Breytt landslag á greiðsluþjónustumarkaði

Eftir Kolbrúnu Söru Másdóttur
meistaranema við lagadeild HÍ
og Thelmu Christel Kristjánsdóttur
BA-nema við lagadeild HÍ*

*Greinin er eftir laganema. Hún hefur staðist ritrýni samkvæmt ritrýnireglum tímaritsins og hefur verið samþykkt til birtingar af ritnefnd.

  1. Inngangur
  2. Ný tilskipun
  3. Víðtækara gildissvið
  4. Nýir aðilar á markaði
    1. Almennt
    2. Stofnsetningarréttur
    3. Ábyrgð á óheimilum færslum
  5. Tæknilegir staðlar
  6. Persónuvernd – styrkt sannvottun
  7. Lokaorð

Ágrip

Í þessari grein er fjallað um nýja tilskipun Evrópusambandsins nr. 2015/2366 sem gengur undir heitinu PSD II og mun að öllum líkindum hafa mikil áhrif á greiðsluþjónustumarkaðinn. Gert er grein fyrir áhrifum hennar á samkeppnisumhverfið, tækifærum og áskorunum fyrir gamla og nýja aðila á markaðnum, breytingum á gildissviði regluverksins og persónuvernd einstaklinga.

  1. Inngangur

Aðferðir við greiðslumiðlun hafa tekið hröðum breytingum á síðustu árum og orðið fjölbreyttari. Til dæmis má nefna að með tilkomu nýjunga frá fjártæknifyrirtækjum (e. fintech) hafa komið fram greiðslulausnir sem gera fólki kleift að greiða í gegnum farsíma og jafnvel með snertilausum greiðsluhringjum sem hafa verið markaðssettir.[1] Þær lausnir hafa þó aðallega byggt á hefðbundnum kortakerfum, þ.e. debet- og kreditkortum, en fjármálafyrirtæki eru í dag umsvifamestu greiðsluþjónustuveitendur hér á landi.[2] Af hálfu Evrópusambandsins (ESB) hefur verið leitast við að bregðast við þessari þróun með því að endurskoða tilskipun um greiðsluþjónustu sem íslensk löggjöf byggir á.[3] Hér verður fjallað um nýja tilskipun frá Evrópusambandinu nr. 2015/2366 um greiðsluþjónustu, sem aðildarríkjum sambandsins bar að innleiða í landslög fyrir 13. janúar síðastliðinn. Tilskipunin hefur þýðingu fyrir EES-samninginn en hún er til skoðunar hjá EES- EFTA ríkjunum áður en hún verður send til sameiginlegu EES-nefndarinnar. Eftir að nefndin hefur tekið hana upp í EES-samninginn þarf að innleiða tilskipunina í íslenskan rétt. Skoðuð verða áhrif hennar á samkeppnisumhverfið, tækifæri fyrir nýja aðila, auknar skyldur fjármálafyrirtækja og persónuvernd.

  1. Ný tilskipun

Regluverk um greiðsluþjónustu sem er í gildi hér á landi á rætur sínar að rekja til tilskipunar nr. 2007/64/EB (PSD I) sem var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 114/2008 7. nóvember 2008. Ísland innleiddi svo tilskipunina á grundvelli 7. gr. EES-samningsins með lögum nr. 120/2011. [4] Frá því að PSD I tók gildi hafa miklar tækninýjungar komið fram er snúa að greiðsluþjónustu og hefur m.a. fjöldi rafrænna greiðslna aukist og nýjar tegundir af greiðsluþjónustu verið teknar í notkun á markaðnum. Þessar breytingar reyndu á gildandi regluverk og gerðu meðal annars að verkum að nýjar gerðir greiðsluþjónustu féllu ekki undir gildissvið PSD I. Þessar nýju áskoranir höfðu í för með sér lagalega óvissu, mögulegar öryggisáhættur og slakari neytendavernd á tilteknum sviðum.[5]

Þann 11. janúar 2012 gaf framkvæmdastjórn Evrópusambandsins út grænbókina ,,Green paper towards an integrated European market for card, internet and mobile payments”. Þar kom fram að margir kostir fælust í því að efla innri markaðinn í greiðsluþjónustu. Þar mætti fyrst nefna aukna samkeppni, í öðru lagi aukið val neytenda og gagnsærri markað, í þriðja lagi öflugri nýsköpun og að lokum aukið öryggi greiðslna og traust viðskiptavina.[6]

Til að bregðast við örri þróun í greiðsluþjónustu og efla hinn stafræna innri markað setti Evrópusambandið (ESB) nýja tilskipun nr. 2015/2366 þann 25. nóvember 2015. Aðildarríkjum Evrópusambandsins bar að innleiða hana í landslög fyrir 13. janúar 2018 og hefur hún gengið undir nafninu PSD II.[7] Markmið hinnar nýju tilskipunar er að fella nýjar tegundir greiðsluþjónustu undir regluverkið, gera löggjöfina skýrari og tryggja jafna framkvæmd innan Evrópusambandsins.[8]

Meðal úrræða tilskipunarinnar til að ná ofangreindum markmiðum er að banna viðbótargjöld þegar greitt er með korti. Í inngangsorðum tilskipunarinnar kemur fram að viðbótargjöld hafi verið uppspretta óvissu meðal neytenda og bannið hefur einnig verið talið stuðla að skilvirkum innri markaði. Til að nefna dæmi má ekki krefja neytanda um greiðslu 110 króna fyrir vöru sem kostar 100 krónur vegna þess að greitt er með korti, hvort sem er á netinu eða í verslun.[9] Tilskipunin kynnir auk þess til leiks nýja aðila inn á markaðinn og stefnir með því að efla neytendavernd og auka samkeppni, en nánar verður vikið að þeim í kafla 4.[10]

Aðildarríki ESB skulu hafa innleitt tilskipunina í landsrétt sinn fyrir 13. janúar 2018 og hefur hún því tekið gildi innan Evrópusambandsins. Tilskipunin fellur innan EES-samstarfsins og er sameiginlega EES-nefndin með tilskipunina til skoðunar.[11] Hún á því eftir að taka tilskipunina upp í EES-samninginn sem er undanfari þess að Íslandi beri að innleiða hana. Fjármála- og efnahagsráðuneytið hefur skipað nefnd til að vinna frumvarp til innleiðingar á tilskipuninni en ljóst er að þar sem um tilskipun er að ræða hafa yfirvöld val um form og aðferð við framkvæmdina.[12]

  1. Víðtækara gildissvið

Eins og áður kom fram er markmið PSD II tilskipunarinnar að víkka út gildissvið regluverksins um greiðsluþjónustu. Það má leiða af 2. mgr. 1. gr. núgildandi laga um greiðsluþjónustu nr. 120/2011 (hér eftir ,,gþl.“), sem sett voru til innleiðingar á PSD I,[13] að þeir sem veita greiðsluþjónustu þurfa að vera innan aðildarríkis, hvort sem þeir eru einn eða fleiri. Aðildarríki er ríki sem er aðili að samningnum um Evrópska efnahagssvæðið, aðili að stofnsamningi Fríverslunarsamtaka Evrópu eða Færeyjar sbr. 1. tölul. 1. mgr. 8. gr. gþl. Gildissvið núverandi laga er svo afmarkað enn frekar í 3. mgr. 1. gr. gþl. sem kveður á um að lögin gildi aðeins um greiðsluþjónustu veitta í evrum eða gjaldmiðli annars aðildarríkis, þar með talið íslensku krónunni.

Með PSD II verður breyting á þessu. Gildissvið regluverksins verður víkkað þar sem það mun ná til allra gjaldmiðla og jafnframt verður ekki lengur skilyrði að báðir greiðsluþjónustuveitendur séu innan Evrópska efnahagssvæðisins, heldur nægir að annar hvor þeirra sé þar staddur.[14] Að auki má nefna að fyrir utan fyrrgreinda rýmkun á gildissviði fellir PSD II einnig nýja aðila, svokallaða þriðju aðila, sem áður féllu ekki undir regluverk PSD I, undir regluverk tilskipunarinnar. [15]

PSD II lætur ekki þar við sitja, heldur þrengir einnig undantekningar frá gildissviði tilskipunarinnar sem finna mátti í PSD I, en ekki verður farið með tæmandi hætti yfir þær breytingar hér. Margar undantekningar haldast þó óbreyttar þar á meðal þær sem snúa að reiðufé, tékkum og víxlum.[16] Hins vegar þrengjast aðrar undantekningar, til dæmis þær sem snúa að fjarskiptafyrirtækjum og milligöngu umboðsmanns, en þær má finna í 2. og 12. tölul. 2. gr. núverandi gþl.[17]

  1. Nýir aðilar á markaði

4.1. Almennt

PSD II boðar komu tveggja nýrra aðila á markaðinn; greiðsluvirkjanda (e. payment initiation service providers, ,,PISP”) og upplýsingaþjónustuveitanda (e. account information service provider, ,,AISP”), sem í þessari grein verða saman nefndir þriðju aðilar (e. third party service providers, ,,TPPs”).

PSD II skilgreinir greiðsluvirkjanda sem þann er veitir þjónustu við greiðsluvirkjun og upplýsingaþjónustuveitanda sem þann er veitir upplýsingaþjónustu.[18]

Þjónusta við greiðsluvirkjun er skilgreind í 15. mgr. 4. gr. tilskipunarinnar:

,,Service to initiate a payment order at the request of the payment service user with respect to a payment account held at another payment service provider”

Upplýsingaþjónusta er skilgreind í 16. mgr. 4. gr. tilskipunarinnar:

,,Online service to provide consolidated information on one or more payment accounts held by the payment service user with either another payment service provider or with more than one payment service provider”.

Einn og sami aðilinn getur þó í raun verið bæði greiðsluvirkjandi og upplýsingaþjónustuveitandi. Greiðsluvirkjendur hafa aldrei umráð yfir fjármunum notanda heldur sjá þeir aðeins um að framkvæma greiðsluna. Ef greiðsluvirkjandi ætlar hins vegar að veita þjónustu þar sem hann hefur umráð yfir fjármunum þarf hann að afla sérstaks leyfis til þess. Í ljósi þess að þriðju aðilar hafa aldrei umráð yfir fjármunum notanda eru ekki gerðar neinar kröfur um eigið fé slíkra aðila heldur aðeins um að þeir hafi ábyrgðartryggingu.[19] Það eru því sett vægari skilyrði fyrir því að koma inn á markaðinn sem þriðji aðili en gilda um fyrirtæki sem taka við innlánum. Þau fyrirtæki sem taka við innlánum verða hér kölluð reikningsveitendur til aðgreiningar frá þriðju aðilum.

Ein af þeim stóru breytingum sem tilskipunin hefur í för með sér er að reikningsveitendur þurfa að veita greiðsluvirkjendum aðgang að reikningi notanda ef reikningur er aðgengilegur á netinu. Í því sambandi er engin þörf á samningi við reikningsveitanda svo lengi sem samþykki notanda er fyrir hendi.[20]

Mikilvægt er að gera sér grein fyrir því að greiðsluþjónustur geta verið í margs konar myndum, til dæmis smáforritum, og geta því verið notendavænni en hinn hefðbundni heimabanki. Til einföldunar má sem dæmi nefna að einstaklingar, sem geyma fjármuni sína hjá banka, geta eftir innleiðingu PSD II notast við þjónustu greiðsluvirkjanda sem myndi sjá um að framkvæma greiðsluna. Aðilar sem eru í viðskiptum við fleiri en einn banka gætu að auki haft betri yfirsýn yfir fjármál sín með hjálp upplýsingaþjónustuveitanda sem gæti gert upplýsingarnar aðgengilegri fyrir einstaklinginn með því að safna þeim saman á einn stað.

Þriðju aðilar auka samkeppni á markaði, ekki aðeins að því leyti að fjöldi aðila á markaði eykst heldur koma að auki inn fleiri form greiðsluþjónustu sem neytendur geta valið úr.[21] Það eykur enn fremur á samkeppnina að greiðsluþjónustuveitendur verða nú að veita hinum nýju aðilum aðgang að upplýsingum um reikning notanda og þar á meðal um viðskiptasögu þeirra.[22] Þá er vert að hafa í huga að Google og aðrir tæknirisar hafa þróað forrit sem gætu talist vera þriðju aðilar þ.e. Google pay og Android pay. Það má ætla að slíkir tæknirisar séu reyndari í hagnýtingu persónuupplýsinga en viðskiptabankarnir og gætu því veitt bönkunum verðuga samkeppni. Ef horft er á þróunina á Íslandi í tengslum við fjártækni (e. fintech) þá hafa bankar almennt ekki þróað nýjar lausnir innan bankanna heldur kosið að vinna með þriðja aðila, fjártækniaðila.[23] Bankarnir gætu því einnig notið góðs af þeirri nýsköpun sem tilskipunin hvetur til.

4.2. Stofnsetningarréttur

Í 31. gr. EES-samningsins er kveðið á um stofnsetningarrétt (e. freedom of establishment) líkt og gert er í ESB. Stofnsetningarrétturinn á bæði við um einstaklinga og lögaðila.[24] Réttinn má greina í frumstofnsetningarrétt sem felst í því að hefja atvinnurekstur eða flytja rekstur frá einu ríki til annars og afleiddan stofnsetningarrétt sem felst í því að setja á fót dótturfélag, útibú eða umboðsskrifstofu í öðru aðildarríki.[25] Í samræmi við stofnsetningarréttinn nægir greiðsluþjónustu að fá leyfi í einu ríki þ.e. heimaríki (e. home member state) til að mega stunda greiðsluþjónustu innan allra ríkja Evrópska efnahagssvæðisins. Til að koma í veg fyrir misnotkun er það þó gert að skilyrði að fyrirtæki stundi að minnsta kosti hluta starfsemi sinnar í heimaríki.[26] Það ríki sem starfsemin er flutt til er þá kallað gistiríki (e. host member state).[27] PSD II setur fleiri takmarkanir á stofnsetningarréttinn til dæmis tilkynningarskyldur á greiðsluþjónustufyrirtæki til heimaríkis.[28] Yfirvöld gistiríkis mega þar að auki krefjast þess að greiðsluþjónustufyrirtæki tilkynni þeim reglulega um hvers konar greiðsluþjónustu þau bjóði upp á innan yfirráðasvæðis þeirra. Gistiríki mega að auki skylda fyrirtækin til að setja á stofn svokallaðan aðaltengilið (e. central contact point) til að auðvelda upplýsingaflæði.[29]

4.3. Ábyrgð á óheimilum færslum

Þegar nýir aðilar koma inn á markaðinn skiptir miklu máli að skýrt sé hver ber ábyrgð þegar illa fer, þar sem kortasvik geta numið töluverðum upphæðum. Þrátt fyrir að upphæðir verði aldrei nákvæmar hefur verið nefnt að árið 2013 hafi kortasvik numið um 1,4 milljarði evra.[30] Greiðsla er talin óheimil þegar samþykki er ekki til staðar.[31]

Með PSD I setti ESB í fyrsta skipti bindandi reglur um ábyrgð í tilviki sviksamlegra nota á rafrænu greiðslutæki.[32] Almennt hvílir skylda til endurgreiðslu á greiðsluþjónustuveitanda greiðanda þegar greiðsla hefur ekki verið heimil. Í þeim tilvikum þegar greiðandi notar greiðsluvirkjanda þá skal reikningsveitandi endurgreiða tapið. Greiðsluvirkjandi þarf ekki að endurgreiða reikningsveitanda nema hann beri sjálfur ábyrgð á hinni óheimiluðu færslu.[33]

Ábyrgðin getur þó fallið á notanda þjónustu þegar hann hefur vanrækt skyldur sínar samkvæmt 69. gr. tilskipunarinnar með stórfelldu gáleysi (e. gross negligence) eða viðhaft sviksamlega háttsemi (e. acting fraudulently). Ef greiðsluþjónustufyrirtæki hefur ekki notast við styrkta sannvottun (e. strong customer authentication), sem nánar verður vikið að í kafla 6, ber notandi þó ekki ábyrgð þrátt fyrir stórfellt gáleysi heldur aðeins ef um svik er að ræða. Að lokum má nefna að skylda til endurgreiðslu fellur á móttakanda greiðslu eða greiðsluþjónustu hans þegar styrkt sannvottun er ekki móttekin með réttum hætti.[34]

Réttarstaða neytenda er auk þess styrkt með því að greiðsluþjónustu er almennt skylt að endurgreiða óheimila færslu innan dags nema í þeim tilvikum þegar sterkur grunur er á því að hin óheimila greiðsla stafi af sviksamlegri háttsemi notanda. Þetta var gert vegna þess hversu mismunandi greiðsluþjónustuveitendur túlkuðu skilyrði PSD I um að endurgreiða ,,immediately”.[35]

  1. Tæknilegir staðlar

Í tilskipuninni er gert ráð fyrir að Evrópska bankaeftirlitsstofnunin (e. European banking authority, ,,EBA“) semji tæknilega eftirlitsstaðla (e. regulatory technical standards) til að útfæra nánar einstaka þætti tilskipunarinnar. EBA er meðal annars veitt heimild til að útfæra nánar reglur um eftirfarandi: Skilyrði og eftirlit með öryggisráðstöfunum,[36] ábyrgðartryggingar þriðju aðila,[37] samskipti milli eftirlitsaðila í mismunandi löndum[38] og þær kröfur sem gerðar eru til styrktrar sannvottunar.[39] EBA starfar á grundvelli reglugerðar nr. 1093/2010 og samkvæmt henni er áskilið að staðlarnir séu tæknilegir í eðli sínu en ekki stefnumótandi.[40] Arnaldur Hjartarson hefur þó bent á að í ljósi þess að tæknilegar ákvarðanir byggist með einum eða öðrum hætti á stefnumótandi hugmyndum sé ekki einfalt að skilja á milli stefnumótandi ákvarðana og tæknilegra ákvarðana. Það megi því líta á þessi ákvæði sem áréttingu á því að setning efnisréttar skuli að meginstefnu til vera í höndum löggjafa sambandsins en ekki einstakra stofnana. Efnissvið staðlanna skal því afmarkað í þeim efnisrétti sem heimilar lagasetninguna sbr. 10. gr. reglugerðar nr. 1093/2010. Ofangreindir staðlar eru þar með afmarkaðir í PSD II tilskipuninni. Framkvæmdastjórnin þarf að lokum að samþykkja staðlana en hún veitir samþykki sitt með ákvörðun eða setningu reglugerðar, þ.e. með framseldri reglugerð.[41]

Þeir staðlar sem framkvæmdastjórnin samþykkir og gefur út sem reglugerðir hafa því bein réttaráhrif innan aðildarríkja Evrópusambandsins sbr. 2. mgr. 288. gr. Sáttmálans um starfshætti Evrópusambandsins (SFE).[42] Ákvarðanir eru einnig bindandi innan Evrópusambandsins þ.e. til þeirra sem þeim er beint að, sbr. 4. mgr. 288. gr. SFE.[43] Gerðir (reglugerðir, tilskipanir og ákvarðanir) þurfa þó að hafa verið teknar upp í EES-samninginn til að öðlast gildi í EES-ríkjunum, þar með talið Íslandi. Auk þess þarf að innleiða þær í landsrétt á Íslandi, sbr. 7. gr. laga nr. 2/1993 og því hafa þær ekki bein réttaráhrif.[44]

  1. Persónuvernd – styrkt  sannvottun

Auk PSD II þá öðlast ný reglugerð um persónuvernd einnig gildi innan Evrópusambandsins árið 2018 (e. General Data Protection Regulation ,,GDPR‘‘).[45] Líkt og PSD II þá fellur reglugerðin innan EES-samstarfsins og er hún enn til skoðunar hjá sameiginlegu EES-nefndinni.[46] Ísland ber svo að innleiða hana á grundvelli 7. gr. EES-samningsins eftir að hún hefur verið tekin þar upp. Við könnun á persónuverndarskilyrðum PSD II er nauðsynlegt að hafa GDPR til hliðsjónar. Hvorug gerðin nefnir hina á nafn en þegar PSD II var samþykkt miðaði hún að því að fyrirrennari GDPR[47] myndi gilda við vinnslu persónuupplýsinga á grundvelli PSD II.[48] Bæði GDPR og PSD II byggja á þeim markmiðum að neytendur hafi stjórn yfir upplýsingum sem varða þá og að viðkomandi upplýsingar séu varðveittar örugglega þrátt fyrir að PSD II opni á flæði upplýsinga en GDPR styrki rétt einstaklinga yfir upplýsingum sínum.

Þegar vinnsla persónuupplýsinga á sér stað á grundvelli PSD II ber að vísa í viðeigandi lagagrundvöll og tilgreina á nákvæman hátt tilgang vinnslunnar. Þar að auki þarf að grípa til viðeigandi öryggisráðstafana samkvæmt reglum um persónuvernd[49] sem og uppfylla grunnreglur um nauðsyn, meðalhóf, takmörkun vegna tilgangs og meðalhóf við geymslutíma upplýsinganna.[50]

Ein af þeim áhugaverðu nýjungum sem PSD II setur fram eru lagaskilyrði öryggisráðstafana og vottana, en þau voru að miklu leyti ekki í PSD I.[51] Með tilskipuninni verða öryggiskröfur hertar við framkvæmd rafrænna greiðslna og við vernd fjárhagslegra persónuupplýsinga.[52]

PSD II hefur þá stefnu að greiðsluþjónustur á rafrænu formi skuli ávallt veittar á öruggan hátt, með tækni sem getur sannreynt örugga vottun notandans og dregið úr hættu á svikum.[53] Greiðsluþjónustuveitendur bera ábyrgð á öryggisráðstöfunum.[54]

Styrkt sannvottun (e. strong customer authentication) er auðkenningarferli sem vottar annaðhvort auðkenni notanda greiðsluþjónustu eða hvort notkun greiðslutækis sé heimil. Auðkenningarferlið byggist á því að tveir þættir vottunar verði að vera til staðar.[55]

Vottanir geta meðal annars byggt á:

  • hlut sem viðskiptavinur hefur í fórum sínum; svo sem auðkennislykli eða korti,
  • vitneskju notanda; til dæmis leyninúmeri eða lykilorði, eða
  • persónugreinanlegum þáttum; svo sem fingurskanna eða raddauðkenningu.[56]

Því fleiri þættir sem notaðir eru saman því meira er öryggið.[57] Þeir þættir vottunar sem eru notaðir eiga að vera sjálfstæðir, sem leiðir til þess að brot á einum þætti dregur ekki úr áreiðanleika annarra þátta og ber að hanna þá þannig að þeir tryggi trúnað vottunargagna.[58] Í tilfelli rafrænna greiðslna þarf enn fremur að vera hægt að sítengja hluta af styrktu sannvottuninni við tilgreinda upphæð og greiðanda. Öryggisráðstafanir ættu þó að vera í samræmi við þá áhættu sem fylgir greiðsluþjónustunni og öryggiskröfur mega ekki verða til þess að hamla notkun þriðja aðila á greiðsluþjónustu. [59]

Aðildarríki skulu tryggja að greiðsluveitendur noti styrkta sannvottun þegar greiðendur a) nálgast á rafrænan hátt greiðslureikning sinn, b) þegar þeir virkja rafræna greiðslu og c) þegar framkvæma á aðgerð í gegnum utanaðkomandi rás sem eykur möguleika á sviksamlegri háttsemi eða annarri misnotkun.

Mikilvægi styrktrar sannvottunar er undirstrikað með reglum um ábyrgð greiðsluþjónustuveitanda. Almennt liggur skylda til endurgreiðslu á greiðsluþjónustuveitanda greiðanda en móttakandi eða greiðsluþjónustuveitandi hans verður ábyrgur fyrir öllum óheimiluðum færslum ef styrkt sannvottun er ekki móttekin með réttum hætti líkt og kom fram í kafla 4.2.[60]

Greiðsluþjónustuveitendur skulu vera tilkynningarskyldir til þar til bærra yfirvalda árlega eða oftar með uppfærðu mati á aðgerðar- og öryggisáhættum í tengslum við þá greiðsluþjónustu sem þeir veita.[61] Í tilfelli meiri háttar rekstrar- eða öryggisatburða skal greiðsluþjónustuveitandi án ótilhlýðilegrar tafar tilkynna þar til bærum yfirvöldum í aðildarríki sínu um þann atburð. Í þeim tilfellum þar sem atburður hefur haft eða getur haft áhrif á fjárhagslega hagsmuni notanda, skal greiðsluþjónustuveitandi einnig tilkynna honum án ótilhlýðilegrar tafar um atburðinn og allar ráðstafanir sem hægt er að grípa til í því skyni að lágmarka áhrif atburðarins.[62] Í samanburði við GDPR þá skal samkvæmt þeirri reglugerð tilkynna öryggisbrot til eftirlitsyfirvalda eigi seinna en 72 klst. síðar. Jafnframt skal ábyrgðaraðili tilkynna skráðum einstaklingi ef líklegt er að öryggisbrotið leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklingsins.[63] Bæði GDPR og PSD II fylgja ákveðnar tilkynningarskyldur sem bærum aðilum ber að fylgja í hvívetna en ljóst er að tilfelli tilkynninga eru ekki þau sömu. Þá er einnig vert að benda á að brot á GDPR geta falið í sér gríðarlega háar sektir[64] en ekki eru sektarákvæði í PSD II. Það getur því skipt máli undir hvora gerðina brot falla.

  1. Lokaorð

Tilskipun Evrópusambandsins um greiðsluþjónustu, PSD II, getur haft töluverð áhrif á greiðsluþjónustumarkaðinn á Íslandi og jafnframt um allt Evrópska efnahagssvæðið. Ekki er hægt að slá neinu föstu um áhrif tilskipunarinnar en ætla má að tilskipunin muni reynast áskorun fyrir núverandi aðila á markaðnum. Mörg sóknarfæri eru þó til staðar bæði fyrir hina hefðbundnu viðskiptabanka og fjártæknifyrirtæki. Tækifærin felast ekki aðeins í veitingu greiðsluþjónustu heldur gætu fjártæknifyrirtæki til dæmis þróað sannvottanir og lausnir fyrir þær ströngu öryggiskröfur sem PSD II setur. Því má ætla að þrátt fyrir að ýmsar áskoranir leiði af tilskipuninni séu tækifærin ekki síðri.

Abstract

This articles concerns Directive 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market. The article addresses new challenges and possibilities in the payment service market, extension of the scope of regulatory coverage and changes in data protection.

HEIMILDASKRÁ

Alþingistíðindi.

Arnaldur Hjartarson: Evrópskur bankaréttur og áhrif hans á íslenskan rétt. Reykjavík 2017.

EES-viðbætir við Stjórnartíðindi Evrópusambandsins:

http://brunnur.stjr.is/ees.nsf/385499142c7e4810002567590058573a/B15542CEDCD0AD08002576BE005E64A3/$file/32007L0064.pdf (skoðað 27. janúar 2018).

European commission: Green paper towards an integrated European market for card, internet and mobile payments. 11. janúar 2012.

Eyvindur G. Gunnarsson: ,,Frjáls stofnsetningarréttur fjármálastofnana samkvæmt EES-samningnum’’. Þjóðarspegillinn 2010. Ritstj. Helgi Áss Grétarsson. Reykjavík 2010, bls. 17-27.

Framkvæmdastjórn Evrópusambandsins – Staðreyndarskjal. ,,Payment Services Directive: frequently asked questions’’. Brussel, 8. október 2015. http://europa.eu/rapid/press-release_MEMO-15-5793_en.htm?locale=en (skoðað 22. desember 2017).

Friðrik Þór Snorrason: ,,Fjármálamarkaðurinn fyrir og eftir ný lög um greiðsluþjónustu’’, https://www.rb.is/frett/fjarmalamarkadurinn-fyrir-og-eftir-ny-log-um-greidsluthjonustu (skoðað 22. desember 2017).

Greiðsluþjónusta á 21. öld. Seðlabanki Íslands. Fjármálainnviðir 5. rit 7. júní 2017.

Guidance on Multi-factor Authentication. State service commission Nýja- Sjáland. 1. útg. júní 2006.

María Nieves Pacheco Jiménez: ,,Payment services evolution: From the European directive of 2007 to the digital single market and the European directive of 2015‘‘. International Journal of Social Science and Economic Research, 1. útg. 7. tbl. 2016, bls. 1018-1025.

Mary Donnelly: ,,Payments in the digital market: Evaluating the contribution of Payment Services Directive II’’. Computer Law and Security review, 6. tb. 32. árg. 2016, bls. 827-839.

Maximilian Yang: ,,Card Payments and Consumer Protection in Germany’’. Anglo-German Law Journal 2. útg. 2016, bls. 6-37.

Reglugerð Evrópuþingsins og -ráðsins (ESB) 2016/679 frá 27. apríl 2016.

Reinhard Steenot: ,,Allocation of liability in case of fraudulent use of an electronic payment instrument: the new directive on payment services in the internal market”. Computer law and security report. 6. tbl. 24. árg. 2008, bls. 555-561.

Rhys Bollen: ,,Recent developments in mobile banking and payments’’, Journal of International Banking law and Regulation. 9. tbl. 24. árg. 2009, bls. 454-469.

Robert Schütze: An introduction to European law. Second edition. Cambridge 2015.

Sáttmálinn um starfshætti Evrópusambandsins.

Santiago Carbó – Valverde and Charles M Kahn: ,,Payment systems in the US and Europe: Efficiency, soundness and chellenges’’. Banco De Espana, Revitsa de Estabilidad Financiera, núm. 30.

Sigurður Líndal og Skúli Magnússon: Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins. Reykjavík 2011.

Stefán Már Stefánsson: Evrópusambandsréttur. Reykjavík 2014.

Tilskipun Evrópusambandsins nr. 2015/2366.

Tilskipun Evrópusambandsins nr. 2007/64/EC.

Tilskipun Evrópusambandsins nr. 2010/20193.

Tæknin, internetið og fjármálaþjónusta. Helena Pálsdóttir. Fjármál – Vefrit Fjármálaeftirlitsins. 2. tbl. október 2017.

Vefsíða EFTA, http://www.efta.int/eea-lex/32015L2366 og http://www.efta.int/eea-lex/32016R0679  (skoðað 25. janúar 2018).

Vefsíða Kerv, https://kerv.com.

[1] Vefsíða Kerv, https://kerv.com.

[2] 67. tölul. inngangsorða tilskipunar ESB nr. 2015/2366. Greiðsluþjónusta á 21. öld. bls. 28. Friðrik Þór Snorrason: ,,Fjármálamarkaðurinn fyrir og eftir ný lög um greiðsluþjónustu’’, http://http://www.rb.is.

[3] 67. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[4] Þskj. 1190, 139. lögþ. 2010-11, bls. 33 (enn óbirt í A-deild Alþt.). B-liður 7. gr. EES samningsins, sbr. B-lið 7. gr. laga nr. 2/1993 um Evrópska efnahagssvæðið. Sjá EES-viðbæti við Stjórnartíðindi Evrópusambandsins: http://brunnur.stjr.is/ees.nsf/385499142c7e4810002567590058573a/B15542CEDCD0AD08002576BE005E64A3/$file/32007L0064.pdf

[5] 3. og 4. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[6] Green paper towards an integrated European market for card, internet and mobile payments, 1. kafli.

[7] Tilskipun ESB nr. 2015/2366.

[8] 6. tölul. inngagnsorða tilskipunar ESB nr. 2015/2366.

[9] Payment Services Directive: frequently asked questions, spurning 5.a. Sjá einnig Maximilian Yang: ,,Card Payments and Consumer Protection in Germany’’, bls. 22-23. Sjá einnig 66. tölul. inngangsorða tilskipunar ESB nr. 2015/2366. Sjá einnig Santiago Carbó – Valverde and Charles M. Kahn: ,,Payment systems in the US and Europe: Efficiency, soundness and chellenges’’, bls. 16.

[10] 6. gr. og 33. gr. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[11] Vefsíða EFTA: http://www.efta.int/eea-lex/32015L2366.

[12] Arnaldur Hjartarson: Evrópskur bankaréttur og áhrif hans á íslenskan rétt, bls. 135. Sigurður Líndal og Skúli Magnússon: Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðið, bls. 171. B-liður 7. gr. laga nr. 2/1993 um Evrópska efnahagssvæðið.

[13] Þskj. 1190, 139. lögþ. 2010-11, bls. 33 (enn óbirt í A-deild Alþt.).

[14] 2. gr. tilskipunar ESB nr. 2015/2366.

[15] 1. mgr. 2. gr. sbr. 3. mgr. 4. gr. tilskipunar ESB nr. 2015/2366 sbr. viðauka I við hana og með hliðsjón af 28. og 29. tölul. inngangsorða tilskipunarinnar.

[16] A. og g. liður 3. gr. tilskipunar ESB nr. 2015/2366 í samanburði við a. og g. lið tilskipunar ESB nr. 2007/64/EC.

[17] Sjá Mary Donnelly: ,,Payments in the digital market: Evaluating the contribution of Payment Services Directive II’’, bls. 831 og 832.

[18] 18. og 19. mgr. 4. gr. tilskipunar ESB nr. 2015/2366 og viðauka I við hana. Ekki er um formlegar þýðingar að ræða og að hluta til var stuðst við þýðingar Friðriks Þórs Snorrasonar í: ,,Fjármálamarkaðurinn fyrir og eftir ný lög um greiðsluþjónustu’’, http://http://www.rb.is.

[19] 2. og 3. mgr. 5. gr. tilskipunar ESB nr. 2015/2366 með hliðsjón af 31 og 35. tölul. inngangsorða hennar.

[20] 66. og 67. tilskipunar ESB nr. 2015/2366 með hliðsjón af 31. og 32. tölul. inngangsorða hennar.

[21] 67. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[22] Tæknin, internetið og fjármálaþjónusta, bls. 3.

[23] Tæknin, internetið og fjármálaþjónusta, bls. 2.

[24] 1. mgr. 31. gr. og 34. gr. EES-samningsins. Sjá einnig Robert Schutze: An introduction to European law  bls. 279-280.

[25] Eyvindur G. Gunnarsson: ,,Frjáls stofnsetningarréttur fjármálastofnana samkvæmt EES- samningnum’’, bls. 17.

[26] 3. mgr. 11. gr. tilskipunar ESB nr. 2015/2366 með hliðsjón af 36. tölul. inngangsorða hennar.

[27] 9. mgr. 11. gr. tilskipunar ESB nr. 2015/2366.

[28] 28. gr. tilskipunar ESB nr. 2015/2366.

[29] 2. og 4. mgr. 29. gr. tilskipunar ESB nr. 2015/2366.

[30] Mary Donnelly: ,,Payments in the digital market: Evaluating the contribution of Payment Services Directive II’’, bls. 833.

[31] 2. mgr. 64. gr. tilskipunar ESB nr. 2015/2366.

[32] Reinhard Steenot: ,,Allocation of liability in case of fraudulent use of an electronic payment instrument: the new directive on payment services in the internal market’’, bls. 555.

[33] 1. og 2. mgr. 73. gr. og 1. og 2. mgr. 74. gr.  tilskipunar ESB nr. 2015/2366. Sjá einnig Mary Donnelly: ,,Payments in the digital market: Evaluating the contribution of Payment Services Directive II’’, bls. 834.

[34] 1. og 2. mgr. 73. gr. og 1. og 2. mgr. 74. gr.  tilskipunar ESB nr. 2015/2366.

[35] Ibid.

[36] 4. mgr. 95. gr. tilskipunar ESB nr. 2015/2366.

[37] 4. mgr. 5. gr. tilskipunar ESB nr. 2015/2366.

[38] 5. mgr. 28. gr. tilskipunar ESB nr. 2015/2366.

[39] 98. gr. tilskipunar ESB nr. 2015/2366.

[40] Í 1. mgr. 10. gr. og 1. mgr. 16. gr. reglugerðar ESB nr. 1093/2010.

[41] Arnaldur Hjartarson: Evrópskur bankaréttur og áhrif hans á íslenskan rétt, bls. 118-119.

[42] Sigurður Líndal og Skúli Magnússon: Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins, bls. 57. Arnaldur Hjartarson: Evrópskur bankaréttur og áhrif hans á íslenskan rétt, bls. 59. Robert Schütze: An introduction to European law, bls. 117. Stefán Már Stefánsson: Evrópusambandsréttur, bls. 64.

[43] Sigurður Líndal og Skúli Magnússon: Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins, bls. 60.

[44] Sigurður Líndal og Skúli Magnússon: Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins, bls. 135.

[45] Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/49/EB (almenna persónuverndarreglugerðin), skv. íslenskri þýðingu á drögum reglugerðarinnar frá 21.4.2017 birt á heimasíðu Persónuverndar með leyfi Þýðingamiðstöðvar utanríkisráðuneytisins.

[46] Vefsíða EFTA, http://www.efta.int/eea-lex/32016R0679.

[47] Tilskipun 95/46/EB (almenna persónuverndargerðin).

[48] 89. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[49] Tilskipunin vísar í fyrirrennara GDPR en skv. 1. mgr. 2. gr. GDPR gildir reglugerðin um vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og um vinnslu með öðrum aðferðum en sjálfvirkum persónuupplýsingum sem eru eða eiga að verða hluti af skráningarkerfi.

[50] 89. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[51] Mary Donnelly: ,,Payments in the digital market: Evaluating the contribution of Payment Services Directive II’’, bls. 836.

[52] María Nieves Pacheco Jiménez: ,,Payment services evolution: From the European directive of 2007 to the digital single market and the European directive of 2015’’, bls. 1023.

[53] 95. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[54] 91. tölul. inngangsorða tilskipunar ESB nr. 2015/2366.

[55] Payment Services Directive: frequently asked questions, spurning 16.

[56] 1. mgr. 97. gr. tilskipunar ESB nr. 2015/2366.

[57] Rhys Bollen: ,,Recent developments in mobile banking and payments’’, bls. 3. Sjá einnig. Guidance on Multi-factor Authentication’’, bls. 12. Sjá einnig Payment Services Directive: frequently asked questions, spurning 16.

[58] ,,Payment Services Directive: frequently asked questions’’, spurning 16.

[59] 1. mgr. 97. gr. tilskipunar og 96. tölul. inngangsorða tilskipunar nr. 2015/2366.

[60] 2. mgr. 74. gr. tilskipunar ESB nr. 2015/2366.

[61] 1. og 2. mgr. 95. gr. tilskipunar ESB nr. 2015/2366.

[62] 1. og 2. mgr. 96. gr. tilskipunar ESB nr. 2015/2366. Þar til bær yfirvöld skulu svo án ótilhlýðilegrar tafar tilkynna til EBA og ECB um þau atriði sem skipta máli, sbr. 2. málsl. 2. mgr. 96. gr. tilskipunar ESB nr. 2015/2366.

[63] 33. og 34. gr. reglugerðar ESB nr. 2016/679.

[64] VIII. kafli reglugerðar ESB nr. 2016/679.