. gr. frumvarpsdraganna segir að greiðslustofnun beri að varðveita öll viðeigandi gögn er varði II. kafla laganna að lágmarki í fimm ár.
Persónuvernd leggur til að við 21. gr. bætist ný málsgrein, 2. mgr., þar sem kveðið er á um að ekki skuli varðveita persónuupplýsingar lengur en málefnaleg ástæða er til. Er breytingin lögð til að tryggja að ábyrgðaraðilar fari að kröfum persónuverndarlaga er lúta að meðalhófi og varðveislu, sbr. 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Ákvæði 2. mgr. 21. gr. frumvarpsins yrði þá svohljóðandi:
„Að öðru leyti en kveðið er á um í 1. mgr. skal þess gætt að persónuupplýsingar séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu.“
2.
Í 3. mgr. 65. gr. frumvarpsdraganna segir að staðfesting sem um er getið í 1. mgr. sama ákvæðis, skuli, í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga, aðeins vera einfalt „já“ eða „nei“ og skuli ekki koma fram í reikningsyfirliti og heimili ekki greiðsluþjónustuveitandanum sem veiti reikningsþjónustu að frysta fjármuni á greiðslureikningi greiðandans. Einnig segir í 3. mgr. að hvorki skuli geyma svarið né nota það í öðrum tilgangi en vegna framkvæmdar á kortatengdu greiðslunni.
Að mati Persónuverndar er nauðsynlegt að skýrt verði nánar til hvaða sjónarmiða í lögum um persónuvernd og vinnslu persónuupplýsinga vísað er til í framangreindu ákvæði. Leggur Persónuvernd til að bætt verði við útskýringu þess efnis í athugasemdum við ákvæðið í greinargerð.
3.
Í 1. mgr. 68. gr. frumvarpsdraganna segir að greiðsluvirkjandi megi hvorki nota, nálgast né geyma gögn í öðrum tilgangi en til að veita greiðsluvirkjun sem greiðandinn óski eftir.
Í athugasemdum við ákvæðið segir að greiðsluvirkjandi geti hins vegar gert samning við notanda greiðsluþjónustunnar um notkun gagnanna í öðrum tilgangi sem tengist ekki veitingu greiðsluþjónustunnar, t.d. til að halda til haga upplýsingum um hvar og hjá hvaða söluaðilum fjármunum var eytt og hve mikið og einnig til að geta boðið upp á vildar- og fríðindakerfi.
Persónuvernd vekur athygli á misræmi á milli texta ákvæðisins og athugasemda við ákvæðið í greinargerð með frumvarpsdrögunum. Í lagatextanum segir að óheimilt sé að nota, nálgast eða geyma gögn í öðrum tilgangi en greiðandi óski eftir, en í athugasemdum segir að greiðsluvirkjandi geti gert samning við notanda greiðsluþjónustunnar um notkun gagnanna í öðrum tilgangi. Samkvæmt 12. tölul. 3. gr. frumvarpsdraganna er greiðandi einstaklingur eða lögaðili sem á greiðslureikning og heimilar greiðslufyrirmæli tengd greiðslureikningnum eða, þegar engum greiðslureikningi er fyrir að fara, einstaklingur eða lögaðili sem gefur greiðslufyrirmæli. Þá er notandi greiðsluþjónustu skilgreindur í 29. tölul. sömu greinar sem einstaklingur eða lögaðili sem nýtir sér greiðsluþjónustu sem greiðandi, viðtakandi eða hvort tveggja. Af framangreindu verður því ekki annað ráðið en að skilgreining á notanda greiðsluþjónustu geti átt við bæði greiðendur og viðtakendur. Veita athugasemdir við ákvæðið því rýmri heimildir til notkunar gagna sem safnast hafa hjá greiðsluvirkjanda en ákvæðið sjálft.
Persónuvernd telur nauðsynlegt að framangreint misræmi í texta ákvæðisins og greinargerð verði lagfært á þann hátt að athugasemdir við ákvæðið endurspegli ákvæðið sjálft.
4.
Í 113. gr. frumvarpsdraganna er fjallað um opinbera birtingu stjórnvaldsviðurlaga. Samkvæmt 1. mgr. ákvæðisins skal Fjármálaeftirlitið birta án tafar á vefsíðu sinni sérhverja niðurstöðu um beitingu stjórnvaldsviðurlaga. Í ákvæðinu segir einnig að niðurstaða sem birt er skuli að lágmarki innihalda upplýsingar um tegund og eðli brots og nafn hins brotlega. Þá segir í 2. mgr. 113. gr. að telji eftirlitið að opinber birting á nafni hins brotlega, annarra lögaðila eða einstaklinga sem fram koma í niðurstöðunni samræmist ekki meðalhófsreglu stjórnsýsluréttar geti það frestað birtingu eða birt niðurstöðu án þess að nafngreina hinn brotlega eða aðra lögaðila eða einstaklinga sem fram koma í ákvörðuninni. Í 3. mgr. 113. gr. segir að í tilvikum nafnlausrar birtingar sé Fjármálaeftirlitinu heimilt að birta nafn viðkomandi þegar ástæður fyrir nafnleynd eigi ekki lengur við. Þá segir í 5. mgr. ákvæðisins að niðurstöður skuli vera birtar á vefsíðu Fjármálaeftirlitsins í að lágmarki fimm ár og að persónuupplýsingar sem komi fram í niðurstöðum skuli ekki vera birtar lengur en málefnalegar ástæður kalli á það í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga. Þá segir að lokum í 6. mgr. að Fjármálaeftirlitið skuli birta á vefsíðu sinni þá stefnu sem eftirlitið fylgi við framkvæmd birtingar samkvæmt þessari grein.
Að mati Persónuverndar er nauðsynlegt að við gerð stefnu Fjármálaeftirlitsins samkvæmt fyrrnefndri 6. mgr. 113. gr. draganna verði höfð hliðsjón af meginreglum persónuverndarlaga, svo sem um meðalhóf við vinnslu, sem og ákvæða upplýsingalaga nr. 140/2012, þ. á m. takmarkana á upplýsingarétti almennings vegna einkahagsmuna samkvæmt 9. gr. þeirra laga. Persónuvernd leggur til að í fyrrnefndri stefnu verði skýrt kveðið á um flokka þeirra einstaklinga sem gætu almennt þurft að sæta nafnbirtingu, þ. á m. hvort einungis verði birt nöfn þeirra sem Fjármálaeftirlitið hefur talið brjóta gegn ákvæðum laganna, eða annarra, t.d. þeirra sem gefa skýrslur við meðferð máls.
5.
Að auki gerir Persónuvernd eftirfarandi athugasemdir við orðalag í frumvarpsdrögunum:
Í fyrsta lagi er gerð athugasemd við að í frumvarpsdrögunum er víða vísað til meðferðar persónuupplýsinga, til dæmis í 99. gr., þar sem segir meðal annars að „[u]m meðferð persónuupplýsinga fer samkvæmt lögum um vinnslu persónuupplýsinga […].“ Persónuvernd telur æskilegra að talað sé um vinnslu persónuupplýsinga og leggur til að frumvarpsdrögin verði yfirfarin með hliðsjón af því.
Í öðru lagi bendir Persónuvernd á að víða í frumvarpsdrögunum er vísað til skýlauss samþykkis, en í athugasemdum með 65. gr. draganna kemur meðal annars fram að slíkt samþykki þurfi að vera veitt með aðgerð og að þögn jafngildi ekki samþykki. Einnig segir að í enskri útgáfu tilskipunarinnar sé notast við hugtakið „explicit consent“, sem var þýtt sem afdráttarlaust samþykki við þýðingu reglugerðar (ESB) 2016/679. Einnig segir að Evrópska persónuverndarráðið hafi gefið það út að hugtakið, samkvæmt þeirri tilskipun sem hér er verið að innleiða í íslenskan rétt, sé ekki hið sama og í reglugerð (ESB) 2016/679. Með hliðsjón af framangreindu telur Persónuvernd æskilegt að drögin skýri nánar hvaða kröfur séu gerðar til skýlauss samþykkis og að hvaða leyti slíkt samþykki sé frábrugðið afdráttarlausu samþykki samkvæmt reglugerð (ESB) 2016/679.
Í þriðja lagi bendir Persónuvernd á að í frumvarpsdrögunum, svo sem í 68. og 71. gr. þeirra, segir að ekki megi nota, nálgast né geyma gögn. Í þessu sambandi vekur Persónuvernd athygli á að í stað orðalagsins „nota, nálgast eða geyma“ sé æskilegra að notast við orðalagið „vinna með“. Vinnsla er í 4. tölul. 1. mgr. 3. gr. laga nr. 90/2018 skilgreind sem aðgerð eða röð aðgerða þar sem persónupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging. Að mati Persónuverndar er æskilegt að notast sé við framangreint vinnsluhugtak persónuverndarlaga, enda getur það orðalag sem notað er í frumvarpsdrögunum leitt til óskýrrar réttarstöðu og óvissu hvort tiltekin vinnsla persónuupplýsinga sé heimil.
Í fjórða lagi er vakin athygli á því að í 71. gr. frumvarpsdraganna er vísað til reglna um persónuvernd. Persónuvernd leggur til að í stað þess að vísa til reglna um persónuvernd verði vísað til laga um persónuvernd og vinnslu persónuupplýsinga.
6.
Ekki
eru að öðru leyti gerðar athugasemdir við efni frumvarpsdraga að svo stöddu. Persónuvernd
áskilur sér rétt til að koma á framfæri frekari athugasemdum við þinglega
meðferð málsins ef stofnunin telur þörf á. Verði frekari umsagnar óskað um
einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Helga Sigríður Þórhallsdóttir Inga Amal Hasan