Virksomheder, der kun udbyder betalingstjenester i henhold til bilag 1, nr. 8, skal have tilladelse som udbyder af kontooplysningstjenester.
Stk. 2 Finanstilsynet giver tilladelse som udbyder af kontooplysningstjenester, når følgende krav er opfyldt:
-
1) Virksomheden har hovedkontor og hjemsted i Danmark og udøver som minimum en del af sine aktiviteter i Danmark.
-
2) Medlemmerne af virksomhedens bestyrelse og direktion, indehaveren af en enkeltmandsvirksomhed eller den eller de ledelsesansvarlige for en juridisk person uden en bestyrelse eller en direktion opfylder kravene til egnethed og hæderlighed, jf. § 30.
-
3) Virksomheden har ikke snævre forbindelser, jf. § 5, stk. 1, nr. 17, i lov om finansiel virksomhed, til andre virksomheder eller personer, der vil kunne vanskeliggøre varetagelsen af Finanstilsynets opgaver.
-
4) Virksomheden har forsvarlige og effektive organisatoriske strukturer, forretningsgange og procedurer, jf. § 25.
-
5) Virksomheden vurderes at være i stand til at gennemføre en forsvarlig drift.
Stk. 3 En ansøgning om tilladelse i henhold til stk. 1 skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i stk. 2 er opfyldt. Ansøgningen skal som minimum indeholde:
-
1) Oplysninger om virksomhedens retlige form.
-
2) Adressen på virksomhedens hovedkontor.
-
3) En beskrivelse af virksomhedens forretningsmodel, herunder en oversigt over virksomhedens nuværende og planlagte forretningsaktiviteter, og en beskrivelse af den planlagte kontooplysningstjeneste.
-
4) En forretningsplan med en budgetprognose for de 3 første regnskabsår og det senest reviderede årsregnskab, såfremt et sådant er udarbejdet.
-
5) Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer.
-
6) Oplysninger om virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 126.
-
7) En beskrivelse af virksomhedens forretningsgange og procedurer til at sikre lagring, overvågning, sporing og begrænsning af adgang til følsomme betalingsdata.
-
8) En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige.
-
9) Oplysninger om virksomhedens sikkerhedspolitik, herunder en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og de risikobegrænsende foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger.
-
10) Oplysninger om virksomhedens organisationsstruktur, herunder den tilsigtede brug af agenter og filialer, og om de kontroller, som ansøgeren forpligter sig til at gennemføre mindst en gang årligt, og en beskrivelse af outsourcingordninger.
-
11) Oplysninger i henhold til § 30 om bestyrelsesmedlemmerne, direktøren, indehaveren af udbyder, der er en enkeltmandsvirksomhed, eller den eller de ledelsesansvarlige, hvis virksomheden drives som en juridisk person uden en bestyrelse eller en direktion.
Stk. 4 Det er endvidere en betingelse for at få tilladelse efter stk. 1, at virksomheden har tegnet en ansvarsforsikring, der dækker de geografiske områder, hvor den tilbyder kontooplysningstjenester, eller anden lignende garanti mod erstatningskrav over for de kontoførende udbydere og brugerne som følge af uautoriseret eller svigagtig adgang til eller uautoriseret brug af betalingsoplysninger.
Stk. 5 Finanstilsynet kan undlade at give en tilladelse i henhold til stk. 1, hvis Finanstilsynet vurderer, at virksomheden ikke opfylder kravene i denne lov eller regler udstedt i medfør af denne lov, hvis oplysningerne i henhold til stk. 3 er ufuldstændige, eller hvis ansvarsforsikringen ikke lever op til kravene i stk. 4 eller reglerne udstedt i medfør af stk. 8.
Stk. 6 En virksomhed, der har en tilladelse i henhold til stk. 1, skal behandles som et betalingsinstitut. §§ 21-24 og 39 og kapitel 5-7 med undtagelse af §§ 65-67, 72, 83 og 87-90 finder dog ikke anvendelse på betalingsinstitutter, der alene udbyder kontooplysningstjenester.
Stk. 7 Reglerne om egnethed og hæderlighed, jf. § 30, finder tilsvarende anvendelse på bestyrelsen eller direktionen i en udbyder af kontooplysningstjenester, indehaveren af en udbyder af kontooplysningstjenester, der er en enkeltmandsvirksomhed, eller den eller de ledelsesansvarlige, hvis en udbyder af kontooplysningstjenester drives som en juridisk person uden en bestyrelse eller en direktion.