PSD2 та екосистема європейських платежів

Що таке Payment Services Directive 2?

Payment Services Directive 2 (PSD2, Директива (ЄС) 2015/2366) – це європейська директива, спрямована на вдосконалення регулювання платіжних послуг в Європейському Союзі. Вона набула чинності 12 січня 2016 року і передбачала період для перенесення в національне законодавство до 13 січня 2018 року. На рівні держав-членів вона зазвичай застосовується як національний закон, а не як директива ЄС.

PSD2 встановлює правила щодо прозорості умов та інформаційних вимог до платіжних послуг, а також прав та обов’язків постачальників і користувачів платіжних послуг.

До кого застосовується PSD2?

Payment Services Directive 2 застосовується до платіжних послуг, що надаються в межах ЄС. Відповідно до ст. 4 Директиви платіжні послуги включають:

• послуги, що дозволяють вносити та знімати готівку на/з платіжного рахунку;
• виконання платіжних операцій;
• випуск платіжних інструментів та/або прийом платіжних операцій;
• переказ грошей;
• послуги з ініціювання платежів;
• послуги з надання інформації про рахунок.

Ключові вимоги PSD2

Посилена аутентифікація клієнтів (SCA)

Посилена аутентифікація клієнтів (Strong Customer Authentication) означає аутентифікацію, яка базується на використанні двох або більше елементів, класифікованих як знання (те, що знає тільки користувач), володіння (те, чим володіє тільки користувач) та властивість (те, чим є користувач), які є незалежними, так що порушення одного не ставить під загрозу надійність інших, і розроблена таким чином, щоб захистити конфіденційність даних аутентифікації. Іншими словами, SCA – це двофакторна аутентифікація.

Постачальники платіжних послуг зобов’язані згідно зі ст. 97 Директиви впроваджувати SCA в наступних операціях:

• доступ до платіжного рахунку онлайн;
• ініціювання електронної платіжної транзакції;
• здійснення будь-якої дії через дистанційний канал, що може мати ризик платіжного шахрайства або інших зловживань.

Аутсорсинг третім сторонам платіжних послуг

Якщо авторизований постачальник платіжних послуг хоче надавати свої послуги через стороннього агента (тобто третю особу), він повинен повідомити відповідний орган у своїй державі-члені наступну інформацію про агента:

• назву та адресу агента;
• опис механізмів внутрішнього контролю, які будуть використовуватися агентом для дотримання зобов’язань щодо відмивання грошей та фінансування тероризму;
• особу директорів та осіб, відповідальних за управління агентом;
• платіжні послуги, на надання яких агент є авторизованим;
• за необхідності, унікальний ідентифікаційний код або номер агента.

Протягом двох місяців регулятор перевіряє надану інформацію та приймає рішення про те, чи повинен агент бути внесений до реєстру авторизованих постачальників платіжних послуг.

Інформаційний обов’язок

PSD2 у своїй ст. 45 встановлює інформаційний обов’язок для постачальників платіжних послуг. Вони зобов’язані інформувати своїх користувачів доступною мовою, в чіткій та зрозумілій формі про:

• специфікацію інформації або унікального ідентифікатора для належного ініціювання або виконання платежу;
• максимальний час виконання для надання платіжної послуги;
• всі збори, які повинен сплатити користувач;
• за необхідності, фактичний або довідковий обмінний курс, застосований до транзакції.

Збереження записів

Постачальники платіжних послуг зобов’язані зберігати всі відповідні записи щонайменше протягом 5 років (ст. 21 PSD2).

Читайте також: Як ми розробляємо політику конфіденційності та політику приватності?

Взаємодія PSD2 та GDPR

Оскільки постачальники платіжних послуг (контролери) діють у сфері, регульованій PSD2, вони повинні завжди забезпечувати дотримання вимог як PSD2, так і GDPR, колізія виявляється проблематичною для постачальників.

На щастя, Європейська рада із захисту даних (EDPB) випустила Гайдлайни щодо взаємодії PSD2 та GDPR.

Законні підстави для обробки

Платіжні послуги надаються користувачам на договірній основі. Це означає, що основною підставою для обробки персональних даних у цьому випадку є ст. 6(1)(b) GDPR, що означає, що обробка необхідна для виконання договору.

Явна згода

Як PSD2, так і GDPR оперують концепцією явної згоди. Однак насправді це два різні визначення з різними правовими наслідками.

• PSD2: явна згода, згадана у ст. 94(2), означає договірну згоду. При укладанні договору з постачальником платіжних послуг відповідно до PSD2, суб’єкти даних повинні бути повністю поінформовані про конкретні категорії персональних даних, які будуть оброблятися. Згода в розумінні PSD2 не є правовою підставою для обробки персональних даних.
• GDPR: чотири умови – добровільність, конкретність, інформованість та недвозначність – є важливими для дійсності згоди. Один очевидний спосіб забезпечити однозначність згоди – це чітко підтвердити її в письмовій заяві. Згода – це інструмент, який дає суб’єктам даних контроль над тим, чи будуть оброблятися персональні дані.

Читайте також: Залучення інвестицій у стартап на різних стадіях. Правові аспекти

Чутливі дані

Іноді платежі можуть розкривати дані, що підпадають під “спеціальні категорії персональних даних”, як визначено в GDPR. Наприклад, пожертвування релігійним або політичним організаціям, або членські внески до профспілки тощо. Це означає, що постачальники платіжних послуг часто обробляють не лише платіжну інформацію, а й спеціальні категорії персональних даних.

Визначення чутливих платіжних даних у PSD2 значно відрізняється від терміна “чутливі персональні дані”, що використовується в контексті GDPR:

• PSD2: “чутливі платіжні дані” – це дані, включаючи персоналізовані облікові дані безпеки, які можуть бути використані для здійснення шахрайства.
• GDPR: “особливі категорії персональних даних” – це персональні дані, що розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, або членство в профспілці, та обробка генетичних даних, біометричних даних з метою унікальної ідентифікації фізичної особи, даних про здоров’я або даних про сексуальне життя чи сексуальну орієнтацію фізичної особи.

Застосування PSD2 та ризики для бізнесу

Ст. 103 PSD2 делегує визначення санкцій державам-членам ЄС; такі санкції повинні бути ефективними, пропорційними та стримуючими. Крім того, держави-члени зобов’язані публікувати інформацію про накладення адміністративних штрафів, за умови, що ця інформація не загрожує фінансовим ринкам або не завдає непропорційної шкоди залученим сторонам.

Ось приклади регуляторів у деяких країнах ЄС:

• Німеччина: BaFin (Федеральна служба фінансового нагляду)
• Франція: ACPR (Орган пруденційного нагляду та регулювання)
• Іспанія: Банк Іспанії
• Ірландія: Центральний банк Ірландії

Ми можемо допомогти Вам із комплаєнсом

Комплаєнс із PSD2 є складним, але ми тут, щоб допомогти Вам із цим завданням! Legal IT Group підтримує фінансові компанії та стартапи у побудові комплаєнтних та безпечних бізнес-операцій.