LIETUVOS RESPUBLIKOS MOKĖJIMŲ ĮSTATYMO NR. VIII-1370 2, 3, 54, 76 STRAIPSNIŲ IR PRIEDO PAKEITIMO ĮSTATYMO, LIETUVOS RESPUBLIKOS ELEKTRONINIŲ PINIGŲ IR ELEKTRONINIŲ PINIGŲ ĮSTAIGŲ ĮSTATYMO NR. XI-1868 25 STRAIPSNIO PAKEITIMO ĮSTATYMO IR LIETUVOS RESPUBLIKOS MOKĖJIMO ĮSTAIGŲ ĮSTATYMO NR. XI-549 17 STRAIPSNIO PAKEITIMO ĮSTATYMO PROJEKTŲ

AIŠKINAMASIS RAŠTAS

 

1. Įstatymų projektų rengimą paskatinusios priežastys, parengtų projektų tikslai ir uždaviniai

Lietuvos Respublikos mokėjimų įstatymo Nr. VIII-1370 2, 3, 54, 76 straipsnių ir priedo pakeitimo įstatymo projektas (toliau – Mokėjimų įstatymo projektas) inicijuojamas siekiant nustatyti, kad mokėjimo paslaugų teikėjai (toliau – MPT), teikdami mokėjimo paslaugas, mokėjimo sistemų operatoriai, vykdydami mokėjimo operacijas, ir kiti subjektai, kurie pasitelkiami teikiant mokėjimo paslaugas arba vykdant mokėjimo operacijas, vykdydami sukčiavimo, atliekant mokėjimus, prevenciją, tyrimą ir nustatymą, užtikrina svarbų viešąjį interesą ir dėl to turi teisę tvarkyti mokėjimo paslaugų vartotojų specialių kategorijų asmens duomenis, kurių reikia, kad būtų užtikrintas tinkamas minėtų paslaugų teikimas. Mokėjimų įstatymo projektas parengtas atsižvelgiant į Europos duomenų apsaugos valdybos (toliau – EDAV) paskelbtas Gaires 06/2020 dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – BDAR) ir 2015 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyvos (ES) 2015/2366 dėl mokėjimo paslaugų vidaus rinkoje, kuria iš dalies keičiamos direktyvos 2002/65/EB, 2009/110/EB ir 2013/36/ES bei Reglamentas (ES) Nr. 1093/2010 ir panaikinama Direktyva 2007/64/EB (toliau – Direktyva), sąveikos[1] (toliau – Gairės). Gairėse daroma išvada, kad finansų įstaigos tvarko specialių kategorijų asmens duomenis.

Specialių kategorijų asmens duomenys – duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, kai jie tvarkomi siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją. MPT, teikdami mokėjimo paslaugas, mokėjimo sistemų operatoriai, vykdydami mokėjimo operacijas, ir kiti subjektai, kurie pasitelkiami teikiant mokėjimo paslaugas arba vykdant mokėjimo operacijas, gali gauti specialių kategorijų asmens duomenų – kartu su asmens (mokėtojo arba gavėjo) duomenimis gaunama ir informacija, nurodoma mokėjimo paskirtyje, taip pat kitos sandorio šalies (gavėjo arba mokėtojo) pavadinimas, kas gali sudaryti arba leidžia nustatyti asmens jautrią informaciją.

Gairėse taip pat nurodyta, kad specialių kategorijų asmens duomenis teikiant mokėjimo paslaugas galima tvarkyti tik remiantis viena iš dviejų išimčių: esant aiškiam duomenų subjektų sutikimui (BDAR 9 straipsnio 2 dalies a punktas) arba dėl svarbaus viešojo intereso (BDAR 9 straipsnio 2 dalies g punktas). Todėl Mokėjimų įstatymo projektu siūloma nustatyti BDAR 9 straipsnio 1 dalyje nurodytų specialių kategorijų asmens duomenų tvarkymo, teikiant mokėjimo paslaugas, pagrindus.

Priėmus 2021 m. liepos 14 d. Europos Parlamento ir Tarybos reglamentą (ES) 2021/1230 dėl tarptautinių mokėjimų Sąjungoje (kodifikuota redakcija) (toliau – Reglamentas (ES) 2021/1230), buvo kodifikuotas 2009 m. rugsėjo 16 d. Europos Parlamento ir Tarybos reglamentas (EB) Nr. 924/2009 dėl tarptautinių mokėjimų Bendrijoje, panaikinantis Reglamentą (EB) Nr. 2560/2001 (toliau – Reglamentas (EB) Nr. 924/2009) su visais pakeitimais. Šis reglamentas nekeičia kodifikuojamų teisės aktų turinio, nes jame tik sujungiami teisės aktai, atliekant kodifikavimui būtinus formos pakeitimus. Todėl Mokėjimų įstatymo projektu siekiama atlikti techninius pakeitimus, kuriais patikslinamos nuorodos į Reglamentą (ES) 2021/1230 vietoje nuorodų į Reglamentą (EB) Nr. 924/2009.

Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punkte ir Lietuvos Respublikos mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punkte nustatytas reikalavimas atitinkamoms įstaigoms apsaugoti jų klientų lėšas, atskiriant jas nuo kitų fizinių ar juridinių asmenų lėšų. Šios lėšos turi būti laikomos atskiroje sąskaitoje, atidarytoje Lietuvos Respublikos kredito įstaigoje (įskaitant užsienio valstybės kredito įstaigos filialą, įsteigtą Lietuvos Respublikoje), kitos valstybės narės kredito įstaigoje, Lietuvos banke arba kitos valstybės narės centriniame banke. Tačiau Lietuvos banko licenciją turinčios elektroninių pinigų ir mokėjimo įstaigos patiria sunkumų atidarydamos klientų lėšų apsaugos sąskaitas Lietuvos Respublikos kredito įstaigose ir įgyvendindamos įstatymo reikalavimus. Todėl, siekiant pagerinti teisinį reguliavimą ir sudaryti mokėjimo ir elektroninių pinigų įstaigoms galimybę įgyvendinti įstatymų reikalavimus apsaugoti klientų lėšas, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo Nr. XI-1868 25 straipsnio pakeitimo įstatymo projektu (toliau – Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo projektas) ir Lietuvos Respublikos mokėjimo įstaigų įstatymo Nr. XI-549 17 straipsnio pakeitimo įstatymo projektu (toliau – Mokėjimo įstaigų įstatymo projektas) siūloma nustatyti, kad klientų lėšos gali būti saugomos ir užsienio valstybės kredito įstaigos filiale kitoje valstybėje narėje. Siūlomi pakeitimai taip pat įgyvendina Lietuvos Respublikos Vyriausybės 2021 m. balandžio 14 d. pasitarimo protokolu Nr. 20 patvirtinto 2021 metų priemonių finansinių technologijų (FINTECH) industrijos plėtrai Lietuvoje skatinti plano 1 užduoties 1.4 papunktį: „Įvertinti galimybę elektroninių pinigų ir mokėjimo įstaigų klientų lėšas laikyti trečiosios šalies užsienio valstybės banko filiale, kuris įsteigtas ne Lietuvoje, o kitoje Europos Sąjungos valstybėje narėje, ir parengti pasiūlymus dėl poreikio keisti reikiamus teisės aktus“.

Įstatymų projektų tikslai – užtikrinti, kad būtų suderinti BDAR ir Direktyvos reikalavimai dėl mokėjimo paslaugų teikimo, ir nustatyti, kad MPT ir mokėjimo sistemų operatorių specialių kategorijų asmens duomenų, kurių gavimas teikiant Lietuvos Respublikos mokėjimų įstatyme reglamentuojamas mokėjimo paslaugas yra neišvengiamas, tvarkymo pagrindas yra viešasis interesas. Taip pat sudaryti galimybę mokėjimo ir elektroninių pinigų įstaigoms apsaugoti klientų lėšas, jas laikant užsienio valstybės kredito įstaigos filiale kitoje valstybėje narėje, ir įgyvendinti Reglamentą (ES) 2021/1230.

 

2. Įstatymų projektų iniciatoriai (institucija, asmenys ar piliečių įgalioti atstovai) ir rengėjai

Įstatymų projektus parengė Lietuvos Respublikos finansų ministerijos Finansų rinkų politikos departamento (direktorė Vilma Mačerauskienė, tel. (8 5) 239 0174) Kredito ir mokėjimų rinkų skyriaus (vedėja Akvilė Kalantaitė, tel. (8 5) 239 0233) patarėja Joana Daukševič (tel. (8 5) 239 0171) ir Lietuvos banko Rinkos infrastruktūros departamento (direktorius Algirdas Neciunskas, tel. (8 5) 268 0608) Rinkos infrastruktūros politikos skyriaus (vadovas Tomas Karpavičius, tel. (8 5) 268 0806) vyriausioji ekonomistė Jūratė Butkutė (tel. (8 5) 268 0809) ir vyresnioji ekonomistė Gabrielė Bieliūnaitė (tel. (8 5) 268 0818).

 

3. Kaip šiuo metu yra reguliuojami įstatymų projektuose aptarti teisiniai santykiai

 

Mokėjimų įstatymas

Mokėjimų įstatymo 54 straipsnyje reglamentuojama asmens duomenų apsauga – pagal šį straipsnį mokėjimo sistemų operatoriai ir MPT turi teisę tvarkyti asmens duomenis, kai tai būtina, ir tik tuos asmens duomenis, kurių reikia mokėjimo paslaugoms teikti, ir siekdami užtikrinti sukčiavimo atliekant mokėjimus prevenciją, tyrimą ir nustatymą. Asmens duomenys tvarkomi ir informacija apie asmens duomenų tvarkymą asmenims teikiama asmens duomenų apsaugą reglamentuojančių teisės aktų nustatyta tvarka. Specialių kategorijų asmens duomenų tvarkymo aspektai nėra išskirti.

 

Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymas, Mokėjimo įstaigų įstatymas

Direktyvos 10 straipsnio 1 dalies a punkte nustatyta, kad mokėjimo paslaugų vartotojų lėšos turi būti apsaugomos deponuojant jas atskiroje kredito įstaigos sąskaitoje, tačiau nenurodant, kokios šalies kredito įstaiga tai gali būti. Ši Direktyvos nuostata buvo perkelta į Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punktą ir Mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punktą

Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punkte nustatyta, kad elektroninių pinigų įstaiga privalo apsaugoti iš elektroninių pinigų turėtojų už išleistus elektroninius pinigus gautas lėšas, atskirdama šias lėšas nuo kitų fizinių arba juridinių asmenų, kurie nėra elektroninių pinigų turėtojai, lėšų. Šios lėšos turi būti laikomos atskiroje sąskaitoje, atidarytoje Lietuvos Respublikos kredito įstaigoje (įskaitant užsienio valstybės kredito įstaigos filialą, įsteigtą Lietuvos Respublikoje), kitos valstybės narės kredito įstaigoje, Lietuvos banke arba kitos valstybės narės centriniame banke. Mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punkte nustatyti analogiški reikalavimai, taikomi mokėjimo paslaugų vartotojų lėšų apsaugai.

 

4. Kokios siūlomos naujos teisinio reguliavimo nuostatos ir kokių teigiamų rezultatų laukiama

 

Mokėjimų įstatymo projektas

EDAV Gairėse yra nurodžiusi, kad vienas iš specialių kategorijų asmens duomenų tvarkymo pagrindų teikiant mokėjimo paslaugas yra viešasis interesas, įtvirtintas teisės aktuose. Tuo remiantis, siūloma papildyti Mokėjimų įstatymą, nustatant, kad MPT, teikdami mokėjimo paslaugas, mokėjimo sistemų operatoriai, vykdydami mokėjimo operacijas, ir kiti subjektai, kurie pasitelkiami teikiant mokėjimo paslaugas arba vykdant mokėjimo operacijas, siekdami užtikrinti sukčiavimo atliekant mokėjimus prevenciją, tyrimą ir nustatymą, užtikrina svarbų viešąjį interesą ir dėl to turi teisę tvarkyti mokėjimo paslaugų vartotojų specialių kategorijų asmens duomenis (žr. daugiau apie viešojo intereso užtikrinimą aiškinamojo rašto 16 punkte). Atsižvelgiant į tai, kad mokėjimo sistemų operatoriai nėra mokėjimo paslaugų teikėjai, jų teikiamos paslaugos nelaikomos mokėjimo paslaugomis, kaip jos suprantamos pagal Mokėjimų įstatymą. Mokėjimo sistemose vykdomos mokėjimo operacijos – tai yra vienas iš mokėjimo paslaugų teikėjų teikiamų mokėjimo paslaugų etapų. Todėl siekiant išskirti mokėjimo sistemų operatorių veiklą, kurioje naudojami asmens duomenys, Mokėjimų įstatymo projekte siūloma nustatyti, kad įstatymo nuostatos taikomos ir kitiems subjektams, kurie pasitelkiami teikiant mokėjimo paslaugas ar vykdant mokėjimo operacijas.

Siekiant teisinio aiškumo, Mokėjimų įstatymo projektu keičiamame Mokėjimų įstatymo 2 straipsnyje pateikiama mokėjimo sistemos operatoriaus sąvoka, apibrėžta remiantis Lietuvos Respublikos atsiskaitymų baigtinumo mokėjimo ir vertybinių popierių atsiskaitymo sistemose įstatymo 2 straipsnio 25 dalimi, – vienas ar keli juridiniai asmenys, atsakingi už mokėjimo arba vertybinių popierių atsiskaitymo sistemos veiklą. Atsižvelgiant į tai, kad Mokėjimų įstatymo projekte nustatomos teisės ir pareigos tik mokėjimo sistemos operatoriui, taip pat nustatoma, kad mokėjimo sistemos operatorius –  vienas ar keli juridiniai asmenys, atsakingi už mokėjimo sistemos veiklą.

Priėmus siūlomą Mokėjimų įstatymo pakeitimą bus užtikrintas teisinis apibrėžtumas dėl specialių kategorijų asmens duomenų tvarkymo teikiant mokėjimo paslaugas ir vykdant mokėjimo operacijas.

 

Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo projektas ir Mokėjimo įstaigų įstatymo projektas

Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo projektu ir Mokėjimo įstaigų įstatymo projektu siūloma nustatyti, kad elektroninių pinigų įstaiga ir mokėjimo įstaiga, pasirinkdamos taikyti Elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 1 dalies 1 punkte ar atitinkamai Mokėjimo įstaigų įstatymo 17 straipsnio 1 dalies 1 punkte nustatytą lėšų apsaugos būdą, lėšas galės laikyti ne tik sąskaitoje, atidarytoje Lietuvos Respublikos kredito įstaigoje (įskaitant užsienio valstybės kredito įstaigos filialą, įsteigtą Lietuvos Respublikoje), kitos valstybės narės kredito įstaigoje, Lietuvos banke arba kitos valstybės narės centriniame banke, bet ir užsienio valstybės kredito įstaigos filiale kitoje valstybėje narėje.

 

5. Numatomo teisinio reguliavimo poveikio vertinimo rezultatai, galimos neigiamos priimtų įstatymų pasekmės ir kokių priemonių reikėtų imtis, kad tokių pasekmių būtų išvengta

Neigiamų pasekmių nenumatoma.

 

6. Kokią įtaką priimti įstatymai turės kriminogeninei situacijai, korupcijai

Įstatymų projektai neturės įtakos kriminogeninei situacijai ir korupcijai.

 

7. Kaip įstatymų įgyvendinimas atsilieps verslo sąlygoms ir jo plėtrai

Kai kuriems MPT gali tekti stiprinti asmens duomenų apsaugos priemones.  

 

8. Ar įstatymų projektai neprieštarauja strateginio lygmens planavimo dokumentams

Įstatymų projektai neprieštarauja strateginio lygmens planavimo dokumentams.

 

9. Įstatymų inkorporavimas į teisinę sistemą, kokius teisės aktus būtina priimti, kokius galiojančius teisės aktus reikia pakeisti ar pripažinti netekusiais galios

Priimti naujų, pakeisti ar pripažinti netekusiais galios galiojančių įstatymų nereikės.

 

10. Ar įstatymų projektai parengti laikantis Lietuvos Respublikos valstybinės kalbos, Teisėkūros pagrindų įstatymų reikalavimų, o įstatymų projektų sąvokos ir jas įvardijantys terminai įvertinti Terminų banko įstatymo ir jo įgyvendinamųjų teisės aktų nustatyta tvarka

Įstatymų projektai parengti laikantis Valstybinės kalbos, Teisėkūros pagrindų įstatymų reikalavimų ir atitinka bendrinės lietuvių kalbos normas. Įstatymų projektuose nėra naujai apibrėžtų sąvokų.

 

11. Ar įstatymų projektai atitinka Žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos nuostatas ir Europos Sąjungos dokumentus

Įstatymų projektai neprieštarauja Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos nuostatoms ir Europos Sąjungos dokumentams.

 

12. Jeigu įstatymams įgyvendinti reikia įstatymų įgyvendinamųjų aktų, kas ir kada juos turėtų parengti, šių aktų metmenys

Priėmus įstatymų projektus, įgyvendinamųjų teisės aktų priimti nereikės.

 

13. Kiek valstybės, savivaldybių biudžetų ir kitų valstybės įsteigtų fondų lėšų prireiks įstatymams įgyvendinti, ar bus galima sutaupyti (pateikiami prognozuojami rodikliai einamaisiais ir artimiausiais 3 biudžetiniais metais)

Įstatymų projektams įgyvendinti papildomų lėšų nereikės.

 

14. Rengiant įstatymų projektus gauti specialistų vertinimai ir išvados

Lietuvos bankų asociacija, vadovaudamasi BDAR 35 straipsnio 10 dalimi, atliko poveikio duomenų apsaugai vertinimą (pridedama).

 

15. Reikšminiai žodžiai, kurių reikia šiems įstatymų projektams įtraukti į kompiuterinę paieškos sistemą, įskaitant Europos žodyno Eurovoc terminus, temas bei sritis

„Asmens duomenys“, „specialių kategorijų asmens duomenys“, „mokėjimo paslaugos“, „mokėjimo įstaigos“, „elektroninių pinigų įstaigos“.

 

16. Kiti, iniciatorių nuomone, reikalingi pagrindimai ir paaiškinimai

 

Mokėjimų įstatymo projektas

EDAV Gairėse yra nurodžiusi, kad iš esmės įmanomi tik du specialių kategorijų asmens duomenų tvarkymo teikiant mokėjimo paslaugas pagrindai: duomenų tvarkymas asmens sutikimu ir duomenų tvarkymas esant viešajam interesui, kuris įtvirtintas nacionaliniuose arba Europos Sąjungos teisės aktuose. Kiti specialių kategorijų asmens duomenų tvarkymo pagrindai (BDAR 9 straipsnio 2 dalis) teikiant mokėjimo paslaugas nėra tinkami, nes jie orientuoti į specifines situacijas, susijusias su gyventojų sveikatos apsauga, socialine apsauga, teisinių reikalavimų vykdymu ir kt.

 

Dėl viešojo intereso

Viešasis interesas – visuomenei svarbi vertybė, dėl kurios visuotinai yra sutarta, kad tai yra vertybė. Pagrindines vertybes, kurias turėtume puoselėti, įvardija Lietuvos Respublikos Konstitucija, įstatymai, kiti svarbūs teisės aktai. Sklandus ir saugus mokėjimo paslaugų teikimas užtikrina finansų sistemos stabilumą, kuris visuomenei yra svarbus viešasis interesas. Lietuvos Respublikos Konstitucinis Teismas 2013 m. gegužės 24 d. nutarime byloje Nr. 135/2010 yra pateikęs nuomonę dėl finansinių paslaugų teikimo reikšmingumo: „finansų srityje vykdoma ūkinė veikla, inter alia finansinių paslaugų teikimas, yra viena iš specifinių ūkinės veiklos rūšių; jai būdinga inter alia tai, kad ją vykdant tiesiogiai daroma įtaka šalies finansų sistemai, kartu ir visam šalies ūkiui; finansų sistemos stabilumas ir efektyvumas yra reikšmingas viešasis interesas, esminė rinkos veikimo sąlyga, lemianti šalies ūkio augimą, todėl pagal Konstituciją, inter alia jos 46 straipsnio 3 dalį, įstatymų leidėjas, reguliuodamas finansinę ūkinę veiklą taip, kad ji tarnautų bendrai tautos gerovei, turi nustatyti tokį teisinį reguliavimą, kad būtų užtikrintas šalyje veikiančios finansų sistemos saugumas, stabilumas ir patikimumas; nustatydamas tokį teisinį reguliavimą įstatymų leidėjas turi paisyti iš Konstitucijos, inter alia iš konstitucinio teisinės valstybės principo, kylančių imperatyvų“.

Terminas „finansinis stabilumas“ apibūdinamas kaip finansų sistemos veikimas be nepageidaujamų rezultatų esamai ar būsimai ekonomikos plėtrai. Šis terminas teisės aktuose nėra apibrėžtas, bet plačiai vartojamas ir Europos Sąjungos teisės aktuose.

Mokėjimo paslaugos yra būtinos sklandžiam ir patikimam finansų rinkos veikimui, taip pat ūkio subjektų (fizinių asmenų, juridinių asmenų ir viešojo sektoriaus subjektų) tarpusavio ekonominių ir finansinių santykių bei jų subjektinių teisių įgyvendinimui. Mokėjimo paslaugas reguliuojančių teisės aktų (Mokėjimų įstatymo ir kitų) tikslas – užtikrinti viešąjį interesą, kad mokėjimo paslaugos būtų teikiamos sklandžiai, taip pat užtikrinant vartotojų apsaugą ir rinkos konkurenciją.

Praktiškai bet koks sandoris yra susijęs su mokėjimu, pavyzdžiui, atsiskaitymu už prekes ar paslaugas, atsiskaitymu už komunalines paslaugas, darbo užmokesčio mokėjimu, mokesčių valstybei mokėjimu, investavimu, atsiskaitymu tarptautinėje didmeninėje prekyboje ir kt. Labai svarbu, kad kartu su mokėjimu gavėjui būtų perduodama ir mokėjimo nurodyme pateikta informacija – mokėtojo duomenys ir mokėjimo paskirtis. Informacijos perdavimo reikalavimai nurodyti Mokėjimų įstatyme, taip pat SEPA reglamente[2], kuriame nurodoma, kad MPT negali iškraipyti mokėjimo paslaugų vartotojo pateiktos informacijos ir turi ją perduoti kitiems mokėjimo vykdymo grandinėje dalyvaujantiems MPT. Juos, kaip ir gavėjo MPT, minėta informacija pasiekia per mokėjimo sistemų operatorius ir kitus subjektus, kurie gali būti pasitelkiami teikiant mokėjimo paslaugas arba vykdant mokėjimo operacijas.

Kartu su mokėjimo operacija gali būti perduodami asmens duomenys, kurie gali būti priskiriami specialių kategorijų asmens duomenims. MPT specialiai nerenka specialių kategorijų asmens duomenų – tokių duomenų gavimas ir tvarkymas priklauso tik nuo to, kokią informaciją pateikė mokėtojas arba gavėjas, kas ir kam tą mokėjimą vykdo, kokia informacija pateikiama automatiškai apie kitą sandorio šalį. Pavyzdžiui, jei asmuo moka partijos nario mokestį arba paramą religinei bendruomenei, iš mokėjimo gavėjo galima nustatyti jo politines ar religines pažiūras, nors mokėjimo nurodyme nurodoma tik įprasta informacija – gavėjo pavadinimas; jei asmuo mokėjimo paskirtyje detaliai nurodo, už kokias medicinines paslaugas atsiskaitoma, gali būti identifikuojami jo sveikatos duomenys. MPT, norėdamas iš viso mokėjimų srauto išskirti duomenis, kurie atitinka specialių kategorijų asmens duomenų apibrėžimą, turėtų tuo tikslu analizuoti visų mokėjimų informaciją. Pažymėtina, kad mokėjimo operacijų srautai yra itin dideli, pavyzdžiui, per ketvirtį Lietuvos MPT įvykdo daugiau nei 150 mln. vietinių mokėjimo operacijų.

Teikdami mokėjimo paslaugas, MPT tvarko asmens duomenis, įskaitant specialių kategorijų asmens duomenis, tiek, kiek to reikia mokėjimo paslaugoms, kaip jos reglamentuotos Mokėjimų įstatyme ir kituose mokėjimo paslaugų teikimą reglamentuojančiuose teisės aktuose, suteikti. Kita susijusi asmens duomenų tvarkymo atliekant mokėjimus priežastis – su mokėjimu susijusio sukčiavimo prevencija, tyrimas ir nustatymas. Šiuo tikslu renkama ir nagrinėjama informacija taip pat gali būti specialių kategorijų asmens duomenys.

Teikiant mokėjimo paslaugas ar vykdant sukčiavimo prevenciją visai neaktualu, ar turimi duomenys priskirtini specialių kategorijų asmens duomenims, nes tokie duomenys gaunami atsitiktinai. Toks duomenų rinkimas iš esmės skiriasi nuo situacijų, kai renkant duomenis yra iš karto aišku, kad bus tvarkomi specialių kategorijų asmens duomenys, ir jie renkami būtent tuo labai konkrečiu su jautrios informacijos valdymu susijusiu tikslu (pavyzdžiui, gydymo įstaigų tvarkomi medicininiai pacientų duomenys).

Kitas svarbus aspektas – jei specialių kategorijų asmens duomenys teikiant mokėjimo paslaugas ir vykdant mokėjimo operacijas būtų koduojami, nuasmeninami ar trinami (vienas iš būdų išvengti specialių kategorijų asmens duomenų tvarkymo ir su tuo susijusių rizikų), paslaugų teikimas taptų labai komplikuotas ar net neįmanomas. Pavyzdžiui, jei MPT iš mokėtojo sąskaitos išrašo pašalintų specialių kategorijų asmens duomenis (pavyzdžiui, nerodytų gavėjo ar apsipirkimo vietos, jei asmuo mokėjo religinei bendruomenei, partijai ar už medicinos paslaugas), mokėtojas negalėtų vėliau atsirinkti, už ką tie mokėjimai buvo atlikti, sunkiau būtų įrodyti neautorizuotų mokėjimų įvykdymą, taip pat nebūtų galima pasinaudoti kaip įrodymu teisminiuose ginčuose. Jei būtų siekiama išvengti, kad gavėjo MPT negautų specialių kategorijų asmens duomenų, mokėtojo duomenys tam tikriems gavėjams turėtų būti koduojami ar nuasmeninami. Tokiu atveju gavėjas negalėtų atpažinti jam skirtų mokėjimų, nes nežinotų, kas atsiskaitė. Kitas pavyzdys – sąskaitos informacijos paslauga, kuri paremta principu, kad asmuo gali gauti savo sąskaitos informaciją, pasinaudodamas kito MPT paslaugomis, t. y. sąskaitos informacija, kurios prašo sąskaitos savininkas, perduodama ir sąskaitos informacijos paslaugų teikėjui, kad šis ją galėtų sutartu būdu pateikti sąskaitos savininkui. Jei dalis informacijos būtų užkoduojama ar kitaip paslepiama, sąskaitos savininkas negautų visavertės paslaugos. Be to, pažymėtina, kad Mokėjimų įstatyme nustatyta, kad sąskaitos savininkui per tarpininką (sąskaitos informacijos paslaugų teikėją) turi būti prieinama visa informacija, kuri jam prieinama tiesiogiai. Taigi šie pavyzdžiai rodo, kad, esant dabartiniam mokėjimo paslaugų reguliavimui, kitose srityse tinkami duomenų rinkimo mažinimo būdai nėra tinkami teikiant mokėjimo paslaugas.

Mokėjimo sistemų operatoriai taip pat gauna apdorojamų mokėjimų duomenis, kurie gali būti specialių kategorijų asmens duomenys. Mokėjimo sistemų operatoriai gaunamus mokėjimo nurodymuose pateikiamus duomenis perduoda iš vieno MPT kitam –dėl to mokėjimo sistemų operatoriai tvarko mokėjimo nurodymuose esančius asmens duomenis, įskaitant specialių kategorijų asmens duomenis.

Teikiant mokėjimo paslaugą ar vykdant mokėjimo operaciją, dalyvauja ir daugiau subjektų, kurie gauna mokėjimo duomenų ir kai kuriais atvejais juos persiunčia kitiems subjektams, neišvengiamai dalyvaujantiems mokėjimo paslaugos teikimo ar mokėjimo operacijos vykdymo procese. Pavyzdžiui, vykdant mokėjimą kortele, mokėjimo autorizavimo ir jo vykdymo duomenys tarp gavėjo (prekybininko) MPT ir mokėtojo (kortelės turėtojo) MPT perduodami naudojantis kortelių operacijų apdorojimo centrų paslaugomis. Kitas pavyzdys – kliento autentifikavimo paslaugą, kai jis jungiasi prie savo internetinės bankininkystės paskyros ar tvirtina mokėjimo operaciją, teikia kvalifikuoti patikimumo užtikrinimo paslaugų teikėjai, kurie taip pat gauna asmens duomenis. Dėl šios priežasties kiti subjektai taip pat įtraukiami prie tų, kurie turi teisę tvarkyti asmens duomenis, kiek jų reikia mokėjimo paslaugai suteikti ar mokėjimo operacijai įvykdyti.

Valstybė yra suinteresuota, kad finansų sistema veiktų sklandžiai ir stabiliai, įmonės, gyventojai ir valstybės institucijos galėtų vykdyti ekonominę veiklą – tam būtinos mokėjimo paslaugos. Kaip matyti, teikiant mokėjimo paslaugas specialių kategorijų asmens duomenų tvarkymas yra neišvengiamas. Atsižvelgiant į tai, kas išdėstyta, laikytina, kad sklandus mokėjimo paslaugų teikimas yra viešasis interesas, todėl MPT, mokėjimo sistemų operatoriai ir kiti subjektai, kurie pasitelkiami teikiant mokėjimo paslaugas arba vykdant mokėjimo operacijas, turi turėti teisę tvarkyti specialių kategorijų asmens duomenis, kai to reikia mokėjimo paslaugoms teikti, mokėjimo operacijoms atlikti ir sukčiavimo prevencijai vykdyti, tirti ir nustatyti. Šią teisę siūloma nustatyti Mokėjimų įstatymo pakeitimu.

 

Dėl asmens sutikimo

EDAV Gairėse pažymi, kad praktiškai neįmanoma gauti asmens sutikimą visais atvejais, kai tvarkomi asmens duomenys teikiant mokėjimo paslaugas. Vykdant mokėjimo operacijas, MPT tvarko (gauna) ne tik savo klientų asmens duomenis, bet ir kitos mokėjimo šalies, su kuria MPT neturi jokių sutartinių santykių, duomenis (tokios šalys vadinamos tyliosiomis šalimis). Pavyzdžiui, jei asmuo atlieka mokėjimą, kurio gavėjas turi sąskaitą kitame MPT, pastarasis MPT taip pat gaus ir mokėtojo asmens duomenis, kurie, kaip reikalaujama pagal Mokėjimų įstatymą, turi būti perduoti gavėjui. Mokėjimo sistemų operatoriai neturi sutartinių santykių su asmenimis, kurie inicijuoja ar gauna mokėjimus, sutartiniai santykiai juos sieja tik su MPT.

Kai į mokėjimo paslaugos teikimą (ir asmens duomenų tvarkymą) yra įtraukti kiti MPT, mokėjimo sistemų operatoriai ir kiti subjektai, BDAR reikalavimus atitinkančio sutikimo davimas kitiems MPT neįmanomas. Su kitais MPT asmuo neturi kontakto, taip pat iš anksto gali būti nežinoma, kurie MPT ar mokėjimo sistemų operatoriai bus įsitraukę teikiant mokėjimo paslaugas, kur asmens duomenų, įskaitant specialių kategorijų asmens duomenis, tvarkymas yra neišvengiamas. Pavyzdžiui, mokėjimo gavėjas vėliau naudosis sąskaitos informacijos paslauga, kurią teikia mokėjimo gavėjo pasirinktas sąskaitos informacijos paslaugų teikėjas.

Daugiau apie asmens sutikimo naudojimą – Poveikio duomenų apsaugai vertinimo ataskaitos 1 punkte.

Taigi, teikiant mokėjimo paslaugas ir vykdant mokėjimo operacijas, asmens sutikimas nėra tinkamas (įgyvendinamas) specialių kategorijų asmens duomenų tvarkymo pagrindas.

 

 

Dėl duomenų subjekto pagrindinių teisių ir interesų apsaugos priemonių nustatymo

Teisės aktuose, reglamentuojančiuose mokėjimo paslaugų teikimą, nustatyti reikalavimai ir priemonės, susijusios su informacijos ir duomenų apsauga, saugiu ir tinkamu mokėjimo operacijų vykdymu. Šios priemonės taip pat apima mokėjimo operacijų duomenų subjekto pagrindinių teisių ir interesų apsaugą.

 

Organizacinės priemonės

Asmens duomenų tvarkymas ir teikimas galimas tik tiek, kiek būtina sukčiavimo prevencijos tikslais, kaip nustatyta Direktyvoje, kurioje nurodoma, kad valstybės narės leidžia asmens duomenis tvarkyti mokėjimo sistemose ir MTP, kai tai būtina siekiant užtikrinti sukčiavimo atliekant mokėjimus prevenciją, tyrimą ir nustatymą. Analogiška nuostata perkelta ir į Mokėjimų įstatymo projektą.

Be to, bendrų ir saugių ryšių standartų reikalavimai, kurių turėtų laikytis visi MPT, nustatyti 2017 m. lapkričio 27 d. Komisijos deleguotajame reglamente (ES) 2018/389, kuriuo Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 papildoma griežto kliento autentiškumo patvirtinimo ir bendrų ir saugių atvirųjų ryšių standartų techniniais reguliavimo standartais[3] (toliau – EBA-RTS). EBA-RTS nustatytas reikalavimas vykdyti sukčiavimų prevenciją, tačiau nenurodyti konkretūs reikalavimai. Nustatyti tik minimalūs reikalavimai (pvz., nurodoma, ką minimaliai turi stebėti) ir pasirinktinos priemonės, kuriomis galima aptikti neautorizuotas ar nesąžiningas mokėjimo operacijas. EBA-RTS nustatytas reikalavimas turėti priemones, kuriomis būtų galima aptikti neautorizuotas mokėjimo operacijas ir sukčiavimo atvejus. Šios priemonės turi būti grindžiamos mokėjimo operacijų analize, kurią atliekant atsižvelgiama į mokėjimo paslaugų vartotojui būdingus elementus įprastu būdu naudojant personalizuotus saugumo požymius. EBA-RTS nustatyti tik minimalūs rizika grįsti veiksniai, kurie apibrėžtų mokėjimo operacijų stebėjimui reikalingų duomenų kiekį. Taigi MPT patys turi nusistatyti sukčiavimų prevencijai reikalingų tvarkyti duomenų kiekį, atsižvelgdami į pasirinktus rizika grįstus veiksnius.

2012 m. kovo 14 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 260/2012, kuriuo nustatomi kredito pervedimų ir tiesioginio debeto operacijų eurais techniniai ir komerciniai reikalavimai[4] mokėjimo paslaugų teikėjams, 5 straipsnyje nurodyti atliekant mokėjimus privalomi pateikti duomenys. Jei mokėjimo paslaugų vartotojas pateikia tuos duomenis, MPT privalo juos perduoti kitoms šalims, dalyvaujančioms mokėjimo apdorojimo grandinėje, kad šie duomenys pasiektų gavėją. Mokėjimų įstatymo 31 straipsnio 2 dalyje ir 32 straipsnio 2 dalyje taip pat nustatyta, kokie duomenys ir kokiu tikslu gali būti perduodami teikiant mokėjimo iniciavimo (MIP) ir sąskaitos informacijos (SIP) paslaugas. MIP ir SIP teikėjai turi teisę prieiti tik prie tų duomenų, kurie reikalingi atitinkamoms paslaugoms suteikti ir kurie susiję su mokėjimo sąskaita.

Mokėjimų įstatymo 36 straipsnyje nustatytas duomenų, susijusių su sukčiavimo prevencijos tikslu, 13 mėnesių saugojimo terminas ir asmens teisė kreiptis dėl neteisėto lėšų nurašymo.

Laikantis duomenų saugojimo trukmės ribojimo ir taip užtikrinant duomenų subjekto pagrindinių teisių ir interesų apsaugos priemones, kai teikiama SIP, Mokėjimų įstatymo 35 straipsnio 1 dalyje nustatytas reikalavimas mokėjimo paslaugų vartotojo asmens duomenis saugoti 3 metus. Be to, teikdamas MIP teikėjas turi teisę saugoti mokėjimo paslaugų vartotojo asmens duomenis 3 metus, kaip nurodyta Mokėjimų įstatymo 31 straipsnio 5 dalyje.

Duomenų subjektų duomenys dažniausiai saugomi 10 metų po mokėjimo įvykdymo, tačiau šis terminas gali skirtis, priklausomai nuo duomenų valdytojo. Terminas grindžiamas Lietuvos Respublikos civiliniame kodekse apibrėžta bendrąja ieškinio senatimi. Ieškinio senatis – įstatymų nustatytas laikotarpis (terminas), per kurį asmuo gali apginti savo pažeistas teises ar interesus, pareikšdamas ieškinį. Atsižvelgiant į duomenų valdytojų ir jų klientų santykių pobūdį, sutrumpintas ieškinio senaties terminas MPT ir kliento sudaromos finansinių paslaugų sutarties reikalavimams netaikomas, todėl asmens duomenų saugojimo laikotarpis grindžiamas bendruoju ieškinio senaties terminu, kuris laikomas pakankamu laikotarpiu asmeniui kreiptis dėl jo pažeistų teisių ir interesų gynimo. Atitinkamai duomenų valdytojas, užtikrindamas informacijos, susijusios su mokėjimu, išsaugojimą, užsitikrina galimybę, kad galės pateikti pagrįstą atsakymą į klientų pretenzijas ar kitokius kreipimusis, ar bus įvykdyti trečiųjų šalių (pvz., teismo) reikalavimai pateikti informaciją.

Minimali duomenų saugojimo trukmė taip pat reglamentuojama kitais teisės aktais, kurie nėra skirti konkrečiai mokėjimo paslaugų reguliavimui. Pavyzdžiui, vadovaujantis Bendrųjų dokumentų saugojimo terminų rodyklės, patvirtintos Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, kuri nustato valstybės ir savivaldybių institucijų, įstaigų, įmonių, valstybės įgaliotų asmenų dokumentų, sudaromų vykdant vidaus administravimo ir kitas bendrąsias funkcijas, saugojimo terminus[5], 10.15 papunktyje nustatytas ūkinę operaciją ar ūkinį įvykį patvirtinančių apskaitos dokumentų (sąskaitų faktūrų, mokėjimo pavedimų, avanso apyskaitų, kasos pajamų ir išlaidų orderių ir kitų) minimalus dokumentų saugojimo terminas – 10 metų.

 

Techninės priemonės

Techninės priemonės, kuriomis užtikrinama duomenų subjekto pagrindinių teisių ir interesų apsauga, yra orientuotos į operacinės rizikos valdymą ir informacinių sistemų, kuriose saugomi įvairūs duomenys, įskaitant asmens duomenis, apsaugą. Mokėjimų įstatymo 56 straipsnyje nurodyta, kad MPT nustato rizikos mažinimo ir kontrolės priemonių sistemą, pagal kurią valdo operacinę ir saugumo riziką, susijusią su jų teikiamomis mokėjimo paslaugomis. Taip pat MPT priežiūros institucijai kasmet arba dažniau, kaip nustato priežiūros institucija, teikia operacinės ir saugumo rizikos, susijusios su MPT teikiamomis mokėjimo paslaugomis, ir reaguojant į tą riziką įgyvendintų rizikos mažinimo ir kontrolės priemonių tinkamumo atnaujintą ir visapusį vertinimą.

Taip pat Lietuvos banko valdybos 2020 m. lapkričio 26 d. nutarime Nr. 03-174 „Dėl Informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimų aprašo patvirtinimo“[6] nustatytos rizikos valdymo priemonės, kurių privalo imtis nurodyti finansų rinkos dalyviai, siekdami valdyti informacinių ir ryšių technologijų (toliau – IRT) ir saugumo riziką visoje savo veikloje, ir MPT, siekdami valdyti operacinę ir saugumo riziką, laikomą IRT ir saugumo rizika ir susijusią su jų teikiamomis mokėjimo paslaugomis.

Be to, MPT taikomas EBA-RTS, kuriame nustatytos techninių reguliavimo standartų, kuriuose nurodomi griežto klientų autentifikavimo (SCA) reikalavimai, išimtys ir reikalavimai, taikomi saugumo priemonėms, kurias privalu taikyti, kad būtų apsaugotas mokėjimo paslaugų vartotojų duomenų konfidencialumas ir vientisumas.

 

Reikalavimai dėl asmens duomenų tvarkymo

Svarbu užtikrinti, kad MPT, mokėjimo sistemų operatoriai ir kiti subjektai, kurie pasitelkiami teikiant mokėjimo paslaugas arba vykdant mokėjimo operacijas, specialioms kategorijoms priskirtinus asmens duomenis, gautus teikiant mokėjimo paslaugas, tvarkytų pagal BDAR reikalavimus ir užtikrintų esminių duomenų apsaugos principų laikymąsi. Tokia nuostata taip pat nustatoma Mokėjimų įstatymo projekte. Pagrindiniai principai: teisėtumo, sąžiningumo ir skaidrumo principas, tikslo apribojimo principas, duomenų kiekio mažinimo principas, tikslumo principas, saugojimo trukmės apribojimo principas, duomenų naudojimo tik tuo tikslu, kuriuo buvo renkami, principas; vientisumo ir konfidencialumo principas. Žr. daugiau poveikio duomenų apsaugai vertinimo ataskaitos 4 punkte.

________________________