Seisukohtade edastamine

Maakri 30, Tallinn 10145 T +372 611 6567

[email protected] pangaliit.ee

Valner Lille

Rahandusministeerium

[email protected]

Meie: 11.10.2024 nr 44

Eesti Pangaliidu seisukohad finantsandmetele juurdepääsu raamistiku (FiDA) määruse

finantsandmete jagamise skeemi juhtimise ning II ja IV jaotise vastastikuse mõju kohta

Lp Valner Lille,

Esitame oma seisukohad kahes aktuaalses küsimuses, mis puudutavad finantsandmetele juurdepääsu

raamistiku määruses skeemide juhtimise ja skeemide rahastamise mudelit ning II ja IV jaotise

vastastikust mõju.

1. Finantsandmete jagamise skeemi juhtimine, sisu ja rahastamine

Komisjon näeb oma ettepanekus ette, et skeemi liikmed eraldavad vahendeid, et välja töötada andme-

ja liidesestandardid, juhtimiseeskirjad ning ühised lepingulised raamistikud, millega reguleeritakse

juurdepääsu konkreetsetele andmekogumitele. Finantsandmete jagamise skeem peaks põhinema

andmevaldajate ja andmekasutajate vahelisel lepingul, mille eesmärk on edendada klientide huvides

finantsandmete jagamise tõhusust ja tehnilist innovatsiooni.

Kuna tulevased skeemid on potentsiaalselt erineva liikmete hulgaga, peab määrus võimaldama

paindlikkust ka nende juhtimise osas. Kuigi Komisjoni lähenemisviis võib toimida väiksema suurusega

skeemide puhul, muutuks see kümnete, sadade või isegi tuhandete liikmetega skeemide puhul

juhtimatuks. Skeem ei ole ainult osapoolte kokkulepe, mis toimib ilma edasise sekkumiseta. Määrus

peab arvestama võimalusega, et skeemidele luuakse juhtimisstruktuur, mida haldab sõltumatust

organisatsioonist juriidiline isik. Sõltuvalt skeemi suurusest ja mudelist peaksid osapooltel olema

määratletud rollid ja kohustused, sealhulgas nõue, et skeemi hallatakse selle liikmetest sõltumatu

organisatsiooni poolt. Need juhtimisnõuded tuleks kehtestada reeglistikus, mis töötatakse välja

skeemidest sõltumatult. Maksevaldkonnas võiks selliseks organisatsiooniks olla näiteks Euroopa

Maksenõukogu (European Payment Council- EPC). Skeemi juurde peaksid kuuluma komponendid nagu

üldkogu, juhatus ja korralduskomitee, et teostada järelevalvet tegevuse ja otsustusprotsessi üle.

Skeem peaks omama ka konkreetseid tegevus- ja tehnilisi suuniseid, et käsitleda selliseid aspekte nagu

hüvitamismudelid ja vaidluste lahendamise mehhanismid.

Skeemi loomine, rakendamine, juhtimine ja haldamine nõuab aega ja rahastamist. Nii skeemi

rakendamise kui käitlemise käigus võib osutuda vajalikuks mitmesuguste (näiteks juriidilisi ja IT)

teenuste hankimine ning tööjõukulude katmine. Õigusnõustamine on eriti oluline näiteks skeemi

loomisel ja reeglistiku väljatöötamisel. Kuna konkureerivad andmevaldajad ei saa omavahel hüvitise

üle läbirääkimisi pidada, peavad nad hinna üle läbirääkimisi pidama skeemiga ja vajavad seega

vastaspoolt, kelleks on skeemi operaator. Selleks, et tagada turvaline ja tõhus andmete jagamine ning

kindel juhtimiskord on oluline, et määrus võimaldaks skeemiosalistelt nõuda tasu või saada hüvitist

skeemis osalemise kulude katmiseks. Võimalust nõuda tasu mitmesuguste kulude eest, mis on otseselt

seotud skeemis osalemisega, tuleks seetõttu selgitada määruse artiklis 10 või määruse seletuskirjas.

2. Määruse II ja IV jaotise tõlgendamine ja rakendamine

Meie hinnangul on muret tekitav, et Komisjon tõlgendab jaotiste II (juurdepääs andmetele) ja IV

(finantsandmete jagamise skeem) vastastikust mõju erinevana, kuid üksteist täiendavana. (Ref:

10949/24 Brussels, 14 June 2024).

Oleme seisukohal, et määruses puudub õiguslik alus, mis toetaks Komisjoni esitatud tõlgendust.

Leiame, et andmete jagamine FiDA raames peaks toimuma ainult skeemide kaudu:

• Artiklid 5 ja 6 loetlevad kaitsemeetmed, mida andmevaldajad ja -kasutajad peaksid süsteemi

raames andmete jagamisel järgima. Seda toetab artikli 10 lõike 1 punkt g, milles sätestatakse,

et "finantsandmete jagamise skeem sisaldab andmete ja tehniliste liideste ühiseid standardeid,

et võimaldada klientidel taotleda andmete jagamist kooskõlas artikli 5 lõikega 1. " Kui II ja IV

jaotis võimaldaksid andmete jagamiseks kahte paralleelset süsteemi, ei oleks sellist ristviidet

vaja.

• II jaotise kohase andmete jagamise lubamine väljaspool skeeme vähendab andmekasutajate

motivatsiooni kavaga liituda, kui neil on andmetele tasuta juurdepääs väljaspool loodud

skeemi. Andmevaldajad ei soovi investeerida skeemide väljatöötamisse ja rakendusliideste

loomisse, mida keegi ei kasuta. Andmevaldajatel ei oleks võimalik skeemivälise andmete

jagamise korral nõuda andmekasutajatelt rakendusliideste kasutamise eest ka mõistlikku

hüvitist.

• Andmete jagamise lubamine väljaspool skeemi suurendab pettuste riski, kuna andmete

jagamine ei toimuks kontrollitud keskkonnas, kus andmevaldaja saab kontrollida, kas andmete

kasutaja on volitatud finantsteabeteenuse osutaja.

• See võib potentsiaalselt luua eelduse nn ekraanilugemis (screen scaping) tehnoloogia põhiste

lahenduste tekkimisele, kus kliendil puudub täielik kontroll andmekasutajaga jagatud andmete

üle. Kui screen scraping oleks lubatud, muudaks see võimatuks kliendile kehtivate

juurdepääsude kuvamise andmevaldaja keskkonnas asuval töölaual. Seeläbi puuduks

klientidel kontroll selle üle, kuidas ja kelle poolt tema isikuandmeid kasutatakse.

• Kahe paralleelse süsteemi võimaldamine andmete jagamiseks muudaks kogu mudeli

keerulisemaks ja ebakindlamaks. Andmete jagamine skeemide kaudu on tõhusam ja

turvalisem kui andmete jagamine II jaotise alusel. Skeem annaks ka õiguskindluse seoses

vastutuse ja muude küsimustega, milles skeemi liikmed on lepinguliselt kokku leppinud ja mis

oleks seega skeemi reeglites selgelt sätestatud. Komisjon väidab, et vastutust isikuandmete

eest reguleerib isikuandmete kaitse üldmäärus (GDPR). Juhime tähelepanu, et GDPR kehtib

küll füüsiliste isikute kohta, kuid ei laiene ettevõtetele, kes kuuluvad samuti FiDA määruse

kohaldamisalasse.

Loodame, et meie seisukohad on arusaadavad ja Teil on võimalik neid Eesti seisukohtade esitamisel

arvestada.

Lugupidamisega,

/allkirjastatud digitaalselt/

Katrin Talihärm

Tegevjuht

Maakri 30, Tallinn 10145 T +372 611 6567

[email protected] pangaliit.ee

Valner Lille

Rahandusministeerium

[email protected]

Meie: 11.10.2024 nr 44

Eesti Pangaliidu seisukohad finantsandmetele juurdepääsu raamistiku (FiDA) määruse

finantsandmete jagamise skeemi juhtimise ning II ja IV jaotise vastastikuse mõju kohta

Lp Valner Lille,

Esitame oma seisukohad kahes aktuaalses küsimuses, mis puudutavad finantsandmetele juurdepääsu

raamistiku määruses skeemide juhtimise ja skeemide rahastamise mudelit ning II ja IV jaotise

vastastikust mõju.

1. Finantsandmete jagamise skeemi juhtimine, sisu ja rahastamine

Komisjon näeb oma ettepanekus ette, et skeemi liikmed eraldavad vahendeid, et välja töötada andme-

ja liidesestandardid, juhtimiseeskirjad ning ühised lepingulised raamistikud, millega reguleeritakse

juurdepääsu konkreetsetele andmekogumitele. Finantsandmete jagamise skeem peaks põhinema

andmevaldajate ja andmekasutajate vahelisel lepingul, mille eesmärk on edendada klientide huvides

finantsandmete jagamise tõhusust ja tehnilist innovatsiooni.

Kuna tulevased skeemid on potentsiaalselt erineva liikmete hulgaga, peab määrus võimaldama

paindlikkust ka nende juhtimise osas. Kuigi Komisjoni lähenemisviis võib toimida väiksema suurusega

skeemide puhul, muutuks see kümnete, sadade või isegi tuhandete liikmetega skeemide puhul

juhtimatuks. Skeem ei ole ainult osapoolte kokkulepe, mis toimib ilma edasise sekkumiseta. Määrus

peab arvestama võimalusega, et skeemidele luuakse juhtimisstruktuur, mida haldab sõltumatust

organisatsioonist juriidiline isik. Sõltuvalt skeemi suurusest ja mudelist peaksid osapooltel olema

määratletud rollid ja kohustused, sealhulgas nõue, et skeemi hallatakse selle liikmetest sõltumatu

organisatsiooni poolt. Need juhtimisnõuded tuleks kehtestada reeglistikus, mis töötatakse välja

skeemidest sõltumatult. Maksevaldkonnas võiks selliseks organisatsiooniks olla näiteks Euroopa

Maksenõukogu (European Payment Council- EPC). Skeemi juurde peaksid kuuluma komponendid nagu

üldkogu, juhatus ja korralduskomitee, et teostada järelevalvet tegevuse ja otsustusprotsessi üle.

Skeem peaks omama ka konkreetseid tegevus- ja tehnilisi suuniseid, et käsitleda selliseid aspekte nagu

hüvitamismudelid ja vaidluste lahendamise mehhanismid.

Skeemi loomine, rakendamine, juhtimine ja haldamine nõuab aega ja rahastamist. Nii skeemi

rakendamise kui käitlemise käigus võib osutuda vajalikuks mitmesuguste (näiteks juriidilisi ja IT)

teenuste hankimine ning tööjõukulude katmine. Õigusnõustamine on eriti oluline näiteks skeemi

loomisel ja reeglistiku väljatöötamisel. Kuna konkureerivad andmevaldajad ei saa omavahel hüvitise

üle läbirääkimisi pidada, peavad nad hinna üle läbirääkimisi pidama skeemiga ja vajavad seega

vastaspoolt, kelleks on skeemi operaator. Selleks, et tagada turvaline ja tõhus andmete jagamine ning

kindel juhtimiskord on oluline, et määrus võimaldaks skeemiosalistelt nõuda tasu või saada hüvitist

skeemis osalemise kulude katmiseks. Võimalust nõuda tasu mitmesuguste kulude eest, mis on otseselt

seotud skeemis osalemisega, tuleks seetõttu selgitada määruse artiklis 10 või määruse seletuskirjas.

2. Määruse II ja IV jaotise tõlgendamine ja rakendamine

Meie hinnangul on muret tekitav, et Komisjon tõlgendab jaotiste II (juurdepääs andmetele) ja IV

(finantsandmete jagamise skeem) vastastikust mõju erinevana, kuid üksteist täiendavana. (Ref:

10949/24 Brussels, 14 June 2024).

Oleme seisukohal, et määruses puudub õiguslik alus, mis toetaks Komisjoni esitatud tõlgendust.

Leiame, et andmete jagamine FiDA raames peaks toimuma ainult skeemide kaudu:

• Artiklid 5 ja 6 loetlevad kaitsemeetmed, mida andmevaldajad ja -kasutajad peaksid süsteemi

raames andmete jagamisel järgima. Seda toetab artikli 10 lõike 1 punkt g, milles sätestatakse,

et "finantsandmete jagamise skeem sisaldab andmete ja tehniliste liideste ühiseid standardeid,

et võimaldada klientidel taotleda andmete jagamist kooskõlas artikli 5 lõikega 1. " Kui II ja IV

jaotis võimaldaksid andmete jagamiseks kahte paralleelset süsteemi, ei oleks sellist ristviidet

vaja.

• II jaotise kohase andmete jagamise lubamine väljaspool skeeme vähendab andmekasutajate

motivatsiooni kavaga liituda, kui neil on andmetele tasuta juurdepääs väljaspool loodud

skeemi. Andmevaldajad ei soovi investeerida skeemide väljatöötamisse ja rakendusliideste

loomisse, mida keegi ei kasuta. Andmevaldajatel ei oleks võimalik skeemivälise andmete

jagamise korral nõuda andmekasutajatelt rakendusliideste kasutamise eest ka mõistlikku

hüvitist.

• Andmete jagamise lubamine väljaspool skeemi suurendab pettuste riski, kuna andmete

jagamine ei toimuks kontrollitud keskkonnas, kus andmevaldaja saab kontrollida, kas andmete

kasutaja on volitatud finantsteabeteenuse osutaja.

• See võib potentsiaalselt luua eelduse nn ekraanilugemis (screen scaping) tehnoloogia põhiste

lahenduste tekkimisele, kus kliendil puudub täielik kontroll andmekasutajaga jagatud andmete

üle. Kui screen scraping oleks lubatud, muudaks see võimatuks kliendile kehtivate

juurdepääsude kuvamise andmevaldaja keskkonnas asuval töölaual. Seeläbi puuduks

klientidel kontroll selle üle, kuidas ja kelle poolt tema isikuandmeid kasutatakse.

• Kahe paralleelse süsteemi võimaldamine andmete jagamiseks muudaks kogu mudeli

keerulisemaks ja ebakindlamaks. Andmete jagamine skeemide kaudu on tõhusam ja

turvalisem kui andmete jagamine II jaotise alusel. Skeem annaks ka õiguskindluse seoses

vastutuse ja muude küsimustega, milles skeemi liikmed on lepinguliselt kokku leppinud ja mis

oleks seega skeemi reeglites selgelt sätestatud. Komisjon väidab, et vastutust isikuandmete

eest reguleerib isikuandmete kaitse üldmäärus (GDPR). Juhime tähelepanu, et GDPR kehtib

küll füüsiliste isikute kohta, kuid ei laiene ettevõtetele, kes kuuluvad samuti FiDA määruse

kohaldamisalasse.

Loodame, et meie seisukohad on arusaadavad ja Teil on võimalik neid Eesti seisukohtade esitamisel

arvestada.

Lugupidamisega,

/allkirjastatud digitaalselt/

Katrin Talihärm

Tegevjuht