PSD2 a GDPR – harmonie či disonance?

Jak GDPR, tak PSD2 staví na obecném principu, že výlučným vlastníkem osobních údajů je jednotlivec a ten má mít možnost rozhodnout, jakým způsobem budou jeho data zpracovávána, používána a s kým budou sdílena. V okamžiku, kdy se začneme zabývat konkrétní implementací, jsme však konfrontováni nemalými výzvami sladit požadavky obou směrnic v reálné praxi.

Náš příspěvek se soustředí na dvě klíčová témata:

1. vymezení odpovědnosti za získání souhlasu klienta umožňujícího bankám sdílení jeho platebních údajů a dat se třetími stranami („TPP“) v souladu s PSD2; a
2. vymezení “citlivých údajů o platbách”.¹

Souhlas klienta

V rámci PSD2 budou moci TPP přistupovat napřímo k informacím o klientově platebním účtu. Tento přístup bude podmíněn výslovným souhlasem klienta, na jehož základě budou TPP moci využít infrastrukturu banky za účelem poskytnutí dvou nových platebních služeb, a to služby nepřímého dání platebního příkazu (PIS) či služby informování o platebním účtu (AIS).²  TPP v podstatě bude využívat principu přenositelnosti dat zaváděného GDPR. V praxi nicméně zůstává nevyřešena klíčová otázka – která strana by měla souhlas klienta zajistit.

Z pohledu GDPR budou banky správci dat svých klientů a budou odpovědné za účel a způsob, jakým budou osobní údaje klientů zpracovávány a sdíleny. GDPR ukládá správci dat odpovědnost za implementaci opatření „že prokazatelně jednají jménem subjektu údajů“. Nadto však PSD2 stanoví, že TPP jsou oprávněny přistupovat k informacím za „účelem konkrétně požadovaným klientem“ vztaženým k poskytnutí služby informování o platebním účtu či služby nepřímého dání platebního příkazu, nikoli tedy za jiný účelem.

Po pečlivém zvážení těchto souběžných požadavků jsme názoru, že TPP budou iniciátory zajištění si souhlasu klienta za účelem využití dat souvisejících s poskytnutím konkrétní platební služby, případně souhlasu s dalším využitím těchto dat nad rámec platebních služeb dle PSD2. Naopak banky dle našeho názoru ponesou odpovědnost za poskytnutí informací o platebním účtu pouze prostřednictvím TPP, u něhož budou mít potvrzeno udělení souhlasu přímo svými klienty. Takový souhlas bude pravděpodobně zahrnovat potvrzení údajů, jako je identita TPP, s nimiž si klient přeje sdílet svá data, rozsah dat, která budou sdílena, včetně související četnosti a délky udělení takového souhlasu. Dvoustupňový proces, kdy je souhlas od klienta získán a až následně potvrzen, má potenciál zajistit lepší ochranu jak samotným TPP, tak i bankám a klientům.

Náš názor je v souladu s návrhem API standardu nedávno publikovaným britskou vládní iniciativou UK Open Banking. Zatímco britský Open Banking API standard, který nabude účinnosti v lednu 2018, bude povinný pouze pro devět největších britských bank³ a bude se vztahovat na užší spektrum produktů, než definuje PSD2, britský regulátor (Financial Conduct Authority – FCA) a ministerstvo financí (HM Treasury – HMT) se snaží motivovat (PDF) všechny banky a třetí strany – TPP, aby přijaly tyto standardy jako společný základ pro bezpečné a efektivní sdílení bankovních dat.

Lze předpokládat, že banky a třetí strany napříč EU budou tyto standardy sledovat se zájmem, a budou se jimi inspirovat, nebo se k nim dobrovolně připojí.

Citlivé údaje o platbách

Aktuální návrh regulatorních technických standardů (RTS) pro silné ověření klienta (SCA) a bezpečnou komunikaci (SC) v rámci PSD2 stanoví, že banky jsou povinny poskytnout poskytovatelům služby informování o platebním účtu (označovaným jako AISP) stejné informace, jaké jsou dostupné klientovi při přímém online přístupu k jeho informacím o účtu, nesmí se však při tom jednat o „citlivé údaje o platbách“.

Shora uvedená podmínka se však jeví jako problematická, neboť právní úprava konkrétně nestanoví, co ony „citlivé údaje o platbách“ jsou. Podle PSD2 (resp. RTS) se jedná o veškeré údaje, včetně personalizovaných bezpečnostních údajů, které by mohly být zneužity k provedení podvodu. Posouzení toho, které údaje jsou považovány za citlivé, však ponechává na bankách.⁴

GDPR definuje „osobní údaje“ jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je ta, kterou lze přímo či nepřímo odlišit zejména odkazem na určitý identifikátor, například jméno, rodné číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků, včetně ekonomické identity této fyzické osoby.

GDPR však zároveň umožňuje členským zemím EU stanovit si svá vlastní pravidla „pro zpracování zvláštních kategorií osobních údajů (‘citlivých údajů’)“, definovaných jako osobní údaje o rasovém či etnickém původu, politických názorech, náboženském či filozofickém přesvědčení, nebo odborovém členství, a zpracování genetických a biometrických dat.

Chybějící jasné vymezení, co vlastně představují „citlivé údaje o platbách“, představuje výzvu v rámci interpretace a implementace a zvyšuje riziko regulatorního nesouladu. Bez dalšího upřesnění by se mohlo stát, že některé banky zaujmou spíše riziko-averzní přístup a prohlásí za citlivé údaje všechny, které bude možné do této kategorie zařadit, aby se vyhnuly možnému nesplnění regulatorních požadavků jak dle PSD2, tak GDPR. Toto samo o sobě může představovat výzvu, neboť zkonsolidovat požadavky obou regulací prostřednictvím technik „fuzzy logiky“ představuje složité, nákladné a zdaleka ne stoprocentně spolehlivé cvičení.⁵

Pozn. autora: Ve Velké Británii si vláda a regulatorní orgány již tyto výzvy uvědomily (PDF). Ministerstvo financí (HMT), FCA a Úřad pro ochranu osobních údajů aktuálně společně pracují na zajištění pragmatického přístupu ke sladění požadavků v rámci GDPR a PSD2.

Přechodné období

Další komplikaci z pohledu přenosu dat představuje fakt, že RTS pro silné ověření klienta a bezpečnou komunikaci (zpřesňující pravidla přístupu k platebním účtům klientů a související sdílení dat) zatím nebyly definitivně dokončeny, a tudíž se neočekává, že by vstoupily v účinnost dříve než ve druhém čtvrtletí roku 2019.⁶

Jednou z oblastí, kde zatím nebylo v RTS dosaženo shody, je umožnění tzv. „screen scrapingu“.⁷  Oba unijní orgány, jak Evropský orgán pro bankovnictví (EBA), tak Evropská komise souhlasí s tím, že třetí strany (TPP) mohou v rámci přechodného období (od ledna 2018 do data účinnosti RTS) nadále pokračovat ve využívání této praxe pro přístup k informacím o platebním účtu klienta a pro nepřímé dání platebního příkazu.⁸  V případě použití screen scrapingu je však pro banky velmi obtížné, a často i nemožné, omezit přístup pouze na data v rozsahu klientem uděleného souhlasu a být tak v souladu s dalšími požadavky na ochranu osobních údajů. Při aplikaci tohoto modelu tedy nebudou mít banky prakticky možnost si ověřit, zda a jaký charakter souhlasu byl klientem poskytnut.

Pro úplnost dodáváme, že v průběhu legislativního procesu se objevil pozměňovací návrh k zákonu o platebním styku (zákon implementující PSD2 do českého právního řádu), který počítal i s variantou, kdy budou pravidla přístupu TPP k platebnímu účtu řešena uzavřením dohody mezi bankou a TPP. Taková dohoda měla objektivně vymezovat pravidla poskytnutí služby (AIS nebo PIS) a také pravidla silného ověření. Návrh rovněž počítal s alternativou dohody, kterou měla být situace, kdy by TPP doložilo bance splnění podmínek „uznávaného standardu“ přístupu k platebnímu účtu a silného ověření (aniž by bylo vymezeno, co mělo být považováno za uznávaný standard). Tento pozměňovací návrh však nebyl ve 3. čtení v Poslanecké sněmovně přijat a v konečném znění zákona o platebním styku tak toto ustanovení není.

Závěr

Ze strany EU a národních regulátorů jsou dle našeho názoru nezbytné další jednotné „pokyny“, které umožní bankám i třetím stranám adekvátně sladit a interpretovat požadavky PSD2 a GDPR, jak nyní v rámci přechodného období, tak i po něm.

S novou výší finančních sankcí za nedodržení požadavků GDPR (až do výše 4% z globálního ročního obratu firmy) hrozí při trvající absenci takového jednotícího předpisu, že některé banky upřednostní soulad s GDPR nad PSD2. Takové řešení by pravděpodobně vedlo k zásadnímu omezení přístupu TPP k datům a velmi striktní interpretaci rozsahu souhlasu klienta. V konečném efektu by byla negativně ovlivněna využitelnost služeb třetích stran a přidaná hodnota nově zaváděných platebních služeb umožněných PSD2 pro koncové uživatele.

Dle našeho názoru by se jak banky, tak TPP měly na každý pád vyvarovat strategické chyby spočívající v oddělené implementaci PSD2 a GDPR. Naopak, měly by zajistit jejich vzájemnou koordinaci a zohlednit požadavky obou regulací společně.

Co se týká problematiky souhlasů, jsme toho názoru, že aktuální přístup k API v rámci britské Open Banking iniciativy nabízí funkční model, na kterém lze dobře stavět, a že pro banky a třetí strany jak ve Velké Británii, tak jinde v Evropě může být zajímavé se tímto přístupem inspirovat.

Důležité

Tento souhrn byl zformulován pouze v obecné rovině a důrazně v této souvislosti doporučujeme, abyste si před případnými dalšími kroky zajistili expertní podporu specializovaného poradce. V tomto kontextu Vám budeme samozřejmě rádi nápomocni.

¹ GDPR zavádí nový standard souhlasů vyžadovaných pro zpracování osobních údajů. Ačkoli PSD2 nenabízí vlastní definici (klientského) souhlasu, společnosti implementující PSD2 by neměly automaticky vycházet z předpokladu, že svazující interpretaci GDPR bude nutno aplikovat ve všech případech, neboť ne všechny údaje o platbách jsou nutně současně osobními údaji.

² Toto označení pro tyto služby užívá nově přijatý zákon o platebním styku, jenž implementuje ustanovení PSD2 do českého právního řádu.

³ Devět největších britských bank dle regulátora CMA, na které se již nyní vztahuje Open Banking standard jsou: Bank of Ireland, Barclays, Danske, HSBC, Lloyds Banking Group, Nationwide, RBS Group a Santander – pozn. autora.

⁴ RTS explicitně stanoví, že jméno majitele účtu a číslo účtu nepředstavují citlivé osobní údaje.

⁵ Fuzzy logic je kalkulační metoda založená na „stupních pravděpodobnosti" na rozdíl od obvyklého „true or false" (1 nebo 0) Booleovské logiky.

⁶ RTS pro silnou autentizaci klienta a bezpečnou komunikaci vstoupí v účinnost 18 měsíců od data jejich vydání ve věstníku European Union Official Journal.

⁷ Metoda využívající počítačový program ke kopírování dat z webové stránky navržené pro zobrazení informací pro běžné uživatele, na rozdíl od využití standardní komunikace přes API. Obvykle se screen scraping software vůči poskytovateli identifikuje jako lidský uživatel, ne jako robot.

⁸ Screen scraping umožňuje TPP přistupovat k jakýmkoli informacím, které jsou k dispozici klientům na online banking platformě, stejně jako kdyby se přihlásili uživatelé sami.