Správce informací o platebním účtu
Dne 13. ledna 2018 nabyl účinnosti zcela nový zákon o platebním styku[1] (dále jen „NZPS“), kterým byla do českého právního řádu transponována směrnice Evropského parlamentu a Rady 2015/2366 o platebních službách na vnitřním trhu (tzv. Směrnice PSD 2). Ta mimo jiné přinesla rozšíření portfolia regulovaných platebních služeb a subjektů oprávněných platební služby poskytovat. O jedné z nově regulovaných platebních služeb pojednává i tento článek.
Služba informování o platebním účtu a její fungování
Mezi platební služby upravené v NZPS patří nově i služba informování o platebním účtu.[2] Jedná se o poskytování informací o platebním účtu třetím subjektem (Third Party Provider), správcem informací o platebním účtu. Ten je subjektem odlišným od toho, který pro uživatele vede platební účet. Správce uživateli prostřednictvím vlastního systému (typicky mobilní aplikace) umožňuje přístup k seznamu jeho platebních účtů, jejich zůstatkům a provedeným transakcím, případně dalším informacím souvisejícím s uživatelovými platebními účty. Pro uživatele nová služba bezpochyby přinese zjednodušení správy financí, neboť bude mít přístup k informacím o všech svých platebních účtech na jednom místě, aniž by se k nim musel samostatně přihlašovat, například prostřednictvím internetového bankovnictví.
Dlužno upřesnit, že se fakticky nejedná o zcela novou službu, ale o službu nově regulovanou NZPS. Již před jeho účinností však obdobné služby umožňující správu osobních financí existovaly a byly nabízeny některými fintech společnostmi.[3] Aby mohl správce službu informování o platebním účtu řádně poskytovat, musí mu být umožněn přístup k relevantním údajům týkajícím se účtu uživatele. Z toho důvodu byla v NZPS stanovena povinnost poskytovatele, který platební účet pro uživatele vede, správci takový přístup umožnit.
Úprava vzájemných práv a povinností poskytovatele, který platební účet vede, a správce informací o platebním účtu je v NZPS řešena pouze rámcově s tím, že podrobnější úprava bude obsažena v přímo použitelném prováděcím předpisu EU a regulačních technických normách.[4] Jejich návrh je již dostupný na portálu Evropské komise, avšak jejich účinnost lze podle dostupných informací očekávat teprve v průběhu druhé poloviny roku 2019. Upraveny budou zejména standardy komunikace mezi poskytovateli, kteří vedou platební účet a správci informací o platebním účtu a požadavky silného ověření uživatele při poskytování této služby.
Do doby účinnosti regulačních technických norem lze co do přístupu k informacím z účtu vycházet ze sdělení ministerstva financí a České národní banky.[5] To se podrobněji věnuje dvěma dnes dostupným způsobům přístupu k účtu, zvláštnímu rozhraní umožňujícího strojovou komunikaci (API) a strojovému čtení uživatelského rozhraní (screen scraping).
Podmínky poskytování služby, souhlas uživatele, rozsah informací
Oprávnění poskytovat službu informování o platebním účtu mohou získat jen někteří poskytovatelé platebních služeb uvedení v NZPS. Z taxativního výčtu[6] nesmí službu informování o platebním účtu poskytovat poskytovatel platebních služeb malého rozsahu a vydavatel elektronických peněz malého rozsahu. Subjekt, který získal povolení k činnosti správce informování o platebním účtu dle § 41 a násl. NZPS není oprávněn na základě této licence poskytovat jinou službu než službu informování o platebním účtu.
Jak bylo naznačeno výše, správce informací o platebním účtu je oprávněn tuto službu poskytovat na základě povolení udělovaného Českou národní bankou. Pro získání povolení musí správce informací o platebním účtu splnit požadavky stanovené v § 42 NZPS. Povolení k činnosti uděluje Česká národní banka na základě žádosti, v níž uchazeč prokazuje splnění veškerých požadavků. Žádost lze podat výhradně elektronicky a její konkrétní náležitosti a přílohy prokazující splnění požadavků jsou upraveny vyhláškou České národní banky.[7] Vydané povolení může Česká národní banka následně odejmout, pokud správce informací o platebním účtu nezačal do 12 měsíců od udělení oprávnění službu informování o platebním účtu poskytovat nebo službu neposkytoval po dobu delší než 6 měsíců.
V souvislosti s povolením k činnosti správce informací o platebním účtu není zrovna šťastná absence přechodného ustanovení, jež by řešilo situaci poskytovatelů služeb odpovídajících definici služby informování o platebním účtu, kteří do nabytí účinnosti NZPS nebyli povinni mít k provozování této činnosti povolení České národní banky. Absence přechodného ustanovení znamená, že pokud tyto subjekty po nabytí účinnosti NZPS nadále poskytují služby odpovídající definici služby informování o platebním účtu, činí tak neoprávněně, a to do té doby, než jim bude příslušné povolení České národní banky uděleno. Stejná situace se týká i služby nepřímého dání platebního příkazu, druhé služby nově regulované v NZPS. Těmto subjektům tak nezbývá, než podat žádost o příslušné povolení co nejdříve a do doby jeho udělení pozastavit svou činnost, nebo se budou muset spolehnout na shovívavost České národní banky, že proti nim v mezidobí nezahájí přestupkové řízení. S podáním žádosti by rozhodně neměli otálet.
Nezbytnou podmínkou pro předávání informací o platebním účtu mezi poskytovatelem, který pro uživatele vede platební účet a poskytovatelem služby informování o platebním účtu, je udělení souhlasu uživatele služby informování o platebním účtu se sdělením informací. Na základě takového souhlasu sděluje poskytovatel, který uživateli vede platební účet, informace o platebním účtu uživatele poskytovateli služby informování o platebním účtu. Udělení výslovného souhlasu poskytovateli služby informování o platebním účtu uživatelem této služby je současně nezbytnou podmínkou jejího poskytování. Uživatel by tak měl ideálně udělit souhlas oběma poskytovatelům (tj. jak poskytovateli, který pro uživatele vede platební účet, tak poskytovateli služby informování o platebním účtu) současně, aby předešel případnému neposkytnutí informací z důvodu neudělení souhlasu.
Poskytovatel, který uživateli vede platební účet, však může v některých případech poskytnutí informací odmítnout. Jedná se o případy, kdy má subjekt vedoucí pro uživatele platební účet podezření na neautorizované nebo podvodné použití platebního prostředku, kdy poskytovatel služby informování o platebním účtu není oprávněn takovou službu poskytovat nebo kdy poskytovatel služby informování o platebním účtu neprokáže svou totožnost poskytovateli, který uživateli vede platební účet.[8]
Rozsah informací, které má uživatel služby informování o platebním účtu prostřednictvím jejího poskytovatele k dispozici, je shodný s těmi, jež jsou mu přístupné přes internet, resp. v internetovém bankovnictví. Půjde tak zejména o přehled provedených transakcí a zůstatek účtu.
Pojištění
Mezi zákonem stanovené povinnosti správce informací o platebním účtu patří uzavření pojistné smlouvy nebo obstarání srovnatelného zajištění pro případ, že mu ve vztahu k uživateli služby nebo poskytovateli, který uživateli vede platební účet, vznikne povinnost napravit neoprávněné získání nebo užití informací o platebním účtu. Výše pojistného plnění nebo zajištění není stanovena v NZPS, ale v prováděcí vyhlášce České národní banky.[9] Neurčuje však výši pojištění konkrétní částkou, ale součtem tří proměnných hodnot, a to (i) hodnoty indikátoru rizikového profilu vyjádřené v eurech, (ii) hodnoty indikátoru typu činnosti vyjádřené v eurech a (iii) hodnoty indikátoru rozsahu činnosti vyjádřené v eurech.
Vzhledem k tomu, že NZPS nestanovuje povinnou minimální výši základního kapitálu správce informací o platebním účtu, představuje pojištění určitou míru jistoty domožení se náhrady vzniklé škody v případě, že osobám uvedeným v předchozím odstavci v souvislosti s činností správce vznikne.
Přestupky
S činností správce informací o platebním účtu souvisejí i možné sankce, které mu za porušení jeho povinností mohou být uloženy příslušným orgánem dohledu, v případě České republiky ze strany České národní banky. Nejzávažnějšími jsou neuzavření pojistné smlouvy nebo nezajištění srovnatelného zajištění, o nichž jsme psali v předchozím odstavci a neuplatňování řídícího a kontrolního systému.[10] Za oba přestupky je možné uložit pokutu až do výše 10 milionů korun, za ostatní přestupky[11] pak hrozí pokuta do 5 milionů korun.
Závěr
Služba informování o platebním účtu není ve světě bankovnictví úplnou novinkou, byla však nově kodifikována a tím i stanovena pravidla a podmínky jejího poskytování. To může zvýšit zájem jejích potenciálních uživatelů i s ohledem na povinné pojištění jejího poskytovatele a související dohled České národní banky. Negativní dopad by mohla mít zatímní absence regulačních technických norem upravujících standardy bezpečné komunikace a silného ověření uživatele služby informování o platebním účtu. Na místě je proto dodržování bezpečnostních standardů při užívání on-line služeb samotnými uživateli služby. Do budoucna může být služba informování o platebním účtu zajímavou alternativou k službám nabízeným v rámci internetového bankovnictví bankami a přinést zkvalitnění on-line služeb. To v praxi prokázal úspěch již existujících aplikací umožňujících správu osobních financí.
Pro subjekty, které již službu správy osobních financí poskytovaly před účinností NZPS pak nová právní úprava přinese řadu dalších povinností (zejména souvisejících s povinným získáním licence pro poskytování služby informování o platebním účtu) a nejistotu spočívající v chybějící právní úpravě situace, kdy k poskytování odpovídající služby nebyla dříve vyžadována licence, avšak po účinnosti NZPS a regulaci služby informování o platebním účtu již vyžadována je.
[1] Zákon č. 370/2017 Sb., o platebním styku.
[2] § 3 odst. 1 písm. h) NZPS.
[3] Např. aplikace Wallet nebo Spendee.
[4] Nařízení Komise v přenesené pravomoci (EU), kterým se doplňuje Směrnice Evropského parlamentu a Rady 2366/2015, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných ověřených standardů komunikace a souvisejících regulačních technických norem vydaných orgánem EBA (European Banking Authority).
[5] Sdělení ministerstva financí a České národní banky ze dne 1. prosince 2017 k přechodnému období podle zákona č. 370/2017 Sb., o platebním styku.
[6] § 5 NZPS.
[7] Vyhláška č. 1/2018 Sb., o žádostech a oznámeních k výkonu činnosti podle zákona o platebním styku.
[8] § 191 odst. 3 NZPS.
[9] Vyhláška ze dne 5. ledna 2018 o některých podmínkách výkonu činnost platební instituce, správce informací o platebním účtu, poskytovatele platebních služeb malého rozsahu, instituce elektronických peněz a vydavatele elektronických peněz malého rozsahu.
[10] § 48 NZPS.
[11] § 227 odst. 1 písm. c), d) a e) NZPS.