Projekt rozporządzenia w sprawie ram dostępu do danych finansowych (FiDAR)

Porządek czasowy

02.12.2024 – Publikacja tekstu kompromisowego Rady

30.04.2024 – Raport Parlamentu Europejskiego w sprawie propozycji FIDAR

28.06.2023 – Projekt FiDAR

Zakres przedmiotowy

FiDAR znajduje zastosowanie do danych klienta (osoby fizycznej lub prawnej, która korzysta z produktów i usług finansowych) dotyczących:

• umów o kredyt hipoteczny, pożyczek i rachunków, z wyjątkiem rachunków płatniczych określonych w PSD2, w tym danych dotyczących salda, warunków i transakcji
• oszczędności, inwestycji w instrumenty finansowe, ubezpieczeniowych produktów inwestycyjnych, kryptoaktywów, nieruchomości i innych powiązanych aktywów finansowych, a także korzyści gospodarczych uzyskanych z takich aktywów, w tym danych zgromadzonych do celów przeprowadzenia oceny odpowiedniości i adekwatności
• praw emerytalnych w pracowniczych programach emerytalnych
• uprawnień emerytalnych w ramach ogólnoeuropejskich indywidualnych produktów emerytalnych
• ubezpieczeń innych niż ubezpieczenie na życie, z wyjątkiem ubezpieczeń chorobowych i zdrowotnych, w tym danych gromadzonych do celów oceny wymagań i potrzeb, a także oceny odpowiedniości i stosowności

Zakres podmiotowy

Rozporządzenie obejmuje swoim zakresem zastosowania szeroko rozumiane instytucje finansowe, które mogą występować w charakterze posiadacza lub użytkownika danych klienta. FiDAR jest stosowane do:

• instytucji kredytowych
• instytucji płatniczych, w tym dostawców świadczących usługę dostępu do informacji o rachunku oraz instytucji płatniczych zwolnionych zgodnie z PSD2 (np. MIP)
• instytucji pieniądza elektronicznego, w tym instytucji pieniądza elektronicznego zwolnionych zgodnie z PSD2
• firm inwestycyjnych
• dostawców usług w zakresie kryptoaktywów
• emitentów tokenów powiązanych z aktywami
• zarządzających alternatywnymi funduszami inwestycyjnymi
• spółek zarządzających przedsiębiorstwami zbiorowego inwestowania w zbywalne papiery wartościowe
• zakładów ubezpieczeń i zakładów reasekuracji
• pośredników ubezpieczeniowych i pośredników oferujących ubezpieczenia uzupełniające
• instytucji pracowniczych programów emerytalnych
• agencji ratingowych
• dostawców usług finansowania społecznościowego
• dostawców OIPE
• dostawców usług z zakresu informacji finansowych (FISP)

Zakresem zastosowania FiDAR nie są objęte podmioty, które zostały wyłączone z zakresu zastosowania rozporządzenia DORA (m.in. pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające będący mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami).

Dostęp do danych

Obowiązek udostępnienia danych klientowi

Posiadacz danych zobowiązany jest na żądanie klienta przekazane drogą elektroniczna udostępnić temu klientowi dane objęte zakresem zastosowania FiDAR. Udostępnienie powinno nastąpić niezwłocznie, nieodpłatnie i być prowadzone w sposób ciągły i w czasie rzeczywistym.

Obowiązki posiadacza danych

Dane mogą być udostępniane nie tylko samemu klientowi, ale także użytkownikowi danych (tj. innemu podmiotowi finansowemu lub dostawcy usług z zakresu informacji finansowej (FISP)). Zasady udostępnienia danych są w tym zakresie analogiczne jak w przypadku udostępnienia danych klientowi, z tym zastrzeżeniem, że dane są udostępniane wyłącznie do celów, do których klient udzielił zezwolenia użytkownikowi. W przypadku, kiedy udostępnienie danych odbywa w ramach systemu udostępnienia danych finansowych, posiadacz danych może żądać od użytkownika opłaty za ich udostępnienie. W ramach udostępnienia danych, posiadacz danych:

• udostępnia użytkownikowi danych dane klienta w formacie opartym na ogólnie uznanych standardach i co najmniej w takiej samej jakości, jaką dysponuje ten posiadacz danych
• bezpiecznie komunikuje się z użytkownikiem danych zapewniając odpowiedni poziom bezpieczeństwa przetwarzania i przekazywania danych klienta
• wymaga od użytkowników danych wykazania, że uzyskali zezwolenie klienta na dostęp do danych
• zapewnia klientowi panel do zarządzania zezwoleniami w celu monitorowania zezwoleń i zarządzania nimi
• przestrzega poufności tajemnic przedsiębiorstwa i praw własności intelektualnej

Obowiązki użytkownika danych

Dane klienta mogą być udostępniane wyłącznie instytucji podlegającej obowiązkowi uzyskania zezwolenia właściwego organu jako instytucja finansowa lub jako dostawca usług z zakresu informacji finansowej (FISP). Dostęp do danych przez użytkownika następuje wyłącznie w celach i na warunkach, w związku z którymi dany klient udzielił zezwolenia. Użytkownik danych jest zobowiązany do ich usunięcia, kiedy nie są one już potrzebne do tych celów. Udzielone przez klienta wcześniej zezwolenie może być przez niego cofnięte. Ponadto, celem zapewnienia skutecznego zarządzania danymi klientów, użytkownik danych:

• nie przetwarza żadnych danych klienta w celach innych niż wykonanie usługi wyraźnie zleconej przez klienta
• przestrzega poufności tajemnic przedsiębiorstwa i praw własności intelektualnej
• wprowadza odpowiednie środki techniczne, prawne i organizacyjne w celu zapobiegania niezgodnemu z prawem Unii lub z prawem krajowym przekazywaniu nieosobowych danych klienta lub dostępowi do tych danych
• wprowadza niezbędne środki w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przechowywania, przetwarzania i przekazywania nieosobowych danych klienta
• nie przetwarza danych klienta do celów reklamowych, z wyjątkiem marketingu bezpośredniego zgodnie z prawem unijnym i krajowym
• w przypadku gdy użytkownik danych jest częścią grupy przedsiębiorstw, dane klienta są dostępne wyłącznie dla podmiotu należącego do danej grupy, który działa jako użytkownik danych, i wyłącznie przez niego przetwarzane

Panel do zarządzania zezwoleniami

Na gruncie FiDAR posiadacz danych zobowiązany jest do udostępnienia klientowi panelu do zarządzania zezwoleniami dostępu do danych (Financial Data Access permission dashboard). Panel ma posiadać następujące funkcjonalności:

• ma zapewnić klientowi przegląd wszystkich bieżących zezwoleń przyznanych użytkownikom danych (nazwa użytkownika danych, rachunek klienta, produkt finansowy lub usługę finansową, cel udzielenia zezwolenia, kategoria udostępnianych danych, okres obowiązywania zezwolenia)
• ma umożliwić klientowi cofnięcie udzielonego zezwolenia
• ma umożliwić klientowi przywrócenie cofniętych zezwoleń
• ma zawierać rejestr zezwoleń, które zostały wycofane lub wygasły, obejmujący okres dwóch lat

Panel ma być łatwy do odnalezienia w interfejsie użytkownika, a informacje tam wyświetlane mają być przejrzyste, dokładne i zrozumiałe dla klienta.

FiDAR nakłada na posiadacza i użytkownika danych obowiązek współpracy w celu udostępniania informacji klientowi za pośrednictwem pulpitu w czasie rzeczywistym. W tym celu:

• posiadacz danych informuje użytkownika danych o wprowadzonych przez klienta za pośrednictwem panelu zmianach w zezwoleniu dotyczącym tego użytkownika danych
• użytkownik danych informuje posiadacza danych o udzielonym przez klienta nowym zezwoleniu dotyczącym danych klienta będących w posiadaniu tego posiadacza danych, wskazując cel zezwolenia udzielonego przez klienta, okres obowiązywania zezwolenia, kategorie odnośnych danych

Systemy udostępniana danych finansowych

Uczestnictwo w systemie udostępnianych danych finansowych

FiDAR wprowadza instytucje systemów udostępniana danych (Financial data sharing scheme) i zobowiązuje posiadaczy i użytkowników danych, aby stali się uczestnikami co najmniej jednego takiego systemu (przy czym nie wyklucza się, aby dany podmiot był uczestnikiem w wielu systemach) w terminie 18 miesięcy od wejścia w życie FIDAR. Udostępnianie danych pomiędzy uczestnikami systemu odbywa się na zasadach tego systemu.

System udostępniania danych

FiDAR przewiduje, że:

• uczestnikami systemu są posiadacze danych i użytkownicy danych stanowiący znaczącą część rynku danego produktu lub usługi oraz stowarzyszenia klientów i organizacje konsumenckie
• przepisy mające zastosowanie do uczestników systemu mają zastosowanie w równym stopniu do wszystkich uczestników i niedozwolone jest nieuzasadnione uprzywilejowane lub zróżnicowane traktowanie uczestników
• regulamin uczestnictwa w systemie zapewnia, aby system był otwarty na uczestnictwo dowolnego posiadacza i użytkownika danych, w oparciu o obiektywne kryteria, oraz aby wszyscy uczestnicy byli traktowani w sposób sprawiedliwy i równy
• system nie nakłada żadnych kontroli ani dodatkowych warunków dotyczących udostępniania danych innych niż przewidziano w FiDAR lub innych obowiązujących aktach prawa UE
• system obejmuje mechanizm umożliwiający zmianę jego regulaminu po przeprowadzeniu analizy skutków i uzyskaniu zgody większości, odpowiednio, w obu grupach – posiadaczy i użytkowników danych
• system obejmuje zasady dotyczące przejrzystości oraz, w stosownych przypadkach, składania sprawozdań uczestnikom
• system obejmuje wspólne standardy dotyczące danych i interfejsów technicznych, aby umożliwić klientom składanie wniosków o udostępnienie danych (standardy mogą być opracowane przez uczestników systemu lub inne podmioty)
• w ramach systemu określi się odpowiedzialność umowną uczestników, w tym w przypadku danych niedokładnych, nieodpowiedniej jakości lub naruszenia bezpieczeństwa danych, czy niewłaściwego ich wykorzystywania
• w ramach systemu przewiduje się niezależny, bezstronny, przejrzysty, skuteczny system rozstrzygania sporów między uczestnikami systemu i kwestii związanych z uczestnictwem

System udostępniania danych podlega zgłoszeniu do właściwego organu dla miejsca siedziby trzech najbardziej znaczących posiadaczy danych, którzy są jego uczestnikami w momencie ustanowienia. Jeżeli trzej najbardziej znaczący posiadacze danych mają siedzibę w różnych państwach lub jeżeli w państwie, w którym mają siedzibę istnieje więcej niż jeden właściwy organ, system zgłasza się wszystkim tym organom, które uzgadniają między sobą, który organ przeprowadzi ocenę zgodności systemu z wymogami FiDAR. Zgłoszenia dokonuje się w terminie jednego miesiąca od utworzenia systemu i zawiera ono zasady zarządzania tym systemem oraz jego charakterystykę.

Przystąpienie nowych uczestników do systemów udostępniania danych finansowych jest możliwe w dowolnym momencie na warunkach obowiązujących aktualnych uczestników. W terminie jednego miesiąca od przystąpienia do systemu posiadacz danych powiadamia właściwy organ o systemach udostępniania danych finansowych, w których uczestniczy.

W przypadku braku utworzenia systemu udostępniania danych, Komisja jest uprawniona do przyjęcia aktu delegowanego dookreślającego na jakich warunkach ma dochodzić do udostępniania danych.

Opłata za udostępnienie danych

Zgodnie z FiDAR w ramach systemu udostępnienia danych finansowych ustanowi się również model służący określeniu maksymalnej opłaty, jaką posiadacz danych ma prawo pobierać za udostępnianie danych za pośrednictwem odpowiedniego interfejsu technicznego. Model ma opierać się na następujących zasadach:

• powinien być ograniczony do rozsądnej opłaty
• powinien opierać się na obiektywnej, przejrzystej i niedyskryminacyjne metodyce uzgodnionej przez uczestników systemu
• powinien opierać się na kompleksowych danych rynkowych zebranych od użytkowników i posiadaczy danych na temat każdego z uwzględnianych elementów kosztów
• powinien być poddawany okresowym przeglądom i monitorowany do celów uwzględnienia postępu technologicznego
• powinien być opracowany w taki sposób, aby zrównywać opłatę do najniższych poziomów występujących na rynku
• powinien być ograniczony do wniosków o udostępnienie danych klienta lub – w przypadku połączonych wniosków o udostępnienie danych – proporcjonalny do powiązanych zbiorów danych objętych zakresem tego artykułu

Dostawca usług z zakresu udostępniania danych

FiDAR wprowadza nowy rodzaj zezwolenia – zezwolenie dostawcy usług z zakresu informacji finansowych (Financial information service provider, FISP). Dostawca ten na gruncie FiDAR może działać zarówno jako posiadacz danych jak i użytkownik danych. Do wniosku o udzielenie zezwolenia FISP należy przedłożyć m.in.:

• program działalności określający w szczególności rodzaj planowanego dostępu do danych
• biznesplan zawierający prognozę budżetu na pierwsze trzy lata obrotowe
• opis stosowanych zasad zarządzania i mechanizmów kontroli wewnętrznej, w tym procedur administracyjnych, procedur zarządzania ryzykiem i procedur księgowych, jak również ustaleń dotyczących korzystania z usług ICT zgodnie z DORA
• opis procedury wprowadzonej w celu monitorowania incydentów związanych z bezpieczeństwem i skarg klientów dotyczących bezpieczeństwa oraz postępowania i działań następczych w przypadku wystąpienia takich incydentów i skarg, łącznie z mechanizmem zgłaszania takich incydentów
• opis rozwiązań zapewniających ciągłość działania

FISP mają obowiązek posiadać ubezpieczenie od odpowiedzialności cywilnej (lub porównywalną gwarancję) z tytułu działalności zawodowej na terytoriach, na których uzyskują oni dostęp do danych. Alternatywnym rozwiązaniem od posiadania ubezpieczenia jest posiadanie kapitału założycielskiego w wysokości 50 000 EUR.

Informacje DLK

Jeśli chcesz być na bieżąco ze sprawami regulacyjnymi, zarejestruj się i otrzymuj informacje o ważnych wydarzeniach regulacyjnych i branżowych, oraz aktywnościach DLK Legal: Rejestracja do powiadomień.