Europejska dyrektywa PSD2 miała na celu regulację dostępu do informacji o rachunku (AIS). W praktyce chodzi o pozyskiwanie danych pochodzących z rachunku bankowego konkretnego użytkownika. Jakie prawa i obowiązki ma tzw. dostawca danych i na czym dokładnie polega usługa AIS? Oto najważniejsze informacje.
Usługa AIS to jedna z regulacji, które weszły w życie wraz z dyrektywą PSD2 w 2009 roku. Dotyczy ona dostępu do rachunku prowadzonego przez inny podmiot. Aby zrealizować rozmaite transakcje, potrzebne są bowiem konkretne informacje z jego rachunku w banku.
Taka procedura nie oznacza jednak swobodnego dostępu i możliwości zarządzania poufnymi danymi. Ich dostawca nie może bowiem zlecać żadnych transakcji z rachunku, do którego uzyskał dostęp. Co ważne, w ramach AIS nie otrzymuje on żadnych danych o charakterze uwierzytelniającym, np. haseł, kodów czy loginów.
AISP — dostawca danych i jego zakres działania
Podmiot, który świadczy usługę dostarczenia danych, funkcjonuje jako AISP. W praktyce w imieniu użytkownika to właśnie on zyskuje dostęp do jego rachunku płatniczego. Zwykle w celu przetworzenia historii wykonanych transakcji. Usługa AIS może np. posłużyć do oceny zdolności kredytowej wnioskodawcy. Status AISP może mieć także krajowa instytucja płatnicza.
Działalność AISP wiąże się jednak z pewnymi ograniczeniami. Poza niemożnością wykonywania transakcji podmiot ten nie może:
emitować pieniądze w formie elektronicznej,
uzyskać dostępu do informacji o rachunku bez zgody użytkownika.
Jakie wymogi AIS trzeba spełnić, aby działać na tym polu?
Jeśli starasz się o status podmiotu przekazującego dane, musisz spełnić kilka wymogów formalnych. Na szczęście nie są tu konieczne środki własne. Spółki z ograniczoną odpowiedzialnością powinny mieć jedynie kapitał zakładowy na poziomie 5 tysięcy złotych.
Nie ma także szczególnych wymagań co do wykształcenia kierunkowego osób zajmujących się zarządzaniem AISP. Obowiązkiem jest natomiast wykupienie ubezpieczenia OC, czyli ochrony zapewniającej odpowiedzialność cywilną za szkody powstałe w związku z wykonywaną działalnością. Polisę OC albo gwarancję bankową należy mieć jeszcze przed rozpoczęciem starań o status AISP.
Nieco więcej czasu trzeba poświęcić wymaganej dokumentacji. Jednocześnie z wnioskiem do Komisji Nadzoru Finansowego dokumenty wymagane w treści Ustawy o usługach płatniczych. Są to:
program działalności przyszłego AISP,
plan finansowy,
strukturę organizacyjną z opisem procedur podejmowania decyzji,
zasady szacowania ryzyka,
zasady identyfikacji ryzyka,
zasady prowadzenia audytu wewnętrznego,
metody monitorowania incydentów związanych z bezpieczeństwem,
opracowany system komunikacji wewnętrznej,
politykę ochrony danych wrażliwych,
scenariusze i rozwiązania zapewniające ciągłość działania podmiotu,
strategię działania w zakresie bezpieczeństwa.
Jeśli wciąż masz obawy o sprawną procedurę wnioskowania o status AISP, możesz zdać się na fachową poradę. Firmy takie jak Legal Geek oferują kompleksową obsługę prawną w zakresie AIS. W ten sposób nie tylko nie popełnisz błędu, przygotowując się do tej działalności, ale także zaoszczędzisz sporo czasu na formalnościach.
