Motivace k přijetí FIDA
Evropský zákonodárce si je vědom toho, že datová ekonomika EU zůstává roztříštěná. Přes dosavadní snahy, i legislativní, se stále vyznačuje se nerovnoměrným sdílením údajů, překážkami a neochotou zúčastněných stran zapojit se do sdílení údajů. Částečnou výjimkou je otevřenost v oblasti platebních účtů podle směrnice PSD2.
Současné bariéry omezují podniky, zejména malé a střední (SMEs), v přístupu k pohodlnějším a automatizovaným finančním službám. Zákazníci tak nemají prospěch z individualizovaných produktů a služeb založených na datech, které by mohly lépe vyhovovat jejich specifickým potřebám. Neexistence personalizovaných finančních produktů následně omezuje možnost inovací.
Kromě toho, zákazníci finančního sektoru EU v současné době nemohou účinně řídit přístup ke svým údajům. Uživatelé údajů, tj. podniky, které chtějí získat přístup k zákaznickým údajům za účelem poskytování inovativních služeb, mají problémy s přístupem k údajům, jimiž disponují držitelé údajů, tj. finanční instituce. V důsledku toho nemají zákazníci široký přístup k finančním službám a finančním produktům založeným na datech ani v případech, kdy by o to měli zájem.
Proč je přístup k finančním datům stále problém?
Omezený přístup k údajům vyplývá z řady vzájemně souvisejících skutečností.
Za prvé, pokud neexistují pravidla a nástroje pro správu povolení ke sdílení údajů, zákazníci nemají důvěru v bezpečné řešení rizik plynoucích z sdílení údajů.
Za druhé, i když instituce či klienti chtějí údaje sdílet, pravidla, kterými se takové sdílení řídí, buď chybějí, nebo jsou nejasná.
A za třetí, sdílení údajů v praxi je nákladnější, protože jak samotná data, tak technická infrastruktura nejsou standardizovány.
Hlavním cílem návrhu FIDA proto je vytvořit právní rámec pro plynule fungující systém pro přístup k finančním údajům. Tím by se měly zvýšit ekonomické přínosy pro zákazníky finančních služeb (spotřebitele i podniky) a subjekty finančního sektoru podporou digitální transformace a urychlením zavádění obchodních modelů založených na datech.
Co je obsahem návrhu FIDA?
Jak je patrné již z názvu, je tento rámec pro sdílení informací (na rozdíl například od horizontálního nařízení o datech) sektorově specifický. Dopadat bude na subjekty aktivní na finančním trhu a jejich klienty. Představuje krok směrem k digitalizaci finančního sektoru a jeho otevření, což umožní bezpečnější a plnohodnotnější přístup k údajům zákazníků v širší škále finančních služeb.
Hlavní myšlenkou návrhu je posílit ochranu spotřebitelů, zvýšit konkurenci v elektronických platbách a poskytnout klientům větší kontrolu nad jejich daty, aby mohli využívat širší a přizpůsobenější škálu finančních produktů a služeb.
Primárním cílem je tedy podpora inovací založených na datech, a to ve dvou rovinách. Zaprvé, zajistit, aby zákazníci (spotřebitelé i společnosti) měli kontrolu nad využíváním svých dat ve finančním sektoru, a to včetně práv na přístup k datům a jejich portabilitu (snadný přenos k jinému poskytovateli služeb). Zadruhé, umožnit uživatelům dat ve finančním sektoru přístup k datům zákazníků na základě jejich souhlasu, a to dle požadavků GDPR.
FIDA by měla dopadnout na subjekty poskytující bankovní služby, hypotéky, úvěry, spoření, investice, kryptoaktiva, důchody a neživotní pojištění. Vyňata jsou data, která by mohla přímo zvýšit riziko finanční exkluze (vyloučení či diskriminace), například údaje získané při hodnocení úvěruschopnosti spotřebitele či informace o zdravotním stavu.
Dále jsou z návrhu, v souladu se zásadou proporcionality, vyňaty některé finanční instituce. Vyňaty jsou zejména z důvodů, které souvisejí s jejich velikostí nebo se službami, které poskytují. Jedná se o např. o instituce zaměstnaneckého penzijního pojištění, které provozují penzijní plány s méně než 15 účastníky, a také zprostředkovatelé pojištění, kteří jsou mikropodniky nebo SMEs.
FIDA také stanoví práva a povinnosti pro sdílení údajů zákazníků ve finančním sektoru mimo platební účty. Upravuje rovněž možnost, ale nikoli povinnost pro zákazníky sdílet jejich data s uživateli dat, povinnosti pro držitele dat zákazníků učinit tato data dostupná uživatelům dat a plné kontroly zákazníků nad tím, kdo přistupuje k jejich datům a za jakým účelem.
Klíč ke sdílení finančních dat: důvěra klientů
Evropská komise zdůraznila, že je třeba vymezit podmínky způsobilosti a seznam subjektů vystupujících jako uživatelé dat, držitelé dat, případně obojí. Rovněž je potřeba poskytnout zákazníkům nástroje, které by jim umožnily spravovat nebo odvolat souhlas se sdílením finančních dat.
Držitelé dat budou mít právo požadovat od uživatelů dat za jejich zpřístupnění rozumnou kompenzaci. Uživatelé dat budou potřebovat autorizaci od příslušného orgánu členského státu EU buď jako finanční instituce, nebo jako poskytovatelé finančních informačních služeb (FISP).
Struktura FIDA
Hlavním cílem návrhu FIDA je vypracování pravidel pro přístup k určitým kategoriím zákaznických údajů mezi podniky navzájem a mezi podniky a zákazníky, a dále jejich zpracování na žádost zákazníka v rámci široké škály finančních služeb.
Návrh samotný je strukturován do devíti hlav.
Hlava I stanoví předmět, oblast působnosti, taxativně popsané soubory údajů a definice. Údaje by měly vykazovat vysokou přidanou hodnotu pro finanční inovace a nízké riziko finančního vyloučení pro spotřebitele. Důvodem je zmíněné riziko exkluze.
Hlava II zavádí právní povinnost držitelů údajů, který musí na základě žádosti zpřístupnit zákazníkům údaje spadající do oblasti působnosti FIDA. Dále upravuje právo zákazníkova požadovat, aby držitel údajů sdílel tyto údaje s uživatelem údajů. Pokud se jedná o osobní údaje, musí být žádost pochopitelně v souladu s GDPR. To platí pro celý cyklus nakládání s údaji. Tato hlava rovněž ukládá povinnosti uživatelům údajů, kteří získávají údaje na žádost zákazníků. Jedná se např. o účelové omezení zpracování, důvěrnost obchodního tajemství a práva duševního vlastnictví nebo přijetí vhodných technických, právních a organizačních opatření.
Hlava III definuje požadavky na zajištění odpovědného používání a zabezpečení údajů tak, aby nedocházelo k diskriminaci nebo omezení přístupu k finančím službám či produktům. Ani za situace, kdy zákazník odmítne udělit povolení k použití souborů svých údajů.
Hlava IV stanoví požadavky na vytváření a řízení systémů pomocí těchto nástrojů:
standardy pro údaje a rozhraní
koordinační mechanismy pro fungování přehledů o povoleních k přístupu k finančním údajům
společný standardizovaný smluvní rámec upravující přístup ke konkrétním souborům údajů
pravidla pro správu těchto systémů
požadavky na transparentnost
pravidla pro náhradu, odpovědnost a řešení sporů.
Údaje, které spadají do oblasti působnosti FIDA, musí být zpřístupněny pouze členům systému sdílení finančních údajů, přičemž existence těchto systémů a členství v nich jsou povinné. Držitelé údajů musí mít nárok na náhradu za zpřístupnění údajů uživatelům údajů. Vývoj technického rozhraní, včetně přehledného dashboardu pro zákazníky, ponese na bedrech finanční sektor.
Hlava V je věnována povolování k činnosti poskytovatelů služeb finančních informací a zřízení rejstříku poskytovatelů služeb finančních informací a systémů sdílení údajů, který povede EBA.
V hlavě VI jsou uvedeny podrobnosti o pravomocích příslušných orgánů, včetně opatření či sankcí.
Hlava VII stanoví postup oznamování příslušným orgánům pro podniky, které vykonávají právo usazování a volný pohyb služeb.
Hlava VIII je dedikována pravomocím Evropské komise, a to včetně pozdějšího pŕijímání aktů v přenesené pravomoci. Kromě toho by EBA a EIOPA měly při vypracovávání obecných pokynů úzce spolupracovat s Evropským sborem pro ochranu osobních údajů.
Souvislost s další legislativou
Jak je to v právním rámci Evropské unie i České republiky dobrým zvykem, návrh FIDA není izolovaný. Tento sektorově specifický návrh totiž přímo navazuje na obecné, horizontální nařízení o datech, a proto by s ním měl být kompatibilní. Navazuje taktéž na již zmíněnou směrnici PSD2 a početné sektorové legislativní předpisy.
Z důvodu zaměření na finanční sektor bude při zavádění FIDA v život nutné brát v potaz i kybernetické bezpečnosti a odolnosti dle nařízení DORA, které bude účinné od ledna roku 2025. Vzhledem k obsahu FIDA, jímž je sdílení finančních informací, často osobních údajů, je potřebné také posouzení optikou práva na respektování soukromého života a ochranu osobních údajů dle Listiny základních práv EU a samozřejmě GDPR.
FIDA: plusy a mínusy
Samotná ambice přijetí specifické legislativní úpravy pro sdílení dat a následné posílení datového potenciálu finančního sektoru je rozhodně chvályhodná. Jasný rámec může být velkou vzpruhou pro tak důkladně regulované odvětví, kde nezbývá moc prostoru pro spontánní inovace. Pro finanční instituce se potenciálně může jednat o výhodu vůči konkurujícímu BigTech.
Zatím však není zřetelný přínos pro spotřebitele. V textu chybí ustanovení o meziodvětvovém sdílení údajů (ve vztahu k BigTech) a definice údajů o zákaznících je široká a nejasná. Návrh obsahuje velmi širokou oblast působnosti nezohledňující (sub)sektorové rozdíly, nejčastěji mezi bankovnictvím a pojišťovnictvím.
Mnoho praktických otázek se týká povahy rámce pro sdílení údajů, včetně rozlišení mezi údaji a kompatibility s obecným nařízením o datech. Konkrétně např. absence limitací pro tzv. gatekeepers, kteří by k datům mohli mít přístup navzdory tomu, že nejsou tak důkladně regulování jako finanční instituce.
Dalšími body, které je nutné v legislativním procesu řešit, jsou definiční nedostatky, nejasný mechanismus kompenzace, prakticky komplikovaný pravděpodobný dopad i na staré smlouvy, otázka praktického fungování a přenosu odpovědnosti za vývoj rozhraní z technického i časového hlediska na sektor.
Jak pokračují přípravy?
Návrh FIDA nyní prochází standardním legislativním procesem EU, při kterém Evropský parlament a Rada prozkoumají návrh a doplňují pozměňovací návrhy, které snad budou adresovat i uvedené nedostatky.
Nezdá se pravděpodobné, že aktuální belgické předsednictví dosáhne obecného přístupu do konce svého mandátu (30. června 2024). To je způsobeno reflexí výše vyjmenovaných nedostatků i nejasného praktického fungování. Po vyjednávání mezi Evropskou komisí, Evropským parlamentem a Radou EU dojde, pravděpodobně tedy až po evropských volbách, k dohodě o konečném textu.
Kdy budeme snadno sdílet finanční data?
FIDA celkově představuje komplexní přístup k digitalizaci a otevření finančních dat, s důrazem na ochranu a kontrolu zákazníků nad jejich finančními daty, bezpečnost dat a podporu inovací ve finančních službách.
Díky FIDA by zákazníci finančních institucí, a to jak spotřebitelé, tak i podniky, měli mít účinnou kontrolu nad svými finančními údaji a možnost využívat otevřené, spravedlivé a bezpečné inovace ve finančním sektoru založené na datech. Právě zákazníci by měli mít možnost rozhodovat o tom, jak a kým budou jejich finanční údaje využívány, a pokud o to mají zájem, měli by mít možnost poskytnout přístup ke svým údajům za účelem získání finančních a informačních služeb i dalším subjektům Z toho by profitovaly i finanční instituce, které by na základě těchto dat mohly vytvářet nové obchodní modely, produkty a způsoby interakce se zákazníky.
Pro nastavení skutečně funkčního rámce pro sdílní finančních dat je nezbytné důkladně prodiskutovat znění původního návrhu FIDA z pera Evropské komise a vyřešit alespoň hlavní nedostatky či nepřesnosti. Zejména na půdě Evropského parlamentu a Rady. Na tento proces je pochopitlně potřebná dostatečná časová dotace. Lze tedy důvodně předpokládat, že na finální verzi návrhu FIDA si ještě chvíli počkáme.
