Artikelen bij COM(2023)360 - Kader voor toegang tot financiële gegevens - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)360 - Kader voor toegang tot financiële gegevens. |
|---|---|
| document | COM(2023)360 |
| datum | 28 juni 2023 |
TITEL I
Onderwerp, toepassingsgebied en definities
Artikel 1
Onderwerp
Bij deze verordening worden regels vastgesteld betreffende de toegang tot en het delen en gebruiken van bepaalde categorieën cliëntgegevens in financiële diensten.
Bij deze verordening worden ook regels vastgesteld betreffende de vergunningverlening aan en de werking van aanbieders van financiële-informatiediensten.
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op de volgende categorieën cliëntgegevens betreffende:
a) hypothecaire kredietovereenkomsten, leningen en rekeningen, met uitzondering van betaalrekeningen als omschreven in Richtlijn (EU) 2015/2366 betreffende betalingsdiensten, met inbegrip van gegevens over het saldo, de voorwaarden en de transacties;
b) spaargelden, beleggingen in financiële instrumenten, verzekeringsgebaseerde beleggingsproducten, cryptoactiva, onroerend goed en andere aanverwante financiële activa, alsmede de economische voordelen van deze activa; met inbegrip van gegevens die zijn verzameld met het oog op de uitvoering van een beoordeling van de geschiktheid en adequaatheid overeenkomstig artikel 25 van Richtlijn 2014/65/EU van het Europees Parlement en de Raad32;
c) pensioenrechten in het kader van bedrijfspensioenregelingen, overeenkomstig Richtlijn 2009/138/EG en Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad33;
d) pensioenrechten in verband met de aanbieding van pan-Europese persoonlijke pensioenproducten, overeenkomstig Verordening (EU) 2019/1238;
e) schadeverzekeringsproducten overeenkomstig Richtlijn 2009/138/EG, met uitzondering van ziekte- en zorgverzekeringsproducten; met inbegrip van gegevens die zijn verzameld ten behoeve van een verlangens-en-behoeftentest overeenkomstig artikel 20 van Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad34, en gegevens die zijn verzameld met het oog op een adequaatheids- en geschiktheidsbeoordeling overeenkomstig artikel 30 van Richtlijn (EU) 2016/97;
f) gegevens die deel uitmaken van een kredietwaardigheidsbeoordeling van een onderneming en die worden verzameld in het kader van een procedure voor kredietaanvragen of een verzoek om een kredietrating.
2. Deze verordening is van toepassing op de volgende entiteiten wanneer zij optreden als gegevenshouders of gegevensgebruikers:
a) kredietinstellingen;
b) betalingsinstellingen, met inbegrip van rekeninginformatiedienstaanbieders en betalingsinstellingen die zijn vrijgesteld krachtens Richtlijn (EU) 2015/2366;
c) instellingen voor elektronisch geld, met inbegrip van instellingen voor elektronisch geld die zijn vrijgesteld krachtens Richtlijn 2009/110/EG van het Europees Parlement en de Raad35;
d) beleggingsondernemingen;
e) aanbieders van cryptoactivadiensten;
f) emittenten van asset-referenced tokens;
g) beheerders van alternatieve beleggingsinstellingen;
h) beheermaatschappijen van instellingen voor collectieve belegging in effecten;
i) verzekerings- en herverzekeringsondernemingen;
j) verzekeringstussenpersonen en nevenverzekeringstussenpersonen;
k) instellingen voor bedrijfspensioenvoorziening;
l) ratingbureaus;
m) aanbieders van crowdfundingdiensten;
n) PEPP-aanbieders;
o) aanbieders van financiële-informatiediensten.
3. Deze verordening is niet van toepassing op de entiteiten als bedoeld in artikel 2, lid 3, punten a) tot en met e), van Verordening (EU) 2022/2554.
4. Deze verordening doet geen afbreuk aan de toepassing van andere rechtshandelingen van de Unie betreffende de toegang tot en het delen van cliëntgegevens als bedoeld in lid 1, tenzij daarin bij deze verordening specifiek is voorzien.
Artikel 3
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
1) “consument”: een natuurlijke persoon die handelt voor doeleinden die buiten zijn bedrijfs- of beroepsactiviteit vallen;
2) “cliënt”: een natuurlijke persoon of rechtspersoon die gebruikmaakt van financiële producten en diensten;
3) “cliëntgegevens”: persoonsgegevens en niet-persoonsgebonden gegevens die door een financiële instelling worden verzameld, opgeslagen en anderszins verwerkt in het kader van de gewone bedrijfsuitoefening met cliënten, en die zowel betrekking hebben op door een cliënt verstrekte gegevens als op gegevens die zijn gegenereerd als gevolg van de interactie van de cliënt met de financiële instelling;
4) “bevoegde autoriteit”: de door elke lidstaat overeenkomstig artikel 17 aangewezen autoriteit en, voor financiële instellingen, een van de in artikel 46 van Verordening (EU) 2022/2554 genoemde bevoegde autoriteiten;
5) “gegevenshouder”: een financiële instelling die geen rekeninginformatiedienstaanbieder is en die de in artikel 2, lid 1, genoemde gegevens verzamelt, opslaat en anderszins verwerkt;
6) “gegevensgebruiker”: een van de in artikel 2, lid 2, genoemde entiteiten die, na toestemming van een cliënt, rechtmatige toegang heeft tot de in artikel 2, lid 1, genoemde cliëntgegevens;
7) “aanbieder van financiële-informatiediensten”: een gegevensgebruiker die uit hoofde van artikel 14 toegang heeft tot de in artikel 2, lid 1, genoemde cliëntgegevens voor het verlenen van financiële-informatiediensten;
8) “financiële instelling”: de in artikel 2, lid 2, punten a) tot en met n), genoemde entiteiten die voor de toepassing van deze verordening gegevenshouders, gegevensgebruikers of beide zijn;
9) “beleggingsrekening”: een door een beleggingsonderneming, kredietinstelling of verzekeringsmakelaar beheerd register over het actuele bezit van financiële instrumenten of verzekeringsgebaseerde beleggingsproducten van hun cliënt, met inbegrip van transacties in het verleden en andere gegevenspunten met betrekking tot levenscyclusgebeurtenissen van dat instrument;
10) “niet-persoonsgebonden gegevens”: andere gegevens dan persoonsgegevens als gedefinieerd in artikel 4, lid 1, van Verordening (EU) 2016/679;
11) “persoonsgegevens”: persoonsgegevens als gedefinieerd in artikel 4, lid 1, van Verordening 2016/679;
12) “kredietinstelling”: een kredietinstelling in de zin van artikel 4, lid 1, punt 1, van Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad36;
13) “beleggingsonderneming”: een beleggingsonderneming in de zin van artikel 4, lid 1, punt 1, van Richtlijn 2014/65/EU;
14) “aanbieder van cryptoactivadiensten”: een aanbieder van cryptoactivadiensten in de zin van artikel 3, lid 1, punt 15, van Verordening (EU) 2023/1114 van het Europees Parlement en de Raad37;
15) “emittent van asset-referenced tokens”: een emittent van asset-referenced tokens met een vergunning overeenkomstig artikel 21 van Verordening (EU) 2023/1114;
16) “betalingsinstelling”: een betalingsinstelling in de zin van artikel 4, lid 4, van Richtlijn (EU) 2015/2366;
17) “rekeninginformatiedienstaanbieder”: een aanbieder van rekeninginformatiediensten als bedoeld in artikel 33, lid 1, van Richtlijn (EU) 2015/2366;
18) “instelling voor elektronisch geld”: een instelling voor elektronisch geld als gedefinieerd in artikel 2, lid 1, van Richtlijn 2009/110/EG;
19) “bij Richtlijn 2009/110/EG vrijgestelde instelling voor elektronisch geld”: een instelling voor elektronisch geld waaraan een ontheffing is verleend als bedoeld in artikel 9, lid 1, van Richtlijn 2009/110/EG;
20) “beheerder van alternatieve beleggingsinstellingen”: een beheerder van alternatieve beleggingsinstellingen in de zin van artikel 4, lid 1, punt b), van Richtlijn 2011/61/EU van het Europees Parlement en de Raad38;
21) “beheermaatschappij van instellingen voor collectieve belegging in effecten”: een beheermaatschappij als omschreven in artikel 2, lid 1, punt b), van Richtlijn 2009/65/EG van het Europees Parlement en de Raad39;
22) “verzekeringsonderneming”: een verzekeringsonderneming in de zin van artikel 13, lid 1, van Richtlijn 2009/138/EG;
23) “herverzekeringsonderneming”: een herverzekeringsonderneming in de zin van artikel 13, lid 4, van Richtlijn 2009/138/EG;
24) “verzekeringstussenpersoon”: een verzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 3, van Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad40;
25) “nevenverzekeringstussenpersoon”: een nevenverzekeringstussenpersoon in de zin van artikel 2, lid 1, punt 4, van Richtlijn (EU) 2016/97;
26) “instelling voor bedrijfspensioenvoorziening”: een instelling voor bedrijfspensioenvoorziening in de zin van artikel 6, punt 1, van Richtlijn (EU) 2016/2341;
27) “ratingbureau”: een ratingbureau in de zin van artikel 3, lid 1, punt b), van Verordening (EG) nr. 1060/2009 van het Europees Parlement en de Raad41;
28) “PEPP-aanbieder”: een PEPP-aanbieder zoals gedefinieerd in artikel 2, punt 15, van Verordening (EU) 2019/1238 van het Europees Parlement en de Raad;
29) “wettelijke vertegenwoordiger”: een natuurlijke of rechtspersoon die, voor natuurlijke personen zijn woonplaats heeft in de Unie, of voor rechtspersonen zijn statutaire zetel heeft in de Unie, en die uitdrukkelijk is aangesteld door een in een derde land gevestigde aanbieder van financiële-informatiediensten, namens deze aanbieder van financiële-informatiediensten optreedt jegens autoriteiten, cliënten, organen en tegenpartijen voor de aanbieder van financiële-informatiediensten in de Unie met betrekking tot de verplichtingen van de aanbieder van financiële-informatiediensten uit hoofde van deze verordening.
TITEL II
Toegang tot gegevens
Artikel 4
Verplichting om gegevens beschikbaar te stellen aan de cliënt
De gegevenshouder stelt, op een langs elektronische weg ingediend verzoek van een cliënt, de in artikel 2, lid 1, vermelde gegevens onverwijld, kosteloos, continu en in real time beschikbaar aan de cliënt.
Artikel 5
Verplichtingen voor een gegevenshouder om cliëntgegevens beschikbaar te stellen aan een gegevensgebruiker
1. De gegevenshouder stelt, op een langs elektronische weg ingediend verzoek van een cliënt, de in artikel 2, lid 1, vermelde cliëntgegevens aan de gegevensgebruiker beschikbaar voor de doeleinden waarvoor de cliënt de gegevensgebruiker toestemming heeft verleend. De cliëntgegevens worden onverwijld, continu en in real time aan de gegevensgebruiker beschikbaar gesteld.
2. Een gegevenshouder kan van een gegevensgebruiker alleen een vergoeding eisen voor het beschikbaar stellen van cliëntgegevens overeenkomstig lid 1, indien de cliëntgegevens aan een gegevensgebruiker beschikbaar worden gesteld overeenkomstig de regels en modaliteiten van een regeling voor het delen van financiële gegevens, zoals bepaald in de artikelen 9 en 10, of indien de gegevens beschikbaar worden gesteld overeenkomstig artikel 11.
3. Bij het beschikbaar stellen van gegevens overeenkomstig lid 1 moet de gegevenshouder:
a) cliëntgegevens beschikbaar stellen aan de gegevensgebruiker in een formaat dat gebaseerd is op algemeen erkende normen en ten minste in dezelfde kwaliteit die beschikbaar is voor de gegevenshouder;
b) veilig communiceren met de gegevensgebruiker door te zorgen voor een passend beveiligingsniveau voor de verwerking en doorgifte van cliëntgegevens;
c) gegevensgebruikers verzoeken aan te tonen dat zij van de cliënt toestemming hebben gekregen voor toegang tot de cliëntgegevens waarover de gegevenshouder beschikt;
d) de cliënt een toestemmingsdashboard ter beschikking stellen voor het monitoren en beheren van toestemmingen overeenkomstig artikel 8;
e) de vertrouwelijkheid van bedrijfsgeheimen en intellectuele-eigendomsrechten eerbiedigen wanneer overeenkomstig artikel 5, lid 1, toegang wordt verkregen tot cliëntgegevens.
Artikel 6
Verplichtingen voor een gegevensgebruiker die cliëntgegevens ontvangt
1. Een gegevensgebruiker komt alleen in aanmerking voor toegang tot cliëntgegevens overeenkomstig artikel 5, lid 1, indien die gegevensgebruiker onderworpen is aan de voorafgaande toestemming van een bevoegde autoriteit als financiële instelling of indien deze een aanbieder van financiële-informatiediensten overeenkomstig artikel 14 is.
2. Een gegevensgebruiker heeft alleen toegang tot uit hoofde van artikel 5, lid 1, beschikbaar gestelde cliëntgegevens voor de doeleinden waarvoor en onder de voorwaarden waaronder de cliënt toestemming heeft verleend. Een gegevensgebruiker wist cliëntgegevens wanneer deze niet langer nodig zijn voor de doeleinden waarvoor de cliënt toestemming heeft verleend.
3. Een cliënt kan de door hem aan een gegevensgebruiker verleende toestemming intrekken. Wanneer de verwerking noodzakelijk is voor de uitvoering van een contract, kan een cliënt de toestemming die hij heeft verleend om cliëntgegevens aan een gegevensgebruiker beschikbaar te stellen, intrekken overeenkomstig de contractuele verplichtingen waaraan hij is onderworpen.
4. Om een doeltreffend beheer van cliëntgegevens te waarborgen, moet een gegevensgebruiker:
a) afzien van het verwerken van cliëntgegevens voor andere doeleinden dan het uitvoeren van de uitdrukkelijk door de cliënt gevraagde dienst;
b) de vertrouwelijkheid van bedrijfsgeheimen en intellectuele-eigendomsrechten eerbiedigen wanneer overeenkomstig artikel 5, lid 1, toegang wordt verkregen tot cliëntgegevens;
c) de nodige technische, juridische en organisatorische maatregelen nemen ter voorkoming van doorgifte van of toegang tot niet-persoonsgebonden cliëntgegevens die uit hoofde van het Unierecht of het nationale recht van een lidstaat onwettig is;
d) de nodige maatregelen nemen om een passend niveau van beveiliging te waarborgen voor de opslag, verwerking en doorgifte van niet-persoonsgebonden cliëntgegevens;
e) afzien van het verwerken van cliëntgegevens voor reclamedoeleinden, behalve voor direct marketing overeenkomstig het Unierecht en het nationale recht;
f) wanneer de gegevensgebruiker deel uitmaakt van een groep ondernemingen, mogen de in artikel 2, lid 1, vermelde cliëntgegevens alleen worden geraadpleegd en verwerkt door de entiteit van de groep die als gegevensgebruiker optreedt.
TITEL III
Verantwoord gegevensgebruik en toestemmingsdashboards
Artikel 7
Reikwijdte van gegevensgebruik
1. De verwerking van cliëntgegevens als bedoeld in artikel 2, lid 1, van deze verordening die persoonsgegevens omvatten, is beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
2. Overeenkomstig artikel 16 van Verordening (EU) nr. 1093/2010 ontwikkelt de Europese Bankautoriteit (EBA) richtsnoeren voor de uitvoering van lid 1 van dit artikel voor producten en diensten die verband houden met de kredietscore van de consument.
3. Overeenkomstig artikel 16 van Verordening (EU) nr. 1094/2010 ontwikkelt de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (Eiopa) richtsnoeren voor de uitvoering van lid 1 van dit artikel voor producten en diensten die verband houden met de risicobeoordeling en tarifering met betrekking tot een consument in het geval van levensverzekerings-, zorgverzekerings- en ziektekostenverzekeringsproducten.
4. Bij het opstellen van de in de leden 2 en 3 van dit artikel bedoelde richtsnoeren werken de Eiopa en de EBA nauw samen met het bij Verordening (EU) 2016/679 opgerichte Europees Comité voor gegevensbescherming.
Artikel 8
Toestemmingsdashboards voor toegang tot financiële gegevens
1. Een gegevenshouder stelt de cliënt een toestemmingsdashboard ter beschikking voor het monitoren en beheren van de toestemmingen die een cliënt aan gegevensgebruikers heeft verleend.
2. Een toestemmingsdashboard:
a) geeft de cliënt een overzicht van elke doorlopende toestemming die aan gegevensgebruikers is verleend, met inbegrip van:
i) de naam van de gegevensgebruiker aan wie toegang is verleend;
ii) de cliëntenrekening, het financiële product of de financiële dienst waartoe toegang is verleend;
iii) het doel van de toestemming;
iv) de categorieën gegevens die worden gedeeld;
v) de geldigheidsduur van de toestemming;
b) biedt de cliënt de mogelijkheid een aan een gegevensgebruiker verleende toestemming in te trekken;
c) biedt de cliënt de mogelijkheid een ingetrokken toestemming opnieuw te verlenen;
d) bevat een register van de toestemmingen die zijn ingetrokken of verlopen gedurende een periode van ten hoogste twee jaar.
3. De gegevenshouder zorgt ervoor dat het toestemmingsdashboard gemakkelijk te vinden is in zijn gebruikersinterface en dat de informatie op het dashboard duidelijk, nauwkeurig en voor de cliënt gemakkelijk te begrijpen is.
4. De gegevenshouder en de gegevensgebruiker aan wie een cliënt toestemming heeft verleend, werken samen om via het dashboard in real time informatie beschikbaar te stellen aan de cliënt. Om te voldoen aan de verplichtingen van lid 2, punten a) tot en met d), van dit artikel:
a) stelt de gegevenshouder de gegevensgebruiker in kennis van wijzigingen die een cliënt met betrekking tot die gegevensgebruiker via het dashboard in een toestemming heeft aangebracht;
b) stelt een gegevensgebruiker de gegevenshouder in kennis van een nieuwe toestemming die een cliënt heeft verleend met betrekking tot cliëntgegevens die in het bezit zijn van die gegevenshouder, met inbegrip van:
i) het doel van de door de cliënt verleende toestemming;
ii) de geldigheidsduur van de toestemming;
iii) de betrokken gegevenscategorieën.
TITEL IV
Regelingen voor het delen van financiële gegevens
Artikel 9
Deelname aan een regeling voor het delen van financiële gegevens
1. Binnen de 18 maanden na de inwerkingtreding van deze verordening sluiten gegevenshouders en gegevensgebruikers zich aan bij een regeling voor het delen van financiële gegevens die de toegang tot de cliëntgegevens regelt overeenkomstig artikel 10.
2. Gegevenshouders en gegevensgebruikers kunnen zich aansluiten bij meer dan één regeling voor het delen van financiële gegevens.
Het delen van gegevens geschiedt overeenkomstig de regels en modaliteiten van een regeling voor het delen van financiële gegevens waaraan zowel de gegevensgebruiker als de gegevenshouder deelnemen.
Artikel 10
Governance en inhoud van de regeling voor het delen van financiële gegevens
1. Een regeling voor het delen van financiële gegevens omvat de volgende elementen:
a) aan een regeling voor het delen van financiële gegevens wordt deelgenomen door:
i) gegevenshouders en gegevensgebruikers die een aanzienlijk deel van de markt van het betrokken product of de betrokken dienst vertegenwoordigen, waarbij elke partij een eerlijke en gelijke vertegenwoordiging heeft in de interne besluitvormingsprocessen van de regeling en een gelijk gewicht heeft in alle stemprocedures; wanneer een deelnemer zowel gegevenshouder als gegevensgebruiker is, wordt zijn deelname voor beide partijen in gelijke mate meegeteld;
ii) cliëntenorganisaties en consumentenverenigingen;
b) de regels die van toepassing zijn op de deelnemers aan een regeling voor het delen van financiële gegevens zijn gelijkelijk van toepassing op alle deelnemers en er vindt geen ongerechtvaardigde gunstige of gedifferentieerde behandeling van de deelnemers plaats;
c) de regels voor deelname aan een regeling voor het delen van financiële gegevens zorgen ervoor dat alle gegevenshouders en gegevensgebruikers aan de regeling kunnen deelnemen op basis van objectieve criteria en dat alle deelnemers eerlijk en gelijk worden behandeld;
d) een regeling voor het delen van financiële gegevens legt geen andere controles of aanvullende voorwaarden voor het delen van gegevens op dan die waarin deze verordening of ander toepasselijk Unierecht voorziet;
e) een regeling voor het delen van financiële gegevens omvat een mechanisme waarmee de regels ervan kunnen worden gewijzigd nadat respectievelijk een effectbeoordeling is uitgevoerd en de instemming van de meerderheid van elke gemeenschap van gegevenshouders en gegevensgebruikers is verkregen;
f) een regeling voor het delen van financiële gegevens omvat regels inzake transparantie en, waar nodig, verslaglegging aan de deelnemers;
g) een regeling voor het delen van financiële gegevens omvat de gemeenschappelijke normen voor de gegevens en de technische interfaces om cliënten in staat te stellen te verzoeken om gegevens te delen overeenkomstig artikel 5, lid 1. De gemeenschappelijke normen voor de gegevens en technische interfaces die de deelnemers aan de regeling overeenkomen te gebruiken, kunnen worden ontwikkeld door de deelnemers aan de regeling of door andere partijen of organen;
h) een regeling voor het delen van financiële gegevens voorziet in een model voor het bepalen van de maximale vergoeding die een gegevenshouder in rekening mag brengen voor het beschikbaar stellen van gegevens via een passende technische interface voor het delen van gegevens met gegevensgebruikers overeenkomstig de in punt g) ontwikkelde gemeenschappelijke normen. Het model is gebaseerd op de volgende beginselen:
i) het moet worden beperkt tot een redelijke vergoeding die rechtstreeks verband houdt met het beschikbaar stellen van de gegevens aan de gegevensgebruiker en die kan worden toegeschreven aan het verzoek;
ii) het moet worden gebaseerd op een objectieve, transparante en niet-discriminerende methode die door de deelnemers aan de regeling is overeengekomen;
iii) het moet worden gebaseerd op uitgebreide marktgegevens die bij gegevensgebruikers en gegevenshouders zijn verzameld over elk van de in aanmerking te nemen kostenelementen, die duidelijk zijn vastgesteld overeenkomstig het model;
iv) het moet periodiek worden herzien en gecontroleerd om rekening te houden met de technologische vooruitgang;
v) het moet worden ontworpen om de vergoeding af te stemmen op de laagste niveaus op de markt; en
vi) het moet beperkt blijven tot de verzoeken om cliëntgegevens uit hoofde van artikel 2, lid 1, of in verhouding staan tot de daarbij behorende datasets die binnen het toepassingsgebied van dat artikel vallen in het geval van gecombineerde verzoeken om gegevens.
Wanneer de gebruiker van de gegevens een micro-, kleine of middelgrote onderneming is in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie van 6 mei 200342, mag de overeengekomen vergoeding niet hoger zijn dan de kosten die rechtstreeks verband houden met het beschikbaar stellen van de gegevens aan de gegevensontvanger en die aan het verzoek zijn toe te schrijven;
i) een regeling voor het delen van financiële gegevens bepaalt de contractuele aansprakelijkheid van de deelnemers aan die regeling, ook wanneer de gegevens onjuist of van ontoereikende kwaliteit zijn of wanneer de gegevensbeveiliging is aangetast of de gegevens worden misbruikt. In het geval van persoonsgegevens zijn de aansprakelijkheidsbepalingen van de regeling voor het delen van financiële gegevens in overeenstemming met de bepalingen van Verordening (EU) 2016/679;
j) een regeling voor het delen van financiële gegevens voorziet in een onafhankelijk, onpartijdig, transparant en doeltreffend systeem voor geschillenbeslechting om geschillen tussen deelnemers aan de regeling en deelnameproblemen op te lossen, overeenkomstig de kwaliteitsvereisten van Richtlijn 2013/11/EU van het Europees Parlement en de Raad43.
2. De deelname aan regelingen voor het delen van financiële gegevens blijft te allen tijde openstaan voor nieuwe deelnemers onder dezelfde voorwaarden als voor bestaande deelnemers.
3. Een gegevenshouder deelt de bevoegde autoriteit van de lidstaat van vestiging binnen een maand na toetreding tot een regeling mee aan welke regelingen voor het delen van financiële gegevens hij deelneemt.
4. Een overeenkomstig dit artikel opgezette regeling voor het delen van financiële gegevens wordt aangemeld bij de bevoegde autoriteit van vestiging van de drie belangrijkste gegevenshouders die ten tijde van de invoering van de regeling aan die regeling deelnemen. Indien de drie belangrijkste gegevenshouders in verschillende lidstaten zijn gevestigd, of indien er in de lidstaat van vestiging van de drie belangrijkste gegevenshouders meer dan één bevoegde autoriteit is, wordt de regeling aangemeld bij al deze autoriteiten, die onderling overeenkomen welke autoriteit de in lid 6 bedoelde beoordeling uitvoert.
5. De kennisgeving overeenkomstig lid 4 vindt plaats binnen één maand na het opzetten van de regeling voor het delen van financiële gegevens en omvat de concrete details en kenmerken van de governance van deze regeling overeenkomstig lid 1.
6. Binnen één maand na ontvangst van de kennisgeving overeenkomstig lid 4 beoordeelt de bevoegde autoriteit of de concrete details en kenmerken van de governance van de regeling voor het delen van financiële gegevens in overeenstemming zijn met lid 1. Bij de beoordeling of de regeling voor het delen van financiële gegevens in overeenstemming is met lid 1, kan de bevoegde autoriteit andere bevoegde autoriteiten raadplegen.
Na voltooiing van haar beoordeling stelt de bevoegde autoriteit de EBA in kennis van een aangemelde regeling voor het delen van financiële gegevens die voldoet aan de bepalingen van lid 1. Een regeling die overeenkomstig dit lid bij de EBA is aangemeld, wordt in alle lidstaten erkend met het oog op de toegang tot gegevens overeenkomstig artikel 5, lid 1, en vereist geen verdere kennisgeving in enige andere lidstaat.
Artikel 11
Machtiging voor het vaststellen van een gedelegeerde handeling bij gebreke van een regeling voor het delen van financiële gegevens
Indien er voor een of meer van de in artikel 2, lid 1, genoemde categorieën cliëntgegevens geen regeling voor het delen van financiële gegevens is ontwikkeld en er geen realistisch vooruitzicht is dat een dergelijke regeling binnen een redelijke termijn wordt opgezet, is de Commissie bevoegd om overeenkomstig artikel 30 een gedelegeerde handeling vast te stellen om deze verordening aan te vullen door de volgende modaliteiten te specificeren waaronder een gegevenshouder overeenkomstig artikel 5, lid 1, cliëntgegevens voor die gegevenscategorie beschikbaar moet stellen:
a) gemeenschappelijke normen voor de gegevens en, in voorkomend geval, de technische interfaces om cliënten in staat te stellen te verzoeken om gegevens te delen uit hoofde van artikel 5, lid 1;
b) een model om de maximale vergoeding te bepalen die een gegevenshouder in rekening mag brengen voor het beschikbaar stellen van gegevens;
c) de aansprakelijkheid van de entiteiten die betrokken zijn bij het beschikbaar stellen van de cliëntgegevens.
TITEL V
Criteria voor gegevenstoegang en organisatie
Artikel 12
Vergunningaanvraag van aanbieders van financiële-informatiediensten
1. Een aanbieder van financiële-informatiediensten komt in aanmerking voor toegang tot cliëntgegevens uit hoofde van artikel 5, lid 1, indien hij daarvoor een vergunning heeft gekregen van de bevoegde autoriteit van een lidstaat.
2. Een aanbieder van financiële-informatiediensten dient een vergunningaanvraag in bij de bevoegde autoriteit van de lidstaat van vestiging van zijn statutaire zetel, samen met:
a) een programma van werkzaamheden waarin met name de beoogde vorm van toegang tot gegevens wordt vermeld;
b) een bedrijfsplan met een budgetprognose voor de eerste drie boekjaren waarmee wordt aangetoond dat de aanvrager in staat is gebruik te maken van passende en evenredige systemen, middelen en procedures om op een gezonde basis te opereren;
c) een beschrijving van de governanceregelingen en de mechanismen voor interne controle die de aanvrager heeft ingesteld, waaronder de administratieve en boekhoudkundige procedures en de procedures voor risicobeheer, alsook de regelingen voor het gebruik van ICT-diensten overeenkomstig Verordening (EU) 2022/2554 van het Europees Parlement en de Raad, waaruit blijkt dat die bestuursregelingen, controlemechanismen en procedures evenredig, passend, degelijk en adequaat zijn;
d) een beschrijving van de procedure voor het monitoren en afhandelen van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en voor de follow-up ervan, met inbegrip van een mechanisme voor het melden van incidenten dat rekening houdt met de kennisgevingsverplichtingen die zijn vastgelegd in hoofdstuk III van Verordening (EU) 2022/2554;
e) een beschrijving van de bedrijfscontinuïteitsregelingen, met daarin een duidelijke uiteenzetting van de kritieke bedrijfsactiviteiten, alsmede doeltreffende beleidslijnen en plannen inzake ICT-bedrijfscontinuïteit en respons- en herstelplannen voor ICT en een procedure om de toereikendheid en efficiëntie van deze plannen regelmatig te beproeven en te herzien overeenkomstig Verordening (EU) 2022/2554;
f) een beschrijving van het beveiligingsbeleid, met inbegrip van een gedetailleerde risicoanalyse met betrekking tot zijn bedrijfsactiviteiten en een beschrijving van de maatregelen op het gebied van beveiligingscontrole en risicobeperking die worden genomen om zijn cliënten afdoende te beschermen tegen de vastgestelde risico’s, waaronder fraude;
g) een beschrijving van de organisatiestructuur van de aanvrager en een beschrijving van de uitbestedingsregelingen;
h) de identiteit van de bestuurders en managers van de aanvrager en, waar dienstig, de personen die belast zijn met het beheer van de activiteiten van de aanvrager op het gebied van gegevenstoegang, alsmede het bewijs dat zij als betrouwbaar bekendstaan en over de nodige kennis en ervaring beschikken om toegang tot gegevens te krijgen zoals bepaald in deze verordening;
i) de rechtsvorm en de statuten van de aanvrager;
j) het adres van het hoofdkantoor van de aanvrager;
k) indien van toepassing, de schriftelijke overeenkomst tussen de aanbieder van financiële-informatiediensten en de wettelijke vertegenwoordiger waaruit de aanstelling, de omvang van de aansprakelijkheid en de door de wettelijke vertegenwoordiger overeenkomstig artikel 13 uit te voeren taken blijken.
Voor de toepassing van de eerste alinea, punten c), d) en g), geeft de aanvrager een beschrijving van de regelingen voor accountantscontrole en de organisatorische regelingen die hij heeft getroffen voor het nemen van alle redelijke maatregelen om de belangen van zijn cliënten te beschermen en om de continuïteit en betrouwbaarheid bij het uitvoeren van zijn activiteiten te garanderen.
Bij de in de eerste alinea, punt f), bedoelde maatregelen op het gebied van beveiligingscontrole en risicobeperking wordt aangegeven op welke wijze de aanvrager een hoog niveau van digitale operationele weerbaarheid zal waarborgen overeenkomstig hoofdstuk II van Verordening (EU) 2022/2554, met name in verband met de technische beveiliging en gegevensbescherming, ook wat betreft de software en ICT-systemen die worden gebruikt door de aanvrager of de ondernemingen waaraan de aanvrager zijn activiteiten geheel of gedeeltelijk uitbesteedt.
3. Aanbieders van financiële-informatiediensten beschikken over een beroepsaansprakelijkheidsverzekering voor de gebieden waar zij toegang tot gegevens hebben, of over een andere vergelijkbare garantie, en zorgen ervoor dat zij in staat zijn:
a) hun aansprakelijkheid te dekken die voortvloeit uit niet-toegestane of frauduleuze toegang tot of niet-toegestaan of frauduleus gebruik van gegevens;
b) de waarde van het eigen risico, de franchise of een andere eigen bijdrage in verband met de verzekering of vergelijkbare garantie te dekken;
c) permanent toezicht te houden op de dekking van de verzekering of vergelijkbare garantie.
Als alternatief voor het afsluiten van een beroepsaansprakelijkheidsverzekering of andere vergelijkbare garantie als bedoeld in de eerste alinea, houdt de in de vorige alinea bedoelde onderneming een aanvangskapitaal van 50 000 EUR aan, dat na de start van haar activiteiten als aanbieder van financiële-informatiediensten onmiddellijk kan worden vervangen door een beroepsaansprakelijkheidsverzekering of andere vergelijkbare garantie.
4. De EBA ontwikkelt, na raadpleging van alle relevante belanghebbenden, in samenwerking met de ESMA en de Eiopa ontwerpen van technische reguleringsnormen tot nadere bepaling van:
a) de informatie die aan de bevoegde autoriteit moet worden verstrekt in de aanvraag voor een vergunning voor aanbieders van financiële-informatiediensten, met inbegrip van de in lid 1, punten a) tot en met l), vastgestelde vereisten;
b) een gemeenschappelijke beoordelingsmethode voor het verlenen van een vergunning als aanbieder van financiële-informatiediensten in het kader van deze verordening;
c) wat wordt verstaan onder een vergelijkbare garantie, zoals bedoeld in lid 2, die uitwisselbaar moet zijn met een beroepsaansprakelijkheidsverzekering;
d) de criteria voor de vaststelling van het minimumgeldbedrag van de in lid 2 bedoelde beroepsaansprakelijkheidsverzekering of andere vergelijkbare garantie.
Bij de ontwikkeling van deze technische reguleringsnormen houdt de EBA rekening met de volgende elementen:
a) het risicoprofiel van de onderneming;
b) of de onderneming andere soorten diensten verleent of andere bedrijfsactiviteiten uitoefent;
c) de omvang van de activiteit;
d) de specifieke kenmerken van vergelijkbare garanties en de criteria voor de implementatie ervan.
De EBA dient die in de eerste alinea bedoelde ontwerpen van technische reguleringsnormen uiterlijk [OP please insert the date = 9 months after entry into force of this Regulation] bij de Commissie in.
Aan de Commissie wordt de bevoegdheid toegekend om de in de eerste alinea van dit lid bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van Verordening (EU) nr. 1093/2015.
In overeenstemming met artikel 10 van Verordening (EU) 1093/2010 evalueert en, in voorkomend geval, actualiseert de EBA deze technische reguleringsnormen.
Artikel 13
Wettelijke vertegenwoordigers
1. Aanbieders van financiële-informatiediensten die geen vestiging in de Unie hebben, maar die toegang tot financiële gegevens in de Unie nodig hebben, stellen schriftelijk een rechtspersoon of natuurlijke persoon aan die als hun wettelijke vertegenwoordiger optreedt in een van de lidstaten van waaruit de aanbieder van financiële-informatiediensten voornemens is toegang tot financiële gegevens te krijgen.
2. Aanbieders van financiële-informatiediensten machtigen hun wettelijke vertegenwoordiger om naast of in plaats van de aanbieder van financiële-informatiediensten door de bevoegde autoriteiten te worden geraadpleegd over alle kwesties die nodig zijn voor de ontvangst, naleving en handhaving van deze verordening. Aanbieders van financiële-informatiediensten verlenen hun wettelijke vertegenwoordiger de nodige bevoegdheden en middelen om hem in staat te stellen met de bevoegde autoriteiten samen te werken en de naleving van hun beslissingen te waarborgen.
3. De aangewezen wettelijke vertegenwoordiger kan aansprakelijk worden gesteld voor niet-naleving van verplichtingen uit hoofde van deze verordening, onverminderd de aansprakelijkheid en rechtsvorderingen die tegen de aanbieder van financiële-informatiediensten kunnen worden ingesteld.
4. Aanbieders van financiële-informatiediensten delen de naam, het adres, het e-mailadres en het telefoonnummer van hun wettelijke vertegenwoordiger mee aan de bevoegde autoriteit in de lidstaat waar die wettelijke vertegenwoordiger verblijft of is gevestigd. Zij zorgen ervoor dat die informatie actueel is.
5. De aanwijzing van een wettelijke vertegenwoordiger binnen de Unie krachtens lid 1 vormt geen vestiging in de Unie.
Artikel 14
Verlening en intrekking van de vergunning voor aanbieders van financiële-informatiediensten
1. De bevoegde autoriteit verleent een vergunning indien de gegevens en bewijsstukken die bij de aanvraag gevoegd zijn, voldoen aan de eisen van artikel 11, leden 1 en 2. Alvorens een vergunning te verlenen, kan de bevoegde autoriteit zo nodig andere betrokken overheidsinstanties raadplegen.
2. De bevoegde autoriteit verleent een vergunning aan een aanbieder van financiële-informatiediensten uit een derde land, mits aan alle volgende voorwaarden is voldaan:
a) de aanbieder van financiële-informatiediensten uit een derde land heeft voldaan aan alle voorwaarden van de artikelen 12 en 16;
b) de aanbieder van financiële-informatiediensten uit een derde land heeft een wettelijke vertegenwoordiger aangewezen overeenkomstig artikel 13;
c) indien de aanbieder van financiële-informatiediensten uit een derde land aan toezicht onderworpen is, tracht de bevoegde autoriteit een passende samenwerkingsregeling te treffen met de betrokken bevoegde autoriteit van het derde land waar de aanbieder van financiële-informatiediensten is gevestigd, teneinde een efficiënte uitwisseling van informatie te waarborgen;
d) het derde land waar de aanbieder van financiële-informatiediensten is gevestigd, is niet opgenomen als niet-coöperatief rechtsgebied voor belastingdoeleinden in het kader van het desbetreffende Uniebeleid of als rechtsgebied van een derde land met een hoog risico dat tekortkomingen vertoont overeenkomstig Gedelegeerde Verordening (EU) 2016/1675 van de Commissie44.
3. De bevoegde autoriteit verleent slechts een vergunning indien de aanbieder van financiële-informatiediensten, gelet op de noodzaak van een gezonde en prudente bedrijfsvoering, beschikt over robuuste governanceregelingen voor zijn activiteiten op het gebied van informatiediensten. Daartoe behoort een duidelijke organisatiestructuur met duidelijk omschreven, transparante en samenhangende verantwoordelijkheden, doeltreffende procedures voor het identificeren, beheren, monitoren en rapporteren van de risico’s waaraan de aanbieder blootstaat of kan worden blootgesteld, en adequate internecontrolemechanismen, met inbegrip van deugdelijke administratieve en boekhoudkundige procedures. Die regelingen, procedures en mechanismen zijn breed opgevat en staan in verhouding tot de aard, omvang en complexiteit van de informatiediensten die de aanbieder van financiële-informatiediensten verleent.
4. De bevoegde autoriteit verleent slechts een vergunning indien de wettelijke of bestuursrechtelijke bepalingen die van toepassing zijn op een of meer natuurlijke personen met wie of rechtspersonen waarmee de aanbieder van financiële-informatiediensten nauwe banden heeft, of moeilijkheden bij de handhaving van die wettelijke of bestuursrechtelijke bepalingen, geen belemmering vormen voor de effectieve uitoefening van zijn toezichtstaken.
5. De bevoegde autoriteit verleent slechts een vergunning indien zij ervan overtuigd is dat de uitbestedingsregelingen er niet toe leiden dat de aanbieder van financiële-informatiediensten een brievenbusentiteit wordt of dat deze regelingen niet worden getroffen om de bepalingen van deze verordening te omzeilen.
6. Binnen drie maanden na ontvangst van de aanvraag of, indien de aanvraag onvolledig is, binnen drie maanden na ontvangst van alle voor het nemen van de beslissing benodigde gegevens, deelt de bevoegde autoriteit de aanvrager mee of de vergunning wordt verleend dan wel geweigerd. Wanneer de bevoegde autoriteit een vergunning weigert, omkleedt zij dit met redenen.
7. De bevoegde autoriteit kan een aan een aanbieder van financiële-informatiediensten verleende vergunning alleen intrekken indien de aanbieder:
a) binnen twaalf maanden geen gebruik heeft gemaakt van de vergunning, uitdrukkelijk te kennen geeft geen gebruik van de vergunning te zullen maken of zijn werkzaamheden gedurende een periode van meer dan zes maanden heeft gestaakt;
b) de vergunning heeft verkregen door middel van valse verklaringen of op enige andere onregelmatige wijze;
c) niet langer voldoet aan de voorwaarden voor het verlenen van een vergunning, of de bevoegde autoriteit niet in kennis heeft gesteld van belangrijke ontwikkelingen in dit verband;
d) een risico vormt voor de bescherming van consumenten en de beveiliging van gegevens.
De bevoegde autoriteit omkleedt de intrekking van een vergunning met redenen en deelt deze mee aan de betrokkenen. De bevoegde autoriteit maakt de intrekking van een vergunning openbaar in een geanonimiseerde versie.
Artikel 15
Register
1. De EBA ontwikkelt, exploiteert en voert een elektronisch centraal register dat de volgende informatie bevat:
a) de vergunninghoudende aanbieders van financiële-informatiediensten;
b) de aanbieders van financiële-informatiediensten die kennis hebben gegeven van hun voornemen om toegang te krijgen tot gegevens in een andere lidstaat dan hun lidstaat van herkomst;
c) de regelingen voor het delen van financiële gegevens die zijn overeengekomen tussen gegevenshouders en gegevensgebruikers.
2. Het in lid 1 bedoelde register bevat uitsluitend geanonimiseerde gegevens.
3. Het register is openbaar toegankelijk op de website van de EBA en maakt het mogelijk de vermelde informatie gemakkelijk te doorzoeken en te raadplegen.
4. De EBA neemt in het in lid 1 bedoelde register elke intrekking van een vergunning voor aanbieders van financiële-informatiediensten of beëindiging van een regeling voor het delen van financiële gegevens op.
5. De bevoegde autoriteiten van de lidstaten delen de EBA onverwijld de informatie mee die zij nodig heeft om haar taken uit hoofde van de leden 1 en 3 te vervullen. De bevoegde autoriteiten zijn verantwoordelijk voor de juistheid van de in de leden 1 en 3 omschreven gegevens en voor het actualiseren ervan. Indien dit technisch mogelijk is, geven zij deze gegevens automatisch door aan de EBA.
Artikel 16
Organisatorische vereisten voor aanbieders van financiële-informatiediensten
Een aanbieder van financiële-informatiediensten voldoet aan de volgende organisatorische vereisten:
a) de aanbieder stelt beleidslijnen en procedures vast die toereikend zijn om de naleving van zijn verplichtingen uit hoofde van deze verordening te waarborgen, inclusief de naleving door zijn managers en werknemers;
b) de aanbieder neemt redelijke maatregelen om de continuïteit en regelmatigheid van de uitvoering van zijn activiteiten te waarborgen. Daartoe maakt de aanbieder van financiële-informatiediensten gebruik van passende en evenredige systemen, middelen en procedures om de continuïteit van zijn kritieke activiteiten te garanderen en beschikt hij over noodplannen en een procedure om de toereikendheid en efficiëntie van deze plannen regelmatig te beproeven en te herzien;
c) wanneer de aanbieder een beroep op derden doet voor de uitvoering van taken die van kritiek belang zijn voor een continue en bevredigende dienstverlening aan de cliënten en voor het verrichten van activiteiten op een continue en bevredigende basis, neemt hij redelijke maatregelen om het operationeel risico niet onnodig te vergroten. Uitbesteding van belangrijke operationele taken mag niet wezenlijk afbreuk doen aan de kwaliteit van zijn interne controle en aan het vermogen van de toezichthouder om te controleren of de aanbieder van financiële-informatiediensten alle verplichtingen nakomt;
d) de aanbieder beschikt over goede governance-, administratieve en boekhoudkundige procedures, adequate interne controlemechanismen, effectieve procedures voor risicobeoordeling en -beheer, en effectieve controle- en beveiligingsvoorzieningen voor informatieverwerkingssystemen;
e) zijn directeuren en managers en de personen die belast zijn met het beheer van de activiteiten van de aanbieder van financiële-informatiediensten op het gebied van gegevenstoegang zijn betrouwbaar en beschikken over de nodige kennis, vaardigheden en ervaring, zowel individueel als collectief, om hun taken uit te voeren;
f) de aanbieder zet doeltreffende en transparante procedures op voor een snelle, eerlijke en consistente monitoring, behandeling en follow-up van veiligheidsincidenten en veiligheidsgerelateerde klachten van cliënten en houdt deze procedures in stand, met inbegrip van een rapportagemechanisme dat rekening houdt met de kennisgevingsverplichtingen die zijn vastgelegd in hoofdstuk III van Verordening (EU) 2022/2554.
TITEL VI
Bevoegde autoriteiten en toezichtkader
Artikel 17
Bevoegde autoriteiten
1. De lidstaten wijzen de bevoegde autoriteiten aan die met de vervulling van de in deze verordening vastgestelde functies en taken belast zijn. De lidstaten stellen de Commissie van die bevoegde autoriteiten in kennis.
2. De lidstaten zien erop toe dat de overeenkomstig lid 1 aangewezen bevoegde autoriteiten alle bevoegdheden bezitten die nodig zijn voor de vervulling van hun taken.
De lidstaten zorgen ervoor dat die bevoegde autoriteiten over de nodige middelen beschikken, met name in de vorm van specifiek personeel, om hun taken te vervullen overeenkomstig de verplichtingen uit hoofde van deze verordening.
3. Lidstaten die binnen hun rechtsgebied meer dan één bevoegde autoriteit voor de onder deze verordening vallende aangelegenheden hebben aangewezen, zorgen ervoor dat die autoriteiten nauw samenwerken, zodat zij hun respectieve taken op effectieve wijze kunnen verrichten.
4. Voor financiële instellingen wordt de naleving van deze verordening gewaarborgd door de in artikel 46 van Verordening (EU) 2022/2554 genoemde bevoegde autoriteiten overeenkomstig de bevoegdheden die zijn verleend bij de respectieve in dat artikel genoemde rechtshandelingen en bij deze verordening.
Artikel 18
Bevoegdheden van bevoegde autoriteiten
1. Aan de bevoegde autoriteiten worden alle onderzoeksbevoegdheden verleend die nodig zijn voor de vervulling van hun taken. Daaronder zijn de volgende bevoegdheden begrepen:
a) de bevoegdheid om van natuurlijke of rechtspersonen alle informatie te verlangen die noodzakelijk is met het oog op de uitvoering van de aan de bevoegde autoriteiten opgedragen taken, waaronder de informatie die op gezette tijden en volgens vastgestelde formats voor toezichtdoeleinden en de daarmee verband houdende statistische doeleinden moet worden verstrekt;
b) de bevoegdheid om alle noodzakelijke onderzoeken te verrichten naar de in punt a) bedoelde personen die gevestigd zijn of zich bevinden in de betrokken lidstaat, voor zover noodzakelijk met het oog op de uitvoering van de aan de bevoegde autoriteiten opgedragen taken, inclusief de bevoegdheid om:
i) de overlegging van documenten te verlangen;
ii) de gegevens in welke vorm dan ook, met inbegrip van de boeken en bescheiden van de in punt a) bedoelde personen, te onderzoeken en kopieën of uittreksels van deze documenten te maken;
iii) een schriftelijke of mondelinge toelichting te krijgen van de in punt a) bedoelde personen of hun vertegenwoordigers of personeelsleden, en in voorkomend geval, deze personen op te roepen en te ondervragen om informatie te verkrijgen;
iv) andere natuurlijke personen te horen die daarin toestemmen, om informatie betreffende het onderwerp van een onderzoek te verzamelen;
v) behoudens andere in het Unierecht of het nationale recht gestelde voorwaarden, de nodige inspecties te verrichten in de gebouwen van de rechtspersonen en op andere locaties dan de in punt a) bedoelde woningen van natuurlijke personen, alsook van andere rechtspersonen die onder het geconsolideerd toezicht vallen en waarvoor een bevoegde autoriteit de consoliderende toezichthouder is, behoudens voorafgaande kennisgeving aan de betrokken bevoegde autoriteiten;
vi) overeenkomstig het nationale recht de lokalen van natuurlijke personen en rechtspersonen te betreden om documenten en andere gegevens, ongeacht hun vorm, in beslag te nemen wanneer er een redelijk vermoeden bestaat dat documenten of andere gegevens die op het voorwerp van de inspectie of het onderzoek betrekking hebben, nodig en relevant kunnen zijn als bewijsmateriaal voor een geval van een inbreuk op bepalingen van deze verordening;
vii) voor zover dat door het nationale recht is toegestaan, bestaande overzichten van dataverkeer te verlangen waarover een telecommunicatiebedrijf beschikt, indien er een redelijk vermoeden van een inbreuk bestaat en indien dergelijke overzichten relevant kunnen zijn voor het onderzoek naar een inbreuk op deze verordening;
viii) te vragen om bevriezing van en/of beslaglegging op activa;
ix) strafrechtelijke onderzoeken in te leiden;
c) bij gebrek aan andere beschikbare middelen om een inbreuk op deze verordening te beëindigen of te voorkomen en om het risico van ernstige schade aan de belangen van consumenten te vermijden, hebben de bevoegde autoriteiten het recht een van de volgende maatregelen te nemen, onder meer door een derde of een andere overheidsinstantie te verzoeken deze uit te voeren:
i) inhoud te verwijderen van of de toegang te beperken tot een online-interface of opdracht te geven een expliciete waarschuwing aan cliënten te tonen wanneer die zich toegang tot een online-interface verschaffen;
ii) een aanbieder van hostingdiensten te gelasten de toegang tot een online-interface te deactiveren, te blokkeren of te beperken;
iii) domeinregisters of registrerende instanties te gelasten een volledig gekwalificeerde domeinnaam te schrappen en deze schrapping door de betrokken bevoegde instantie te laten registreren.
De uitvoering van dit lid en de uitoefening van de daarin opgenomen bevoegdheden staan in verhouding tot en zijn in overeenstemming met het Unierecht en het nationale recht, met inbegrip van de geldende procedurele waarborgen en de beginselen van het Handvest van de grondrechten van de Europese Unie. De krachtens deze verordening vastgestelde onderzoeks- en handhavingsmaatregelen zijn afgestemd op de aard en de algehele werkelijke of potentiële schadelijke gevolgen van de inbreuk.
2. De bevoegde autoriteiten oefenen hun bevoegdheid tot het onderzoeken van mogelijke inbreuken op deze verordening en het opleggen van bestuursrechtelijke sancties en andere in deze verordening vervatte bestuursrechtelijke maatregelen uit op een van de volgende wijzen:
a) rechtstreeks;
b) in samenwerking met andere autoriteiten;
c) door bevoegdheden te delegeren aan andere autoriteiten of organen;
d) door een beroep te doen op de bevoegde rechterlijke instanties van een lidstaat.
Wanneer de bevoegde autoriteiten hun bevoegdheden uitoefenen door delegatie aan andere autoriteiten of organen overeenkomstig punt c), worden in de bevoegdheidsdelegatie de gedelegeerde taken gespecificeerd, alsook de voorwaarden waaronder deze moeten worden uitgevoerd en de voorwaarden waaronder de gedelegeerde bevoegdheden kunnen worden ingetrokken. De autoriteiten of organen waaraan de bevoegdheden worden gedelegeerd, worden zodanig georganiseerd dat belangenconflicten worden vermeden. De bevoegde autoriteiten houden toezicht op de werkzaamheden van de autoriteiten of organen waaraan de bevoegdheden worden gedelegeerd.
3. Bij de uitoefening van hun onderzoeks- en sanctiebevoegdheden, ook in grensoverschrijdende zaken, werken de bevoegde autoriteiten doeltreffend samen met elkaar en met de autoriteiten van alle betrokken sectoren, voor zover van toepassing op elke zaak en in overeenstemming met het nationale recht en het Unierecht, om de uitwisseling van informatie en de wederzijdse bijstand te waarborgen die nodig is voor de doeltreffende handhaving van bestuursrechtelijke sancties en bestuursrechtelijke maatregelen.
Artikel 19
Schikkingsovereenkomsten en versnelde tenuitvoerleggingsprocedures
1. Onverminderd artikel 20 kunnen de lidstaten regels vaststellen op grond waarvan hun bevoegde autoriteiten een onderzoek naar een vermeende inbreuk op deze verordening kunnen afsluiten naar aanleiding van een schikkingsovereenkomst om een einde te maken aan de vermeende inbreuk en de gevolgen ervan voordat een formele sanctieprocedure wordt ingeleid.
2. De lidstaten kunnen regels vaststellen op grond waarvan hun bevoegde autoriteiten een onderzoek naar een vastgestelde inbreuk kunnen afsluiten door middel van een versnelde tenuitvoerleggingsprocedure met het oog op een snelle goedkeuring van een besluit tot oplegging van een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel.
De bevoegdheid van de bevoegde autoriteiten om versnelde tenuitvoerleggingsprocedures af te handelen of in te leiden, laat de verplichtingen van de lidstaten uit hoofde van artikel 20 onverlet.
3. Wanneer de lidstaten de in lid 1 bedoelde regels vaststellen, stellen zij de Commissie in kennis van de toepasselijke wettelijke en bestuursrechtelijke bepalingen die de uitoefening van de in dat lid bedoelde bevoegdheden regelen, en delen zij haar alle latere wijzigingen van die regels mede.
Artikel 20
bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen
1. Onverminderd de in artikel 18 vermelde toezichthoudende en onderzoeksbevoegdheden van de bevoegde autoriteiten zorgen de lidstaten er overeenkomstig het nationale recht voor dat de bevoegde autoriteiten de bevoegdheid krijgen om passende bestuursrechtelijke sancties op te leggen en andere bestuursrechtelijke maatregelen te treffen met betrekking tot de volgende inbreuken:
a) inbreuken op de artikelen 4, 5 en 6;
b) inbreuken op de artikelen 7 en 8;
c) inbreuken op de artikelen 9 en 10;
d) inbreuken op de artikelen 13 en 16;
e) inbreuken op artikel 28.
2. De lidstaten kunnen besluiten geen regels vast te stellen voor bestuursrechtelijke sancties en bestuursrechtelijke maatregelen die van toepassing zijn op inbreuken op deze verordening waarop sancties staan krachtens het nationale strafrecht. In dat geval stellen de lidstaten de Commissie in kennis van de toepasselijke strafrechtelijke bepalingen en alle latere wijzigingen daarvan.
3. De lidstaten zorgen er overeenkomstig het nationale recht voor dat de bevoegde autoriteiten met betrekking tot de in lid 1 bedoelde inbreuken de bevoegdheid hebben om de volgende bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen op te leggen:
a) een publieke verklaring waarin de voor de inbreuk verantwoordelijke natuurlijke of rechtspersoon en de aard van de inbreuk worden genoemd;
b) een bevel waarin de voor de inbreuk verantwoordelijke natuurlijke of rechtspersoon wordt gelast de inbreukmakende gedraging te staken en niet te herhalen;
c) een besluit strekkende tot terugbetaling van de door de inbreuk behaalde winsten of vermeden verliezen, voor zover die kunnen worden vastgesteld;
d) een tijdelijke schorsing van de vergunning van de aanbieder van financiële-informatiediensten;
e) een maximale bestuursrechtelijke geldboete van ten minste tweemaal het bedrag van de door de inbreuk behaalde winsten of vermeden verliezen, voor zover die kunnen worden vastgesteld, zelfs indien een dergelijke boete hoger is dan de in dit lid, punt f), voor natuurlijke personen, of in lid 4, voor rechtspersonen, vermelde maximumbedragen;
f) in het geval van een natuurlijke persoon, maximale bestuursrechtelijke geldboeten tot 25 000 EUR per inbreuk en tot een totaal van 250 000 EUR per jaar of, in de lidstaten die de euro niet als officiële valuta hebben, het overeenkomstige bedrag in de officiële valuta van die lidstaat op … [OP please insert the date of entry into force of this Regulation];
g) een tijdelijk verbod voor leden van het leidinggevende orgaan van de aanbieder van financiële-informatiediensten of voor andere natuurlijke personen die voor de inbreuk aansprakelijk worden gehouden, om leidinggevende functies bij aanbieders van financiële-informatiediensten uit te oefenen;
h) in het geval van een herhaalde inbreuk op de in lid 1 bedoelde artikelen, een verbod van ten minste tien jaar voor leden van het leidinggevende orgaan van de aanbieder van financiële-informatiediensten of voor andere natuurlijke personen die voor de inbreuk aansprakelijk worden gehouden, om leidinggevende functies bij een aanbieder van financiële-informatiediensten uit te oefenen.
4. De lidstaten zorgen er overeenkomstig het nationale recht voor dat de bevoegde autoriteiten met betrekking tot door rechtspersonen gepleegde inbreuken als bedoeld in lid 1 de bevoegdheid hebben om maximale bestuursrechtelijke geldboeten op te leggen van:
a) maximaal 50 000 EUR per inbreuk en tot een totaal van 500 000 EUR per jaar, of, in de lidstaten die de euro niet als officiële valuta hebben, het overeenkomstige bedrag in de officiële valuta van die lidstaat op … [OP please insert the date of entry into force of this Regulation];
b) 2 % van de totale jaaromzet van de rechtspersoon volgens de recentste, door het leidinggevende orgaan goedgekeurde jaarrekening.
Indien de in de eerste alinea bedoelde rechtspersoon een moederonderneming is, of een dochteronderneming van een moederonderneming die overeenkomstig artikel 22 van Richtlijn 2013/34/EU van het Europees Parlement en de Raad45 een geconsolideerde jaarrekening moet opstellen, is de toepasselijke totale jaaromzet gelijk aan de netto-omzet of de opbrengsten die overeenkomstig de toepasselijke standaarden voor jaarrekeningen moeten worden bepaald op basis van de geconsolideerde jaarrekening van de uiteindelijke moederonderneming die beschikbaar is voor de recentste balansdatum, waarvoor de leden van het bestuurlijk, beleidsbepalend en toezichthoudend orgaan van de uiteindelijke onderneming verantwoordelijk zijn.
5. De lidstaten kunnen de bevoegde autoriteiten machtigen om naast de in de leden 3 en 4 bedoelde sancties en maatregelen andere soorten bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen op te leggen, en kunnen voorzien in hogere bedragen aan bestuursrechtelijke geldboeten dan die welke in die leden zijn vastgesteld.
De lidstaten stellen de Commissie in kennis van de hoogte van deze hogere sancties en van eventuele latere wijzigingen daarvan.
Artikel 21
Dwangsommen
1. De bevoegde autoriteiten hebben het recht om dwangsommen op te leggen aan rechtspersonen of natuurlijke personen wegens de aanhoudende niet-naleving van een besluit, bevel, voorlopige maatregel, verzoek, verplichting of andere op grond van deze verordening vastgestelde bestuursrechtelijke maatregel.
Een dwangsom als bedoeld in de eerste alinea is doeltreffend en evenredig en bestaat uit een dagelijks bedrag dat moet worden betaald totdat de naleving is hersteld. Dwangsommen worden opgelegd voor een periode van ten hoogste zes maanden te rekenen vanaf de datum die is vermeld in het besluit tot oplegging van de dwangsommen.
De bevoegde autoriteiten hebben het recht de volgende dwangsommen op te leggen, die kunnen worden aangepast naargelang de ernst van de inbreuk en de behoeften van de sector:
a) 3 % van de gemiddelde dagomzet in het geval van een rechtspersoon;
b) 30 000 EUR in het geval van een natuurlijke persoon.
2. De in lid 1, derde alinea, punt a), bedoelde gemiddelde dagomzet is gelijk aan de totale jaaromzet, gedeeld door 365.
3. De lidstaten kunnen voorzien in hogere dwangsommen dan die welke in lid 1, derde alinea, zijn vastgesteld.
Artikel 22
Omstandigheden waarmee rekening moet worden gehouden bij de vaststelling van bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen
1. Bij het bepalen van de soort en de hoogte van bestuursrechtelijke sancties of andere bestuursrechtelijke maatregelen houden de bevoegde autoriteiten rekening met alle relevante omstandigheden om ervoor te zorgen dat die sancties of maatregelen doeltreffend en evenredig zijn. Deze omstandigheden omvatten, in voorkomend geval:
a) de ernst en de duur van de inbreuk;
b) de mate van aansprakelijkheid van de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon;
c) de financiële draagkracht van de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon, zoals deze onder meer blijkt uit de totale jaaromzet van de rechtspersoon of het jaarinkomen van de natuurlijke persoon aansprakelijk voor de inbreuk;
d) de omvang van de winsten of verliezen die door de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon zijn behaald, respectievelijk vermeden, indien deze winsten of verliezen kunnen worden bepaald;
e) de verliezen voor derden ten gevolge van de inbreuk, indien deze verliezen kunnen worden bepaald;
f) het nadeel dat voor de rechtspersoon of natuurlijke persoon die voor de inbreuk aansprakelijk is, voortvloeit uit de cumulatie van strafrechtelijke en bestuursrechtelijke vervolgingsmaatregelen en sancties voor dezelfde gedraging;
g) de gevolgen van de inbreuk voor de belangen van de cliënten;
h) daadwerkelijke of mogelijke negatieve gevolgen van de inbreuk voor het systeem;
i) de medeplichtigheid of georganiseerde deelname van meer dan één rechtspersoon of natuurlijke persoon aan de inbreuk;
j) eerdere inbreuken die zijn gepleegd door de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon;
k) de mate waarin de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon met de bevoegde autoriteit meewerkt;
l) corrigerende maatregelen of maatregelen die door de voor de inbreuk aansprakelijke rechtspersoon of natuurlijke persoon worden genomen om herhaling ervan te voorkomen.
2. De bevoegde autoriteiten die gebruikmaken van schikkingsovereenkomsten of versnelde tenuitvoerleggingsprocedures overeenkomstig artikel 19, passen de toepasselijke bestuursrechtelijke sancties en andere bestuursrechtelijke maatregelen van artikel 20 aan de betrokken zaak aan om de evenredigheid ervan te waarborgen, met name door rekening te houden met de in lid 1 vermelde omstandigheden.
Artikel 23
Beroepsgeheim
1. Alle personen die voor de bevoegde autoriteiten werkzaam zijn of zijn geweest, alsmede de deskundigen die namens de bevoegde autoriteiten handelen, zijn gebonden aan het beroepsgeheim.
2. De overeenkomstig artikel 26 uitgewisselde informatie valt onder het beroepsgeheim van zowel de delende als de ontvangende autoriteit om de bescherming van individuele en zakelijke rechten te waarborgen.
Artikel 24
Recht van beroep
1. Tegen beslissingen van de bevoegde autoriteiten uit hoofde van deze verordening kan beroep worden ingesteld bij de rechter.
2. Lid 1 is ook van toepassing in geval van nalatigheid.
Artikel 25
Bekendmaking van beslissingen van bevoegde autoriteiten
1. De bevoegde autoriteiten maken op hun website alle besluiten tot oplegging van een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel aan rechtspersonen en natuurlijke personen wegens inbreuken op deze verordening bekend, en, indien van toepassing, alle schikkingsovereenkomsten. De bekendmaking omvat een korte beschrijving van de inbreuk, de opgelegde bestuursrechtelijke sanctie of andere bestuursrechtelijke maatregel of, in voorkomend geval, een verklaring over de schikkingsovereenkomst. De identiteit van de natuurlijke persoon op wie het besluit tot oplegging van een bestuursrechtelijke sanctie of bestuursrechtelijke maatregel van toepassing is, wordt niet bekendgemaakt.
De bevoegde autoriteiten maken het besluit en de verklaring als bedoeld in lid 1 bekend onmiddellijk nadat de rechtspersoon waarop of de natuurlijke persoon op wie het besluit van toepassing is, van dat besluit in kennis is gesteld of de schikkingsovereenkomst is ondertekend.
2. In afwijking van lid 1 kan de nationale bevoegde autoriteit, indien de bekendmaking van de identiteit of andere persoonsgegevens van de natuurlijke persoon door de nationale bevoegde autoriteit noodzakelijk wordt geacht om de stabiliteit van de financiële markten te beschermen of om de doeltreffende handhaving van deze verordening te waarborgen, onder meer in het geval van publieke verklaringen als bedoeld in artikel 20, lid 3, punt a), of tijdelijke verboden als bedoeld in artikel 20, lid 3, punt g), ook de identiteit van de personen of de persoonsgegevens bekendmaken, mits zij een dergelijke beslissing rechtvaardigt en de bekendmaking beperkt blijft tot de persoonsgegevens die strikt noodzakelijk zijn om de stabiliteit van de financiële markten te beschermen of om de doeltreffende handhaving van deze verordening te waarborgen.
3. Wanneer tegen het besluit tot oplegging van een bestuursrechtelijke sanctie of andere bestuursrechtelijke maatregel beroep kan worden aangetekend bij de betrokken rechterlijke of andere instantie, maken de bevoegde autoriteiten op hun officiële website ook onverwijld informatie over het beroep en alle verdere informatie over de uitkomst van dit beroep bekend, voor zover het besluit betrekking heeft op rechtspersonen. Indien het bestreden besluit betrekking heeft op natuurlijke personen en de in lid 2 vermelde afwijking niet wordt toegepast, maken de bevoegde autoriteiten de informatie over het beroep alleen in een geanonimiseerde versie bekend.
4. De bevoegde autoriteiten zorgen ervoor dat elke bekendmaking overeenkomstig dit artikel gedurende ten minste vijf jaar op hun officiële website blijft staan. De in de bekendmaking opgenomen persoonsgegevens worden alleen op de officiële website van de bevoegde autoriteit bewaard indien uit een jaarlijkse evaluatie blijkt dat bekendmaking van die gegevens nodig blijft om de stabiliteit van de financiële markten te beschermen of om de doeltreffende handhaving van deze verordening te waarborgen, en in elk geval niet langer dan vijf jaar.
Artikel 26
Samenwerking en uitwisseling van gegevens tussen bevoegde autoriteiten
1. De bevoegde autoriteiten werken bij de uitvoering van hun taken samen met elkaar en met andere betrokken bevoegde autoriteiten die zijn aangewezen krachtens het Unierecht of het nationale recht dat voor de doeleinden van deze verordening van toepassing is op financiële instellingen.
2. De uitwisseling van gegevens tussen bevoegde autoriteiten en de bevoegde autoriteiten van andere lidstaten die verantwoordelijk zijn voor de vergunningverlening aan en het toezicht op aanbieders van financiële-informatiediensten is toegestaan voor de uitvoering van hun taken uit hoofde van deze verordening.
3. Bevoegde autoriteiten die uit hoofde van deze verordening gegevens uitwisselen met andere bevoegde autoriteiten, kunnen bij de mededeling van de gegevens aangeven dat deze alleen mogen worden doorgegeven met hun uitdrukkelijke instemming, en in dat geval mogen die gegevens uitsluitend worden uitgewisseld voor de doeleinden waarmee die autoriteiten hebben ingestemd.
4. De bevoegde autoriteit geeft door andere bevoegde autoriteiten gedeelde gegevens alleen aan andere instanties of natuurlijke of rechtspersonen door met de uitdrukkelijke toestemming van de bevoegde autoriteiten die deze gegevens hebben verstrekt en uitsluitend voor de doeleinden waarmee die autoriteiten hebben ingestemd, behalve in naar behoren gemotiveerde omstandigheden. In dit laatste geval verwittigt het contactpunt terstond het contactpunt dat de gegevens heeft toegezonden.
5. Wanneer de verplichtingen uit hoofde van deze verordening betrekking hebben op de verwerking van persoonsgegevens, werken de bevoegde autoriteiten samen met de krachtens Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.
Artikel 27
Schikking van meningsverschillen tussen bevoegde autoriteiten
1. Een bevoegde autoriteit van een lidstaat die van oordeel is dat in een specifiek geval de grensoverschrijdende samenwerking met de bevoegde autoriteiten van een andere lidstaat als bedoeld in de artikelen 28 of 29 van deze verordening niet in overeenstemming is met die bepalingen, kan het geval verwijzen naar de EBA en de EBA om bijstand verzoeken overeenkomstig artikel 19 van Verordening (EU) nr. 1093/2010.
2. Wanneer de EBA om bijstand krachtens lid 1 is verzocht, neemt zij zo spoedig mogelijk een besluit uit hoofde van artikel 19, lid 3, van Verordening (EU) nr. 1093/2010. De EBA kan ook op eigen initiatief de bevoegde autoriteiten bijstaan bij het bereiken van overeenstemming overeenkomstig artikel 19, lid 1, tweede alinea, van die verordening. In ieder geval schorten de betrokken bevoegde autoriteiten hun beslissingen op in afwachting van een oplossing van het meningsverschil overeenkomstig artikel 19 van Verordening (EU) nr. 1093/2010.
TITEL VII
Grensoverschrijdende toegang tot gegevens
Artikel 28
Grensoverschrijdende toegang tot gegevens door aanbieders van financiële-informatiediensten
1. Aanbieders van financiële-informatiediensten en financiële instellingen krijgen toegang tot de in artikel 2, lid 1, vermelde gegevens van cliënten in de Unie die in het bezit zijn van in de Unie gevestigde gegevenshouders, uit hoofde van de vrijheid van dienstverrichting of de vrijheid van vestiging.
2. Een aanbieder van financiële-informatiediensten die voor het eerst toegang tot de in artikel 2, lid 1, van deze verordening vermelde gegevens wil krijgen in een andere lidstaat dan zijn lidstaat van herkomst, op grond van het recht van vestiging of de vrijheid van dienstverrichting, deelt de bevoegde autoriteiten van zijn lidstaat van herkomst de volgende gegevens mee:
a) de naam, het adres en, waar van toepassing, het vergunningsnummer van de aanbieder van financiële-informatiediensten;
b) de lidstaat of lidstaten waar de aanbieder voornemens is toegang te krijgen tot de in artikel 2, lid 1, vermelde gegevens;
c) het soort gegevens waartoe de aanbieder toegang wenst te krijgen;
d) de regelingen voor het delen van financiële gegevens waaraan de aanbieder deelneemt.
Wanneer de aanbieder van financiële-informatiediensten voornemens is operationele taken in het kader van de gegevenstoegang uit te besteden aan andere entiteiten in de lidstaat van ontvangst, stelt hij de bevoegde autoriteiten in zijn lidstaat van herkomst daarvan in kennis.
3. Binnen een maand na ontvangst van alle in lid 1 bedoelde gegevens zenden de bevoegde autoriteiten van de lidstaat van herkomst deze toe aan de bevoegde autoriteiten van de lidstaat van ontvangst.
4. De aanbieder van financiële-informatiediensten stelt de bevoegde autoriteiten van de lidstaat van herkomst onverwijld in kennis van elke relevante wijziging van de overeenkomstig lid 1 meegedeelde gegevens, waaronder een uitbreiding van het aantal entiteiten waaraan werkzaamheden worden uitbesteed in de lidstaten van ontvangst waar hij actief is. De in de leden 2 en 3 bedoelde procedure is van toepassing.
Artikel 29
Redenen en communicatie
Elke overeenkomstig artikel 18 of artikel 28 door de bevoegde autoriteiten getroffen maatregel die sancties of een beperking van de uitoefening van het recht tot het vrij verrichten van diensten of de vrijheid van vestiging inhoudt, wordt naar behoren verantwoord en aan de betrokken aanbieder van financiële-informatiediensten meegedeeld.
TITEL VIII
Slotbepalingen
Artikel 30
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De bevoegdheid om de in artikel 11 bedoelde gedelegeerde handeling vast te stellen, wordt aan de Commissie toegekend voor een termijn van XX maanden te rekenen vanaf … [OP please insert: date of entry into force of this Regulation]. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van XX maanden een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.
3. De in artikel 11 bedoelde bevoegdheidsdelegatie kan te allen tijde door het Europees Parlement of de Raad worden ingetrokken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.
5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
6. Een overeenkomstig artikel 11 vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van die handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Deze termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.
Artikel 31
Evaluatie van deze verordening en verslag over de toegang tot financiële gegevens
1. Uiterlijk op [OP please insert the date = 4 years after the date of entry into application of this Regulation] voert de Commissie een evaluatie van deze verordening uit en brengt zij over de belangrijkste bevindingen verslag uit aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité. In het kader van deze evaluatie wordt met name het volgende beoordeeld:
a) andere categorieën of soorten gegevens die toegankelijk moeten worden gemaakt;
b) de uitsluiting van bepaalde categorieën gegevens en entiteiten van het toepassingsgebied;
c) veranderingen in de contractuele praktijken van gegevenshouders en gegevensgebruikers en de werking van regelingen voor het delen van financiële gegevens;
d) uitbreiding met andere soorten entiteiten van de entiteiten waaraan het recht van toegang tot gegevens is verleend;
e) het effect van een vergoeding op het vermogen van gegevensgebruikers om deel te nemen aan regelingen voor het delen van financiële gegevens en toegang te krijgen tot gegevens van gegevenshouders.
2. Uiterlijk op [OP please insert the date = 4 years after the date of entry into force of this Regulation] dient de Commissie bij het Europees Parlement en de Raad een verslag in met een beoordeling van de voorwaarden voor toegang tot financiële gegevens die van toepassing zijn op rekeninginformatiedienstaanbieders uit hoofde van deze verordening en Richtlijn (EU) 2015/2366. Het verslag gaat, in voorkomend geval, vergezeld van een wetgevingsvoorstel.
Artikel 32
Wijziging van Verordening (EU) nr. 1093/2010
In artikel 1, lid 2, van Verordening (EU) nr. 1093/2010 wordt de eerste alinea vervangen door:
“De Autoriteit handelt overeenkomstig de haar bij deze verordening toegekende bevoegdheden en binnen het toepassingsgebied van Richtlijn 2002/87/EG, Richtlijn 2008/48/EG*, Richtlijn 2009/110/EG, Verordening (EU) nr. 575/2013**, Richtlijn 2013/36/EU***, Richtlijn 2014/49/EU****, Richtlijn 2014/92/EU*****, Richtlijn (EU) 2015/2366******, Verordening (EU) 2023/1114 (*******), Verordening (EU) 2024/…/EU (********) van het Europees Parlement en de Raad en, voor zover die handelingen van toepassing zijn op kredietinstellingen en financiële instellingen en de daarop toezicht houdende bevoegde autoriteiten, van de relevante onderdelen van Richtlijn 2002/65/EG, met inbegrip van alle op die handelingen gebaseerde richtlijnen, verordeningen en besluiten en alle andere juridisch bindende Uniehandelingen waarmee taken aan de Autoriteit worden opgedragen. De Autoriteit handelt tevens in overeenstemming met Verordening (EU) nr. 1024/2013 van de Raad*********.
* Richtlijn 2008/48/EG van het Europees Parlement en de Raad van 23 april 2008 inzake kredietovereenkomsten voor consumenten en tot intrekking van Richtlijn 87/102/EEG van de Raad (PB L 133 van 22.5.2008, blz. 66).
** Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van Verordening (EU) nr. 648/2012 (PB L 176 van 27.6.2013, blz. 1).
*** Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen en beleggingsondernemingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338).
**** Richtlijn 2014/49/EU van het Europees Parlement en de Raad van 16 april 2014 inzake de depositogarantiestelsels (PB L 173 van 12.6.2014, blz. 149).
***** Richtlijn 2014/92/EU van het Europees Parlement en de Raad van 23 juli 2014 betreffende de vergelijkbaarheid van de in verband met betaalrekeningen aangerekende vergoedingen, het overstappen naar een andere betaalrekening en de toegang tot betaalrekeningen met basisfuncties (PB L 257 van 28.8.2014, blz. 214).
****** Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad van 25 november 2015 betreffende betalingsdiensten in de interne markt, houdende wijziging van de Richtlijnen 2002/65/EG, 2009/110/EG en 2013/36/EU en Verordening (EU) nr. 1093/2010 en houdende intrekking van Richtlijn 2007/64/EG (PB L 337 van 23.12.2015, blz. 35).
******* Verordening (EU) 2023/1114 van het Europees Parlement en de Raad van 31 mei 2023 betreffende cryptoactivamarkten en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (PB L 150 van 9.6.2023, blz. 40).
******** Verordening (EU) 2024/… van het Europees Parlement en de Raad van … betreffende een kader voor toegang tot financiële gegevens en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) 1095/2010 en (EU) 2022/2554 en Richtlijn (EU) 2019/1937 (PB L …, …, blz.).
********* Verordening (EU) nr. 1024/2013 van de Raad van 15 oktober 2013 waarbij aan de Europese Centrale Bank specifieke taken worden opgedragen betreffende het beleid inzake het prudentieel toezicht op kredietinstellingen (PB L 287 van 29.10.2013, blz. 63).”
Artikel 33
Wijziging van Verordening (EU) nr. 1094/2010
In artikel 1, lid 2, van Verordening (EU) nr. 1094/2010 wordt de eerste alinea vervangen door:
“De Autoriteit handelt overeenkomstig de haar bij deze verordening toegekende bevoegdheden, en binnen het toepassingsgebied van Verordening (EU) 2024/…/EU (*), van Richtlijn 2009/138/EG, met uitzondering van titel IV daarvan, en van Richtlijn 2002/87/EG, Richtlijn (EU) 2016/97 (** ) en Richtlijn (EU) 2016/2341 (*** ) van het Europees Parlement en de Raad en, voor zover die handelingen van toepassing zijn op aanbieders van financiële-informatiediensten, verzekeringsondernemingen, herverzekeringsondernemingen, instellingen voor bedrijfspensioenvoorziening en verzekeringstussenpersonen, binnen de toepasselijke onderdelen van Richtlijn 2002/65/EG, met inbegrip van alle op die handelingen gebaseerde richtlijnen, verordeningen en besluiten en alle andere juridisch bindende Uniehandelingen waarmee taken aan de Autoriteit worden toegewezen.”
* Verordening (EU) 2024/… van het Europees Parlement en de Raad van … betreffende een kader voor toegang tot financiële gegevens en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010, (EU) nr. 1095/2010, (EU) 1094/2010 en (EU) 2022/2554 en Richtlijn (EU) 2019/1937 (PB L …, …, blz.).
** Richtlijn (EU) 2016/97 van het Europees Parlement en de Raad van 20 januari 2016 betreffende verzekeringsdistributie (PB L 26 van 2.2.2016, blz. 19).
*** Richtlijn (EU) 2016/2341 van het Europees Parlement en de Raad van 14 december 2016 betreffende de werkzaamheden van en het toezicht op instellingen voor bedrijfspensioenvoorziening (IBPV’s) (PB L 354 van 23.12.2016, blz. 37).
Artikel 34
Wijziging van Verordening (EU) nr. 1095/2010
In artikel 1, lid 2, van Verordening (EU) nr. 1095/2010 wordt de eerste alinea vervangen door:
“De Autoriteit handelt overeenkomstig de haar bij deze verordening toegekende bevoegdheden en binnen het toepassingsgebied van de Richtlijnen 97/9/EG, 98/26/EG, 2001/34/EG, 2002/47/EG, 2004/109/EG, 2009/65/EG, Richtlijn 2011/61/EU van het Europees Parlement en de Raad*, Verordening (EG) nr. 1060/2009 en Richtlijn 2014/65/EU van het Europees Parlement en de Raad**, Verordening (EU) 2017/1129 van het Europees Parlement en de Raad***, Verordening (EU) 2023/1114 van het Europees Parlement en de Raad****, Verordening (EU) 2024/… van het Europees Parlement en de Raad***** en, voor zover die handelingen van toepassing zijn op ondernemingen die beleggingsdiensten verrichten, op instellingen voor collectieve beleggingen die hun rechten van deelneming of aandelen aanbieden, op uitgevers of aanbieders van cryptoactiva, op personen die om toelating tot de handel in cryptoactiva verzoeken of aanbieders van cryptoactivadiensten, op aanbieders van financiële-informatiediensten en op de bevoegde autoriteiten die toezicht op hen uitoefenen, binnen de toepasselijke onderdelen van de Richtlijnen 2002/87/EG en 2002/65/EG, met inbegrip van alle op die handelingen gebaseerde richtlijnen, verordeningen en besluiten en alle andere juridisch bindende Uniehandelingen waarmee taken aan de Autoriteit worden toegewezen.
___________
* Richtlijn 2011/61/EU van het Europees Parlement en de Raad van 8 juni 2011 inzake beheerders van alternatieve beleggingsinstellingen en tot wijziging van de Richtlijnen 2003/41/EG en 2009/65/EG en van de Verordeningen (EG) nr. 1060/2009 en (EU) nr. 1095/2010 (PB L 174 van 1.7.2011, blz. 1).
** Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU (PB L 173 van 12.6.2014, blz. 349).
*** Verordening (EU) 2017/1129 van het Europees Parlement en de Raad van 14 juni 2017 betreffende het prospectus dat moet worden gepubliceerd wanneer effecten aan het publiek worden aangeboden of tot de handel op een gereglementeerde markt worden toegelaten en tot intrekking van Richtlijn 2003/71/EG (PB L 168 van 30.6.2017, blz. 12).
**** Verordening (EU) 2023/1114 van het Europees Parlement en de Raad van 31 mei 2023 betreffende cryptoactivamarkten en tot wijziging van Verordeningen (EU) nr. 1093/2010 en (EU) nr. 1095/2010 en Richtlijnen 2013/36/EU en (EU) 2019/1937 (PB L 150 van 9.6.2023, p. 40).
***** Verordening (EU) 2024/… van het Europees Parlement en de Raad van … betreffende een kader voor toegang tot financiële gegevens en tot wijziging van Verordeningen (EU) nr. 1093/2010, (EU) 1094/2010, (EU) 1095/2010 en (EU) 2022/2554 en Richtlijn (EU) 2019/1937 (PB L …, …, blz.).”
Artikel 35
Wijziging van Verordening (EU) 2022/2554
Artikel 2, lid 1, van Verordening (EU) 2022/2554 wordt als volgt gewijzigd:
1) in punt u) wordt het leesteken “.” vervangen door “;”;
2) het volgende punt v) wordt toegevoegd:
“v) aanbieders van financiële-informatiediensten.”.
Artikel 36
Inwerkingtreding en toepassing
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Zij is van toepassing met ingang van [OP please insert the date = 24 months after the date of entry into force of this Regulation]. De artikelen 9 tot en met 13 zijn evenwel van toepassing met ingang van [OP please insert the date = 18 months after the date of entry into force of this Regulation].
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.