Obowiązująca od 20 czerwca 2018 r. ustawa z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (poz. 1075), zmieniająca ustawę z dnia 19 sierpnia 2011 r. o usługach płatniczych (t.j. z 2018 r., poz. 1075), obok usługi inicjowania transakcji płatniczej, wprowadza do polskiego porządku prawnego usługę dostępu do informacji o rachunku (account information service).
Usługa dostępu do informacji o rachunku oznacza usługę online, polegającą na dostarczaniu skonsolidowanych informacji dotyczących jednego rachunku płatniczego użytkownika prowadzonego u innego dostawcy albo rachunków płatniczych użytkownika prowadzonych u innego dostawcy bądź u więcej niż jednego dostawcy.
Dostęp do informacji o rachunku a bezpieczeństwo danych
Dostawca świadczący usługę dostępu do informacji o rachunku działa wyłącznie na podstawie zgody użytkownika wyrażonej w sposób niebudzący wątpliwości. Udzielenie zgody przez użytkownika nie jest jednak jednoznaczne z gwarancją otrzymania dostępu do jego rachunku w każdym przypadku, ustawodawca ustanowił bowiem mechanizmy zabezpieczające użytkowników przed nieuprawnionym lub nielegalnym działaniem dostawcy świadczącego usługę dostępu do informacji o rachunku. W szczególności, może on napotkać na odmowę udzielenia dostępu ze strony dostawcy prowadzącego rachunek. Odmowa nastąpić może z obiektywnie uzasadnionych i należycie udokumentowanych przyczyn, związanych z nieuprawnionym lub nielegalnym dostępem do rachunku płatniczego przez takiego dostawcę, w tym nieuprawnionym zainicjowaniem transakcji płatniczej. O takich incydencie płatnik powinien zostać zawiadomiony jeszcze przed dokonaniem odmowy, a najpóźniej bezzwłocznie po jej dokonaniu, nie później jednak niż w dniu roboczym następującym po dniu takiej odmowy, chyba że zawiadomienie nie byłoby wskazane z obiektywnie uzasadnionych względów bezpieczeństwa lub jest sprzeczne z odrębnymi przepisami. Równolegle incydent taki jest zgłaszany do KNF lub innego właściwego organu nadzoru.
Inne obowiązki dostawców
Dostawca świadczący usługę dostępu do informacji o rachunku jest obowiązany m.in. zapewnić, aby indywidualne dane uwierzytelniające nie były dostępne dla podmiotów innych niż użytkownik i dostawca prowadzący rachunek oraz aby były one przekazywane za pośrednictwem bezpiecznych i wydajnych kanałów. Ponadto, może on uzyskać dostęp wyłącznie do informacji dotyczących wyznaczonych rachunków płatniczych i związanych z nimi transakcji płatniczych. Dostawca świadczący usługę dostępu do informacji o rachunku nie może żądać szczególnie chronionych danych dotyczących płatności związanych z rachunkami płatniczymi, jak również nie może używać, uzyskiwać ani przechowywać danych do celów innych niż wykonanie usługi dostępu do informacji o rachunku świadczonej na podstawie umowy z użytkownikiem lub zgody użytkownika.
Dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku
Dostawcy świadczący wyłącznie usługę dostępu do informacji o rachunku to na gruncie ustawy o usługach płatniczych odrębna od dostawców świadczących usługę dostępu do informacji o rachunku grupa usługodawców, o nieco odmiennym reżimie prawnym. Podstawowa różnica sprowadza się do podstawy prowadzenia działalności gospodarczej – działalność dostawców świadczących wyłącznie usługę dostępu do informacji o rachunku wymagała będzie jedynie wpisu do rejestru, co poczytywać należy za znaczne ułatwienie wobec generalnego obowiązku uzyskiwania przez instytucje płatnicze zezwolenia na świadczenie usług płatniczych. Filar bezpieczeństwa dla wyłącznego świadczenia usług dostępu do informacji o rachunku stanowi obowiązek zawarcia umowy ubezpieczenia odpowiedzialności cywilnej za szkody powstałe w związku z wykonywaną działalnością lub posiadania gwarancji bankowej, gwarancji ubezpieczeniowej lub innego zabezpieczenia roszczeń użytkownika.
Jak wdrożyć i jak korzystać z AIS?
Co istotne, korzystanie przez użytkownika z usług dostępu do informacji o rachunku nie może być uzależnione od istnienia stosunku umownego między dostawcą świadczącym usługę dostępu do informacji o rachunku a dostawcą prowadzącym rachunek. Podstawą współpracy pomiędzy dostawcami jest wystąpienie dostawcy świadczącego usługę dostępu do informacji o rachunku do dostawcy prowadzącego rachunek o podanie informacji o tym rachunku. W następstwie wystąpienia, dostawca prowadzący rachunek powinien umożliwić dostawcy świadczącemu usługę dostępu do informacji o rachunku świadczenie usług w oparciu o uwierzytelnianie stosowane w relacji między użytkownikiem a dostawcą prowadzącym rachunek. Zastosowanie znaleźć powinno silne uwierzytelnianie, to jest uwierzytelnianie zapewniające ochronę poufności danych w oparciu o zastosowanie co najmniej dwóch elementów należących do kategorii:
- wiedza o czymś, o czym wie wyłącznie użytkownik;
- posiadanie czegoś, co posiada wyłącznie użytkownik;
- cechy charakterystyczne użytkownika.
Skontaktuj się z naszą Kancelarią – nasi eksperci odpowiedzą na Twoje pytania i udzielą niezbędnego wsparcia prawno-podatkowego.
Masz pytania dotyczące rachunkowości lub prawa podatkowego?
Potrzebujesz pomocy prawnej?
Wypełnij formularz kontaktowy
i skontaktuj się z nami
