Forbrukertilsynets høringsuttalelse til forslag om forskrift om betalingstjenester
Forbrukertilsynet er enig med departementet i at det ikke vil være hensiktsmessig å skille ut implementeringen av PSD2 fra det helhetlige arbeidet med ny finansavtalelov. I likhet med departementet og bransjen ser vi imidlertid behovet for å gjennomføre de deler av PSD2 som regulerer forholdet mellom tjenesteyterne og kundene ved bruk av fullmakttjenester, samtidig som endringene i finansforetaksloven trer i kraft. Vi støtter derfor Justis- og beredskapsdepartementets forslag om å gjennomføre deler av PSD2 i norsk rett gjennom en midlertidig forskrift til gjeldende finansavtalelov.
Vi vil i det følgende komme med våre nærmere merknader til forslaget.
Til forskriften § 2 Definisjoner
Forbrukertilsynet støtter departementets forslag til § 2 om definisjoner. Det er etter vårt syn hensiktsmessig at ordlyden i forskriftens definisjoner samsvarer med direktivets ordlyd, slik departementet har lagt opp til i forslaget. Videre stiller vi oss positiv til forslaget om å innføre begrepet «fullmaktforetak» som en fellesbetegnelse på betalingsfullmektiger og opplysningsfullmektiger, og begrepet «fullmakttjeneste» som en fellesbetegnelse på tjenestene som ytes.
Til forskriften § 5 Vilkår om fullmakttjenester
§ 5 tredje ledd
Det følger av forslaget til § 5 tredje ledd at fullmaktforetaket skal sikre at kundens personlige sikkerhetsinformasjon ikke er tilgjengelig for andre enn utstederen og kunden selv. I merknaden til bestemmelsen vises det til at den gjennomfører PSD2 artikkel 66 nr. 3 bokstav b og artikkel 67 nr. 2 bokstav b. Det følger videre av høringsnotatet punkt 2.3 at departementet tolker PSD2 slik at fullmaktforetaket ikke nødvendigvis selv skal ha tilgang på kundens personlige sikkerhetsinformasjon, men sørge for at informasjonen overføres fra kunden til utstederen av sikkerhetsinformasjonen.
Forbrukertilsynet leser forslaget til § 5 tredje ledd sammenholdt med departementets kommentarer i høringsnotatet, som at fullmaktforetaket selv ikke skal ha tilgang på kundens personlige sikkerhetsinformasjon. Forutsatt at en slik bestemmelse er i overensstemmelse med direktivets regler, fremstår dette etter vårt syn som en god løsning som bl.a. vil kunne forhindre at kundenes passord knyttet til BankID må deles med tredjepart. Vi er imidlertid i tvil om ordlyden i artikkel 66 nr. 3 bokstav b og artikkel 67 nr. 2 bokstav b åpner for en slik løsning i nasjonal rett. Det er forventet at fullmaktforetakene vil drive virksomhet i flere land i Europa, og en eventuell særnorsk tolkning av direktivet på dette punktet vil kunne skape problemer. Vi mener derfor det er viktig å avklare hvordan dette er løst i andre europeiske land, herunder Sverige og Danmark som etter det vi forstår har lignende løsninger som den norske BankID.
§ 5 fjerde ledd
Forskriften § 5 fjerde ledd gjennomfører PSD2 artikkel 66 nr. 3 bokstav g og artikkel 67 nr. 2 bokstav f. I ordlyden til § 5 fjerde ledd heter det at fullmaktforetaket «skal ikke benytte, lagre eller på annen måte bruke tilgang til opplysninger for andre formål enn utføring av fullmakttjenesten i samsvar med betalerens uttrykkelige anmodning, (…)».
I høringsnotatet punkt 7.3 reiser departementet viktige spørsmål knyttet til hvilken adgang opplysningsfullmektigene har til å benytte samtykke som grunnlag for å videreformidle kontoopplysninger til tredjeparter, som f.eks. kan bruke opplysningene til målrettet markedsføring. Det pekes på at det vil kunne ha uoversiktlige konsekvenser dersom kontoopplysninger gjennom et samtykke til en opplysningsfullmektig skal kunne videreformidles til tredjeparter som ellers ikke ville hatt tilgang til slike opplysninger. Forbrukertilsynet deler departementets syn på dette punktet, og mener forbrukerhensyn klart tilsier at personlig informasjon samlet av disse tjenesteyterne, ikke bør overlates til andre kommersielle aktører.
Slik vi forstår departementets uttalelser i høringsnotatet punkt 7.3, må artikkel 66 nr. 3 bokstav g og artikkel 67 nr. 2 bokstav f leses i lys av direktivets definisjoner av betalingsfullmakttjeneste og kontoinformasjonstjeneste. Departementet legger til grunn at reguleringen i artikkel 67 dermed vil forhindre at opplysningsfullmektigen kan innhente samtykke fra forbrukeren til å benytte kontoopplysninger til andre formål enn å levere sammenstilte kontoopplysninger til forbrukeren, jf. artikkel 4 nr. 16. Artikkel 66, jf. artikkel 4 nr. 15 legger tilsvarende begrensninger på betalingsfullmektigene.
Forbrukertilsynet er enig med departementet i at artikkel 66 og 67 må sees som en regulering av hvilken virksomhet som kan utøves av fullmaktforetakene. Overført til forskriften innebærer dette at § 5 fjerde ledd må leses i lys av definisjonene av henholdsvis betalingsfullmakttjeneste og kontoinformasjonstjeneste, som er inntatt i forskriften § 2 første og tredje ledd. Etter vårt syn kan dette med fordel tydeliggjøres i lovteksten, for eksempel ved at det i § 5 fjerde ledd inntas en henvisning til definisjonene i § 2.
Generelt om forskriften §§ 6 og 7
Departementet har bedt om høringsinstansenes syn på om direktivets artikler 66 og 67, som er foreslått gjennomført i forskriften §§ 6 og 7, rettssystematisk hører hjemme i finansavtaleloven. Forbrukertilsynet mener disse bestemmelsene har en naturlig sammenheng med de øvrige bestemmelsene i finansavtaleloven, og mener derfor det er riktig å gjennomføre bestemmelsene i tilknytning til finansavtaleloven.
Til forskriften § 7 Vilkår om kontoinformasjonstjenester
Det følger av forslaget til § 7 bokstav c at opplysningsfullmektigen ikke skal be om sensitiv betalingsinformasjon knyttet til betalingskontoene. Tilsvarende er imidlertid inntatt i forslaget til § 5 fjerde ledd, som gjelder både betalingsfullmektiger og opplysningsfullmektiger. Forskriften § 7 bokstav c fremstår dermed overflødig.
Generelt om regulering av opplysningsfullmektiger
Som departementet peker på i høringsnotatet punkt 6.1 følger det av PSD2 artikkel 33 nr. 2 at reglene i direktivets del III og IV i utgangspunktet ikke gjelder for opplysningsfullmektiger. I forskriftsforslaget er det ikke foreslått en bestemmelse som enten positivt eller negativt angir hvilke bestemmelser i finansavtaleloven og forskrift om betalingstjenester som får anvendelse (evt. ikke får anvendelse) for opplysningsfullmektiger. Departementet foreslår en løsning der det vil bero på en tolkning av den enkelte bestemmelse om den etter sitt innhold kommer til anvendelse. Etter vårt syn vil det være en bedre løsning å innta en bestemmelse i forskriften som enten positivt eller negativt angir hvilke bestemmelser som kommer evt. ikke kommer til anvendelse på opplysningsfullmektiger og kontoinformasjonstjenester. En slik løsning vil gjøre det enklere både for tjenesteyterne og håndhevingsmyndighetene å skaffe et overblikk over hvilke regler som regulerer opplysningsfullmektigene og deres tjenester.
Til forskriften § 11 Opplysningsplikt etter at betalingsordre er iverksatt av betalingsfullmektig
Det følger av utkastet til § 11 andre ledd at betalingsfullmektigen umiddelbart etter iverksettelsen av en betalingsordre skal gi eller stille til rådighet nærmere bestemte opplysninger til betalingsmottakeren «når det anses passende». Bestemmelsen gjennomfører direktivet artikkel 46 bokstav b.
Det følger av merknaden til bestemmelsen at det i artikkel 46 bokstav b i den engelske språkversjonen av direktivet heter «where appropriate», mens det for øvrige forbehold i artikkel 46 heter «where applicable». Forbrukertilsynet oppfatter merknaden slik at dette er bakgrunnen for at departementet har valgt å benyttet ordlyden «når det anses passende» i § 11 andre ledd, mens det i § 11 første ledd heter «når det er relevant» og «hvis det er relevant». I motsetning til den engelske språkversjonen benytter den danske språkversjonen av PSD2 artikkel 46 utelukkende ordlyden «hvor det er relevant» eller «hvis det er relevant». Etter vårt syn er dette et mer treffende begrep på norsk enn den foreslåtte ordlyden «når det anses passende». Videre mener vi bruken av ulike begreper i henholdsvis § 11 første og andre ledd, kan bidra til å skape unødvendig tolkningstvil. På denne bakgrunn foreslår Forbrukertilsynet at ordlyden i § 11 andre ledd endres fra «når det anses passende» til «når det er relevant». Dette vil samsvare med ordlyden i den danske språkversjonen av direktivet.
Videre mener vi det kan være hensiktsmessig å presisere i bestemmelsen at opplysningsplikten i § 11 andre ledd kommer i tillegg til opplysningene som skal gis etter første ledd. Dette kan for eksempel gjøres på følgende måte: «(…) skal umiddelbart etter iverksettelsen av betalingsordre i tillegg gi eller stille følgende opplysninger til rådighet (…)».
Til forskriften § 12 Tilbakeføringsplikt og ansvar for uautoriserte betalingstransaksjoner
Forslaget til § 12 første ledd gjennomfører PSD2 artikkel 73 nr. 2. I § 12 første ledd har imidlertid departementet foreslått å benytte formuleringen «betalingsordre iverksatt av en betalingsfullmektig» i stedet for «betalingstransaksjon iverksatt via en betalingsfullmektig» som er nærmere ordlyden i den danske versjonen av direktivet. Departementet har særlig bedt om høringsinstansenes syn på den foreslåtte ordlyden i § 12 første ledd.
Det fremgår av høringsnotatet punkt 5.3 at departementet tolker direktivet slik at en betalingsfullmektig ikke selv kan iverksette betalingstransaksjoner, men kun iverksette betalingsordre på vegne av kunden. Vi forstår departementet slik at dette er bakgrunnen for valget av ordlyd i § 12 første ledd, og at det dermed kun er tale om en språklig presisering som ikke er ment å utgjøre noen realitetsforskjell for når forbrukeren kan kreve tilbakeført en uautorisert betalingstransaksjon. Forbrukertilsynet har på denne bakgrunn ikke innvendinger mot den foreslåtte ordlyden.
Med vennlig hilsen
Elisabeth Lier Haugseth
direktør