Regeringskansliet Faktapromemoria  2022/23:FPM119
Förordning om ett ramverk för tillgång till finansiella data	2022/23:FPM119
Finansdepartementet
2023-08-23
Dokumentbeteckning
COM(2023) 360
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1095/2010 and (EU) 2022/2554

 

Sammanfattning

Europeiska kommissionen presenterade den 28 juni 2023 ett förslag till förordning om ett ramverk för tillgång till finansiella data, även kallat öppna finansiella tjänster. Förslaget ger kunder (privatpersoner och företag) rätt att dela sina finansiella data till tredjepartsbolag. Dessa bolag kan i sin tur använda dessa data för att erbjuda nya tjänster och produkter, exempelvis kundanpassade produktjämförelser. Områden där datadelning möjliggörs inkluderar lån, sparande, investeringar, försäkringar och pension. Syftena är att främja innovation av finansiella tjänster, ökad konkurrens och säkerställa kunders kontroll över sina data. Delning av data är enligt förslaget enbart tillåtet efter kunds medgivande och till företag som har fått tillstånd av behörig myndighet. Förslaget innebär att datainnehavare (exempelvis banker och försäkringsföretag) och dataanvändare (tredjepartsbolag) ska samarbeta om bland annat regler och avgifter för datadelning.

Regeringen välkomnar förslaget på ett övergripande plan och anser att det har potential att öka konkurrensen på finansmarknaden och stimulera till innovation av nya tjänster. För att använda möjligheten till datadelning är det centralt att kunder känner tillit till ramverket. Därför är det viktigt att tillräckliga krav ställs på kunders samtycke, att data lagras säkert och att särskilt känsliga data skyddas. Kunder bör få tydlig och koncis information om vilka data som ska delas, hur länge och vad de ska användas till. Regeringen anser det viktigt att etablera ett system som främjar samarbete mellan datainnehavare och -användare och som bidrar till standardiserade data av hög kvalitet. Regeringen anser vidare att datainnehavares rätt att ta ut rimliga avgifter kan vara motiverat utifrån de principer som föreslås.

 

1                 Förslaget

1.1           Ärendets bakgrund

Allt fler aktörer inom finansmarknadsområdet delar kunders (privatpersoner och företag) data med syfte att erbjuda nya tjänster och funktioner. Dessa så kallade öppna finansiella tjänster gör det till exempel möjligt för kunder att jämföra, och få skräddarsydd rådgivning om, finansiella produkter. Det finns idag öppna finansiella tjänster som är både reglerade och oreglerade. De oreglerade öppna finansiella tjänsterna är i regel baserade på att kunder, utan datainnehavarens kännedom, ger medgivande till tredjepartsbolag att inhämta kundens data. De reglerade öppna finansiella tjänsterna är baserade på EU:s betaltjänstedirektiv (se faktapromemoria 2012/13:FPM156). Direktivet, som beslutades 2015, inkluderar bland annat delning av betalkontoinformation mellan företag med kunds medgivande. Kommissionen presenterade parallellt med detta förslag ett förslag om ändringar i regelverket för betaltjänster (se faktapromemoria 2022/23:FPM118). Därutöver tillåter EU:s dataskyddsförordning hämtning av personliga data och delning av dessa direkt till dataanvändare när det är tekniskt möjligt.

Förslaget till förordning om ett ramverk för tillgång till finansiella data presenterades den 28 juni 2023 och bygger på erfarenheter från genomförandet av det andra betaltjänstedirektivet. Exempelvis har dataanvändare varit kritiska till hur datadelningen fungerat i praktiken och datainnehavare kritiska  till bristen på kompensation för kostnader. Förslaget är också tänkt att hantera de skäl som kommissionen har identifierat till att data inte delas mer inom finanssektorn, och som därmed hämmar användningen av öppna finansiella tjänster: 1) att kunder är tveksamma till att dela med sig av sina data på grund av bristande tilllit, 2) att nuvarande reglering innebär att datainnehavare kan neka delning av data och 3) att kostnaderna drivs upp till följd av bristande enhetlighet, standardisering och tekniska lösningar.

Förslag till ramverk för tillgång till finansiella data ingår i kommissionens strategi för digitalisering av finanssektorn i EU som presenterades 2020 (se faktapromemoria 2020/21:FPM13). Syftet med strategin är att stärka konkurrenskraft och innovation inom Europas finanssektor, ge privatpersoner och företag större valmöjligheter när det gäller finansiella tjänster och moderna betalningslösningar samt att stärka konsumentskyddet.

2020 presenterade kommissionen sin övergripande datastrategi, vilken har som mål att till år 2030 skapa ett gemensamt europeiskt dataområde och en fungerande och säker inre marknad för data (se faktapromemoria 2019/20:FPM23). Vidare föreslog kommissionen 2022 vissa övergripande regler för hur denna datamarknad ska fungera i förslaget till förordning om harmoniserade regler om rättvis tillgång till och användning av uppgifter (datarättsförordningen; se faktapromemoria 2021/22:FPM70).

 

1.2           Förslagets innehåll

1.2.1        Tillämpningsområde och berörda tjänster

Förslaget ger kunder rätt att begära ut sina data och ge medgivande till datadelning på följande områden:

1. Bolåneavtal, lån och konton, förutom betalkonton.
2. Sparande, investeringar i finansiella instrument, försäkringsbaserade investeringsprodukter, kryptotillgångar, fastigheter och andra relaterade finansiella tillgångar och förmåner från sådana tillgångar.
3. Data som samlats in för att göra ändamålsenlighets- och lämplighetsbedömningar i samband med marknader för finansiella instrument.
4. Pensionsrättigheter för tjänstepensionsplaner.
5. Pensionsrättigheter för att tillhandahålla paneuropeiska privata pensionsprodukter (PEPP).
6. Icke-livförsäkringsprodukter med undantag av sjukdoms-, hälso- eller medicinförsäkringsprodukter.
7. Data som samlats in för kreditvärdighetsbedömningar till företags låneansökningar och kreditbetyg.

1.2.2        Dataåtkomst, medgivande och skydd av data

Kunder som själva begär tillgång till sina data ska få ta del av dessa utan avgift eller obefogat dröjsmål. För att bolag som begär dataåtkomst, så kallade dataanvändare, ska få tillgång till kunds data krävs att de har medgivande från kund och tillstånd av behörig myndighet. Data som delats får enbart användas enligt de villkor som dataanvändaren och kunden kommit överens om. Förslaget innehåller även regler för hur data får användas, som att följa EU:s dataskyddsförordning för hantering av personliga data, att data inte får sparas annat än för att utföra överenskommen tjänst och att data ska tas bort när de inte längre används.

För att stärka kundens kontroll av sina data ska datainnehavarna ­­– företagen från vilka data begärs ­– tillhandahålla en tydlig och lättanvänd medgivandepanel. Denna ska samla kundens olika medgivanden och bland annat visa till vilka de givits, vilka syften de har, hur länge de gäller och vilka datakategorier de inkluderar. Dessutom ska medgivandepanelen ge möjlighet att dra tillbaka medgivanden och innehålla historik över tidigare medgivanden.

Dataanvändare behöver tillstånd av behörig myndighet, antingen som en så kallad tjänsteleverantör av finansiell information eller som något av de finansiella företag som anges i förordningen, exempelvis försäkringsföretag, tjänstepensionsföretag och betaltjänstleverantörer. För att få tillstånd som tjänsteleverantör av finansiell information behöver en rad villkor uppfyllas. Till dessa hör att bolaget beskriver sin verksamhet och hur det planerar att använda delade data samt har adekvat intern styrning och tillräckliga skyddsåtgärder för att motverka cyberattacker och andra IT-relaterade risker. Ett tillstånd utfärdat i en medlemsstat är giltigt i hela unionen och kan dras in, exempelvis om företaget inte längre uppfyller kraven. Europeiska bankmyndigheten (Eba) ska tillhandahålla ett offentligt tillgängligt register över tjänsteleverantörer av finansiell information och system för delning av finansiella data (se nedan).

Personliga data får enbart användas för de syften för vilka de givits åtkomst. Därutöver ska Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) och Europeiska bankmyndigheten (Eba) ta fram riktlinjer för hur personliga data får användas för särskilt känsliga produkter och tjänster - kreditvärderingsbedömningar och liv- och hälsoförsäkringar.

1.2.3        System för delning av finansiella data

Datainnehavare och -användare samt kundorganisationer ska enligt förslaget etablera system för delning av finansiella data. Dessa ska besluta om regler och tekniska specifikationer för datadelning. Förordningen slår fast en rad principer som ska gälla för systemen, bland annat att:

1. Datainnehavare och -användare ska ha samma representation i beslutfattandet.
2. Systemen ska inkludera gemensamma datastandarder och gränssnitt för datadelning.
3. Systemen ska ta fram en metod för att bestämma storleken för de avgifter som datainnehavarna, enligt förslaget, har rätt att ta ut av dataanvändarna. Förordningen anger här en rad principer, som att avgifterna ska vara rimliga och direkt kopplade till kostnaden för att tillgängliggöra data, baserade på objektiva och transparenta grunder och inriktade mot de lägsta avgifterna på marknaden. Avgifterna för små och medelstora företag får inte överstiga kostnaden för att tillgängliggöra data, och kan därmed bli lägre än för större företag.
4. Det ska finnas en mekanism för att hantera konflikter inom systemet för delning av finansiella data.

Systemen för delning av finansiella data ska godkännas av behörig myndighet i det land där de största datainnehavarna är lokaliserade. Om system inte etableras inom rimlig tid för vissa datakategorier får kommissionen slå fast regler för dessa genom en delegerad akt.

1.2.4        Myndighetsbefogenheter

Förslaget innehåller bestämmelser om de nationella behöriga myndigheternas befogenheter, bland annat administrativa sanktioner, andra åtgärder samt att de ska kunna utbyta information. Vidare specificeras företags rätt till överklagan, sekretess och förlikningsavtal.

1.2.5        Utvärdering

Kommissionen ska utvärdera förordningen senast fyra år efter ikraftträdandet och rapportera till rådet, Europaparlamentet och berörda kommittéer. Utvärderingen ska bland annat undersöka om ytterligare datakategorier bör inkluderas, om någon datakategori bör exkluderas samt hur väl systemen för delning av finansiella data fungerar.

1.2.6        Följdändringar i andra EU-rättsakter

Förordningen innebär ändringar i flera andra EU-rättsakter för att ge uppdrag till Europeiska bankmyndigheten (Eba), Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) och Europeiska värdepappers- och marknadsmyndigheten (Esma) samt för tillämpning av förordning om digital operativ motståndskraft för finanssektorn (Dora; se faktapromemoria 2020/21:FPM16) och direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten (visselblåsardirektivet; se prop. 2020/21:193).

1.3           Gällande svenska regler och förslagets effekt på dessa

Det finns idag ingen heltäckande lagstiftning på området. I den mån reglerad datadelning sker idag bygger det på det andra betaltjänstdirektivet eller GDPR. De påverkas inte av detta förslag.

Eftersom den föreslagna regleringen är en förordning är den direkt tillämplig. Det krävs dock vissa kompletterande bestämmelser i svensk rätt, exempelvis bemyndigande till behörig myndighet.

 

1.4           Budgetära konsekvenser / Konsekvensanalys

Enligt kommissionen förväntas förordningen enbart att ha begränsad påver­kan på EU-budgeten. Förslaget innebär inga nya tillsyns- eller övervakningsuppgifter för de europeiska tillsynsmyndigheterna, och kostnader bedöms rymmas inom nuvarande budgetramar.

Kommissionen bedömer att konsekvenserna för de nationella tillsynsmyndigheterna gällande kostnader och administrativa bördor är begränsade. Även om förslaget innebär nya och delvis utökade uppgifter för tillsynsmyndigheten väntas kostnaderna för dessa, enligt kommissionen, åtminstone på lång sikt delvis uppvägas av de avgifter som tillståndsansökningarna medför. Enligt Finansinspektionen kan ett relativt stort antal aktörer väntas ansöka om tillstånd i Sverige vilket skulle ta resurser i anspråk hos behörig myndighet. Regeringen bedömer att eventuella övriga ökade kostnader för myndigheterna bör kunna hanteras inom befintliga ekonomiska ramar.

Företag som redan har tillstånd, som något av de finansiella företag som anges i förordningen, behöver inte ansöka om nytt tillstånd för att omfattas av förslaget. Inte heller tillkommer ytterligare krav på rapportering för de företagen. Kommissionen bedömer att 350 företag inom EU kommer att ansöka tillstånd om att bli tjänsteleverantörer av finansiell information.

Kommissionen menar att förslaget kommer att ha en positiv inverkan på innovation av nya produkter och att kunder som vill dela sin data därmed kommer kunna dra nytta av nya produkter och tjänster. Detta väntas i sin tur förbättra konkurrensen på finansmarknaden, exempelvis genom att underlätta för jämförelse och flytt av finansiella produkter samt genom att företag erbjuds innovativa tjänster som sänker deras kostnader. Kommissionen menar att särskilt dataanvändare som är små- och medelstora företag gynnas av förslaget. Dels omfattas de av det lägre taket för avgifter, dels tvingar ramverket alla datainnehavare att dela med sig av sin data. De föreslagna systemen för delning av finansiella data väntas även minska kostnaderna för datadelning och bearbetning av data.

Vidare menar kommissionen att kunders kontroll över sina data, dataskydd och integritetsrättigheter stärks genom bland annat den föreslagna medgivandepanelen, behörighetsregler och gränser för användning av personuppgifter. Detta, anser kommissionen, skulle stärka kunders förtroende för datadelning.

Slutligen ser kommissionen en viss risk för att ökad datadelning kan leda till högre försäkringspremier för, eller utestängning av, kunder med högre riskprofil. Man betonar därför vikten av att hälso- och livförsäkringar exkluderas samt att Eiopa och Eba utvecklar riktlinjer för hur personliga data får användas för särskilt känsliga produkter och tjänster.

 

2                 Ståndpunkter

2.1           Preliminär svensk ståndpunkt

Regeringen välkomnar på ett övergripande plan förslaget att införa ett ramverk för tillgång till finansiella data, även kallat öppna finansiella tjänster. Det har potential att öka konkurrensen på finansmarknaden och stimulera till innovation av nya tjänster. En sådan utveckling skulle ge fördelar till kunder – både privatpersoner och företag. Det är positivt att förslaget stärker kunders, särskilt privatpersoners, kontroll över sina data. Införande av reglering på ett idag oreglerat område skulle dessutom öka den rättsliga tydligheten och utöka tillsynen över datadelning inom finanssektorn.

Regeringen ska verka för att kundnyttan beaktas. Vidare behöver kunder känna tillit till ramverket för datadelning för att vilja använda öppna finansiella tjänster i stor utsträckning. Av denna anledning, och även för egenvärdet att skydda data, är det viktigt att tillräckliga krav ställs på kunders samtycke, att data lagras säkert och att särskilt känsliga data skyddas. Kunder bör få tydlig och koncis information om vilka data som ska delas, hur länge och vad de ska användas till. Kunder bör också kunna få överblick över sina medgivanden och möjlighet att enkelt kunna återkalla dem. För att värna informationssäkerheten är det viktigt att det ställs tillräckliga krav på tillstånd till dataanvändare. Samtidigt är det viktigt att dessa krav är proportionerliga och inte på ett obefogat sätt hindrar mindre aktörer från att erbjuda tjänster.

Regeringen instämmer i kommissionens bedömning att vissa känsliga data inte bör kunna delas, till exempel uppgifter om sjukdom och hälsotillstånd som förekommer vid vissa försäkringar. Vidare är det viktigt att ökad tillgång till kunddata inte leder till att företag på ett olämpligt sätt stänger ute konsumenter från vissa tjänster.

Regeringen bedömer att det är motiverat att låta datainnehavare ta ut avgifter för att dela data med dataanvändare. Skälen för detta är bland annat att sträva efter att utvecklings- och underhållskostnader för att genomföra regelverket fördelas mellan marknadsaktörer och att skapa incitament för att upprätthålla hög datakvalitet. Regeringen instämmer överlag med de principer som kommissionen föreslår för att bestämma avgiftens storlek och understryker att avgifter inte bör bli så höga att de förhindrar att regelverket används brett.

Regeringen anser att det är viktigt att främja samarbete mellan datainnehavare och dataanvändare på lika villkor, standardiserade data av hög kvalitet och att följa den tekniska utvecklingen. Regeringen är försiktigt positiv till kommissionens förslag att etablera system för delning av finansiella data och de övergripande principerna för hur dessa ska fungera. Det är samtidigt ett nytt tillvägagångssätt, och det kommer inledningsvis vara viktigt att kommissionen löpande utvärderar hur väl dessa system fungerar och vid behov ger förslag på ändringar.

Regeringen avser slutligen att agera i linje med Sveriges budgetrestriktiva hållning. Eventuella kostnader som förslagen kan leda till för den nationella budgeten ska finansieras i linje med de principer om neutralitet för statens budget som riksdagen har beslutat om (prop. 1994/95:40, bet. 1994/95: FiU5, rskr. 1994/95:67).

 

2.2           Medlemsstaternas ståndpunkter

Medlemsstaternas ståndpunkter är ännu inte kända.

2.3           Institutionernas ståndpunkter

Institutionernas ståndpunkter är ännu inte kända.

2.4           Remissinstansernas ståndpunkter

Flera företag, branschorganisationer och myndigheter har inbjudits till en referensgrupp och att lämna övergripande och preliminära synpunkter på förslaget. Sammanfattningsvis är svaren i flera fall positiva till förslaget och inga är tydligt kritiska mot förslaget som helhet.

Vissa remissinstanser, exempelvis Finansinspektionen, anser det vara positivt att det införs regelverk för öppna finansiella tjänster då det ökar den rättsliga tydligheten och ställer fler aktörer under tillsyn. Vissa är positiva till de produkter och tjänster som omfattas av förslaget, medan andra anser att de kan behöva begränsas. Vissa remissinstanser, exempelvis Konkurrensverket, framhåller att förslaget kan främja konkurrens, och vissa att det kan främja innovation av nya tjänster.

Synen är splittrad vad gäller effekter för konsumenter. Konsumentverket menar att öppna finansiella tjänster generellt kan innebära både fördelar och risker och att förslaget inte är tillräckligt detaljerat för att avgöra vilket som väger tyngst. Remissinstanser som är eller företräder tredjepartsbolag menar att datadelningen innebär förbättrad överblick och ökade valmöjligheter för konsumenter. Konkurrensverket gör en liknande analys och Finansinspektionen anser att förslaget stärker konsumentskyddet. Instanser som företräder datainnehavare framhåller istället integritets- och cybersäkerhetsrisker med den ökade datadelningen, till exempel att aktörer med brottsligt uppsåt skulle få tillgång till individers ekonomiska information. Integritetsskyddsmyndigheten har inga invändningar mot förslaget och anser att IT-säkerhetsfrågor har en framträdande roll.

Gällande systemen för delning av finansiella data som ska samordna datainnehavare och -användare anser Finansinspektionen att det är positivt att dessa system kan främja datastandardisering och att marknaden själv ges möjlighet att ta fram standarder. Från flera remissinstanser efterfrågas mer detaljer om hur systemen ska fungera. Bland synpunkterna betonas bland annat vikten av att det finns en balans i hur mycket inflytande de olika aktörerna som ingår i ett system för delning av finansiella data har och behovet av frivillighet att ingå överenskommelser.

Remissinstanser som företräder datainnehavare understryker kostnaderna för att anpassa sig till det föreslagna regelverket och vikten att få ta avgift. Bland deras synpunkter nämns att förslaget innebär omfattande investeringar i infrastruktur med oklara vinster, att rimliga ersättningsmodeller behövs där ersättningen även bör täcka kostnad för att inhämta kundinformation samt att det blir orättvis konkurrens när mindre bolag inte behöver betala lika mycket för datatillgång. Remissinstanser som är eller företräder tredjepartsbolag är skeptiska till avgifter. De framhåller bland annat att kunderna äger dessa data och att de idag är tillgängliga utan kostnad samt poängterar vikten av att avgifter blir låga.

Flera remissinstanser understryker att det finns oklarheter som behöver redas ut. Vissa lyfter frågan hur det föreslagna regelverket förhåller sig till kreditupplysningslagen och om delande av sådana data enligt förslaget omfattas av denna lag. Finansinspektionen anser det vara otydligt hur delning av data som inte ingår i förslaget påverkas och hur befintlig datadelning påverkas. Vissa remissinstanser menar att det är otydligt hur förslaget påverkar befintliga och välfungerande frivilliga avtal för datadelning.

 

3                 Förslagets förutsättningar

3.1           Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget utgörs av artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Rådet beslutar med kvalificerad majoritet efter ordinarie lagstiftningsförfarande med Europaparlamentet enligt artikel 294 i EUF-fördraget.

 

3.2           Subsidiaritets- och proportionalitetsprincipen

Kommissionen anser att förslaget är förenligt med subsidiaritets- och proportionalitetsprincipen. Gällande subsidiaritet så är finansiella tjänster en delad befogenhet. Kommissionen understryker behovet av unionsövergripande reglering. Anledningar till detta är att dataekonomin är en väsentlig del av den inre marknaden, att datainnehavare till stor del är finansiella institutioner som lyder under EU-tillsyn och att gemensamma regler bidrar till att bevara lika villkor för unionens finansiella institutioner. Dessutom, menar kommissionen, har dessa finansiella institutioner betydande landsöverskridande aktivitet och kunder kan använda sig av finansiella institutioner i flera olika medlemsstater. Gällande proportionalitet menar kommissionen att förslaget är begränsat till områden där samma mål inte bedöms kunna uppnås på nationell nivå hos medlemsstaterna samtidigt som förslaget är balanserat vad gäller omfattning och styrka.

Regeringen instämmer i kommissionens bedömning och anser att förslaget är förenligt med subsidiaritets- och proportionalitetsprincipen.

 

4                 Övrigt

4.1           Fortsatt behandling av ärendet

Förhandlingar i rådet inleddes under sommaren 2023. Europaparlamentets tidsplan för behandling av förslaget är inte känd.

 

4.2           Fackuttryck/termer

Datainnehavare: Ett finansiellt företag, exempelvis bank eller försäkrings-företag, som samlar, lagrar och på annat sätt bearbetar den kunddata som faller inom förordningens tillämpningsområde.

Dataanvändare: Ett företag som, med kunds medgivande, har rätt till att ta del av den kunddata som faller inom förordningens tillämpningsområde.

Medgivandepanel: Ett digitalt gränssnitt som ska samla kundens olika medgivanden och bland annat visa till vilka de givits, vilka syften de har, hur länge de gäller och vilka datakategorier de inkluderar.

Tjänsteleverantör av finansiell information: En dataanvändare som har tillstånd från behörig myndighet att få tillgång till den kunddata som faller inom förordningens tillämpningsområde och som är lagrad hos en datainnehavare. 

System för delning av finansiella data: Datainnehavare och -användare samt kundorganisationer ska enligt förslaget etablera system för delning av finansiella data. Dessa ska besluta om regler och tekniska specifikationer för datadelning.