Przypomnijmy, że już od września 2019 roku zaczną obowiązywać regulacyjne standardy techniczne (RTS) dyrektywy PSD2. Podmioty trzecie (ang. Third Party Providers) otrzymają dostęp do bankowych baz danych i będą mogły wykonywać dwie nowe usługi – PIS i AIS. Chodzi o inicjowanie płatności w imieniu klienta i pozyskiwanie informacji o jego stanie konta.

Sprzeczności w PSD2 i RODO

PSD2 zmieni rzeczywistość na polskim rynku płatniczym. W rolę TPP będą się mogły wcielać nie tylko fintechy, ale także inne banki. W efekcie sektor stanie się bardziej otwarty, a bankowe bazy danych staną się łatwiej dostępne. Obecnie trwają prace nad odpowiednimi interfejsami (API), które pozwolą na efektywną komunikację na linii bank-TPP. Natomiast projekt uniwersalnego Polish API tworzy Związek Banków Polskich.

Niektóre wytyczne dyrektywy PSD2 (wprowadzone w Polsce przez nowelizację ustawy o usługach płatniczych) mogły się jednak kłócić z ochroną danych osobowych narzucaną przez RODO. Przykładem takiej sprzeczności był właśnie art. 10 ust. 2 UUP. Przepis stanowił, że „dostawcy przetwarzają dane osobowe użytkowników niezbędne do świadczenia usług płatniczych wyłącznie za zgodą użytkownika”. W uzasadnieniu poprawki czytamy, że istniały uzasadnione obawy podnoszone przez partnerów społecznych, że przepis może powodować znaczące trudności interpretacyjne, niemożliwe do jednoznacznego unormowania w treści przepisu. Naruszenie takiego przepisu mogło wiązać się z nałożeniem wysokich kar dla przedsiębiorców uwzględnionych w przepisach RODO.

Przy okazji warto przypomnieć także o innej ważnej poprawce dla fintechów – także w ustawie o RODO. Na wczorajszym wspólnym posiedzeniu Komisji Administracji i Spraw Wewnętrznych i Komisji Sprawiedliwości zrezygnowano z zamkniętego katalogu badania zdolności kredytowej. Oznacza to, że banki i inne instytucje uprawnione do udzielania pożyczek będą mogły korzystać ze znacznie większej liczby danych na temat klientów. Powinno to usprawnić proces udzielania kredytu. Więcej na ten temat pisaliśmy tutaj.