Nová pravidla EU pro platební služby a dopad na zpracování osobních dat

Dne 17. dubna 2026 zveřejnila Rada Evropské unie kompromisní znění dvou klíčových právních předpisů v oblasti platebních služeb: navrhované třetí směrnice o platebních službách (PSD3) a navrhovaného nařízení o platebních službách (PSR). Pokud legislativní proces proběhne bez zásadních komplikací, měly by být oba předpisy formálně přijaty ještě během letošního léta. Použitelné by se pak měly stát přibližně 21 měsíců po vstupu v platnost, pravděpodobně na přelomu let 2027 a 2028.

Nový regulatorní rámec by mohl významně ovlivnit zpracování osobních údajů klientů využívajících platební služby v celé Evropské unii. Jaké změny budou nejvýznamnější z pohledu ochrany osobních údajů a aplikace obecného nařízení o ochraně osobních údajů (GDPR)?

Odpovědnost za podvody založené na vydávání se za jinou osobu. Poskytovatelé platebních služeb by nově měli být povinni nahradit spotřebitelům škodu vzniklou v důsledku transakcí iniciovaných podvodníky, kteří se vydávali za samotného poskytovatele platebních služeb. Tuto povinnost stanoví článek 59 navrhovaného nařízení PSR.

Povinné monitorování transakcí. Poskytovatelé platebních služeb by měli mít povinnost monitorovat transakce a související chování zákazníků za účelem prevence podvodů. Samotné nezavedení takových monitorovacích mechanismů by mohlo zakládat přímou odpovědnost podle článku 83 navrhovaného nařízení PSR.

Zpracování zvláštních kategorií osobních údajů. Navrhované nařízení PSR výslovně umožňuje poskytovatelům platebních služeb zpracovávat zvláštní kategorie osobních údajů podle článku 9 GDPR, pokud je to nezbytné ke splnění povinností podle článku 80 tohoto nařízení.

Větší důraz na prevenci podvodů

Evropský zákonodárce věnuje zvýšenou pozornost prevenci podvodů především v důsledku prudkého nárůstu podvodů založených na sociálním inženýrství a útoků typu spoofing, při nichž podvodníci manipulují oběti tak, aby samy autorizovaly platby nebo sdělily své autentizační údaje. Tyto formy podvodů stále více stírají tradiční hranici mezi autorizovanými a neautorizovanými transakcemi, na níž byl vystavěn systém odpovědnosti podle dosavadní směrnice PSD2.

Podle společné zprávy Evropského orgánu pro bankovnictví a Evropské centrální banky zveřejněné v prosinci 2025 dosáhla celková hodnota ztrát způsobených podvody v Evropském hospodářském prostoru v roce 2024 částky 4,2 miliardy eur, což představovalo meziroční nárůst o 17 %. Struktura těchto ztrát je obzvlášť znepokojivá. Manipulace plátce, tedy situace, kdy je oběť přiměna sama autorizovat transakci, představuje více než polovinu hodnoty podvodných úhrad. Přibližně 85 % vzniklých ztrát v současnosti nesou samotní uživatelé platebních služeb, protože PSD2 přenáší odpovědnost na uživatele vždy, když byla transakce formálně autorizována, a to i v případech, kdy byla autorizace získána podvodnou manipulací.

Náklady na podvody ponesou banky

V reakci na tento problém přesouvá navrhované nařízení PSR odpovědnost směrem k bankám a dalším poskytovatelům platebních služeb. Podle článku 59 odst. 1 návrhu PSR bude poskytovatel platebních služeb povinen spotřebiteli nahradit plnou výši transakce, pokud byl zmanipulován osobou vydávající se za poskytovatele prostřednictvím komunikačních kanálů, které lze tomuto poskytovateli přičíst.

Povinnost náhrady škody se uplatní za předpokladu, že spotřebitel podvod bez zbytečného odkladu oznámí jak poskytovateli platebních služeb, tak orgánům činným v trestním řízení, a současně nejednal s hrubou nedbalostí.

Tato změna významně zvýší rizika poskytovatelů platebních služeb, kteří nově mohou nést ztráty způsobené organizovanými skupinami podvodníků. V kombinaci s povinností aktivně předcházet podvodům bude nový rámec pravděpodobně motivovat k dalšímu rozšiřování systémů prevence podvodů a s tím spojenému intenzivnějšímu zpracování osobních údajů zákazníků. Cílem bude odhalit hrozící podvod dostatečně včas, aby bylo možné platbu zastavit nebo alespoň zákazníka varovat. Taková varování přitom nebudou představovat pouze zákaznický servis. Pokud zákazník přes upozornění transakci provede, může poskytovatel platebních služeb takové jednání posoudit jako hrubou nedbalost ve smyslu článku 59 odst. 3 PSR a přenést odpovědnost za vzniklou škodu zpět na zákazníka.

Rozšíření právního základu pro zpracování údajů za účelem prevence podvodů

Nový režim odpovědnosti za podvodně autorizované transakce bude nevyhnutelně dopadat na zpracování osobních údajů zákazníků. Poskytovatelé platebních služeb budou mít silnou motivaci zavádět stále sofistikovanější a invazivnější nástroje pro monitorování chování uživatelů, a to nejen za účelem odhalení podvodů a včasného varování zákazníků, ale také k posílení své pozice v případných sporech. Lze proto očekávat další rozšiřování systémů sledujících vzorce chování, neobvyklou transakční aktivitu a odchylky ve způsobu, jakým uživatelé pracují s aplikacemi. Rozsah a povaha takového zpracování zjevně přesahují rámec toho, co bylo tradičně považováno za nezbytné pro poskytování platebních služeb.

Poskytovatelé platebních služeb přitom nezačínají rozsáhlé systémy prevence podvodů zavádět až nyní. Mnozí je využívají již dnes. Prostřednictvím internetového a mobilního bankovnictví zpracovávají značné množství údajů o uživatelích, někdy včetně behaviorální biometrie založené na tom, jak jednotlivci pracují se svým telefonem, jak zařízení drží, pohybují s ním nebo jak se běžně pohybují v aplikacích.

Takové zpracování bude často představovat profilování ve smyslu článku 4 odst. 4 GDPR a může zahrnovat také automatizované rozhodování vyvolávající právní účinky nebo obdobně významné dopady podle článku 22 GDPR, například rozhodnutí o zablokování platby nebo pozastavení přístupu k účtu.

Klíčové dopady GDPR

GDPR spojuje s takto intenzivním zpracováním osobních údajů řadu povinností. Použitelnost mnoha z nich bude záviset na tom, zda se prevence podvodů skutečně stane výslovnou zákonnou povinností poskytovatelů platebních služeb, jak předpokládá navrhované nařízení PSR.

Kterých povinností podle GDPR se změny dotknou?

Právní základ zpracování. Plnění právní povinnosti podle článku 6 odst. 1 písm. c) GDPR je pro poskytovatele platebních služeb v postavení správce osobních údajů výrazně jednodušší, než opírání se o oprávněný zájem podle článku 6 odst. 1 písm. f) GDPR. Při využití oprávněného zájmu by poskytovatelé platebních služeb museli provádět a pravidelně aktualizovat balanční testy a současně řešit případné námitky zákazníků podle článku 21 GDPR.

Zpracování zvláštních kategorií osobních údajů. Další významnou otázkou je právní základ pro zpracování zvláštních kategorií osobních údajů, zejména behaviorálních biometrických údajů. Z pohledu GDPR se využívání těchto údajů v systémech prevence podvodů dnes pohybuje v poměrně nejistém právním prostoru. Pokud by však monitorování transakcí, včetně zpracování biometrických údajů, bylo výslovně stanoveno jako právní povinnost, mohli by se poskytovatelé platebních služeb opřít o článek 9 odst. 2 písm. g) GDPR, tedy o důvody významného veřejného zájmu stanovené právem Unie nebo členského státu.

Omezení práva na výmaz. V případech, kdy je zpracování prováděno za účelem splnění právní povinnosti, neuplatní se právo na výmaz podle článku 17 odst. 3 písm. b) GDPR.

Automatizované rozhodování a profilování. Prevence podvodů, zejména v online prostředí, vyžaduje rychlé reakce, které nelze provádět manuálně. Jasně stanovená právní povinnost monitorovat transakce a předcházet podvodům by proto měla představovat dostatečný právní základ pro automatizované zpracování včetně profilování ve smyslu článku 22 odst. 2 písm. b) GDPR.

Jmenování pověřence pro ochranu osobních údajů. Pokud některý poskytovatel platebních služeb dosud nejmenoval pověřence pro ochranu osobních údajů, což se již dnes vzhledem k článku 37 odst. 1 písm. b) GDPR jeví jako nepravděpodobné, nový regulatorní rámec odstraní veškeré zbývající pochybnosti. Povinné monitorování transakcí podle navrhovaného nařízení PSR představuje přesně ten typ rozsáhlého a systematického monitorování subjektů údajů, který zakládá povinnost jmenovat DPO.

Další povinnosti podle GDPR

Ostatní povinnosti podle GDPR, které se na poskytovatele platebních služeb vztahují, by se v důsledku nového platebního rámce neměly zásadně změnit. Obecně platí, že čím citlivější údaje jsou zpracovávány a čím závažnější mohou být dopady na subjekty údajů, tím rizikovější celé zpracování je.

To s sebou nevyhnutelně přináší přísnější požadavky na klíčové parametry zpracování, zejména rozsah a dobu uchovávání údajů, bezpečnostní opatření, posouzení vlivu na ochranu osobních údajů podle článku 35 GDPR a posuzování případů porušení zabezpečení osobních údajů.

Je čas začít

Přestože nový rámec pro platební služby dosud nebyl formálně přijat, je velmi pravděpodobné, že bude v dohledné době zveřejněn v Úředním věstníku Evropské unie, a to v podobě velmi blízké současnému návrhu.

Z pohledu GDPR by proto poskytovatelé platebních služeb měli začít s přípravami již nyní. Nové nebo rozšířené systémy prevence podvodů bude třeba pečlivě navrhnout jak z hlediska ochrany osobních údajů, tak z hlediska samotného zpracování údajů. To zahrnuje zejména vymezení rozsahu zpracování, dob uchovávání údajů a bezpečnostních standardů, stejně jako zajištění řádné evidence, dokumentace a transparentního informování zákazníků o všech činnostech zpracování.

Zda nový regulatorní rámec skutečně povede k účinnější prevenci podvodů a lepší ochraně spotřebitelů, ukáže až praxe.

‍

Článek byl původně publikován na webu IAPP v anglické verzi pod názvem New EU payment rules could expand fraud monitoring.

‍