FiDA-asetus tuo muutoksia rahoitusalan asiakasdatan jakamiseen – mitä se tarkoittaa?  

Euroopan unionissa valmistellaan parhaillaan uutta rahoitusdatan saatavuutta koskevaa asetusta (Framework for Financial Data Access, FiDA), jonka tarkoituksena on uudistaa merkittävästi asiakasdatan hallintaa ja jakamista finanssialalla. FiDA vie PSD2:n open banking -periaatteen maksutilidatasta koko finanssisektorin asiakasdataan muodostaen EU-tasoisen open finance -kehyksen. Näin FiDA mahdollistaa asiakkaiden rahoitustietojen jakamisen maksutilien lisäksi muun muassa sijoitusten, lainojen, vakuutusten sekä kryptovarojen osalta. 

FiDA:n lähtökohtana on, että datan jakaminen tapahtuu aina asiakkaan omasta pyynnöstä ja vain valvottujen toimijoiden välillä. Asetuksen tavoitteena on vauhdittaa kilpailua ja uusien innovatiivisten liiketoimintamallien syntyä sekä parantaa asiakkaiden saamaa palvelua ja finanssialan digitalisaatiota. 

Asetuksen soveltamisala 

FiDA-asetus määrittelee kolme keskeistä toimijaryhmää: 

• Datan haltijat: Finanssilaitokset, jotka keräävät, tallentavat ja käsittelevät asiakkaiden rahoitustietoja osana liiketoimintaansa.  

• Datan käyttäjät: Finanssilaitokset, jotka hyödyntävät asiakkaiden luvalla saatavilla olevaa rahoitustietoa uusien, innovatiivisten palveluiden tarjoamiseksi. Asetus tuo myös uuden rahoitustietopalvelun tarjoajan (Financial Information Service Provider, FISP) toimiluvan, jonka turvin yhtiöillä on mahdollisuus toimia datan käyttäjinä.  

• Asiakkaat: Luonnolliset henkilöt ja yritykset, jotka käyttävät finanssituotteita ja -palveluja ja joiden suostumuksella asiakasdataa voidaan jakaa ja hyödyntää. 

FiDA-asetus koskee valtaosaa finanssialan toimijoista, joilla on viranomaisen myöntämä toimilupa tai rekisteröinti. Soveltamisalaan kuuluvat muun muassa luottolaitokset, maksulaitokset, sijoituspalveluyritykset, vakuutusyhtiöt, kryptovarapalvelujen tarjoajat sekä rahastoyhtiöt. Asetuksen tavoitteena on luoda Euroopan unioniin selkeä ja yhdenmukainen toimintaympäristö finanssitoimijoiden asiakasdatan hyödyntämiselle. 

Velvoitteet datan haltijoille ja käyttäjille 

FiDA-asetus asettaa uusia velvoitteita sekä datan haltijoille että datan käsittelijöille. Datan haltijoiden – kuten maksulaitosten, vakuutusyhtiöiden ja sijoituspalveluyritysten – on asiakkaan pyynnöstä annettava tälle maksutta, ilman aiheetonta viivytystä ja käytännössä reaaliaikaisesti pääsy omiin rahoitustietoihinsa. 

Datan haltijoiden tulee myös asiakkaan pyynnöstä välittää asiakasdataa hyväksytyille kolmansille osapuolille, eli datan käyttäjille, kuten rahoitustietopalvelun tarjoajille (FISP) tai muille finanssilaitoksille. Tämä tiedonsiirto on toteutettava turvallisesti ja standardoiduissa muodoissa. Lisäksi datan haltijoita velvoitetaan tarjoamaan asiakkailleen selkeä lupien hallintapaneeli, josta asiakkaat voivat helposti seurata, peruuttaa ja hallita tietojensa jakamiseen liittyviä lupia. 

Datan käsittelijöinä toimivien finanssilaitosten, on puolestaan varmistettava tietojen käyttö vain asiakkaan suostumuksessa määriteltyihin tarkoituksiin. Heidän on toteutettava vahvat tietoturvatoimet asiakasdatan suojaamiseksi sekä varmistettava, että data poistetaan, kun sitä ei enää tarvita. 

Sekä datan haltijoiden ja käyttäjien velvoitetaan lisäksi liittyvän yhteen tai useampaan rahoitusdatan jakamisjärjestelmään, jotka sääntelevät tarkemmin jaettavan asiakasdatan käyttöä. Rahoitusdatan jakamisjärjestelmät ovat asetusluonnoksessa jätetty toimialan itseorganisoitumisen varaan. 

Rahoitustietopalvelun tarjoaja 

FiDA-asetusehdotus loisi finanssialalle uuden rahoitustietopalvelun tarjoajan (Financial Information Service Provider, FISP) -toimiluvan. Tämän luvan saaneet toimijat voisivat asiakkaan suostumuksella hyödyntää asiakkaan rahoitustietoja ennalta sovittujen tuotteiden ja palvelujen tarjoamiseen. Suomessa toimiluvan myöntämisestä vastaisi todennäköisesti Finanssivalvonta kansallisena toimivaltaisena viranomaisena. 

FISP-toimiluvan saamiseksi toimijoiden tulisi toimittaa Finanssivalvonnalle muun muassa kattava toiminta- ja liiketoimintasuunnitelma, kuvaus hallinto-, valvonta- ja riskienhallintajärjestelmistään sekä tiedot vastuuhenkilöiden sopivuudesta ja luotettavuudesta. Lisäksi toimiluvan edellytyksenä on riittävä taloudellinen vakaus, jota voidaan osoittaa ammatillisella vastuuvakuutuksella tai alkupääomalla. Toimiluvan avulla varmistetaan, että palveluntarjoajat noudattavat asetuksen mukaisia tietoturva- ja asiakassuojavaatimuksia. 

Aikataulu 

On syytä muistaa, että FiDA-asetus on vasta luonnosvaiheessa ja altis muutoksille ennen lopullista hyväksymistä. Euroopan komissio julkaisi ehdotuksen 28. kesäkuuta 2023 osana digitaalisen rahoituksen strategiaa. Asetuksen hyväksymistä odotetaan vuoden 2025 loppuun mennessä, minkä jälkeen sitä sovellettaisiin arviolta 18–24 kuukauden siirtymäajan kuluttua. 

Huomioitavaa on, että vaikka FiDA-asetusehdotus on edennyt unionin päätöksenteossa trilogivaiheeseen, teksti on yhä poliittisen neuvottelun alla ja voi muuttua ennen lopullista hyväksyntää. Kädenvääntöaiheita ovat muun muassa EU:n ulkopuolelle sijoittuneiden toimijoiden sekä ns. gatekeeper-alustojen, kuten Googlen, Applen ja Amazonin, mahdollisuus hakea FISP-toimilupaa.  

Jatkamme FiDA-asetuksen valmistelun aktiivista seuraamista ja palaamme asiaan, kun lopullinen sääntelykehys ja soveltamisaikataulu varmistuvat. 

Artikkelin kirjoittaja: Jesse Kinnaslampi, Associate, [email protected]

Tutustu muihin asiantuntijoihimme: Katariina Pesonen, Emilia Lostedt, Rebecca Rafkin, Elina Väärä.