Nový zákon o platebním styku v platnosti

Ve sbírce zákonů vyšel nový zákon č. 370/2017 Sb., o platebním styku, který nabude účinnosti 13. ledna 2018 a nahradí stávající zákon č. 284/2009 Sb., o platebním styku. S předstihem v rámci dvouleté implementační lhůty (končící právě 13. ledna 2018) tak Česká republika převzala novou směrnici Evropského parlamentu a Rady (EU) 2015/2366 o platebních službách na vnitřním trhu („PSD2“), která zcela nahrazuje předcházející směrnici Evropského parlamentu a Rady 2007/64/ES o platebních službách na vnitřním trhu („PSD1“).

Směrnice o platebních službách

Předcházející směrnice PSD1 do značné míry úspěšně vytvořila komplexní regulatorní rámec poskytování platebních služeb, v praxi však specifické aspekty zůstávaly problematické. Přestože PSD1 byla v režimu úplné harmonizace, nejednotnosti se projevily například u výjimek z působnosti, které byly příliš nejednoznačné nebo příliš obecné.[1] Faktické tržní podmínky v jednotlivých členských státech se tak v určitých ohledech lišily a skrze různě implementované výjimky z působnosti docházelo v praxi ke vzniku regulatorní arbitráže a hledání konkurenčních výhod subjekty z různých členských států. PSD1, která měla původně napomoci dynamickému rozvoji platebních služeb, se tak v průběhu času stala překážkou pokračující inovace a vstupu nových hráčů na trh.

Směrnice PSD2 (taktéž v režimu úplné harmonizace), která PSD1 nahrazuje, slibuje zvýšení právní jistoty za pomoci omezení výjimek z působnosti, usnadnění zavádění inovací v sektoru platebních služeb, zamezení vzniku bezpečnostních a regulatorních rizik a další posílení ochrany spotřebitele. Jedním z nejočekávanějších a nejvýznamnějších dopadů PSD2 bude také otevření trhu a zavedení právního rámce pro činnost moderních fintechových společností. PSD2 tak vytváří příležitost pro nové i tradiční poskytovatele platebních služeb a vybízí k dalšímu významnému vývoji v této oblasti.

Nejdůležitější změny dle nového zákona o platebním styku

Nový zákon o platebním styku rozšiřuje výčet platebních služeb[2] o následující činnosti:

• služba nepřímého dání platebního příkazu (Payment Initation Service) – příkaz k platbě prostřednictvím internetu jménem klienta třetí osobou (PISP), tedy poskytovatelem rozdílným od poskytovatele, který pro klienta vede platební účet. Struktura takové transakce je následující:

• služba informování o platebním účtu (Account Information Service) – sdělování informací o platebním účtu prostřednictvím internetu třetí osobou (AISP), tedy poskytovatelem rozdílným od poskytovatele, který vede daný platební účet. Tuto službu mohou poskytovat banky, družstevní záložny, platební instituce, instituce elektronických peněz a nový regulovaný subjekt, správce informací o platebním účtu:

Obě tyto služby byly dosud vyňaty z působnosti a pohybovaly se v nejasném regulatorním prostoru. Jejich zakotvení nyní otevírá dveře na trhu poskytovatelům inovativních platebních produktů, které umožní uživatelsky přívětivé zadávání platebních příkazů a agregaci dat z vlastních účtů a přehlednou správu osobních financí. Poskytovatelé platebních služeb malého rozsahu nesmí ani jednu z nových služeb poskytovat,[3] pro takovéto subjekty tak vzniká otázka možného přelicencování na „plnohodnotnou“ platební instituci v případě zájmu o výkon těchto nových činností.

Podle některých očekávání může nepřímé zadávání platebních příkazů a povinnost zpřístupnění informací o stavu účtu třetím subjektům redukovat tradiční banky pouze na administrátory účtů klientů, zatímco například operátoři telefonních sítí nebo provozovatelé celosvětově populárních prodejních serverů či sociálních sítí s ohledem na osobnější vztah k zákazníkovi převezmou skutečný klientský kontakt.

Dalším velkým rozdílem mezi PSD1 a PSD2 je rozšíření působnosti PSD2 i na transakce v jiných měnách než v eurech a měnách členských států, tedy takzvané „one leg“ transakce. V tuzemském právním řádu se v tomto směru však žádná revoluce nekoná. Již v zákoně č. 284/2009 Sb., o platebním styku existovalo zahrnutí širšího geografického rozsahu a působnosti na transakce v jiných měnách,[4] přestože PSD1 takovéto transakce neupravovala a do působnosti zahrnula pouze transakce v rámci EHP v eurech nebo v měně členského státu (tj. „two leg“ transakce). PSD2 však transakce pouze s jednou „nohou“ výslovně zahrnuje do působnosti a nový zákon je proto také zapracovává. Co do metody je úprava obdobná stávajícímu zákonu, one leg transakce nejsou zcela vyňaty z působnosti, nový zákon pouze v případě takových transakcí stanoví dispozitivní charakter určitých ustanovení v jinak kogentní úpravě a dává na zvážení smluvním stranám, zda působnost daných ustanovení vyloučí,[5] a některá ustanovení se v případě takových transakcí vůbec nepoužijí.[6]

Novým zákonem byly dále upraveny definiční znaky některých platebních služeb. Dříve problematická výjimka pro platební transakce na prodej digitálního obsahu nízké hodnoty prostřednictvím elektronického komunikačního zařízení v novém zákoně zůstává zachována, avšak nový zákon ji značně zužuje a výslovně odkazuje pouze na digitální obsah, vstupenku, jízdenku či charitativní účel platby s tím, že celková klientova úhrada nesmí přesáhnout 50 EUR na jednotlivou platbu a 300 EUR v průběhu měsíce. Kreativní využívání této výjimky pro platby za dražší fyzické produkty, například prostřednictvím prodeje digitálních poukazů, tak zřejmě již nebude možné.

V novém zákoně také přibývají nové notifikační povinnosti týkající se bezpečnosti v oblasti platebního styku. Osoby oprávněné poskytovat platební služby mají nově povinnost elektronického hlášení závažných bezpečnostních a provozních incidentů České národní bance. Další notifikační povinností je dále i každoroční informování České národní banky o bezpečnostních a provozních rizicích, kterým je daný subjekt v souvislosti s poskytováním platebních služeb vystaven, a o podvodech, které v oblasti platebního styku zaznamenal.[7]

V reakci na narůstající nebezpečí kybernetické kriminality a množství online podvodů nový zákon napomáhá zvýšení bezpečnosti i přímo při provádění online plateb, a to zavedením povinného silného ověření plátce, které musí využívat kombinace alespoň dvou z následujících prvků:

• údaje, který je znám pouze uživateli (typicky heslo, PIN či obdobný údaj);
• věci, kterou má uživatel ve své moci (typicky mobilní telefon); a
• biometrických údajů uživatele (v praxi zatím méně časté, avšak lze využít otisk prstů či sken duhovky za pomoci moderních technologií).
  

Nejen v oblasti bezpečnosti bude zvýšena ochrana spotřebitele. Novým zákonem je podpořena větší transparentnost nákladů a poplatků platebních služeb.[8] Dále dochází ke změně v odpovědnosti uživatele platebního prostředku. V případě neautorizované transakce (například po zneužití ztracené či odcizené platební karty) bude míra „spoluúčasti“ klientů nově omezena na 50 EUR (snížení z dřívějších 150 EUR), vyjma případů vlastního podvodného jednání nebo úmyslného či hrubě nedbalého porušení povinností.[9]

Další kroky pro stávající i nové subjekty

Nový zákon o platebním styku dává významný podnět tradičním poskytovatelům platebních služeb k přizpůsobení se novým podmínkám na trhu a poskytuje příležitosti nově vzniklým subjektům k převzetí tržního podílu skrze využití moderních platforem přístupu ke klientovi. Současní i budoucí hráči na poli platebních služeb proto v návaznosti na přijetí nového zákona o platebním styku musí zvážit:

• Přezkum interních systémů a postupů pro určení rozsahu, jak je podnikání ovlivněno novým zákonem o platebním styku;
• Úpravu smluvních podmínek, za kterých jsou platební služby poskytovány;
• Revizi procesů vyřizování stížností a reklamací, IT řešení, bezpečnostního zabezpečení, nastavení stávající dokumentace a školení zaměstnanců;
• Dopad možnosti využití nové platební služby nepřímého dání platebního příkazu a služby informování o platebním účtu na současný obchodní model;
• Nutnost doložení splnění podmínek k činnosti podle nového zákona České národní bance v průběhu prvních měsíců účinnosti zákona pro vyhnutí se odnětí licence Českou národní bankou;
• Novou povinnost notifikace nabytí kvalifikované účasti na platební instituci;
• Příležitost k přelicencování poskytovatelů platebních služeb malého rozsahu na platební instituce za účelem možnosti využíti nově regulovaných platebních služeb;
• Příležitost k rozvoji podnikání v měnícím se regulačním a technologickém prostředí agregace a využití osobních dat z elektronických plateb.
  

V současnosti lze jen těžko odhadnout význam dopadu nové regulace v praxi. Podle všeho však lze očekávat, že již v řádu několika let bude trh platebních služeb zcela odlišný.

 


Mgr. Petr Vojtěch,
doktorand katedry obchodního práva Právnické fakulty Univerzity Karlovy v Praze,
advokátní koncipient Baker & McKenzie s.r.o., advokátní kancelář


Baker & McKenzie s.r.o., advokátní kancelář

Klimentská 1216/46
110 02 Praha 1

Tel.:    +420 236 045 001
e-mail:    office.prague@bakermckenzie.com  


_______________________________________
[1] Lze uvést příklad platebních transakcí prováděných pomocí mobilních telefonů, které byly zaměřeny na prodej digitálního obsahu nízké hodnoty. Vzhledem k nejednoznačné formulaci vynětí z oblasti působnosti PSD1 se tato výjimka v členských státech uplatňovala odlišně, což vedlo k právní nejistotě u poskytovatelů obsahu i uživatelů platebních služeb. Někdy byla tato služba oproti původnímu záměru využívána například k úhradám jiných než digitálních služeb, například za pomoci distribuce voucherů k reálnému zboží. PSD2 i nový zákon výslovně odkazují na digitální obsah.
[2] Srov. ustanovení § 3 odst. 1 písm. g) a h) zákona č. 370/2017 Sb., o platebním styku.
[3] Srov. ustanovení § 65 odst. 3 zákona č. 370/2017 Sb., o platebním styku. U vydavatele elektronických peněz malého rozsahu, kterému jsou nové služby také zakázány, srov. § 106 odst. 4 zákona č. 370/2017 Sb., o platebním styku
[4] Pro úplnost lze poznamenat, že takový přístup bylo možné považovat za určitý projev gold-platingu směrnice PSD1, který v důsledku snižoval přehlednost evropského trhu platebních služeb a mohl přispět ke zvyšování nezbytných nákladů poskytovatelů platebních služeb z různých členských států pro přizpůsobení se odlišným regulatorním podmínkám.
[5] Srov. ustanovení § 128 odst. 3, odst. 5 zákona č. 370/2017 Sb., o platebním styku.
[6] Srov. ustanovení § 128 odst. 2, odst. 4 zákona č. 370/2017 Sb., o platebním styku.
[7] Pro sjednocení posuzování závažnosti těchto incidentů a vzniku povinnosti jejich notifikace vydala EBA výkladové stanovisko (Final Guidelines on major incident reporting under PSD2).
[8] Srov. ustanovení § 201 zákona č. 370/2017 Sb., o platebním styku.
[9] Srov. ustanovení § 182 odst. 1 písm. a), b) zákona č. 370/2017 Sb., o platebním styku.


© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz