EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32022R2360
Commission Delegated Regulation (EU) 2022/2360 of 3 August 2022 amending the regulatory technical standards laid down in Delegated Regulation (EU) 2018/389 as regards the 90-day exemption for account access (Text with EEA relevance)
Komisjoni delegeeritud määrus (EL) 2022/2360, 3. august 2022, millega muudetakse delegeeritud määruses (EL) 2018/389 sätestatud regulatiivseid tehnilisi standardeid seoses kontole juurdepääsu 90-päevase erandiga (EMPs kohaldatav tekst)
Komisjoni delegeeritud määrus (EL) 2022/2360, 3. august 2022, millega muudetakse delegeeritud määruses (EL) 2018/389 sätestatud regulatiivseid tehnilisi standardeid seoses kontole juurdepääsu 90-päevase erandiga (EMPs kohaldatav tekst)
C/2022/5517
ELT L 312, 5.12.2022, p. 1–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
5.12.2022 |
ET |
Euroopa Liidu Teataja |
L 312/1 |
KOMISJONI DELEGEERITUD MÄÄRUS (EL) 2022/2360,
3. august 2022,
millega muudetakse delegeeritud määruses (EL) 2018/389 sätestatud regulatiivseid tehnilisi standardeid seoses kontole juurdepääsu 90-päevase erandiga
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 25. novembri 2015. aasta direktiivi (EL) 2015/2366 makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta, (1) eriti selle artikli 98 lõike 4 teist lõiku,
ning arvestades järgmist:
|
(1) |
Komisjoni delegeeritud määruse (EL) 2018/389 (2) artikliga 10 on ette nähtud erand direktiivi (EL) 2015/2366 artiklis 97 sätestatud nõudest kohaldada kliendi tugevat autentimist, kui makseteenuse kasutajal on juurdepääs maksekonto saldole ja viimastele tehingutele tundlikke makseandmeid avaldamata. Sellisel juhul on makseteenuse pakkujatel lubatud mitte kohaldada kliendi tugevat autentimist kontoteabele juurdepääsuks, tingimusel et kliendi tugevat autentimist kohaldati siis, kui kontoteabele saadi juurdepääs esimest korda, ja pärast seda vähemalt 90 päeva järel. |
|
(2) |
Selle erandi kasutamine on toonud kaasa väga lahknevad tavad delegeeritud määruse (EL) 2018/389 kohaldamisel: mõned kontot haldavad makseteenuse pakkujad nõuavad kliendi tugevat autentimist iga 90 päeva järel, teised lühemate ajavahemike järel ning mõned ei ole erandit kohaldanud ja nõuavad kliendi tugevat autentimist iga kontole juurdepääsu puhul. Need lahknevused on kliendikogemust kontoteabe teenuste kasutamisel tarbetult pingestanud ja avaldanud negatiivset mõju kontoteabe teenuse pakkujate teenustele. |
|
(3) |
Selleks et panna omavahel nõuetekohaselt tasakaalu direktiivi (EL) 2015/2366 eesmärgid suurendada turvalisust, soodustada innovatsiooni ja hoogustada konkurentsi siseturul, on vaja täiendavalt täpsustada delegeeritud määruse (EL) 2018/389 artiklis 10 sätestatud erandi kohaldamist juhtudel, kui kontoteabele pääseb juurde kontoteabe teenuse pakkuja kaudu. Seega ei tohiks makseteenuse pakkujatel olla sellisel juhul lubatud valida, kas kohaldada kliendi tugevat autentimist või mitte, ning erand tuleks muuta kohustuslikuks selliste tingimuste olemasolul, mille eesmärk on tagada makseteenuse kasutajate andmete turvalisus. |
|
(4) |
Erand peaks piirduma juurdepääsuga maksekonto saldole ja viimastele tehingutele tundlikke makseandmeid avaldamata. Erandit tuleks kohaldada üksnes juhul, kui makseteenuse pakkujad on juba kohaldanud kliendi tugevat autentimist esmakordse juurdepääsu puhul vastava kontoteabe teenuse pakkuja kaudu ja seda tuleks korrapäraselt uuendada. |
|
(5) |
Makseteenuse kasutajate andmete turvalisuse tagamiseks peaks makseteenuse pakkujatel olema igal ajal lubatud kohaldada kliendi tugevat autentimist, kui neil on selleks objektiivselt põhjendatud ja nõuetekohaselt tõendatud põhjused seoses autoriseerimata või pettuse teel juurdepääsuga. See võib olla nii juhul, kui kontot haldava makseteenuse pakkuja tehinguseiremehhanismid avastavad, et suurenenud on autoriseerimata või pettuse teel juurdepääsu oht. Selleks et tagada erandi järjepidev kohaldamine, peaksid kontot haldavad makseteenuse pakkujad sellisel juhul oma riiklikule pädevale asutusele selle asutuse taotluse korral dokumenteerima ja nõuetekohaselt põhjendama kliendi tugeva autentimise kohaldamise põhjuseid. |
|
(6) |
Kui makseteenuse kasutajal on kontoteabele otsejuurdepääs, peaks makseteenuse pakkujatel jätkuvalt olema lubatud valida, kas kohaldada kliendi tugevat autentimist. Selle põhjus on asjaolu, et sellistel juhtudel ei ole täheldatud ühtegi konkreetset probleemi, mis nõuaks delegeeritud määruse (EL) 2018/389 artiklis 10 sätestatud erandi muutmist, vastupidiselt kontoteabe teenuse pakkuja kaudu saadud juurdepääsule. |
|
(7) |
Selleks et tagada kõigile makseteenuse pakkujatele võrdsed tingimused ja kooskõlas direktiivi (EL) 2015/2366 eesmärkidega võimaldada kasutajasõbralike ja uuenduslike teenuste väljatöötamist, on proportsionaalne kehtestada sama 180-päevane tähtaeg kliendi tugeva autentimise uuendamiseks kontoteabele juurdepääsuks nii vahetult kontot haldava makseteenuse pakkuja kaudu kui ka kontoteabe teenuse pakkuja kaudu. Kliendi tugeva autentimise uuendamine praeguse sagedusega võib põhjustada soovimatuid pingeid kliendikogemuses ning takistada kontoteabe teenuse pakkujatel oma teenuste pakkumist ja kasutajatel nende kasutamist. |
|
(8) |
Kontot haldavatelt makseteenuse pakkujatelt, kes pakuvad spetsiaalset liidest ja kes on rakendanud delegeeritud määruse (EL) 2018/389 artikli 33 lõikes 4 sätestatud eriolukorra mehhanismi, ei tohiks nõuda uue kohustusliku erandi rakendamist oma otsestes kliendiliidestes eriolukorra mehhanismi jaoks, tingimusel et nad ei kohalda oma otsestes kliendiliidestes delegeeritud määruse (EL) 2018/389 artiklis 10 sätestatud erandit. Oleks ebaproportsionaalne nõuda, et kontot haldavad makseteenuse pakkujad, kes pakuvad spetsiaalset liidest, mille puhul nad peavad rakendama uut kohustuslikku erandit, rakendaksid erandit ka oma otsestes kliendiliidestes eriolukorra mehhanismi jaoks. |
|
(9) |
Et anda makseteenuse pakkujatele piisavalt aega oma süsteemides vajalike muudatuste tegemiseks, peaksid kontot haldavad makseteenuse pakkujad tegema oma liideste tehnilistes kirjeldustes käesoleva määruse nõuete järgimise eesmärgil tehtud muudatused makseteenuse pakkujatele kättesaadavaks vähemalt kaks kuud enne selliste muudatuste rakendamist. |
|
(10) |
Seepärast tuleks delegeeritud määrust (EL) 2018/389 vastavalt muuta. |
|
(11) |
Käesolev määrus põhineb Euroopa Pangandusjärelevalve poolt komisjonile esitatud regulatiivsete tehniliste standardite eelnõul. |
|
(12) |
Euroopa Pangandusjärelevalve on korraldanud avalikud konsultatsioonid käesoleva määruse aluseks olevate regulatiivsete tehniliste standardite eelnõu kohta, analüüsinud võimalikke seonduvaid kulusid ja tulusid ning küsinud nõu Euroopa Parlamendi ja nõukogu määruse (EL) nr 1093/2010 artikli 37 kohaselt loodud pangandussektori sidusrühmade kogult (3). |
|
(13) |
Euroopa Andmekaitseinspektoriga konsulteeriti Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 42 lõike 1 kohaselt ja ta esitas oma ametlikud märkused 7. juunil 2022. |
|
(14) |
Selleks et võimaldada sujuvat üleminekut käesolevas määruses sätestatud uutele nõuetele, tuleks makseteenuse pakkujatel, kes on kohaldanud delegeeritud määruse (EL) 2018/389 artiklis 10 sätestatud erandit enne käesoleva määruse kohaldamise alguskuupäeva, lubada jätkata kõnealuse erandi kohaldamist kuni 90 päeva jooksul alates viimasest korrast, mil kohaldati kliendi tugevat autentimist, |
ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:
Artikkel 1
Delegeeritud määruse (EL) 2018/389 muutmine
Delegeeritud määrust (EL) 2018/389 muudetakse järgmiselt.
|
1) |
Artikkel 10 asendatakse järgmisega: „Artikkel 10 Juurdepääs maksekonto andmetele otse kontot haldava makseteenuse pakkuja kaudu 1. Makseteenuse pakkujatel on lubatud mitte kohaldada kliendi tugevat autentimist, tingimusel et on täidetud artiklis 2 sätestatud nõuded ja juhul, kui makseteenuse kasutajal on internetipõhine otsejuurdepääs oma maksekontole, tingimusel et juurdepääs internetis on tundlikke makseandmeid avaldamata piiratud ühega järgmistest elementidest:
2. Erandina lõikest 1 ei ole makseteenuse pakkujad kliendi tugeva autentimise kohaldamisest vabastatud juhul, kui täidetud on üks järgmistest tingimustest:
|
|
2) |
Lisatakse järgmine artikkel 10a: „Artikkel 10a Juurdepääs maksekonto andmetele kontoteabe teenuse pakkuja kaudu 1. Makseteenuse pakkujad ei kohalda kliendi tugevat autentimist, kui makseteenuse kasutaja pääseb oma maksekontole juurde interneti teel kontoteabe teenuse pakkuja kaudu, tingimusel et juurdepääs internetis on tundlikke makseandmeid avaldamata piiratud ühega järgmistest elementidest:
2. Erandina lõikest 1 kohaldavad makseteenuse pakkujad kliendi tugevat autentimist juhul, kui täidetud on üks järgmistest tingimustest:
3. Erandina lõikest 1 lubatakse makseteenuse pakkujatel kohaldada kliendi tugevat autentimist, kui makseteenuse kasutaja pääseb oma maksekontole juurde interneti teel kontoteabe teenuse pakkuja kaudu ning makseteenuse pakkujal on selleks objektiivselt põhjendatud ja nõuetekohaselt tõendatud põhjused, mis on seotud autoriseerimata või pettuse teel juurdepääsuga maksekontole. Sellisel juhul dokumenteerib makseteenuse pakkuja oma riiklikule pädevale asutusele selle asutuse taotluse alusel kliendi tugeva autentimise kohaldamise põhjused ja põhjendab neid nõuetekohaselt. 4. Kontot haldavatelt makseteenuse pakkujatelt, kes pakuvad artiklis 31 osutatud spetsiaalset liidest, ei nõuta käesoleva artikli lõikes 1 sätestatud erandi rakendamist artikli 33 lõikes 4 osutatud eriolukorra mehhanismi jaoks, kui nad ei kohalda artiklis 10 sätestatud erandit oma makseteenuse kasutajate autentimiseks ja nendega suhtlemiseks kasutatavas otseliideses.“ |
|
3) |
Artiklisse 30 lisatakse lõige 4a: „4a. Erandina lõikest 4 teevad kontot haldavad makseteenuse pakkujad käesolevas artiklis osutatud makseteenuse pakkujatele kättesaadavaks oma liideste tehnilistes kirjeldustes artikli 10a nõuete järgimise eesmärgil tehtud muudatused vähemalt kaks kuud enne selliste muudatuste rakendamist.“ |
Artikkel 2
Üleminekusätted
1. Makseteenuse pakkujad, kes kohaldasid delegeeritud määruse (EL) 2018/389 artiklis 10 sätestatud erandit enne 25. juulit 2023, lubatakse jätkata kõnealuse erandi kohaldamist kontoteabe teenuse pakkuja kaudu saadud juurdepääsutaotluste suhtes kuni kõnealuse erandiga hõlmatud ajavahemiku lõpuni.
2. Erandina lõikest 1 kohaldatakse käesoleva määrusega kehtestatud artiklit 10a juhul, kui kontoteabe teenuse pakkuja kaudu esitatud juurdepääsutaotluse suhtes kohaldatakse uut kliendi tugevat autentimist enne lõikes 1 osutatud erandiga hõlmatud ajavahemiku lõppu.
Artikkel 3
Jõustumine ja kohaldamine
Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Seda kohaldatakse alates 25. juulist 2023.
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Brüssel, 3. august 2022
Komisjoni nimel
president
Ursula VON DER LEYEN
(1) ELT L 337, 23.12.2015, lk 35.
(2) Komisjoni 27. novembri 2017. aasta delegeeritud määrus (EL) 2018/389, millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/2366 regulatiivsete tehniliste standarditega, mis käsitlevad kliendi tugevat autentimist ning ühiseid ja turvalisi teabevahetuse avatud standardeid (ELT L 69, 13.3.2018, lk 23).
(3) Euroopa Parlamendi ja nõukogu 24. novembri 2010. aasta määrus (EL) nr 1093/2010, millega asutatakse Euroopa Järelevalveasutus (Euroopa Pangandusjärelevalve), muudetakse otsust nr 716/2009/EÜ ning tunnistatakse kehtetuks komisjoni otsus 2009/78/EÜ (ELT L 331, 15.12.2010, lk 12).