Az Európai Bizottság a digitális pénzügyi szolgáltatásokról szóló stratégiájában prioritásként határozta meg az adatvezérelt innováció és finanszírozás előmozdítását. Ennek keretében a Bizottság tavaly nyáron előterjesztette új pénzügyi jogszabály csomagját, amely a pénzforgalmi szolgáltatásokról szóló új rendelet és irányelv (PSR, PSD3) tervezete mellett magában foglalja a pénzügyi adatokhoz való hozzáférésről szóló új rendelettervezetet is (FIDA – Financial data access regulation). Utóbbi minden tagállamban közvetlenül hatályos rendeleti szinten szabályozná az ügyféladatokhoz való hozzáférés módjának és a megosztott adatok felhasználásának kereteit.
Az elektronikus fizetéseket és pénzforgalmi szolgáltatásokat szabályozó, jelenleg hatályos PSD2 irányelv (Payment Services Directive 2) lehetővé teszi harmadik félnek minősülő szolgáltatók részére, hogy az ügyfelek engedélyével hozzáférjenek bizonyos ügyfél és számla adatokhoz a fizetési számlák tekintetében. A FIDA rendelettervezet erre épülve egyrészt kiszélesítené a megosztható adatok körét a fizetési számlákon túl egyéb típusú számlákra és termékekre vonatkozóan is, másrészt a megosztásra kötelezett intézmények körét kiterjesztené szinte a teljes pénzügyi szektorra.
Ezen felül a rendelettervezet kísérletet tesz a PSD2 elvein kialakult gyakorlat által felszínre hozott alkalmazási problémák kezelésére. Az egyik ilyen probléma, hogy a PSD2 rendszerében nem volt biztosított az adatmegosztást lehetővé tevő, megfelelő minőségű infrastruktúra kialakításának és fenntartásának finanszírozása. Az egységes követelmények hiánya pedig különböző formátumok kialakulásához és a gyakorlat széttöredezéséhez vezetett. A rendelettervezet a felmerült problémák kezelése érdekében differenciált költségtérítési rendszert vezetne be az adatokat átadó intézmények részére, ami a finanszírozás biztosításával segíti a megfelelő technikai feltételek megteremtését. Az adatmegosztási rendszerek („financial data sharing schemes”) létrehozásával pedig standardizálná a technikai követelményeket és a szerződéses kereteket a piac egységesítése érdekében.
Az ügyfelek biztonságának és az adatmegosztásba vetett bizalmának növelése érdekében további cél, hogy az ügyfelek számára könnyen kezelhető, átlátható és ellenőrizhető legyen az adatmegosztás engedélyezése. Ennek érdekében az adatokat megosztó intézmények olyan felület („financial data access permission dashboard” / „engedély-irányítópult”) működtetésére lennének kötelesek, amelyeken az ügyfelek áttekinthetik, hogy kinek, milyen célra, milyen időtartamra és milyen adatok megosztását engedélyezték, valamint vissza is vonhatják azokat.
Milyen adatok és mely szervezetek érintettek?
A rendelettervezet a következő ügyféladat-kategóriákra vonatkozik:
- lakáscélú jelzáloghitel-megállapodások, hitelek és számlák, beleértve az egyenlegre, a feltételekre és a műveletekre vonatkozó adatokat is;
- megtakarítások, pénzügyi eszközökbe, biztosítási alapú befektetési termékekbe, kriptoeszközökbe, ingatlanba és egyéb kapcsolódó pénzügyi eszközökbe történő befektetések, valamint az ilyen eszközökből származó gazdasági előnyök;
- nyugdíjjogosultságok foglalkoztatói nyugdíjrendszerekben és páneurópai egyéni nyugdíjtermékek nyújtására vonatkozó nyugdíjjogosultságok;
- nem-életbiztosítási termékek, a betegség- és egészségbiztosítási termékek kivételével;
- egy vállalkozás hitelképességi vizsgálatának részét képező adatok, amelyeket a hitelkérelmezési eljárás vagy a hitelminősítés iránti kérelem részeként gyűjtenek.
A pénzügyi kirekesztés kockázatának csökkentése érdekében az adatmegosztás nem terjedne ki a betegség- és egyészségbiztosításokra, az életbiztosítási termékekre vonatkozó adatokra, és a fogyasztók hitelképességi vizsgálatának részeként gyűjtött adatokra.
A FIDA az adatbirtokosként vagy adatfelhasználóként eljáró szervezetekre lenne irányadó, többek között:
- hitelintézetek, pénzforgalmi intézmények, beleértve a számlainformációs szolgáltatókat, és elektronikuspénz-kibocsátó intézmények;
- befektetési vállalkozások, kriptoeszköz-szolgáltatók, eszközalapú tokenek kibocsátói;
- biztosítók és viszontbiztosítók, biztosításközvetítők és kiegészítő biztosításközvetítői tevékenységet végző személyek;
- foglalkoztatói nyugellátást szolgáltató intézmények, páneurópai egyéni nyugdíjtermék szolgáltatók;
- közösségi finanszírozási szolgáltatók;
- hitelminősítő intézetek, pénzügyi információs szolgáltatók.
Az adatmegosztás szabályai, előtérben az ügyfelek biztonsága
A rendelettervezet értelmében az ügyfél elektronikus úton benyújtott kérésére az adatbirtokos az adatfelhasználó rendelkezésére bocsátaná a meghatározott adatokat, de kizárólag abból a célból és olyan feltételek mellett, amelyekre engedélyt kapott. Az ügyfél ugyanakkor az engedélyt döntése szerint visszavonhatná.
Az adatfelhasználó csak megfelelő működési engedéllyel férhetne hozzá az ügyféladatokhoz (akár pénzügyi intézmény – például hitelintézet –, akár pénzügyi információs szolgáltató), és gondoskodnia kellene azok törléséről is, ha azok már nem szükségesek az ügyfél által megadott célhoz. Továbbá az adatbiztonság szavatolása, a nem megfelelő célú adatfelhasználás elkerülése, valamint az üzleti titkok és szellemitulajdon-jogok bizalmasságának biztosítása érdekében szükséges intézkedéseket is meg kellene hoznia az adatfelhasználónak.
Az adatbirtokos ún. engedély-irányítópultot biztosítana az ügyfél számára, az általa adott engedélyek kezeléséhez és nyomon követéséhez.
Ebben áttekinthető lenne az adatfelhasználóknak adott minden érvényben lévő engedély, beleértve a vonatkozó adatokat, mint az adatfelhasználó neve, a megosztással érintett ügyfélszámla, pénzügyi termék vagy pénzügyi szolgáltatás azonosítása, az engedély célja, a megosztott adatok kategóriái vagy az engedély érvényességi ideje. Ezenkívül lehetővé tenné az adatfelhasználóknak adott engedély visszavonását vagy a visszavont engedély megújítását, valamint két évig tartalmazná a visszavont vagy lejárt engedélyekkel kapcsolatos bejegyzéseket.
Az adatbirtokosok és az adatfelhasználók tevékenységüket csak az ún. pénzügyi adatmegosztási rendszerek keretében végezhetnék, és egy-egy adatmegosztás során annak rendszernek a szabályai és módozatai lennének irányadók, amelynek mindkettő tagja.
Ezek olyan szerveződések lennének, amelyek összekapcsolják az adatbirtokosokat, adatfelhasználókat és fogyasztói szervezeteket azáltal, hogy
- adat- és interfészszabványokat dolgoznak ki,
- meghatározzák az engedély-irányítópultok működésének koordinációs mechanizmusait,
- megállapítják az egyes adatkészletekhez való hozzáférést szabályozó közös, szabványosított szerződéses kereteket,
- kidolgozzák az adatbirtokost megillető költségtérítés mértékének megállapítására vonatkozó modellt,
- megalkotják az adatmegosztási rendszer irányítására vonatkozó szabályokat, az átláthatósági követelményeket, a felelősséget és a vitarendezés szabályait.
A felügyelő hatóságok feladatai
A tagállamoknak ki kell jelölniük a rendeletben előírt feladatok és kötelezettségek végrehajtásáért felelős illetékes hatóságokat, és biztosítaniuk kell, hogy az rendelkezzen a feladatai ellátásához szükséges hatáskörökkel és erőforrásokkal.
Az illetékes hatóság felügyelné többek között, hogy a piaci résztvevők adatbirtokosként teljesítik-e az adatmegosztási kötelezettségüket, valamint engedélyezné és felügyelné a pénzügyi információs szolgáltatók vonatkozó tevékenységét is. Ezenkívül vizsgálatokat folytatna a rendelet elvárásainak betartatása érdekében, és szankciót, intézkedést, valamint bírságot alkalmazna a szabályok megsértése esetén.
Módosító javaslatok a FIDA tervezethez
A FIDA rendelettervezetről az Európai Parlament még nem határozott, de annak Gazdasági és Monetáris Bizottsága idén áprilisban már kibocsátotta jelentését a módosító javaslatairól. Ebben a Bizottság többek között javasolja megerősíteni a fogyasztók biztonságát és pozícióját az adatmegosztási engedélyek megadása, visszavonása és az engedély-irányítópultok használata során, valamint pénzügyi kompenzációs mechanizmus kialakítását tenné kötelezővé a fogyasztók javára a megosztott adatok elvesztése, sérülése vagy az adatokkal való visszaélés esetén. Ezenkívül megtiltaná a digitális piacokról szóló EU rendelet által ún. „kapuőrnek” minősített legnagyobb digitális platformszolgáltatók és a tulajdonukban álló vagy az ellenőrzésük alatt álló vállalkozások számára, hogy pénzügyi információs szolgáltatók lehessenek. A Bizottság jelentősen meghosszabbítaná a rendelet hatálybelépését követő alkalmazási határidőket, és ezen felül további 12 hónapos alkalmazási határidőt vezetne be a kisvállalkozások számára, valamint 18-ról 30 hónapra növelné a pénzügyi adatmegosztási rendszerek felállításának és az azokba való belépési kötelezettség határidejét.
Az Európai Parlament első olvasati álláspontjának elfogadása után az Európai Tanács fog határozni a FIDA rendelettervezetről, így elfogadásának várható időpontja még ismeretlen.
A szerző a Magyar Nemzeti Bank felügyeleti tanácsadója.
A címlapkép illusztráció. Címlapkép forrása: Getty Images
