Fondbolagens förening har inbjudits att lämna övergripande synpunkter på rubricerat förslag inför framtagandet av regeringens faktapromemoria till riksdagen. Föreningen har följande övergripande synpunkter.
Dokument för nedladdning:
Synpunkter på EU-kommissionens förslag till ramverk för tillgång till finansiella uppgifter, COM(2023) 360
Inledande kommentarer
Kommissionens förslag syftar till att etablera ett regelverk för att hantera delning av kunddata inom finanssektorn. ”Open Finance” eller öppna finansiella tjänster handlar om att dela och återanvända kundinformation mellan olika aktörer inom det finansiella systemet. Den föreslagna förordningen är tillämplig på fondbolag och AIF-förvaltare när de agerar som datainnehavare eller dataanvändare.
Fondbolagens förening ser både möjligheter och risker med förslaget. Fondbolag är idag endast begränsat omfattade av delning och inhämtning av kunddata – när det sker görs det ofta via oreglerade metoder - och en positiv aspekt av förslaget är att nya typer av aktörer kommer att regleras för att bli en del av de finansiella datadelningssystemen. Detta kan skapa nya affärsmöjligheter, särskilt för mindre fondbolag. Lagstiftningen kan bidra till en högre grad av harmonisering och lika villkor, men att datadelning föreslås bli obligatoriskt är enligt föreningen problematiskt av flera anledningar. Ett stort ansvar läggs på individen att förstå sina rättigheter men också de risker som kan uppstå. Föreningen noterar att i de samråd som föregick förslaget var professionella intressenter (finansiella aktörer, fintechbolag, konsumentorganisationer, offentliga myndigheter och nationella tillsynsmyndigheter) mer positiva till delning av finansiell information än allmänheten. Förslaget synes alltså inte vara framlagt med anledning av efterfrågan från konsumenter.
Förslaget innebär att kunders personliga och icke-personliga information delas utanför det traditionella finansiella systemet, vilket innebär utmaningar för sekretesskyddet gällande enskildas ekonomiska förhållanden. Den geopolitiska utvecklingen manar också till försiktighet i frågor som rör exempelvis cybersäkerhet, där riskerna kan vara högre än vinsterna. Det är därför viktigt att en kommande lagstiftning kring tillgång till finansiella uppgifter är välbalanserad så att förtroendet inte går förlorat.
Förslaget nämner inte kampen mot penningtvätt och finansiering av terrorism annat än att förslagen inte påverkar bestämmelserna om dataåtkomst och datadelning i det s.k. femte penningtvättsdirektivet. Enligt föreningen torde förslaget underlätta de åtgärder för kundkännedom som finansiella aktörer behöver vidta. I detta sammanhang är det dock viktigt att ansvarsfördelningen mellan datainnehavare och dataanvändare förtydligas.
Förslaget att ge kunder möjlighet att dela sina uppgifter med dataanvändare
Kommissionens förhoppning är att förslaget ska leda till nya, billigare och bättre datadrivna finansiella produkter och -tjänster, till exempel verktyg för jämförelse av finansiella produkter och personlig onlinerådgivning. Rådgivning om fonder får lämnas av bland annat fondbolag, AIF-förvaltare och värdepappersinstitut.
Här vill föreningen framhålla behovet av rimliga ersättningsmodeller. Finansiella aktörer tar idag betalt för det arbete de lägger ner och den kompetens de besitter för att leva upp till de krav som lagstiftaren ställer på aktörer som bedriver finansiell rådgivning. Kommissionen anger i skäl 11 till förslaget att informations-insamling för att fullgöra lämplighets- och passandebedömningar ”constitutes a significant cost factor for advisors and distributors of investment, pension, and insurance-based investment products”. Enligt förslagets artikel 10(1)h(i) ska dock den ersättning som en datainnehavare kan kräva för att dela kundinformation vara ”limited to reasonable compensation directly related to making the data available to the data user and which is attributable to the request”. Det är otydligt om detta innefattar kostnader för framtagande av kundinformation, exempelvis en lämplighets- och passandebedömning.
Med tanke på att användningsfallen ser väldigt olika ut mellan olika finansiella aktörer önskar föreningen att kommissionen kunde vara mer explicit om vad som omfattas av ersättningsmodellen och hur den är tänkt att fungera i praktiken. Det är viktigt att alla olika aktiviteter som ingår i rådgivning och distribution beaktas, och att ersättningen inte begränsas till att täcka infrastrukturinvesteringar. Om risken finns att resultatet av det arbete som lagts ner för att inhämta kundinformation ska delas kostnadsfritt till en konkurrent kan detta leda till att avgiften för den finansiella rådgivningen ökar, och i förlängningen kan tillgången till finansiell rådgivning för icke-professionella investerare minska. Det är rimligt att skyldigheten att dela kundinformation kombineras med en ersättningsmodell för den som genererat informationen, så att kostnaderna fördelas rättvist. Kommissionen har inte visat att kostnaden för att ta fram lämplighets- och passandebedömningar kommer att sjunka med förslaget. Däremot kan delning av dessa uppgifter innebära lägre kostnader för nya aktörer eller aktörer som kan ta del av redan genomförda lämplighets- och passandebedömningar. Men faktum kvarstår att någon måste ta fram den ursprungliga informationen.
För mindre aktörer kan förslaget ha positiva effekter och även ge kunder enklare tillgång till innovativa finansiella tjänster. Genom delning av kunddata kan mindre dataanvändare få en bättre finansiell helhetsbild av sina kunder. Om aktören har en begränsad distribution så kan förslaget ge möjlighet till en bredare kunskapsbas, bättre förståelse för vad kunderna vill ha och större möjlighet att kundanpassa sin direktmarknadsföring.
Förslaget syftar till att stärka konkurrensen men föreningen noterar att förslaget till prissättning enligt artikel 10(1)h är tydligt konkurrenshämmande. Ett reglerat maximipris för att dela information behöver inte nödvändigtvis avspegla produktions-kostnaderna. Dessa kan skilja sig mellan exempelvis små och stora aktörer.
Förslaget att ålägga datainnehavare en skyldighet att göra uppgifter tillgängliga för dataanvändare
Föreningen frågar sig hur skyldigheten att dela kundinformation förhåller sig till den tystnadsplikt som omfattar enskildas förhållande till en värdepappersfond, ett fondbolag eller ett förvaringsinstitut, så kallad banksekretess (uttryckt i 2 kap. 19 § lagen (2004:46) om värdepappersfonder, LVF). Banksekretessen är viktig för att skydda kunders privatliv och skapa förtroende i relationen med de finansiella aktörerna. Fondbolag har etiska och rättsliga skyldigheter att skydda sina kunders personuppgifter och finansiella data. Information som omges av banksekretess är speciellt känslig för individen och bör därför beaktas särskilt eftersom det skapar en förhöjd integritetsrisk. Föreningen ser ett behov av att förslaget förtydligas avseende sekretess mellan kunder och medlemmar i system för utbyte av finansiella uppgifter, samt att en myndighet utses att ansvara för sekretesskyddet.
Förslaget saknar tydliga avgränsningar vad gäller tillgången till uppgifter. Föreningen vill här framhålla vikten av att en rättslig skyldighet att dela kundinformation endast bör gälla delning med (av förslaget) reglerade finansiella aktörer för att säkerställa kunders integritet. En rimlig utgångspunkt borde vara att dataanvändare endast får tillgång till sådan data som hör ihop med tjänster som de själva tillhandahåller. Det få inte finnas en risk att kunder delar mer information än vad som är nödvändigt. Föreningen skulle gärna se tydligare avgränsningar gällande vilken data som får delas (input respektive output data) samt förtydliganden om vem som ansvarar för den data som delats med en annan aktör.
Föreningen efterfrågar även mer tydlighet i förslaget hur fondbolag ska förhålla sig till skyldigheten att dela kundinformation när fondandelar är förvaltarregistrerade (4 kap. 12 § LVF). Vid förvaltarregistrering är det förvaltaren som står angiven som kund hos fondbolaget, och denne för i sin tur ett register över de verkliga andelsägarna. Fondbolaget har i dessa fall vanligtvis ingen uppgift om vilka förvaltarens kunder är – det kan vara andelsägare eller andra förvaltare som i sin tur har kunder som är andelsägare. Förvaltarregistrering är en effektiv form av fonddistribution och mycket utbredd och uppskattad på den svenska fondmarknaden. Efter att förslaget lagts fram har kommissionen klargjort att om ett fondbolag inte innehar kundens uppgifter, till exempel för att de innehas av den som distribuerat en fond, så kommer fondbolaget inte att tvingas göra uppgifterna tillgängliga. Detta framgår dock inte av förslaget. Det är viktigt att det säkerställs att fondbolag inte åläggs att göra en genomlysning av förvaltarregistrerade kunder och att förslaget utformas på ett sätt som inte omöjliggör denna ordning.
Förslaget att ge kunder kontroll över vem som får tillgång till deras finansiella uppgifter
Delning av kundinformation ska ske genom en behörighetspanel (”Financial Data Access permission dashboard”) som kunden själv administrerar enligt förslagets artikel 8. Enligt kommissionen ska detta underlätta för kunderna och öka förtroendet för datadelning. Föreningen vill här framföra att även om kundernas personuppgifter ska behandlas i linje med den allmänna dataskyddsförordningen (GDPR), så ställer förslaget väldigt höga krav på den enskilda att förstå vilken känslig information denne delar med sig av. Det finns en risk att en icke-professionell investerare vid datadelningstillfället inte förstår vilken information som delas eller med vilka parter, vilket kan innebära en ökad integritetsrisk och att personen kartläggs utan att vara införstådd med det. Även vid uttryckligt samtycke förstår många kunder inte omfattningen, till exempel långtgående tillgång till konfidentiell information, eller så får godkännandet formen av en "mekanikövning" (exempelvis som ett cookie-samtycke på en webbsida). Enligt förslaget ska en kund ha möjlighet att hantera flera medgivanden till informationsdelning via behörighetspanelen, och även kunna återkalla dessa. Här efterfrågar föreningen förtydliganden om hur olika medgivanden ska förhålla sig till varandra (de kan, men behöver inte, hantera samma information), och hur äktheten i ett medgivande ska verifieras.
En bredare reglering av öppna finansiella tjänster innebär att en större mängd finansiell information än idag kommer göras tillgänglig. Att öppna upp system för tredjeparts-åtkomst ökar integritetsrisker och sårbarheten. Förslaget ställer upp höga krav på cybersäkerhet hos de finansiella aktörerna. Kraven på driftsäkerhet och teknisk robusthet har ökat, till exempel genom DORA-förordningen där förhandlingar om tekniska standarder just inletts. Sårbarheter kan dock uppstå i mindre applikationer och det är mycket svårt att till 100% säkerställa att systemen är resilienta mot attacker. Regelverket innehåller förslag om sanktioner men när en sådan döms ut är skada redan skedd för individen. En generellt ökad datamängd ställer även högre krav på företagens förmåga att hantera personuppgifter.
Föreningen ser ett behov av ökad utbildning hos de finansiella aktörerna men även av samhället i stort. Det är av yttersta vikt att kunderna förstår och kan hantera risker relaterade till informationshantering för att konsumentskyddet ska fungera ändamålsenligt. Här kan det offentliga behöva ta en mer aktiv roll och avsätta resurser.
Förslaget att system för utbyte av finansiella uppgifter ska vara på plats 18 månader efter förslagets ikraftträdande
Enligt förslaget ska datainnehavare och dataanvändare bli medlemmar i ett system för utbyte av finansiella data som reglerar tillgången till kundinformation inom 18 månader från att förordningen trätt i kraft (förslagets artikel 35). Föreningen noterar att förslaget inte verkar ha föregåtts av någon pilotstudie, i motsats till exempelvis förslaget till pilotordning för distribuerad databasteknik, COM(2020) 594. Det är många olika delar som behöver förtydligas och tas i beaktande för att ett ramverk för tillgång till finansiella uppgifter ska fungera säkert och ändamålsenligt, av vilka ett par stycken här har nämnts. De finansiella aktörerna behöver tillräckligt med tid för att inrätta datasystem och göra gränssnitten tillgängliga, och individer behöver utbildas i integritetsfrågor.
18 månader synes därför inte realistiskt. Föreningen ser gärna att konsumenttester av olika gränssnitt utförs innan beslut tas om förslagets definitiva utformning.
FONDBOLAGENS FÖRENING
Madeleine Dubois Orvelius
Senor jurist