Prop. 110 L (2017–2018)

Endringer i finansforetaksloven mv. (andre betalingstjenestedirektiv)

Til innholdsfortegnelse

8 Andre spørsmål

8.1 Sikkerhet

8.1.1 Gjeldende rett

Finanstilsynet har vurdert gjeldende krav til sikkerhet, og uttaler i høringsnotatet punkt 2.4.10:

«Det følger av § 3 i forskrift om systemer for betalingstjenester at foretak som tilbyr elektroniske betalingstjenester skal etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene. Gjeldende nasjonale standarder og internasjonalt anerkjente standarder skal følges. Det følger videre at kunden skal autentiseres gjennom en sikker påloggingsmekanisme ved bruk av elektroniske betalingstjenester.»

8.1.2 Forventet EØS-rett

Direktivet inneholder bestemmelser om sikkerhet, håndtering av risiko i forbindelse med betalingstjenester, krav til autentisering og sikker kommunikasjon mellom betalingstjenestetilbydere, se artiklene 95–98. Bestemmelsene gjelder for alle betalingstjenestetilbydere (engelsk ordlyd: «payment service providers»).

Artikkel 95 gjelder håndtering av operasjonell risiko og sikkerhetsrisiko. Artikkel 96 gjelder svindel- og hendelsesrapportering. Artikkel 97 angir når en betalingstjenestetilbyder skal anvende sterk kundeautentisering. Sterk kundeautentisering gjelder krav til løsningen for å bekrefte identiteten til brukeren.

Kontotilbyder skal blant annet kommunisere sikkert med tredjepartsaktørene, se PSD 2 artiklene 66 nr. 4 og 67 nr. 3.

Bestemmelsene er forutsatt utfylt av retningslinjer utarbeidet av den europeiske banktilsynsmyndighet (EBA) og tekniske standarder vedtatt av Kommisjonen i samsvar med artikkel 98. I samsvar med artikkel 98 nr. 4 har Kommisjonen vedtatt tekniske standarder om kravene til sterk kundeautentisering og sikker kommunikasjon.

8.1.3 Høringsutkastet

Finanstilsynet foreslår at kravene til sterk autentisering og sikker kommunikasjon inntas i forskrift. Finanstilsynet legger til grunn at senere utfyllende bestemmelser som blir fastsatt på europeisk nivå kan inntas i forskrift med hjemmel i betalingssystemloven § 3-3 første ledd annet punktum.

8.1.4 Høringsinstansenes merknader

Ingen av høringsinstansene går imot forslaget til lovteknisk løsning.

Forbrukerrådet fremhever at kravene til sterk kundeautentisering må defineres, og at unntaksbestemmelsene og kravene til sikkerhetsløsninger som skal benyttes når fritak gis tydeliggjøres. Etter Forbrukerrådets syn bør den tekniske standarden om sterk kundeautentisering og sikker kommunikasjon tre i kraft i Norge samtidig som den innføres i EU, og understreker at alle aktører må forholde seg til samme regelverk og vite hvilke krav som gjelder.

Payr mener det foreligger manglende informasjon om hvordan samhandlingen, herunder kommunikasjon, mellom aktørene som omfattes av PSD 2, skal skje. Etter Payrs oppfatning er det uklart hvordan tredjepartene skal identifisere seg overfor en kontotilbyder.

8.1.5 Departementets vurdering

Departementet slutter seg til Finanstilsynets forslag om å innta direktivets bestemmelser om sikkerhet i forskrift. Ingen av høringsinstansense går imot forslaget til lovteknisk løsning. Departementet viser til at bestemmelsene om sikkerhet som følger av PSD 2, er forutsatt utfylt av tekniske standarder fastsatt av Kommisjonen. Etter departementets vurdering bør slike tekniske regler inntas i forskrift. Dette vil i hovedsak være detaljerte regler, som bl.a. stiller krav til tekniske løsninger.

Departementet slutter seg til tilsynets vurdering om at tekniske standarder som vedtas av Kommisjonen, bl.a. vil kunne gjennomføres med hjemmel i betalingssystemloven § 3-3 hva gjelder krav til sikkerhet og sikker kommunikasjon. Etter departementets vurdering kan bestemmelsen benyttes til å hjemle fremtidige forpliktelser som vil følge av EU/EØS-regler på dette området. Nærmere regler vil blant annet kunne omfatte krav til tekniske løsninger og sikkerhet i forbindelse med betalingstjenester.

8.2 Behandling av personopplysninger

8.2.1 Gjeldende rett

Behandling av personopplysninger er generelt regulert i personopplysningsloven. Regelverket om behandling av personopplysninger bygger på EUs personverndirektiv (direktiv 95/46/EF). Direktivet er avløst av EUs personvernforordning (forordning (EU) 2016/679).

Det følger av finansforetaksloven § 13-21 at foretak som yter betalingstjenester, kan samle inn, bearbeide og utveksle informasjon seg imellom transaksjonsopplysninger og annen betalingsinformasjon når dette er nødvendig for å sikre forebygging, etterforskning eller avsløring av betalingsbedragerier. Bestemmelsen åpner for utveksling av opplysninger i nærmere angitte saker knyttet til betalingstransaksjoner, jf. Prop. 125 L (2013–2014) s. 108. Departementet er i bestemmelsens andre ledd gitt adgang til å gi forskrift om behandling av betalingsinformasjon.

Finansforetaksloven § 16-2 gjelder finansforetaks taushetsplikt og behandling av kundeopplysninger. Etter bestemmelsens første ledd plikter et finansforetak å sikre at uvedkommende ikke får adgang eller kjennskap til opplysninger om kunders og andres forretningsmessige eller personlige forhold som foretaket mottar under utøvelsen av virksomheten, med mindre foretaket etter lov eller forskrifter gitt med hjemmel i lov har plikt til å gi opplysninger eller er gitt adgang til å gi ellers taushetsbelagte opplysninger.

Bestemmelsen angir i andre til fjerde ledd unntak fra taushetsplikten. I annet ledd annet punktum er det presisert at den som har krav på taushet, må gi skriftlig samtykke i at opplysninger utleveres. Tredje ledd gjør unntak fra taushetsplikten for utveksling av opplysninger med et annet finansforetak. Fjerde ledd gjelder utlevering av gjeldsopplysninger i henhold til gjeldsinformasjonsloven. Departementet er i bestemmelsens syvende ledd gitt adgang til å gi forskrift om utlevering av opplysninger.

8.2.2 Forventet EØS-rett

Medlemsstatene skal etter PSD 2 artikkel 94 nr. 1 første setning tillate at betalingssystemer og betalingstjenestetilbydere behandler personopplysninger når det er nødvendig av hensyn til forebygging, etterforskning og avdekking av betalingssvik.

PSD 2 bestemmer videre at opplysning til fysiske personer om behandling av personopplysninger og behandling av personopplysninger etter direktivet skal skje i samsvar med personverndirektivet (95/46/EF), se artikkel 94. nr. 1 andre punktum. I personvernforordningen, som opphevet personverndirektivet ved ikrafttredelsen 25. mai 2018, bestemmer artikkel 94 at henvisninger til personverndirektivet skal forstås som henvisninger til personvernforordningen.

Det følger av PSD 2 artikkel 94 nr. 2 at betalingstjenestetilbydere kun skal ha tilgang til, behandle og oppbevare personopplysninger som er nødvendige for å tilby betalingstjenestene, med eksplisitt samtykke fra betalingstjenestebrukeren.

Fortalen fremhever i avsnitt 89 blant annet at når personopplysninger behandles, bør det presise formålet angis, relevante rettsgrunnlag nevnes og sikkerhetskrav som følger av personverndirektivet følges, samt at prinsippene om nødvendighet, forholdsmessighet, formålsbegrensning og forholdsmessig datalagringsperiode bør respekteres.

Artiklene 66 og 67 angir plikter blant annet tredjepartsaktørene er underlagt.

Tilbyder av betalingsfullmakttjeneste skal sikre at eventuelle andre opplysninger som innhentes i forbindelse med levering av tjenesten, bare kommuniseres (meddeles) til betalingsmottakeren, med betalerens uttrykkelige samtykke, se artikkel 66 nr. 3 bokstav c.

Aktøren skal ikke lagre sensitive betalingsdata (engelsk ordlyd: «sensitive payment data») om betaleren, ikke be om annen informasjon enn den som er nødvendig for å utføre tjenesten, og ikke bruke eller lagre informasjon med andre formål enn å tilby betalingsfullmakttjenesten i tråd med hva brukeren/betaleren uttrykkelig har anmodet om, se artikkel 66 nr. 3 bokstav e, f og g.

Tilbyder av kontoinformasjonstjeneste skal kun ha tilgang til informasjon om angitte betalingskontoer og tilhørende betalingstransaksjoner, ikke be om sensitive betalingsdata knyttet til betalingskontoen og ikke bruke eller lagre informasjon med andre formål enn å tilby kontoinformasjonstjenesten som brukeren/betaleren uttrykkelig har anmodet om, i overensstemmelse med reglene om personvern, se artikkel 67 nr. 2 bokstav d, e og f.

8.2.3 Høringsutkastet

Finanstilsynet har vurdert PSD 2s regler om personvern i høringsnotatet punkt 2.3.4.3.

Finanstilsynet viser blant annet til at PSD 2 artikkel 94 nr. 2 angir at betalingstjenestetilbydere skal behandle personopplysninger med brukerens uttrykkelige samtykke. Videre uttaler Finanstilsynet at bestemmelsen snevrer inn betalingstjenestetilbyderes adgang til å behandle personopplysninger. Etter Finanstilsynets forståelse av bestemmelsen viser den til at betalingstjenestetilbydere skal behandle opplysningene i tråd med personverndirektivet, og foreslår ingen endringer i norsk rett.

Når det gjelder pliktene tredjepartsaktørene er underlagt i artiklene 66 og 67 som gjelder de offentligrettslige delene, foreslår Finanstilsynet at disse pliktene inntas i forskrift.

8.2.4 Høringsinstansenes merknader

Advokatforeningen og Datatilsynet mener høringsnotatet er knapt når det gjelder forholdet mellom personvernreglene og PSD 2.

Advokatforeningen savner en omtale av deling av informasjon med aktører som ikke er underlagt tilsvarende regelverk som bankene, og bankenes eventuelle ansvar ved avgivelse av personopplysninger til slike aktører.

Advokatforeningen mener forholdet mellom PSD 2 og finansforetakslovens regler om håndtering av taushetsbelagt informasjon må avklares. Advokatforeningen viser til at det vil være krevende for bankene å kontrollere hvilke opplysninger kunden har samtykket til at banken skal kunne dele med andre. Foreningen mener bankene bør kunne legge til grunn at kunden har gitt informert samtykke, og at tredjepartsaktørene informerer kunden om hvilke opplysninger de må få tilgang til. I tillegg mener Advokatforeningen at bankene ikke skal måtte kontrollere dette.

Datatilsynet mener Finanstilsynet i høringsnotatet bygger på en ukorrekt forståelse av direktivet artikkel 94. Etter Datatilsynets forståelse av PSD 2 er artikkel 94 nr. 2 en materiell bestemmelse som presiserer de generelle reglene for personopplysningsvern som følger av personverndirektivet. Datatilsynet mener de alminnelige prinsippene om formålsbegrensning og dataminimalitet begrenses av artikkel 94 nr. 2 ved at betalingstjenestetilbydere skal behandle personopplysninger som er nødvendige for å kunne yte betalingstjenester. I tillegg mener Datatilsynet at behandlingen skal skje på basis av eksplisitt samtykke, som er en presisering av det rettslige grunnlaget. Datatilsynet viser til hensynet til å motvirke at personopplysninger i forbindelse med betalingstjenester brukes til andre kommersielle formål, og mener direktivet artikkel 94 nr. 2 bør gjennomføres i lov.

Electronic Money Association (EMA) har en merknad om behandling av personopplysninger og samtykke etter PSD 2, og forholdet til personvernforordningen. EMA viser til at PSD 2 artikkel 94 nr. 2 krever at betalingstjenestetilbyder har eksplisitt samtykke fra bruker til å behandle data for å tilby betalingstjenester. Etter EMAs forståelse vil tilbaketrekking av samtykke innebære at betalingstjenestetilbyderen ikke har adgang til å behandle opplysningene. EMA viser til at tilbaketrekking etter personvernforordningen artikkel 7 nr. 3 ikke påvirker adgangen til å behandle opplysninger basert på samtykket før tilbaketrekkingen skjedde, og mener tilsvarende følger forutsetningsvis av personverndirektivet. EMA ønsker en avklaring av reglene om samtykke i perioden til PSD 2 er gjennomført og til personvernforordningen gjelder. Videre har EMA merknader knyttet til innholdet i definisjonen av «sensitive payment data», og plikten til ikke å lagre slike data.

Finans Norge har en merknad knyttet til finansforetaks taushetsplikt og forholdet til PSD 2, og mener det må inntas en lovbestemmelse om at finansforetak er fritatt fra taushetsplikten etter finansforetaksloven når en autorisert tredjepartstilbyder ber om tilgang til kundens konto. Etter Finans Norges syn må banken kunne legge til grunn at tredjepartstilbyder har fått et dekkende samtykke fra kunden, og at et slikt samtykke er gitt når kravene til sterk kundeautentisering i de tekniske standardene er fulgt. Videre reiser Finans Norge spørsmål om konsekvenser dersom tredjepartsaktør aksesserer informasjon den ikke skal ha tilgang til, og mener det er ønskelig med veiledning for hva banken skal gjøre i slike tilfeller. Etter Finans Norges syn må det inntas en plikt for tredjepartstilbyder om å informere kunden om hvilke opplysninger tredjepartstilbyderen skal ha tilgang til, og at norske myndigheter følger opp at opplysningskravene blir fulgt.

Finans Norge mener forholdet mellom reglene i PSD 2, hvitvaskingsregelverket og personvernlovgivningen er gitt begrenset plass i høringsnotatet, og viser til at regelverket samlet sett oppstiller strenge krav til finansforetakenes behandling av kunder og kundeopplysninger. Finans Norge støtter intensjonen bak reglene, og mener reglene er positive for kunden og for tilliten til næringen. Videre viser Finans Norge til at det kan være krevende for bankene å dele informasjon med tredjepartstilbydere som ikke er underlagt det samme strenge rammeverk «i alle henseender». Finans Norge mener det vil oppstå spørsmål om kunden har fått tilstrekkelig informasjon til å kunne se rekkevidden og konsekvensene av sitt samtykke. Videre uttaler Finans Norge at artikkel 94 ikke gjelder for opplysningsfullmektiger, jf. artikkel 33 nr. 2, og fremhever at opplysningsfullmektiger uansett vil ha plikt til å oppfylle personopplysningsregelverket etter artikkel 67 og den til enhver tid gjeldende personvernlovgivning.

Finansforbundet fremhever at kundenes rettigheter og vern av opplysninger blir ivaretatt, og at dette er viktig for å opprettholde bransjens omdømme.

IKT-Norge uttaler at PSD 2 harmonerer godt med den kommende personvernforordningen (GDPR).

Kommunal- og moderniseringsdepartementet bemerker at EU har vedtatt ny personvernforordning, som skal anvendes i EUs medlemsland fra 25. mai 2018.

Mastercard fremhever at behandling av personopplysninger bør være i samsvar med EUs lovgivning om databeskyttelse, og støtter Finanstilsynets forslag om at personopplysninger behandles i samsvar med personopplysningsloven. Videre har Mastercard en merknad om forståelsen av PSD 2 artikkel 94, og påpeker at betalingstjenesteleverandører etter bestemmelsen bare kan benytte samtykke som juridisk grunnlag for å behandle personopplysninger ved levering av betalingstjenester. Etter Mastercards forståelse er dette ikke i samsvar med EUs personverndirektiv artikkel 7 eller EUs personvernforordning artikkel 6, og viser til at det er ulike grunnlag som oppstilles der for å behandle personopplysninger. Videre mener Mastercard at eksplisitt samtykke kun er nødvendig for sensitive opplysninger. Etter Mastercards syn er det ønskelig med en avklaring om at PSD 2 artikkel 94 nr. 2 gjelder, med mindre annet er tillatt etter EUs databeskyttelseslovgivning. Alternativt, eller i tillegg, forslår Mastercard at det kan klargjøres at artikkel 94 nr. 2 primært gjelder for leverandører av betalingsinitieringstjenester og kontoinformasjonstjenester. Mastercard mener disse tilbyderne trolig vil trenge eksplisitt samtykke fra brukeren for å tilgang til, og å bruke, dennes betalingskontoinformasjon og andre personopplysninger.

Norges Bank har en generell merknad om risiko knyttet til utnytting og håndtering av informasjon, og viser til at sårbarheter knyttet til tilgang, behandling og oppbevaring av informasjon kan ha betydning for tilliten til betalingssystemet og finansiell stabilitet. Videre fremhever Norges Bank at nye aktører i betalingsmarkedet vil innebære økt spredning av betalingsinformasjon. I tillegg viser Norges Bank til at det er flere store teknologiselskaper som er aktuelle tilbydere av betalingstjenester, og vil kunne ha betalingsinformasjon om kunder som kan komme på avveie. Norges Bank påpeker at det vil være risiko for at personopplysninger behandles i strid med brukerens interesser, til tross for regler om behandling av personopplysninger i PSD 2 og generelle personvernregler. Svekket tillit til behandling av betalingsdata kan føre til at tilliten til betalingssystemet svekkes.

Statistisk sentralbyrå (SSB) viser til at byrået har behov for å innhente opplysninger knyttet til betalinger. SSB fremhever viktigheten av at regelverket er tilrettelagt for at tilbydere av betalingstjenester skal kunne lagre data som er relevante og nødvendige for statistikkformål.

Payr mener PSD 2 ikke skal snevre inn behandlingsmulighetene. Payr uttaler videre at det kan være klargjørende å få presisert hvilke plikter som gjelder for de nye aktørene under PSD 2, betalingsfullmektiger og opplysningsfullmektiger.

8.2.5 Departementets vurdering

Departementet viser til at det er en forutsetning for å kunne yte betalingstjenester at foretakene kan behandle personopplysninger. PSD 2 tar ikke mål av seg til å avklare de nærmere tekniske spørsmålene og detaljene i reglene. Departementet viser til at personvernforordningen ble vedtatt før PSD 2. Personvernforordningen gjelder i EU fra 25. mai 2018, og følges opp av Justis- og beredskapsdepartementet.

PSD 2 må forstås slik at det er personvernreglene som gjelder og får anvendelse. Dette harmonerer godt med utformingen av artikkel 94 (og artiklene 66 og 67). Gjeldende bestemmelse i finansforetaksloven § 13-21 om at foretak kan behandle og utveksle betalingsinformasjon, foreslås videreført.

Departementet legger til grunn at personvernreglene for øvrig får generell anvendelse, slik de også hittil har gjort. På bakgrunn av høringen finner departementet grunn til å foreslå en forskriftshjemmel. Forskriftshjemmelen åpner for at det ved forskrift bl.a. kan presiseres behandlingsgrunnlag og for hvilke formål betalingstjenestetilbydere kan behandle personopplysninger, dersom det skulle være behov for det. Videre kan forholdet til personopplysningsloven eventuelt reguleres nærmere gjennom den foreslåtte forskriftshjemmelen. Departementet viser til forslag til endring av finansforetaksloven § 13-21 annet ledd annet punktum.

Departementet mener for øvrig det ikke er behov for vesentlige endringer i finansforetakslovens regler om finansforetakenes taushetsplikt. Som en konsekvens av at det nå åpnes for tjenester som forutsetter at i utgangspunktet taushetsbelagte opplysninger, under nærmere forutsetninger, må kunne deles med betalingstjenesteytere, bør det etter departementets vurdering gjøres noen justeringer, se forslag til endring av finansforetaksloven § 16-2 femte ledd. Departementets forslag innebærer at det i bestemmelsen åpnes for at finansforetak uten hinder av taushetsplikten kan dele opplysninger med andre finansforetak eller foretak som tilbyr betalingstjenester.

Ved utlevering av taushetsbelagte opplysninger vil det alltid være en risiko for misbruk eller annen bruk enn det som er forutsatt, og som er lovlig. Ved å utvide finansforetakets adgang og plikt til å utlevere denne typen informasjon til flere aktører enn tidligere, vil risikoen for slik misbruk eller uberettiget bruk kunne øke.

Departementet viser til at det i høringen ble gitt uttrykk for at det må være klare regler for bruken av opplysningene som innhentes, og betydningen av å sikre at kun opplysninger som er nødvendige å behandle, blir behandlet. Departementet presiserer at adgangen til å behandle personopplysninger må sees i sammenheng med øvrige plikter aktørene er underlagt, og som også vil følge av annet regelverk.

8.3 Nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak

8.3.1 Gjeldende rett

Finanstilsynet fører tilsyn med betalingsforetak og e-pengeforetak, se finanstilsynsloven § 1 første ledd. Det fremgår av bestemmelsens tredje ledd at tilsyn også føres med utenlandske foretak i den utstrekning foretaket driver virksomhet i Norge.

Forskrift om tilsyn med finansforetak og forvaltningsselskap som har hovedsete i annen EØS-stat, og som driver virksomhet i Norge, gjelder tilsyn med bl.a. kredittinstitusjoner og e-pengeforetak. Forskriften §§ 1 og 2 viser til at både hjemstatens og Norges tilsyn med utenlandske e-pengeforetak skal føres i overensstemmelse med de direktiver som omfattes av EØS-avtalen vedlegg IX og lovgivningen for øvrig.

Finansforetaksloven gjelder for utenlandske finansforetak som skal drive eller driver virksomhet i Norge gjennom filial, eller ved grensekryssende virksomhet i den utstrekning det følger av kapittel 5, se § 1-2.

Det foreligger ikke hjemmel i norsk rett for tilsyn med agenter av utenlandske betalings- og e-pengeforetak i Norge.

8.3.2 Forventet EØS-rett

PSD 2 åpner i artikkel 29 nr. 4 for at nasjonale myndigheter kan stille krav om at betalingstjenestetilbydere som opererer gjennom agenter etter etableringsretten, og har hovedkontor i en annen medlemsstat, utpeker et sentralt kontaktpunkt på deres område for å sikre kommunikasjon og rapportering om betalingsforetaket overholder direktivets bestemmelser. Kontaktpunktet skal også legge til rette for tilsyn fra kompetente myndigheter i hjemlandet og vertslandet, herunder å gi kompetente myndigheter dokumenter og opplysninger etter begjæring.

EU-kommisjonen er i PSD 2 artikkel 29 nr. 7 gitt myndighet til å fastsette tekniske standarder for når det er rimelig å kreve utpeking av et sentralt kontaktpunkt og hvilke funksjoner kontaktpunktet skal ha. Den europeiske tilsynsmyndighet for bank (EBA) skal utarbeide de tekniske standardene, se artikkel 29 nr. 5.

8.3.3 Høringsutkastet

Finanstilsynet foreslår en forskriftshjemmel for å kunne gi nærmere regler om utpeking av nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak, se utkastet til ny bestemmelse i finansforetaksloven § 5-10. Finanstilsynet påpeker at tekniske standarder ikke er vedtatt på EU-nivå, og har ikke foreslått utfyllende regler. Finanstilsynet viser til at hvitvaskingslovutvalget i NOU 2016: 27 anså det som ønskelig å innføre en mulighet til å kreve at utenlandske betalings- og e-pengeforetak har et nasjonalt kontaktpunkt.

8.3.4 Høringsinstansenes merknader

Electronic Money Association (EMA) er imot innføring av mulighet til å kreve nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak. EMA mener et slikt krav vil innebære en unødvendig administrativ byrde, som trolig ikke vil tilføre noe av verdi. Videre viser EMA til at kompetent myndighet trolig vil kommunisere med foretak via e-post eller telefon, og at dette gjelder foretak med konsesjon i hjemstaten og de som driver grensekryssende virksomhet («passporting inwards»).

EMA viser til at foretakenes data og interne systemer er lokalisert sentralt og tilgjengelig ved firmaets hovedkontor. Videre viser EMA til at det er vanlig at foretak har en etterlevelsesansvarlig («compliance officer») som ser til aktiviteter i alle medlemsstater hvor foretaket opererer, og som vanligvis vil være den med best kunnskap om tjenestene og relevante etterlevelseskrav («compliance requirements»). EMA mener det er mer hensiktsmessig å benytte kontaktpunkter innad i betalingsforetakene, eksempelvis en slik etterlevelsesansvarlig («compliance officer»), og viser til at den etterlevelsesansvarlige også vil kunne reise til kompetent myndighets kontorer. EMA anfører at det er kostnadskrevende med en ansatt som befinner seg i et annet land, og at dette ikke nødvendigvis vil sikre større grad av etterlevelse. EMA påpeker at foretak, ved behov, kan gi kontaktinformasjon om en spesifikk person som vil fungere som kontaktperson ved foretakets hovedkontor, og som tilsynsmyndighetene kan ha kontakt med.

8.3.5 Departementets vurdering

Departementet foreslår at det innføres hjemmel til å gi nærmere regler i forskrift om krav om utpeking av nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak.

Departementet presiserer at plikten til å utpeke et nasjonalt kontaktpunkt vil rette seg mot det utenlandske foretaket som har agenter i Norge, og at forskriftshjemmelen også gir mulighet til å pålegge kontaktpunktet plikter.

Departementet bemerker at høringsinnspill om utforming av krav om nasjonalt kontaktpunkt vil bli vurdert i forbindelse med utforming av utfyllende regler med hjemmel i bestemmelsen.

Departementet viser til Prop. 40 L (2017–2018) Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven), hvor departementet foreslår en forskriftshjemmel for å gi nærmere regler om krav om utpeking av et nasjonalt kontakt for agenter av utenlandske betalingsforetak og e-pengeforetak. Departementet bemerker at den foreslåtte forskriftshjemmelen i hvitvaskingsloven retter seg mot overholdelse av hvitvaskingsregelverket. Den foreslåtte forskriftshjemmelen i finansforetaksloven § 5-10 retter seg mot overholdelse av bestemmelsene som gjennomfører det andre betalingstjenestedirektivet.

8.4 Gebyr

8.4.1 Gjeldende rett

Dersom en betalingsmottaker krever gebyr eller gir rabatt for bruk av et bestemt betalingsinstrument, skal betaleren opplyses om dette før betalingstransaksjonen iverksettes, se finansavtaleloven § 39b første ledd. Finansdepartementet er i første ledd fjerde punktum gitt en forskriftshjemmel til å forby eller begrense retten til å kreve gebyrer nevnt i bestemmelsens første og tredje punktum, for å fremme konkurranse og bruk av effektive betalingsinstrumenter. Gebyr for bruk av bestemt betalingsinstrument kan kalles prispåslag (avgift) eller «surcharging».

8.4.2 Forventet EØS-rett

PSD 2 åpner i artikkel 62 nr. 5 for at medlemsstatene kan forby eller begrense betalingsmottakers rett til å kreve gebyr ved anvendelse av et bestemt betalingsinstrument, ut i fra hensynet til konkurranse og å fremme bruk av effektive betalingsinstrumenter. Det første betalingstjenestedirektivet åpnet for et lignende nasjonalt valg.

8.4.3 Høringsutkastet

Finanstilsynet har i høringsnotatet ikke foretatt en fornyet vurdering av spørsmålet om betalingsmottakers adgang til å kreve gebyr for bruk av et bestemt betalingsinstrument. Finanstilsynet viser til at Finansdepartementet i forbindelse med gjennomføring av det første betalingstjenestedirektivet ble gitt en forskriftshjemmel til å forby eller begrense retten til å kreve gebyr for å fremme konkurranse og bruk av effektive betalingsinstrumenter. Videre viser Finanstilsynet til at Sverige har et generelt forbud mot å kreve gebyr for bruk av betalingsinstrumenter i dag, og at Danmark har en liknende løsning som den norske, hvor en har hjemmel til å forby gebyr for bruk av betalingsinstrumenter generelt.

8.4.4 Høringsinstansenes merknader

American Express mener «surcharging» bør forbys i Norge. American Express viser til at flere medlemsland har forbudt «surcharging».

Finans Norge har ingen innvendinger til at Finanstilsynet ikke har foretatt en fornyet vurdering av spørsmålet om betalingsmottakers adgang til å kreve gebyr for bruk av et bestemt betalingsinstrument.

Forbrukerrådet anbefaler at reglene for «surcharging» videreføres som i dag, forutsatt at Finansavtaleloven § 39 b følges, og at ettersyn utføres. Forbrukerrådet fremhever at gebyrene ofte fremgår først avslutningsvis i kjøpsprosessene, og at det ofte trekkes et beløp som ikke samsvarer med den faktiske kostnaden som er knyttet opp til betalingstjenesten.

Hovedorganisasjonen Virke fremhever at maksimalsatsene er satt slik at de skal tilsvare salgsstedets kostnad hvis kunden benytter kontanter. Virke støtter at maksimalsatsene fortsatt reguleres i formidlingsgebyrforskriften. Videre uttaler Virke at høringens forslag om adgang til å kreve gebyrer av konsumenter (når resterende verdikjede ikke er gebyrregulert) er viktig for å synliggjøre og holde kostnadene for brukerstedene nede, uavhengig av hvilket betalingsinstrument brukeren velger.

Mastercard mener gebyrer for alle betalingsprodukter som ikke er underlagt maksimale interbankgebyrsatser under forordningen om interbankgebyr, bør tillates. Dette gjør at selgere kan få tilbake kostnadene for disse dyrere produktene samt sikre likebehandling mellom tredje- og fjerdeparters kortordninger. Videre påpeker Mastercard at selgernes mottakskostnader for de fleste betalingskortinstrumenter (dvs. forbrukerkort) har falt betydelig som følge av forordningen om interbankgebyr (forordning (EU) 2015/751). Gebyrer fra selgers side for disse produktene er derfor ikke lenger berettiget og bør forhindres, som fastsatt i artikkel 62.

Norges Bank viser til at hovedregelen etter norsk rett og det tidligere betalingstjenestedirektivet (PSD1), er at betalingsmottaker ikke kan kreve høyere gebyr enn den faktiske kostnaden ved bruk av et betalingsinstrument. Norges Bank mener dette er en hensiktsmessig regel, og viser til at gebyrer som reflekterer kostnader, i utgangspunktet vil gi riktige signaler til brukerne med hensyn til effektivt valg av betalingsinstrument. I tillegg uttaler Norges Bank at regelverket ikke bør anvendes slik at det kan motvirke gunstig konkurranse og innovasjon gjennom prisregulering som hindrer effektive brukervalg.

Skatteetaten har en merknad om gebyr ved betaling av skatte- og avgiftskrav, og viser til sin praksis om betaling av slike krav med kredittkort. Skatteetaten uttaler at finansavtaleloven i hovedsak gjelder for avtaler og oppdrag om betalingstjenester mellom en kunde og en finansinstitusjon, og at Skatteetaten derfor ikke er direkte bundet av loven. Videre antar etaten at finansavtaleloven § 39 b setter en minimumsskranke for hva etaten som betalingsmottaker kan kreve av gebyrer. Videre påpeker Skatteetaten at det er viktig for etaten fortsatt å ha adgang til å ilegge gebyr ved bruk av kredittkort, for å opprettholde de avgiftspliktiges valgfrihet med hensyn til oppgjørsform. I tillegg viser Skatteetaten til at det sikrer at skatte- og avgiftskrav dekkes fullt ut og ikke reduseres av kredittkortselskapenes gebyrer.

Payr viser til at Finanstilsynet lar spørsmålet om et utvidet forbud skal gjelde, stå åpent. Videre uttaler Payr at de ser frem til å få en avklaring på spørsmålet fra Justis- og beredskapsdepartementet.

8.4.5 Departementets vurdering

Departementet viser til at forskriftshjemmelen i finansavtaleloven § 39 b første ledd fjerde punktum ble innført i forbindelse med gjennomføring av første betalingstjenestedirektiv, se nærmere omtale i Ot.prp. nr. 94 (2008–2009) s. 187–188. Departementet er enig med Finanstilsynet i at forskriftshjemmelen til å forby eller begrense betalingsmottakeres rett til å kreve gebyrer bør videreføres, og foreslår ingen lovendringer. Som Norges Bank viser til, bør regelverket ikke hindre effektive brukervalg eller motvirke gunstig konkurranse. Departementet vil foreta en nærmere vurdering av eventuelt behov for en forskrift etter at Stortinget har tatt stilling til lovreglene.

8.5 Klage

8.5.1 Gjeldende rett

Regler om behandling av tvister er gitt i finansavtaleloven § 4. Etter første ledd kan Kongen godkjenne klageorgan for behandling av tvister. Videre kan det i forskrift gis bestemmelser om klageorganets virksomhet. Det er fastsatt forskrift om utenrettslige tvisteløsningsordninger etter forsikringsavtaleloven og finansavtaleloven.

Finansforetaksloven § 16-3 gjelder behandling av tvister i klageorgan. Etter bestemmelsens første ledd kan Kongen ved forskrift bestemme at finansforetak skal være tilsluttet en utenrettslig tvisteløsningsordning godkjent i medhold av lov. Det følger av finansforetaksforskriften § 16-6 at betalingsforetak og e-pengeforetak med tillatelse til å drive virksomhet i Norge skal være tilsluttet en utenrettslig tvisteløsningsordning som nevnt i finansforetaksloven § 16-3.

8.5.2 Forventet EØS-rett

PSD 2 inneholder bestemmelser om klage, sanksjoner, tilsyn og tvisteløsning i artiklene 99–102.

Det følger av artikkel 99 at brukere av betalingstjenester, og andre interesserte aktører, skal kunne klage til myndighetene dersom de mener at betalingstjenestetilbydere ikke overholder reglene i direktivet. Tilsynsmyndigheten plikter å informere om utenrettslige klageordninger i sitt svar til brukere av betalingstjenester.

Etter artikkel 102 skal medlemsstatene sikre at det finnes utenrettslige mekanismer for å løse tvister mellom brukere og tilbydere av betalingstjenester som gjelder direktivets del III og IV. Direktivet krever at ordningen skal omfatte «appointed representatives», se artikkel 102 nr. 1.

8.5.3 Høringsutkastet

Finanstilsynet har i høringsnotatet punkt 2.6.3 vurdert klage til tilsynsmyndigheter, og uttaler følgende:

«Finanstilsynet tolker artikkel 99 dithen at den ikke pålegger tilsynsmyndighetene å avgjøre konkrete tvister mellom brukere og tilbydere. Dette skal fremdeles avgjøres i utenrettslige klageordninger som vises til i artikkel 102. Dette følger av gjeldende rett, og Finanstilsynet legger til grunn at artikkel 99 ikke krever endringer i norsk rett.»

8.5.4 Høringsinstansenes merknader

Electronic Money Association (EMA) støtter gjennomføring av kravene i PSD 2 vedrørende klagebestemmelsen i artikkel 101, og uttaler at direktivet skaper et harmonisert regime i EU.

Justis- og beredskapsdepartementet viser til at PSD 2 artikkel 101 krever at medlemsstatene skal sikre at betalingstjenesteytere har passende og effektive rutiner for klagebehandling, som skal få anvendelse i alle medlemsstater hvor det aktuelle foretaket yter betalingstjenester. Departementet viser til foreslått bestemmelse i ny finansavtalelov § 4 fjerde ledd, som stiller et generelt krav om at tilbydere av finansielle tjenester skal ha passende og effektive rutiner for klagebehandling. Departementet mener reglene om klagebehandling bør fremgå av både finansforetaksloven og finansavtaleloven, for å sikre at reglene får anvendelse for norske foretaks virksomhet i utlandet. Departementet foreslår at det inntas en henvisning i finansforetaksloven til at finansavtaleloven § 4 fjerde ledd gjelder tilsvarende for norske foretaks virksomhet i utlandet.

8.5.5 Departementets vurdering

Departementet slutter seg til Finanstilsynets vurdering, og foreslår ingen lovendringer hva gjelder regler om klage.

Departementet viser til at finansforetaksloven gjelder for norske finansforetaks virksomhet i utlandet, se § 1-2. Etter finansforetaksloven § 16-3 kan Kongen bestemme at finansforetak skal være tilsluttet en utenrettslig tvisteløsningsordning. I tillegg viser departementet til at departementet i medhold av finansforetaksloven § 4-5 kan gi nærmere regler om virksomhet som norske finansforetak driver i utlandet, og at et slikt krav eventuelt kan fastsettes med hjemmel i finansforetaksloven, skulle det vise seg å være behov for det. Videre kan departementet fastsette nærmere regler om betalingsforetak, herunder utenrettslig tvisteløsningsordning, i medhold av finansforetaksloven § 2-10 nytt femte ledd.

Til forsiden